Captain Kirk

De populaire torrentsite The Pirate Bay heeft geen zicht op besmette advertenties die kwaadwillenden op de website plaatsen, zo heeft een van de beheerders laten weten. Daardoor loopt de website risico om op de recidivistenlijst van Google te belanden. Vorige week kondigde Google aan dat het internetgebruikers langer gaat waarschuwen voor websites die herhaaldelijk kwaadaardige content tonen. De afgelopen maanden verschenen er geregeld besmette advertenties op The Pirate Bay waar Google vervolgens voor waarschuwde. Bezoekers kregen bij het bezoeken van de website een grote waarschuwing te zien dat het onveilig was om door te gaan. Zodra de besmette advertenties waren verwijderd verdwenen ook de waarschuwingen. Google wil bij websites die herhaaldelijk kwaadaardige content tonen nu langer deze waarschuwing tonen, namelijk voor een periode van 30 dagen. Iets wat een probleem voor The Pirate Bay kan zijn. "Er zijn niet veel advertentiebedrijven die met torrentsites willen werken", zegt een van de beheerders tegenover TorrentFreak. "De partijen waar wij toegang toe hebben maken zich niet veel zorgen om wat voor advertenties ze tonen en laten ons ook niet van tevoren zien wat hun klanten opsturen voordat het wordt getoond." Volgens de beheerder zullen de advertentiebedrijven en netwerken er echter zelf ook last van hebben als The Pirate Bay op de recidivistenlijst van Google belandt. "Misschien zullen de advertentiebedrijven die een neiging hebben om kwaadaardige advertenties te tonen hun klanten beter gaan screenen", aldus de beheerder. bron: security.nl

De gratis Enhanced Mitigation Experience Toolkit (EMET) van Microsoft die bescherming tegen zero day-aanvallen en drive by-downloads moet bieden blijkt Windowscomputers ook tegen Word-documenten met kwaadaardige macro's te kunnen beschermen. EMET voegt een extra beveiligingslaag aan applicaties en het besturingssysteem toe, wat het lastiger voor aanvallers moet maken om kwetsbaarheden uit te buiten. EMET kan echter ook aanvallen stoppen die via kwaadaardige macro's worden uitgevoerd, zo meldt Didier Stevens, handler bij het Internet Storm Center (ISC). Stevens opende een bestand met een kwaadaardige macro's. Standaard staan macro's in Word-documenten uitgeschakeld. Als Stevens in dit geval de macro's inschakelde werd er malware op het systeem geïnstalleerd. De macro injecteert hiervoor shellcode in het proces van Microsoft Word. Het injecteren van code op deze manier activeert de Export address table Access Filtering (EAF) van EMET en zorgt ervoor dat het Word-proces wordt afgesloten. Microsoft kondigde vorige week nog aan dat het halverwege 2018 gaat stoppen met de ondersteuning van EMET. Volgens de softwaregigant is de gratis beveiligingstool geen integraal onderdeel van het besturingssysteem, kan het worden omzeild en beschikt Windows 10 inmiddels over betere beschermingsmaatregelen. bron: security.nl

