Captain Kirk

Onderzoekers hebben een nieuw ransomware-exemplaar ontdekt dat het gevraagde losgeld aan slachtoffers baseert op de eigen bestandsnaam. De meeste ransomware-exemplaren maken gebruik van een vast bedrag dat gebruikers moeten betalen om hun versleutelde gegevens te ontsleutelen. In het geval van de nu ontdekte variant van de Fantom-ransomware wordt er een apart proces gebruikt om het losgeldbedrag te bepalen. Dit laat de ontwikkelaar met hetzelfde exemplaar verschillende campagnes uitvoeren, maar afhankelijk van de bestandsnaam verschillende bedragen vragen. Als de ransomware-ontwikkelaar thuisgebruikers als doelwit heeft geeft hij de ransomware een bestandsnaam die om een lager bedrag vraagt dan wanneer bedrijven of organisaties het doelwit zijn. Het aanpassen van de bestandsnaam is hiervoor voldoende, zo laat de website Bleeping Computer weten. Zodra de Fantom-ransomware op een systeem wordt uitgevoerd controleert die de eigen procesnaam, die hetzelfde als de bestandsnaam is. Op basis hiervan wordt het losgeldbedrag bepaald. Ook wordt de procesnaam gebruikt voor vermelden van een specifiek e-mailadres om te betalen. De nieuwste versie van de Fantom-ransomware is daarnaast ook in staat om bestanden op systemen die het heeft geïnfecteerd, maar niet over een internetverbinding beschikken, te versleutelen en kan het netwerkmappen versleutelen. bron: security.nl

In het tweede kwartaal van dit jaar zijn er bijna 7.000 WordPress-sites gehackt, vaak omdat beheerders updates voor zowel WordPress als geïnstalleerde plug-ins niet hadden geïnstalleerd, zo meldt beveiligingsbedrijf Sucuri op basis van eigen gegevens dat het verzamelde (pdf). In totaal registreerde het bedrijf meer dan 9.000 gehackte sites. 6869 van deze websites draaiden op WordPress. De overige gehackte websites die werden geregistreerd draaiden voornamelijk op Drupal, Magento en Joomla. Hoewel het aantal gehackte WordPress-sites groter is dan dat van de andere systemen, wat mede is te verklaren door de populariteit van het contentmanagementsysteem, slagen WordPress-beheerders er wel beter in om hun websites up-to-date te houden. 55% van de gehackte WordPress-sites had op het moment dat ze werden gehackt niet de laatste WordPress-updates geïnstalleerd. Bij Drupal (84%), Joomla (86%) en Magento (96%) was het aantal ongepatchte websites veel groter. Een andere reden dat WordPress-sites worden gehackt is via de plug-ins die beheerders installeren en niet updaten. Oude kwetsbaarheden in drie populaire plug-ins zijn bij elkaar verantwoordelijk voor 22% van de gehackte WordPress-sites. Het gaat om de RevSlider- en GravityForms-plug-ins, gevolgd door het TimThumb-script. Voor alle drie de plug-ins is een update al meer dan een jaar beschikbaar. De patch voor TimThumb is al sinds 2011 verkrijgbaar, terwijl RevSlider sinds 2014 is gepatcht. Volgen Sucuri laat dit zien hoe lastig het is om webmasters op dit soort problemen te wijzen en ervoor te zorgen dat ze actie ondernemen. In het geval aanvallers toegang tot een website weten te krijgen installeren ze meestal een backdoor, gevolgd door kwaadaardige code die bezoekers van de website met malware probeert te infecteren. bron: security.nl

De makers van het contentmanagementsysteem (cms) Drupal hebben een nieuwe versie van Drupal 8 uitgebracht die meerdere kwetsbaarheden verhelpt, waardoor een aanvaller in het ergste geval het systeem op afstand kan overnemen, zo meldt het CERT van de Amerikaanse overheid. De update is door het Drupal-ontwikkelteam als ernstig bestempeld. Zo zou een aanvaller via een speciaal geprepareerde url willekeurige code in de url van een gebruiker kunnen uitvoeren. Daarnaast was het mogelijk om zonder beheerdersrechten de configuratiegegevens uit te lezen. Gebruikers krijgen dan ook het advies naar Drupal 8.1.10 te upgraden. bron: security.nl

