Captain Kirk

Met de aankomende Creators Update voor Windows 10 die deze lente moet verschijnen zal Microsoft Edge standaard Flash-content gaan blokkeren om zo gebruikers tegen aanvallen te beschermen. Op websites die html5 ondersteunen zal Flash Player niet meer geladen worden. Is de website nog wel van Flash afhankelijk, dan krijgen gebruikers een melding of ze Adobe Flash-content willen uitvoeren of niet. In de nieuwste testversie van Windows 10 heeft Microsoft een nieuw venster in Edge geïmplementeerd dat gebruikers duidelijker moet laten weten dat de browser Flash-content heeft geblokkeerd en die via een enkele muisklik kan worden ingeschakeld. Gebruikers kunnen er vervolgens voor kiezen om Flash eenmalig of permanent op geselecteerde websites toe te staan. bron: security.nl

Mozilla heeft vandaag voor alle Firefox-gebruikers de ondersteuning van het sha-1-algoritme uitgeschakeld. Gisteren maakten onderzoekers van het Centrum Wiskunde & Informatica (CWI) in Amsterdam en Google bekend dat ze een succesvolle aanval op het sha-1-algoritme hadden uitgevoerd. Het algoritme speelt een belangrijke rol speelt bij internetbankieren, het signeren van documenten en allerlei andere zaken. Sha-1 lag echter al langer onder vuur en de grote browserontwikkelaars waren dan ook al begonnen om het algoritme uit te faseren. Mozilla had sinds eind vorig jaar het sha-1 voor een steeds grotere groep Firefox-gebruikers uitgeschakeld en heeft het algoritme vandaag voor alle gebruikers uitgezet. In Firefox 52 die begin maart uitkomt zal sha-1 standaard niet meer worden ondersteund. Volgens Mozilla raakt deze maatregel gebruikers die nog steeds websites bezoeken die van een sha-1-certificaat gebruikmaken. Het zou echter om minder dan 0,1 procent van het webverkeer gaan. Mozilla roept gebruikers dan ook op de meest recente versie van de browser te installeren mocht dat nog niet gedaan zijn. bron: security.nl

Door een geheugenlek bij internetdienst Cloudflare zijn de wachtwoorden, encryptiesleutels, cookies en andere gevoelige gegevens van een onbekend aantal websites gelekt die van de Cloudflare SSL Proxy gebruikmaakten. Het beveiligingsprobleem, dat inmiddels "Cloudbleed" wordt genoemd, werd door onderzoeker Tavis Ormandy van Google ontdekt. Tijdens een ander onderzoek ontdekte Ormandy dat de servers van Cloudlare geheugen lekten. "Net zoals Heartbleed, maar Cloudflare-specifiek en veel erger", aldus Ormandy. Bij het inspecteren van het gelekte geheugen ontdekte hij encryptiesleutels, priveberichten, hotelboekingen, wachtwoorden, delen van POST-data en zelfs https-verzoeken van andere grote bij Cloudflare gehoste websites die van andere gebruikers afkomstig waren, alsmede ip-adressen van gebruikers van deze websites. "Zelfs onversleutelde api-verzoeken van een populaire wachtwoordmanager die via https waren verstuurd. "Ormandy stopte direct met het verdere onderzoek en waarschuwde Cloudflare. "De situatie was bijzonder, aangezien persoonlijk identificeerbare informatie tijdens het normale gebruik door crawlers en gebruikers werd gedownload. Ze begrepen alleen niet wat ze te zien kregen", aldus de onderzoeker in een rapport over het beveiligingsprobleem. Cloudflare wist het probleem snel te achterhalen en schakelde verschillende features uit die van het kwetsbare onderdeel gebruikmaakten. De internetdienst benadrukt dat de ssl-privé sleutels van klanten niet zijn gelekt. De periode waarin gegevens kunnen zijn gelekt bevindt zich tussen 22 september 2016 en 18 februari 2017. De meeste gegevens zouden echter vanaf 13 februari zijn gelekt. Het zou gaan om 0,00003 procent van alle http-verzoeken waarbij er geheugen kon lekken. Een bijkomend probleem was dat zoekmachines het gelekte geheugen hadden gecacht. Voor de openbaarmaking van de kwetsbaarheid zijn dan ook alle geïndexeerde gegevens verwijderd. Het ging in totaal om 770 unieke uri's die op 161 unieke domeinen betrekking hadden. Uiteindelijk werd het probleem binnen 7 uur opgelost, waarbij de eerste noodoplossing 47 minuten na de melding van Ormandy was uitgerold. Hoeveel en welke websites door de kwetsbaarheid zijn getroffen laat Cloudflare in een eigen rapport over het incident niet weten. Ormandy meldt echter op Twitter dat het onder andere om https-sessies van gebruikers bij Uber, 1Password, FitBit en OKCupid gaat. bron: security.nl

