Captain Kirk

Adobe heeft tijdens een geplande patchronde voor Adobe Reader en Acrobat drie ernstige lekken in de pdf-lezers gepatcht waardoor een aanvaller willekeurige code op de computer kon uitvoeren, zoals het installeren van malware. Ook is er een update voor Adobe Digital Editions verschenen. Hoewel het volgens Adobe om kritieke kwetsbaarheden in Adobe Reader en Acrobat gaat, krijgen de updates een 'prioriteit 2'. In dit geval wordt gebruikers geadviseerd om de update de komende 30 dagen te installeren. Adobe stelt dat er geen aanvallen bekend zijn die van de kwetsbaarheden gebruikmaken en verwacht ook niet dat er op korte termijn exploits voor de nu gepatchte kwetsbaarheden zullen verschijnen. Gebruikers krijgen het advies om naar Acrobat DC of Acrobat Reader versie 15.010.20060, Acrobat DC of Acrobat Reader DC Classic versie 15.006.30121 of Acrobat XI of Adobe Reader XI versie 11.0.15 te updaten. Dit kan via de automatische updatefunctie van de pdf-lezer of de website van Adobe. De drie kwetsbaarheden werden gemeld via het Zero Day Initiative van HP, dat onderzoekers betaalt voor het melden van beveiligingslekken. bron: security.nl

Een beveiligingslek in Facebook maakte het voor een Indiase beveiligingsonderzoeker mogelijk om alle accounts zonder enige interactie van gebruikers over te nemen. Anand Prakash ontdekte een naar eigen zeggen "eenvoudige kwetsbaarheid" in de wachtwoordresetfunctie van de sociale mediasite. Als gebruikers hun wachtwoord op Facebook vergeten kunnen ze die resetten door hun telefoonnummer of e-mailadres in te voeren. Facebook stuurt vervolgens een zescijferige code naar de telefoon of het e-mailadres, dat de gebruiker moet invoeren om zijn nieuwe wachtwoord in te stellen. Om misbruik te voorkomen heeft Facebook een brute force-beveiliging ingebouwd. Na tien tot twaalf verkeerde pogingen blokkeert Facebook verdere invoerpogingen. Op de domeinen beta.facebook.com en mbasic.beta.facebook.com bleek deze beveiliging niet aanwezig te zijn. Via een brute force-aanval slaagde Prakash erin om zijn eigen zescijferige code te achterhalen en een nieuw wachtwoord in te stellen. Op deze manier kon hij volledige toegang tot alle Facebook-accounts krijgen. De onderzoeker waarschuwde Facebook op 22 februari van dit jaar en een dag later was het probleem verholpen. Voor zijn bugmelding ontving Prakash 15.000 dollar. bron: security.nl

Softwareontwikkelaar Valve heeft gebruikers van het spelplatform Steam gewaarschuwd voor een datalek dat zich eerste kerstdag vorig jaar voordeed. Door een configuratiefout konden gebruikers die op hun eigen account waren ingelogd een uur lang de gegevens van andere accounts bekijken, zoals e-mailadres, het bedrag in de Steam Wallet, aankoopgeschiedenis, factuurgegevens, laatste vier cijfers van het telefoonnumer en laatste twee cijfers van de creditcard of een voor PayPal gebruikt e-mailadres. Valve maakte destijds excuses en liet weten alle getroffen gebruikers te zullen waarschuwen. Die waarschuwing is nu eindelijk verstuurd, zo meldt Kotaku. In de e-mail aan de gebruikers laat Valve weten dat het door de configuratiefout niet mogelijk was om Steam-accounts over te nemen. Daarbij is het niet zeker dat gebruikers die de e-mail hebben ontvangen ook daadwerkelijk door het datalek zijn getroffen. De configuratiefout zorgde ervoor dat gegevens van het Steam-account aan andere Steamgebruikers in het gebied van de gebruiker werden getoond. Valve baseert zich hierbij op de ip-adressen van gebruikers. Doordat ip-adressen vaak worden gedeeld is het onduidelijk of de gebruiker of iemand anders in zijn buurt de accountpagina's heeft opgevraagd. De softwareontwikkelaar geeft als voorbeeld een ip-adres dat door meer dan 1700 Steam-accounts werd gebruikt. Naar aanleiding van het incident heeft Valve maatregelen genomen om herhaling te voorkomen. bron: security.nl

