Captain Kirk

Aanvallers gebruiken een nieuwe manier om hun ddos-aanvallen te versterken waardoor het verstuurde verkeer naar een aangevallen website of internetdienst met wel een factor 55 kan toenemen. Daarvoor waarschuwt het Amerikaanse beveiligingsbedrijf Corero. De aanvallers maken hierbij gebruik van het Lightweight Directory Access Protocol (LDAP): één van de meestgebruikte protocollen voor het benaderen van gebruikersnamen en wachtwoordgegevens in databases zoals Active Directory. In dit geval sturen de aanvallers een eenvoudig verzoek naar servers met een Connectionless LDAP-service (CLDAP). Het adres waarvan het verzoek afkomstig is, is gespooft. De aanvallers geven in dit geval het adres van de aan te vallen website of internetdienst op. De CLDAP-service reageert op het verzoek en stuurt ongewenst netwerkverkeer naar het gespoofte adres terug. Het gebruik van amplificatietechnieken vindt al geruime tijd plaats. Via LDAP kan het ddos-aanvalsverkeer met een factor 46 tot een factor 55 worden versterkt. "Nieuwe amplificatietechnieken zoals deze kunnen plaatsvinden omdat er zoveel open diensten op het internet zijn die op gespoofte verzoeken reageren. Veel van deze aanvallen kunnen echter worden verzacht door goede hygiëne van de serviceprovider, door correct gespoofte ip-adressen te identificeren voordat ze op het netwerk worden toegelaten", zegt Dave Larson van Corero. Hij stelt dat het vooral belangrijk is om de netwerkstandaard BCP 38 toe te passen, die spoofing van ip-adressen moet voorkomen. bron: security.nl

Onderzoekers hebben een beveiligingslek in de code van de Mirai-malware ontdekt waardoor het mogelijk is om besmette machines die ddos-aanvallen uitvoeren te stoppen. Mirai is malware die allerlei Internet of Things-apparaten via standaard wachtwoorden kan infecteren, zoals digitale videorecorders. Eenmaal besmet worden de apparaten onderdeel van een botnet. De botnetbeheerder kan de besmette apparaten vervolgens inzetten voor het aanvallen van websites en internetdiensten. De code die wordt gebruikt voor het uitvoeren zogeheten http-flood-aanvallen bevat echter een kwetsbaarheid. Een aangevallen website kan hierdoor in theorie zelf een aanval op het besmette apparaat uitvoeren zodat die crasht en stopt met aanvallen. "Deze eenvoudige "exploit' is een voorbeeld van een actieve verdediging tegen een IoT-botnet die ddos-beschermingsdiensten kunnen gebruiken om zich in real-time tegen een Mirai-gebaseerde http-flood-aanval te beschermen", zegt onderzoeker Scott Tenaglia van Invincea Labs. "Hoewel het niet kan worden gebruikt om de bot van het IoT-apparaat te verwijderen, kan het wel worden gebruikt om de aanval vanaf een bepaald apparaat te stoppen." Tenaglia merkt echter op dat deze aanval alleen bij http-flood-aanvallen werkt. De Mirai-botnets die er afgelopen vrijdag voor zorgden dat een aantal grote websites niet of slecht bereikbaar waren maakten hierbij gebruik van een dns-gebaseerde aanval. De onderzoeker stelt echter dat er meer kwetsbaarheden in de code aanwezig zijn die kunnen helpen bij het afslaan van andere ddos-aanvallen die de bots kunnen uitvoeren. bron: security.nl