Gebruikers van de populaire digitale valuta Monero zijn gewaarschuwd voor een kwetsbaarheid in de portemonnee die wordt gebruikt om het geld te beheren. Via het beveiligingslek kan een aanvaller op afstand namelijk Monero van gebruikers stelen. Het bezoeken van een website is hiervoor voldoende. Monero is een digitale valuta die zich richt op privacy, decentralisatie en schaalbaarheid. Het was deze maand na bitcoin de meest verhandelde digitale valuta. Onderzoekers van MWR Labs ontdekten in de Monero Simplewallet een cross site request forgery (csrf) kwetsbaarheid. Via csrf kan een aanvaller de browser van het slachtoffer ongewenste acties laten uitvoeren op de webapplicatie of website waar hij of zij is ingelogd. In het geval van de Monero SimpleWallet blijkt die een rpc-webdienst te hosten die geen enkele authenticatie vereist voor het uitvoeren van betalingen. Door een gebruiker naar een kwaadaardige pagina te lokken kan de aanvaller, via de browser van de gebruiker, betalingen via zijn of haar wallet uitvoeren. Zo is het mogelijk om de digitale valuta naar zijn eigen wallet over te maken. Op 6 september waarschuwde MWR Labs de ontwikkelaar voor de kwetsbaarheid. Die gaf aan met een hotfix te komen, die op 19 september verscheen. Deze patch bleek echter standaard niet te zijn ingeschakeld, waardoor gebruikers nog steeds kwetsbaar zijn. De ontwikkelaar stelt dat dit "by design" is om zo de productondersteuning niet te breken. Gebruikers moeten de patch dan ook handmatig inschakelen. Volgens de onderzoekers is een groot aantal wallets voor Monero kwetsbaar, aangezien ze allemaal Simplewallet in rpc-mode gebruiken. bron: security.nl

Het opensource-besturingssysteem Tails, dat volledig op privacy en veiligheid is gericht, heeft in de nieuwste versie verschillende extra beveiligingsfuncties ingeschakeld die gebruikers tegen aanvallen moeten beschermen. Tails staat voor The Amnesic Incognito Live System. Het is een compleet besturingssysteem dat op Debian is gebaseerd en allerlei tools bevat om anoniem te kunnen internetten. Tails is vanaf een dvd of usb-stick te gebruiken. In de nieuwste versie, Tails 2.6, wordt er van verschillende extra beveiligingsfuncties gebruik gemaakt. Zo is address space layout randomization (aslr) in de Linux-kernel ingeschakeld. Deze beveiligingsmaatregel moet gebruikers tegen bufferoverflow-aanvallen beschermen. Daarnaast is rngd ingeschakeld, een programma dat de entropie van willekeurige getallen verbetert die op computers met een hardwarematige 'random number generator' worden gegenereerd. Daarnaast is een aanpassing doorgevoerd die ervoor moet zorgen dat de inhoud van het RAM-geheugen tijdens het afsluiten sneller wordt gewist. Tails is daarnaast naar Linux 4.6 geüpgraded. Dit moet de ondersteuning van nieuwe video- en wifi-kaarten verbeteren. Tails 2.6 is te downloaden via tails.boum.org. Bestaande gebruikers kunnen naar de nieuwe versie upgraden. Versie 2.7 staat gepland voor 8 november van dit jaar. Vorig jaar lieten de Tails-ontwikkelaars weten dat dagelijks 10.000 mensen van het besturingssysteem gebruikmaken. bron: security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht waarin 18 beveiligingslekken zijn gedicht, waarvan vier zo ernstig dat een aanvaller kwetsbare systemen in het ergste geval zou kunnen overnamen als gebruikers een kwaadaardige of gehackte website bezochten. Verder is ook een beveiligingslek verholpen waarbij een aanvaller die zich tussen een Firefoxgebruiker en het internet bevond en over een onterecht uitgegeven ssl-certificaat voor addons.mozilla.org beschikte, kwaadaardige updates voor geïnstalleerde extensies kon installeren. Dit beveiligingslek is echter niet als ernstig aangemerkt. Verder is de Login Manager van Firefox bijgewerkt zodat https-pagina's opgeslagen http-logins kunnen gebruiken. Volgens Mozilla is dit één van de voorbeelden waarop Firefox Let's Encrypt ondersteunt. Dit initiatief geeft gratis ssl-certificaten uit en heeft een volledig versleuteld web als doel gesteld. De lancering van Firefox 49 houdt ook in dat Mac OS X 10.6, 10.7 en 10.8 niet meer worden ondersteund. Volgens Net Applications hebben deze drie versies nog een wereldwijd marktaandeel van 0,56%. Ook is de Windows-ondersteuning van sse-processoren gestaakt en is Firefox Hello verwijderd. Updaten naar Firefox 49 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Symantec heeft twee ernstige kwetsbaarheden in de beveiligingssoftware gedicht waardoor gebruikers zonder enige interactie konden worden gehackt. Alleen het ontvangen van een e-mailbijlage met een kwaadaardig rar-bestand was voldoende om een aanvaller volledige controle over het systeem te geven. De kwetsbaarheden werden door Google-onderzoeker Tavis Ormandy ontdekt. Voor het analyseren van rar-bestanden gebruikte de beveiligingssoftware van Symantec een jaren oud uitpakprogramma waarin tientallen bekende kwetsbaarheden in aanwezig zijn. De beveiligingsleverancier stelt dat een aanvaller via de beveiligingslekken alleen een denial of service kan veroorzaken, maar volgens Ormandy is dat niet waar. Hij heeft twee demonstraties online gezet waarbij een aanvaller op afstand met de allerhoogst mogelijke rechten willekeurige code op de computer kan uitvoeren, zoals het installeren van malware. De kwetsbaarheden zijn aanwezig in een groot aantal Symantec- en Norton-producten. In het geval van de Norton-producten zijn die volgens Symantec via de automatische updatefunctie bijgewerkt. Voor de zakelijke beveiligingssoftware zijn in sommige gevallen de updates ook automatisch uitgerold, maar zullen die in andere gevallen handmatig moeten worden geïnstalleerd. bron: security.nl