HP heeft in verschillende LaserJet- en OfficeJet-printers alsmede verschillende multifunctionele printers een beveiligingslek gepatcht waardoor een aanvaller op afstand informatie kan achterhalen. Exacte details over de kwetsbaarheid en hoe een aanvaller hier gebruik van kan maken worden niet door HP in het beveiligingsbulletin gegeven. Wel adviseert het bedrijf de beschikbare firmware-update met versienummer 3.7.01 zo snel als mogelijk te installeren. bron: security.nl

Onderzoekers hebben in een WordPress-plug-in, die via de officiële WordPress-website werd aangeboden en meer dan 10.000 actieve installaties heeft, een backdoor gevonden die wachtwoorden van webmasters probeert te stelen. Het gaat om de Custom Content Type Manager die al drie jaar in ontwikkeling is. Via deze plug-in kunnen WordPress-sites allerlei elementen aan hun berichten toevoegen. De plug-in had al 10 maanden geen updates meer ontvangen, maar op 18 februari van dit jaar verscheen er een update, die van de "nieuwe eigenaar" afkomstig was. Of de oorspronkelijke ontwikkelaar de plug-in heeft verkocht of zijn account is gehact, is onbekend. De update bleek een backdoor aan de plug-in toe te voegen, zodat er toegang tot de website kan worden verkregen. Daarnaast steelt de plug-in de wachtwoorden van mensen die op de website inloggen. Na ontdekking van de backdoor heeft WordPress de plug-in van de eigen website verwijderd. Webmasters die de plug-in hebben geïnstalleerd krijgen van beveiligingsbedrijf Sucuri het advies die uit te schakelen en WordPress te herinstalleren. Verder moeten onbekende gebruikers worden verwijderd en van alle legitieme gebruikers het wachtwoord worden gewijzigd. bron: security.nl

De Zwitserse beveiligingsonderzoeker Roman Huessy Roman Huessy die in het verleden via zijn eigen website de infrastructuur en ip-adressen van verschillende botnets en ssl-malware publiceerde, heeft nu zijn pijlen gericht op ransomware. Aanleiding voor Huessy is dat hij de afgelopen maanden veel mensen slachtoffer van ransomware zag worden. Iets wat hem motiveerde om de Ransomware Tracker te ontwikkelen. De Ransomware Tracker geeft een overzicht van de ip-adressen en internetinfrastructuur die cybercriminelen voor hun ransomware-operaties gebruiken. Ook geeft het hosting- en internetproviders, opsporingsdiensten en nationale CERTs informatie over dergelijke infrastructuur binnen hun eigen netwerken of landsgrezen. Verder bevat de Rasomware Tracker een blocklist die het communicatieverkeer van ransomware blokkeert. Als laatste worden er verschillende tips gegeven waarmee thuisgebruikers een ransomware-infectie kunnen voorkomen. bron: security.nl

Mozilla heeft de YouTube Unblocker-extensie bij Firefoxgebruikers geblokkeerd omdat die wordt gebruikt om beveiligingsinstellingen aan te passen en kwaadaardige add-ons te installeren. Via de add-on is het mogelijk om YouTube-video's te bekijken die in bepaalde landen worden geblokkeerd. Bijna 290.000 Firefoxgebruikers hadden de uitbreiding geïnstalleerd. Volgens Mozilla beschikte de add-on over een mechanisme zodat bepaalde configuratiebestanden via de website van de ontwikkelaar konden worden aangepast. Dit mechanisme bevat echter een kwetsbaarheid die via de website wordt gebruikt om beveiligingsinstellingen bij Firefoxgebruikers aan te passen en kwaadaardige add-ons te installeren. Om gebruikers te beschermen heeft Mozilla besloten om de add-on op afstand bij iedereen uit te schakelen, zodat die niet langer te gebruiken is. Als Mozilla add-ons, plug-ins of andere software ontdekt die de veiligheid, stabiliteit of prestaties van Firefox in gevaar brengt kan het die binnen de browser blokkeren. bron: security.nl