XS4ALL is de eerste landelijke internetprovider die DNSSEC heeft geactiveerd, om zo om klanten beter tegen frauduleuze websites te beschermen. Dat heeft het bedrijf vandaag bekendgemaakt. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. "Het probleem is dat DNS “goedgelovig” is. Malafide hackers weten het DNS dikwijls om de tuin te leiden en een andere naam aan een IP-adres te koppelen. Argeloze internetters worden dan omgeleid naar een namaakwebsite, alwaar ze door de hackers te grazen worden genomen", aldus XS4ALL. Als oplossing is DNSSEC ontwikkeld. Dit is een extensie van DNS die moet voorkomen dat internetgebruikers naar malafide websites worden doorgestuurd. Een bekende DNS-aanval is 'DNS cache poisoning'. Hierbij wordt geprobeerd de cache van de DNS-aanbieder te vervuilen, zodat die een ander ip-adres aan gebruikers teruggeeft, die dan bijvoorbeeld worden doorgestuurd naar een website van de aanvaller. Om dit soort aanvallen tegen te gaan moet de authenticiteit van een DNS-respons worden gecontroleerd. DNSSEC lost dit probleem op door DNS-responses via digitale handtekeningen en 'public key cryptography' te authenticeren."Met DNSSEC weet u zeker dat de website die u bezoekt ook daadwerkelijk de website is die u wilt bezoeken", stelt XS4ALL. Volgens de provider is het probleem hier niet mee opgelost. Niet alle websites zijn namelijk opgenomen in de DNSSEC-lijst. Zelfs websites die eigenlijk heel veilig zouden moeten zijn, zoals die van banken, doen lang niet altijd mee "Dat komt doordat het soms veel moeite en geld kost om een domein helemaal compatible te maken met DNSSEC. En omdat DNSSEC pas werkt als zowel de website als de internetprovider het ondersteunt, ontstaat er een kip-en-ei-probleem. Websitebeheerders wachten tot internetproviders DNSSEC ondersteunen, terwijl internetproviders juist wachten tot meer websites het gebruiken. Tja, dan kun je dus lang wachten", laat XS4ALL weten. De provider heeft er daarom voor gekozen met DNSSEC te beginnen. 45% van de Nederlandse websites heeft al DNSSEC en is door XS4ALL-klanten per direct veilig te bezoeken. Van de overige 55% zegt de provider de veiligheid helaas nog niet te kunnen garanderen. "Al zullen we het juiste ip-adres van belangrijke of populaire sites handmatig toevoegen aan onze lijst met veilige domeinen. We hopen overigens dat er snel meer websites en internetproviders zullen volgen." bron: security.nl

Dat is fijn om te horen! Succes met het printen. Als je hier verder geen vragen meer over hebt, laat het even weten. Dan zetten we het topic als gesloten.

Bester Strupie, Soms lukt het door de software van de printer te laten draaien in een compabiliteitsmodus. Hier kun je lezen hoe je dit kunt doen. Hoop voor je dat dit je probleem op lost.

Aangezien er geen reactie meer is gekomen, ga ik er van uit dat je vraag voldoende beantwoord is en sluit ik het topic. Wil je toch nog hier even op door gaan, stuur mij dan even een pm om het topic weer te openen.

Er is een nieuwe versie van OpenSSL 1.1.0 uitgekomen die drie kwetsbaarheden verhelpt waardoor een aanvaller in het ergste geval OpenSSL kan laten crashen. Het gaat om https-servers die de CHACHA20-POLY1305-encryptie-algoritmes voor versleutelde verbindingen gebruiken. Een aanvaller kan deze servers aanvallen en een heap-buffer-overflow veroorzaken, waardoor OpenSSL kan crashen. Dit kan weer gevolgen hebben voor bijvoorbeeld de applicatie of website die er gebruik van maakt. Het probleem speelt alleen in OpenSSL 1.1.0. OpenSSL-versies voor 1.1.0 zijn niet kwetsbaar. Het beveiligingslek is als "high" bestempeld. In deze gevallen komt het OpenSSL Project Team altijd met een nieuwe versie. De overige twee kwetsbaarheden hebben het stempel "moderate" en "low" gekregen. Beheerders die OpenSSL 1.1.0 op hun servers draaien krijgen het advies naar OpenSSL 1.1.0c te upgraden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. bron: security.nl

Google heeft weer een nieuwe versie van Chrome 54 uitgegeven waarin vier beveiligingslekken zijn gepatcht. Drie van de kwetsbaarheden werden door externe onderzoekers gerapporteerd en lieten een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Een aanvaller kan in dit geval data van andere websites lezen of aanpassen. Verder bleek dat Chrome-extensies informatie konden lekken. In totaal betaalde Google de drie onderzoekers die de problemen rapporteerden 11.500 dollar. Updaten naar Chrome 54.0.2840.99 voor Windows en Chrome 54.0.2840.98 voor Mac zal op de meeste systemen automatisch gebeuren. Google stelt dat de Linux-versie aanvullende aanpassingen bevat en daardoor een dag later zal verschijnen. bron: security.nl

