Captain Kirk

Apple heeft een kritieke kwetsbaarheid in de Windowsversie van iTunes verholpen, waardoor een aanvaller de app kan laten crashen of in het ergste geval willekeurige code op het systeem kan uitvoeren. Het beveiligingslek (CVE-2024-27793) is aanwezig in het Core Media framework dat door iTunes wordt gebruikt voor het verwerken van mediabestanden. Wanneer een kwetsbare versie van iTunes een speciaal geprepareerd mediabestand verwerkt is 'arbitrary code execution' mogelijk, aldus de uitleg van Apple. De kwetsbaarheid werd gevonden en gerapporteerd door een onderzoeker van de University of Texas. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Gebruikers wordt opgeroepen om te updaten naar iTunes 12.13.2 voor Windows. bron: https://www.security.nl

Klokkenluiderssysteem SecureDrop heeft een end-to-end versleuteld protocol aangekondigd waar toekomstige versies van SecureDrop-servers gebruik van kunnen maken. SecureDrop is een systeem waarmee klokkenluiders en journalisten met elkaar kunnen communiceren en informatie uitwisselen. Uitgevers of kranten kunnen een eigen SecureDrop-server opzetten, waar klokkenluiders documenten en tips naar toe kunnen sturen. Het maakt hiervoor gebruik van het Tor-netwerk. De ontwikkelaars van SecureDrop hebben nu een nieuw protocol gepresenteerd dat onderdeel van een herontwerp is en meer bescherming moet bieden dan het huidige model. Zo vereist het nieuwe protocol geen accounts, geen serverauthenticatie, zijn er geen berichten, blijft de 'server state' hetzelfde en wordt er geen ciphertext verzameld. Dit moet voorkomen dat een aanvaller informatie in handen krijgt waarmee de anonimiteit van de klokkenluider of vertrouwelijkheid en integriteit van inzendingen zijn te ondermijnen. Het nieuwe SecureDrop-protocol maakt gebruik van een eenvoudige API (application programming interface) met slechts drie endpoints: send, fetch en download. De requests die klokkenluiders en journalisten naar deze endpoints sturen zijn identiek gestructureerd, wat het lastiger maakt om ze te onderscheiden als iemand de server heeft gecompromitteerd of een aanval op het netwerk uitvoert. Daarnaast is de respons van de server voor elk request uniek, zodat er geen 'server state' informatie lekt. Het is de bedoeling dat de SecureDrop-server tot alleen minimale metadata toegang heeft, waardoor die ook in 'vijandige omgevingen' is te gebruiken. Op GitHub is inmiddels een proof-of-concept van het protocol gepubliceerd. SecureDrop waarschuwt dat het hier om een proof-of-concept gaat en de code niet bedoeld voor productie is. De details van het protocol zijn ook nog niet definitief. bron: https://www.security.nl

Ruim vijftigduizend Tinyproxy-servers bevatten een eenvoudig te misbruiken kritieke kwetsbaarheid, die in het ergste geval tot remote code execution kan leiden, en een bijgewerkte versie is niet beschikbaar. Dat stelt securitybedrijf Censys op basis van een eigen meting. Tinyproxy is proxysoftware voor Unix-achtige besturingssystemen en biedt eenvoudige proxyfunctionaliteit. Tinyproxy-versies 1.11.1 en 1.10 bevatten een kwetsbaarheid (CVE-2023-49606) waardoor een aanvaller via het versturen van een speciaal geprepareerde HTTP header een 'use-after-free' kan veroorzaken. Dit maakt het uitvoeren van willekeurige code op de server mogelijk. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Hoewel het is ontworpen voor kleinere netwerken, kan het compromitteren van een proxyserver ernstige gevolgen hebben, zoals datalekken en verstoringen", aldus Censys. Op 1 mei publiceerde Cisco een proof-of-concept exploit voor de kwetsbaarheid. Het bedrijf had de ontwikkelaar voor het probleem gewaarschuwd, maar kreeg naar eigen zeggen geen reactie en heeft nu details openbaar gemaakt. Censys voerde een scan uit en ontdekte meer dan 90.000 Tinyproxy-servers die vanaf internet toegankelijk zijn. Daarvan draaien er ruim vijftigduizend een kwetsbare versie. Organisaties en gebruikers die van Tinyproxy gebruikmaken wordt opgeroepen die niet vanaf internet benaderbaar te maken. Met name als de software in een ontwikkel- of testomgeving wordt gebruikt. Update De ontwikkelaar van Tinyproxy laat weten dat er een commit is waarmee de kwetsbaarheid wordt verholpen. Een bijgewerkte versie is nog niet beschikbaar, maar er wordt gekeken naar het maken van versie 1.11.2. Tevens stelt de ontwikkelaar dat hij niet is ingelicht door Cisco. bron: https://www.security.nl