Microsoft heeft bedrijven en organisaties gewaarschuwd om te stoppen met het bijna 30 jaar oude SMB1-protocol, dat Windows gebruikt voor het het delen van bestanden en printers op een lokaal netwerk. Vorige week publiceerde Microsoft een belangrijke update voor Windows SMB1 Server. De software is onderdeel van alle ondersteunde Windowsversies. Via de kwetsbaarheid in SMB1 (Server Message Block) zou een aanvaller die over inloggegevens beschikt kwetsbare servers kunnen overnemen. "Als je deze beveiligingsupdate nodig hebt, heb je een veel groter probleem. Je maakt namelijk nog steeds gebruik van SMB1", zegt Microsofts Ned Pyle. Hij wijst erop dat het SMB1-protocol bijna 30 jaar oud is. "En net als veel andere software die in de jaren 1980 is gemaakt, was het ontwikkeld voor een wereld die niet langer bestaat. Een wereld zonder aanvallers en zonder grote hoeveelheden belangrijke data", aldus Pyle. De 'naïviteit' van het protocol is volgens hem nauwelijks te bevatten. SMB1 is namelijk onveilig en biedt geen bescherming tegen allerlei soorten aanvallen. Zo is het protocol zeer gevoelig voor man-in-the-middle-aanvallen. Daarnaast laten ook de prestaties en efficiëntie te wensen over. In de meeste gevallen is het protocol volgens Pyle niet nodig. Alleen in bepaalde situaties kan het gebruik te verantwoorden zijn, zoals bij oude multifunctionele printers, systemen die op Windows XP of Server 2003 draaien of oude beheersoftware. Pyle adviseert bedrijven dan ook om SMB1 van clients en servers te verwijderen. Microsoft heeft bedrijven inmiddels om feedback gevraagd over het standaard uitschakelen van SMB1 in Windows 10 Enterprise en Windows 10 Education. bron: security.nl

Er is er een nieuwe versie van de browser Opera gelanceerd die over een nieuwe ingebouwde gratis vpn-dienst beschikt. Opera is daarmee de eerste grote browser die een dergelijke feature aanbiedt. Via een virtual private network (vpn) wordt er een versleutelde verbinding naar een server op een bepaalde locatie opgezet. Het vpn zorgt ervoor dat al het verkeer naar de vpn-server is versleuteld, wat handig is voor gebruikers van openbare wifi-netwerken. Daarnaast kan de vpn-gebruiker hierdoor zijn locatie aanpassen, om bijvoorbeeld van diensten gebruik te maken die alleen in bepaalde landen toegankelijk zijn. In het geval van de Opera vpn-dienst kunnen gebruikers uit vijf locaties kiezen, namelijk Nederland, Verenigde Staten, Canada, Duitsland en Singapore. "We denken dat als meer mensen wisten hoe het internet echt werkt ze een vpn zouden gebruiken, en we hopen door onze browser-vpn gratis en gebruiksvriendelijk te maken, dat het een essentiële tool voor iedereen zal worden", zegt Krystian Kolondra van Opera. Hij stelt dat vpn's tot nu toe voornamelijk werden gebruikt door mensen die wisten hoe het internet werkt. De vpn-optie staat standaard niet ingeschakeld. Eenmaal ingeschakeld verschijnt er een vpn-icoon en kunnen gebruikers de vpn in- of uit te schakelen en een locatie te kiezen. Ook kan Opera zelf de meest optimale vpn-server selecteren, gebaseerd op netwerksnelheid, locatie en capaciteit. Opera 40 is nu te downloaden. bron: security.nl

