Captain Kirk

Tienduizenden WordPress-sites lopen door een kritieke kwetsbaarheid in donatieplug-in GiveWP het risico om door aanvallers te worden overgenomen. Via GiveWP kunnen WordPress-sites donaties ontvangen of een fundraiser opzetten. Meer dan honderdduizend WordPress-sites maken gebruik van de plug-in. Een kwetsbaarheid in de plug-in zorgt ervoor dat een aanvaller door middel van ongeauthenticeerde ' PHP object Injection' op afstand willekeurige code op het systeem kan uitvoeren. Bij PHP object Injection wordt gebruikersinvoer niet goed gesanitized, waardoor het mogelijk is om een payload te injecteren die een PHP object wordt, aldus securitybedrijf Wordfence. In het geval van de kwetsbaarheid in GiveWP kan een aanvaller willekeurige code uitvoeren, willekeurige bestanden verwijderen waaronder de WordPress-configuratie en een kwetsbare website overnemen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Wordfence waarschuwde de ontwikkelaar op 13 juni, maar kreeg geen reactie. Op 28 juni volgde een tweede poging. Deze tweede poging had ook geen resultaat, waarop op 6 juli het securityteam van WordPress.org werd gewaarschuwd. Op 7 augustus kwam de ontwikkelaar met versie 3.14.2 waarin het probleem is verholpen. Gebaseerd op cijfers van WordPress.org over het aantal WordPress-sites dat beschikbare updates installeert, blijkt dat meer dan veertigduizend sites niet up-to-date zijn en risico op aanvallen lopen. bron: https://www.security.nl

Aanvallers hebben sinds juni een kwetsbaarheid in Windows gebruikt voor de installatie van een rootkit, zo stelt securitybedrijf Gen Digital. Microsoft rolde vorige week dinsdag een beveiligingsupdate uit om het probleem te verhelpen. Via het beveiligingslek in de Windows Ancillary Function Driver, aangeduid als CVE-2024-38193, kan een aanvaller die al toegang tot een systeem heeft SYSTEM-rechten krijgen. Deze rechten gebruikten de aanvallers voor de installatie van de FudModule-rootkit, waarmee de aanvallers hun activiteiten voor aanwezige beveiligingssoftware kunnen verbergen, aldus het securitybedrijf. Ook kan de rootkit aanwezige antivirus- en monitoringssoftware uitschakelen. "De kwetsbaarheid liet aanvallers normale beveiligingsbeperkingen omzeilen en gevoelige systeemgebieden bereiken die die meeste gebruikers en systeembeheerders niet kunnen bereiken", zegt Emma Brownstein van Gen Digital, waar onder andere Norton, Avast, Avira, AVG en CCleaner deel van uitmaken. Het is niet voor het eerst dat aanvallers voor de installatie van de FudModule-rootkit een kwetsbaarheid in Windows gebruiken waar op het moment van de aanval geen update voor beschikbaar is. Dat gebeurde ook al eerder dit jaar. Volgens Gen Digital zit de Noord-Koreaanse Lazarus Group achter de aanvallen. De groep wordt verantwoordelijk gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. Daarnaast zou de groep honderden miljoenen euro's aan cryptovaluta bij cryptobeurzen en -bedrijven hebben gestolen. bron: https://www.security.nl

QNAP heeft een nieuwe versie van QTS uitgebracht, die NAS-apparaten tegen ransomware moet beschermen. QTS is het besturingssysteem dat op de NAS-apparaten van QNAP draait. Met QTS 5.2 is er een nieuwe feature toegevoegd die bestanden actief monitort op verdacht gedrag. Wanneer 'verdacht bestandsgedrag' wordt gedetecteerd zal het systeem bestanden back-uppen of de bestandsactiviteit blokkeren. Het gaat onder andere om het activeren van een read-only mode en het maken van een snapshot. Daarnaast wordt de gebruiker gewaarschuwd. Gebruikers kunnen de beveiligingsmaatregelen tegen ransomware of menselijke fouten aanpassen, om zo het risico op dataverlies te voorkomen wanneer ongewone bestandsactiviteiten zich voordoen. Via een dashboard kunnen gebruikers ook zien hoe vaak bestanden op hun NAS worden aangepast, aangemaakt of verwijderd. De feature moet risico's van ransomware of menselijke fouten tegengaan, aldus QNAP. De afgelopen jaren zijn NAS-apparaten van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Hierbij werden bestanden op tienduizenden NAS-apparaten versleuteld en moesten gebruikers losgeld betalen om weer toegang tot hun data te krijgen. Om toegang tot de systemen te krijgen maakten de aanvallers gebruik van bekende kwetsbaarheden waarvoor updates beschikbaar waren, maar die niet door gebruikers waren geïnstalleerd, maar ook zerodaylekken waar geen patches voor waren ontwikkeld. bron: https://www.security.nl

Verschillende kritieke kwetsbaarheden in digitale leeromgeving Moodle maken het mogelijk voor een aanvaller om op afstand malafide code uit te voeren, beheerderstaken uit te voeren, informatie te achterhalen, data aan te passen of beveiligingsmaatregelen te omzeilen. De makers hebben updates uitgebracht waarmee de in totaal zestien kwetsbaarheden zijn verholpen. Moodle is een gratis open source leermanagementsysteem (LMS) dat wereldwijd door onderwijsinstellingen wordt gebruikt. Meerdere van de kwetsbaarheden zijn aangemerkt als 'serious', waaronder één die remote code execution mogelijk maakt, alsmede een IDOR-kwetsbaarheid en de mogelijkheid om willekeurige bestanden te lezen. De Duitse overheid adviseert beheerders om de updates tijdig te installeren. bron: https://www.security.nl