Bijna een jaar lang heeft Google de versleutelde e-maildienst ProtonMail in de zoekresultaten van de eigen zoekmachine verborgen als er bijvoorbeeld op 'secure email' en 'encrypted email' werd gezocht, zo heeft ProtonMail bekendgemaakt. In mei 2014 werd er een testversie van ProtonMail gelanceerd. Een jaar later had de e-maildienst al meer dan een half miljoen gebruikers en was het prima in de zoekmachine van Google te vinden. Eind oktober veranderde dit opeens en werd ProtonMail niet meer weergegeven als er op de twee belangrijkste steutelwoorden werd gezocht. Opmerkelijk, want eind 2015 groeide het aantal gebruikers en werd het topleveldomein naar .ch veranderd. Al deze zaken hadden de zoekranking van ProtonMail moeten verbeteren, maar het tegenovergestelde gebeurde. In november vorig jaar ontdekte de e-maildienst het probleem en vroeg advies aan verschillende experts op het gebied van zoekmachine-optimalisatie. Niemand kon het ontbreken in de resultaten van Google verklaren. Andere zoekmachines wisten ProtonMail namelijk wel te vinden. De e-maildienst nam deze lente contact op met Google, maar dit leidde niet tot een verbetering. Vervolgens besloot ProtonMail een tweet te versturen waarin de problemen werden genoemd, wat wel voor actie zorgde. Een paar dagen later liet Google weten dat het iets had verholpen, wat meteen in de resultaten zichtbaar was. Google heeft echter geen verklaring gegeven waarom ProtonMail niet meer in de zoekresultaten verscheen en wat het nu precies heeft opgelost. Doordat ProtonMail niet in de zoekresultaten verscheen heeft dit volgens de e-maildienst de groei gedurende 10 maanden met 25% verminderd. Dit had bijna het einde van de e-maildienst betekend, wat volgens ProtonMail het risico laat zien als diensten door zoekmachine-aanbieders worden onderdrukt of door overheden die de zoekbedrijven controleren. De e-maildienst wil dan ook meer inzetten om onafhankelijk van zoekmachines te groeien, bijvoorbeeld via mond-tot-mondreclame. bron: security.nl

Microsoft heeft Office 2013 van een nieuwe beveiligingsfunctie voorzien zodat systeembeheerders binnen organisaties en bedrijven macro's op de systemen van werknemers kunnen blokkeren, om zo te voorkomen dat de computers met malware besmet raken. De functie werd eerder dit jaar al aan Office 2016 toegevoegd en is nu op verzoek van klanten ook voor Office 2013 uitgerold, aldus de softwaregigant. Systeembeheerders kunnen de maatregel voor Word, Excel en PowerPoint via een Group Policy-template instellen. Volgens Microsoft maakt inmiddels 98% van de dreigingen die zich op Office richten gebruik van macro's. Het gaat dan vaak om ransomware, maar ook bij de aanval op Oekraïense energiebedrijven werden Office-documenten met kwaadaardige macro's ingezet. Macro's staan standaard in Office uitgeschakeld, maar via social engineering weten criminelen gebruikers zover te krijgen dat ze die inschakelen waardoor de computer besmet raakt. De beveiligingsfunctie moet voorkomen dat gebruikers macro's in bepaalde scenario's toch kunnen inschakelen. Het gaat dan bijvoorbeeld om documenten die via websites of clouddiensten worden gedownload, via e-mail zijn ontvangen of via internet zijn geopend. De feature is zoals gezegd via Group Policy in te stellen en maakt het mogelijk om macro's geheel te blokkeren, in bepaalde gevallen wel toe te staan en gebruikers andere meldingen te laten zien als ze wordt gevraagd een macro in te schakelen. Voor eindgebruikers adviseert Microsoft om macro's in documenten van onbekende of onbetrouwbare bronnen nooit in te schakelen, en ook voorzichtig te zijn met macro's van bekenden, bijvoorbeeld in het geval ze gehackt zijn. bron: security.nl

Adobe heeft een noodpatch uitgebracht voor een ernstige kwetsbaarheid in Flash Player die de afgelopen periode actief is aangevallen voordat er een beveiligingsupdate van het softwarebedrijf beschikbaar was. Via het zero day-lek konden aanvallers volledige controle over computers krijgen. Het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van een besmette advertentie of het openen van een Office-document met een embedded Flash-object was in dit geval voldoende. Volgens Adobe is het beveiligingslek gebruikt in beperkte, gerichte aanvallen tegen gebruikers op Windows 7, Windows 8.1 en Windows 10. De kwetsbaarheid werd door Google aan Adobe gerapporteerd. Adobe adviseert gebruikers om binnen 72 uur naar Flash Player versie 23.0.0.205 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. De vorige Flash Player-update verscheen op 11 oktober. Toen ging het om 12 kwetsbaarheden. Deze beveiligingslekken werden op het moment dat de patch verscheen echter niet actief aangevallen. bron: security.nl

