Captain Kirk

Google Chrome waarschuwt gebruikers van uBlock Origin dat het de populaire adblocker binnenkort zal uitschakelen. Dat laat ontwikkelaar Raymond Hill op X en GitHub weten. Aanleiding voor de melding is dat Googles browser stopt met de ondersteuning van extensies die op Manifest V2-gebaseerd zijn. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google gaat Manifest V2 vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Er is geen Manifest V3-versie van uBlock Origin beschikbaar. Vanwege de nieuwe regels lanceerde Hill twee jaar geleden een 'lite' versie van de adblocker genaamd uBO Lite (uBOL). Dit is een beperktere versie van uBlock Origin met minder mogelijkheden. Huidige gebruikers van uBlock Origin zullen niet automatisch naar de lite-versie worden overgezet, omdat er te grote verschillen zijn. Volgens Hil is het uiteindelijk aan gebruikers of uBO Lite een acceptabel alternatief voor uBlock Origin is. "Het is geen keuze die voor jou wordt gemaakt." Tevens merkt de ontwikkelaar op dat er andere browsers zijn die Manifest V2 blijven ondersteunen, zoals Firefox. bron: https://www.security.nl

Een kwetsbaarheid in de SecureCore UEFI-firmware van leverancier Phoenix raakt meerdere generaties Intel-processors, zo waarschuwen onderzoekers van securitybedrijf Eclypsium. Via het beveiligingslek kan een aanvaller die toegang tot een systeem heeft zijn rechten verhogen en code in de UEFI-firmware uitvoeren. Aanvallers zouden op deze manier een backdoor kunnen verbergen, aldus de onderzoekers. Phoenix kwam afgelopen mei met updates. Eclypsium heeft nu details over de kwetsbaarheid (CVE-2024-0762) in de Phoenix SecureCore UEFI-firmware openbaar gemaakt. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. De onderzoekers ontdekten een onveilige variabele in de Trusted Platform Module (TPM) configuratie die tot een buffer overflow en het uitvoeren van malafide code kan leiden. De betreffende SecureCore-firmware draait op verschillende generaties Intel-processors, waaronder AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake en TigerLake. "Gegeven dat deze Intel Core-processors door allerlei fabrikanten worden gebruikt, kan dezelfde kwetsbaarheid een groot aantal leveranciers en mogelijk honderden pc-producten raken die ook van de Phoenix SecureCore UEFI-firmware gebruikmaken", zo waarschuwen de onderzoekers. Die voegen toe dat misbruik afhankelijk is van de configuratie en permissies die aan de betreffende variabele zijn toegekend, wat voor elk platform verschillend kan zijn. bron: https://www.security.nl

Tor Browser heeft de laatste grote versie uitgebracht die Windows 8.1 en macOS Mojave ondersteunt. Daarnaast is voor Androidgebruikers de gebruikersinterface verbeterd voor het opzetten van een verbinding met het Tor-netwerk en zijn er voor de desktopversie ook allerlei verbeteringen doorgevoerd. "Tor Browser 13.5 voelt als een mijlpaal", aldus Duncan Larsen-Russell van het Tor Project. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. In sommige landen wordt Tor geblokkeerd. Om gebruikers in deze landen toch verbinding met het netwerk te laten maken biedt Tor Browser verschillende opties. De interface om deze opties te gebruikers is nu bij de Androidversie verbeterd en lijkt meer op die van de desktopversie. "Uiteindelijk hopen we dat een gebruiker die succesvol censuur op de desktop weet te omzeilen dit ook eenvoudig op Android kan doen, zonder opnieuw te leren hoe het werkt", aldus Larsen-Russell. Naast een visuele aanpassing is het nu ook mogelijk om altijd automatisch verbinding te maken. Verder is de letterboxing in de desktopversie aangepast. Om fingerprinting van gebruikers tegen te gaan, waarbij trackers een profiel maken op basis van kenmerken van het systeem van internetgebruikers, biedt Tor Browser een "vast" browservenster. Dit browservenster wordt standaard afgerond op een vaste pixelverhouding. Wanneer gebruikers zelf de grootte van hun vensterscherm aanpassen kunnen ze worden gefingerprint. In 2019 introduceerde Tor Browser letterboxing, waarbij fingerprinting ook bij aangepaste browservensters wordt tegengegaan. De optie was echter niet in de instellingen van Tor Browser te vinden, wat nu is aangepast, wat ook geldt voor de vormgeving van de feature. Verder zijn foutmeldingen van Tor-sites vereenvoudigd. Als laatste waarschuwt het Tor Project dat Tor Browser 13.5 de laatste grote versie is die op Windows 8.1 en macOS Mojave wordt ondersteund. Beide platforms worden al niet meer door Apple en Microsoft ondersteund. Wanneer Tor Browser 14.0 in het vierde kwartaal van dit jaar uitkomt, zullen gebruikers op deze twee platforms geen Tor Browser-updates meer ontvangen, wat risico's voor hun privacy, security en anonimiteit met zich meebrengt, aldus Larsen-Russell. Gebruikers worden dan ook opgeroepen om voor de volgende grote release van Tor Browser naar een wel ondersteunde versie van Windows of macOS te upgraden. bron: https://www.security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen die nu een random seed op de usb-stick opslaat om zo alle encryptie te versterken. Dat hebben de ontwikkelaars bekendgemaakt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Voor allerlei cryptografische toepassingen maakt Tails gebruik van een 'cryptographically secure pseudorandom number generator'. Het gaat dan bijvoorbeeld om HTTPS, verbinding maken met het Tor-netwerk en de persistente opslag. Hoe willekeuriger een seed, hoe groter de entropie, wat het voorspellen van gegenereerde encryptiesleutels lastiger maakt. Tails-gebruikers hadden jaren geleden al gevraagd voor een random seed die op de usb-stick van Tails wordt opgeslagen. Die aanpassing is nu in Tails 6.4 doorgevoerd. bron: https://www.security.nl