Facebook heeft een beveiligingslek gedicht waardoor het mogelijk was voor aanvallers om willekeurige Facebookpagina's over te nemen. Waar Facebook voor gebruikers profielen heeft, kunnen merken, bedrijven, organisaties en beroemdheden speciale Facebookpagina's aanmaken. Standaard kunnen de pagina's via een Facebookaccount worden beheerd en toegevoegd. Om bedrijven met het beheren van hun pagina's uitgebreider te helpen ontwikkelde Facebook de Business Manager. Deze tool laat onder andere zien wie er toegang tot de Facebookpagina's heeft en wat hun rol is. Bedrijven kunnen personen ook toegang tot de Facebookpagina geven, zodat ze aan bepaalde onderdelen van de pagina kunnen werken. Onderzoeker Arun Sureshkumar ontdekte dat bij het verzoek vanaf de Business Manager om een gebruiker een rol op de Facebookpagina toe te kennen een gebruikers_id, rol en 'asset_id' worden meegestuurd. Door het asset_id te veranderen in die van een andere Facebookpagina, en het verzoek opnieuw naar Facebook te versturen, krijgt de opgegeven gebruiker de opgegeven rol. Zodoende is het mogelijk voor een aanvaller om zich als beheerder van een willekeurige Facebookpagina aan te melden. Facebook heeft een beloningsprogramma om hackers en onderzoekers voor het melden van kwetsbaarheden te belonen. Sureshkumar informeerde Facebook op 29 augustus van dit jaar. Een week later was het probleem door Facebook verholpen. Tijdens het onderzoek naar de bug werd nog een tweede probleem ontdekt en gepatcht. Daardoor kreeg Sureshkum uiteindelijk een iets hogere beloning, namelijk 16.000 dollar. bron: security.nl

De ontwikkelaars van OpenSSL hebben een belangrijke beveiligingsupdate aangekondigd die meerdere kwetsbaarheden zal verhelpen. De beveiligingslekken bevinden zich in versies 1.1.0, 1.0.2h en 1.0.1t. Eén van de kwetsbaarheden is als "high" geclassificeerd. OpenSSL laat niet weten wat aanvallers in dit geval kunnen doen, maar stelt dat voor kwetsbaarheden met deze classificatie er altijd een nieuwe versie wordt uitgebracht. De overige beveiligingslekken vallen in de categorie "moderate" en "low". De beveiligingsupdates, met versienummers 1.1.0a, 1.0.2i en 1.0.1u, zijn aanstaande donderdag 22 september om 10:00 uur te downloaden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. bron: security.nl

Adobe Flash Player is nog altijd de meest aangevallen software via exploitkits, zo blijkt uit onderzoek van beveiligingsbedrijf Digital Shadows. Exploitkits zijn programma's die kwetsbaarheden in browsers en browserplug-ins gebruiken om automatisch malware bij internetgebruikers te installeren. Het bezoeken van een gehackte of kwaadaardige website of het te zien krijgen van een besmette advertentie is hiervoor voldoende. Vaak gaat het hier om kwetsbaarheden waarvoor beveiligingsupdates beschikbaar zijn, maar die gebruikers niet hebben geïnstalleerd. Digital Shadows onderzocht 22 exploitskits die cybercriminelen de afgelopen jaren hebben gebruikt. Deze exploitkits, met namen als Fiesta, Magnitude, RIG, Nuclear en Neutrino, bleken in totaal 76 verschillende kwetsbaarheden aan te vallen. Deze beveiligingslekken bevinden zich in Adobe Flash Player, Oracle Java, Internet Explorer, Mozilla Firefox, Adobe Reader en Microsoft Silverlight. Flash Player is met 27 van de 76 aangevallen kwetsbaarheden het voornaamste doelwit. Een ander belangrijk doelwit is Internet Explorer. Van de 22 onderzochte exploitkits hadden er 11 een exploit voor een beveiligingslek in Internet Explorer 6 tot en met 10 dat Microsoft in 2013 patchte. Een groot deel van de geanalyseerde exploitkits wordt inmiddels niet meer ondersteund of maakt alleen gebruik van oude kwetsbaarheden en wordt zodoende steeds minder effectief. De onderzoekers keken daarom ook naar beveiligingslekken van 2015 en 2016 waar exploitkits gebruik van maken. Dan blijkt dat de Top 6 van meest aangevallen kwetsbaarheden alleen uit Adobe Flash Player bestaat. Verder zijn ook recente kwetsbaarheden in IE en Silverlight een doelwit. Hoewel Flash Player het favoriete doelwit blijft, zijn er in de toekomst ook andere programma's die cybercriminelen kunnen aanvallen, zo concluderen de onderzoekers. bron: security.nl