Er is een 'golf' van aanvallen gaande op WordPress-sites die gebruikmaken van de plug-in LiteSpeed Cache, zo meldt WPScan, onderdeel van Automattic, het bedrijf achter WordPress.com. Via een kwetsbaarheid in de plug-in voegen aanvallers een admingebruiker toe met de naam wpsupp-user. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een beveiligingslek in versie 5.7 en ouder maakt het mogelijk voor aanvallers om malafide JavaScript in de website te injecteren en zo een admingebruiker aan te maken waarmee controle over de website kan worden verkregen. Volgens WPScan is het probleem verholpen in versie 5.7.0.1 en nieuwer. Uit cijfers van WordPress.org blijkt dat nog honderdduizenden websites een kwetsbare versie draaien. Beheerders worden dan ook opgeroepen om naar een nieuwe versie te updaten en te controleren of er geen malafide admingebruikers zijn aangemaakt. bron: https://www.security.nl

De Amerikaanse, Britse en Australische autoriteiten claimen de leider achter de beruchte LockBit-ransomware te hebben ontmaskerd. Volgens de Britse politie gaat het om een Russische man die het alias 'LockBitSupp' gebruikte en aan het hoofd stond van de ransomwaregroep. De Amerikaanse autoriteiten hebben een beloning van 10 miljoen dollar uitgeloofd die leidt tot de aanhouding en/of veroordeling van de man. LockBit, waarvan de eerste versie begin 2020 verscheen, wordt aangeboden als een Ransomware-as-a-Service (RaaS). Door middel van RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Begin dit jaar namen autoriteiten tijdens een internationale operatie allerlei servers van de ransomwaregroep in beslag. Het Britse National Crime Agency (NCA) stelt dat via de LockBit-service meer dan zevenduizend aanvallen wereldwijd zijn uitgevoerd. Bij de operatie begin dit jaar werden ook aan verschillende vermeende leden van de groep sancties opgelegd. Nu geldt dat ook voor de vermeende leider van LockBit. Hij heeft een reisverbod gekregen en zijn tegoed bevroren. Hoe de autoriteiten de verdachte op het spoor zijn gekomen is niet bekendgemaakt. bron: https://www.security.nl

Onderzoekers hebben een nieuwe aanval ontwikkeld genaamd 'TunnelVision' waarmee het mogelijk is om het ip-adres en verkeer van vpn-gebruikers te lekken, zonder dat gebruikers hiervoor worden gewaarschuwd. Normaliter wordt bij een vpn een tunnel naar de vpn-server opgezet waardoor al het verkeer gaat. TunnelVision zorgt ervoor dat het verkeer niet via de tunnel gaat, waarna het door een aanvaller is af te luisteren. De aanval werkt niet tegen vpn-apps op Android, aldus onderzoekers van Leviathan Security. Die stellen dat de aanval al sinds 2002 mogelijk is en sluiten niet uit dat er misbruik van is gemaakt. De aanval vereist dat de aanvaller op hetzelfde netwerk als het slachtoffer zit. Het slachtoffer moet een DHCP (Dynamic Host Configuration Protocol) lease van de server van de aanvaller accepteren. De DHCP-server kent ip-adressen aan gebruikers op het netwerk toe. Door middel van een instelling genaamd 'optie 121' kan de malafide DHCP-server de standaard routeringsregels van de gebruiker aanpassen. Daardoor gaat het verkeer aan de kant van de gebruiker, dat via de vpn--tunnel zou moeten worden verstuurd, niet via de vpn-tunnel. Vpn-apps zullen dit echter niet detecteren en gebruikers geen waarschuwing geven. De tweede vereiste van de TunnelVision-aanval is dat de DHCP-client van het slachtoffer optie 121 heeft geïmplementeerd. In het geval van Android blijkt het besturingssysteem optie 121 te negeren, waardoor de aanval daar niet werkt. Naast het negeren van optie 121 kan op Linux het gebruik van network namespaces de aanval voorkomen. De kwetsbaarheid waarvan TunnelVision gebruikmaakt wordt aangeduid als CVE-2024-3661. bron: https://www.security.nl