VMware vCenter-servers zijn via twee kritieke kwetsbaarheden op afstand over te nemen, zo waarschuwt VMware dat updates heeft uitgebracht om de beveiligingslekken te verhelpen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers en in het verleden geregeld doelwit van aanvallen geweest. Volgens VMware bevat de implementatie van het DCERPC-protocol binnen vCenter verschillende heap-overflow kwetsbaarheden. Door het versturen van speciaal geprepareerde netwerkpakketten kan een aanvaller met toegang tot een vCenter-server code op het systeem uitvoeren. De impact van de twee kwetsbaarheden (CVE-2024-37079 en CVE-2024-37080) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Daarnaast heeft VMware een kwetsbaarheid in vCenter opgelost waardoor een geauthenticeerde lokale gebruiker rootrechten kon krijgen. Dit probleem werd veroorzaakt door een misconfiguratie van sudo. VMware zegt dat het niet bekend is met actief misbruik van de nu verholpen beveiligingslekken. Organisaties worden opgeroepen de updates zo snel mogelijk te installeren. bron: https://www.security.nl

Aanvallers maken gebruik van valse Google Chrome-meldingen op legitieme, gecompromitteerde websites om slachtoffers malafide PowerShell-scripts uit te laten voeren. Volgens securitybedrijf Proofpoint wordt deze vorm van social engineering steeds vaker toegepast. Zo waarschuwde antivirusbedrijf Ahnlab onlangs dat deze tactiek ook bij phishingmails wordt toegepast. Bij de aanvallen die Proofpoint waarnam hebben de aanvallers legitieme websites weten te compromitteren, waar vervolgens malafide HTML-code en JavaScript aan wordt toegevoegd. Zodra gebruikers de gecompromitteerde websites bezoeken krijgen ze een melding te zien die van Google Chrome afkomstig lijkt en stelt dat er een probleem is met het weergeven van de website. Om het probleem op te lossen moet de gebruiker volgens de foutmelding een "rootcertificaat" installeren. Hiervoor moet de gebruiker "code" kopiëren en in Windows PowerShell uitvoeren, aldus de instructies. In werkelijkheid is de "code" een malafide PowerShell-script dat wanneer uitgevoerd verschillende infostealer-malware op het systeem installeert. Deze malware kan allerlei wachtwoorden, inloggegevens en andere data van het systeem stelen en terugsturen naar de aanvallers. Ook verandert de malware crypto-adressen in het clipboard met die van de aanvaller. Wanneer slachtoffers op een besmet systeem een cryptotransactie doen en de wallet van de begunstigde kopiëren zorgt de malware ervoor dat het adres in het clipboard wordt aangepast en het geld naar de aanvaller gaat als de gebruiker niet goed oplet bij het plakken. "Deze aanvalsketen vereist aanzienlijke interactie van de gebruiker om succesvol te zijn. De social engineering in de valse foutmelding is slim en lijkt een betrouwbare melding afkomstig van het besturingssysteem. Het bevat zowel het probleem als de oplossing, zodat de gebruiker actie kan ondernemen zonder over het risico na te denken", aldus de onderzoekers. bron: https://www.security.nl

