Captain Kirk

Onderzoekers waarschuwen voor een Trojaans paard dat via zwakke telnet-wachtwoorden een botnet van Linux-routers probeert te maken. Het gaat om een nieuwe dreiging genaamd Remaiten, aldus het Slowaakse anti-virusbedrijf ESET. De malware laat routers een scan op poort 23 (telnet) uitvoeren. In het geval een router een telnet-dienst draait en bereikbaar is wordt er een lijst met wachtwoorden en gebruikersnamen geprobeerd om op de router in te loggen. Is de inlogpoging succesvol, dan wordt er gekeken om wat voor soort platform het gaat, waarna de volledige malware wordt gedownload en geïnstalleerd. De router wordt zo onderdeel van het botnet, waarna de cyclus zich herhaalt. De botnetbeheerder kan de besmette routers allerlei opdrachten geven, zoals het uitvoeren van poortscans en DDoS-aanvallen. bron: security.nl

Deze zomer zal er een grote update voor Windows 10 verschijnen die allerlei nieuwe features aan het besturingssysteem toevoegt, waaronder biometrisch inloggen voor applicaties en Microsoft Edge. De Windows 10 Anniversary Update werd tijdens de Build-conferentie in San Francisco aangekondigd. De update zal ervoor zorgen dat Windows Hello straks ook binnen Windows-apps en Microsoft Edge kan worden gebruikt. Window Hello is een biometrische inlogmethode, die naast de vingerafdruk ook gezichts- en irisscans ondersteunt. In plaats van een wachtwoord kunnen gebruikers straks via een lichaamskenmerk op websites inloggen. Verder liet Microsoft weten dat sinds de lancering van Windows 10 acht maanden geleden inmiddels meer dan 270 miljoen apparaten van het nieuwe besturingssysteem gebruikmaken. Daarmee kent Windows 10 de snelste uitrol van alle Windowsversies. Wanneer de Windows 10 Anniversary Update deze zomer verschijnt is niet bekendgemaakt. bron: security.nl

De beveiligingssoftware van Trend Micro installeerde ook een testserver bij gebruikers, die via het internet zou kunnen worden aangevallen, waardoor aanvallers in het ergste geval de computer volledig konden overnemen, zo heeft beveiligingsonderzoeker Tavis Ormandy van Google ontdekt. Het ging om een 'remote debugging server' die in ieder geval bij Trend Micro Maximum Security, Trend Micro Premium Security en Trend Micro Password Manager op computers werd geïnstalleerd. De testserver werd standaard gestart en luisterde op localhost. Volgens Ormandy was het probleem "belachelijk eenvoudig te vinden en te misbruiken". In het ergste geval zou een aanvaller volledige controle over het systeem kunnen krijgen. De onderzoeker, die via Twitter opmerkt dat Trend Micro de testserver per ongeluk had achtergelaten, informeerde het beveiligingsbedrijf op 22 maart over het probleem. Volgens het beveiligingsbedrijf lag het probleem deels in een module van een derde partij. Het zou echter tijd kosten om de broncode hiervan "open te breken" en de testserver uit te schakelen, om vervolgens de aangepaste code weer aan de eigen software toe te voegen. Gisterenavond werd er onder gebruikers een eerste tijdelijke patch uitgerold. Een update om het probleem volledig te verhelpen zal in de komende weken verschijnen. bron: security.nl

Dat het voorheen wel gewerkt heeft en nu na de installatie van Windows 10 kan diverse oorzaken zijn. Vandaar de vraag naar het logbestand van Speccy. Zo kan stegisoft precies zien waar je de hulp op nodig hebt. Dus als je Speccy alsnog even wilt draaien zou dat welkom zijn.