Een analyse van 81 miljoen websites die door het Duitse testlab AV-Test via zoekmachines werden gevonden heeft 30.000 besmette pagina's opgeleverd die malware bleken te bevatten. Bij een soortgelijk onderzoek in 2013 ging het nog om 40 miljoen websites en 5.000 malware-dreigingen. "Je hoeft geen wiskundige te zijn om te zien dat er een duidelijke groeitrend is", aldus Markus Selinger van AV-Test. Voor het vinden van de malware gebruikte het testlab een zelf ontwikkeld scansysteem. Zoekmachines kunnen gebruikers voor malware op websites waarschuwen. Google waarschuwde gebruikers bij de onderzochte 81 miljoen websites 20.000 keer. Het ging echter niet altijd om de websites die AV-Test had gevonden. Als de set van 30.000 besmette webpagina's die AV-Test had gevonden door Google werd geanalyseerd leverde dit 1337 waarschuwingen op. In meer dan 60% van de gevallen werd de aanval direct met een bestand uitgevoerd. De resterende 40% van de aanvallen vond plaats via exploits voor onder andere Java en Adobe Flash Player. Wordt er gekeken naar de bestanden die op de besmette pagina's werden aangetroffen zijn het voornamelijk exe-bestanden, gevolgd door zip, rar, swf en msi. bron: security.nl

Een coalitie van Amerikaanse burgerrechtenbewegingen en privacygroepen heeft een open brief naar het hoofd van de Amerikaanse inlichtingendiensten gestuurd waarin ze opheldering vragen over het scannen van e-mails door Yahoo voor de Amerikaanse autoriteiten (pdf). "Net als de meeste mensen waren we geschrokken over berichten eerder deze maand dat Yahoo honderden miljoenen e-mails van gebruikers scande in opdracht van de overheid. We hebben ons bij miljoenen gebruikers aangesloten die willen weten hoe dit kon gebeuren", zegt Kate Tummarello van de Amerikaanse burgerrechtenbeweging EFF. In de brief die naar James Clapper is gestuurd, directeur van de inlichtingendiensten, wordt informatie over het scannen van de e-mails gevraagd, hoe de Amerikaanse overheid een dergelijke privacyschending rechtvaardigde en of de overheid soortgelijke scans heeft laten uitvoeren. Recentelijk heeft het Amerikaanse congres een wet aangenomen die de Amerikaanse overheid verplicht om openheid van zaken te geven over gerechtelijke bevelen aan Yahoo. Ook wordt Clapper gevraagd of bij het scannen van de e-mails naar de content werd gekeken, wat voor zoekopdrachten hiervoor werden gebruikt, wanneer er met de surveillance werd begonnen en hoe vaak dergelijke overheidsbevelen zijn ingezet om telecomaanbieders mee te laten werken. bron: security.nl

Het ontwikkelteam van het populaire contentmanagementsysteem (cms) Joomla komt morgen dinsdag 25 oktober met een zeer belangrijke beveiligingsupdate voor een ernstige kwetsbaarheid in een kernonderdeel van de software. Dat heeft het team via de eigen website bekendgemaakt. Joomla is een zeer geliefd cms dat inmiddels meer dan 50 miljoen keer is gedownload. Het heeft op de markt van contentmanagementsystemen een aandeel van 6,4% en is daarmee na WordPress (58,8%) het populairste cms voor websites. Via ernstige kwetsbaarheden in de software kan een aanvaller websites volledig overnemen. Het ontwikkelteam adviseert beheerders om de update morgen meteen uit te rollen. Totdat de update, met versienummer 3.6.4, beschikbaar is worden er geen verdere details over de kwetsbaarheid gegeven. bron: security.nl

Onderzoekers hebben een nieuw malware-exemplaar gevonden dat zich voordoet als software van de CIA en geld aan slachtoffers vraagt voor eerlijke verkiezingen in de Verenigde Staten. De malware noemt zichzelf "CIA Election AntiCheat Control - 2016" en stelt dat er 50 dollar moet worden betaald. "Dit programma wordt naar mensen in heel Amerika verstuurd om ervoor te zorgen dat niemand tijdens de verkiezingen van 2016 vals speelt. CIA en FBI hebben talloze berichten ontvangen dat burgers van de Verenigde Staten geen eerlijke technieken zullen gebruiken om stemmen voor beide presidenten te winnen", aldus het bericht van de malware. Vervolgens wordt er om 50 dollar gevraagd, te betalen via PaySafeCard. Zodra de malware actief is schakelt die verschillende programma's uit, zoals Internet Explorer, Firefox, Edge Chrome, WinRar, Spotify en Wordpad, alsmede een aantal Windowsprogramma's. "Hoewel ik hoop dat iedereen ziet dat dit een scam is, heeft het verleden aangetoond dat mensen dit soort berichten echt geloven en betalen", zegt Lawrence Abrams van Bleeping Computer. bron: security.nl