Na bijna een jaar is er een nieuwe versie van de populaire ssh-client PuTTY verschenen waarin onder andere twee beveiligingslekken zijn verholpen. Het ging om een lek in de Windows-versie waardoor er dll-bestanden vanuit de lokale directory werden geladen waar ook de PuTTY-bestanden zich bevonden. Dit zou een probleem in een ongecontroleerde locatie kunnen zijn, zoals de downloadmap van een browser. Als een aanvaller de gebruiker een kwaadaardig dll-bestand zou kunnen laten downloaden en de gebruiker vervolgens PuTTY direct vanuit de downloadmap uitvoerde, werd ook het kwaadaardige dll-bestand uitgevoerd. Iets wat volgens de ontwikkelaars waarschijnlijker is dan het klinkt, aangezien sommige browsers het ooit hebben toegestaan dat websites zonder te vragen bestanden in de downloadmap konden plaatsen. Daarnaast is er ook nog een integer-overflow opgelost waardoor een aanvaller in bepaalde gevallen bij een doorgestuurde ssh-agent connectie het geheugen kon overschrijven. Verder is er ondersteuning voor elliptische kromme cryptografie voor host-keys, authenticatiesleutels en key-exchange toegevoegd en nog verschillende andere verbeteringen en toevoegingen. Gebruikers krijgen dan ook het advies om te upgraden naar PuTTY 0.68. bron: security.nl

Microsoft heeft een update voor de in Windows aanwezige Malicious Software Removal Tool (MSRT) uitgebracht waardoor het laatste lid van een beruchte malwarefamilie wordt gedetecteerd. Al een aantal maanden is Microsoft bezig om ongewenste software en malware die via softwarenbundels wordt verspreid aan te pakken. Het gaat onder andere om toolbars, browserkapers en programma's die de instellingen van anti-virussoftware aanpassen. Het laatste lid van deze verzameling malware-exemplaren wordt Chuckenit genoemd. Sinds mei vorig jaar heeft Microsoft deze malware op meer dan 418.000 computers wereldwijd aangetroffen. De meeste infecties bevonden zich echter in Brazilië, India en Rusland. Het voornaamste doel van Chuckenit is om de selectievakjes bij het installeren van software te verwijderen, waardoor gebruikers hun controle over het installatieproces verliezen, aldus Microsoft. Daarnaast kan de malware ook andere applicaties of malware installeren. "Chuckenit is onderdeel van een infectieketen die uit malware en softwarebundels bestaat die stilletjes andere applicaties installeren. Je hebt beveiligingsoplossingen nodig die alle onderdelen van dergelijke infecties detecteren en verwijderen", laat Microsoft weten. Om Windows-gebruikers tegen deze malwarefamilie te beschermen is de MSRT nu bijgewerkt. De verwijdertool wordt elke maand bij het installeren van de maandelijkse updates automatisch op Windows-computers uitgevoerd en zal eventueel aangetroffen malware ook automatisch verwijderen. bron: security.nl

De bekende beveiligingsonderzoeker Claudio Guarnieri heeft een gratis tool gelanceerd waarmee gebruikers Windows extra kunnen beveiligen. Hardentools, zoals de software heet, schakelt verschillende features van Windows en consumentenapplicaties uit waar aanvallers gebruik van kunnen maken. Volgens Guarrnieri gaat het voornamelijk om features voor bedrijven waar eindgebruikers niets aan hebben, maar die wel een beveiligingsrisico vormen en vaak door aanvallers worden gebruikt om computers met malware te infecteren. Zo zal Hardentools Windows Script Host, Autorun en AutoPlay en het uitvoeren van PowerShell via Windows Explorer uitschakelen. In het geval van Microsoft Office worden het uitvoeren van macro's en OLE-objecten in documenten uitgeschakeld, alsmede ActiveX-controls voor Office-applicaties. Daarnaast wordt in Adobe Reader JavaScript en embedded objecten in pdf-documenten uitgeschakeld. De onderzoeker waarschuwt dat het hier om experimentele software gaat die alleen voor eindgebruikers is bedoeld en geheel op eigen risico moet worden uitgevoerd. Daarnaast kan de tool kleine invloed op de bruikbaarheid hebben, maar zal het de beveiliging ten goede komen. In de toekomst wil Guarnieri gebruikers laten kiezen welke features ze willen uitschakelen. Hij werkt als technoloog bij Amnesty International en als onderzoeker bij het Canadese Citizen Lab. Daarnaast is Guarnieri de oprichter van Security Without Borders en de ontwikkelaar van de Cuckoo Sandbox en de online analysetool Malwr. bron: security.nl