Verschillende Microsoft-apps voor macOS laten een aanvaller meeliften op gegeven permissies, om bijvoorbeeld zonder gebruikersinteractie toegang tot de camera te krijgen of e-mails te versturen, en hoewel Microsoft is ingelicht, zijn de problemen niet verholpen, zo laat Cisco weten. De problemen werden in acht Microsoft-apps gevonden, maar zijn nog aanwezig in Microsoft Excel, Outlook, PowerPoint en Word. Een malafide app op het systeem kan hier misbruik van maken en zo de permissies gebruiken die de Microsoft-apps hebben. Dit is mogelijk doordat een aanvaller via de malafide app in de processen van de Microsoft-applicaties een library kan injecteren. Deze library krijgt dan alle permissies die de applicatieprocessen hebben. "Een aanvaller zou bijvoorbeeld e-mails via het gebruikersaccount kunnen versturen zonder dat de gebruiker dit opmerkt, audio opnemen, foto's maken of video's opnemen, allemaal zonder enige gebruikersinteractie", aldus Cisco. De applicaties van Microsoft maken wel gebruik van bescherming tegen 'library injection'-aanvallen, maar ze hebben ook een optie ingeschakeld genaamd 'com.apple.security.cs.disable-library-validation'. Dit kan bijvoorbeeld nodig zijn voor het laden van plug-ins, maar zorgt er ook voor dat een aanvaller zijn code kan injecteren. Cisco vond dit probleem bij acht Microsoft-applicaties. Het techbedrijf heeft bij vier applicaties de optie verwijderd. Excel, Outlook, PowerPoint en Word zijn echter nog kwetsbaar. bron: https://www.security.nl

Er is een nieuwe versie van encryptiesoftware VeraCrypt verschenen die gebruikers waarschuwt voor een kwetsbare XTS master key. In de waarschuwing staat dat de master key van het versleutelde volume kwetsbaar voor een aanval is die de dataveiligheid compromitteert. Vervolgens worden gebruikers opgeroepen een nieuw versleuteld volume aan te maken en daar alle data naar toe te verplaatsen. In de waarschuwing staat geen verdere informatie over het soort aanval. Naast de detectie van kwetsbare XTS master keys zijn in VeraCrypt 1.26.13 ook verschillende andere aanpassingen doorgevoerd. Het gaat daarbij ook om specifieke fixes voor de Windows-, Linux-, macOS- en FreeBSD-versies. VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Via de software is het mogelijk om harde schijven te versleutelen, maar ook losse versleutelde containers te maken. bron: https://www.security.nl

Een ransomwaregroep gebruikt een malafide Windows-updatescherm voor het stelen van data van AnyDesk-gebruikers. Dat laat antivirusbedrijf Sophos in een analyse weten. Volgens de virusbestrijder gebruikt de ransomwaregroep, met de naam Mad Liberator, social engineering om toegang te krijgen tot organisaties die met AnyDesk werken. Via deze software is het mogelijk om computers op afstand te beheren. Het wordt onder andere door it-afdelingen en helpdesks gebruikt. AnyDesk maakt voor elk apparaat waarop het is geïnstalleerd gebruik van een een negen- of tiencijferige unieke id-code. Het is mogelijk voor een remote gebruiker om toegang tot een AnyDesk-systeem te krijgen door de betreffende id-code invoeren. De gebruiker van het systeem krijgt dan een pop-up om de verbinding goed te keuren. Pas als de gebruiker deze goedkeuring geeft wordt zijn systeem door de remote gebruiker op afstand overgenomen. Bij een aanval die Sophos onderzocht wist de ransomwaregroep deze verbinding goedgekeurd te krijgen, maar hoe dit precies is gegaan kan het antivirusbedrijf niet zeggen. Wel is duidelijk dat de aanvallers nadat ze toegang tot het systeem hadden een programma uitvoerden dat een malafide Windows-updatescherm liet zien. Hierdoor dacht de gebruiker van het systeem dat er een update werd uitgevoerd. Om te voorkomen dat de gebruiker via de Esc-knop dit programma zou beëindigen hadden de aanvallers gebruikersinvoer via keyboard en muis uitgeschakeld. Terwijl de gebruiker het malafide updatescherm te zien kreeg werd in de achtergrond het OneDrive-account van de gebruiker benaderd, alsmede bestanden op een gedeelde netwerkmap die vervolgens via AnyDesk werden gestolen. De aanvallers lieten vervolgens een notitie achter waarin ze dreigden de bestanden openbaar te maken tenzij er losgeld werd betaald. De getroffen organisatie maakt gebruik van AnyDesk, waardoor de betreffende gebruiker dacht dat het om een legitiem verzoek van de it-afdeling ging. Naast het onderwijzen van gebruikers over dergelijke socialengineering-aanvallen krijgen organisaties het advies om Anydesk Access Control Lists te implementeren, om alleen toegang van bepaalde systemen toe te staan. Onlangs claimde de ransomwaregroep nog een aanval op het Nederlandse COIN bv. bron: https://www.security.nl

