Captain Kirk

Over twee maanden stopt Microsoft de ondersteuning van Windows Visa en de softwaregigant is begonnen om gebruikers van het 10 jaar oude besturingssysteem te waarschuwen. Vista-gebruikers die Security Essentials hebben geinstalleerd krijgen een waarschuwing dat hun systeem onbeveiligd is. Daarbij wordt er tot verbazing van gebruikers naar een pagina over het einde van de support van Windows XP gewezen. Dat neemt niet weg dat op dinsdag 11 april 2017 de laatste beveiligingsupdates voor Vista verschijnen, dat op 30 januari 2007 uitkwam. Het besturingssysteem was de opvolger van Windows XP, maar werd nooit een succes. Veel gebruikers ergerden zich aan de User Account Control (Gebruikersaccountbeheer) feature van Vista, die waarschuwde als er aanpassingen aan het systeem werden doorgevoerd. De feature overweldigde gebruikers met allerlei meldingen. Vista slaagde er dan ook niet in een groot marktaandeel te veroveren, zoals Windows XP en Windows 7 wel deden. Volgens onderzoeksbureau StatCounter heeft Vista wereldwijd nog een marktaandeel van 1,2 procent. In Nederland zou nog zo'n 1,7 procent van alle desktops en laptops op de 10 jaar oude Windows-versie draaien. Marktvorser Net Applications houdt het op een wereldwijd marktaandeel van 0,8 procent. Met naar schatting meer dan 1 miljard Windows-computers gaat het nog steeds om miljoenen computers die straks geen updates meer zullen ontvangen. Vista-gebruikers kunnen ervoor kiezen om naar Windows 7 te upgraden of naar Windows 8.1 of Windows 10 te migreren, zegt Andre Da Costa, Microsoft Most Valuable Professional (MVP). Hij merkt op dat in het geval van een directe migratie naar Windows 8.1 en 10 er een schone installatie is vereist. In het geval gebruikers geen nieuwe Windows-versie willen installeren krijgen ze het advies om naar Firefox over te stappen, UAC op het hoogste niveau te zetten, een standaardaccount te gebruiken, oude en niet meer ondersteunde applicaties te verwijderen, goede beveiligingssoftware te installeren en de computer zo min mogelijk voor internet te gebruiken. bron: security.nl

Microsoft heeft een nieuwe testversie van Windows 10 gelanceerd die computers automatisch kan vergrendelen als de gebruiker niet meer in de buurt is. Hiervoor kijkt Dynamic Lock, zoals de functie heet, naar de aanwezigheid van een via bluetooth gepairde smartphone. Als Windows ziet dat de telefoon niet meer in de buurt is wordt het scherm uitgeschakeld en zal de computer na 30 seconden worden vergrendeld. De optie staat standaard uitgeschakeld. Dynamic Lock is nu te testen in de Windows 10 Insider Preview Build 15031. Wanneer de optie in de standaardversie van Windows 10 verschijnt heeft Microsoft nog niet laten weten. bron: security.nl