Beveiligingsbedrijf Rapid7 heeft de populaire hackertool Metasploit van een uitbreiding voorzien, zodat die ook kan worden gebruikt om gebruikers van Microsoft Office en OpenOffice via kwaadaardige macro's aan te vallen. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door Rapid7 en is zeer geliefd bij penetratietesters en securityprofessionals. De afgelopen jaren hebben cybercriminelen aangetoond dat het toevoegen van een kwaadaardige macro aan een Office-bestand een populaire en succesvolle manier is om systemen binnen te dringen. Standaard staan macro's in Microsoft Office uitgeschakeld, maar via social engineering slagen aanvallers er vaak in om gebruikers zover te krijgen dat ze die inschakelen. "Een standaard aanval bestaat uit het toevoegen van kwaadaardige code aan een Office-document, het versturen ervan naar het slachtoffer en hem netjes te vragen om die code in te schakelen. Het treurigste gedeelte is niet hoe zielig deze aanval is, aangezien je het slachtoffer smeekt om je malware uit te voeren, maar dat mensen al decennia voor deze truc vallen", schrijft Metasploit-ontwikkelaar 'sinn3r'. Rapid7 heeft daarnaast ook een macro-aanval voor OpenOffice ontwikkeld. In tegenstelling tot Microsoft Office wil OpenOffice geen documenten met macro's openen. Het slachtoffer moet doen ook eerst het beveiligingsniveau op medium of laag zetten voordat de aanval kan worden uitgevoerd. Bij beide aanvallen wordt er toegang tot het systeem verkregen. De OpenOffice-macro is getest op Windows met PowerShell-ondersteuning, Ubuntu Linux en macOS. bron: security.nl

Onderzoekers hebben nieuwe malware ontwikkeld die via het lampje van de harde schijf met relatief hoge snelheid data kan stelen, zoals wachtwoorden en encryptiesleutels. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling en mobiele telefoons om de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. Onderzoekers van het Cyber Security Research Center aan de Israëlische Ben-Gurion Universiteit hebben nu een nieuwe methode gevonden, namelijk het lampje van de harde schijf. Via malware is het mogelijk om dit lampje 5800 keer per seconden te laten knipperen, zonder dat dit voor het menselijke oog zichtbaar is. Gevoelige gegevens kunnen vervolgens door de malware worden gecodeerd en gelekt via de led-signalen. De onderzoekers noemen hun aanval dan ook LED-it-GO, wat staat voor Leaking (a lot of) Data. Om het geknipper van het lampje op te vangen maken de onderzoekers gebruik van een drone, zoals in onderstaand filmpje zichtbaar is, maar ook een verborgen camera of camera die door een insider wordt achtergelaten zou volstaan. Via de techniek zou het mogelijk zijn om 4000 bits per seconde te versturen. "Dit is tien keer sneller dan de bestaande optische methodes om data van offline computers te stelen. Met deze snelheid is het mogelijk om encryptiesleutels, opgeslagen toetsen en tekst- en binaire bestanden snel te stelen", aldus de onderzoekers in hun rapport (pdf). Om dergelijke aanvallen te voorkomen stellen ze verschillende maatregelen voor, zoals het verbieden van camera's, het afdekking van het harde schijflampje, het harde schijflampje uitschakelen, de ramen bedekken, software installeren om led-activiteit te monitoren en het gebruik van "signal jamming" software. bron: security.nl