Verschillende routers van D-Link bevatten een 'verborgen backdoor' waarmee aanvallers op de apparaten kunnen inloggen, zo waarschuwt het Taiwanese Computer Emergency Response Team (TWCERT) Er zijn firmware-updates uitgebracht om het probleem te verhelpen. "Bepaalde modellen wifi-routers van D-Link bevatten een niet vermelde fabriekstest-backdoor. Ongeauthenticeerde aanvallers op het lokale netwerk kunnen via een speciale url Telnet inschakelen en dan inloggen via de admin-inloggegevens die in de firmware zijn te vinden", aldus de uitleg van de Taiwanese overheidsinstantie. Volgens de beschrijving van D-Link gaat het om een path traversal-kwetsbaarheid, hoewel het ook om een fout in de beschrijving kan gaan, aangezien in hetzelfde beveiligingsbulletin een andere path traversal-kwetsbaarheid wordt beschreven. Volgens de uitleg van D-Link kan een ongeauthenticeerde aanvaller toegang tot een specifieke url krijgen, waarmee Telnet is in te schakelen. Vervolgens kan een aanvaller inloggen met de hardcoded inloggegevens die in de router-firmware zijn te vinden. Het uit 1969 stammende Telnet laat gebruikers op afstand op machines inloggen. Het maakt geen gebruik van encryptie, wat inhoudt dat gebruikersnaam en wachtwoord onversleuteld worden verstuurd. Het gebruik ervan wordt dan ook afgeraden en staat tegenwoordig op veel apparaten uitgeschakeld. De aanval is volgens D-Link alleen vanaf de LAN-kant mogelijk. Het probleem lijkt dan ook vooral te spelen bij wifi-netwerken waar meerdere mensen toegang toe hebben. De impact van de kwetsbaarheid (CVE-2024-6045) is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het beveiligingslek is aanwezig in de volgende modellen: E15, G403, G415, G416, M15, M18, M32, R03, R04, R12, R15, R18, R32 en AQUILA PRO AI Family model E30, M30 en M60. De beschikbare firmware-updates kunnen automatisch en handmatig worden geïnstalleerd. bron: https://www.security.nl

Aanvallers maken gebruik van Discord-emoji's om besmette systemen te besturen, zo meldt securitybedrijf Volexity in een analyse. Het gaat hierbij specifiek om systemen die een Linux-distributie genaamd BOSS draaien. BOSS is een in India ontwikkelde Linux-distributie die onder andere op desktops van overheidsinstanties draait. Volgens de BOSS-ontwikkelaars is de distributie zes miljoen keer geïnstalleerd. Bij de aanvallen versturen de aanvallers naar hun doelwit een zip-bestand, dat een malafide ELF-bestand bevat. Volgens Volexity is het zeer waarschijnlijk dat de aanvallers weten dat hun doelwit de BOSS-distributie draait. Zodra gebruikers het bestand openen wordt er een PDF-bestand als afleiding gedownload. In de achtergrond wordt daarnaast de 'Disgomoji-malware' gedownload. Via deze malware krijgen aanvallers controle over het systeem. De communicatie via het besmette systeem gaat via een Discord-server. Zodra het systeem wordt gestart verstuurt de malware informatie over het systeem naar de Discord-server. Het gaat dan om intern ip-adres, gebruikersnaam, hostnaam, besturingssysteem en working directory. Daarbij zijn er ook aanvallen waargenomen waarbij de aanvallers de DirtyPipe (CVE-2022-0847) exploit gebruikten om rootrechten te krijgen. Hoewel deze kwetsbaarheid al twee jaar oud is, blijkt de meest recente BOSS-versie nog steeds kwetsbaar te zijn. Door middel van een cronjob wordt de malware bij elke herstart geladen. Wat de malware doet opvallen is dat de aanvallers door middel van Discord-emoji's opdrachten aan het besmette systeem kunnen geven, zoals het maken van screenshots, downloaden van bestanden en uitvoeren van commando's. Volgens Volexity wordt de malware vermoedelijk door een Pakistaanse actor tegen Indiaanse overheidsinstanties ingezet. bron: https://www.security.nl

Mozilla heeft het op privacy gerichte advertentietechbedrijf Anonym overgenomen. Anonym "privacyveilige manieren" waarop adverteerders kunnen zien hoe hun advertenties en advertentiecampagnes presteren, waarbij de privacy van internetgebruikers wordt gerespecteerd. Het bedrijf werd in 2022 door twee voormalige Meta-topfiguren opgericht. "Door op veilige wijze versleutelde datasets van platforms en adverteerders te combineren, maakt Anonym schaalbare, privacyveilige metingen en optimalisaties van advertentiecampagnes mogelijk, en zorgt daarmee voor een verschuiving naar een duurzamer advertentie-ecosysteem", aldus Mozilla. Volgens de Firefox-ontwikkelaar zorgt de omgeving van Anonym ervoor dat adverteerders, uitgevers en Anonym zelf geen toegang tot "user level data" hebben. Tevens worden gegevens geanonimiseerd verwerkt, wat zorgt voor 'geanonimiseerde inzichten en modellen', zodat adverteerders kunnen zien hoe hun advertentiecampagnes het doen, zonder dat hierbij de privacy van internetgebruikers wordt geschonden, gaat Mozilla verder. Als laatste wordt er gebruikgemaakt van "differentiële privacy-algoritmes", waarbij er "ruis" aan de data wordt toegevoegd, om zo te voorkomen dat die naar individuele gebruikers is te herleiden. Mozilla is van plan om Anonym binnen de "Mozilla familie" te integreren. Details over de overname zijn niet bekendgemaakt. bron: https://www.security.nl