Het ontwikkelteam van Thunderbird heeft een twintig jaar oude 'bug' verholpen om spam beter te kunnen herkennen. Op 10 mei 2004 deed iemand het verzoek om in de kolom van afzenders zowel naam als e-mailadres weer te geven. Op dit moment is alleen de naam zichtbaar. Wanneer ook het e-mailadres zou worden weergegeven, zou het volgens de indiener van 'Bug 243258' eenvoudiger moeten worden om spam te herkennen. "Iets wat bijna twintig jaar geleden is gevraagd is eindelijk in de Daily-versie terechtgekomen. De mogelijkheid om de weergave van ontvangers in de berichtenlijst te bepalen en beter onbekende adressen te kunnen onderscheiden van die in het adresboek zijn opgeslagen, is eindelijk geïmplementeerd", zegt Alessandro Castellani van het Thunderbird-team. Volgens de ontwikkelaar is dit één van de vele voorbeelden van features die in het verleden lastig te implementeren waren, maar door verbeteringen aan de architectuur van Thunderbird eindelijk zijn toe te voegen. Het ontwikkelteam is dan ook van plan om meer van deze oude verzoeken waar mogelijk uit te voeren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in GitLab waarmee het mogelijk is om accounts van gebruikers via een wachtwoordreset over te nemen. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Het beveiligingslek, aangeduid als CVE-2023-7028, zorgt ervoor dat een aanvaller e-mails voor het resetten van het accountwachtwoord op een ongeverifieerd e-mailadres kan laten afleveren. Zo kan een aanvaller het wachtwoord van elk willekeurig account resetten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. In het geval gebruikers voor hun account tweefactorauthenticatie (2FA) hebben ingeschakeld is het nog steeds mogelijk voor een aanvaller om het wachtwoord te resetten, maar niet om het account over te nemen, aangezien er nog een tweede factor is vereist om in te loggen. Op 11 januari kwam GitLab met updates voor het probleem. Volgens cijfers van de Shadowserver Foundation zijn op internet nog altijd meer dan duizend GitLab-installaties kwetsbaar. Daarvan bevinden zich er zo'n vijftig in Nederland. Bij de bekendmaking van de kwetsbaarheid liet GitLab weten dat het niet met misbruik bekend was. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt nu dat aanvallen wel plaatsvinden. Gebruikers en organisaties worden dan ook opgeroepen hun GitLab-installatie te updaten. bron: https://www.security.nl

De Europese Ombudsman heeft de Europese Commissie beticht van wanbestuur en opgeroepen om documenten over het willen controleren van alle chatberichten van Europese burgers openbaar te maken, omdat Brussel dit weigert te doen en daar volgens de Ombudsman geen goede reden voor is. Begin 2022 kwam de Europese Commissie met een voorstel om alle chatberichten en ander verkeer van burgers te inspecteren. In het geval van end-to-end versleutelde chatdiensten zou dit via client-side scanning moeten plaatsvinden, waarbij alle berichten van alle burgers zouden worden gecontroleerd, ongeacht of die ergens van worden verdacht. Brussel ontving een verzoek om alle documenten met betrekking tot het plan openbaar te maken. In totaal vielen volgens de Europese Commissie 121 documenten onder het verzoek. In totaal werd tot 27 documenten volledige toegang gegeven. Bij 66 documenten was dit gedeeltelijk en toegang tot 28 documenten werd geweigerd. Daarbij claimde Brussel dat deze uitzondering gerechtvaardigd was omdat openbaarmaking de openbare veiligheid, commerciële belangen, het beslissingsproces en juridisch advies zouden kunnen schaden. De persoon die de documenten had opgevraagd stapte vervolgens naar de Europese Ombudsman, die een onderzoek naar de betreffende documenten startte. De Ombudsman komt tot de conclusie dat de Europese Commissie onterecht de documenten geheim houdt en dat het niet willen openbaren als wanbestuur te bestempelen valt. De Ombudsman roept Brussel op om de documenten alsnog openbaar te maken. bron: https://www.security.nl

De Amerikaanse overheid meldt dat aanvallers actief misbruik maken van een beveiligingslek in Windows SmartScreen. Microsoft heeft dit nog altijd niet in het eigen beveiligingsbulletin verwerkt, ook al verklaarde het techbedrijf op 9 april al tegenover securitybedrijf ZDI dat het met het misbruik bekend was. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-29988) zorgt ervoor dat de waarschuwing niet verschijnt. De kwetsbaarheid werd al voor het verschijnen van de beveiligingsupdate op 9 april gebruikt bij aanvallen. Er was dan ook sprake van een zogeheten 'zero day'. Normaliter vermeldt Microsoft in de beveiligingsbulletins als het met misbruik bekend is, maar dat is in het geval van CVE-2024-29988 nog altijd niet het geval. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat nu weten dat het bekend is met aanvallen waarbij de kwetsbaarheid wordt gebruikt en heeft die op een lijst van actief aangevallen beveiligingslekken geplaatst. bron: https://www.security.nl