Onderzoekers hebben een nieuwe ransomware-variant ontdekt die niet alleen bestanden voor losgeld versleutelt, maar ook tegen slachtoffers praat. Het gaat om de Cerber-ransomware, die via een 'Ransomware as a Service' wordt aangeboden. Het betreft een partnerprogramma waarbij criminelen de Cerber-ransomware kunnen gebruiken, waarbij er een deel van de inkomsten naar de ontwikkelaars gaat. Eenmaal actief controleert de ransomware eerst uit welk land het slachtoffer komt. Als het om landen uit voormalige Sovjestaten gaat wordt de infectie gestopt en vindt er geen versleuteling plaats. Is dit niet het geval dan zal Cerber zich zo instellen dat de ransomware bij het opstarten van Windows wordt geladen. Vervolgens toont de ransomware een nep-systeemwaarschuwing en probeert het systeem te herstarten. Als de herstart plaatsvindt wordt Windows in Veilige Modus geladen. Zodra de gebruiker inlogt wordt het systeem weer herstart en pas dan begint Cerber met het versleutelen van de bestanden, zo meldt het forum Bleeping Computer. Het gaat zowel om de lokale computer als netwerkschijven. Is de versleuteling voltooid, dan krijgt de gebruiker een waarschuwing te zien met instructies. Veel ransomware-exemplaren volgen min of meer dit proces, maar Cerber verschilt op één punt. Als laatste geeft het slachtoffers namelijk een audioboodschap. Deze boodschap (mp3), die meerdere keren wordt herhaald, is ingesproken door een computer en laat weten dat documenten, foto's, databases en andere belangrijke bestanden zijn versleuteld. Voor zover bekend is het niet mogelijk om de versleuteling ongedaan te maken. Voor het ontsleutelen vraagt Cerber een bedrag van 1,24 bitcoin, wat met 476 euro overeenkomt. bron: security.nl

Eind 2014 kwam het Roemeense anti-virusbedrijf Bitdefender met een vaccin tegen de Cryptowall-ransomware, dat moest voorkomen dat bestanden werden versleuteld, ook al raakte de computer met de beruchte ransomware besmet. Door aanpassingen aan Cryptowall is het vaccin in sommige gevallen niet meer effectief, waarop de virusbestrijder nu heeft besloten de "CryptoWall Immunizer", zoals de tool werd genoemd, offline te halen. In 2014 maakte Dell SecureWorks bekend dat Cryptowall 830.000 computers had besmet. Het wordt als één van de succesvolste ransomware beschouwd. Cryptowall versleutelt bestanden op computers en vraagt hier losgeld voor. Als er niet op tijd wordt betaald verdubbelt de ransomware het te betalen bedrag voor het ontsleutelen van de bestanden. Volgens onbevestigde cijfers zou dit de criminelen miljoenen dollars hebben opgeleverd. Om systemen te beschermen ontwikkelde Bitdefender een vaccin dat het versleutelen van bestanden door Cryptowall moest voorkomen, zelfs als de computer met de ransomware besmet raakte. Het anti-virusbedrijf laat echter weten dat de makers van Cryptowall de manier hebben aangepast waarop gecontroleerd wordt of een systeem is besmet of niet. Daardoor zou het vaccin in bepaalde gevallen niet meer werken. "Omdat we de werking van het vaccin niet meer kunnen garanderen, hebben we besloten de tool niet meer aan te bieden", aldus een verklaring. Gebruikers kunnen zich echter beschermen door software up-to-date te houden en geen ongevraagde links of bijlagen te openen. bron: security.nl

De virusscanners van McAfee en Panda Security bieden onvoldoende bescherming tegen malware, zo stelt de Consumentenbond aan de hand van eigen onderzoek. In totaal werden er tijdens de test 18 anti-viruspakketten en internet security suites beoordeeld op een computer met Windows 10. Het ging zowel om gratis als betaalde oplossingen en de standaard ingebouwde virusscanner van Windows 10, Windows Defender. Er werd gekeken naar de bescherming tegen malware, de bescherming die de meegeleverde firewall biedt, het gebruiksgemak en in hoeverre de scanner de computer vertraagt. De betaalde pakketten van Bitdefender, BullGuard, G Data en Kaspersky boden de beste bescherming tegen malware. De oplossing van BullGuard (Internet Security 2016) komt als 'Beste uit de test' en is samen met G Data (Internet Security 2016) ook de 'Beste Koop'. McAfee scoort een onvoldoende (5,3) en komt het slechtst uit de test. Panda scoort een 5,4, gevolgd door Windows Defender dat met een 5,5 nipt een voldoende haalt. De Consumentenbond merkt op dat McAfee op veel nieuwe Windows-laptops als proefversie is geïnstalleerd. "Veel consumenten zullen ten onrechte denken dat ze daarmee afdoende beschermd zijn tegen malware." Gratis virusscannersDe gratis virusscanners van Avira, Avast! en AVG scoren matig als het gaat om de bescherming tegen virussen. "Daarnaast nemen deze scanners het niet zo nauw met de privacy van de gebruikers. Ze houden surfgedrag in de gaten en delen dit met derden", aldus de onderzoekers. De gratis scanners die Ziggo, XS4All en KPN Alles-in-één Premium onder eigen naam aanbieden op basis van software van F-Secure scoren iets beter qua bescherming en privacyvoorwaarden. De Consumentenbond adviseert om abonnementen op betaalde virusscanners en internet security suites niet zomaar te verlengen. Met het vergelijken van prijzen of zoeken naar aanbiedingen kunnen gebruikers soms wel de helft besparen. bron: security.nl