Google, Mozilla, Cloudflare alsmede onderzoekers van twee universiteiten hebben kritiek geuit op het onderscheppen van https-verkeer door anti-virussoftware. Volgens de onderzoekers en bedrijven heeft dit namelijk vergaande gevolgen voor de veiligheid van gebruikers en hun internetverbinding. Https-verkeer is standaard niet toegankelijk voor beveiligingssoftware. Door bijvoorbeeld een eigen rootcertificaat op computers te installeren kunnen de beveiligingspakketten de inhoud van dit verkeer toch analyseren. Een werkwijze die anti-virusproducenten volgens de onderzoekers steeds vaker toepassen. De manier waarop anti-virusbedrijven het https-verkeer onderscheppen gaat echter ten koste van de beveiliging ervan. Daarnaast introduceren de virusscanners allerlei kwetsbaarheden, aldus het onderzoek. Voor het onderzoek keken de onderzoekers naar bijna 8 miljard beveiligde verbindingen naar de updateservers van Firefox, verschillende populaire webwinkels en het contentdistributienetwerk van Cloudflare. 4 procent van de verbindingen naar de Firefox-servers werd onderschept. Bij de webwinkels was dit 6,2 procent. Het aantal onderschepte Cloudflare-verbindingen kwam op 10,9 procent uit. Vervolgens analyseerden de onderzoekers de veiligheid van de beveiligde verbindingen. In 97 procent van de Firefox-verbindingen ging de veiligheid door het onderscheppen achteruit. Bij de webwinkels was dit 32 procent en in het geval van Cloudflare bleek dat 54 procent van de verbindingen minder veilig was geworden. Niet alleen zorgen de virusscanners ervoor dat er zwakke cryptografische algoritmes worden gebruikt, ze ondersteunen ook bekende kwetsbare algoritmes waardoor een aanvaller tussen gebruikers en het internet versleuteld verkeer kan ontsleutelen. Groot probleem "Hoewel de securitygemeenschap al lang weet dat beveiligingsproducten verbindingen onderscheppen, hebben we het probleem grotendeels genegeerd, omdat we dachten dat het alleen een klein deel van de verbindingen betrof. We hebben echter ontdekt dat het onderscheppen op grote schaal plaatsvindt met zorgwekkende gevolgen. We hopen door deze bevindingen openbaar te maken dat fabrikanten hun securityprofielen verbeteren en de securitygemeenschap alternatieven voor het onderscheppen van https gaat bespreken", zo laten de onderzoekers in hun conclusie weten. Ze vinden in ieder geval dat anti-virusbedrijven het onderscheppen van https-verkeer moeten heroverwegen. Virusscanners draaien namelijk al lokaal op een computer en hebben zodoende al toegang tot het lokale bestandssysteem, geheugen van de browser en alle content die via https wordt geladen. "Gegeven hun geschiedenis van verkeerde tls-configuraties en beveiligingslekken die aanvallers op afstand code laten uitvoeren, adviseren we anti-virusbedrijven ten zeerste om te heroverwegen of het onderscheppen van https verantwoordelijk is", zo stellen de onderzoekers bron: security.nl

Het Britse anti-virusbedrijf Sophos heeft voor een bedrag van 100 miljoen dollar securitybedrijf Invincea overgenomen. Invincea levert endpointbeveiliging, zoals een browser die in een sandbox draait en gebruikers tegen malware moet beschermen. Ook biedt het technologie om bekende en onbekende malware zonder signatures te blokkeren. Met de overname wil Sophos haar positie op de Amerikaanse markt versterken. Daarnaast zal Sophos de technologie van Invincea aan de eigen producten gaan toevoegen. Een aantal jaren geleden werd de populaire Windows-beveiligingstool Sandboxie nog door Invincea overgenomen. Of de overname gevolgen voor Sandboxie zal hebben is nog niet bekendgemaakt bron: security.nl

Onderzoekers hebben nieuwe malware voor Windows ontdekt die ook in staat is om Linux-apparaten te infecteren. De Mirai Trojan, zoals de malware door het Russische anti-virusbedrijf Doctor Web wordt genoemd, gebruikt verschillende protocollen om machines aan te vallen. Het gaat onder andere om ssh, telnet, rpc en rdp. Via verschillende combinaties van gebruikersnamen en wachtwoorden probeert de malware in te loggen. In het geval de aanval succesvol is downloadt Mirai een lijst met ip-adressen die de besmette machine vervolgens weer zal scannen en aanvallen. Alleen als er via het remote desktop protocol (rdp) op een computer is ingelogd wordt dit bestand niet gedownload. Wanneer er via telnet met een Linux-machine verbinding wordt gemaakt, zal de malware de Linux-versie van Mirai op het apparaat downloaden. Daarnaast kan de malware ook via IPC (inter-process communications) opdrachten naar systemen sturen. Als aangevallen computers Microsoft SQL Server draaien zal de malware een gebruiker met beheerderrechten aanmaken. bron: security.nl