Cisco waarschuwt voor een nieuw beveiligingslek dat afkomstig van de Amerikaanse inlichtingendienst NSA is en waarmee aanvallers gevoelige data uit netwerkapparaten kunnen stelen. Het lek werd gevonden via een verzameling tools en exploits van de NSA die onlangs op internet verscheen. Eén van de NSA-exploits in deze dataverzameling was gericht tegen PIX-firewalls die Cisco al sinds 2009 niet meer ondersteunt. Verder onderzoek wees uit dat hetzelfde lek ook in Cisco IOS, Cisco IOS XE en Cisco IOS XR aanwezig is. Het probleem bevindt zich in de code die voor het verwerken van IKEv1-pakketten wordt gebruikt. Door het lek kan een aanvaller zonder inloggegevens de inhoud van het geheugen achterhalen, waardoor gevoelige informatie uit netwerkapparaten kan worden gestolen. Cisco werkt inmiddels aan een beveiligingsupdate. In de tussentijd zijn er geen "workarounds" voor de kwetsbaarheid. Het enige dat systeembeheerders kunnen doen is het gebruik van intrustion pevention of detection systemen (IPS/IDS) om eventuele aanvallen op de kwetsbaarheid te detecteren. Eind augustus kwam de netwerkgigant ook al met een beveiligingsupdate voor een kwetsbaarheid waarmee de NSA allerlei netwerkapparaten van bedrijven en organisaties kon aanvallen. Het ging om netwerkapparatuur zoals firewalls, security appliances en routers waarop de Adaptive Security Appliance (ASA) software draait. Via de kwetsbaarheid kon een aanvaller volledige controle over deze systemen krijgen. bron: security.nl

Het Tor Project heeft een ernstig beveiligingslek in Tor Browser gedicht waardoor gebruikers van de browser met malware konden worden geïnfecteerd, ongeacht welk platform ze gebruikten. De kwetsbaarheid bevindt zich in het updaten van browser-extensies en werd eerder deze week onthuld. Tor Browser bestaat uit een aangepaste Firefox-versie, software om verbinding met het Tor-netwerk te maken en verschillende Firefox-extensies voor extra veiligheid. Deze extensies kunnen automatisch worden geüpdatet via addons.mozilla.org. Een aanvaller die voor addons.mozilla.org een geldig ssl-certificaat weet te verkrijgen kan vervolgens een kwaadaardige extensie-update aanbieden en zo willekeurige code op het systeem van Tor Browser-gebruikers uitvoeren. De kern van het probleem is volgens onderzoekers dat het Tor Project/Mozilla certificaatpinning voor het updateproces van extensies niet goed hebben geïmplementeerd. In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde certificaatautoriteiten zijn uitgegeven. Deze controle is in het geval van Firefox en Tor Browser te omzeilen. Het vereist nog steeds dat de aanvaller over een geldig ssl-certificaat voor addons.mozilla.org moet beschikken, maar volgens het Tor Project is dit haalbaar voor landen en inlichtingendiensten. Partijen die vaak interesse in Tor-gebruikers hebben. Gebruikers krijgen dan ook het dringende advies om zo snel als mogelijk naar Tor Browser 6.0.5 te updaten, die op Firefox 45.4.0esr is gebaseerd. In deze versie is het probleem gepatcht. Mozilla heeft de kwetsbaarheid in de verschillende Firefox-versies verholpen, maar deze versies zijn op het moment van schrijven nog niet uitgekomen. Verder bevat Tor 6.0.5 nieuwe versies van de Tor-software en HTTPS-Everywhere. Updaten kan via de browser of TorProject.org. bron: security.nl

De beheerders van OpenSSL hebben laten weten dat ze binnenkort stoppen met het aanbieden van downloads via de ftp-server ftp.openssl.org. "Over een aantal weken zullen we de ftp-toegang tot tarballs en snapshots uit de lucht halen", meldt Rich Salz van het OpenSSL-team via de OpenSSL-mailinglist. Een reden voor de maatregel wordt niet gegeven. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. OpenSSL-versies die via de website zelf worden aangeboden gaan via https, dat in tegenstelling tot ftp wel is versleuteld. Vanwege de maatregel krijgen beheerders het advies om scripts aan te passen die via de ftp-server nieuwe OpenSSL-versies downloaden, aangezien die straks niet meer zullen werken. bron: security.nl

Beste leerkracht, Het zou best eens kunnen dat de school het draadloze netwerk met een IP-protocol heeft beveiligd. Dus alleen wanneer je IP bekend is, krijg je de volledige verbinding. Ik zou je adviseren contact op te nemen met je ICT-er of systeembeheerder op de school zelf.

