Captain Kirk

Ik haak even in over je vraag over het gebruik van Teamviewer. Zelf gebruik ik het op werk en voor prive regelmatig. Ook grote bedrijven maken er vaak gebruik van. Met teamviewer geef je inderdaad de ander toegang tot het overnemen van je computer. Dit kan alleen maar wanneer jij het wachtwoord aan hen door geeft. Vandaar het telefonisch contact op het moment dat zij met teamviewer je computer over willen nemen. Op het moment dat ze de computer over hebben genomen, kun je zelf op het scherm volgen wat ze precies doen. Aangezien ik zag dat Eurotalk geen klein bedrijf is, zullen ze niet zomaar hun naam te grabbel gooien door gelijk even te kijken wat je allemaal op je pc hebt staan. Na de hulpsessie wordt Teamviewer gesloten en kunnen ze niet meer bij je pc. Voor een volgende sessie geeft Teamviewer nl een ander wachtwoord tenzij je hebt aangegeven dat ze een vaste verbinding mogen maken. Wil je helemaal zekerheid, deïnstalleer je Teamviewer na afloop. Overigens is de link welke je hebt gekregen een link naar Teamviewer 10. Inmiddels zitten we al op Teamviewer 12. Kort gezegd: het gaat om een gerenommeerd bedrijf welke je een service wil aanbieden om je te helpen. Op zich netjes. Het hangt alleen van jou af of je er een prettig gevoel bij hebt indien ze op afstand je pc over willen nemen.

Maandag werd al bekend dat Windows 10 nieuwe opties krijgt voor het installeren van applicaties, maar nu heeft Microsoft de feature ook zelf aangekondigd. Met de Creators Update kunnen gebruikers en beheerders instellen wat voor soort type applicaties op de computer mogen worden geïnstalleerd. Zo is het mogelijk om alleen apps uit de Microsoft Store toe te staan. Ook kunnen gebruikers ervoor kiezen om een waarschuwing te krijgen als ze apps van buiten de Microsoft Store willen installeren. Daarnaast is er de optie om apps van alle locaties toe te staan. Deze optie staat standaard ingeschakeld. Als één van de twee Store-opties wordt gekozen krijgen gebruikers een waarschuwing als ze een niet-Store-app willen installeren. De waarschuwing stuurt gebruikers door naar de Microsoft Store, waar ze een alternatieve app kunnen downloaden als die beschikbaar is. In bepaalde gevallen zal de waarschuwing direct naar een alternatieve app in de Store wijzen. Windows Defender Verder zijn er verbeteringen aan Windows Defender doorgevoerd. Het Windows Defender Security Center heeft een nieuw waarschuwingsicoon waarmee in één oogopslag de status van het systeem kan worden gezien. Ook is het mogelijk om Defender vanuit het waarschuwingsicoon te lanceren. Verder is Defender direct vanaf de Settings-app te starten. De features zijn aan de nieuwste testversie van Windows 10 toegevoegd. bron: security.nl

Een apparaat dat alle met internet verbonden systemen in een huis beschermt waarschuwt gebruikers via gekleurde lampjes voor aanvallen. Gebruikers kunnen zo via één oogopslag zien of er kwaadaardige activiteit in het netwerk is gedetecteerd. Het apparaat heet de Dojo en is een soort van IoT-firewall. De Dojo werd al in 2015 aangekondigd, maar zal nu eindelijk worden geleverd. Tijdens het Mobile World Congress in Barcelona demonstreren de ontwikkelaars het apparaat. Eenmaal op een netwerk aangesloten analyseert de Dojo al het verkeer en past hier vervolgens het ingestelde veiligheidsbeleid op toe. In het geval de Dojo een dreiging waarneemt verandert de kleur van het apparaat. Via drie kleuren, rood, geel en groen, wordt de status van het netwerk weergegeven. Het apparaatje is via een smartphone-app te bedienen. Zo kan netwerkactiviteit via de smartphone-app worden geblokkeerd of toegestaan en worden gebruikers in het geval van een dreiging ook via de app gewaarschuwd. Volgens de ontwikkelaars verzamelt de Dojo geen gebruikersgegevens. Wel worden metadata over het gedrag van het apparaat verzameld en security/privacy-gerelateerde logs. Het apparaat is bedacht door het Israëlische Dojo Labs, dat vorig jaar door het Britse anti-virusbedrijf BullGuard werd overgenomen. De Dojo zal 199 dollar kosten, inclusief een abonnement van 12 maanden. Hierna zal er 99 dollar per jaar voor het abonnement moeten worden betaald. De Dojo is vanaf april beschikbaar. bron: security.nl