Europol is een campagne gestart om ervoor te zorgen dat particulieren hun smartphone tegen malware beschermen, hoewel dit volgens experts op dit moment nog geen dreiging voor Europese smartphonegebruikers is. De opsporingsdienst stelt dat mobiele malware is doorgebroken, maar geeft geen exacte cijfers over de omvang, behalve dat bij verschillende politie-onderzoeken mobiele malware is aangetroffen. Om ervoor te zorgen dat gebruikers maatregelen nemen vindt er in 22 EU-landen deze week een campagne plaats. Daarnaast heeft Europol een pagina met verschillende beveiligingstips gegeven. Zo wordt aangeraden om alleen apps van betrouwbare bronnen te downloaden en voor het downloaden eerst de app en ontwikkelaar te verifiëren, alsmede de gevraagde permissies te controleren. Verder moeten gebruikers hun besturingssysteem en apps up-to-date houden, iets dat in het geval van Android nog altijd lastig blijkt te zijn, aangezien fabrikanten niet alle toestellen van updates blijven voorzien. Ook wordt het uitschakelen van wifi en bluetooth aangeraden als de functies niet in gebruik zijn. Tevens waarschuwt Europol voor het jailbreaken van toestellen, omdat dit de beveiliging kan verzwakken. Impact mobiele malware De impact van mobiele malware is nog altijd onduidelijk, aangezien cijfers over het aantal besmette smartphones en hoe deze toestellen precies besmet raakten niet voorhanden zijn. Het Oostenrijkse testlab AV-Comparatives, dat zich met onderzoek naar malware en virusscanners bezighoudt, liet deze maand weten dat de kans op Android-malware voor Europeanen zeer klein is als ze zich aan een paar eenvoudige regels houden. Mobiele malware zou volgens het testlab vooral een probleem in Azië zijn, waar veel smartphones zijn geroot en er een groot aanbod van onofficiele app-stores is. Hierdoor lopen gebruikers in deze gebieden veel meer kans om met kwaadaardige apps in aanraking te komen. Voor Westerse gebruikers die alleen officiële app-stores gebruiken en hun toestel niet rooten is het risico op dit moment relatief klein, aldus AV-Comparatives. bron: security.nl

Deze zomer heeft Google het privacybeleid aangepast waardoor de internetgigant gebruikers via DoubleClick-advertenties nu ook persoonlijk kan volgen. Een groot aantal populaire websites maakt gebruik van DoubleClick voor het tonen van advertenties. Voorheen hield Google de informatie die het via DoubleClick verkreeg gescheiden van de namen en andere persoonlijke informatie die het via Google-accounts verzamelde. Door de aanpassing van het privacybeleid kan Google deze databases combineren, zo meldt ProPublica. De nieuwe regel staat standaard voor nieuwe accounts ingeschakeld, terwijl bestaande gebruikers om toestemming werd gevraagd. Het gevolg van het nieuwe beleid is dat de DoubleClick-advertenties die op zoveel websites te zien zijn kunnen worden aangepast op basis van de gegevens die Google al over gebruikers heeft. Het houdt ook in dat Google een compleet profiel kan maken gebaseerd op wat gebruikers schrijven in e-mails, de websites die ze bezoeken en de zoekopdrachten die ze geven. Volgens Paul Ohm van het Centrum voor Privacy en Technologie aan Georgetown Law gaat het om een grote aanpassing. "Het feit dat DoubleClick-gegevens niet op regelmatige basis aan persoonlijke identificeerbare informatie waren gekoppeld was erg belangrijk. Het was een muur tussen overal worden bekeken en nog een klein beetje privacy hebben. Die muur is nu omver gevallen." Google stelt in een reactie dat het nieuwe privacybeleid is aangepast in een reactie op de "smartphonerevolutie". Mensen zouden Google nu op allerlei verschillende apparaten gebruiken. Daarnaast is het voor bestaande gebruikers optioneel en worden Gmail-sleutelwoorden nog niet gebruikt voor advertenties. bron: security.nl