Fijn dat je probleem is opgelost en tevreden bent. Indien je geen vragen meer hebt mag je dit topic op slot zetten. Heb je een andere vraag of probleem: je weet ons te vinden

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat de volledige harde schijf versleutelt, alsmede alle bestanden op aangesloten netwerkschijven. Daarnaast overschrijft deze ransomware ook de Master Boot Record (MBR) van de harde schijf, waardoor het systeem niet meer start. HDDCryptor, zoals de ransomware wordt genoemd, kan via kwaadaardige websites of al aanwezige malware op de computer worden verspreid. Eenmaal actief zoekt de ransomware naar aangesloten netwerkschijven en versleutelt alle bestanden op deze schijven. Ook zoekt het naar netwerkschijven waar eerder verbinding mee is gemaakt. Via het programma netpass.exe probeert het de inloggegevens voor deze schijven te stelen, zodat het vervolgens zelf toegang kan krijgen en de aanwezige bestanden kan versleutelen. Netpass is een freeware-programma voor het achterhalen van netwerkwachtwoorden. De versleuteling van de harde schijf vindt plaats via DiskCryptor, een opensourceversleutelingsprogramma. Via deze software wordt ook de MBR van de harde schijf overschreven. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf. Het is essentieel voor de computer om te kunnen starten. Slachtoffers kunnen het systeem dan ook niet meer starten. Om slachtoffers toch instructies te geven hoe ze het losgeld voor het ontsleutelen kunnen betalen voegt de ransomware een aangepaste bootloader toe. Zodra de computer wordt gestart toont deze bootloader de instructies. Volgens het Japanse anti-virusbedrijf Trend Micro maakt de ransomware op alle besmette systemen van hetzelfde malware-id gebruik, wat suggereert dat er één decryptiesleutel is om alle systemen te ontsleutelen. Deze decryptiesleutel is echter nog niet achterhaald. bron: security.nl

Opera gaat in de nieuwste versie van de browser langere wachtwoorden voor Sync-gebruikers verplichten. De browserontwikkelaar biedt Opera-gebruikers die een account aanmaken via "Sync" de mogelijkheid om hun gegevens in de browser met andere apparaten te synchroniseren. Het gaat dan om gebruikersnamen, wachtwoorden, bookmarks en surfgeschiedenis. Onlangs werd bekend dat de Sync-server van Opera was gehackt, waarbij aanvallers mogelijk toegang tot gebruikersnamen en wachtwoorden van 1,7 miljoen Sync-gebruikers hadden gekregen. Uit voorzorg besloot Opera van alle gebruikers met een Sync-account het wachtwoord te resetten. In Opera 40 is de karakterlimiet voor wachtwoorden verlengd. Nieuwe Sync-gebruikers zullen straks een wachtwoord van minimaal 12 karakters moeten kiezen, zo blijkt uit een omschrijving van de testversie van Opera 40. De uiteindelijke versie van Opera 40 wordt volgende week verwacht. bron: security.nl

Het zero day-lek in Internet Explorer en Edge dat Microsoft dinsdag patchte blijkt al sinds 2014 te zijn gebruikt bij het infecteren van internetgebruikers via besmette advertenties. De kwetsbaarheid laat een aanvaller informatie over het systeem achterhalen en werd vorig jaar voor het eerst gerapporteerd. Beveiligingsbedrijven Trend Micro en Proofpoint rapporteerden de kwetsbaarheid dit jaar aan Microsoft, waarop het beveiligingslek door de softwaregigant werd opgepakt. Verder onderzoek wees uit dat het beveiligingslek door twee groepen cybercriminelen werd gebruikt. Deze groepen maakten gebruik van besmette advertenties om internetgebruikers met malware te infecteren. Voordat de daadwerkelijke infectie plaatsvond, bijvoorbeeld via een kwetsbaarheid in Adobe Flash Player of Internet Explorer, werd het informatielek in Microsofts browsers gebruikt om informatie over het aangevallen systeem te verzamelen. Zo konden de aanvallers bepalen of het aangevallen systeem van een onderzoeker of een geautomatiseerd systeem van een beveiligingsbedrijf was. Was dit het geval, dan werden deze systemen niet geïnfecteerd. De aanvallers konden op deze manier langere tijd onopgemerkt te werk gaan. "Aanvallers maken steeds vaker gebruik van niet-ernstige kwetsbaarheden die maanden of jaren ongepatcht blijven. In dit geval gebruikten de aanvallers een specifieke kwetsbaarheid om detectie door onderzoekers en geautomatiseerde systemen te voorkomen, ook al waren ze met een grootschalige campagne van besmette advertenties bezig", zegt onderzoeker Kafeine van beveiligingsbedrijf Proofpoint. Hij stelt dat softwareleveranciers, organisaties en gebruikers meer aandacht voor patching moeten hebben en onderzoekers naar nieuwe methodes moeten kijken om kwaadaardige activiteiten op internet te ontdekken. bron: security.nl