Een kwaadaardige Chrome-extensie die in de officiële Chrome Web Store werd aangeboden en gebruikers aan allerlei scams en fraude blootstelde is zeer lastig te verwijderen. De extensie werd verspreid via kwaadaardige advertenties die op hun beurt weer een website openden. Op deze website draaide JavaScript die een dialoogvenster toonde dat de gebruiker een extensie moest installeren om het venster te kunnen sluiten. Als de gebruiker het venster via de muis probeerde te sluiten verscheen er weer een nieuw dialoogvenster, waardoor de browser in een continue loop bleef zitten. In het geval de gebruiker besloot de extensie te installeren gebeurden er verschillende dingen. Zo werden op basis van verschillende sleutelwoorden in de url van te bezoeken websites besloten om de website te blokkeren en gebruikers naar een andere pagina door te sturen. In het geval de gebruiker de website van een beveiligingsbedrijf probeerde te bezoeken werd hij naar een YouTube-video, potentieel ongewenste software en andere scams doorgestuurd. Ook werd er bij sommige sleutelwoorden een website geladen die de gebruiker liet geloven dat er problemen met de computer waren en hij de "Microsoft-helpdesk" moest bellen. In werkelijkheid ging het om telefonische oplichters. Nu kunnen gebruikers op verschillende manieren extensies uit Chrome verwijderen. Zo is er het extensie-menu dat een overzicht van alle geïnstalleerde extensies toont. Een andere optie is om de browser via het instellingen-menu in oorspronkelijke staat te herstellen. De kwaadaardige extensie zorgde er echter voor dat als het extensie- of instellingen-menu werd geopend meteen het apps-menu werd geladen. Op deze manier was het lastig voor gebruikers om te zien welke extensies er geïnstalleerd waren, laat staan die te verwijderen, zo stelt anti-malwarebedrijf Malwarebytes. Google heeft de extensie na te zijn ingelicht uit de Chrome Web Store verwijderd. bron: security.nl

Een beveiligingsonderzoeker heeft een manier gevonden om Firefox-gebruikers aan de hand van door de browser gecachte certificaten te identificeren. Het gaat om zogeheten intermediate certificaten. Firefox beschikt standaard over verschillende rootcertificaten van certificaatautoriteiten. Ssl-certificaten die door deze certificaatautoriteiten worden uitgegeven, worden automatisch door de browser vertrouwd. Het is voor deze certificaatautoriteiten echter ook mogelijk om onder het eigen rootcertificaat een intermediate certificaat uit te geven, bijvoorbeeld aan een partner of ander bedrijfsonderdeel. Zodoende worden onder het intermediate certificaat uitgegeven ssl-certificaten ook door de browser vertrouwd. In het geval een Firefox-gebruiker een website met een intermediate certificaat bezoekt wordt zowel informatie over het ssl-certificaat van de website als de intermediate certificaatautoriteit verstuurd. Firefox bewaart vervolgens de informatie over de intermediate certificaatautoriteit in de eigen cache. In het geval de webserver verkeerd is geconfigureerd en alleen informatie over het ssl-certificaat verstuurt, maar informatie over de intermediate certificaatautoriteit achterwege laat, zal de website niet door Firefox worden geladen, tenzij de intermediate certificaatautoriteit zich al in de cache van de browser bevindt. Op deze manier is het vervolgens mogelijk om te kijken welke intermediate certificaatautoriteiten een Firefox-gebruiker in zijn of haar cache heeft staan. Onderzoeker Alexander Klink rapporteerde het probleem bij Mozilla, maar de opensource-ontwikkelaar zou huiverig zijn om het probleem te verhelpen zonder te weten wat hiervan de impact zal zijn. Klink stelt dat aanvallers van de bug gebruik kunnen maken om te bepalen of de browser in een sandbox draait om vervolgens te besluiten eventuele malware niet te versturen. Het probleem doet zich niet voor bij Chrome en Internet Explorer. Firefox-gebruikers die zich hier tegen willen wapenen krijgen het advies om regelmatig hun profiel op te schonen. Klink heeft een website online gezet die de aanval demonstreert. bron: security.nl

Microsoft heeft een week nadat Adobe updates voor ernstige lekken in Flash Player uitbracht dezelfde kwetsbaarheden eindelijk ook in Edge en Internet Explorer 11 op Windows 8.1 en Windows 10 gepatcht. Via de beveiligingslekken kon een aanvaller in het ergste geval systemen volledig overnemen. Normaliter brengen Adobe en Microsoft de Flash Player-updates rond hetzelfde moment uit. Dit moet het aantal kwetsbare gebruikers verkleinen. In het verleden is het geregeld voorgekomen dat aanvallers de Flash Player-updates analyseerden om zo de gepatchte kwetsbaarheden te vinden. Die werden vervolgens gebruikt voor het aanvallen van gebruikers die de update nog niet hadden geïnstalleerd. Microsoft besloot de patchdinsdag van 14 februari op het allerlaatste moment te annuleren en naar 14 maart te verzetten. Aangezien IE11 op Windows 8.1 en Windows 10 en Microsoft Edge over een embedded Flash Player beschikken liepen deze gebruikers nu risico om te worden aangevallen, aangezien Adobe de Flash Player-updates vorige week dinsdag wel had uitgerold. Gisterenavond heeft Microsoft alsnog voor deze systemen de Flash Player-updates uitgerold. Op de meeste systemen zullen die automatisch worden geïnstalleerd. bron: security.nl