Netwerkgigant Cisco heeft een ernstige kwetsbaarheid in Cisco Nexus-switches gedicht dat was ontstaan door een standaardwachtwoord in het besturingssysteem dat niet kon worden gewijzigd. Via het beveiligingslek kon een aanvaller de apparaten overnemen, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT). Het probleem was aanwezig in de Cisco Nexus Operating System (NX-OS) Software op Cisco Nexus 3000- en 3500-switches. Volgens Cisco gaat het om een gebruikersaccount dat over een standaard en niet te veranderen wachtwoord beschikt. Dit account wordt tijdens de installatie aangemaakt en kan niet worden aangepast of worden verwijderd zonder dat dit invloed op de werking van het systeem heeft. Een aanvaller kan via Telnet, en bij sommige releases ook via ssh, van het account gebruikmaken en op afstand op het systeem inloggen. Ook kan er via een seriële console op het account worden ingelogd. Beheerders krijgen het advies om de beschikbare beveiligingsupdates te installeren. Een 'workaround' is het uitschakelen van Telnet en ssh voor verbindingen op afstand naar het apparaat. Verder zijn er twee andere kwetsbaarheden in de NX-OS Software gepatcht waardoor een aanvaller een Denial of Service kon veroorzaken. bron: security.nl

Het enige wat ik zou kunnen verzinnen is dat in de Bios nog de "Wake-up-lan" functie aan staat. Dan zou naar mijn idee nog stroom gebruikt moeten worden om deze functie actief te houden. Maar ik kan mij niet voorstellen dat deze functie een batterij in een week leeg trekt. Een andere optie is misschien het opnieuw kalibreren van de accu's.Op internet kun je meestal vinden hoe je dit voor jouw computer kunt doen. Ik moet eerlijk zeggen dat ik bij het lezen van je bericht ook direct dacht aan een defecte accu zoals Medion aan gaf. De ideeën die ik hier geef zijn dan ook een schot in het donker. Misschien dan een ander teamlid nog een andere oorzaak zou kunnen aangeven.

Je kunt zelf oom een femaleconnector plaatsen. Een beetje electronica-speciaalzaak zal ze wel hebben. Ook via internet zijn ze te vinden. Alleen moet je er dan meestal een aantal tegelijk afnemen. Ik kies persoonlijk eigenlijk altijd voor een fem-fem-adapter. Scheelt weer een hoop gepriegel met de draadjes en je bent voordeliger uit. Wanneer het gaat om een blijvende verbinding maak ik eigenlijk altijd een langere kabel op maat. Zeker wanneer je een eigen tang hebt, is dit misschien een betere oplossing.

De ontwikkelaars van OpenSSL hebben een belangrijke beveiligingsupdate uitgebracht die meerdere kwetsbaarheden verhelpt, waaronder de vandaag aangekondigde DROWN-aanval. Via dit lek kan een aanvaller, door gebruik te maken van het oude sslv2-protocol dat veel servers nog steeds ondersteunen, de inhoud van versleutelde verbindingen lezen en zo gevoelige informatie achterhalen. Om het probleem te verhelpen heeft OpenSSL besloten om in OpenSSL 1.0.2g en 1.0.1s sslv2 standaard uit te schakelen. Daarnaast worden de 'sslv2 export-ciphers' verwijderd. In totaal verhelpen OpenSSL 1.0.2g en 1.0.1s acht beveiligingslekken. Twee daarvan zijn als "high" aangemerkt. Naast de DROWN-kwetsbaarheid gaat het om een beveiligingslek dat in OpenSSL-versies voor 19 maart 2015 aanwezig is. Via deze kwetsbaarheid is het mogelijk om de sslv2-meestersleutel via slechts 16 verbindingen te bepalen. Ook laat het aanvallers een efficiëntere DROWN-aanval uitvoeren. De kwetsbare code werd op 19 maart 2015 al in OpenSSL 1.0.2a, 1.0.1m, 1.0.0r en 0.9.8zf gepatcht. Hetzelfde geldt voor de enige kwetsbaarheid die als "moderate" werd bestempeld en het ook mogelijk maakt om een efficiëntere DROWN-aanval uit te voeren. De resterende vijf kwetsbaarheden kregen met het stempel "Low" de laagste beoordeling. Gebruikers krijgen het advies om naar OpenSSL 1.0.2g of 1.0.1s te upgraden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. bron: security.nl