PHP heeft updates uitgebracht waarmee een kritieke kwetsbaarheid (CVE-2024-4577) in de Windowsversie wordt verholpen die remote code execution (RCE) op de onderliggende server mogelijk maakt. Een ongeautoriseerde aanvaller kan willekeurige code op servers uitvoeren waar PHP in de CGI mode draait en de Chinese of Japanse taal is ingesteld. De bekende beveiligingsonderzoeker Orange Tsai, die het probleem ontdekte, waarschuwt dat Windowssystemen waarvoor een andere taal is ingesteld mogelijk ook risico kunnen lopen. Organisaties worden dan ook opgeroepen om naar de laatste PHP-versie te updaten. In 2012 werd er een kwetsbaarheid (CVE-2012-1823) in PHP gevonden die het uitvoeren van willekeurige code mogelijk maakt. Het probleem werd gepatcht, maar door een feature van Windows voor het omzetten van karakters is het mogelijk om via bepaalde 'character sequences' de patch voor CVE-2012-1823 te omzeilen en wederom code op de server uit te voeren. De kwetsbaarheid werd op 7 mei aan het PHP-ontwikkelteam gerapporteerd en gisteren verschenen PHP 8.3.8, 8.2.20 en 8.1.29 waarin het probleem is verholpen. Orange Tsai heeft geen exacte details gegeven hoe remote code execution mogelijk is, maar onderzoekers van securitybedrijf Watchtower hebben wel een blogposting gepubliceerd waarin ze het uitvoeren van code laten zien. De onderzoekers spreken van een 'nasty bug' en waarschuwen dat er een grote kans is dat er misbruik van zal worden gemaakt, vanwege de eenvoud waarmee dit mogelijk is. De Shadowserver Foundation meldt dat proof-of-concept exploitcode openbaar is en er inmiddels tests tegen de honeypotservers van de organisatie zijn waargenomen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een bijna zes jaar oude kwetsbaarheid in ThinkPHP, alsmede een uit begin 2019 stammend beveiligingslek in het platform. Dat stelt internetbedrijf Akamai op basis van eigen onderzoek. ThinkPHP is een PHP-framework waar allerlei webapplicaties en websites gebruik van maken. Twee oude kwetsbaarheden in het platform, aangeduid als CVE-2018-20062 en CVE-2019-9082, laten een aanvaller op afstand de onderliggende server overnemen. De beveiligingslekken spelen bijvoorbeeld bij contentmanagementsystemen die van ThinkPHP gebruikmaken, zoals NoneCMS en BMS. De twee kwetsbaarheden zijn respectievelijk sinds december 2018 en februari 2019 bekend en gepatcht. Ondanks de leeftijd van de beveiligingslekken worden ze nog steeds actief gebruikt bij aanvallen, zo stelt Akamai. Via de kwetsbaarheden installeren de aanvallers een webshell om zo toegang tot de gecompromitteerde server te behouden. De gecompromitteerde server wordt vervolgens gebruikt voor het uitvoeren van verdere aanvallen. Volgens Akamai laten de aanvallen, die sinds oktober vorig jaar plaatsvinden en sinds kort grootschaliger zijn geworden, het belang van patchmanagement zien, aangezien aanvallers nog steeds met jaren oude kwetsbaarheden succes hebben. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Progress Telerik Report Server, zo laat de Shadowserver Foundation weten. Op 29 mei kwam softwareontwikkelaar Progress met een beveiligingsupdate, maar die is door veel organisaties niet geïnstalleerd. Telerik Report Server is een rapportageplatform waarmee organisaties managementrapporten kunnen maken. Een "authentication bypass" kwetsbaarheid in het systeem maakt het mogelijk voor een ongeauthenticeerde aanvaller om toegang tot de server te krijgen. Via het beveiligingslek kan een aanvaller een admin-account aanmaken en daarmee vervolgens inloggen. De impact van de kwetsbaarheid (CVE-2024-4358) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De onderzoeker die het probleem ontdekte publiceerde op 3 juni een proof-of-concept exploit. Vandaag meldt de Shadowserver Foundation dat aanvallers sinds gisteren actief misbruik van het beveiligingslek maken. De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. Regelmatig scant de organisatie naar kwetsbare systemen. Tijdens de laatste scan werden 95 rapportageservers gevonden die vanaf internet toegankelijk zijn. Daarvan bleken er 89 een kwetsbare versie te draaien. bron: https://www.security.nl

Onderzoekers hebben phishingmails ontdekt waarvan de bijlage malafide code naar het clipboard kopieert en vervolgens het slachtoffer wordt gevraagd die in de PowerShell-terminal te plakken en uit te voeren. De phishingmails vragen de ontvanger als eerste de meegestuurde html-bijlage te openen. Deze html-bijlage bevat een malafide Powershell-commando dat automatisch in de achtergrond naar het clipboard wordt gekopieerd. In de voorgrond verschijnen instructies voor het doelwit. Daarin wordt gesteld dat een "Word online" extensie ontbreekt. Om het probleem op te lossen moet de Powershell-terminal worden geopend en dan ctrl-v en enter gedaan. In werkelijkheid zorgt dit ervoor dat de eerder gekopieerde malafide code wordt uitgevoerd. Het Powershell-commando downloadt een HTA-bestand. Dit bestand wist de inhoud van het clipboard en voert een nieuw Powershell-commando uit waarmee de uiteindelijke malware wordt gedownload en uitgevoerd, zo laat antivirusbedrijf Ahnlab weten. bron: https://www.security.nl