Windows 10 krijgt naast de Creators Update ook nog een tweede grote update dit jaar, zo heeft Microsoft laten weten. Tijdens Microsoft Ignite Australia 2017 gaf de softwaregigant een presentatie waar een tijdslijn werd getoond waarop staat vermeld dat er een twee grote update aankomt. De sheet werd door engineer Rafael Rivera naar buiten gebracht. Verdere details zoals de inhoud van de update en de verschijningsdatum staan niet vermeld. De website Thurott.com zegt gehoord te hebben dat de update in oktober of november zal uitkomen en mogelijk bepaalde features zal bevatten die niet op tijd voor de Creators Update klaar waren, zoals de People Bar. De Creators Update komt naar verwachting in april uit. bron: security.nl

De Autoriteit Persoonsgegevens doet samen met privacytoezichthouders uit andere Europese landen onderzoek naar de verwerking van persoonsgegevens via Windows 10 door Microsoft. De toezichthouders zijn bezorgd, ook na de door Microsoft aangekondigde wijzigingen in Windows 10, dat Microsoft fundamentele privacyregels niet naleeft. De privacytoezichthouders hebben de softwaregigant een brief gestuurd waarin ze aangeven dat zij de recente aankondiging van Microsoft waarderen om mensen meer controle te geven over wat Microsoft met hun gegevens mag doen. De toezichthouders gaven echter ook aan dat zij nog steeds zorgen hebben over de hoeveelheid en soorten gegevens die Microsoft via Windows 10 verzamelt en verder verwerkt. Ook hebben zij zorgen over de standaardinstellingen en het gebrek aan controle van mensen over wat er bij Microsoft met hun gegevens gebeurt. De toezichthouders hebben Microsoft laten weten dat mensen alleen rechtsgeldige toestemming voor de verwerking van hun persoonsgegevens kunnen geven als zij volledig zijn geïnformeerd, precies weten waar ze toestemming voor geven en de toestemming vrij hebben kunnen geven. Ook is Microsoft vertelt dat het alleen persoonsgegevens mag verzamelen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. De gegevens mogen ook niet verder worden verwerkt op een manier die onverenigbaar is met deze doelen. Microsoft verwerkt onder meer gegevens met het doel persoonlijke advertenties aan te bieden. Volgens de Autoriteit Persoonsgegevens moet Microsoft duidelijk uitleggen welke soorten persoonsgegevens het bedrijf voor welke doelen verwerkt, omdat er zonder deze informatie geen sprake kan zijn van rechtsgeldige toestemming. bron: security.nl

Onderzoekers hebben tijdens de recente RSA Conferentie in San Francisco aangetoond hoe de bios/uefi van een Windows 10-computer met ransomware geïnfecteerd kan worden, ondanks allerlei beveiligingsmaatregelen van het besturingssysteem. De infectie begon met een Word-document dat van een kwaadaardige macro was voorzien. De macro downloadde een bios-updater van de moederfabrikant. Volgens het Duitse Heise moet de installatie van deze tool wel door de gebruiker worden bevestigd, wat enige social engineering zou vereisen. Vervolgens konden de onderzoekers aangepaste firmware uploaden die het systeem, zodra ingeschakeld, meteen voor losgeld vergrendelt of het systeem kan wissen en permanent beschadigen. De moederbordfabrikant, in dit geval Gigabyte, zou het de aanvallers daarbij makkelijk maken door de integriteit van de firmware-update niet te controleren. De machine in kwestie draaide Windows 10 met de allerlaatste patches en had beveiligingsopties zoals Device Guard, Secure Boot en Virtual Secure Mode ingeschakeld. Volgens de onderzoekers kan de aanval worden voorkomen als moederbordfabrikanten de digitale handtekening van firmware-updates controleren of de bios tijdens het opstarten door een tweede bios laten controleren. In het geval er inconsistenties worden aangetroffen zal de eerste bios met de inhoud van de tweede bios worden overschreven. Bios staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Moderne computers beschikken over een unified extensible firmware interface (uefi) dat de opvolger van het bios is. bron: security.nl