Het Roemeense anti-virusbedrijf heeft een gratis 'vaccin' tegen verschillende ransomware-families uitgebracht, zoals CTB-Locker, Locky en TeslaCrypt. De Anti Ransomware-tool (exe) zou in ieder geval bekende versies van de ransomware moeten detecteren en mogelijk ook toekomstige varianten. De virusbestrijder had eerder al een tool ontwikkeld die alleen bescherming tegen de Cryptowall-ransomware bood. Dit programma werd echter begin deze maand offline gehaald, omdat die in bepaalde gevallen geen bescherming meer bood. "De nieuwe tool is een soort van voortzetting van het Cryptowall-vaccinatieprogramma", zegt Catalin Cosoi van Bitdefender. "We zochten naar een manier om te voorkomen dat deze ransomware bestanden versleutelt op systemen die niet onze software gebruiken en beseften dat we het idee konden uitbreiden." bron: security.nl

Microsoft gaat de updatescyclus voor alle ondersteunde versies van Office aanpassen, waar vooral bedrijven en andere zakelijke gebruikers rekening mee moeten houden. Voorheen verschenen zowel beveiligingsupdates als de niet-securitygerelateerde updates op de tweede dinsdag van elke maand. Vanaf april gaat Microsoft een andere updatecyclus hanteren, waarbij de niet-securitygerelateerde updates op de eerste dinsdag van de maand zullen verschijnen, waaronder ook updates voor ernstige niet-securitygerelateerde problemen. De beveiligingsupdates blijven gewoon op de tweede dinsdag verschijnen, ook bekend als patchdinsdag. De eerste updates als onderdeel van de nieuwe updatecyclus zullen op dinsdag 5 april uitkomen en zowel via Microsoft Update als de Windows Server Update Service (WSUS) worden aangeboden. bron: security.nl

Om ervoor te zorgen dat nieuwe features en innovaties eerder in Firefox belanden heeft Mozilla besloten om van het standaard updateproces af te wijken. Voorheen verschenen nieuwe features tegelijkertijd met beveiligingsupdates en bugfixes voor de browser. Oorspronkelijk kwam er elke zes weken een nieuwe Firefox-versie uit, maar onlangs kondigde Mozilla aan dat het met een nieuwe updatecyclus komt. In plaats van een update elke zes weken zullen updates nu variabel verschijnen, waarbij een periode van zes tot acht weken wordt aangehouden. In het geval van nieuwe features kunnen die straks tussen de geplande updates worden uitgerold. Daarom zal er een nieuwe mechanisme aan Firefox worden toegevoegd om dit mogelijk te maken. Het gaat dan bijvoorbeeld om features als Firefox Hello, die nu eerder updates kunnen ontvangen. Volgens Nick Nguyen heeft de maatregel geen gevolgen voor de standaard updatecyclus, die nog steeds voor de meeste updates zal worden gebruikt. Het zal er echter wel voor zorgen dat innovaties en verbeteringen eerder in Firefox belanden, zo laat hij weten. bron: security.nl

Een beveiligingslek in de populaire fotodienst Instagram maakte het mogelijk voor een onderzoeker om 1 miljoen tijdelijk inactieve accounts over te nemen. Het gaat om accounts waarvan de eigenaar moet worden geverifieerd, waarvoor Instagram via een aparte pagina verschillende mogelijkheden biedt. Het gaat dan onder andere om verificatie via e-mail of sms. Het is echter ook mogelijk om het e-mailadres of telefoonnummer van het account te updaten en dan de verificatie uit te voeren. Een aanvaller die toegang tot deze pagina heeft kan zijn eigen e-mailadres of telefoonnummer opgeven om hiermee het account te verifiëren en vervolgens een wachtwoordreset uitvoeren en zo het account overnemen. Onderzoeker Arne Swinnen had zijn eigen Instagram-account lange tijd niet meer gebruikt en moest die verifiëren. De pagina-link die Instagram hiervoor gebruikte bevatte echter zijn Instagram-id en vereiste geen verdere authenticatie. Via een script kon Swinnen zo alle Instagram-id's afgaan om te kijken welke accounts inactief waren en waar hij bijvoorbeeld het e-mailadres of telefoonnummer van kon aanpassen. Een test met 1 miljoen id's wees uit dat 4% van de Instagramgebruikers inactief was. Het waren voornamelijk accounts die pas een paar weken op inactief stonden. Instagram heeft naar eigen zeggen 400 miljoen gebruikers. Swinnen stelt dan ook dat hij via de kwetsbaarheid 1 miljoen accounts kon overnemen. Op 14 maart waarschuwde de onderzoeker Facebook, dat eigenaar van Instagram is. Binnen2 4 uur was het probleem opgelost en ontving Swinnen een beloning van 5.000 dollar. bron: security.nl