Onderzoekers hebben een nieuw soort dos-aanval onthuld waarmee firewalls en routers kunnen worden aangevallen. De aanval heeft de naam BlackNurse gekregen en is een ICMP-aanval. Het Internet Control Message Protocol (ICMP) is een protocol voor het versturen van berichten tussen ip-systemen. Netwerkapparaten zoals routers gebruiken het om aan te geven dat een dienst, host of router niet bereikbaar is. ICMP wordt al geruime tijd gebruikt voor het uitvoeren van dos-aanvallen. Deze aanvallen zijn gebaseerd op ICMP Type 8 Code 0 en staan ook bekend als ping flood-aanvallen. BlackNurse is echter gebaseerd op ICMP met Type 3 Code 3-pakketten. "We weten dat als een gebruiker ICMP Type 3 Code 3 naar externe interfaces toestaat, de BlackNurse-aanval zelfs met weinig bandbreedte zeer effectief wordt", aldus de onderzoekers die de aanval onthulden. Het zou in dit geval al voldoende zijn om aanvalsverkeer van 15 tot 18 Mbit/s te versturen. Eén enkele laptop zou in dit geval al voldoende zijn voor het uitvoeren van de aanval. Het maakt daarbij niet uit of de aangevallen partij over meer bandbreedte beschikt. De aanval zal in de meeste gevallen de processor zo zwaar belasten, waardoor gebruikers aan de lan-kant van de firewall geen verkeer meer van en naar het internet kunnen versturen en ontvangen. "De BlackNurse-aanval heeft onze aandacht gekregen, want met onze anti-ddos-oplossing zagen we dat hoewel het verkeer erg weinig was, de aanval er toch voor kon zorgen dat klanten niets meer konden. Dit was ook van toepassing op klanten met grote internet-uplinks en grote zakelijke firewalls", aldus het beveiligingsteam van de Deense telecomprovider TDC in een rapport over BlackNurse (pdf). Het beveiligingsteam adviseert om ICMP Type 3-berichten aan de wan-interface van Cisco ASA-firewalls niet te accepteren. Netwerkbeveiligingsbedrijf Netresec maakte deze analyse van de aanval. bron: security.nl

Google heeft een nieuwe website gelanceerd waarmee internetgebruikers eenvoudig kwaadaardige websites kunnen aangeven. Het gaat om een nieuwe website van Safe Browsing, de technologie die volgens Google meer dan 2 miljard op internet aangesloten apparaten tegen aanvallen beschermt. Het gaat dan onder andere om dreigingen zoals malware en phishing. De eerste versie van Safe Browsing werd in 2007 gelanceerd. Naast Google Chrome maken ook Mozilla Firefox en Apple Safari gebruik van de technologie. Als gebruikers bijvoorbeeld een bekende phishingsite of website met malware bezoeken, krijgen ze dankzij Safe Browsing een waarschuwing dat het niet veilig is om door te gaan. Safe Browsing is naast browsers ook voor andere partijen en ontwikkelaars toegankelijk. De nieuwe Safe Browsing-website maakt het makkelijker voor gebruikers om kwaadaardige websites te melden, biedt toegang tot informatie voor ontwikkelaars en beleidsdocumenten. Ook fungeert de nieuwe website als een centrale hub voor verschillende andere tools van Google, zoals het Transparantierapport, Search Console en Safe Browsing Alerts voor netwerkbeheerders. bron: security.nl

Al jaren maakt Microsoft gebruik van Security Bulletins om informatie over beveiligingsupdates te verspreiden, maar vanaf februari volgend jaar gaat de softwaregigant hiermee stoppen. Volgens Microsoft hebben gebruikers om een andere manier gevraagd om de informatie te benaderen. Ook wilden gebruikers dat informatie uit Security Bulletins eenvoudiger kan worden weergegeven. Hierop heeft Microsoft de Security Updates Guide ontwikkeld. Een nieuw portaal dat gebruikers informatie over beveiligingslekken en -updates laat filteren, bijvoorbeeld op cve-nummer, productnaam, datum en Knowledge Base-nummer. Ook is het mogelijk om producten uit het overzicht te verwijderen. Verder biedt Microsoft een programmeerinterface (api) om de beschikbare informatie te gebruiken. Dit moet volgens de softwaregigant een stuk eenvoudiger werken dan het "scrapen" van de website met Security Bulletins. Informatie over beveiligingsupdates zal tot en met januari 2017 als Security Bulletin worden weergeven. Na de patchronde van januari volgend jaar zal informatie over beveiligingsupdates alleen nog in de Security Updates Guide te vinden zijn. bron: security.nl