Bij schone installaties van Windows 7 en Windows 8.1 is het niet mogelijk om succesvol Windows Update uit te voeren, waardoor de machines geen beveiligingsupdates ontvangen en kwetsbaar achterblijven, zo stelt de Duitse beveiligingsonderzoeker Stefan Kanthak op de Bugtraq-mailinglist. Een mogelijke reden voor het mislukken van de updates, waar ook op het forum van Security.NL veel over te doen is geweest, is dat de Windows Update-client teveel geheugen verbruikt bij het zoeken naar updates en vervolgens een foutmelding toont. Microsoft heeft dit in recente versies van de Windows Update-client verholpen. Het probleem is echter dat Windows Update deze bijgewerkte Windows Update-client niet binnenhaalt, waardoor die niet verder komt. Gebruikers kunnen volgens Kanthak het geheugenprobleem van de Windows Update-client verhelpen door handmatig beveiligingsupdate KB3124275 te downloaden, zo meldt hij op de Bugtraq-mailinglist. Op zijn eigen website laat de onderzoeker weten dat de enige permanente oplossing het installeren van de laatste cumulatieve update voor Internet Explorer 8 en de laatste update voor de Windows Update-client is voordat er voor het eerst contact met de updateservers wordt gemaakt. Daarnaast heeft Kanthak op zijn eigen website een uitgebreide uitleg staan hoe de benodigde updates via een usb-stick tijdens de installatie van Windows 7 Service Pack 1 zijn te slipstreamen. bron: security.nl

Al een aantal maanden versturen internetcriminelen e-mails die van internetprovider Ziggo afkomstig lijken maar in werkelijkheid ransomware verspreiden en de aanvalscampagne is nog altijd in omvang aan het toenemen. Dat laat beveiligingsbedrijf Fox-IT vandaag weten. De e-mails stellen dat er een nieuwe factuur van honderden euro's klaarstaat. De link in de e-mail wijst naar een valse Ziggo-pagina die een zip-bestand aanbiedt. Dit zip-bestand bevat zogenaamd de factuur, maar is in werkelijkheid een downloader die de TorrentLocker-ransomware op de computer installeert. Deze ransomware versleutelt vervolgens allerlei bestanden voor losgeld. Volgens Fox-IT maakt de ransomware nog steeds gebruik van het zelfde waarschuwingsscherm dat het twee jaar geleden ook al gebruikte. Eind 2014 gingen er namelijk ook al valse e-mails rond die de TorrentLocker-ransomware probeerden te verspreiden. Destijds waren de berichten zogenaamd van PostNL afkomstig en gingen over een niet afgeleverd bericht. In augustus van dit jaar werden ook deze valse berichten weer verspreid om zo Nederlandse internetgebruikers met ransomware te infecteren. bron: security.nl

Een recent gedichte kwetsbaarheid in Windows die al voor het verschijnen van de beveiligingsupdate werd aangevallen is gebruikt voor cyberspionage, zo laat het Russische anti-virusbedrijf Kaspersky Lab vandaag weten. Het beveiligingslek bevond zich in een grafisch onderdeel van Windows. Volgens Microsoft zou een aanvaller via de kwetsbaarheid in het ergste geval volledige controle over de computer kunnen krijgen. Het beveiligingslek werd in september door Kaspersky Lab aan Microsoft gerapporteerd. De softwaregigant kwam deze maand met een update voor het probleem. De Russische virusbestrijder laat nu weten dat de aanval door een spionagegroep genaamd FruityArmor is ingezet. De groep gebruikte het beveiligingslek om de eigen rechten op aangevallen computers te verhogen. Volgens Kaspersky Lab maakt FruityArmor meestal gebruik van een beveiligingslek in een browser. Doordat de meeste moderne browsers van een sandbox zijn voorzien is één kwetsbaarheid niet voldoende. Bij de meest recente aanvallen van de groep werd er naast een aanval op het browser-lek ook een kwetsbaarheid gebruikt om de rechten te verhogen en zo uit de sandbox te breken. Welk browser-lek de cyberspionnen als eerste gebruikten voordat het Windows-lek werd aangevallen laat Kaspersky Lab niet weten. Volgens Microsoft zou de kwetsbaarheid alleen al voldoende zijn om een systeem over te nemen. Het anti-virusbedrijf stelt echter dat de aanvallers het Windows-lek gebruikten om hun kwaadaardig PowerShell-script met hogere rechten uit te voeren. De spionagegroep maakt volgens Kaspersky Lab gebruik van een aanvalsplatform dat volledig rond PowerShell is gebouwd. Zo is het malware-implantaat in PowerShell geschreven en worden alle opdrachten van de aanvallers in de vorm van PowerShell-scripts verstuurd. Wie het doelwit van de aanvallers was wil het anti-virusbedrijf niet zeggen. Ook worden er geen details over de kwetsbaarheid vrijgegeven om te voorkomen dat andere aanvallers er gebruik van zullen maken. bron: security.nl