Microsoft heeft strengere regels aangekondigd voor programma's die de werking van browsers aanpassen, zoals toolbars. Vorig jaar kwam Microsoft al met strengere regels voor agressieve adware en software die advertenties injecteert. Zo is het niet meer voor dit soort software toegestaan om beveiligingsmaatregelen van het systeem te omzeilen of man-in-the-middle-aanvallen uit te voeren. Adware die dit wel doet zou vanaf 31 maart 2016 door de beveiligingssoftware van Microsoft worden verwijderd. Microsoft heeft de regels echter verbreed. Programma's die de browser aanpassen mogen dat voortaan alleen nog doen via het add-on-model van de browser. Alle andere aanpassingen zijn niet meer toegestaan. Het gaat daarbij niet alleen om adware, maar om alle software die de werking van de browser beïnvloedt. Doordat de richtlijn nu voor veel meer programma's gaat gelden heeft Microsoft de deadline verschoven van 31 maart naar 2 mei 2016, zodat ontwikkelaars de tijd krijgen om hun software aan te passen. bron: security.nl

De afgelopen dagen is er een sterke stijging geweest van het e-mails die via besmette zip-bijlagen de Locky-ransomware proberen te verspreiden. De e-mails hebben onder andere als onderwerp "invoice notice", "attached image" en "attached document themes". Volgens het bericht heeft de ontvanger bijvoorbeeld een bestelling geplaatst of een rekening niet betaald. Meer informatie zou in het meegestuurde zip-bestand zijn te vinden. Dit zip-bestand bevat weer een JavaScript-bestand dat de Locky-ransomware op de computer downloadt. De e-mails worden wereldwijd verspreid, waaronder ook in Nederland. Locky is een vrij nieuwe ransomware-variant, die net als andere ransomware bestanden voor losgeld versleutelt. In het begin gebruikte de Locky-ransomware nog kwaadaardige macro's in Excel- en Word-bestanden om systemen te infecteren, maar is nu op JavaScript-bestanden overgestapt. Een mogelijke reden hiervoor is dat het eenvoudig is om het script te obfusceren en nieuwe varianten uit te rollen, en zo traditionele op signatures-gebaseerde virusscanners te omzeilen, aldus beveiligingsbedrijf FireEye. Uit cijfers van VirusTotal blijkt dat de ransomware slecht door anti-virussoftware wordt herkend. Recentelijk werd een Amerikaans ziekenhuis nog door de Locky-ransomware getroffen, waarop het ziekenhuisbestuur intern de noodtoestand afkondigde. bron: security.nl

Onderzoekers hebben een nieuwe ransomware-variant ontdekt die niet bepaalde bestanden versleutelt, zoals de meeste ransomware doet, maar de gehele harde schijf ontoegankelijk maakt. Bedrijven zijn daarbij het doelwit van de ransomware, die de naam Petya heeft gekregen. Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de harde schijf echter versleuteld, aldus het Duitse anti-virusbedrijf G Data. Het blijkt hier echter niet om versleuteling te gaan, maar het overschrijven van de master boot record (mbr), zo stelt anti-virusbedrijf Trend Micro. Na de schijfcontrole verschijnt er een doodshoofd en de melding dat de harde schijf is versleuteld. Via een website op het Tor-netwerk kunnen gebruikers voor 0,99 bitcoin (370 euro) een decryptiesleutel aanschaffen. De prijs hiervan wordt na een week verdubbeld. Of de harde schijf inderdaad is versleuteld zoals G Data claimt is onduidelijk. De onderzoekers van het anti-virusbedrijf stellen in hun eigen analyse dat waarschijnlijk alleen de bestandstoegang is geblokkeerd, maar de bestanden zelf niet zijn versleuteld. Het onderzoek naar de Petya-ransomware loopt echter nog. UpdateAnti-virusbedrijf Trend Micro laat in een analyse weten dat Petya de master boot record (mbr) van een besmette harde schijf overschrijft. Er wordt echter niet gesproken over het versleutelen van de harde schijf zoals G Data doet. Update 2G Data laat in een reactie aan Security.NL weten dat het onderzoek nog loopt, maar dat uit de voorlopige resultaten blijkt dat alleen de mbr en systeembestanden worden aangepast. Andere bestanden laat de ransomware buiten beschouwing. De onderzoekers van het Duitse anti-virusbedrijf kunnen zich dan ook voorlopig in de conclusie van Trend Micro vinden dat Petya de mbr overschrijft en aanpast, maar de harde schijf zelf niet wordt versleuteld. bron: security.nl