Microsoft heeft een kwaadaardig programma dat de browsers van internetgebruikers kaapt en over rootkit-eigenschappen beschikt van 1,2 miljoen Windowscomputers verwijderd. Het gaat om de Soctuseer-software die zich via softwarebundels weet te verspreiden. Eenmaal actief laat de browserkaper advertenties zien op basis van het zoekgedrag van de gebruiker. Als de gebruiker op bijvoorbeeld "laptop" zoekt zal Soctuseer op andere websites pop-up-advertenties voor laptops laten zien. Hiervoor maakt de browserkaper van verschillende technieken gebruik, zoals het installeren van een NetFilter-driver en het injecteren van een dll-bestand in het browserproces. Sommige versies van Soctuseer beschikken over rootkit-eigenschappen, aldus Microsoft. Iets wat vrij bijzonder voor browserkapers is. Deze versies installeren een driver die toegang tot de bestanden van de browserkaper beperkt. Daardoor zijn de bestanden van Soctuseer voor veel programma's onzichtbaar. Sinds september ontdekte Microsoft 1,2 miljoen computers die met Soctuseer besmet waren. Het grootste deel bevindt zich in de Verenigde Staten, Indonesië en India. Om deze computers op te schonen heeft Microsoft tijdens de maandelijkse patchcyclus van november de in Windows ingebouwde Malicious Software Removal Tool (MSRT) van een update voorzien. De MSRT kan veelvoorkomende malware-families detecteren en verwijderen. Tijdens het installeren van de beveiligingsupdates voor Windows wordt er ook een automatische scan met de MSRT uitgevoerd en zal de tool eventueel aanwezige malware die het kan detecteren verwijderen. bron: security.nl

Microsoft zal volgende maand een overzichtspagina lanceren waar gebruikers eenvoudig alle informatie over Windows 10-updates moeten kunnen vinden. Op dit moment is er al op support.microsoft.com een pagina met de geschiedenis van Windows 10-updates. Naast de inhoud van de Windows 10-updates bevat de pagina ook links naar Microsoft Knowledge Base (KB) artikelen. Volgens Microsoft kreeg het van gebruikers het verzoek om alle informatie over Windows 10-updates, zoals de release notes met alle verbeteringen en fixes, alsmede de inhoud van de KB-artikelen, op één overzichtspagina te consolideren. Zodoende kunnen gebruikers alles over Windows 10-updates op één plek vinden. De nieuwe overzichtspagina voor Windows 10- en Windows Server 2016-updates zal tijdens de patchcyclus van december online komen. bron: security.nl

Google gaat langer waarschuwen voor websites die opzettelijk bezoekers met malware proberen te infecteren, zo heeft de internetgigant bekendgemaakt. Al sinds 2005 laat Google via Safe Browsing waarschuwingen zien als internetgebruikers een website met kwaadaardige content bezoeken. Het kan dan gaan om gehackte websites waar internetcriminelen kwaadaardige code op hebben geplaatst. Webmasters van deze websites kunnen Google vragen om de website opnieuw te beoordelen als de kwaadaardige code is verwijderd. Google zal de waarschuwing dan intrekken. Er zijn echter kwaadaardige websites die internetgebruikers opzettelijk proberen te infecteren. Ook voor deze websites waarschuwt Google gebruikers. Het komt echter regelmatig voor dat de webmasters van deze kwaadaardige websites de infectie verwijderen om weer door Google te worden goedgekeurd, waarna ze kwaadaardige code weer terugzetten. Google bestempelt deze websites als "recidivisten" en gaat harder tegen dit soort websites optreden. In het geval Google een website als recidivist bestempelt zal de internetgigant 30 dagen lang voor de website waarschuwen. In de tussentijd is het niet mogelijk voor de webmaster om de website opnieuw door Google te laten controleren. Google zal in dit geval de webmaster wel waarschuwen. De internetgigant merkt op dat het nieuwe beleid niet voor gehackte websites zal gelden. bron: security.nl