Google heeft besloten om de TLS 1.3-ondersteuning in Chrome 56 tijdelijk terug te draaien omdat dit voor problemen bij organisaties zorgt die het internetverkeer via Bluecoat-apparaten laten inspecteren. De apparaten ondersteunen namelijk geen TLS 1.3 en blokkeren vervolgens de verbinding. Duizenden computers van scholen in Montgomery County konden zodoende geen websites meer opvragen, zo heeft een beheerder op de Chromium-bugtracker laten weten. Nadat Chromebooks van de scholen naar Chrome OS 56 waren geüpgraded waren de machines niet meer te gebruiken omdat ze geen verbinding met het netwerk konden maken. De enige oplossing was volgens de beheerder het opnieuw installeren, maar dit is een tijdrovend proces. Transport Layer Security (TLS) is een encryptieprotocol dat de communicatie tussen bijvoorbeeld een computer en een website versleutelt. In het geval van organisaties die van Bluecoat-apparaten gebruikmaken wordt het verkeer van de computer onderschept en geïnspecteerd. Bluecoat kan een via TLS 1.3 versleutelde verbinding echter niet inspecteren en blokkeert die vervolgens. Volgens Google is het bedrijf al maanden geleden ingelicht dat TLS 1.3-ondersteuning zou worden toegevoegd. "Maar heeft het bedrijf hun software ondanks onze instructies klaarblijkelijk niet getest", zegt David Benjamin van Google. Vanwege de ontstane problemen heeft Google een paar dagen geleden een Chrome-update uitgebracht die de TLS 1.3-support terugdraait. Google benadrukt dat dit uiteindelijk een probleem met de proxy-apparaten is en getroffen organisaties met hun leverancier contact op moeten nemen. Het zou niet de eerste keer zijn dat er problemen door de TLS-ondersteuning van Bluecoat ontstaan. Op Hacker News wordt namelijk gemeld dat hetzelfde probleem zich ook al met TLS 1.2 voordeed. bron: security.nl

Onderzoekers van Google hebben een ernstig beveiligingslek in ESET Antivirus voor macOS ontdekt waardoor een aanvaller systemen volledig kon overnemen. ESET Antivirus draait standaard als root op macOS. De virusscanner maakte echter gebruik van een kwetsbare softwarebibliotheek voor het verwerken van xml-bestanden. Via een kwaadaardig xml-bestand was het voor een aanvaller mogelijk om zonder enige interactie van gebruikers willekeurige code op het systeem uit te voeren. Als ESET Antivirus de licentie probeert te activeren wordt er verbinding gemaakt met een ESET-webserver. De virusscanner controleert echter niet het servercertificaat van de webserver. Een aanvaller tussen de gebruiker en het internet kan het verzoek van de virusscanner onderscheppen en het activatieverzoek beantwoorden. Dit antwoord wordt als een xml-document door de virusscanner verwerkt, waardoor de aanvaller de kwetsbaarheid in de xml-bibliotheek kan misbruiken en willekeurige code met rootrechten kan uitvoeren. Het beveiligingslek werd op 3 november vorig jaar door Google-onderzoekers Jason Geffner en Jan Bee ontdekt en dezelfde dag aan ESET gerapporteerd. Vorige week dinsdag bracht ESET een update uit, waarna Google nu de details heeft geopenbaard. In 2015 vonden onderzoekers van Google ook al verschillende keren kwetsbaarheden in de anti-virussoftware van ESET. bron: security.nl

Met de aankomende Creators Update voor Windows 10 introduceert Microsoft nieuwe update-opties voor het besturingssysteem. Gebruikers kunnen straks uit het gewenste updatekanaal kiezen. Microsoft hanteert verschillende updatekanalen. Zo is er de Current Branch en Current Branch for Business. De Current Branch is het updatekanaal dat de meeste Windows 10-systemen gebruiken. De Current branch for Business installeert naast beveiligingsupdates ook feature-updates die in de consumentenmarkt zijn getest en gevalideerd. Dit updatekanaal loopt wat betreft feature-updates vier maanden achter op de Current Branch. Standaard staat de Current Branch geselecteerd. Daarnaast kunnen gebruikers straks aangeven hoeveel dagen ze de installatie van feature- en kwaliteitsupdates willen uitstellen. Een andere optie biedt de mogelijkheid om de installatie van updates tot maximaal 35 dagen uit te stellen. Als laatste is het aantal "actieve uren" van het systeem van 12 uur naar 18 uur verlengd. Tijdens de actieve uren worden er geen Windows-updates geïnstalleerd en het systeem niet herstart, zo meldt Windowsvolger Ed Bott. De Creators Update verschijnt waarschijnlijk in april. bron: security.nl