Microsoft heeft van 6,8 miljoen Windowscomputers een programma verwijderd dat allerlei aanpassingen aan de browser maakt en advertenties laat zien waardoor websites trager laden. De software wordt "Prifou" genoemd, wat een afkorting is voor PriceFountain, en heeft het tonen van advertenties als doel. Prifou wordt vooral verspreid via softwarebundels. Het gaat dan om een installatieprogramma of bundel die naast het gewenste programma ook allerlei aanvullende software installeert. Eerdere versies van Prifou installeerden zichzelf als browser-extensie, maar de nieuwste versie injecteert zichzelf direct in het browserproces. Het kan dit zowel bij Internet Explorer als Firefox doen. Vervolgens laat Prifou allerlei advertenties zien, gebaseerd op zaken waar de gebruiker naar zoekt of shopt. Iets wat het laden van websites vertraagt, aldus Microsoft. De afgelopen twee maanden werd de browserkaper op 6,8 miljoen computers wereldwijd door de softwaregigant aangetroffen. Als onderdeel van een initiatief tegen ongewenste software, zoals browserkapers en toolbars, worden dit soort programma's nu ook door Microsoft verwijderd. De softwaregigant doet dit via de Malicious Software Removal Tool (MSRT), de in Windows ingebouwde virusverwijdertool. Tijdens het installeren van de maandelijkse Windowsupdates wordt ook de MSRT met nieuwe definities bijgewerkt en scant vervolgens de computer op kwaadaardige en ongewenste software. Gisteren heeft Microsoft een update uitgerold zodat de MSRT ook Prifou kan detecteren en verwijderen. bron: security.nl

Door verschillende kwetsbaarheden aan elkaar te koppelen is het mogelijk om gebruikers van Tor Browser met malware te infecteren, ongeacht welk platform ze gebruiken, zo claimt een beveiligingsonderzoeker genaamd "movrcx". De aanval zou zowel door een staat als de beheerder van een Tor-exitserver zijn uit te voeren, maar is niet eenvoudig, aangezien er een geldig of gespooft certificaat voor addons.mozilla.org is vereist. Daarnaast moet de aanvaller voldoende Tor-exitservers beheren. Ook dit is volgens de onderzoeker niet ondenkbaar. Het privacynetwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor Browser-gebruikers verwerken. Dit verkeer loopt via meerdere servers om de identiteit van de gebruiker te maskeren. Zo is de eerste server de "entry guard", die het verzoek van de Tor-gebruiker naar de "relay node" doorstuurt. Vervolgens gaat het van deze server naar de "exit-node", die het verzoek naar het internet stuurt. Tor Browser bestaat uit een aangepaste Firefox-versie, software om verbinding met het Tor-netwerk te maken en verschillende Firefox-extensies voor extra veiligheid. Deze extensies kunnen automatisch worden geüpdatet via addons.mozilla.org. Een aanvaller kan met het eerder verkregen certificaat het updateverkeer van de NoScript-extensie in Tor Browser naar addons.mozilla.org onderscheppen. Vervolgens stuurt de aanvaller een kwaadaardige extensie terug die vervolgens zonder interactie van gebruikers wordt geïnstalleerd. De kern van het probleem is volgens de onderzoeker dat het Tor Project/Mozilla certificaatpinning voor het updateproces van extensies niet hebben geïmplementeerd. In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde certificaatautoriteiten zijn uitgegeven. Als het certificaat door een certificaatautoriteit is uitgegeven die niet op de whitelist staat geeft de browser een waarschuwing. Google Chrome ondersteunde deze maatregel als eerste en zorgde er zo voor dat de aanval op DigiNotar in de openbaarheid kwam. Volgens de onderzoeker kan een aanvaller die over voldoende middelen beschikt via de door hem geschetste methode alle Tor Browser-gebruikers infecteren. Naar eigen zeggen is het onderzoek naar de aanvalsmethode nog in volle gang, maar heeft hij besloten nu al in de openbaarheid te treden zodat er snel een oplossing kan worden uitgerold. bron: security.nl