Wie tijdens een Skype-gesprek op zijn toetsenbord aan het typen is kan onbedoeld vertrouwelijke data zoals wachtwoorden lekken, zo hebben onderzoekers van Amerikaanse en Italiaans universiteiten aangetoond. Het geluid van elke toetsaanslag kan uiteindelijk naar de toets in kwestie worden herleid. "Het is mogelijk om een profiel van de akoestische klanken van elke toets op een gegeven toetsenbord te maken. Bijvoorbeeld de T op een MacBook Pro "klinkt" anders dan dezelfde letter op het toetsenbord van een andere fabrikant. Het klinkt ook anders dan de R op hetzelfde toetsenbord, die zich precies naast de T bevindt", aldus onderzoeker Gene Tsudik. Aan de hand van deze geluiden en enige kennis van het typegedrag van de gebruiker kunnen complete teksten worden afgeleid. Tsudik stelt dat mensen die via Skype met elkaar praten niet altijd vrienden zijn en elkaar niet altijd vertrouwen. Het kan dan gaan om advocaten in een juridische zaak, bedrijven die concurrenten van elkaar zijn of diplomaten die verschillende landen vertegenwoordigen. Het onderzoek (pdf) laat zien dat als de aanvallers enige kennis van het typegedrag en informatie over het toetsenbord hebben, ze met 91,7% nauwkeurigheid kunnen vaststellen welke toets het slachtoffer heeft ingedrukt. Als zowel het typegedrag als het gebruikte toetsenbord onbekend zijn, kan de ingetoetste letter nog steeds met 41,89% nauwkeurigheid worden achterhaald. "Ons werk is weer een nagel aan de doodskist van de traditionele fysieke toetsenborden die in veel moderne laptops en desktops aanwezig zijn", zegt Tsudik. "Het onderzoek laat duidelijk de voorheen onopgemerkte privacygevaren zien van het gebruik van voip-technologieën in combinatie met dergelijke toetsenborden." Touchscreen-toetsenborden op bijvoorbeeld tablets en smartphones zijn niet kwetsbaar voor de aanval. bron: security.nl

Netwerkgigant Cisco heeft een ernstig beveiligingslek in de firewalls die het aanbiedt gedicht waardoor een aanvaller in het ergste geval het systeem volledig kon overnemen. Het gaat om een kwetsbaarheid in de Identity Firewall-feature van de Cisco ASA-software. De Adaptive Security Appliance (ASA) software is het besturingssysteem van Cisco-firewalls. Door het versturen van een NetBIOS-pakketje kon een aanvaller willekeurige code op de firewall uitvoeren en zo volledige controle over het systeem krijgen of een denial of service veroorzaken, aldus Cisco in de waarschuwing. De netwerkgigant stelt verder dat de kwetsbaarheid via ipv4-verkeer veroorzaakt kan worden. Op een schaal van 1 tot en met 10 heeft het beveiligingslek een 9,3 gekregen. Voor verschillende versies van de ASA-software heeft Cisco nu beveiligingsupdates uitgebracht. Daarnaast kunnen systeembeheerders een tijdelijke oplossing doorvoeren door "NetBIOS probing" uit te schakelen. Voor zover bekend zijn er nog geen aanvallen op de kwetsbaarheid waargenomen bron: security.nl

Cisco heeft een gratis tool gelanceerd die de MBR van harde schijven tegen malware moet beschermen, zoals ransomware. De Master Boot Record (MBR) bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. Recentelijk zijn er verschillende ransomware-exemplaren ontdekt, zoals Petya en HDDCryptor, die de MBR van de harde schijf aanpassen of overschrijven waardoor het systeem niet meer kan worden opgestart. Cisco ontwikkelde daarom een gratis tool genaamd MBRFilter. Het is een driver die ervoor zorgt dat de MBR in een "alleen-lezen" modus kan worden geplaatst. Daardoor kan malware de inhoud van de MBR niet meer aanpassen. MBRFilter is gratis en open source en kan via GitHub worden gedownload. Hieronder een videodemonstratie van de tool. bron: security.nl