Microsoft is twee maandenlang vergeten te melden dat er een actief aangevallen kwetsbaarheid in Windows zat waarvoor het een patch had uitgebracht. Via het beveiligingslek was het mogelijk om de SmartScreen-beveiligingsfeature te omzeilen. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows SmartScreen een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-38213) zorgt ervoor dat de waarschuwing niet verschijnt. Dit beveiligingslek werd eerder dit jaar door Trend Micro aan Microsoft gerapporteerd. De virusbestrijder ontdekte in maart dat criminelen actief misbruik van de kwetsbaarheid maakten om gebruikers door middel van 'copy-paste' operaties met malware te infecteren. Het probleem deed zich voor bij Web-based Distributed Authoring and Versioning (WebDAV). Via WebDAV is het mogelijk om bestanden op servers te bekijken en delen. De criminelen wisten gebruikers zo ver te krijgen om een bestand in een WebDAV share naar hun eigen systeem te kopieren en daarna uit te voeren. "Helaas hebben aanvallers ontdekt dat Windows niet altijd goed het Mark-of-the-Web aan bestanden toekent die via WebDAV worden aangeboden", aldus Peter Girnus van ZDI, een onderdeel van Trend Micro. Eerder dit jaar werd al een soortgelijke kwetsbaarheid ontdekt (CVE-2024-21412) In juni kwam Microsoft met een beveiligingsupdate voor het probleem, waardoor bestanden die vanaf een WebDAV share worden gecopypastet wel een Mark-of-the-Web krijgen. Het bestaan van de kwetsbaarheid en update werden echter niet aan gebruikers gemeld. Dat gebeurde pas aflopen dinsdag, twee maanden later. Hoe het kon dat deze informatie werd vergeten laat Microsoft niet weten. bron: https://www.security.nl

Microsoft heeft een testversie van de nieuwe Windows Sanbox voor Windows 11 uitgerold die over meer opties beschikt voor het uitwisselen van data tussen de host en de sandbox. De Windows Sandbox biedt een 'lichtgewicht desktopomgeving' voor het uitvoeren van applicaties. Software die binnen de sandbox wordt geïnstalleerd blijft binnen de sandbox en draait gescheiden van de host-machine, aldus de uitleg van Microsoft. De sandbox is daarnaast tijdelijk. Wanneer die wordt gesloten zullen ook alle software en bestanden worden verwijderd. Voor Windows 11 werkt Microsoft aan een nieuwe versie van de sandbox. Deze versie biedt de mogelijkheid om bijvoorbeeld informatie via het clipboard tussen de host en sandbox uit te wisselen. Ook de mogelijkheid om mappen te delen is nu beschikbaar, alsmede 'audio/video input control'. Verder beschikt de nu uitgebrachte testversie over een 'supervroege' versie van command line support. De Windows Sandbox Client Preview is beschikbaar via Windows 11 Insider Preview Build 27686. bron: https://www.security.nl

De Belgische consumentenorganisatie Testaankoop heeft bij de Gegevensbeschermingsautoriteit (GBA) een klacht ingediend over het nieuwe privacybeleid van LinkedIn. In het nieuwe beleid geeft LinkedIn zichzelf toestemming om gegevens, foto’s en privéberichten te gebruiken zonder zijn gebruikers daarvan op de hoogte te brengen wat in strijd met de AVG en Belgische wetgeving is, aldus Testaankoop. Dat wil dat de Belgische privacytoezichthouder nu optreedt. Eind maart heeft LinkedIn het privacybeleid gewijzigd. Volgens Testaankoop verbergt LinkedIn bewust voor zijn gebruikers dat het persoonlijke gegevens gebruikt om zijn eigen AI-tools te ontwikkelen. "Zonder je toestemming te vragen, eigent LinkedIn zich het recht toe om al je zoekopdrachten, foto's, posts en zelfs je privéberichten te gebruiken om zijn artificiële intelligentie te trainen. Dat vinden wij niet kunnen en dus hebben we een klacht ingediend”, zegt Laura Clays, woordvoerder van Testaankoop. De Consumentenorganisatie wijst erop dat de AVG bepaalt dat alle wijzigingen in de verwerking van persoonsgegevens duidelijk en transparant moeten worden aangekondigd, en dat er altijd een recht van bezwaar moet zijn om gebruikers in staat te stellen het gebruik van hun gegevens te weigeren. "Wat LinkedIn doet is niet wettelijk. Het platform geeft aan dat gebruikers die bezwaar willen maken tegen een wijziging in het privacybeleid simpelweg hun account moeten verwijderen. Voor de vorm bestaat er wel een formulier om je bezwaar te uiten, maar de klantendienst reageert daar niet op, waardoor het niet effectief is", laat Testaankoop verder weten. Volgens Clays was het eerst Meta dat probeerde om gegevens van gebruikers zonder hun toestemming te gebruiken en blijkt nu LinkedIn dit al langer te doen. "Dit soort situaties zijn onaanvaardbaar en we roepen de Belgische Gegevensbeschermingsautoriteit dan ook op om meer toezicht te houden. Privacybescherming mag geen Far West worden, waarbij dit soort platformen maar doen wat ze willen met de data van hun gebruikers. Het belang van AI mag geen vrijgeleide zijn om zomaar regels met de voeten te treden." bron: https://www.security.nl