Tijdens de patchdinsdag van november heeft Microsoft 13 beveiligingsupdates voor de eigen software uitgebracht die meer dan 60 kwetsbaarheden verhelpen, waaronder vier zero day-lekken waarvan er twee de afgelopen tijd actief werden aangevallen. De twee aangevallen zero day-lekken bevinden zich in verschillende onderdelen van Windows. Het gaat onder andere om een kwetsbaarheid die Google ontdekte en aan Microsoft rapporteerde. Aangezien Microsoft niet binnen de deadline van Google met een beveiligingsupdate kwam besloot Google het beveiligingslek openbaar te maken, tot onvrede van Microsoft. Het door Google ontdekte lek betreft een kwetsbaarheid waardoor een aanvaller die al toegang tot het systeem heeft, bijvoorbeeld via malware, zijn rechten op het systeem kan verhogen. Google bestempelde de kwetsbaarheid als ernstig, maar Microsoft schaalt de impact lager in en heeft het lek als belangrijk beoordeeld. De kwetsbaarheid alleen is namelijk niet voldoende om een Windowscomputer over te nemen. Dat geldt wel voor de tweede zero day-kwetsbaarheid die al werd aangevallen voordat een update beschikbaar was. Het gaat om een een beveiligingslek in Open Type Font waardoor een aanvaller via speciaal geprepareerde fonts op afstand Windowscomputers kon overnemen. Het bezoeken van een kwaadaardige website of het openen van een kwaadaardig document was in dit geval voldoende. De overige twee zero day-lekken bevonden zich in Microsoft Edge en Internet Explorer. Deze lekken waren al voor het verschijnen van de update openbaar gemaakt, maar zijn volgens Microsoft in de tijd tussen het openbaar worden en verschijnen van de update niet aangevallen. Via de kwetsbaarheden kon een aanvaller informatie over het aangevallen systeem achterhalen en was het mogelijk om spoofing-aanvallen op gebruikers uit te voeren. Naast verschillende updates voor Windows, IE en Edge verschenen er ook patches voor Microsoft Office en Microsoft SQL Server. Verder heeft Microsoft ook een update voor de in Edge en IE11 ingebouwde Flash Player uitgebracht. Op de meeste systemen zullen de beveiligingsupdates automatisch worden geïnstalleerd. bron: security.nl

Tijdens de geplande patchcyclus van november heeft Adobe beveiligingsupdates voor Flash Player uitgebracht die in totaal negen ernstige kwetsbaarheden verhelpen. Het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van een besmette advertentie of het openen van een Office-document met een embedded Flash-object was in dit geval voldoende. Volgens Adobe zijn er geen berichten dat de kwetsbaarheden voor het verschijnen van de updates zijn aangevallen. Alle beveiligingslekken werden via Trend Micro's Zero Day Initiative aan het softwarebedrijf gerapporteerd. Adobe adviseert gebruikers om binnen 72 uur naar Flash Player versie 23.0.0.207 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. De vorige Flash Player-update verscheen op 26 oktober. Toen ging het om één kwetsbaarheid die in beperkte, gerichte aanvallen tegen gebruikers op Windows 7, Windows 8.1 en Windows 10 was ingezet voordat de update beschikbaar was. bron: security.nl

Google heeft de maandelijkse updates voor Android uitgebracht die in totaal 83 beveiligingslekken verhelpen, waaronder het Dirty COW-lek en de Drammer-geheugenaanval die onderzoekers van de Vrije Universiteit in Amsterdam onlangs demonstreerden. 23 van de 83 kwetsbaarheden die deze maand zijn verholpen zijn als ernstig aangemerkt. Via ernstige beveiligingslekken kan een aanvaller in het ergste geval het toestel op afstand overnemen. Dit zou op verschillende manieren kunnen, waaronder het openen van een e-mail, het bezoeken van websites of het verwerken van mediabestanden die via mms worden verstuurd. De ernstige kwetsbaarheden bevinden zich in verschillende onderdelen, waaronder Mediaserver, libzipfile en verschillende kerneldrivers en drivers van chipfabrikanten Nvdia en Qualcomm. Google heeft de beveiligingsupdates deze maand in drie niveaus onderverdeeld, namelijk 2016-11-01, 2016-11-05 en 2016-11-06. De eerste twee patchniveaus heeft Google onder Nexus- en Pixel-apparaten uitgerold. Het derde patchniveau, 2016-11-06, heeft Google nog niet voor de eigen apparaten beschikbaar gemaakt. Deze patch verhelpt de Dirty COW-kwetsbaarheid waarmee Androidtoestellen zijn te rooten. BlackBerry heeft dit beveiligingslek wel in de eigen op Android-gebaseerde smartphones verholpen. bron: security.nl