Onderzoekers waarschuwen voor een ernstige kwetsbaarheid in het ssl-protocol waardoor aanvallers versleutelde verbindingen op internet kunnen aanvallen om gevoelige informatie, zoals wachtwoorden, creditcardgegevens, handelsgeheimen of financiële, data te stelen. Naar schatting zou 33% van alle https-servers op het internet kwetsbaar zijn. De kwetsbaarheid wordt "DROWN" genoemd, wat staat voor Decrypting RSA using Obsolete and Weakened eNcryption. Het gaat om een voorheen onbekende kwetsbaarheid in sslv2, de eerste versie van ssl die in 1995 verscheen en een jaar later al werd vervangen. Via ssl en tls worden versleutelde verbindingen opgezet. Hoewel deze oude ssl-versie niet veel meer wordt gebruikt, wordt het wel door veel servers ondersteund. Via het lek in ssl v2 is het mogelijk om moderne versleutelde tls-verbindingen aan te vallen. Een aanvaller kan de tls-verbindingen ontsleutelen door probes naar een server te sturen die sslv2 ondersteunt en dezelfde privésleutel gebruikt. Volgens de onderzoekers zijn servers kwetsbaar die sslv2-verbindingen accepteren, zoals webservers en mailservers. Uit onderzoek bleek 17% van de https-servers dit te doen. Ook loopt een server risico als de privésleutel op andere servers wordt gebruik die sslv2-verbindingen toestaan, ook al is het voor een ander protocol. De onderzoekers stellen dat veel bedrijven hetzelfde certificaat en sleutel voor hun web- en mailservers hergebruiken. Als bijvoorbeeld de e-mailserver sslv2 ondersteunt en de webserver niet, dan kan een aanvaller de e-mailserver gebruiken om de tls-verbindingen van de webserver te kraken. Dit hergebruik zorgt ervoor dat nog eens een extra 16% van de servers kwetsbaar is, waardoor het totaal op 33% van de https-servers uitkomt. Om aanvallen te voorkomen wordt aangeraden sslv2 uit te schakelen en privésleutels niet ter hergebruiken. Ook is er een online scanner en offline scanner verschenen waarmee kan worden gecontroleerd of een domein kwetsbaar is. Volgens beveiligingsbedrijf Qualys is de aanval niet eenvoudig uit te voeren, maar zou dit wel goedkoop kunnen. "Jarenlang was het argument om sslv2 niet uit te schakelen dat het geen kwaad kon, omdat browsers er toch geen gebruik van maakten. Deze aanpak werkt duidelijk niet. Daarom moeten we in de toekomst ervoor zorgen dat verouderde cryptografie agressief van alle systemen wordt verwijderd", zegt Ivan Ristic van Qualys. bron: security.nl

Om organisaties tegen allerlei geavanceerde aanvallen te beschermen heeft Microsoft vandaag Windows Defender voor bedrijven onthuld. Windows Defender Advanced Threat Protection wordt omschreven als een nieuwe dienst voor het vinden, onderzoeken en reageren op geavanceerde aanvallen. Zo stelt Microsoft dat de oplossing via een combinatie van de cloud en de in Windows 10 ingebouwde technologie dreigingen moet detecteren die andere beveiligingsoplossingen en -maatregelen hebben omzeild. Voor de detectie wordt er ook informatie gebruikt die Microsoft via 1 miljard Windows-apparaten verzamelt en 1 miljoen verdachte bestanden die het dagelijks krijgt aangeleverd. In het geval van een incident krijgen organisaties aanbevelingen en wordt er informatie gegeven zodat het incident kan worden onderzocht. Windows Defender Advanced Threat Protection werd de afgelopen maanden al bij verschillende ondernemingen getest en zou inmiddels worden gebruikt om 500.000 systemen te beschermen. Bedrijven die van Microsofts oplossing gebruik willen maken zullen wel eerst naar Windows 10 moeten upgraden. Om welke Windows 10-versies het precies gaat is onduidelijk. Business Insider stelt dat de oplossing aan Windows 10 Enterprise zal worden toegevoegd, terwijl ZDNet meldt dat Microsoft de versies nog moet bepalen. Ook is niet bekend wanneer Windows Defender Advanced Threat Protection zal verschijnen, maar bronnen laten aan ZDNet weten dat het in het derde kwartaal van dit jaar zal zijn. bron: security.nl