Organisaties Citizen Lab en Access Now waarschuwen vandaag voor spearphishing-aanvallen waarbij 'versleutelde' en 'beveiligde' pdf-bestanden worden gebruikt om slachtoffers naar phishingsites te lokken die inloggegevens voor Proton- en Google-accounts proberen te stelen. Volgens de twee organisaties zijn de aanvallen uitgevoerd door twee groepen genaamd Coldriver en Coldwastrel. De eerste groep zou aan de Russische geheime dienst FSB zijn gelieerd. De aanvallen zijn gericht tegen maatschappelijke organisaties en internationale NGO's. De aanvallers versturen e-mails die afkomstig lijken van personen die het doelwit kent, waarbij van e-mailadressen gebruik wordt gemaakt die op één karakter na hetzelfde zijn. De e-mails bevatten een pdf-bestand dat wanneer geopend claimt dat er moet worden ingelogd om de inhoud te bekijken. Het pdf-bestand bevat hiervoor een link die naar de phishingpagina wijst. Volgens onderzoekers van Citizen Lab en Access Now is het belangrijk om alert te zijn op 'versleutelde' en 'beveiligde' pdf-bestanden. Daarnaast adviseren ze het 'correct gebruik' van tweefactorauthenticatie (2FA). Sommige van de slachtoffers hadden 2FA ingeschakeld, maar werden verleid om hun 2FA-codes in te voeren. Met name het gebruik van sms-gebaseerde 2FA wordt riskant genoemd. De onderzoekers adviseren het gebruik van security keys en passkeys als 2FA-methode. bron: https://www.security.nl

Microsoft verwacht dat aanvallers misbruik zullen maken van een kritieke TCP/IP-kwetsbaarheid in Windows waardoor remote code execution zonder enige interactie van gebruikers mogelijk is. Volgens securitybedrijf ZDI kan via het beveiligingslek een computerworm worden verspreid. De kwetsbaarheid, aangeduid als CVE-2024-38063, laat een ongeauthenticeerde aanvaller willekeurige code op systemen uitvoeren, zonder dat hier enige interactie van gebruikers voor is vereist. Het versturen van speciaal geprepareerde IPv6-pakketten volstaat. Systemen waarop IPv6 staat uitgeschakeld zijn dan ook niet kwetsbaar, aldus Microsoft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Je kunt IPv6 uitschakelen om misbruik te voorkomen, maar IPv6 staat bijna op alles standaard ingeschakeld", zegt Dustin Childs van ZDI. Wat de kans op misbruik betreft heeft Microsoft dit als 'more likely' ingeschat. Het techbedrijf kwam gisterenavond met updates voor de kwetsbaarheid, die op de meeste systemen automatisch worden geïnstalleerd. Het probleem was gerapporteerd door een onderzoeker van cybersecuritybedrijf Cyber KunLun. bron: https://www.security.nl

Tijdens de patchdinsdag van augustus heeft Microsoft zes kwetsbaarheden in Office en Windows verholpen die actief zijn misbruikt voordat de updates beschikbaar waren. Drie van de beveiligingslekken maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Twee maken remote code execution mogelijk en de laatste kwetsbaarheid betreft een 'Security Feature Bypass' in Windows Mark of the Web. De eerste kwetsbaarheid (CVE-2024-38189) waardoor een aanvaller willekeurige code kan uitvoeren is aanwezig in Microsoft Project. Door een doelwit een malafide Microsoft Office Project-bestand te laten openen is remote code execution (RCE) mogelijk. Dit probleem raakt Microsoft Office LTSC 2021, Microsoft Project 2016, Microsoft 365 Apps for Enterprise en Microsoft Office 2019. De tweede RCE-kwetsbaarheid is aanwezig in de scripting engine van Windows. Misbruik vereist volgens Microsoft dat een aanvaller er eerst voor zorgt dat het doelwit Edge in Internet Explorer-mode gebruikt. Vervolgens moet er een speciaal geprepareerde link worden geopend. Dit beveiligingslek (CVE-2024-38178) werd door het Zuid-Koreaanse National Cyber Security Center (NCSC) en antivirusbedrijf AhnLab aan Microsoft gerapporteerd. Dan zijn er drie kwetsbaarheden waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen tot die van SYSTEM. Het gaat om problemen in Windows Ancillary Function Driver for WinSoc (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107) en de Windows-kernel (CVE-2024-38106). De laatste actief aangevallen kwetsbaarheid die Microsoft deze maand heeft opgelost bevindt zich in de Mark of the Web-feature van Windows. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-38213) zorgt ervoor dat de waarschuwing niet verschijnt. Dit beveiligingslek werd door Trend Micro aan Microsoft gerapporteerd. Naast de zes actief aangevallen kwetsbaarheden zijn er ook vier beveiligingslekken verholpen waarvan details al voor het uitkomen van de update openbaar waren, maar waarvan Microsoft zegt dat er geen misbruik is waargenomen. Het gaat om problemen in Microsoft Office (CVE-2024-38200) en Windows (CVE-2024-38199, CVE-2024-21302 en CVE-2024-38202), waardoor spoofing, remote code execution en het verhogen van rechten mogelijk is. Het totaal aantal gepatchte kwetsbaarheden bedraagt deze maand negentig. Geen van de aangevallen of al eerder openbaar gemaakte beveiligingslekken zijn als kritiek aangemerkt. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Softwarebedrijf Ivanti heeft vandaag beveiligingsupdates uitgebracht voor kritieke kwetsbaarheden in Ivanti Neurons for IT Service Management (ITSM) en Ivanti Virtual Traffic Manager en on-premise klanten worden opgeroepen die meteen te installeren. Neurons for ITSM is een oplossing voor het ondersteunen van helpdesks. Via de kwetsbaarheid in de oplossing (CVE-2024-7569) kan een ongeauthenticeerde aanvaller authenticatiegegevens stelen die in debug-informatie zijn te vinden. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Ivanti Virtual Traffic Manager is een oplossing voor application delivery en load balancing. Een incorrecte implementatie van een authenticatie-algoritme zorgt ervoor dat een ongeauthenticeerde aanvaller de authenticatie van het beheerderspaneel kan omzeilen om vervolgens zelf een beheerder te kunnen aanmaken. De impact van dit lek (CVE-2024-7593) is beoordeeld met een 9.8. Misbruik is nog niet waargenomen. Wel is voor dit beveiligingslek proof-of-concept exploitcode beschikbaar. Voor twee versies van Virtual Traffic Manager is er een update beschikbaar. Voor vier andere versies verschijnen de patches volgende week. Kwetsbaarheden in oplossingen van Ivanti zijn in het verleden geregeld misbruikt bij aanvallen. bron: https://www.security.nl