De FBI heeft meer dan zevenduizend decryptiesleutels van de Lockbit-ransomware in handen waarmee getroffen organisaties hun gegevens kunnen ontsleutelen. Dat maakte Bryan Vorndran van de FBI tijdens een conferentie in de VS over cybersecurity bekend. In februari van dit jaar wisten politiediensten tijdens een internationale operatie verschillende servers van de Lockbit-ransomwaregroep in beslag te nemen. Volgens Vondran zijn wereldwijd meer dan 2400 aanvallen uitgevoerd waarbij vervolgens de Lockbit-ransomware werd gebruikt. "Wat voor miljarden dollars schade bij slachtoffers zorgde." Vondran voegde toe dat de FBI bekende slachtoffers van de Lockbit-ransomware benadert. "We hebben nu meer dan zevenduizend decryptiesleutels en kunnen slachtoffers helpen om hun data terug te krijgen en weer online te komen." Getroffen organisaties kunnen daarnaast zelf contact met de FBI opnemen. Vondran merkte tevens op dat het belangrijk is dat organisaties basale beveiligingsmaatregelen nemen. "Algemeen bekende cybersecurity practices, waaronder multifactorauthenticatie en wachtwoordbeheer, effectieve logging en logbeheer, vulnerability- en patchmanagement en het hebben van air-gapped, versleutelde en actuele back-ups, moeten overal in de organisatie worden toegepast." bron: https://www.security.nl

De cloudservice van Cisco Webex heeft maandenlang en mogelijk zelfs jarenlang metadata van meetings van overheden en bedrijven gelekt, waaronder die vanuit Nederland. Het ging onder andere om meetings van ministers en beursgenoteerde bedrijven. De titel van de meeting, host, starttijd, of het een normale meeting was en profielfoto's indien aangemaakt waren openlijk zichtbaar, aldus onderzoekers van het Duitse Netzbegrünung en het Duitse Zeit Online. Wanneer iemand een videoconferentie via Webex aanmaakt wordt er een link gegenereerd. De onderzoekers stellen dat Cisco geen willekeurige nummers gebruikt voor de meeting-url's. "Gecombineerd met een verkeerd geconfigureerde view voor mobiele apparaten, was het daardoor mogelijk om via alleen een eenvoudige webbrowser toegang tot een gigantische hoeveelheid metadata te krijgen, en dit maandenlang en mogelijk zelfs jaren", aldus de onderzoekers. Het Duitse Zeit Online stelt dat de meeting-url's opeenvolgend waren. Dit maakte het kinderspel om allerlei meetings en bijbehorende metadata te vinden. Zowel meetings die al hadden plaatsgevonden alsnog moesten plaatsvinden. Daarbij gaat het ook om meetings van Nederlandse bedrijven en autoriteiten, alsmede van allerlei andere landen. Zeit Online spreekt over duizenden videoconferenties van ministeries die het zo kon vinden. Cisco is met een vrij summiere advisory gekomen waarin het stelt dat het probleem is opgelost en getroffen klanten ingelicht. Zeit Online meldt dat de getroffen klanten niet volledig zijn geïnformeerd over de werkelijke omvang van de mogelijk gelekte data. Zo zou een Duits ministerie van Cisco te horen hebben gekregen dat het niet getroffen was, terwijl dit volgens de Duitse krant wel het geval is. De Zeit Online laat verder weten dat het Nederlandse Nationaal Cyber Security Centrum (NCSC) via het onderzoek van de krant op de hoogte van het probleem kwam. "Er zijn ruim 10.000 links naar regeringsvergaderingen gevonden, met informatie en gegevens van verschillende ministers", gaat de krant verder. De onderzoekers van Netzbegrünung merken op dat Cisco waarschijnlijk het nummersysteem niet heeft aangepast. Ze vroegen Cisco om opheldering of de getallen nu echt willekeurig zijn, maar kregen naar eigen zeggen geen reactie. bron: https://www.security.nl

Verschillende bugs in Cisco Webex Meetings zijn bij 'gericht beveiligingsonderzoek' gebruikt om ongeautoriseerde toegang te krijgen tot meeting-informatie en metadata van bepaalde klanten in een datacenter in Frankfurt, zo heeft Cisco bekendgemaakt. De problemen zijn inmiddels opgelost en een fix is op 28 mei wereldwijd uitgerold. Cisco laat in een security-advisory weten dat het begin mei verschillende bugs in Webex Meetings ontdekte die bij 'gericht beveiligingsonderzoek' zijn gebruikt om ongeautoriseerde toegang tot meeting-informatie en metadata te krijgen. Daarbij waren volgens Cisco verschillende klanten het doelwit van wie de Webex-installatie werd gehost in het Cisco-datacenter in Frankfurt. De klanten waarbij er 'waarneembare pogingen' waren om toegang te krijgen tot hun meeting-informatie en medata zijn inmiddels ingelicht. Sinds de bugs zijn gepatcht zegt Cisco geen verdere pogingen te hebben gezien. Het netwerkbedrijf spreekt in de security-advisory niet van kwetsbaarheden en er zijn ook geen CVE-nummers toegekend. Details over de bugs zijn niet gegeven, alsmede de 'targeted security research activity' die Cisco in het bulletin noemt. bron: https://www.security.nl