Een beveiligingslek in Windows SMB dat begin deze maand werd onthuld en waar nog geen update van Microsoft voor beschikbaar is kan via Internet Explorer en Edge worden aangevallen. Dat meldt beveiligingsbedrijf SecureWorks. Via de kwetsbaarheid is het mogelijk om computers te laten crashen. Ook het uitvoeren van willekeurige code met kernelrechten zou in theorie mogelijk zijn, maar dit is nog niet bewezen. Het Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Voor het aanvallen van de kwetsbaarheid moet een gebruiker met een kwaadaardige smb-server verbinding maken. Dit kan echter op verschillende manieren worden gedaan, aldus onderzoekers. Zo is het mogelijk om computers via 'redirect naar SMB', het openen van een link of het weergeven van een afbeelding op een webpagina met de smb-server van de aanvaller verbinding te laten maken, waarna het systeem crasht. Deze aanvallen werken alleen tegen Internet Explorer en Microsoft Edge. Google Chrome en Mozilla Firefox zijn niet kwetsbaar, omdat in deze browsers het UNC-pad standaard staat uitgeschakeld. Via het UNC-pad kan een de locatie van een "network resource" worden opgegeven, zoals een gedeeld bestand, directory of printer. De onderzoekers adviseren om de Windows-update als die op 14 maart verschijnt zo snel als mogelijk te installeren. In de tussentijd kunnen organisaties uitgaande SMB-verbindingen (poorten 139/tcp, 445/tcp, 137/udp en 138/upd) van het lokale netwerk naar externe netwerken blokkeren. bron: security.nl

Intel heeft aan de nieuwe Kaby Lake-processoren U2F-ondersteuning toegevoegd, zodat gebruikers zonder aanvullende hardware of codes van tweefactorauthenticatie gebruik kunnen maken. De Universal 2nd Factor (U2F) is een open authenticatiestandaard die gebruikers een usb-beveiligingssleutel of nfc-apparaat als tweede factor bij het inloggen laat gebruiken. Zo ondersteunen Facebook, Dropbox, Google, Windows 10 en GitHub inloggen via een fysieke beveiligingssleutel. De Kaby Lake-processoren van Intel zijn voorzien van de Intel Converged Security and Manageability Engine (CSME). Dit biedt de functionaliteit die voor U2F vereist is, zoals het genereren, registreren en signeren van U2F-challenges met een sleutelpaar, zonder dat hiervoor aanvullende hardware is vereist. "Het voordeel dat Intel U2F direct aan de chipset heeft toegevoegd is dat bedrijven en consumenten niet langer aanvullende hardware moeten aanschaffen om van U2F gebruik te maken", zegt Rich Smith van Duo Security. Het bedrijf ontwikkelt authenticatiesoftware. Volgens Smith heeft Intel een interessante aanpak voor de implementatie van hun U2F-client gekozen. "In plaats van een usb-apparaat te gebruiken waarmee de meeste mensen bekend zijn, heeft Intel gekozen om hun U2F-client in de software te integreren en op het scherm op een willekeurig gegenereerde locatie een vierkant te laten zien." De gebruiker moet hier vervolgens op klikken. Intel heeft daarbij maatregelen genomen die moeten voorkomen dat dit proces kan worden afgeluisterd of omzeild. Zodra de gebruiker op het vierkant heeft geklikt is de U2F-challenge gesigneerd door een sleutel die in de hardware wordt opgeslagen en vervolgens aan de browser wordt teruggegeven om op een account in te loggen. "De software-only U2F-implemantie maakt sterke U2F-gebaseerde authenticatie voor alle eigenaren van een Kaby Lake-processor beschikbaar, zonder aanvullende investeringen", gaat Smith verder. Hij hoopt dat dit ervoor zal zorgen dat meer mensen van U2F gebruik gaan maken. Uit cijfers van Duo Security blijkt namelijk dat op dit moment voor alle waargenomen tweefactorauthenticatie-sessies slechts 1 procent van U2F gebruikmaakt en dit het afgelopen jaar niet veel is veranderd. bron: security.nl

Met de aankomende Creators Update voor Windows 10 wordt het voor gebruikers en beheerders mogelijk om de installatie van Win32-apps te blokkeren en alleen nog maar software uit de Microsoft Store toe te staan. Straks kunnen er drie opties worden gekozen om apps te installeren. De eerste optie is het installeren van apps die van willekeurige locaties afkomstig zijn. Bij de tweede optie wordt de voorkeur aan apps uit de Microsoft Store gegeven, maar is ook de installatie van andere apps toegestaan. Als laatste optie is het alleen mogelijk om apps uit de Microsoft Store te installeren. De nieuwe optie werd door Vitor Mikaelson ontdekt en lijkt op de opties die Apple in macOS biedt. Er is echter ook kritiek op de melding die Microsoft geeft bij het blokkeren van Win32-apps. Daarin wordt namelijk gesteld dat door het alleen toestaan van apps uit de Microsoft Store de computer veilig en betrouwbaar wordt gehouden, wat suggereert dat apps van andere locaties onveilig zijn. Volgens MSPoweruser staat de optie standaard uitgeschakeld, maar zal die met name onervaren gebruikers kunnen beschermen tegen het installeren van bloatware en malware. De Creators Update zal waarschijnlijk in april verschijnen. bron: security.nl