MDM-leverancier Mobile Guardian is weken voor een grote aanval, waarbij de iPads en Chromebooks van zeker dertienduizend studenten en leerlingen werden gewist en daardoor maanden of soms jaren aan werk verloren, gewaarschuwd voor een kritieke kwetsbaarheid. Volgens het Singaporese ministerie van Onderwijs, dat een grote klant van Mobile Guardian is, werd dit beveiligingslek voor de aanval van begin augustus gepatcht. De persoon die het probleem ontdekte is echter bang dat er meer van dergelijke kwetsbaarheden in de oplossing aanwezig zijn. Mobile Guardian levert een mobile device management (MDM)-oplossing voor onderwijsinstellingen, die daarmee bijvoorbeeld de iPads en Chromebooks van hun leerlingen en studenten op afstand kunnen beheren. Het bedrijf zegt wereldwijd duizenden scholen als klant te hebben. Begin deze maand vond er een aanval plaats waarbij zeker dertienduizend iPads en Chromebooks van leerlingen van 26 Singapore scholen werden gewist. Of ook onderwijsinstellingen in andere landen zijn getroffen is onbekend. Een dag na de aanval publiceerde iemand op Reddit een bericht waarin wordt gesteld dat hij in mei een kritieke kwetsbaarheid in de MDM-oplossing ontdekte waardoor een standaard gebruiker van het platform "super admin" kon worden. Vervolgens was het mogelijk om activiteiten als schoolbeheerder uit te voeren, waaronder het resetten van alle apparaten. De ontdekker van de kwetsbaarheid informeerde zowel het Singaporese ministerie van Onderwijs als Mobile Guardian. Het ministerie laat tegenover The Straits Times weten dat het probleem al eerder was gevonden en uiteindelijk voordat de aanval plaatsvond was gepatcht. De ontdekker van het probleem stelt op Reddit dat hij het probleem binnen drie uur had ontdekt, terwijl het ministerie en periodieke penetratietests er drie jaar over deden. Het probleem zou al sinds 2021 in het MDM-platform aanwezig zijn geweest. Daarnaast werd het probleem na de ontdekking van het probleem niet meteen gepatcht. "Cybersecurity moet serieuzer dan dit genomen worden", aldus de ontdekker. "Het is al minder relevant hoe de recente hack heeft plaatsgevonden en of het is veroorzaakt door een meer geraffineerde aanval: het feit dat deze eenvoudige kwetsbaarheid jaren aanwezig was is op zichzelf reden tot zorg." bron: https://www.security.nl

Tijdens een internationale operatie hebben politiediensten wereldwijd servers van de Radar-ransomware offline gehaald, zo hebben de Amerikaanse en Duitse autoriteiten bekendgemaakt. De Radar-ransomware, ook bekend als Dispossessor, was sinds vorig jaar augustus actief. De ransomwaregroep richtte zich op mkb-bedrijven en instellingen in allerlei sectoren. De meeste aanvallen van de groep vonden in de Verenigde Staten plaats. Om toegang tot de systemen van slachtoffers te krijgen maakte de groep gebruik van zwakke wachtwoorden en het feit dat organisaties voor hun accounts geen tweefactorauthenticatie hadden ingeschakeld. Zodra er toegang was verkregen werden eerst allerlei gegevens gestolen. Daarna werden bestanden bij slachtoffers versleuteld. Wanneer organisaties niet op de losgeldeisen reageerden werden ze door de aanvallers gebeld of gemaild om toch te betalen. De e-mails waren ook voorzien van links naar video's waarin de gestolen bestanden te zien waren. Wanneer slachtoffers niet betaalden werden ze door de groep openbaar gemaakt. Tijdens de operatie werden servers van de groep in de Verenigde Staten, Duitsland en het Verenigd Koninkrijk in beslag genomen, alsmede acht domeinnamen. Hoeveel slachtoffers de groep heeft gemaakt is onbekend. Tijdens de operatie werden 43 getroffen bedrijven ontdekt in meer dan veertien verschillende landen. bron: https://www.security.nl