De Europese privacytoezichthouders verenigd in de Artikel 29-werkgroep blijven zich zorgen maken over de privacyinstellingen van Windows 10. Onder druk van onder andere de Zwitserse privacytoezichthouder FDPIC besloot Microsoft Windows 10 van nieuwe privacyinstellingen te voorzien. Zo krijgen gebruikers meer informatie over de gegevens die worden verwerkt en moeten gebruikers al tijdens het installatieproces bepalen en toestemming verlenen voor het verwerken en versturen van gegevens. De aanpassingen zullen dit jaar tijdens twee updates voor Windows 10 worden doorgevoerd. De aangekondigde aanpassingen waren reden voor FDPIC om Microsoft niet voor de rechter te slepen. De Artikel 29-werkgroep had Microsoft ook om uitleg over het verwerken van persoonsgegevens voor verschillende doeleinden gevraagd, waaronder adverteren. "Los van de onderzoeken op nationaal niveau, en zelfs met de voorgestelde aanpassingen aan Windows 10 in acht nemend, blijft de werkgroep zich zorgen maken over het niveau waarop de persoonlijke gegevens van gebruikers worden beschermd", aldus de groep in een verklaring waar Reuters over bericht. Volgens de werkgroep is ondanks het nieuwe installatiescherm voor Windows 10 onduidelijk wanneer gebruikers over het verzamelen van de specifieke data worden ingelicht. bron: security.nl

Ik zou denk ik in dat geval dan niet te ingewikkeld doen en het grote scherm direct op de extra monitoruitgang van de laptop aansluiten.

Zover ik denk, lijkt het mij niet mogelijk. Het dockingstation is geheel gebouwd voor de Deel. Wat is de reden dat je de HP ook het dockingstation aan wilt sluiten?

Het is de hoogste tijd dat de DMARC-standaard voor e-mail wereldwijd wordt uitgerold en it-beveiligingsbedrijven moeten het goede voorbeeld geven, zo stelt de Global Cyber Alliance (GCA). DMARC (Domain-based Message Authentication, Reporting and Conformance) is een standaard die door vijftien vooraanstaande internetbedrijven werd ontwikkeld, waaronder Microsoft, Facebook, LinkedIn en Google. Het is een systeem dat gespoofte e-mails moet detecteren en voorkomen en wordt boven twee andere standaarden gebruikt, namelijk Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM). Via DMARC kan een organisatie aangeven wat een e-mailserver moet doen met e-mails die niet aan het gepubliceerde SPF- en DKIM-beleid voldoen. Op deze manier kunnen spam en phishingmails worden gestopt. Grote e-mailproviders zoals Gmail en Yahoo ondersteunen DMARC, maar dat geldt niet voor bedrijven en overheden. Zo blijkt dat vijf procent van de domeinen in de Britse publieke sector DMARC heeft ingeschakeld en bij de gezondheidssector in het land is dit zestien procent. De GCA keek naar 587 e-maildomeinen van it-beveiligingsbedrijven die deze week de RSA Conferentie in San Francisco bezochten. Slechts vijftien procent maakt gebruik van DMARC. Daarnaast blijkt dat de standaard vaak niet goed is geïmplementeerd, wat de effectiviteit vermindert. Uit onderzoek zou echter blijken dat blijken dat organisaties die op de juiste wijze met DMARC werken 77 procent minder e-mailaanvallen ontvangen dan organisaties die DMARC helemaal niet gebruiken. Begin deze maand lanceerde de Nederlandse overheid en bedrijfsleven een coalitie voor veilig e-mailen, die misbruik zoals phishing en het afluisteren van e-mail moet tegengaan. De coalitie maakt zich onder andere sterk voor het invoeren van DMARC. bron: security.nl