Bijna 3.000 Belgen hebben vorig jaar bij het Belgische ministerie van Economische Zaken melding van spam en phishing gemaakt. Via het online Meldpunt van het ministerie kunnen allerlei vormen van fraude en oplichting worden gerapporteerd. In totaal kwamen er 20.000 meldingen bij het Meldpunt binnen. De meeste meldingen, iets meer dan 4.000, hadden betrekking op fraude bij online aankopen. De tweede categorie met zo'n 3.000 meldingen is "ongewenste e-mails, spam, phishing en spoofing". Belgische internetgebruikers konden ook aangeven of ze slachtoffer van de bekende "Windows scam" waren geworden, maar hoeveel Belgen hier melding van hebben gemaakt wordt niet door Het Nieuwsblad vermeld. Het Meldpunt is sinds vorig jaar februari operationeel. bron: security.nl

Vorig jaar ontdekte een onderzoeker in Zuid-Korea een backdoor en allerlei andere kwetsbaarheden in een router van fabrikant D-Link, maar de update die volgde blijkt een deel van de problemen niet te verhelpen. Zo is de backdoor nog steeds aanwezig, meldt onderzoeker Pierre Kim. Kim analyseerde de firmware-update voor de D-Link DWR-932B-router en ontdekte dat niet alleen de backdoor nog steeds aanwezig is, maar ook de eerder aangetroffen backdoor-accounts, alsmede verschillende andere kwetsbaarheden waardoor het apparaat is aan te vallen. "D-Link had vijf maanden nodig om de beveiligingsupdate te ontwikkelen en nu blijkt dat slechts één kwetsbaarheid is verholpen." De onderzoeker heeft dan ook een advies voor klanten van D-Link en andere beveiligingsonderzoekers. "Gezien de reactie van D-Link en de slechte kwaliteit van de beveiligingsupdates, adviseer ik gebruikers om hun routers te vernielen en raad ik beveiligingsonderzoekers aan om beveiligingsupdates van D-Link eerst te controleren in plaats van blind te vertrouwen." bron: security.nl

De uit 2003 stammende SQL Slammer-worm heeft eind vorig jaar een comeback gemaakt, zo claimt beveiligingsbedrijf Check Point. De Slammerworm, ook bekend als Sapphire, infecteerde Windows 2000 servers die Microsoft SQL Server draaiden of Microsoft SQL Data Engine (MSDE) gebruikten. De worm gebruikte een beveiligingslek in de software om zich van machine naar machine te verspreiden. Daarbij veroorzaakte het veel netwerkverkeer. Het beveiligingslek waar Slammer misbruik van maakte was zes maanden eerder al door Microsoft gepatcht, maar de update was nauwelijks door systeembeheerders geïnstalleerd. Sommige rapporten schatten dat binnen 10 minuten alle kwetsbare machines op het internet door de worm waren geïnfecteerd. De worm besmette echter geen bestanden, waardoor beheerders de malware eenvoudig konden verwijderen door de server te resetten. Volgens Check Point is de worm 13 jaar later nog steeds actief. Tijdens een routineanalyse van verzamelde gegevens zag het beveiligingsbedrijf een toename van het aantal aanvallen tussen 28 november en 4 december, waardoor het één van de meest actieve malware in deze periode was. Het ging om systemen in allerlei landen die doelwit waren. Check Point noemt geen concreet aantal hoe vaak de worm werd waargenomen. Het Internet Storm Center laat echter zien dat er begin december inderdaad een piek was in het aantal hits op udp-poort 1434 waar de Slammerworm gebruik van maakt. bron: security.nl

Een beveiligingslek in Windows SMB waar nog geen update van Microsoft voor beschikbaar is kan een aanvaller kwetsbare computers laten crashen. Ook het uitvoeren van willekeurige code met kernelrechten zou in theorie mogelijk zijn, maar dit is nog niet bewezen. Daarvoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. De kwetsbaarheid in Windows zorgt ervoor dat er verkeer van een kwaadaardige SMB-server niet goed wordt verwerkt. Door verbinding met een kwaadaardige SMB-server te maken kan Windows crashen. Volgens de onderzoekers is het nog onduidelijk of een aanvaller verdere aanvallen kan uitvoeren, maar het CERT/CC stelt dat het uitvoeren van willekeurige code met kernelrechten in theorie mogelijk is. In dit geval zou een aanvaller het Windows-systeem volledig kunnen overnemen. Het CERT/CC heeft bevestigd dat het mogelijk is om computers met Windows 8.1 en Windows 10 via het beveiligingslek te laten crashen. Op dit moment is er volgens de instantie nog geen update of andere praktische oplossing voor het probleem. Als "workaround" wordt aangeraden om uitgaande SMB-verbindingen via tcp-poorten 139 en 445 en udp-poorten 137 en 138 van het lokale netwerk naar het WAN te blokkeren. Microsoft zou woensdag door het CERT/CC over het probleem zijn ingelicht. Het Internet Storm Center laat weten dat een exploit voor de kwetsbaarheid online is verschenen en inderdaad kan worden gebruikt om Windows 10-computers te laten crashen. Begin januari waarschuwde het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) al voor een mogelijk SMB-lek. bron: security.nl