Apple maakt het voor malafide appstores mogelijk om Europese Safari-gebruikers via een uniek device ID op internet te volgen, zo waarschuwen onderzoekers. Met de lancering van iOS 17.4 heeft Apple een nieuw 'URI scheme' geïntroduceerd waarmee Europese gebruikers alternatieve appstores kunnen downloaden en installeren vanaf een website. Hiervoor moeten alternatieve appstores aan hun website het URI scheme toevoegen. In het geval van Safari blijkt de browser niet te controleren of het gebruikte URI scheme wel aan de juiste website is toegevoegd. Daardoor is het mogelijk om het URI scheme toe te voegen aan een website die niet van de betreffende alternatieve appstore is. Safari zal in dit geval via de URI toch informatie over het toestel van de gebruiker naar deze website sturen. Meerdere websites kunnen dit "MarketplaceKit-proces" via de URI aanroepen, waarbij steeds hetzelfde unieke device ID wordt verstuurd. "Een malafide alternatieve marktplaats kan deze truc gebruiken om gebruikers over meerdere websites te volgen", aldus onderzoekers Talal Haj Bakry en Tommy Mysk. In het geval de Brave-browser wordt gebruikt is deze vorm van tracking niet mogelijk, omdat Brave het betreffende request blokkeert. "Safari zou gebruikers tegen cross-site tracking moeten beschermen. Het zou moeten doen wat Brave doet en de origin van de website moeten controleren en vergelijken met de opgegeven URL", concluderen de onderzoekers. "Het zou het URI scheme niet moeten aanroepen als de URL's niet overeenkomen." Afsluitend adviseren de onderzoekers het gebruik van Brave, omdat dit de enige geautoriseerde browser is die dit soort cross-site tracking blokkeert. bron: https://www.security.nl

De Europese Commissie doet onderzoek of Meta mogelijk de Digital Services Act (DSA) heeft overtreden. Het gaat dan om misleidende advertenties, zichtbaarheid van politieke content, het ontbreken van een tool om de verkiezingen te monitoren en het mechanisme om illegale content op Facebook en Instagram te rapporteren. De Commissie denkt dat Meta niet aan de verplichtingen van de DSA voldoet als het gaat om de aanpak van misleidende advertenties en 'desinformatiecampagnes'. Brussel is bang dat dergelijke content een risico voor de aankomende Europese verkiezingen vormt. Ook denkt de Europese Commissie dat het beleid van Meta met betrekking tot politieke content, waardoor politieke content een lagere aanbeveling krijgt, niet in lijn met de DSA is. Verder heeft Brussel het vermoeden dat het mechanisme om illegale content te rapporteren niet aan de DSA-verplichtingen voldoet. Het gaat dan onder andere om de verplichting dat het melden van illegale content eenvoudig en gebruikersvriendelijk is, wat nu mogelijk niet zo is. Tegelijkertijd denkt de Commissie dat Meta geen effectief intern klachtensysteem heeft om klachten te registreren over moderatiebeslissingen. Afhankelijk van de uitkomsten van het onderzoek kan Brussel handhavende maatregelen nemen. Voor het overtreden van de DSA kan de Commissie een boete opleggen die zes procent van de wereldwijde omzet bedraagt. bron: https://www.security.nl

Streamingdienst MovieBoxPro heeft de gegevens van zes miljoen gebruikers gelekt, zo meldt beveiligingsonderzoeker Troy Hunt. Volgens de onderzoeker gaat het om een 'juridisch dubieuze' streamingdienst waar e-mailadressen en gebruikersnamen van gebruikers via een kwetsbare API (application programming interface) konden worden gescrapet. Hunt kon geen contactgegevens vinden om de kwetsbaarheid en het datalek te rapporteren. "Geen contactinformatie op de website, geen social accounts, WHOIS privacy ingeschakeld, geen informatie over personen, oprichters of locaties. Deze gasten willen echt niet gevonden worden lijkt het?", aldus Hunt op X. Naar verluidt zou de kwetsbaarheid in de API inmiddels zijn verholpen. De zes miljoen gelekte e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun gegevens in bekende datalekken voorkomen. Van de miljoenen bij MovieBoxPro gelekte e-mailadressen kwam 36 procent al in een ander bekend datalek voor. bron: https://www.security.nl

QNAP gaat de NAS-apparaten die het biedt voorzien van bescherming tegen ransomware. Het bedrijf heeft een nieuwe bètaversie van QTS uitgebracht, het besturingssysteem dat op QNAP-apparaten draait, met een feature genaamd 'Security Center'. Dit onderdeel monitort bestanden actief op ongewone of abnormale aanpassingen van een groot aantal bestanden. De NAS neemt dan maatregelen om de bestanden te beschermen, waaronder het activeren van een read-only mode en het maken van een snapshot. Daarnaast wordt de gebruiker gewaarschuwd. Gebruikers kunnen de beveiligingsmaatregelen tegen ransomware of menselijke fouten aanpassen, om zo het risico op dataverlies te voorkomen wanneer ongewone bestandsactiviteiten zich voordoen. Via een dashboard kunnen gebruikers ook zien hoe vaak bestanden op hun NAS worden aangepast, aangemaakt of verwijderd. De afgelopen jaren zijn NAS-apparaten van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Hierbij werden bestanden op tienduizenden NAS-apparaten versleuteld en moesten gebruikers losgeld betalen om weer toegang tot hun data te krijgen. Om toegang tot de systemen te krijgen maakten de aanvallers gebruik van bekende kwetsbaarheden waarvoor updates beschikbaar waren, maar die niet door gebruikers waren geïnstalleerd, maar ook zerodaylekken waar geen patches voor waren ontwikkeld. Wanneer de definitieve versie van QTS 5.2 met Security Center verschijnt is nog niet bekend. bron: https://www.security.nl