Fabrikanten van kabelmodems en internetproviders die hier gebruik van maken zijn gewaarschuwd dat door de diefstal van een privésleutel en certificaat van de Duitse fabrikant AVM, kwaadwillenden illegale kabelmodems kunnen neerzetten die voor netwerkproblemen en het illegaal afnemen van diensten kunnen zorgen. De waarschuwing is afkomstig van CableLabs, de organisatie die voor de DOCSIS-kabelmodemstandaard verantwoordelijk is. De DOCSIS-standaard laat fabrikanten interoperabele apparatuur maken. De standaard vereist dat elke kabelmodem over een uniek certificaat beschikt om de kabelmodem bij de internetprovider te authenticeren. Dit certificaat is gesigneerd door de certificaatautoriteit van de fabrikant, die weer is gesigneerd door de DOCSIS-certificaatautoriteit. Internetproviders kunnen op deze manier kabelmodems met een geldig gesigneerd certificaat vertrouwen. Eind vorig jaar werd bekend dat de Duitse fabrikant AVM zowel het certificaat van de eigen certificaatautoriteit als de bijbehorende privesleutel aan de eigen firmware had toegevoegd. "Daardoor kan nu iedereen een certificaat creëren dat door alle internetproviders wordt vertrouwd die de DOCSIS-certificaatautoriteit vertrouwen", zegt Johannes Ullrich van het Internet Storm Center. Vervolgens is het mogelijk om hiermee een kabelmodem neer te zetten waarmee diensten illegaal kunnen worden afgenomen of die voor netwerkproblemen kan zorgen. CableLabs heeft nu het advies gegeven dat alle partijen het gecompromitteerde certificaat van AVM op een blacklist zetten, ongeacht of ze AVM-apparatuur in hun netwerk gebruiken. Volgens het Duitse Heise is er al misbruik van het certificaat gemaakt. bron: security.nl

Google heeft een beveiligingslek in Windows onthuld waardoor aanvallers gevoelige informatie uit het geheugen kunnen stelen, zoals gebruikersgegevens, en waar nog geen update van Microsoft voor beschikbaar is. Via de gestolen informatie zou een aanvaller het systeem verder kunnen aanvallen. De kwetsbaarheid bevindt zich in het Microsoft Graphics Component (GDI) en is in alle ondersteunde Windows-versies aanwezig, van Vista tot en met Windows 10. Om de kwetsbaarheid uit te buiten moet een aanvaller het slachtoffer een kwaadaardige EMF-afbeelding laten openen. Dit kan bijvoorbeeld door het embedden van een dergelijke afbeelding in een Word-document of html-pagina, zo waarschuwt het Nationaal Cyber Security Center (NCSC) van de overheid. Google had het probleem op 17 november vorig jaar aan Microsoft gerapporteerd. Standaard hanteert de internetgigant een deadline van 90 dagen, waarna informatie over de kwetsbaarheid openbaar wordt gemaakt, ongeacht of de leverancier in kwestie al een update heeft uitgerold om het probleem te verhelpen. Mogelijk dat Microsoft van plan was het beveiligingslek deze week te patchen, maar de softwaregigant besloot om alle beveiligingsupdates deze maand uit te stellen en te verplaatsen naar dinsdag 14 maart. Naast informatie over de kwetsbaarheid heeft Google ook proof-of-concept-code online gezet om het lek te demonstreren. Afgelopen december patchte Microsoft ook al een soortgelijke kwetsbaarheid in het GDI-onderdeel. Google-onderzoekers hebben in het verleden vaker kwetsbaarheden in Windows naar buiten gebracht zonder dat er een update beschikbaar was. Twee keer maakten cybercriminelen van de vrijgegeven informatie gebruik om Windows-gebruikers aan te vallen. bron: security.nl

Microsoft heeft besloten om de ondersteuning van de originele Windows 10-versie met twee maanden te verlengen. In eerste instantie had de softwaregigant nog laten weten dat de originele Windows 10, met versienummer 1507, na 26 maart van dit jaar niet meer zou worden ondersteund. Dit geldt met name voor bedrijven, die Windows 10-updates op verschillende manieren kunnen ontvangen. Zo is er de Long Term Servicing (LTS) branch waarbij er alleen beveiligingsupdates worden geïnstalleerd. De Current branch for Business" (CBB) installeert naast beveiligingsupdates ook feature-updates die in de consumentenmarkt zijn getest en gevalideerd. Eind november vorig jaar werd de Windows 10 Anniversary Update (versie 1607) via het CBB-kanaal aan organisaties aangeboden. Microsoft ondersteunt echter alleen de twee meest recente Windows 10-versies in het CBB-kanaal. Doordat er nog wel met een overgangsperiode werd gewerkt zou de originele Windows 10-versie na 26 maart niet meer voor ondersteuning in aanmerking komen. De overgangsperiode die Microsoft hanteert is nu met twee maanden uitgebreid. De support van Windows 10 versie 1507 in het CBB-kanaal zal nu na mei 2017 eindigen. bron: security.nl