Het cybercrimeverdrag van de Verenigde Naties (VN) vormt een bedreiging voor mensenrechten en de werkzaamheden van cybersecurity-onderzoekers en journalisten, zo stelt de Duitse hackersclub CCC. Vorige week stemde een VN-commissie in met het verdrag. Later dit jaar zal de Algemene Vergadering van de VN over het verdrag stemmen. De CCC roept Europa op om tegen te stemmen. Al jaren stellen burger- en mensenrechtenbewegingen dat het verdrag onder andere te breed is en allerlei waarborgen mist voor het beschermen van mensenrechten. De kritiek is echter niet meegenomen in de verdragstekst waarover vorige week een akkoord werd bereikt. De CCC spreekt van een 'gevaarlijke misser'. "Het bevat nog steeds brede surveillanceverplichtingen die door VN-leden geïmplementeerd zouden moeten worden, maar zonder dat deze bevoegdheden worden bewaakt door minimale juridische standaarden." Zo introduceert het uitgebreide bevoegdheden om metadata van telecomverkeer te verzamelen en in real-time communicatie te onderscheppen. De tekst van het verdrag bevat ook geen minimale standaarden voor databescherming, maar juist een uitbreiding van wereldwijde samenwerking tussen opsporingsdiensten en geheime diensten, gaat de CCC verder. "Iedereen die het respecteren van mensenrechten en zelfbeschikking op informatiegebied belangrijk vindt, moet de verdragstekst afwijzen. Deze surveillancegekte moet niet in Europa worden geratificeerd", zegt CCC-woordvoerder Dirk Engling. Een ander kritiekpunt in de verdragstekst is het ontbreken van duidelijke regels die cybersecurity-onderzoekers en journalisten in staat stellen te werken zonder angst voor repressie. "Journalisten en oppositieleden lopen met name gevaar door de overeenkomst. VN-staten zouden medeplichtig kunnen worden aan de vervolging van journalisten, activisten of dissidenten door gedwongen te worden hun data aan repressieve regimes te verstrekken." bron: https://www.security.nl

De makers van OpenVPN hebben uitgehaald naar Microsoft wegens het gebruik van de term 'zero-days' die in het veelgebruikte vpn-protocol aanwezig zouden zijn. OpenVPN behoort tot de meestgebruikte protocollen voor het opzetten van vpn-verbindingen. Microsoft-onderzoeker Vladimir Tokarev ontdekte verschillende kwetsbaarheden in het protocol, die volgens de onderzoeker miljoenen OpenVPN-endpoints wereldwijd raken. Via de beveiligingslekken zou onder andere remote code execution mogelijk zijn. In maart van dit jaar kwam OpenVPN met updates en beveiligingsbulletins voor de gevonden problemen. Afgelopen donderdag gaf Tokarev tijdens de Black Hat USA 2024 conferentie in Las Vegas een presentatie met de titel 'OVPNX: 4 Zero-Days Leading to RCE, LPE and KCE (via BYOVD) Affecting Millions of OpenVPN Endpoints Across the Globe'. Microsoft kwam op dezelfde dag met een blogposting waarin het meer details gaf. Twee van de vier kwetsbaarheden (CVE-2024-1305 en CVE-2024-27903) zijn als kritiek aangemerkt. Tijdens de presentatie liet Tokarev zien hoe de verschillende kwetsbaarheden zijn te combineren om kwetsbare systemen over te nemen. De aanval gaf hij de naam OVPNX. In zowel de titel als de omschrijving van zijn presentatie spreekt de onderzoeker geregeld over 'zero-days'. Volgens de makers van OpenVPN zijn de claims van de Microsoft-onderzoeker dat er zero-days in OpenVPN aanwezig zijn, waardoor de 'OVPNX'-aanval mogelijk is, onjuist. "De definitie van zerodaylekken is dat details openbaar zijn, maar er geen patch beschikbaar is. De OpenVPN-community heeft in maart 2024 een nieuwe versie uitgebracht met de oplossingen en details. Daarom zijn dit gewoon geen zerodaylekken", aldus het OpenVPN-ontwikkelteam. Dat heeft zelf ook meer details over de kwetsbaarheden gegeven. Zo zou een aanvaller al vergaande toegang tot een systeem moeten hebben om de kwetsbaarheden te misbruiken. "Voldoende toegang dat je waarschijnlijk deze kwetsbaarheden niet hoeft te misbruiken." bron: https://www.security.nl

Microsoft waarschuwt voor een spoofing-kwetsbaarheid in Microsoft Office 2016, 2019, LTSC 2021 en Microsoft 365 Apps for Enterprise waardoor een aanvaller NTLM-hashes van gebruikers kan stelen. Een beveiligingsupdate wordt morgen 13 augustus beschikbaar gemaakt. In de tussentijd heeft Microsoft voor ondersteunde Office-versies een 'alternative fix' uitgerold. Volgens het techbedrijf zijn klanten van alle ondersteunde versies van Microsoft Office en Microsoft 365 beschermd, maar wordt het installeren van de update morgen aangeraden. Daarnaast heeft Microsoft advies gegeven om het stelen van NTLM-hashes tegen te gaan. De kwetsbaarheid, aangeduid als CVE-2024-38200, werd gerapporteerd door Jim Rush van PrivSec Consulting en Metin Yunus Kandemir van Synack. Rush gaf dit weekend tijdens de Defcon-conferentie Las Vegas meer details over het beveiligingslek. Microsoft stelt dat misbruik alleen mogelijk is als gebruikers een malafide bestand openen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. Kwetsbaarheden in Office zijn in het verleden vaker gebruikt voor het stelen van NTLM-hashes. Via het malafide document kan een aanvaller het slachtoffer op zijn server laten inloggen, waarbij de hash wordt verstuurd, die vervolgens kan worden onderschept. De aanvaller kan daarna proberen de NTLM-hash te kraken of die te 'relayen' en zich zo als het slachtoffer bij andere diensten te authenticeren. bron: https://www.security.nl

Onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) konden wereldwijd miljoenen zonnepaneelsystemen van fabrikant Enphase via kritieke kwetsbaarheden op afstand overnemen. De fabrikant heeft na te zijn ingelicht maatregelen genomen. De eerste problemen werden aangetroffen in het accountbeheer van Enphase-apparatuur. De gelijkstroom die zonnepanelen leveren wordt via omvormers omgezet in wisselstroom. Enphase biedt systemen waarbij elk systeem van een eigen micro-omvormer is voorzien. De systemen die Enphase biedt kunnen gebruikers via een account beheren. DIVD-onderzoeker Wietse Boonstra ontdekte een kwetsbaarheid waardoor hij zichzelf beheerder van andere accounts kon maken, meldt Follow The Money vandaag. Enphase werd ingelicht waarna de belangrijkste kwetsbaarheid binnen 24 uur verholpen. Daarnaast vonden DIVD-onderzoekers ook zes kritieke kwetsbaarheden in Enphase IQ Gateway, dat eerder nog bekend stond als Enphase Envoy. Deze oplossing verzorgt de communicatie via de micro-omvormers van zonnepanelen en de Enphase-app. Door drie van de kwetsbaarheden te combineren was het mogelijk voor een ongeauthenticeerde aanvaller om op afstand commando's op het systeem uit te voeren. Via de gevonden problemen zou een aanvaller kunnen proberen om via een aanval op de zonnepaneelsystemen het stroomnet te ontregelen. "Een gateway is alleen kwetsbaar als de Enphase-apparatuur is gekoppeld aan een niet-vertrouwd netwerk, zoals het openbare internet of een gastennetwerk thuis. Volgens de fabrikant zijn er zo’n vier miljoen systemen geïnstalleerd in meer dan 150 landen", zo laat het DIVD in een persbericht weten. De gevonden beveiligingslekken zijn verholpen in de volgende release die momenteel wordt uitgerold. DIVD werkt samen met Enphase om wereldwijd kwetsbare en blootgestelde Envoy IQ Gateways te identificeren om te helpen bij het patchen. "De energiesector is essentieel voor ons dagelijks leven, maar door de snelle energietransitie nemen de kwetsbaarheden toe. Nieuwe technologieën zoals slimme netwerken en IoT-apparaten verhogen de risico’s, vaak sneller dan de beveiligingsmaatregelen kunnen bijbenen. Daarom is het cruciaal om cyberbeveiliging prioriteit te geven om deze bedreigingen te beheersen", zo laat het DIVD verder weten. bron: https://www.security.nl

Aanvallers maken misbruik van een zes jaar oude kwetsbaarheid in Windows, ook al is een update sinds 8 mei 2018 beschikbaar, zo laat Cisco weten. De Amerikaanse overheid heeft het beveiligingslek, aangeduid als CVE-2018-0824, aan een lijst met actief aangevallen kwetsbaarheden toegevoegd. Cisco waarschuwde vorige week voor een groep genaamd APT41 die zich zowel met spionage als financieel gemotiveerde cybercrime bezighoudt. CVE-2018-0824 betreft een kwetsbaarheid in Microsoft COM for Windows waardoor remote code execution mogelijk is. APT41 gebruikt het beveiligingslek om de eigen rechten te verhogen op systemen waar het al toegang toe heeft, aldus de uitleg van Cisco. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft het Windows-lek toegevoegd aan de lijst met actief aangevallen kwetsbaarheden. Amerikaanse overheidsinstanties zijn daarnaast opgedragen om de update waarmee het beveiligingslek wordt verholpen voor 26 augustus te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

De campagne die Mozilla afgelopen juni startte over 'onofficiële' websites die Firefox aanbieden heeft ruim achttienhonderd meldingen opgeleverd, zo laat de Firefox-ontwikkelaar weten. Het gaat om sites die downloads van Firefox aanbieden, waarbij er niet direct wordt doorgelinkt naar Mozilla.org. Volgens Mozilla waren veel van de Firefox-downloads vorig jaar afkomstig van onbekende bronnen. Dit brengt verschillende risico's met zich mee, bijvoorbeeld dat gebruikers een verouderde of malafide versie van de browser downloaden en installeren, aldus de Firefox-ontwikkelaar. Die riep gebruikers op om dergelijke websites te rapporteren. De campagne heeft in totaal 1844 meldingen opgeleverd, aan de hand waarvan 683 unieke third-party websites en 105 unieke downloadlinks werden geïdentificeerd. Mozilla gebruikt de meldingen voor verder onderzoek dat nog gaande is. bron: https://www.security.nl

Thuisgebruikers wereldwijd zijn het doelwit van een nieuwe campagne waarbij de Magniber-ransomware wordt verspreid. Voor het ontsleutelen van bestanden wordt een bedrag van duizend dollar gevraagd, dat oploopt tot vijfduizend dollar als er niet binnen drie dagen wordt betaald. Waar veel ransomwaregroepen zich richten op bedrijven en andere organisaties, heeft Magniber het vooral op thuisgebruikers voorzien. Sinds 20 juli ontving ID-Ransomware, een website waar slachtoffers van ransomware kunnen kijken door welke variant ze zijn getroffen, meer dan zevenhonderd inzendingen van de Magniber-ransomware, zo laat het tegenover Bleeping Computer weten. De website zag op het eigen forum ook een toename van Magniber-slachtoffers die om hulp vroegen. In het verleden gebruikte de Magniber-groep nep-updates om slachtoffers met ransomware te infecteren. Hoe de nieuwste infecties plaatsvinden is onbekend. Wel blijkt dat verschillende slachtoffers met Windows 7 werken. Vorig jaar gebruikte de groep nog een onbekende kwetsbaarheid in Windows om Microsofts SmartScreen te omzeilen en slachtoffers zo te verleiden tot het openen van malafide bestanden. Het beveiligingslek werd drie maanden na ontdekking van het eerste misbruik door Microsoft gepatcht. Er is geen decryptietool voor de nieuwste Magniber-variant beschikbaar. bron: https://www.security.nl