Indien je dochter de pc goed af sluit zou het ook kunnen zijn dat de wake-up-lan of de wake up USB in de bios aan staat. Dus dat is ook nog een optie om te bekijken.

Authenticatieplatform Okta waarschuwt klanten voor een grootschalige credential stuffing-aanval op gebruikersaccounts die afgelopen week plaatsvond en waarbij gebruik werd gemaakt van zogenoemde 'residential proxies'. Het gaat hier om proxydiensten die het verkeer van betalende klanten via de systemen en internetverbindingen van legitieme thuisgebruikers laten lopen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Criminelen voeren geregeld phishingaanvallen uit waarbij medewerkers van organisaties sms-berichten ontvangen die naar Okta-phishingsites linken. Op deze manier wordt geprobeerd om inloggegevens voor accounts te ontfutselen. Bij de nu waargenomen aanval proberen de aanvallers direct op het account van medewerkers in te loggen. De aanvallers maken hiervoor gebruik van credential stuffing. Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Onlangs waarschuwde ook Cisco voor credential stuffing-aanvallen tegen ssh- en vpn-servers. Volgens Okta zijn beide aanvallen afkomstig van dezelfde infrastructuur, waarbij gebruik wordt gemaakt van het Tor-netwerk en proxydiensten. Het gaat dan specifiek om 'residential proxies'. Deze diensten maken zoals gezegd gebruik van de systemen en internetverbindingen van legitieme thuisgebruikers om het internetverkeer van betalende klanten te routeren. Deze thuisgebruikers kunnen hun systemen bewust aanmelden bij een proxydienst en krijgen dan in ruil voor hun proxy een vergoeding. Ook komt het voor dat met malware besmette systemen onderdeel van een proxynetwerk worden gemaakt. Okta meldt dat een groot aantal mobiele telefoons onderdeel van een proxynetwerk is geworden, doordat gebruikers een app installeerden die door middel van een besmette SDK (software development kit) was gemaakt. De app-ontwikkelaars kunnen bewust de app hebben gebruikt of zijn zich niet bewuste van de aanwezige kwaadaardige code, laat Okta verder weten. Het voordeel voor aanvallers om residential proxies te gebruiken is dat het verkeer van de credential stuffing-aanvallen afkomstig lijkt van de telefoons, computers en browsers van normale gebruikers, in plaats van de ip-adressen van VPS-providers die ook vaak door proxydiensten worden gebruikt. Okta adviseert organisaties om inlogpogingen afkomstig van residential proxies te blokkeren en multifactorauthenticatie voor accounts in te stellen. Ook heeft het bedrijf een Top 20 van netwerkproviders gegeven die door de aanvallers zijn gebruikt, waaronder Surf B.V., OVH en Akamai Connected Cloud. bron: https://www.security.nl

Antivirusbedrijf Avast heeft met het verzamelen en verkopen van gebruikersgegevens op meerdere punten de AVG overtreden en moet daarom een boete van omgerekend 14 miljoen euro betalen, zo heeft de Tsjechische privacytoezichthouder UOOU geoordeeld (pdf). De autoriteit startte begin 2020 een onderzoek naar de activiteiten van Avast. In 2022 stelde de UOOU vast dat de virusbestrijder in overtreding was, maar die ging hier tegen in beroep. De toezichthouder heeft onlangs het beroep behandeld en kwam tot het oordeel dat Avast de AVG heeft geschonden en een boete moet betalen. Via de browser-extensie en antivirussoftware verzamelde Avast gegevens van honderd miljoen gebruikers die aan derden werden doorverkocht. Al in 2019 werd bekend dat Avast miljoenen aan het browsegedrag van gebruikers verdiende. Deze gegevens werden verhandeld via databedrijf Jumpshot, waar Avast een meerheidsbelang in had. Naar aanleiding van de onthulling over het dataverzamelen besloten Google en Mozilla de browserextensies van Avast uit hun extensie-stores te verwijderen. In een reactie op de ontstane ophef besloot Avast vervolgens verschillende aanpassingen door te voeren, maar vanwege de aanhoudende kritiek werd Jumpshot begin 2020 opgeheven. Avast stelde dat het om anonieme gegevens ging, maar dat bleek niet zo te zijn en een deel van de Avast-gebruikers was alsnog te identificeren. Gebruikers werden dan ook verkeerd door Avast geïnformeerd, dat ook niet goed had onderzocht of de gegevensverwerking noodzakelijk was en of het legitiem belang van Avast zwaarder woog dan het legitiem belang van gebruikers, aldus de toezichthouder. De UOOU benadrukte in de beslissing dat Avast een cybersecuritybedrijf is en tools biedt die data en privacy juist zouden moeten beschermen. Gebruikers hadden dan ook niet kunnen verwachten dat juist dit bedrijf hun persoonlijke gegevens zou doorverkopen, aan de hand waarvan niet alleen hun identiteit was vast te stellen, maar ook hun interesses, voorkeuren, beroep en andere privacygerelateerde zaken. Begin dit jaar werd bekend dat Avast in de VS een bedrag van 16,5 miljoen dollar moet betalen. bron: https://www.security.nl