De afgelopen dagen zijn meer dan 70 WordPress-sites door ransomware getroffen, waarbij allerlei bestanden werden versleuteld. Beheerders en webmasters moesten vervolgens losgeld betalen om weer toegang tot hun gegevens te krijgen. Het gaat om een variant van de CTB-Locker-ransomware, waarvan eerste varianten alleen bestanden op Windowscomputers versleutelden. De nieuwe variant richt zich echter alleen op websites. Volgens Kaspersky Lab zijn inmiddels meer dan 70 websites in 10 landen door de ransomware getroffen. Hoe de ransomware zich weet te verspreiden is onbekend, maar de virusbestrijder stelt dat er van een beveiligingslek in de websitse gebruik wordt gemaakt. Daarbij valt op dat alle getroffen websites op WordPress draaien. "Ongepatchte WordPress-versies bevatten veel kwetsbaarheden en we hebben vorig jaar kritieke kwetsbaarheden gezien. Daarnaast heeft WordPress nog een andere zwak plek, namelijk plug-ins", zegt analist Ido Naor. Volgens Naor worden plug-ins niet met veiligheid in het achterhoofd ontwikkeld en vormen zo een beveiligingsrisico. Of de aanval plaatsvindt via ongepatchte WordPress-versies of plug-ins is nog onbekend. Zodra de aanvaller toegang tot WordPress heeft verkregen wordt de ransomware uitgevoerd. Aangezien de encryptie niet ongedaan gemaakt kan worden krijgen beheerders het advies om regelmatig back-ups te maken. bron: security.nl

Onderzoekers hebben via een nieuw systeem voor het analyseren van firmware onbekende kwetsbaarheden in de routers van D-Link en Netgear ontdekt. Het systeem heet FIRMADYNE en wordt omschreven als het eerste geautomatiseerde dynamische analysesysteem voor Linux-gebaseerde firmware van netwerkapparaten zoals routers. Voor hun onderzoek analyseerden de onderzoekers bijna 9500 firmware-images met 74 exploits. Het ging om 60 bekende aanvallen en 14 onbekende aanvallen. 887 firmware-images, gebruikt voor tenminste 89 verschillende apparaten, bleken voor tenminste één van de gebruikte exploits kwetsbaar te zijn. Het gaat onder andere om de voorheen onbekende kwetsbaarheden die via het systeem werden gevonden. Deze 14 beveiligingslekken werden in 86 firmware-images van tenminste veertien verschillende producten aangetroffen. Het onderzoek laat verder zien dat elf van de geteste aanvallen in de firmware-images van meer dan één leverancier werken, wat inhoudt dat fabrikanten code delen. Het onderzoek (pdf) werd onlangs tijdens het Network and Distributed System Security Symposium (NDSS) gepresenteerd. Via de onbekende kwetsbaarheden zou een aanvaller onder andere commando's kunnen injecteren, een buffer overflow kunnen veroorzaken en informatie zoals WPS-pincode en wachtwoorden van wifi-netwerken achterhalen. De onderzoekers waarschuwden zowel D-Link als Netgear, maar kregen alleen van Netgear een reactie. Het bedrijf komt eind februari voor één van de kwetsbare routers met een firmware-update. De overige apparaten zullen waarschijnlijk halverwege maart worden gepatcht. Door de ontwikkeling van FIRMADYNE hopen de onderzoekers de drempel voor het vinden van nieuwe kwetsbaarheden in routers en andere embedded-systemen te verlagen. Daarnaast helpt het systeem om de aanwezigheid van nieuwe kwetsbaarheden in een groot aantal firmware-images te bepalen. bron: security.nl

De anti-virussoftware van het Slowaakse anti-virusbedrijf ESET heeft door een foute update allerlei populaire websites onterecht als besmet beschouwd. Gebruikers kregen een melding dat erop de sites een Trojaans paard was aangetroffen. Het ging onder andere om De Gelderlander, Nu, MSN en Amazon. Ook op het forum van Security.NL werd door verschillende ESET-gebruikers melding van het probleem gemaakt. De oorzaak bleek update 13102 te zijn, die eerder vandaag was uitgekomen. Nadat de virusbestrijder de false positives ontdekte werd de update teruggetrokken. Inmiddels is update 1303 uitgekomen om het probleem te verhelpen. Volgens ESET had de 'false positive' geen gevolgen voor bestanden op de computer en ging het alleen om een waarschuwing die tijdens het bezoeken van websites werd getoond. bron: security.nl