Zyxel heeft een noodpatch uitgebracht voor verschillende kritieke kwetsbaarheden in twee NAS-systemen die niet meer worden ondersteund en waardoor een aanvaller de apparaten op afstand kan overnemen. Volgens de onderzoekers die de beveiligingslekken ontdekten en rapporteerden gaat het onder andere om een backdoor-account dat in de NAS-systemen aanwezig is. De twee kwetsbare NAS-systemen betreffen de NAS326 en NAS542, die beide sinds 31 december vorig jaar niet meer door Zyxel worden ondersteund. Onderzoekers van securitybedrijf Outpost24 ontdekten vijf kwetsbaarheden in de NAS-apparaten, die op 14 maart aan Zyxel werden gerapporteerd en nu zijn verholpen. Het gaat om drie beveiligingslekken waardoor een ongeauthenticeerde aanvaller op afstand commando's of code op het apparaat kan uitvoeren. De overige twee kwetsbaarheden laten een aanvaller zijn rechten verhogen tot die van root of admin. Een van de gevonden beveiligingslekken, aangeduid als CVE-2024-29972, betreft volgens de onderzoekers een backdoor-account. Dat is door een aanvaller op afstand in te schakelen. Het voor dit account gebruikte wachtwoord is wel voor elk NAS-systeem uniek, maar aan de hand van het MAC-adres af te leiden. Via een andere kwetsbaarheid kan een aanvaller dit MAC-adres achterhalen en zo met het backdoor-account toegang krijgen tot het NAS-systeem. Zyxel roept gebruikers op om de beschikbaar gestelde firmware-updates te installeren. bron: https://www.security.nl

Microsoft heeft een methode geblokkeerd waarmee het mogelijk was om Windows 11 zonder Microsoft Account te installeren. Dat meldt Windows Central. Windows 11 vereist tijdens de installatie een internetverbinding en Microsoft Account, zo staat in de systeemeisen. Er zijn echter verschillende manieren om de accountverplichting te omzeilen. Eén daarvan was het opgeven van een door Microsoft geblokkeerd e-mailadres, zoals 'example@example.com'. Dit zorgde ervoor dat de setup doorging naar het maken van een lokaal account. Deze methode lijkt nu door Microsoft in Windows 11 24H2 te zijn geblokkeerd. Gebruikers komen bij het opgeven van een geblokkeerd e-mailadres in een loop terecht, aldus Windows Central. De methode waarbij tijdens de installatie OOBE\BYPASSNRO in de Command Prompt wordt ingevoerd, en waardoor het verbinden met internet en zo ook het koppelen van een Microsoft Account worden overgeslagen, werkt nog wel. Niet alle gebruikers zijn blij met het verplicht opgeven van een Microsoft Account. Zo werd er onder andere een petitie tegen gestart. bron: https://www.security.nl

Privacystichting noyb heeft bij de Oostenrijkse privacytoezichthouder verschillende privacyklachten over Microsoft 365 Education ingediend. Volgens noyb schendt Microsoft de privacy van kinderen. De klachten van noyb gaan vooral over het afschuiven van verantwoordelijkheden door Microsoft aan scholen en gebrek aan transparantie. De Amerikaanse techgigant stelt dat scholen de 'controller' van hun data zijn, maar scholen hebben geen controle over de systemen, aldus de privacystichting. "In het huidige systeem dat Microsoft aan scholen oplegt, moeten scholen Microsoft auditen of ze instructies geven hoe ze de data van leerlingen moeten verwerken. Iedereen weet dat dergelijke contractuele overeenkomsten losstaan van de werkelijkheid. Dit is niets meer dan een poging om de verantwoordelijkheid voor de data van kinderen zo ver als mogelijk van Microsoft af te schuiven", aldus noyb-advocaat Maartje de Graaf. Noyb stelt onder andere dat er een gebrek aan transparantie is over het privacybeleid dat voor Microsoft 365 Education geldt en dat Microsoft 365 Education in het geheim kinderen volgt door het plaatsen van cookies. "Het bedrijf heeft geen geldige grondslag voor deze verwerking", laat de privacystichting verder weten. "Onze analyse van de datastromen is zeer zorgwekkend. Microsoft 365 Education lijkt gebruikers te volgen, ongeacht hun leeftijd. Deze werkwijze raakt waarschijnlijk honderdduizenden leerlingen in de EU. Autoriteiten moeten in actie komen om de rechten van minderjarigen te handhaven." Noyb heeft de Oostenrijkse privacytoezichthouder gevraagd om te onderzoeken en analyseren welke data nu precies door Microsoft 365 Education wordt verwerkt, omdat dit volgens de privacystichting op dit moment onduidelijk is. Zowel eigen onderzoek als documentatie van Microsoft hebben dit niet kunnen ophelderen, aldus noyb. De stichting stelt ook dat Microsoft niet voldoet aan inzageverzoeken. Als laatste wil noyb dat de Oostenrijkse toezichthouder een boete aan Microsoft oplegt. bron: https://www.security.nl