Microsoft waarschuwt internetgebruikers voor lnk-bestanden die op dit moment via e-mail worden verstuurd en computers met ransomware proberen te infecteren. De lnk-bestanden worden verstuurd door de bende achter de beruchte Locky-ransomware. Deze ransomware wist zich eerder nog via wsf-bestanden te verspreiden, maar is nu op lnk-bestanden overgestapt. De e-mails in kwestie zijn door de afzender als "Zeer belangrijk" bestempeld en worden zo ook in het e-mailprogramma weergegeven. Als bijlage is er een zip-bestand toegevoegd. Dit zip-bestand bevat het lnk-bestand en doet zich voor als een factuur. Het lnk-bestand is eigenlijk een Powershell-script dat de Locky-ransomware op de computer downloadt. De ransomware versleutelt vervolgens bestanden voor losgeld op de computer. Microsoft adviseert gebruikers om na te denken voordat ze ergens op klikken. Zo wordt aangeraden om geen e-mails van onbekende afzenders te openen. Ook moeten lnk-bestanden, wsf-bestanden en bestanden met twee punten in de extensie, zoals profile-d39a..wsf, als verdacht worden beschouwd. bron: security.nl

Anti-malwarebedrijf Malwarebytes heeft voor een niet nader genoemd bedrag adware-verwijderaar AdwCleaner overgenomen, zo is vandaag bekendgemaakt. AdwCleaner is met 200 miljoen installaties een populaire tool voor het verwijderen van adware, toolbars, browserkapers en ongewenste software. Volgens Malwarebytes past de overname in de eerder uitgesproken strategie om potentieel ongewenste software zoals adware en toolbars harder aan te pakken. De twee ontwikkelaars van AdwCleaner zullen aan het Malwarebytes-team worden toegevoegd. Op de korte termijn wil Malwarebytes het programma een facelift geven en de detectie van adware verbeteren. Op de langere termijn wil het anti-malwarebedrijf de technologie aan de eigen producten toevoegen. Malwarebytes zegt dat AdwCleaner als gratis product beschikbaar zal blijven. bron: security.nl

Er is een nieuwe testversie van de populaire adblocker Adblock Plus voor Internet Explorer verschenen die veel problemen bij gebruikers moet verhelpen. De werking van de IE-versie van Adblock Plus verschilt onder de motorkap van de versies voor andere browsers. In de nieuwe testversie werkt een belangrijk onderdeel van de adblocker op Internet Explorer 10 en 11 op dezelfde manier zoals bij de andere extensies het geval is. Het gaat dan om het verbergen van geblokkeerde onderdelen. "We verwachten dat deze aanpassing alleen al veel bugs moet verhelpen die samenhingen met het verbergen van elementen", zegt ontwikkelaar Oleksandr Paraska. Omdat het een grote aanpassing betreft is er een speciale testversie van deze versie gemaakt. Het plan is om de aanpassingen, als alles goed blijkt te werken, zo snel als mogelijk aan de uiteindelijke versie toe te voegen. Wanneer deze nieuwe versie voor Internet Explorer zal verschijnen is nog onbekend. Uit de openstaande mijlpalen blijkt dat 17 van de 24 openstaande items voor deze volgende versie inmiddels zijn opgelost. bron: security.nl

Om detectie door virusscanners en spamfilters te voorkomen maken internetcriminelen gebruik van met wachtwoord beveiligde dot-bestanden om hun ransomware te verspreiden. Dat laat beveiligingsbedrijf McAfee weten. Dot-bestanden zijn Microsoft Word-templates die tekststijlen en macro's kunnen bevatten. Bij de nu waargenomen aanvallen worden de dot-bestanden via e-mail verspreid. In de e-mail staat het wachtwoord om het bestand te openen. Zodra de gebruiker het wachtwoord invoert om het document te openen krijgt hij de vraag om macro's in te schakelen. Het bestand bevat namelijk kwaadaardige macro's die ransomware op de computer installeren. Office voert echter standaard geen macro's uit. Geeft de gebruiker gehoor aan de oproep, dan wordt de Cerberus-ransomware geïnstalleerd die bestanden voor losgeld versleutelt. bron: security.nl