Na eerder al een ongepatcht beveiligingslek in Windows te hebben onthuld heeft Google ook een kwetsbaarheid in Edge en Internet Explorer geopenbaard waar nog geen update van Microsoft voor beschikbaar is. Via het lek kan een aanvaller in het ergste geval willekeurige code op het systeem uitvoeren, zoals het installeren van malware. De voorbeeldaanval die Google online heeft gezet zorgt er echter voor dat de browser alleen crasht. Microsoft werd op 25 november door Google over het lek ingelicht. Standaard hanteert Google een deadline van 90 dagen, waarna informatie over de kwetsbaarheid openbaar wordt gemaakt, ongeacht of de leverancier in kwestie al een update heeft uitgerold om het probleem te verhelpen. Mogelijk dat Microsoft van plan was het beveiligingslek tijdens de patchdinsdag van februari te patchen, maar de softwaregigant besloot om alle beveiligingsupdates deze maand uit te stellen en te verplaatsen naar dinsdag 14 maart. Google-onderzoekers hebben in het verleden vaker kwetsbaarheden in Windows naar buiten gebracht zonder dat er een update beschikbaar was. Twee keer maakten cybercriminelen van de vrijgegeven informatie gebruik om Windows-gebruikers aan te vallen. bron: security.nl

Met de aankomende Creators Update voor Windows 10 die deze lente moet verschijnen zal Microsoft Edge standaard Flash-content gaan blokkeren om zo gebruikers tegen aanvallen te beschermen. Op websites die html5 ondersteunen zal Flash Player niet meer geladen worden. Is de website nog wel van Flash afhankelijk, dan krijgen gebruikers een melding of ze Adobe Flash-content willen uitvoeren of niet. In de nieuwste testversie van Windows 10 heeft Microsoft een nieuw venster in Edge geïmplementeerd dat gebruikers duidelijker moet laten weten dat de browser Flash-content heeft geblokkeerd en die via een enkele muisklik kan worden ingeschakeld. Gebruikers kunnen er vervolgens voor kiezen om Flash eenmalig of permanent op geselecteerde websites toe te staan. bron: security.nl

Mozilla heeft vandaag voor alle Firefox-gebruikers de ondersteuning van het sha-1-algoritme uitgeschakeld. Gisteren maakten onderzoekers van het Centrum Wiskunde & Informatica (CWI) in Amsterdam en Google bekend dat ze een succesvolle aanval op het sha-1-algoritme hadden uitgevoerd. Het algoritme speelt een belangrijke rol speelt bij internetbankieren, het signeren van documenten en allerlei andere zaken. Sha-1 lag echter al langer onder vuur en de grote browserontwikkelaars waren dan ook al begonnen om het algoritme uit te faseren. Mozilla had sinds eind vorig jaar het sha-1 voor een steeds grotere groep Firefox-gebruikers uitgeschakeld en heeft het algoritme vandaag voor alle gebruikers uitgezet. In Firefox 52 die begin maart uitkomt zal sha-1 standaard niet meer worden ondersteund. Volgens Mozilla raakt deze maatregel gebruikers die nog steeds websites bezoeken die van een sha-1-certificaat gebruikmaken. Het zou echter om minder dan 0,1 procent van het webverkeer gaan. Mozilla roept gebruikers dan ook op de meest recente versie van de browser te installeren mocht dat nog niet gedaan zijn. bron: security.nl

Door een geheugenlek bij internetdienst Cloudflare zijn de wachtwoorden, encryptiesleutels, cookies en andere gevoelige gegevens van een onbekend aantal websites gelekt die van de Cloudflare SSL Proxy gebruikmaakten. Het beveiligingsprobleem, dat inmiddels "Cloudbleed" wordt genoemd, werd door onderzoeker Tavis Ormandy van Google ontdekt. Tijdens een ander onderzoek ontdekte Ormandy dat de servers van Cloudlare geheugen lekten. "Net zoals Heartbleed, maar Cloudflare-specifiek en veel erger", aldus Ormandy. Bij het inspecteren van het gelekte geheugen ontdekte hij encryptiesleutels, priveberichten, hotelboekingen, wachtwoorden, delen van POST-data en zelfs https-verzoeken van andere grote bij Cloudflare gehoste websites die van andere gebruikers afkomstig waren, alsmede ip-adressen van gebruikers van deze websites. "Zelfs onversleutelde api-verzoeken van een populaire wachtwoordmanager die via https waren verstuurd. "Ormandy stopte direct met het verdere onderzoek en waarschuwde Cloudflare. "De situatie was bijzonder, aangezien persoonlijk identificeerbare informatie tijdens het normale gebruik door crawlers en gebruikers werd gedownload. Ze begrepen alleen niet wat ze te zien kregen", aldus de onderzoeker in een rapport over het beveiligingsprobleem. Cloudflare wist het probleem snel te achterhalen en schakelde verschillende features uit die van het kwetsbare onderdeel gebruikmaakten. De internetdienst benadrukt dat de ssl-privé sleutels van klanten niet zijn gelekt. De periode waarin gegevens kunnen zijn gelekt bevindt zich tussen 22 september 2016 en 18 februari 2017. De meeste gegevens zouden echter vanaf 13 februari zijn gelekt. Het zou gaan om 0,00003 procent van alle http-verzoeken waarbij er geheugen kon lekken. Een bijkomend probleem was dat zoekmachines het gelekte geheugen hadden gecacht. Voor de openbaarmaking van de kwetsbaarheid zijn dan ook alle geïndexeerde gegevens verwijderd. Het ging in totaal om 770 unieke uri's die op 161 unieke domeinen betrekking hadden. Uiteindelijk werd het probleem binnen 7 uur opgelost, waarbij de eerste noodoplossing 47 minuten na de melding van Ormandy was uitgerold. Hoeveel en welke websites door de kwetsbaarheid zijn getroffen laat Cloudflare in een eigen rapport over het incident niet weten. Ormandy meldt echter op Twitter dat het onder andere om https-sessies van gebruikers bij Uber, 1Password, FitBit en OKCupid gaat. bron: security.nl