Met de lancering van Firefox 52 zal de browser geen Java, Silverlight en andere NPAPI-plug-ins meer ondersteunen, met uitzondering van Adobe Flash Player. Volgens Mozilla zijn plug-ins die de oude Netscape Plug-in API (NPAPI) gebruiken verantwoordelijk voor prestatieproblemen, crashes en beveiligingsincidenten. Oorspronkelijk wilde Mozilla NPAPI eind 2016 uitfaseren, maar het zal nu begin maart gebeuren als Firefox 52 verschijnt. Dat laat de opensource-ontwikkelaar op de eigen website weten. Omdat Adobe Flash Player op nog zoveel websites wordt gebruikt blijft Mozilla deze plug-in, als uitzondering op de regel, wel ondersteunen. Uiteindelijk zal echter ook de ondersteuning van Flash Player in de browser geheel worden gestaakt. Gebruikers die niet zonder NPAPI-plug-ins kunnen krijgen het advies om op de Firefox Extended Support Release-versie over te stappen. Deze versie blijft voorlopig nog wel de eerder genoemde plug-ins zoals Java en Silverlight ondersteunen. Gebruikers van de normale versie van Firefox 51 kunnen via een kleine aanpassing in twee bestanden ervoor zorgen dat de browser bij de volgende update de Extended Support Release-versie installeert, zoals uitgelegd door Firefox-extensie-ontwikkelaar Mike Kaply. bron: security.nl

Internetcriminelen maken nog steeds gebruik van lnk-bestanden om ransomware te verspreiden, zo waarschuwt Microsoft. Vorig jaar oktober waarschuwde de softwaregigant al voor deze aanvalsmethode, die toen werd gebruikt om de Locky-ransomware op computers te installeren. Nu wordt er via de lnk-bestanden ook andere malware verspreid, zoals de Kovter-ransomware. De aanval begint met een e-mail die zich voordoet als een afleverbericht van de US Postal Service (USPS). Volgens de e-mail kon er een pakketje niet bij de ontvanger van het bericht worden afgeleverd en is er meer informatie in het meegestuurde "document" te vinden. Het gaat hier om een zip-bestand met daarin weer een ander zip-bestand dat uiteindelijk het lnk-bestand bevat. Het lnk-bestand is eigenlijk een PowerShell-script dat malware op de computer downloadt, zoals de Kovter- en Locky-ransomware, die vervolgens bestanden voor losgeld versleutelen. Volgens Microsoft beschikt Windows 10 over een PowerShell-optie genaamd Constrained Mode die het gebruik van bepaalde functionaliteit beperkt, waardoor kwaadaardige PowerShell-scripts bijvoorbeeld geen malware kunnen downloaden en uitvoeren. bron: security.nl