Oracle heeft tijdens de patchronde van dit kwartaal updates voor 253 beveiligingslekken in verschillende producten uitgebracht, waarvan 7 kwetsbaarheden in Java. De patches zijn er voor Database Server, E-Business Suite, Industry Applications, Fusion Middleware, Sun-producten, Java en Oracle MySQL. De meeste problemen zijn in Oracle Communications Applications (36), Oracle MySQL (31) en Fusion Middleware (29) verholpen. In het geval van Java gaat het om 7 kwetsbaarheden die een aanvaller op afstand kan aanvallen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de beveiligingslekken zijn 3 Java-lekken met een 9,6 beoordeeld. De kwetsbaarheden bevinden zich in Java 6 update 121, Java 7 update 111 en Java 8 update 102. De nieuwste Java-versie is te downloaden via Java.com. Volgens Oracle blijft het meldingen ontvangen van aanvallen op kwetsbaarheden die al lang zijn gepatcht. Zo zijn er verhalen bekend van succesvol gehackte Oracle-klanten die beschikbare Oracle-updates niet hadden geïnstalleerd. Daarom adviseert Oracle om de updates "zonder vertraging" te installeren. De volgende patchronde van Oracle staat gepland voor 17 januari 2017. bron: security.nl

Mozilla zal vanaf begin 2017 de ondersteuning van ssl-certificaten met het sha-1-algoritme stoppen, wat ervoor kan zorgen dat gebruikers bij het bezoeken van sommige websites een foutmelding zullen krijgen. Uit vorig jaar gepubliceerd onderzoek blijkt dat het veel goedkoper is om sha-1-certificaten aan te vallen dan voorheen werd aangenomen. Daarom zijn verschillende partijen begonnen met het uitfaseren van sha-1. Zo beschouwen Internet Explorer 11 en Microsoft Edge op Windows 10 websites met een sha-1-certificaat niet langer meer als veilig en tonen ook geen slot-icoon. Mozilla zal deze maatregel in Firefox 51 doorvoeren, die voor januari 2017 staat gepland. De maatregel zal echter al in de testversie voor een deel van de gebruikers worden ingeschakeld. Dit zal Mozilla ook bij de uiteindelijke uitrol van Firefox 51 doen. Er wordt met een kleine subset van gebruikers begonnen, waarna sha-1-certificaten begin volgend jaar voor alle gebruikers als onveilig worden aangemerkt. Gebruikers kunnen vanaf dat moment op sommige websites waarschuwingen krijgen dat de verbinding niet wordt vertrouwd. Volgens Mozilla blijkt uit cijfers dat het gebruik van sha-1 op het web sinds mei van dit jaar van 3,5% naar 0,8% is gedaald. In het geval de browser toch een waarschuwing toont kunnen gebruikers die echter negeren. Daarnaast zullen sha-1-certificaten die aan een door de gebruiker geïmporteerd rootcertificaat zijn gekoppeld wel standaard worden geaccepteerd. Een scenario dat bijvoorbeeld binnen organisaties kan gelden. Toch adviseert Mozilla iedereen om zo snel als mogelijk naar een veiliger algoritme te migreren. bron: security.nl

Het Tor Project heeft een belangrijke update voor de Tor-software uitgebracht wegens een beveiligingslek waardoor aanvallers op afstand allerlei Tor-servers hadden kunnen laten crashen. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun identiteit en privacy te beschermen. Het privacynetwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor Browser-gebruikers verwerken. Dit verkeer loopt via meerdere servers om de identiteit van de gebruiker te maskeren. Zo is de eerste server de "entry guard", die het verzoek van de Tor-gebruiker naar de "relay node" doorstuurt. Vervolgens gaat het van deze server naar de "exit-node", die het verzoek naar het internet stuurt. Ook is het mogelijk om websites te hosten die alleen via het Tor-netwerk toegankelijk zijn. Voor beheerders van een Tor-server is er nu een nieuwe versie verschenen die een complete klasse van beveiligingslekken verhelpt waardoor een aanvaller op afstand de meeste Tor-servers had kunnen laten crashen. De update is alleen voor beheerders van Tor-servers bedoeld en niet voor Tor-gebruikers. Updaten kan via Torproject.org. bron: security.nl

Dat is prima. Succes.