Computerfabrikant Lenovo is een omruilactie voor bepaalde draadloze muizen en een draadloos toetsenbord gestart vanwege een kwetsbaarheid waardoor de apparaten op een afstand van 100 meter zijn te hacken en kunnen worden gebruikt voor het aanvallen van de aangesloten computer. De aanval, genaamd MouseJack, werd dinsdag door onderzoekers van beveiligingsbedrijf Bastille onthuld. Het probleem is aanwezig in de draadloze usb-dongels die de toetsenborden en muizen gebruiken om via radiofrequenties met de computer te communiceren. De meeste communicatie tussen de toetsenborden en dongels is versleuteld, maar bij de muizen wordt helemaal geen encryptie voor de draadloze communicatie toegepast. Een aanvaller die binnen 100 meters van de usb-dongel aanwezig is kan de radiosignalen tussen de muis en de computer onderscheppen. Vervolgens kan de aanvaller het signaal door een eigen signaal vervangen en zo kwaadaardige pakketten versturen. Deze pakketten doen zich voor als toetsaanslagen, in plaats van muisklikken. De problemen zijn aanwezig in de muizen van zeven bedrijven, namelijk Microsoft, HP, Gigabyte, Amazon, Logitech, Dell en Lenovo. Logitech liet weten een firmware-update te hebben uitgebracht. In het geval van de Lenovo 500 draadloze muis en toetsenbord is het niet mogelijk om de firmware te updaten. Dit kan volgens de fabrikant alleen tijdens de productie van de apparaten. Inmiddels zijn er wel versies van de apparaten geproduceerd die over een nieuwe firmware beschikken, waarin het probleem is opgelost. Eigenaren van een Lenovo 500 draadloze muis of toetsenbord kunnen met Lenovo contact opnemen om hun kwetsbare apparatuur voor een nieuwe versie om te ruilen. Vanwege de kwetsbaarheid heeft het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit ook een waarschuwing afgegeven. Daarin krijgen eigenaren van een Logitech-apparaat het advies de firmware te installeren. Gebruikers van de overige merken wordt aangeraden om voor zichzelf het risico te bepalen om de producten te blijven gebruiken totdat er een update beschikbaar is. bron: security.nl

De ontwikkelaars van OpenSSL hebben een belangrijke beveiligingsupdate aangekondigd die aanstaande dinsdag 1 maart zal verschijnen. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. De updates van aanstaande dinsdag hebben versienummers 1.0.2g en 1.0.1s meegekregen en verhelpen meerdere kwetsbaarheden, waarvan de ergste als "high severity" zijn bestempeld. OpenSSL laat niet weten wat aanvallers in dit geval kunnen doen, maar stelt dat ervoor kwetsbaarheden met deze classificatie altijd een nieuwe versie wordt uitgebracht. Eind januari verschenen er ook nieuwe versies van OpenSSL. Het ging toen ook om kwetsbaarheden met de high-classificatie waardoor een aanvaller de privésleutel van een doelwit kon achterhalen. De downloads van versies 1.0.2g en 1.0.1s zullen dinsdag 1 maart tussen 14:00 uur en 18:00 uur online verschijnen. Verder merken de ontwikkelaars op dat de ondersteuning van versie 1.0.1 op 31 december van dit jaar zal stoppen. bron: security.nl

Je kunt hier lezen hoe Linux Mint gehackt is.