Een groot deel van de CrushFTP-servers mist een belangrijke beveiligingsupdate voor een actief aangevallen kwetsbaarheid waardoor een aanvaller het systeem kan overnemen. In eerste instantie werd gemeld dat een aanvaller via de kwetsbaarheid willekeurige bestanden kon lezen, maar securitybedrijf Rapid7 laat weten dat het beveiligingslek het omzeilen van de authenticatie voor het admin-account en volledige remote code execution mogelijk maakt. Vorige week waarschuwden de CrushFTP-makers voor een actief aangevallen zerodaylek, waar op het moment van de aanvallen geen patch voor beschikbaar was. Inmiddels zijn er wel updates beschikbaar gemaakt, maar blijken veel beheerders die nog niet geïnstalleerd te hebben. The Shadowserver Foundation telde op 24 april minstens 1400 kwetsbare CrushFTP-servers. Volgens securitybedrijf Censys zijn er op internet zo'n 2400 CrushFTP-servers te vinden. De meeste kwetsbare servers bevinden zich in de Verenigde Staten. In Nederland zijn er zo'n vijftig geteld. bron: https://www.security.nl

Onderzoekers hebben een server gebruikt door een bekende 'usb-worm' weten te 'sinkholen', waarna ze 2,5 miljoen unieke ip-adressen verbinding zagen maken. De PlugX-malware bestaat al vele jaren en wordt onder andere ingezet voor datadiefstal en spionage. Eén van de varianten verspreidt zich via usb-sticks, infecteert vanaf het besmette systeem nieuw aangesloten usb-sticks en verzamelt allerlei bestanden van het systeem. Met deze variant besmette machines maken geregeld verbinding met een command & control-server, bijvoorbeeld voor het downloaden van nieuwe malware. Al deze machines blijken verbinding met één specifiek ip-adres te maken. Onderzoekers van securitybedrijf Sekoia wisten vorig jaar september dit ip-adres in handen te krijgen. Op deze manier wisten ze het botnet te 'sinkholen'. Hierbij wordt verkeer afkomstig van een besmette machine doorgestuurd naar een server van bijvoorbeeld een securitybedrijf, autoriteit of provider, om zo verdere schade te voorkomen en besmette machines te identificeren. De afgelopen zes maanden zagen de onderzoekers elke dag 90.000 tot 100.000 unieke ip-adressen requests naar het command & control ip-adres versturen die specifiek zijn voor met PlugX besmette machines. Over een periode van zes maanden gaat het om 2,5 miljoen unieke ip-adressen, waarbij er nog steeds nieuwe infecties plaatsvinden. De onderzoekers merken op dat het totaal aantal besmette machines onbekend is. Veel besmette machines kunnen namelijk een zelfde ip-adres hebben. Daarnaast zijn er veel internetgebruikers met een dynamisch ip-adres, waardoor een besmette machine gedurende een bepaalde periode meerdere ip-adressen kan hebben. De onderzoekers zagen wel dat vijftien landen bij elkaar voor meer dan tachtig procent van de infecties verantwoordelijk zijn. Het gaat vooral om Nigeria, India, China, Iran en Indonesië. bron: https://www.security.nl