Anti-virusbedrijf AVG zal eind 2017 een nieuwe router-besturingssysteem lanceren genaamd Chime. Eind vorig jaar besloot de virusbestrijder al een crowfundingcampagne voor een eigen Chime-router te starten. Het doel was om 650.000 dollar op te halen, maar de teller stopte net onder de 45.000 dollar. In mei van dit jaar kwam AVG met een nieuwe visie voor Chime. Dit keer als besturingssysteem dat fabrikanten en gebruikers op hun eigen routers kunnen installeren. Chime moet voorkomen dat aangesloten apparaten, zoals camera's, babymonitoren en digitale videorecorders, besmet raken. Het systeem zal hiervoor de verbindingen van de apparaten monitoren en alarm slaan als er met een bekende kwaadaardige server verbinding wordt gemaakt. Daarnaast zal het aanvullende functies zoals een vpn-verbinding bieden. AVG is ook van plan om Chime het thuisnetwerk op bekende kwetsbaarheden te laten scannen. Zo kan de software gebruikers waarschuwen als bijvoorbeeld hun digitale videorecorder bijvoorbeeld risico loopt. Op dit moment heeft fabrikant Amped Wireless Chime op de nieuwste router geïnstalleerd die eind augustus verscheen en wordt geprobeerd ook andere fabrikanten over de streep te trekken. Gebruikers kunnen routers waarop Chime draait met een smartphone-app bedienen. "Chime is een platform voor routerfabrikanten. We willen niet dat consumenten aparte beveiligingsapparaten moeten kopen", zegt Shaul Levi van AVG tegenover Vice Magazine. Levi hoopt dat consumenten Chime straks automatisch zullen krijgen als ze een nieuwe router kopen of een bestaande upgraden. Eind 2017 is het plan dat er een versie van Chime beschikbaar komt die gebruikers zelf op hun router kunnen installeren. bron: security.nl

Eigenaren van verschillende D-Link-routers zijn gewaarschuwd voor een ernstig beveiligingslek waardoor een aanvaller op afstand met rootrechten willekeurige code kan uitvoeren, zoals het installeren van malware. Een beveiligingsupdate om het probleem te verhelpen is nog niet voorhanden. Volgens het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit gaat het om een buffer-overflow bij het verwerken van speciaal geprepareerde soap-berichten tijdens het inloggen op de router. Een aanvaller kan hier op afstand en zonder geldige inloggegevens misbruik van maken. De kwetsbaarheid is aanwezig in D-Link DIR-routers met modelnummer: 818L(W), 822, 823, 868L, 880L, 885L, 890L en 895L. D-Link zou op 12 september over het probleem zijn ingelicht. Aangezien er nog geen beveiligingsupdate van de fabrikant beschikbaar is krijgen routerbeheerders het advies om alleen verbindingen van betrouwbare systemen en netwerken tot de router toe te staan. Daarnaast kan het beheer op afstand van de router worden uitgeschakeld. bron: security.nl

Een populaire ransomware-variant die eerst vooral tegen particulieren werd ingezet richt zich nu ook op bedrijven. Het gaat om de Cerber-ransomware waarvan de nieuwste versie databases kan versleutelen, zo meldt beveiligingsbedrijf McAfee. "Aanvallers beseffen dat consumenten misschien 300 tot 500 dollar voor hun bestanden betalen, maar bedrijven veel meer over hebben", zegt onderzoeker Matthew Rosenquist. De nu ontdekte Cerber-variant kent drie belangrijke veranderingen, aldus McAfee. Zo verandert de ransomware de extensie van versleutelde bestanden naar vier willekeurige cijfers. Voorheen werden versleutelde bestanden van de extensie .cerber3 voorzien. De aanpassing zorgt ervoor dat het scannen naar versleutelde bestanden veel lastiger is geworden. Daarnaast zijn de betaalinstructies verbeterd en zien er volgens Rosenquist veel professioneler uit. "Dit kan slachtoffers meer vertrouwen geven dat ze met professionals te maken hebben en ze de sleutel voor het ontsleutelen van hun bestanden krijgen als ze betalen." De belangrijkste aanpassing is echter dat de ransomware nu databaseprocessen probeert te stoppen zodat het de databases kan versleutelen. Rosenquist stelt dat dit een grote verandering is, aangezien databases voor veel organisaties belangrijke gegevens bevatten. Als de databasebestanden zijn geopend en in gebruik zijn zijn ze lastig te versleutelen. Cerber probeert daarom de databasesoftware te sluiten zodat het toch kan toeslaan. De Cerber-ransomware verspreidt zich onder andere via e-mailbijlagen, bijvoorbeeld als Word-document met kwaadaardige macro's. bron: security.nl