Backdoor in Linux Mint-iso maakt mogelijk 50 slachtoffers Mogelijk 50 mensen zijn dit weekend slachtoffer geworden van de aanval die op de website van Linuxdistributie Linux Mint plaatsvond, dat laat anti-virusbedrijf Kaspersky Lab in een analyse weten. Volgens Linux Mint wist een 'enkel individu zonder financiering' via WordPress de website te hacken. Daar werden links naar een iso-bestand vervangen door links die naar een iso-bestand op een andere server wezen. Het ging om versies van Linux Mint waar een eenvoudige backdoor aan was toegevoegd, aldus Kaspersky Lab. De backdoor is via een onversleutelde irc-verbinding aan te sturen. In totaal bleek de backdoor adressen van vijf irc-kanalen te gebruiken, waarvan er één online was. In het irc-kanaal vonden de onderzoekers zo'n 50 machines die via de backdoor verbinding hadden gemaakt. Het is echter onduidelijk of dit allemaal machines zijn waarop de gebackdoorde iso is geïnstalleerd, of dat mogelijk andere onderzoekers verbinding met het kanaal hebben gemaakt. De backdoor maakt het mogelijk om besmette machines DDoS-aanvallen uit te laten voeren, willekeurige bestanden op de computer te installeren of willekeurige opdrachten uit te voeren. Tijdens het monitoren van het irc-kanaal werden er verschillende opdrachten naar de besmette computers gestuurd, waarbij de aanvaller naar netwerkschijven op het lokale netwerk van het slachtoffer zocht. IntegriteitOm de integriteit van een download te controleren wordt vaak aangeraden om de MD5- of SHA-256-hash te berekenen. Op de website plaatst de leverancier de MD5- of SHA-256-hash. De gebruiker downloadt het bestand en kan vervolgens zelf de hashwaarde van het gedownloade bestand berekenen. Die moet overeenkomen met de waarde op de website, anders is het bestand tijdens het downloaden mogelijk aangepast. Volgens Kaspersky Lab is dit een onveilige methode als de website van een distributie of aanbieder is gehackt, aangezien de aanvaller in dit geval ook de controle-hashes kan aanpassen die op de website worden vermeld. De virusbestrijder pleit dan ook voor PKI met sterke cryptografische handtekeningen om de integriteit van gedownloade software te controleren. In een interview met ZDNet laat de aanvaller weten dat de backdoor op een "paar honderd" machines actief is. De aangepaste iso-bestanden zouden bij elkaar meer dan 1.000 keer zijn gedownload. Na het nieuws over de backdoor nam het aantal besmette machines echter snel af. Daarnaast zijn ook de gegevens van het Linux Mint-forum gestolen. Het gaat om e-mailadressen, gebruikersnaam, versleutelde wachtwoorden en privéberichten die via het forum zijn verstuurd. De ontwikkelaars adviseren alle gebruikers dan ook om hun wachtwoord te wijzigen. bron: security.nl

Het World Wide Web Consortium (W3C), de internationale organisatie die zich bezighoudt met het opstellen van standaarden voor het web, heeft een nieuwe werkgroep gelanceerd die standaarden gaat ontwikkelen zodat internetgebruikers straks zonder wachtwoord op hun accounts kunnen inloggen. Volgens het W3C is het belangrijk dat er een alternatief voor wachtwoorden komt, die vaak als vervelend en onveilig worden gezien. "Als sterke authenticatie eenvoudig is uit te rollen, maken we het web veiliger voor dagelijks gebruik, zowel persoonlijk als zakelijk", aldus Tim Berners-Lee, uitvinder van het web en W3C-directeur. "Nu de omvang en het aantal aanvallen toeneemt, is het belangrijk voor het W3C om nieuwe standaarden te ontwikkelen die de veiligheid op het web vergroten." De Authenticatie Werkgroep gaat zich bezighouden met standaarden gebaseerd op specificaties van de Fido Alliantie. Dit is een alliantie bestaande uit bedrijven, organisaties en overheidsinstanties die in 2013 werd opgericht en het uitbannen van wachtwoorden als doel heeft. De nieuw opgerichte werkgroep zal op 4 maart van dit jaar voor het eerst bijeen komen. bron: security.nl

Malware waarmee computercriminelen geld van online bankrekeningen stelen blijkt steeds vaker Microsoft Edge op Windows 10 te ondersteunen, zo meldt IBM. Het bedrijf heeft een analyse van de Gozi Trojan gemaakt. Dit Trojaanse paard kan ingevulde wachtwoorden onderscheppen en 'webinjects' uitvoeren. Hierbij injecteert de malware op de bankpagina extra vensters en invoervelden die om allerlei informatie vragen. De nieuwste versie van Gozi is nu ook in staat om zijn code in de Ege-browser van Windows 10 te injecteren. De malware is daarmee niet uniek, zegt analist Or Safran. De Tinba Trojan, Ramnit-malware en Dyre zijn allemaal in staat om code in Edge te injecteren, zodat de gebruiker als hij bezig is met internetbankieren kan worden aangevallen. Ondanks de ondersteuning door malware heeft Edge een klein marktaandeel. Volgens Net Applications werkt 3% van de internetgebruikers wereldwijd met de standaardbrowser van Windows 10. In Nederland zou het om een kleine 5% gaan, aldus StatCounter. bron: security.nl