Na bijna een jaar is er een nieuwe versie van de populaire ssh-client PuTTY verschenen waarin onder andere twee beveiligingslekken zijn verholpen. Het ging om een lek in de Windows-versie waardoor er dll-bestanden vanuit de lokale directory werden geladen waar ook de PuTTY-bestanden zich bevonden. Dit zou een probleem in een ongecontroleerde locatie kunnen zijn, zoals de downloadmap van een browser. Als een aanvaller de gebruiker een kwaadaardig dll-bestand zou kunnen laten downloaden en de gebruiker vervolgens PuTTY direct vanuit de downloadmap uitvoerde, werd ook het kwaadaardige dll-bestand uitgevoerd. Iets wat volgens de ontwikkelaars waarschijnlijker is dan het klinkt, aangezien sommige browsers het ooit hebben toegestaan dat websites zonder te vragen bestanden in de downloadmap konden plaatsen. Daarnaast is er ook nog een integer-overflow opgelost waardoor een aanvaller in bepaalde gevallen bij een doorgestuurde ssh-agent connectie het geheugen kon overschrijven. Verder is er ondersteuning voor elliptische kromme cryptografie voor host-keys, authenticatiesleutels en key-exchange toegevoegd en nog verschillende andere verbeteringen en toevoegingen. Gebruikers krijgen dan ook het advies om te upgraden naar PuTTY 0.68. bron: security.nl

Microsoft heeft een update voor de in Windows aanwezige Malicious Software Removal Tool (MSRT) uitgebracht waardoor het laatste lid van een beruchte malwarefamilie wordt gedetecteerd. Al een aantal maanden is Microsoft bezig om ongewenste software en malware die via softwarenbundels wordt verspreid aan te pakken. Het gaat onder andere om toolbars, browserkapers en programma's die de instellingen van anti-virussoftware aanpassen. Het laatste lid van deze verzameling malware-exemplaren wordt Chuckenit genoemd. Sinds mei vorig jaar heeft Microsoft deze malware op meer dan 418.000 computers wereldwijd aangetroffen. De meeste infecties bevonden zich echter in Brazilië, India en Rusland. Het voornaamste doel van Chuckenit is om de selectievakjes bij het installeren van software te verwijderen, waardoor gebruikers hun controle over het installatieproces verliezen, aldus Microsoft. Daarnaast kan de malware ook andere applicaties of malware installeren. "Chuckenit is onderdeel van een infectieketen die uit malware en softwarebundels bestaat die stilletjes andere applicaties installeren. Je hebt beveiligingsoplossingen nodig die alle onderdelen van dergelijke infecties detecteren en verwijderen", laat Microsoft weten. Om Windows-gebruikers tegen deze malwarefamilie te beschermen is de MSRT nu bijgewerkt. De verwijdertool wordt elke maand bij het installeren van de maandelijkse updates automatisch op Windows-computers uitgevoerd en zal eventueel aangetroffen malware ook automatisch verwijderen. bron: security.nl

De bekende beveiligingsonderzoeker Claudio Guarnieri heeft een gratis tool gelanceerd waarmee gebruikers Windows extra kunnen beveiligen. Hardentools, zoals de software heet, schakelt verschillende features van Windows en consumentenapplicaties uit waar aanvallers gebruik van kunnen maken. Volgens Guarrnieri gaat het voornamelijk om features voor bedrijven waar eindgebruikers niets aan hebben, maar die wel een beveiligingsrisico vormen en vaak door aanvallers worden gebruikt om computers met malware te infecteren. Zo zal Hardentools Windows Script Host, Autorun en AutoPlay en het uitvoeren van PowerShell via Windows Explorer uitschakelen. In het geval van Microsoft Office worden het uitvoeren van macro's en OLE-objecten in documenten uitgeschakeld, alsmede ActiveX-controls voor Office-applicaties. Daarnaast wordt in Adobe Reader JavaScript en embedded objecten in pdf-documenten uitgeschakeld. De onderzoeker waarschuwt dat het hier om experimentele software gaat die alleen voor eindgebruikers is bedoeld en geheel op eigen risico moet worden uitgevoerd. Daarnaast kan de tool kleine invloed op de bruikbaarheid hebben, maar zal het de beveiliging ten goede komen. In de toekomst wil Guarnieri gebruikers laten kiezen welke features ze willen uitschakelen. Hij werkt als technoloog bij Amnesty International en als onderzoeker bij het Canadese Citizen Lab. Daarnaast is Guarnieri de oprichter van Security Without Borders en de ontwikkelaar van de Cuckoo Sandbox en de online analysetool Malwr. bron: security.nl