Mozilla heeft de Firefox-uitbreiding Web of Trust (WOT) van addons.mozilla.org verwijderd, de officiële downloadlocatie voor alle Firefox-uitbreidingen. Web of Trust is een extensie die gebruikers waarschuwt of een website veilig is of niet. Onlangs kwam de Duitse televisie met de onthulling dat Web of Trust geanonimiseerde surfgegevens aan derde partijen doorverkoopt. Deze gegevens zijn echter eenvoudig naar de originele gebruiker te herleiden en kunnen e-mailadressen, gebruikersnamen of andere identificerende onderdelen van url's bevatten. Het probleem is met de Firefox-versie van Web of Trust vastgesteld, maar de uitbreiding is ook voor andere browsers beschikbaar. Uit cijfers van Mozilla blijkt dat meer dan 870.000 Firefoxgebruikers de uitbreiding hebben geïnstalleerd. Inmiddels is die niet meer via addons.mozilla.org te downloaden. Op de eigen website claimt Web of Trust dat het meer dan 140 miljoen downloads heeft. Mozilla kan schadelijke uitbreidingen bij Firefoxgebruikers op afstand blokkeren, maar Web of Trust is vooralsnog niet op de blocklist van Firefox te vinden. Web of Trust maakt op de eigen website op geen enkele manier melding van het voorval. Wel is er een reactie op het forum geplaatst, waar veel gebruikers verbolgen over de onthulling zijn. In de reactie stelt het MyWOT Team dat het de privacy van gebruikers zeer serieus neemt en gaat onderzoeken of de informatie niet goed beschermd en geanonimiseerd is. Waar nodig zal de ontwikkelaar naar eigen zeggen verbeteringen doorvoeren. bron: security.nl

De FBI heeft een waarschuwing verspreid waarin het waarschuwt voor ddos-aanvallen door Internet of Things-apparaten en de onveiligheid van deze machines. Aanleiding voor de waarschuwing zijn de ddos-aanvallen op dns-provider Dyn, waardoor een aantal populaire websites slecht of niet bereikbaar waren. De Mirai-malware zat achter de ddos-aanval op Dyn, maar volgens de FBI hebben onderzoekers de afgelopen maanden tientallen nieuwe malware-varianten ontdekt die Linux-systemen infecteren. "De opkomst van malware die het op Linux-apparaten heeft voorzien komt waarschijnlijk door het grote aantal mobiele en Internet of Things-apparaten die alleen op Linux draaien", zo stelt de opsporingsdienst (pdf). De meeste Linux-malware scant naar andere Internet of Things-apparaten en probeert vervolgens via Telnet verbinding te maken. Om toegang te krijgen worden standaard wachtwoorden geprobeerd die de gebruiker niet heeft gewijzigd. In de waarschuwing geeft de FBI adviezen om Internet of Things-apparaten te beveiligen en ddos-aanvallen te voorkomen. Zo wordt aangeraden standaard wachtwoorden te wijzigen, nieuwe firmware-updates voor de apparaten meteen te installeren en Universal Plug en Play (UPnP) op de gateway-router uit te schakelen. "Het uitschakelen van UPnP vergroot de veiligheid van het netwerk, maar kan bij sommige applicaties voor problemen zorgen. Er wordt aangeraden UPnP alleen in te schakelen wanneer nodig", aldus de FBI in de waarschuwing waar Public Intelligence over bericht. Verder wordt geadviseerd bepaalde poorten te filteren en remote management van de router via internet uit te schakelen. bron: security.nl