Microsoft is al enige tijd bezig met een plan om kwetsbare Windows-bootmanagers in te trekken, om systemen zo tegen aanvallen met de BlackLotus-malware te beschermen. Een eerdere mitigatie die Microsoft vorig jaar uitbracht is te omzeilen, zo stelt het bedrijf in een nieuwe blogposting. Daarom gaat Microsoft een eigen certificaatautoriteit intrekken, maar dat kan ervoor zorgen dat systemen straks niet meer kunnen opstarten. De BlackLotus-malware maakt gebruik van een kwetsbaarheid in Windows voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de malware onder andere BitLocker en Microsoft Defender uitschakelen. UEFI-malware kan ook een herinstallatie van het besturingssysteem of vervangen van hardware overleven. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Vorig jaar kwam Microsoft met een mitigatie, maar die is te omzeilen. Daarom gaat het techbedrijf de Microsoft Windows Production PCA (Product Certificate Authority) 2011 intrekken. Dit zal door middel van een DBX-update worden gedaan. Dit heeft echter tot gevolg dat op systemen waarop secure boot staat ingeschakeld, het systeem niet meer kan opstarten via een Windows-bootmanager die is gesigneerd door het Microsoft Windows Production PCA 2011. Het gaat dan ook om het opstarten via bestaande herstelmedia, usb-media en network boot (WSD/PXE/HTTP) servers waarvan de bootmanager niet is bijgewerkt. Microsoft verwacht met name problemen met PXE boot. "Dat komt doordat je binaries die via PXE worden aangeboden niet kan updaten totdat alle machines ondersteund door de network boot server zijn geüpdatet om de nieuwe database-update te gebruiken", legt Microsofts Sochi Ogbuanya uit. Het techbedrijf heeft een plan van aanpak gepubliceerd hoe organisaties en gebruikers met deze DBX-update kunnen omgaan. bron: https://www.security.nl

Microsoft gaat een technologie van Windows 11 die voor kleinere updates zorgt ook voor Windows 10 toepassen. Volgens het techbedrijf zorgt het gebruik van 'efficient packaging' in Windows 11 voor veertig procent kleinere updates. Hoe kleiner de updates, hoe sneller beveiligingspatches worden geïnstalleerd en gebruikers beschermd zijn, aldus Microsoft. Het techbedrijf meldt dat dezelfde technologie van Windows 11 aan Windows 10 versie 22H2 wordt toegevoegd. Daarmee zou de omvang van maandelijkse 'latest cumulative update' (LCU) packages met twintig procent worden verminderd. "Het verkleinen van de omvang van LCU-packages heeft verschillende voordelen, zoals verminderd bandbreedtegebruik, snellere downloads, beperkter netwerkverkeer en verbeterde prestaties op tragere verbindingen", zegt Microsofts Santosh Kumar Patil. bron: https://www.security.nl

Firewalls van Cisco zijn al maandenlang het doelwit van aanvallen waarbij twee zerodaylekken worden gebruikt, zo heeft het bedrijf zelf laten weten. Bij de aanvallen weten de aanvallers malware op de firewalls te installeren. Hoe de aanvallers toegang tot de firewalls weten te krijgen is onbekend. Het zerodaylek aangeduid als CVE-2024-20359 maakt het mogelijk voor een aanvaller om willekeurige code met rootrechten op de firewall uit te voeren. Dit is echter alleen mogelijk als de aanvaller al admintoegang tot de firewall heeft. De andere zeroday, CVE-2024-20353, wordt gebruikt om te voorkomen dat de firewall een crash dump kan genereren, wat details over de aanval bevat. Via de kwetsbaarheid vindt er meteen een reboot van de firewall plaats, wat forensisch onderzoek zo bemoeilijkt. Zodra de aanvallers toegang tot een Cisco-firewall hebben worden er twee backdoors geïnstalleerd die Cisco "Line Runner" en "Line Dancer" noemt. Via de backdoors wijzigen de aanvallers de configuratie van de firewall, verzamelen netwerkverkeer en kunnen zich lateraal door het netwerk bewegen. De Britse overheid maakte een analyse van beide backdoors (pdf1, pdf2). Cisco stelt dat begin januari de eerste aanvallen zijn waargenomen waarbij de zerodays zijn ingezet. Vorig jaar juli zouden de aanvallers echter al zijn begonnen met het testen van de aanval. De Australische overheid laat weten dat verschillende firewalls in Australië zijn gecompromitteerd. Cisco heeft updates beschikbaar gemaakt om de zerodays te verhelpen. Volgens het netwerkbedrijf zijn de aanvallen het werk van een statelijke actor en is "klein aantal" klanten doelwit geworden. bron: https://www.security.nl

Google heeft vandaag nieuwe versies van Chrome uitgebracht waarin een kritieke kwetsbaarheid is verholpen waardoor een aanvaller willekeurige code op het systeem kan uitvoeren en in het ergste geval het systeem volledig kan overnemen. Een gebruiker hoeft hiervoor alleen een gecompromitteerde of besmette website te bezoeken of een besmette advertentie te zien krijgen. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. Vier weken geleden kwam Google ook al met een update voor een kritieke Chrome-kwetsbaarheid, en net als toen bevindt het nu verholpen probleem zich in ANGLE. Dit is een onderdeel van de browser dat wordt gebruikt voor het uitvoeren van WebGL- en andere OpenGL-content. De kwetsbaarheid werd gevonden en gerapporteerd door twee onderzoekers van Qrious Secure, die hiervoor een beloning van 16.000 dollar ontvingen. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 124.0.6367.78/.79 is beschikbaar voor Windows en macOS. Voor Linux is versie 124.0.6367.78 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