De ontwikkelaars van de populaire hackertool Metasploit hebben een nieuwe feature toegevoegd waardoor ook de veiligheid van Internet of Things-apparaten kan worden getest. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door beveiligingsbedrijf Rapid7 en is zeer geliefd bij penetratietesters en securityprofessionals. Door de snelle groei van het Internet of Things gaat de veiligheid van IoT-apparaten een steeds grotere rol spelen en de nieuwe Metasploit-feature speelt daarop in. Onderzoekers kunnen op deze manier op kwetsbaarheden testen. In eerste instantie zal de "hardwarebrug" zich vooral op voertuigen richten, aangezien die steeds vaker onderdelen bevatten die met internet verbonden zijn. "Elke golf van met internet verbonden apparaten, ongeacht of je het over auto's of koelkasten hebt, vertroebelt de grens tussen hardware en software. Deze hardwarebrug laat je de Matrix verlaten en direct echte fysieke dingen beïnvloeden", zegt Craigh Smith van Rapid7. Het beveiligingsbedrijf stelt dat de nieuwe functie ook als onderzoekstool voor slimme auto's en hardwaregebaseerd netwerkonderzoek kan worden gebruikt. bron: security.nl

Tor-gebruikers doen er verstandig aan om geen DRM-bestanden te openen, aangezien dit kan worden gebruikt om hun ip-adres te achterhalen. Daarvoor waarschuwt Hacker House, een team van hackers dat eerder al een kwetsbaarheid in de Noord-Koreaanse Linuxdistro Red Star ontdekte. Digital Rights Management (DRM) is een licentietechnologie die het illegaal verspreiden van mediabestanden moet tegengaan. De technologie versleutelt de audio- en videostreams met een encryptiesleutel en vraagt bij het openen van het bestand de licentie (decryptiesleutel) aan een netwerkserver. Doordat gebruikers met internet verbonden moeten zijn om de techniek te laten werken, kan die worden gebruikt om de gebruiker zonder dat die het weet een netwerkverzoek te laten versturen. Iets wat een risico voor Tor-gebruikers is, die juist van het Tor-netwerk gebruikmaken om hun ip-adres en privacy te beschermen. De computer zal bij het openen van het DRM-bestand namelijk het echte ip-adres naar de netwerkserver terugsturen, waardoor de Tor-gebruiker kan worden ontmaskerd. Om een dergelijke aanval te laten slagen moet het doelwit wel Tor Browser op Windows gebruiken. "Bij het openen en downloaden van bestanden waarschuwt Tor Browser dat bestanden van derde partijen je ip-adres kunnen blootstellen en via Tails geopend moeten worden", aldus de hackers. Ze benadrukken dat het hier niet gaat om een aanval tegen Tor, maar dat deze methode wel kan worden gebruikt om mensen te identificeren die verboden media proberen te bekijken. Hieronder een demonstratie van de aanval. bron: security.nl

Gmail gaat de ondersteuning van Chrome op Windows XP en Vista stoppen, zo heeft Google bekendgemaakt. De e-maildienst zal namelijk Chrome 53 en ouder niet meer ondersteunen, wat vooral gebruikers van XP en Vista raakt, aangezien die niet naar een nieuwere Chrome-versie kunnen updaten. De laatste versie die voor deze Windows-versies verscheen was Chrome 49. Volgende week begint Google met het tonen van een waarschuwing aan gebruikers van een niet meer ondersteunde Chrome-versie. Gmail blijft tot het einde van dit jaar wel werken op Chrome 53 en ouder. Gebruikers die dan nog steeds niet naar een nieuwere browser zijn overgestapt zullen dan worden doorgestuurd naar de html-versie van Gmail. "Als je oudere versies van Chrome blijft gebruiken nu de ondersteuning is gestopt, zal Gmail kwetsbaarder voor beveiligingsrisico's zijn en hebben gebruikers geen toegang tot nieuwe features en bugfixes", aldus Google. De internetgigant adviseert gebruikers naar een nieuwere Windows-versie over te stappen. Hoewel Microsoft Windows Vista nog tot 11 april 2017 met updates ondersteunt, besloot Google de ondersteuning in het geval van Chrome vorig jaar april al te stoppen. bron: security.nl