Google heeft vandaag een aantal nieuwe maatregelen aangekondigd die Gmail-gebruikers tegen verschillende dreigingen moeten beschermen. Zo zullen gebruikers voortaan een waarschuwing te zien krijgen als ze op een link in een e-mailbericht klikken waarvan Google weet dat die gevaarlijk is. Hiervoor maakt Google gebruik van Safe Browsing, de technologie die het zelf ontwikkelde om kwaadaardige en schadelijke websites op te sporen en ook binnen Google Chrome, Mozilla Firefox en Safari wordt gebruikt. Een andere aanpassing die Google gaat doorvoeren heeft betrekking op het waarschuwen van gebruikers voor aanvallen door overheden. Sinds 2012 krijgen Gmail-gebruikers een aparte waarschuwing te zien als ze volgens Google mogelijk het doelwit van een overheid zijn. Het gaat dan om een kleine roze balk bovenaan de pagina. Deze waarschuwingen zijn volgens Google zeer bijzonder, aangezien minder dan 0,1% van de Gmail-gebruikers die ooit te zien krijgt. Om deze gebruikers nu beter te informeren wordt er voortaan een complete pagina met beveiligingsadvies getoond. EncryptiewaarschuwingenSinds begin februari toont Google ook waarschuwingen aan Gmail-gebruikers als ze e-mailen met iemand waarvan de e-mailaanbieder geen tls-encryptie ondersteunt. "Dit had een direct en positief effect op de veiligheid van Gmail", zegt Nicolas Lidzborski van het Gmail Security-team. Sinds de maatregel werd geïntroduceerd is het aantal e-mails dat over een versleutelde verbinding werd verstuurd met 25% toegenomen. "We zijn zeer te spreken over deze ontwikkeling! Gegeven de eenvoud waarmee encryptie is te implementeren en het grote voordeel voor gebruikers verwachten we dat deze ontwikkeling zich zal voortzetten." bron: security.nl

In de surveillancecamera's van meer dan 70 fabrikanten is een ernstig beveiligingslek aangetroffen waardoor een aanvaller op afstand code op de apparaten kan uitvoeren, zo ontdekte onderzoeker Rotem Kerner. Het gaat om systemen die uit een surveillancecamera en digitale videorecorder (dvr) bestaan. Kerner kreeg inspiratie voor zijn onderzoek nadat eind 2014 bleek dat internetcriminelen winkels via hun dvr-systemen hackten en zo toegang tot de kassasystemen en creditcardgegevens van klanten kregen. "Surveillancecamera's zijn de eerste verdedigingslinie in de fysieke wereld, maar de zwakste schakel in de digitale wereld", aldus de onderzoeker. Hij besloot dan ook onderzoek te doen naar surveillancecamera's die via internet toegankelijk zijn. Een zoekopdracht via de Shodan-zoekmachine, waarmee op internet aangesloten apparaten kunnen worden gevonden, leverde meer dan 30.000 camera's op. Volgens de onderzoeker een topje van de ijsberg. De volgende stap in het onderzoek bestond uit het achterhalen van de fabrikant. Het bleek om een Israëlisch bedrijf te gaan. In de firmware van het systeem vond Kerner een ernstige kwetsbaarheid waardoor hij op afstand code op het systeem kon uitvoeren. Verdere analyse liet zien dat het systeem en gebruikte firmware eigenlijk in China waren ontwikkeld. Meer dan 70 fabrikanten wereldwijd bleken het systeem onder hun eigen naam te verkopen. De oorspronkelijke fabrikant is het Chinese TVT. De onderzoeker besloot dan ook om TVT voor de kwetsbaarheid te waarschuwen, maar zonder succes. Daarom heeft hij zijn bevindingen nu gepubliceerd, alsmede een lijst van alle kwetsbare fabrikanten. Doordat zoveel bedrijven dezelfde producten verkopen is het volgens Kerner lastig om het probleem te verhelpen. Ook is de kans klein dat ze allemaal met updates zullen komen, waardoor tal van gebruikers kwetsbaar achterblijven. Gebruikers krijgen dan ook het advies om de camera's alleen toegankelijk voor vertrouwde ip-adressen te maken. bron: security.nl