Beveiligingsbedrijf Rapid7 heeft de populaire hackertool Metasploit van een uitbreiding voorzien, zodat die ook kan worden gebruikt om gebruikers van Microsoft Office en OpenOffice via kwaadaardige macro's aan te vallen. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door Rapid7 en is zeer geliefd bij penetratietesters en securityprofessionals. De afgelopen jaren hebben cybercriminelen aangetoond dat het toevoegen van een kwaadaardige macro aan een Office-bestand een populaire en succesvolle manier is om systemen binnen te dringen. Standaard staan macro's in Microsoft Office uitgeschakeld, maar via social engineering slagen aanvallers er vaak in om gebruikers zover te krijgen dat ze die inschakelen. "Een standaard aanval bestaat uit het toevoegen van kwaadaardige code aan een Office-document, het versturen ervan naar het slachtoffer en hem netjes te vragen om die code in te schakelen. Het treurigste gedeelte is niet hoe zielig deze aanval is, aangezien je het slachtoffer smeekt om je malware uit te voeren, maar dat mensen al decennia voor deze truc vallen", schrijft Metasploit-ontwikkelaar 'sinn3r'. Rapid7 heeft daarnaast ook een macro-aanval voor OpenOffice ontwikkeld. In tegenstelling tot Microsoft Office wil OpenOffice geen documenten met macro's openen. Het slachtoffer moet doen ook eerst het beveiligingsniveau op medium of laag zetten voordat de aanval kan worden uitgevoerd. Bij beide aanvallen wordt er toegang tot het systeem verkregen. De OpenOffice-macro is getest op Windows met PowerShell-ondersteuning, Ubuntu Linux en macOS. bron: security.nl

Onderzoekers hebben nieuwe malware ontwikkeld die via het lampje van de harde schijf met relatief hoge snelheid data kan stelen, zoals wachtwoorden en encryptiesleutels. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling en mobiele telefoons om de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. Onderzoekers van het Cyber Security Research Center aan de Israëlische Ben-Gurion Universiteit hebben nu een nieuwe methode gevonden, namelijk het lampje van de harde schijf. Via malware is het mogelijk om dit lampje 5800 keer per seconden te laten knipperen, zonder dat dit voor het menselijke oog zichtbaar is. Gevoelige gegevens kunnen vervolgens door de malware worden gecodeerd en gelekt via de led-signalen. De onderzoekers noemen hun aanval dan ook LED-it-GO, wat staat voor Leaking (a lot of) Data. Om het geknipper van het lampje op te vangen maken de onderzoekers gebruik van een drone, zoals in onderstaand filmpje zichtbaar is, maar ook een verborgen camera of camera die door een insider wordt achtergelaten zou volstaan. Via de techniek zou het mogelijk zijn om 4000 bits per seconde te versturen. "Dit is tien keer sneller dan de bestaande optische methodes om data van offline computers te stelen. Met deze snelheid is het mogelijk om encryptiesleutels, opgeslagen toetsen en tekst- en binaire bestanden snel te stelen", aldus de onderzoekers in hun rapport (pdf). Om dergelijke aanvallen te voorkomen stellen ze verschillende maatregelen voor, zoals het verbieden van camera's, het afdekking van het harde schijflampje, het harde schijflampje uitschakelen, de ramen bedekken, software installeren om led-activiteit te monitoren en het gebruik van "signal jamming" software. bron: security.nl

Een kwaadaardige Chrome-extensie die in de officiële Chrome Web Store werd aangeboden en gebruikers aan allerlei scams en fraude blootstelde is zeer lastig te verwijderen. De extensie werd verspreid via kwaadaardige advertenties die op hun beurt weer een website openden. Op deze website draaide JavaScript die een dialoogvenster toonde dat de gebruiker een extensie moest installeren om het venster te kunnen sluiten. Als de gebruiker het venster via de muis probeerde te sluiten verscheen er weer een nieuw dialoogvenster, waardoor de browser in een continue loop bleef zitten. In het geval de gebruiker besloot de extensie te installeren gebeurden er verschillende dingen. Zo werden op basis van verschillende sleutelwoorden in de url van te bezoeken websites besloten om de website te blokkeren en gebruikers naar een andere pagina door te sturen. In het geval de gebruiker de website van een beveiligingsbedrijf probeerde te bezoeken werd hij naar een YouTube-video, potentieel ongewenste software en andere scams doorgestuurd. Ook werd er bij sommige sleutelwoorden een website geladen die de gebruiker liet geloven dat er problemen met de computer waren en hij de "Microsoft-helpdesk" moest bellen. In werkelijkheid ging het om telefonische oplichters. Nu kunnen gebruikers op verschillende manieren extensies uit Chrome verwijderen. Zo is er het extensie-menu dat een overzicht van alle geïnstalleerde extensies toont. Een andere optie is om de browser via het instellingen-menu in oorspronkelijke staat te herstellen. De kwaadaardige extensie zorgde er echter voor dat als het extensie- of instellingen-menu werd geopend meteen het apps-menu werd geladen. Op deze manier was het lastig voor gebruikers om te zien welke extensies er geïnstalleerd waren, laat staan die te verwijderen, zo stelt anti-malwarebedrijf Malwarebytes. Google heeft de extensie na te zijn ingelicht uit de Chrome Web Store verwijderd. bron: security.nl