De ontwikkelaars van WordPress hebben de onthulling van een ernstig beveiligingslek in het populaire contentmanagementsysteem (cms), waardoor aanvallers zonder gebruikersnaam of wachtwoord de inhoud van miljoenen WordPress-sites konden aanpassen, een week achtergehouden. Vorige week verscheen er een beveiligingsupdate voor WordPress. In eerste instantie werd er gemeld dat de update drie beveiligingsproblemen verhielp. Gisteren maakte het WordPress-team echter bekend dat er nog een vierde kwetsbaarheid is opgelost. Via dit beveiligingslek kon een ongeauthenticeerde aanvaller de inhoud van WordPress-sites aanpassen. Op deze manier zou er bijvoorbeeld kwaadaardige code kunnen worden toegevoegd aan websites "We geloven dat transparantie in het algemeen belang is. Het is onze opvatting dat beveiligingsproblemen altijd moeten worden onthuld. In dit geval hebben we opzettelijk het openbaar maken van dit probleem een week vertraagd, om zo de veiligheid van miljoenen WordPress-sites te garanderen", aldus WordPress-ontwikkelaar Aaron Campbell. Verschillende hostingproviders die WordPress-hosting aanbieden werden direct door WordPress benaderd met informatie over het lek en manieren om gebruikers te beschermen. Volgens de ontwikkelaars zijn er geen aanwijzingen dat aanvallers van de kwetsbaarheid misbruik hebben gemaakt. WordPress wordt door zo'n kwart van alle websites op internet gebruikt. bron: security.nl

Google heeft een nieuwe optie toegevoegd aan G Suite, voorheen bekend als Google Apps, zodat beheerders kunnen verplichten dat gebruikers alleen via een usb-sleutel en hun wachtwoord kunnen inloggen. Dit moet gebruikers tegen phishingaanvallen beschermen, aldus de internetgigant. "Ondanks allerlei ontwikkelingen op het gebied van internetveiligheid, blijft phishing, één van de oudste en eenvoudigste online aanvallen, een grote uitdaging voor de beveiligingsgemeenschap", zegt Christiaan Brand van Google. Een usb-sleutel fungeert als een tweede beveiligingsfactor tijdens het inloggen. Nadat het wachtwoord is opgegeven wordt de aanwezigheid van de usb-sleutel gecontroleerd. Het usb-apparaat controleert daarnaast dat er ook echt op het domein van Google wordt ingelogd. Zelfs als een aanvaller het wachtwoord van een gebruiker in handen heeft kan hij niet op het account inloggen, aangezien hij niet beschikt over de fysieke usb-sleutel die aan het account is gekoppeld. Google ondersteunt het gebruik van usb-sleutels al sinds eind 2014, maar nu kunnen G Suite-beheerders het ook voor hun gebruikers verplicht stellen. Vorige week introduceerde Facebook inloggen via een usb-sleutel. Ook Dropbox, Windows 10 en GitHub ondersteunen inmiddels deze inlogmethode. bron: security.nl

Er is een nieuwe versie van de populaire securitytool Tcpdump verschenen waarin een groot aantal ernstige lekken is gepatcht die op afstand konden worden aangevallen. Tcpdump is een programma om netwerkverkeer mee te sniffen en is een geliefde tool van beveiligingsonderzoekers voor netwerkanalyse. Het programma staat al jaren in de Top 10 van securitytools van SecTools.org. In de nieuwste versie zijn in totaal 41 kwetsbaarheden verholpen waarvan een groot deel op afstand door een aanvaller kon worden uitgebuit. In bijna alle gevallen veroorzaken de beveiligingslekken een bufferoverflow, waardoor een aanvaller in het ergste geval willekeurige code op het systeem kan uitvoeren. Ook het veroorzaken van een denial of service behoort tot de mogelijkheden. Gebruikers krijgen dan ook het advies om te updaten naar Tcpdump 4.9.0-1. bron: security.nl

Beste Manulotje, Wat vervelend. Je zou het eens met het recoverprogramma Recuvia kunnen proberen. Je kunt hiervoor gewoon de gratis versie gebruiken.

Beste Robbymontana, Ik ben geen kenner maar heb je al eens gekeken hoeveel andere routers er in de buurt staan en op welk kanaal deze allemaal uitzenden. Vaak kan het veranderen van het kanaal al heel veel schelen. Alsook de plaats van de router kan heel veel invloed hebben op de verbinding. Een derde optie is je router om te zetten van 2.4g naar het 5g netwerk. Vaak kan interventie van andere routers namelijk een probleem als die van jou veroorzaken.