De Locky-ransomware was de afgelopen weken regelmatig in het nieuws omdat het allerlei organisaties en gebruikers infecteerde, waarop de de Duitse overheid en Microsoft met waarschuwingen kwamen, maar volgens onderzoeker Sylvain Sarméjeanne is de ransomware eenvoudig te neutraliseren. Sarméjeanne onderzocht de ransomware, die allerlei bestanden op computers voor losgeld versleutelt. Zo blijkt Locky computers met een Russische taalinstelling niet te infecteren. Het aanpassen van de taalinstelling kan een infectie dan ook voorkomen, maar is volgens de onderzoeker voor de meeste mensen niet werkzaam. Het aanpassen van het Windowsregister is dat mogelijk wel. Voordat Locky bestanden gaat versleutelen worden er namelijk eerst bepaalde waardes in het Windowsregister gecontroleerd. Na het controleren van de taalinstelling probeert Locky een registersleutel in het Windowsregister aan te maken. Als die sleutel echter al aanwezig is, stopt Locky met werken. Is de sleutel niet aanwezig, dan wordt die door Locky aangemaakt en controleert de ransomware vervolgens andere waardes in het Windowsregister. Het aanmaken van deze waardes zorgt er wederom voor dat Locky stopt en geen bestanden versleutelt. Een andere oplossing die het versleutelen voorkomt is het toevoegen van informatie in het Windowsregister die Locky voor de encryptiesleutel gebruikt. "De afgelopen weken heeft Locky voor veel problemen gezorgd, maar er zijn eenvoudige maatregelen die wanneer ingeschakeld voorkomen dat bestanden worden versleuteld, zonder dat hier anti-virussoftware of securitytools aan te pas komen", aldus Sarméjeanne. Eerder stelde ook de Oostenrijkse beveiligingsexpert Robert Penz dat infecties via Locky door het volgen van verschillende algemene beveiligingsprocedures eenvoudig zijn te voorkomen. bron: security.nl

Oracle heeft buiten de vaste patchcyclus om een noodpatch voor een ernstig beveiligingslek in Java uitgebracht waardoor aanvallers computers in het ergste geval volledig kunnen overnemen. Het bezoeken van een gehackte of kwaadaardige website zou in dit geval voldoende zijn. Het beveiligingslek is aanwezig in Oracle Java SE 7 Update 97 en Java 8 Update 73 en 74 voor Windows, Solaris, Linux en Mac OS X en oudere versies. Vanwege de ernst van de kwetsbaarheid adviseert Oracle de update zo snel als mogelijk te installeren, wat kan via Java.com. Verder krijgen Java-gebruikers het advies om oudere Java-versies van de computer te verwijderen en Java alleen via Java.com en geen andere websites te downloaden, omdat het dan mogelijk om malware kan gaan. Voor zover bekend zijn er nog geen aanvallen waargenomen die van de kwetsbaarheid gebruikmaken. bron: security.nl

Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben naar eigen zeggen unieke en gevaarlijke usb-malware ontdekt die in staat is om offline computers te infecteren en ontwikkeld is om allerlei gegevens van besmette systemen te stelen. De malware wordt USB Thief genoemd. Om computers te infecteren maakt USB Thief gebruik van plug-ins of dll-bestanden. Volgens de onderzoekers spelen de malwaremakers hierbij in op de trend dat usb-sticks vaak "draagbare" applicaties bevatten die zonder installatie werken, zoals Firefox, Notepad++ en TrueCrypt. Zodra gebruikers een dergelijke applicatie starten wordt ook de malware in de achtergrond geladen. Het is echter onbekend hoe een besmette usb-stick bij het beoogde doelwit terechtkomt. HardwareUSB Thief is ook opvallend omdat het alleen op een enkele usb-stick werkt. De malware is zo ontwikkeld dat die niet op andere usb-apparaten dan het originele apparaat kan werken. Voor elk exemplaar is er dan ook een andere usb-stick. Hiervoor maakt USB Thief gebruik van encryptie. De encryptiesleutel is afgeleid van het hardware-id van de usb-stick en bepaalde schijfeigenschappen. Daardoor kan de malware alleen vanaf de betreffende usb-stick worden geladen. Dit maakt het lastiger voor onderzoekers om de malware te analyseren. Het belemmert echter ook de verspreiding van USB Thief. Aan de andere kant voorkomt het wel dat de malware buiten de aangevallen omgeving terechtkomt, aldus de onderzoekers. Dit was bijvoorbeeld het geval met de Stuxnetworm, die systemen ook via usb-sticks infecteerde. Stuxnet infecteerde echter ook usb-sticks die op de besmette computer werden aangesloten, waardoor de malware zich uiteindelijk buiten de aangevallen omgeving verspreidde. OnderzoekOmdat de onderzoekers niet over de besmette usb-sticks beschikten maar alleen de malware-bestanden, besloten ze het hardware-id van het oorspronkelijke usb-apparaat via brute force te achterhalen en gebruikten daarbij veelvoorkomende schijfeigenschappen. Hierdoor kon uiteindelijk de werking van de malware worden achterhaald. USB Thief blijkt alle databestanden op besmette computers te stelen, zoals afbeeldingen en documenten. Ook verzamelt USB Thief informatie uit het Windowsregister, bestandslijsten van alle harde schijven en informatie die via het programma WinAudit wordt verzameld. Hierbij laat de malware geen enkel spoor achter. "Nadat de usb-stick is verwijderd kan niemand meer zien dat er gegevens zijn gestolen", zegt onderzoeker Tomas Gardon. Usb-poorten uitschakelenOm infecties door USB Thief te voorkomen adviseert ESET om usb-poorten uit te schakelen. In het geval dit niet mogelijk is wordt aangeraden om beleid op te stellen voor het gebruik van usb-apparaten en is het raadzaam om het personeel te trainen. "Mensen moeten de risico's kennen van usb-apparaten die van onbetrouwbare bronnen afkomstig zijn. Uit verschillende onderzoeken blijkt dat er een grote kans is dat mensen gevonden usb-sticks in hun computer steken", stelt onderzoeker Peter Stancik. bron: security.nl

TeamViewer neemt maatregelen tegen Surprise-ransomware De ontwikkelaars van TeamViewer hebben maatregelen genomen tegen internetcriminelen die de software gebruiken om computers en servers met ransomware te infecteren. TeamViewer is een programma om op afstand computers te beheren. Gisteren werd bekend dat criminelen via TeamViewer toegang tot computers weten te krijgen en daar vervolgens de Surprise-ransomware installeren. Deze ransomware versleutelt vervolgens allerlei bestanden voor losgeld en geeft ze de bestandsextensie .surprise. De aanvallers gebruikten twee TeamViewer-accounts om toegang tot de computers van slachtoffers te krijgen. Daarop heeft TeamViewer besloten deze accounts uit te schakelen, zodat ze niet langer meer met de software zijn te gebruiken. Het is nog altijd onduidelijk hoe de aanvallers via TeamViewer toegang wisten te krijgen, maar mogelijk gaat het om gebruikers die hun TeamViewer-wachtwoord ook op andere websites gebruikten die werden gehackt. Volgens Lawrence Abrams van Bleeping Computer heeft meer dan de helft van de slachtoffers een account op één van de gehackte websites die via Haveibeenpwned.com worden bijgehouden. Uit analyse van de Surprise-ransomware blijkt dat het ransomware-bestand zelf geen encryptiefuncties bevat. In plaats daarvan wordt erin het geheugen van de computer een ander bestand geladen dat uiteindelijk de bestanden versleutelt. Op deze manier probeert de ransomware detectie door virusscanners te omzeilen. Zodra bestanden eenmaal zijn versleuteld is er geen manier om die kosteloos te ontsleutelen. bron: security.nl