Een beveiligingsonderzoeker heeft een manier gevonden om Firefox-gebruikers aan de hand van door de browser gecachte certificaten te identificeren. Het gaat om zogeheten intermediate certificaten. Firefox beschikt standaard over verschillende rootcertificaten van certificaatautoriteiten. Ssl-certificaten die door deze certificaatautoriteiten worden uitgegeven, worden automatisch door de browser vertrouwd. Het is voor deze certificaatautoriteiten echter ook mogelijk om onder het eigen rootcertificaat een intermediate certificaat uit te geven, bijvoorbeeld aan een partner of ander bedrijfsonderdeel. Zodoende worden onder het intermediate certificaat uitgegeven ssl-certificaten ook door de browser vertrouwd. In het geval een Firefox-gebruiker een website met een intermediate certificaat bezoekt wordt zowel informatie over het ssl-certificaat van de website als de intermediate certificaatautoriteit verstuurd. Firefox bewaart vervolgens de informatie over de intermediate certificaatautoriteit in de eigen cache. In het geval de webserver verkeerd is geconfigureerd en alleen informatie over het ssl-certificaat verstuurt, maar informatie over de intermediate certificaatautoriteit achterwege laat, zal de website niet door Firefox worden geladen, tenzij de intermediate certificaatautoriteit zich al in de cache van de browser bevindt. Op deze manier is het vervolgens mogelijk om te kijken welke intermediate certificaatautoriteiten een Firefox-gebruiker in zijn of haar cache heeft staan. Onderzoeker Alexander Klink rapporteerde het probleem bij Mozilla, maar de opensource-ontwikkelaar zou huiverig zijn om het probleem te verhelpen zonder te weten wat hiervan de impact zal zijn. Klink stelt dat aanvallers van de bug gebruik kunnen maken om te bepalen of de browser in een sandbox draait om vervolgens te besluiten eventuele malware niet te versturen. Het probleem doet zich niet voor bij Chrome en Internet Explorer. Firefox-gebruikers die zich hier tegen willen wapenen krijgen het advies om regelmatig hun profiel op te schonen. Klink heeft een website online gezet die de aanval demonstreert. bron: security.nl

Microsoft heeft een week nadat Adobe updates voor ernstige lekken in Flash Player uitbracht dezelfde kwetsbaarheden eindelijk ook in Edge en Internet Explorer 11 op Windows 8.1 en Windows 10 gepatcht. Via de beveiligingslekken kon een aanvaller in het ergste geval systemen volledig overnemen. Normaliter brengen Adobe en Microsoft de Flash Player-updates rond hetzelfde moment uit. Dit moet het aantal kwetsbare gebruikers verkleinen. In het verleden is het geregeld voorgekomen dat aanvallers de Flash Player-updates analyseerden om zo de gepatchte kwetsbaarheden te vinden. Die werden vervolgens gebruikt voor het aanvallen van gebruikers die de update nog niet hadden geïnstalleerd. Microsoft besloot de patchdinsdag van 14 februari op het allerlaatste moment te annuleren en naar 14 maart te verzetten. Aangezien IE11 op Windows 8.1 en Windows 10 en Microsoft Edge over een embedded Flash Player beschikken liepen deze gebruikers nu risico om te worden aangevallen, aangezien Adobe de Flash Player-updates vorige week dinsdag wel had uitgerold. Gisterenavond heeft Microsoft alsnog voor deze systemen de Flash Player-updates uitgerold. Op de meeste systemen zullen die automatisch worden geïnstalleerd. bron: security.nl

Windows 10 krijgt naast de Creators Update ook nog een tweede grote update dit jaar, zo heeft Microsoft laten weten. Tijdens Microsoft Ignite Australia 2017 gaf de softwaregigant een presentatie waar een tijdslijn werd getoond waarop staat vermeld dat er een twee grote update aankomt. De sheet werd door engineer Rafael Rivera naar buiten gebracht. Verdere details zoals de inhoud van de update en de verschijningsdatum staan niet vermeld. De website Thurott.com zegt gehoord te hebben dat de update in oktober of november zal uitkomen en mogelijk bepaalde features zal bevatten die niet op tijd voor de Creators Update klaar waren, zoals de People Bar. De Creators Update komt naar verwachting in april uit. bron: security.nl