Cybercriminelen hebben een nieuwe methode gevonden om een beveiligingsfunctie van Windows 7 te omzeilen en zo beheerdersrechten te krijgen. Het gaat om Gebruikersaccountbeheer, ook bekend als User Account Control (UAC). UAC werd met Windows Vista geïntroduceerd en toont gebruikers een pop-up als er iets in het systeem wordt aangepast. Een nieuwe versie van de Dridex Trojan is de methode te slim af. De malware, die speciaal ontwikkeld is om geld van bankrekeningen te stelen, wordt meestal verspreid via Word-documenten met een kwaadaardige macro. Als de gebruiker de macro inschakelt wordt de malware op het systeem gedownload. Om UAC te omzeilen en zichzelf met beheerdersrechten te laden hebben de Dridex-ontwikkelaars een nieuwe methode gevonden. Windows 7 laat een aantal applicaties aanpassingen doorvoeren zonder daarbij het UAC-scherm te tonen. Het gaat onder andere om Windows Schijfherstel. De malware kopieert deze applicatie naar een nieuwe map en start die vervolgens om de malware, die zich in dezelfde map als dll-bestand bevindt, met beheerdersrechten uit te voeren. Vervolgens worden er firewall-aanpassingen doorgevoerd en maakt Dridex verbinding met de botnetserver, zo meldt beveiligingsbedrijf Flashpoint. Onderzoekers hebben vorig jaar meerdere keren aangetoond dat UAC te omzeilen is. bron: security.nl

Cisco heeft opnieuw een beveiligingsupdate voor een ernstig beveiligingslek in de WebEx-extensie uitgebracht, nadat de eerste update niet adequaat bleek te zijn. Google-onderzoeker Tavis Ormandy ontdekte verschillende problemen in de extensie, waarmee gebruikers aan video- en webconferenties kunnen deelnemen, waardoor een aanvaller in het ergste geval systemen volledig kon overnemen. Alleen het bezoeken van een kwaadaardige website was hiervoor voldoende. Vanwege het beveiligingslek besloten zowel Google als Mozilla de extensie tijdelijk te blokkeren. Begin deze week kwam Cisco met een update voor het probleem. De update kan echter worden omzeild, waardoor gebruikers nog steeds risico lopen, aldus Ormandy die Cisco opnieuw waarschuwde. Cisco heeft nu een nieuwe versie van de WebEx-extensie voor Chrome uitgebracht die het probleem verhelpt. Iets wat ook Ormandy heeft bevestigd. Voor Firefox en Internet Explorer wordt er nog aan een nieuwe versie gewerkt. Er is geen 'workaround' beschikbaar. Gebruikers van Firefox en IE kunnen er dan ook voor kiezen om de extensie tijdelijk uit te schakelen of te verwijderen totdat de nieuwe versie voor deze browsers beschikbaar is. Cisco stelt dat Windows 10-gebruikers ook voor Edge kunnen kiezen om WebEx-sessies bij te wonen, aangezien de extensie van deze browser niet kwetsbaar is. De WebEx-extensie is op tientallen miljoenen computers geïnstalleerd. bron: security.nl

Microsoft waarschuwt internetgebruikers voor phishingaanvallen die via pdf-bijlagen worden uitgevoerd en proberen om inloggegevens te ontfutselen. De aanvallers versturen e-mails met als bijlage een pdf-bestand. Zodra dit document wordt geopend verschijnt er een melding dat de gebruiker op een link moet klikken om de inhoud te kunnen zien. De link wijst naar een phishingsite waar gebruikers de inloggegevens van hun e-mailaccount moeten invoeren. De aanval kent verschillende varianten. Zo is er ook een versie waarbij er in het pdf-document wordt gesteld dat de gebruiker een beveiligd document via Dropbox heeft ontvangen. Door op een link te klikken kan het bestand worden bekeken. De link wijst wederom naar een phishingpagina waar gebruikers via hun Google-, Outlook-, AOL-, Yahoo- en Office 365-account kunnen inloggen. In werkelijkheid worden ingevoerde inloggegevens naar de aanvallers gestuurd. Microsoft adviseert internetgebruikers dan ook om geen links of bijlagen in verdachte e-mails te openen. "Zelfs als de e-mails afkomstig zijn van iemand die je kent of als je de e-mail niet verwacht", zeg Microsofts Alden Pornasdoro. Hij stelt dat cybercriminelen hun socialengineeringtechnieken steeds verder verbeteren. "Een beetje paranoia kan dan ook geen kwaad", aldus Pornasdoro. bron: security.nl