Google schaadt de belangen van miljarden Chrome-gebruikers door trackingcookies toch in de browser te blijven gebruiken, ook al had het eerder aangegeven hiermee te stoppen, zo stelt de Amerikaanse burgerrechtenbeweging EFF. Die wil dat Google de beslissing terugdraait, het bedrijf wordt opgebroken en er strengere privacywetgeving komt, die onder andere gerichte advertentie verbiedt. Trackingcookies spelen een belangrijke rol bij het volgen van gebruikers op internet en tonen van gerichte advertenties. Vanwege privacyzorgen worden dergelijke cookies door meerdere browsers inmiddels geblokkeerd. Google had plannen aangekondigd om trackingcookies in de eigen browser uit te faseren, maar kwam daar vorige maand op terug. "Door deze plannen te verlaten stelt Google miljarden Chrome-gebruikers bloot aan online surveillance", aldus de EFF. "Dit is slecht voor jouw privacy en goed voor Googles business." Volgens de burgerrechtenbeweging is de beslissing van Google om trackingcookies in Chrome te blijven ondersteunen het gevolg van Googles businessmodel. Het grootste deel van de inkomsten die het techbedrijf verdient is afkomstig van gerichte advertenties. "Google is de grootste tracker op internet, en de meeste websites die je bezoekt bevatten Google-trackers, (waaronder maar niet beperkt tot third-party cookies)", gaat de burgerrechtenbeweging verder. "Nu Chrome gebruikers kwetsbaar voor tracking laat, blijft Google bijna tachtig procent van hun inkomsten via online advertenties ontvangen", De EFF ziet verschillende oplossingen om de problematiek aan te pakken. Zo zou de marktmacht van Google doorbroken moeten worden door het bedrijf op te splitsen. Daarnaast moet het techbedrijf de beslissing terugdraaien en trackingcookies toch uitfaseren. "Zeker wanneer andere grote browsers die al jaren blokkeren, is het een duidelijke schending van het vertrouwen van gebruikers. Google moet de privacy van mensen boven hun eigen advertentie-inkomsten plaatsen en echte oplossingen zoeken voor mededingszorgen." Verder adviseert de EFF gebruikers om anti-trackingextensies te installeren. "We hebben ook privacywetgeving nodig om ervoor te zorgen dat privacystandaarden niet door advertentiebedrijven worden bepaald." Daarbij zouden ook gerichte advertenties moeten worden verboden, aangezien die de reden voor de buitensporige dataverzameling zijn. "Googles beslissing om third-party cookies in Chrome toe te blijven staan is een grote teleurstelling. Om internet te gebruiken zou je je niet moeten overgeven aan uitgebreide surveillance. Nu Google winst boven privacy plaatst hebben we wetgeving nodig die jou controle over je data geeft", besluit de EFF haar pleidooi. bron: https://www.security.nl

Een spionagegroep is erin geslaagd om de DNS-infrastructuur van een niet nader genoemde internetprovider te kapen om zo besmette updates onder klanten te verspreiden, zo stelt securitybedrijf Volexity in een analyse. Via de besmette updates werden zowel macOS- als Windowssystemen bij aangevallen organisaties gecompromitteerd. Het Domain Name System (DNS) is het systeem en netwerkprotocol dat namen van domeinen koppelt aan ip-adressen en omgekeerd. Doordat de aanvallers de DNS-omgeving van de provider hadden gecompromitteerd konden ze via aangepaste DNS-responses bepaalde applicaties malafide updates laten downloaden. Het ging hierbij specifiek om applicaties die automatische updates via HTTP uitvoeren en de digitale handtekening van de update of installer niet goed controleren. Eén van de applicaties waar de aanvallers het op hadden voorzien was 5KPlayer. Deze applicatie zal bij elke start controleren of er een nieuwe versie van de software YoutubeDL beschikbaar is. Hiervoor verstuurt 5KPlayer een HTTP-request. Wanneer er een nieuwe versie beschikbaar is zal 5KPlayer die vanaf een opgegeven locatie downloaden. De aanvallers konden, omdat er gebruik werd gemaakt van HTTP, het verzoek onderscheppen en laten weten dat er een update beschikbaar was, die vanaf hun server gedownload moest worden. De aangeboden update bevatte echter malware, waarmee de aanvallers systemen konden compromitteren. Bij één van de succesvolle aanvallen installeerden de aanvallers vervolgens een malafide Google Chrome-extensie waarmee browsercookies werden gestolen. Hoe de aanvallers de betreffende internetprovider konden compromitteren en welke apparatuur daarbij werd besmet is niet bekend. Volexity waarschuwde de ISP, die vervolgens verschillende netwerkapparaten offline haalde, waarna de DNS-manipulatie meteen stopte. bron: https://www.security.nl