De Open Source Security Foundation (OpenSSF) en OpenJS Foundation waarschuwen opensource-ontwikkelaars voor social engineering, zoals bij de ontwikkelaar van datacompressietool XZ werd toegepast. Antivirusbedrijf Kaspersky verwacht dat de komende maanden meer gecompromitteerde opensourceprojecten bekend zullen worden. Eerder publiceerde Google-onderzoeker Russ Cox een overzicht van hoe social engineering bij de XZ-ontwikkelaar werd toegepast. Eén of meerdere aanvallers die zich voordeden als een persoon genaamd 'Jia Tan' wisten het vertrouwen van XZ-ontwikkelaar Lasse Collin te winnen en konden uiteindelijk een backdoor aan code van het project toevoegen. Collin heeft aangegeven met een eigen analyse van de aanval te komen, maar de XZ-ontwikkelaar heeft zijn website sinds 15 april niet meer bijgewerkt. Volgens de OpenJS Foundation en Open Source Security Foundation is de aanval op XZ waarschijnlijk geen geïsoleerd incident. Ze roepen dan ook alle opensource-ontwikkelaars op om alert te zijn op social engineering, dergelijke patronen te leren herkennen en maatregelen te nemen om hun opensourceprojecten te beschermen. De stichtingen hebben ook verschillende voorbeelden gegeven van hoe social engineering is te herkennen. "Deze social engineering-aanvallen maken misbruik van het plichtsgevoel dat maintainers voor hun project en community hebben om ze zo te manipuleren", aldus de stichtingen. "Let op hoe interacties je laten voelen. Interacties die zorgen voor twijfel, het gevoel tekort te schieten of het niet genoeg doen aan het project, etc., kunnen onderdeel van een social engineering-aanval zijn", aldus de stichtingen. "Het is duidelijk dat social engineering veel minder technische vereisten heeft om volledige toegang tot ontwikkelomgevingen te krijgen dan bij supplychain-aanvallen zoals SolarWinds, M.E.Doc en Asus het geval was", zegt antivirusbedrijf Kaspersky. De virusbestrijder verwacht dat de komende maanden meer incidenten zoals XZ bekend zullen worden. bron: https://www.security.nl

'Edge devices' zoals vpn's, firewalls en e-mail gateways, zijn steeds vaker het doelwit van spionageaanvallen, zo stelt Googles securitybedrijf Mandiant in het eigen jaarrapport. Het aanvallen van dit soort apparaten heeft verschillende voordelen voor aanvallers, zo laat het bedrijf weten. Zo draait er vaak geen beveiligings- of monitoringsoftware op, is er geen gebruikersinteractie vereist om ze te compromitteren, biedt het een springplank om het achterliggende netwerk aan te vallen en bemoeilijkt de vaak proprietary omgeving forensisch onderzoek. Volgens Mandiant maken aanvallers gebruik van ingebouwde features binnen edge devices, wat de complexiteit van de eigen malware vermindert. Het gaat dan bijvoorbeeld om het gebruik van speciale bestandsformaten of configuratiebestanden. "Dit is met name effectief op edge devices omdat de werking vaak niet gemonitord wordt door netwerkbeheerders en de activiteiten daardoor onopgemerkt blijven", aldus het securitybedrijf. Firewalls, gateways en vpn-oplossingen ondersteunen zelden beveiligingssoftware waarmee het apparaat op infecties of verdacht gedrag kan worden gemonitord. Verder kunnen de onderliggende platforms proprietary zijn, wat eventueel onderzoek bemoeilijkt. "Exploits voor deze apparaten zijn zeer waardevol voor aanvallers, omdat ze geen gebruikersinteractie vereisen, wat de kans op detectie verkleint." Wanneer aanvallers over een zeroday-exploit beschikken kunnen ze via het edge device de organisatie binnendringen en vaak lange tijd onopgemerkt blijven. "Als je malware op een Windowscomputer uitrolt is de kans veel groter dat je wordt gepakt dan wanneer je dezelfde malware op een vpn-apparaat uitrolt", zegt Charles Carmakal van Mandiant tegenover The Record. In het jaarrapport meldt Mandiant dat twee van de drie meest aangevallen kwetsbaarheden vorig jaar betrekking hadden op edge devices. Het ging om lekken in MOVEit Transfer en Barracuda Email Security Gateway. Onlangs waarschuwden het Nederlandse Nationaal Cyber Security Centrum (NCSC) en het Britse National Cyber Security Centre (NCSC) ook dat publiek benaderbare edge devices zoals firewalls, vpn-servers en e-mailservers steeds interessanter voor aanvallers worden. bron: https://www.security.nl