Om de accounts van gebruikers beter tegen aanvallers te beschermen ondersteunt Facebook nu ook inloggen via een fysieke usb-sleutel. De 'usb security key' fungeert als een tweede beveiligingsfactor tijdens het inloggen. Nadat het wachtwoord is opgegeven wordt de aanwezigheid van de Universal 2nd Factor (U2F) security key gecontroleerd. Het usb-apparaat controleert daarnaast dat er ook echt op Facebook wordt ingelogd, wat phishing moet voorkomen. Op dit moment werken de usb-sleutels alleen met Chrome en Opera en op Android-toestellen met nfc-ondersteuning. Gebruikers moeten daarnaast hun usb-sleutel eerst bij Facebook registreren. Volgens Facebook helpen usb-sleutels bij het verder beveiligen van accounts. Ook Dropbox, Google, Windows 10 en GitHub ondersteunen inloggen via een fysieke beveiligingssleutel. Yubico, fabrikant van de YubiKey, heeft Facebook bij de implementatie van de beveiligingsmaatregel geholpen. In de aankondiging stelt het bedrijf dat dankzij een usb-sleutel gebruikers geen sms hoeven te gebruiken, wat de veiligheid van alle mobiele apparaten vergroot. "De ondersteuning van U2F in Facebook is een belangrijke mijlpaal om het internet voor iedereen veiliger te maken", aldus Stina Ehrensvard van Yubico. bron: security.nl

Het OpenSSL Team heeft vandaag beveiligingsupdates uitgebracht voor drie kwetsbaarheden waardoor een aanvaller in het ergste geval servers kan laten crashen die van OpenSSL gebruik maken. Om de aanval succesvol uit te voeren moet wel aan een aantal voorwaarden zijn voldaan. Zo moet de server een 32-bit besturingssysteem draaien en moet er een specifiek encryptiealgoritme worden gebruikt Chacha20/Poly1305 of RC4-MD5. Door het versturen van een speciaal geprepareerd pakketje kan de server vervolgens crashen. Het probleem is aanwezig in OpenSSL 1.1.0 en 1.0.2. Daarnaast is een andere kwetsbaarheid in alleen OpenSSL 1.1.0 gepatcht. Via dit lek kon een aanvaller browsers die met een kwaadaardige server verbinding maken laten crashen. Als laatste is er nog een probleem in zowel versie 1.1.0 als 1.0.2 gevonden dat een aanvaller in theorie kon helpen bij het aanvallen van een versleutelde verbinding, maar volgens het OpenSSL Team is dit zeer lastig. De impact is dan ook als "low" bestempeld. Beheerders krijgen het advies om naar OpenSSL 1.1.0d of 1.0.2k te upgraden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. bron: security.nl

Het vergrendelscherm van Windows 10 geeft toegang tot informatie die de gebruiker eerder heeft gekopieerd. Dat ontdekte beveiligingsexpert Oddvar Moe. Informatie die gebruikers hebben gekopieerd kan vervolgens vanaf het vergrendelscherm in het veld van het wifi-wachtwoord worden geplakt. "Dit kan handig zijn voor een aanvaller die social engineering-aanvallen uitvoert. De aanvaller kan tijdens lunchtijd naar een computer gaan en de inhoud van het klembord bekijken. Het is geen ernstig probleem, maar Microsoft zou het eenvoudig moeten kunnen verhelpen", aldus Moe. Hij waarschuwde Microsoft, maar de softwaregigant beschouwt het niet als een kwetsbaarheid, aangezien een aanvaller fysieke toegang tot de computer nodig heeft om de aanval uit te voeren. Moe is het daarmee eens, maar hij laat op Reddit weten dat gebruikers het vergrendelscherm moeten kunnen vertrouwen. bron: security.nl