Check Point heeft klanten vandaag opgeroepen om een fix te installeren voor een actief aangevallen kwetsbaarheid in de eigen vpn-oplossing. Volgens securitybedrijf Watchtowr is het beveiligingslek zeer eenvoudig te misbruiken en lijkt Check Point de ernst van de kwetsbaarheid te bagatelliseren. Aanvallers zouden al sinds begin april misbruik van het beveiligingslek maken, toen er nog geen update voor beschikbaar was. De kwetsbaarheid (CVE-2024-24919) bevindt zich in Check Point Remote Access VPN en laat een aanvaller 'bepaalde informatie uitlezen', aldus de uitleg van de leverancier. Volgens onderzoekers van Watchtowr is het niet heel moeilijk om het beveiligingslek te vinden en misbruik "extreem eenvoudig". Daarbij is de impact groot. "We maken ons zorgen over de verklaring van de leverancier, die de ernst van deze bug lijkt te bagatelliseren." Volgens Watchtowr moeten organisaties de kwetsbaarheid als ongeauthenticeerde remote code execution behandelen. Check Point heeft inmiddels een fix uitgebracht die vpn-systemen moet beschermen. Bij klanten die zich voor de Security Auto Update service hebben geregistreerd is een update geïnstalleerd die bepaald misbruik van de kwetsbaarheid moet voorkomen. Dit is echter een tijdelijke oplossing. Om het probleem echt te verhelpen moeten organisaties de fix installeren en Check Point roept klanten op dit te doen om beschermd te zijn. Securitybedrijf Censys laat weten dat er nog altijd duizenden kwetsbare vpn-systemen vanaf internet toegankelijk zijn. bron: https://www.security.nl

De makers van GrapheneOS hebben een nieuwe feature toegevoegd die ervoor zorgt dat alle data op de telefoon wordt gewist wanneer een bepaald wachtwoord of pincode wordt ingevoerd. De "Duress PIN/Password" functie moet voorkomen dat kwaadwillenden toegang tot gegevens op de telefoon krijgen. Bij het wissen worden al hardware keystore keys gewist, waaronder keys die worden gebruikt bij het ontsleutelen van de harde schijf. Daarnaast worden ook aanwezige eSIMs gewist en daarna de telefoon uitgeschakeld. De wisprocedure is niet te stoppen. GrapheneOS is een op Android-gebaseerd besturingssysteem voor Pixel-telefoons. De nieuwste versie bevat de 'langverwachte' feature, aldus de ontwikkelaars op X. Die geven als voorbeeld voor het gebruik van de feature een situatie waarbij iemand door de douane wordt gedwongen het wachtwoord van zijn telefoon af te staan. "Als er een pistool tegen mijn hoofd wordt gezet en ik allen wat geld verlies, zal ik waarschijnlijk niet mijn duress pincode geven. Maar als ik een journalist ben die zijn bronnen en gezin wil beschermen, dan wel", reageert een gebruiker op het op het forum van GrapheneOS. "Een meer praktische aanpak is het instellen van mijn geboortedag als duress pincode. Als een aanvaller of de politie mijn telefoon pakt en de pincode probeert te raden, is de kans groter dat ze de duress pincode invoeren dan de echte pincode." bron: https://www.security.nl

QNAP stopt met het gebruik van het MAC-adres als het standaard admin-wachtwoord voor NAS-apparaten en gaat in plaats daarvan de 'Cloud Key' gebruiken, zo heeft het bedrijf aangekondigd. De aanpassing zal worden doorgevoerd in NAS-apparaten die QTS 5.2 / QuTS hero 5.2 of nieuwer draaien. Dit zijn de NAS-besturingssystemen van QNAP. De Cloud Key is te vinden op de NAS-behuizing en is tijdens de eerste setup van het apparaat te gebruiken. De NAS-fabrikant adviseert gebruikers om het wachtwoord meteen na de eerste keer inloggen te veranderen en een sterk wachtwoord te kiezen. Tevens adviseert QNAP een "password login" of het inschakelen van tweestapsverificatie te overwegen. bron: https://www.security.nl