De Autoriteit Persoonsgegevens doet samen met privacytoezichthouders uit andere Europese landen onderzoek naar de verwerking van persoonsgegevens via Windows 10 door Microsoft. De toezichthouders zijn bezorgd, ook na de door Microsoft aangekondigde wijzigingen in Windows 10, dat Microsoft fundamentele privacyregels niet naleeft. De privacytoezichthouders hebben de softwaregigant een brief gestuurd waarin ze aangeven dat zij de recente aankondiging van Microsoft waarderen om mensen meer controle te geven over wat Microsoft met hun gegevens mag doen. De toezichthouders gaven echter ook aan dat zij nog steeds zorgen hebben over de hoeveelheid en soorten gegevens die Microsoft via Windows 10 verzamelt en verder verwerkt. Ook hebben zij zorgen over de standaardinstellingen en het gebrek aan controle van mensen over wat er bij Microsoft met hun gegevens gebeurt. De toezichthouders hebben Microsoft laten weten dat mensen alleen rechtsgeldige toestemming voor de verwerking van hun persoonsgegevens kunnen geven als zij volledig zijn geïnformeerd, precies weten waar ze toestemming voor geven en de toestemming vrij hebben kunnen geven. Ook is Microsoft vertelt dat het alleen persoonsgegevens mag verzamelen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. De gegevens mogen ook niet verder worden verwerkt op een manier die onverenigbaar is met deze doelen. Microsoft verwerkt onder meer gegevens met het doel persoonlijke advertenties aan te bieden. Volgens de Autoriteit Persoonsgegevens moet Microsoft duidelijk uitleggen welke soorten persoonsgegevens het bedrijf voor welke doelen verwerkt, omdat er zonder deze informatie geen sprake kan zijn van rechtsgeldige toestemming. bron: security.nl

Onderzoekers hebben tijdens de recente RSA Conferentie in San Francisco aangetoond hoe de bios/uefi van een Windows 10-computer met ransomware geïnfecteerd kan worden, ondanks allerlei beveiligingsmaatregelen van het besturingssysteem. De infectie begon met een Word-document dat van een kwaadaardige macro was voorzien. De macro downloadde een bios-updater van de moederfabrikant. Volgens het Duitse Heise moet de installatie van deze tool wel door de gebruiker worden bevestigd, wat enige social engineering zou vereisen. Vervolgens konden de onderzoekers aangepaste firmware uploaden die het systeem, zodra ingeschakeld, meteen voor losgeld vergrendelt of het systeem kan wissen en permanent beschadigen. De moederbordfabrikant, in dit geval Gigabyte, zou het de aanvallers daarbij makkelijk maken door de integriteit van de firmware-update niet te controleren. De machine in kwestie draaide Windows 10 met de allerlaatste patches en had beveiligingsopties zoals Device Guard, Secure Boot en Virtual Secure Mode ingeschakeld. Volgens de onderzoekers kan de aanval worden voorkomen als moederbordfabrikanten de digitale handtekening van firmware-updates controleren of de bios tijdens het opstarten door een tweede bios laten controleren. In het geval er inconsistenties worden aangetroffen zal de eerste bios met de inhoud van de tweede bios worden overschreven. Bios staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Moderne computers beschikken over een unified extensible firmware interface (uefi) dat de opvolger van het bios is. bron: security.nl

De Europese privacytoezichthouders verenigd in de Artikel 29-werkgroep blijven zich zorgen maken over de privacyinstellingen van Windows 10. Onder druk van onder andere de Zwitserse privacytoezichthouder FDPIC besloot Microsoft Windows 10 van nieuwe privacyinstellingen te voorzien. Zo krijgen gebruikers meer informatie over de gegevens die worden verwerkt en moeten gebruikers al tijdens het installatieproces bepalen en toestemming verlenen voor het verwerken en versturen van gegevens. De aanpassingen zullen dit jaar tijdens twee updates voor Windows 10 worden doorgevoerd. De aangekondigde aanpassingen waren reden voor FDPIC om Microsoft niet voor de rechter te slepen. De Artikel 29-werkgroep had Microsoft ook om uitleg over het verwerken van persoonsgegevens voor verschillende doeleinden gevraagd, waaronder adverteren. "Los van de onderzoeken op nationaal niveau, en zelfs met de voorgestelde aanpassingen aan Windows 10 in acht nemend, blijft de werkgroep zich zorgen maken over het niveau waarop de persoonlijke gegevens van gebruikers worden beschermd", aldus de groep in een verklaring waar Reuters over bericht. Volgens de werkgroep is ondanks het nieuwe installatiescherm voor Windows 10 onduidelijk wanneer gebruikers over het verzamelen van de specifieke data worden ingelicht. bron: security.nl