Onderzoekers hebben meer dan 180 websites ontdekt waarvan de advertentieservers zijn gehackt en worden gebruikt om ransomware te verspreiden. De aanvallen zijn onderdeel van een campagne die in september zou zijn uitgeschakeld, maar nog altijd actief blijkt, zo meldt anti-virusbedrijf Trend Micro. Internetcriminelen weten de Revive- en OpenX-advertentieservers te hacken die websites gebruiken voor het tonen van advertenties aan hun bezoekers. Vervolgens worden via de gehackte advertentiesservers besmette advertenties verspreid. Bij de nu waargenomen aangevallen proberen deze advertenties de Locky-ransomware op de computers van bezoekers te installeren. De aanvallen werken alleen als internetgebruikers hun Internet Explorer en Adobe Flash Player langere tijd niet hebben bijgewerkt. Zo maken de advertenties gebruik van een beveiligingslek in Internet Explorer dat Microsoft in mei van dit jaar patchte. Daarnaast worden er twee Flash Player-lekken aangevallen waarvoor sinds juli 2015 en mei 2016 updates beschikbaar zijn. In het geval de aanval succesvol is zal de Locky-ransomware allerlei bestanden op het systeem voor losgeld versleutelen. Internetgebruikers krijgen dan ook het advies om hun software up-to-date te houden en back-ups te maken. bron: security.nl

Microsoft heeft een nieuwe technologie voor het uitrollen van updates onthuld die ervoor moet zorgen dat de omvang van Windows-updates wordt verkleind. Het Unified Update Platform (UUP) moet differentiële updates voor alle apparaten mogelijk maken, zowel mobiel als computers. Een differentiële update bevat alleen de aanpassingen aan het systeem sinds de laatste keer dat er updates zijn geïnstalleerd, in plaats van het downloaden van een volledig nieuwe versie. Volgens Microsoft zal het Unified Update Platform ervoor zorgen dat de omvang van downloads met 35% zal verminderen als het om grote Windows-updates gaat. UUP zorgt er ook voor dat er sneller op updates wordt gecontroleerd. Als het systeem via het platform op de beschikbaarheid van updates controleert zal de Windows Update-service bepalen welke updates het systeem nodig heeft. De Windows Update-service laat het systeem deze updates vervolgens downloaden en installeren. Omdat de Window Update-service het grootste deel van het proces voor de rekening neemt zal dit volgens Microsoft voor snellere updatecontroles zorgen. UUP is nu beschikbaar in de testversie van Windows 10 en zal volgend jaar ook in de uiteindelijke versie van het besturingssysteem verschijnen. bron: security.nl

Een beveiligingslek bij hostingprovider Wix.com zorgt ervoor dat miljoenen websites risico lopen, zo waarschuwen onderzoekers van beveiligingsbedrijf Contrast Security. Via Wix kunnen mensen eenvoudig een eigen website maken. De hostingprovider zou zo'n 86 miljoen geregistreerde gebruikers hebben.Wix.com bevat echter een kwetsbaarheid waardoor een aanvaller gehoste websites kan overnemen door de sessie van ingelogde Wix-gebruikers te stelen. Door het toevoegen van een enkele parameter aan een Wix-site kan de aanvaller ervoor zorgen dat zijn kwaadaardige JavaScript wordt geladen als onderdeel van de website. De kwetsbaarheid maakt het ook mogelijk om een worm te maken die zich via het lek kan verspreiden en de inloggegevens van Wix-sites kan stelen. Een aanvaller zou hiervoor een eigen Wix-website kunnen registreren met kwaadaardige code die misbruik van de kwetsbaarheid maakt. Vervolgens moet de aanvaller de beheerder van een willekeurige Wix-site naar zijn eigen kwaadaardige Wix-site zien te lokken. Als deze beheerder op het moment dat hij de kwaadaardige Wix-site bezoekt op zijn eigen Wix-site is ingelogd, zal de kwaadaardige code ook aan zijn website worden toegevoegd. Alle ingelogde beheerders van Wix-sites die vervolgens deze website bezoeken kunnen ook weer besmet raken en de kwaadaardige code op hun eigen website krijgen. De gehackte websites kunnen verder voor het verspreiden van malware, advertentiefraude en phishing worden gebruikt. Op 11 oktober werd Wix over het probleem ingelicht, maar een update en verdere communicatie over het probleem bleven uit. Daarom hebben de onderzoekers nu hun bevindingen online gezet. bron: security.nl