Gebruikers van Google Chrome zijn opnieuw het doelwit van aanvallen geworden. Voor de vierde keer deze maand is Google gekomen met een update voor een actief aangevallen kwetsbaarheid waar op het moment van de aanvallen geen patch voor beschikbaar was. Net als de actief aangevallen lekken die op 13 en 15 mei werden gepatcht gaat het om een kwetsbaarheid in V8, aangeduid als CVE-2024-5274. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd op 20 mei door twee onderzoekers van Google zelf gevonden en gemeld. Details over de aanvallen zijn niet gegeven. Het totaal aantal beveiligingslekken dat actief tegen Chrome-gebruikers is ingezet voordat een patch beschikbaar was komt dit jaar daarmee op vijf. Tijdens de afgelopen Pwn2Own-wedstrijd in Vancouver demonstreerden onderzoekers exploits voor onbekende kwetsbaarheden in Chrome, maar die zijn voor zover bekend niet gebruikt voor het actief aanvallen van gebruikers. Hieronder de actief aangevallen kwetsbaarheden die dit jaar door Google in Chrome zijn gepatcht. CVE-2024-0519 16 januari CVE-2024-4671 09 mei CVE-2024-4761 13 mei CVE-2024-4947 15 mei CVE-2024-5274 23 mei Google Chrome 125.0.6422.112/.113 is beschikbaar voor macOS en Windows. Voor Linux is versie 125.0.6422.112 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Onderzoekers hebben in opnamesoftware die wordt gebruikt door rechtbanken, gevangenissen, alsmede voor hoorzittingen, colleges en vergaderingen, een backdoor aangetroffen waarmee aanvallers volledige controle over het onderliggende systeem krijgen. Organisaties die met Justice AV Solutions (JAVS) werken wordt opgeroepen om getroffen systemen opnieuw te installeren en inloggegevens te wijzigen. Justice AV Solutions is een Amerikaans bedrijf dat zich vooral richt op het aanbieden van audiovisuele oplossingen voor partijen in de justitieketen. Het bedrijf claimt wereldwijd meer dan tienduizend installaties. Het gaat onder andere om de JAVS Suite, beheersoftware voor digitale opnames. Eén van de onderdelen van de JAVS Suite is de JAVS Viewer, waarmee log- en mediabestanden zijn te bekijken. In de officiële versie van JAVS Viewer versie 8.3.7 is een backdoor aangetroffen die gelinkt is aan de GateDoor/Rustdoor-malware, zo meldt securitybedrijf Rapid7. Begin april werd er al op X gewaarschuwd voor de aanwezigheid van malware in de JAVS Viewer. De malware is gesigneerd, maar niet met een certificaat van Justice AV Solutions. Rapid7 deed onderzoek naar de malware en informeerde de Amerikaanse overheid. Na ontdekking van de malware heeft JAVS de eigen wachtwoorden gereset en een audit naar de eigen systemen laten uitvoeren. Hoe de besmette versie van de software op de officiële website terechtkwam laat het softwarebedrijf niet weten. Organisaties die met de software werken moeten getroffen systemen opnieuw installeren, versie 8.3.8 of nieuwer installeren en alle inloggegevens die op het systeem zijn gebruikt veranderen. bron: https://www.security.nl

Wachtwoordmanager LastPass heeft besloten om na zestien jaar url's in wachtwoordkluizen te versleutelen. Experts hebben al jaren kritiek op het feit dat dit niet gebeurt. In 2022 wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer van LastPass op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Onder de gestolen kluisdata bevonden zich ook onversleutelde url's. Wanneer LastPass-gebruikers een website bezoeken kijkt de wachtwoordmanager of de bezochte url in de kluis bekend is, zodat opgeslagen inloggegevens kunnen worden ingevuld. Na de inbraak erkende LastPass dat url's niet versleuteld werd opgeslagen en suggereerde daarbij dat dit het hier niet om gevoelige gegevens ging. "Maar website url's zijn wel zeer gevoelige data. Aanvallers willen dolgraag weten waar je toegang toe hebt. Dan kunnen ze gerichte phishingmails maken voor de personen die hun moeite waard zijn", aldus beveiligingsonderzoeker Wladimir Palant eind 2022. Hij voegde toe dat sommige door LastPass opgeslagen url's parameters bevatten die gevoelig kunnen zijn. Tevens merkte Palant op dat LastPass in 2015 (pdf), 2017 en 2018 was gewaarschuwd dat het niet versleutelen van url's een slecht idee was. LastPass geeft als reden dat het in 2008 is ontwikkeld en ontsleuteling toen veel meer rekenkracht kostte. Voor betere prestaties en gebruikerservaring is toen besloten de url's niet te versleutelen, aldus de verklaring van het bedrijf. Nu stelt LastPass dat het wel belangrijk is om url's te versleutelen, omdat die informatie over het account in kwestie bevatten. De versleuteloperatie gaat gefaseerd plaatsvinden. De eerste fase zou in juni gereed moeten zijn, waarbij de uitrol in juli begint. Gebruikers ontvangen dan een e-mail met informatie over wat te verwachten en zal er begonnen worden met het versleutelen van primaire url-velden van in de kluis opgeslagen accounts. De overige url-velden zullen eind dit jaar worden versleuteld. bron: https://www.security.nl