Microsoft gaat vanaf volgende maand onveilige versies van Adobe Flash Player in Internet Explorer 11 blokkeren, net zoals Apple met Safari doet. De maatregel gaat gelden voor gebruikers van Windows 7 SP1 en Windows Server 2008 R2, aangezien deze gebruikers Flash-updates zelf moeten installeren. Op Windows 8.1 en Windows 10 wordt de embedded Flash Player in Internet Explorer 11 namelijk automatisch door Microsoft bijgewerkt. IE11-gebruikers die vanaf 11 oktober een website bezoeken die een oudere versie van Flash Player op de computer aanroept krijgen een waarschuwing te zien dat Flash Player is geblokkeerd en moet worden bijgewerkt, zo laat Microsoft weten. De implementatie van de softwaregigant is echter zeer beperkt. IE zal namelijk één keer per tab-proces voor de verouderde Flash Player-versies waarschuwen. Alle volgende aanroepen worden toegestaan. Tevens krijgen gebruikers die geen lid van de Local Administrators-groep op de computer zijn de waarschuwingen niet te zien. Een ander zeer belangrijk punt is dat de blokkade alleen voor Flash Player-versies ouder dan versie 21.0.0.198 gaat gelden. Inmiddels is Flash Player versie 23.0.0.162 de meest recente versie en zijn in de versies hiervoor allerlei kwetsbaarheden aangetroffen. De blokkade stopt daarnaast op 10 november van dit jaar. bron: security.nl

De Belgische politie heeft op de eigen website gewaarschuwd voor de manier waarop Google allerlei gegevens over gebruikers verzamelt, aangezien de internetgigant dit op "verdoken wijze" doet. Volgens de waarschuwing komt Google via Androidtelefoons en -tablets veel over mensen te weten. Om de verzameldrift te beteugelen wijst de Belgische politie daarom naar een nieuwe optie van Google-accounts genaamd "mijn activiteit". Hiermee krijgen gebruikers inzicht in welke gegevens Google over hen heeft verzameld en kunnen privacyinstellingen worden aangepast. "En u zou wel eens zeer verrast kunnen zijn over de hoeveelheid verzamelde informatie", aldus de Belgische politie. Die wijst erop dat gebruikers hun gegevens kunnen wissen en de registratie van activiteiten kunnen blokkeren. bron: security.nl

Tijdens de patchronde van september heeft Microsoft bijna 50 beveiligingslekken in Internet Explorer, Edge, Windows, Silverlight, Office en Exchange verholpen waardoor een aanvaller in het ergste geval kwetsbare systemen volledig kon overnemen. Interactie van gebruikers was hierbij nauwelijks vereist. In totaal verschenen er 13 updates waarvan er 6 als ernstig zijn aangemerkt. De overige 7 patches zijn met de beoordeling "belangrijk" lager ingeschaald. Twee van de kwetsbaarheden zijn zogeheten "zero days", beveiligingslekken die al voor het verschijnen van de beveiligingsupdate bekend waren of werden aangevallen. Een beveiligingslek in zowel Internet Explorer als Microsoft Edge werd actief aangevallen en liet aanvallers informatie uit de browser stelen. Om wat voor gegevens het precies gaat laat Microsoft niet weten. Daarnaast was er een andere kwetsbaarheid in Windows waardoor een aanvaller ook informatie kon achterhalen. Dit beveiligingslek was al voor het verschijnen van de update openbaar gemaakt, maar is volgens Microsoft niet aangevallen. De meeste kwetsbaarheden werden deze maand in Microsoft Office gedicht, het ging in totaal om 13 kwetsbaarheden. Edge en Internet Explorer volgende met respectievelijk 12 en 10 beveiligingslekken, hoewel beide browsers verschillende kwetsbaarheden gemeen hebben. Verder is er ook een rechtenlek in Windows verholpen waardoor een aanvaller met fysieke toegang tot een computer via het vergrendelscherm zijn rechten kon verhogen. Om dit beveiligingslek te misbruiken moest een aanvaller de computer met een kwaadaardige wifi-hotspot laten verbinden of een mobiele breedband-adapter aansluiten. Vervolgens was het mogelijk om code op de vergrendelde computer uit te voeren. De beveiligingsupdates zullen op de meeste computers automatisch worden geïnstalleerd. bron: security.nl