Yahoo is begonnen met het waarschuwen van gebruikers van wie het account via vervalste cookies werd gehackt. De internetgigant stelde in december, toen bleek dat aanvallers de gegevens van 1 miljard gebruikers hadden gestolen, dat een derde partij toegang tot de code van Yahoo had gekregen om te leren hoe cookies moesten worden vervalst om zo zonder wachtwoord toegang tot accounts van gebruikers te krijgen. De vervalste cookies werden eerder al ongeldig gemaakt, maar nu worden de getroffen gebruikers ook gewaarschuwd. "Gebaseerd op ons lopende onderzoek denken we dat een vervalst cookie mogelijk is gebruikt om in 2015 of 2016 toegang tot je account te krijgen", aldus de waarschuwing. Hoeveel gebruikers op deze manier werden gehackt wil Yahoo niet laten weten, zo meldt de Associated Press. bron: security.nl

Microsoft zal de Windows-updates die deze maand stonden gepland tijdens de patchdinsdag van maart uitbrengen, zo heeft de softwaregigant bekendgemaakt. Dinsdag liet Microsoft weten dat de patches van 14 februari vanwege problemen die op het laatste moment waren gevonden werden uitgesteld. Niet eerder sinds Microsoft met het uitbrengen van patches op de tweede dinsdag van elke maand begon zijn alle geplande beveiligingsupdates geschrapt. In een update aan gebruikers en beheerders meldt Microsoft nu dat de februari-updates tijdens de patchdinsdag van 14 maart zullen verschijnen. bron: security.nl

Videochipfabrikant Nvidia heeft meerdere beveiligingslekken in de drivers voor Windows die door Google waren gevonden stilletjes gepatcht, zo heeft de internetgigant laten weten. Google-onderzoekers vonden in totaal 16 beveiligingslekken waardoor een lokale aanvaller willekeurige code kon uitvoeren om computers volledig over te nemen, machines te laten crashen of de eigen rechten op het systeem te verhogen. Volgens Google was het niet mogelijk om de kwetsbaarheden op afstand aan te vallen, bijvoorbeeld via de browser. Een aanvaller moest dan ook al toegang tot een systeem hebben om de kwetsbaarheden uit te buiten. De eerste van de zestien kwetsbaarheden werd vorig jaar juli aan Nvidia gerapporteerd. In september volgde er een nieuwe driver-versie, waarbij zes beveiligingslekken stilletjes werden gepatcht. In de release notes werd wel over "security updates" gesproken, maar verdere informatie ontbrak. Nvidia verklaarde tegenover Google dat de publieke details een maand later openbaar gemaakt zouden worden. Volgens Google was dit niet verstandig, aangezien een aanvaller de patch in de tussentijd kon analyseren om zo de kwetsbaarheden te vinden voordat gebruikers wisten wat er precies mis was. Onderzoekers van Google waarschuwen dat videokaartdrivers een groot aanvalsoppervlak bieden en vol kwetsbaarheden lijken te zitten. Ze roepen leveranciers dan ook op om het aanvalsoppervlak te verkleinen. bron: security.nl

De afgelopen maanden van vorig jaar is het aantal gevallen van ransomware op Windows-computers afgenomen, zo stelt Microsoft op basis van gegevens van Windows Defender, de in Windows ingebouwde virusscanner. Volgens de softwaregigant was ransomware één van de grootste dreigingen in 2016 en kregen miljoenen computers hiermee te maken. Het ging dan zowel om daadwerkelijke infecties als pogingen tot een besmetting. Vanaf september is het aantal Windows-computers dat met ransomware in aanmerking kwam echter afgenomen. Dit komt volgens Microsoft voornamelijk omdat e-mails die ransomware proberen te verspreiden, wat de voornaamste verspreidingsmethode voor deze vorm van malware is, eerder worden geblokkeerd. Gebruikers kunnen zo niet meer worden verleid om bestanden of links te openen die naar ransomware leiden. Daarnaast proberen cybercriminelen ransomware ook via exploitkits te verspreiden, die van kwetsbaarheden in Flash Player, Internet Explorer en Silverlight gebruikmaken. Het gebruik van exploitkits is in de laatste helft van vorig jaar afgenomen nadat een beruchte groep cybercriminelen achter de Angler-exploitkit was opgepakt. Ondanks de bemoedigende statistieken waarschuwt Microsoft dat de dreiging van ransomware nog niet voorbij is, aangezien cybercriminelen het wel blijven proberen. Daarnaast richten ze zich ook vaker op andere platformen, zoals servers, en proberen nieuwe verspreidingsmethodes, zoals bijvoorbeeld Skype en usb-sticks. bron: security.nl