Comodo heeft meerdere ernstige lekken in de eigen virusscanner gedicht waardoor een aanvaller zonder interactie van gebruikers systemen kon aanvallen en wachtwoorden, toetsaanslagen, encryptiesleutels en bijvoorbeeld informatie van smartcards kon stelen. De problemen werden door Google-onderzoeker Tavis Ormandy ontdekt en bevonden zich in de emulator van Comodo Antivirus. De emulator wordt gebruikt om geobfusceerde uitvoerbare bestanden uit te pakken en binnen de emulator uit te voeren. Op deze manier kan worden gekeken of een binnengekomen bestand kwaadaardig is. De emulator maakt het echter mogelijk voor een aanvaller om de Win32-programmeerinterface van Windows te benaderen. Vervolgens zijn er allerlei aanvallen mogelijk, aldus Ormandy. Zo kunnen toetsaanslagen worden gemonitord en teruggestuurd. Ook is een aanval op afstand mogelijk die tot een buffer overflow leidt, waardoor een aanvaller willekeurige code kan uitvoeren, zonder dat hiervoor enige interactie van een gebruiker is vereist. De emulator wordt namelijk geactiveerd als er bijvoorbeeld e-mails worden ontvangen of websites worden bezocht. Door bijvoorbeeld een zip-bstand te versturen zal de virusscanner die scannen, waardoor de aanval kan worden uitgevoerd. Ormandy had eerder ook al beveiligingsproblemen in de Chromodo-browser van Comodo gevonden, alsmede in de producten van AVG, Sophos, ESET, Kaspersky Lab, Avast, Malwarebytes en Trend Micro. bron: security.nl

Microsoft heeft een nieuwe feature voor Office 2016 uitgebracht die bescherming tegen macro-malware moet bieden. Macro's staan standaard in Office uitgeschakeld, maar via social engineering weten criminelen gebruikers zover te krijgen dat ze die inschakelen en waardoor de computer besmet raakt. Volgens Microsoft maakt inmiddels 98% van de dreigingen die zich op Office richten gebruik van macro's. Het gaat dan vaak om ransomware, maar ook bij de aanval op Oekraïense energiebedrijven werden Office-documenten met kwaadaardige macro's ingezet. Vanwege de groeiende dreiging door macro-malware is Office 2016 van een nieuwe feature voorzien waarmee netwerkbeheerders het risico van macro's in bepaalde scenario's kunnen voorkomen. Het gaat dan bijvoorbeeld om documenten die via websites of clouddiensten worden gedownload, via e-mail zijn ontvangen of via internet zijn geopend. De feature is via Group Policy in te stellen en maakt het mogelijk om macro's geheel te blokkeren, in bepaalde gevallen wel toe te staan en gebruikers andere meldingen te laten zien als ze wordt gevraagd een macro in te schakelen. Voor eindgebruikers adviseert Microsoft om macro's in documenten van onbekende of onbetrouwbare bronnen nooit in te schakelen, en ook voorzichtig te zijn met macro's van bekenden, bijvoorbeeld in het geval ze gehackt zijn. bron: security.nl

Net als verschillende ontwikkelaars van Apple hebben ook ontwikkelaars van het Tor Project aangegeven dat ze ontslag zullen nemen als ze door een rechter worden gedwongen om backdoors of kwetsbaarheden in de software van de organisatie te introduceren waardoor gebruikers risico lopen. Dat laat het Tor Project in een reactie op de zaak tussen Apple en de FBI weten, die inmiddels is geschorst. Vorige week verklaarden sommige Apple-ontwikkelaars aan de New York Times dat ze zouden opstappen in het geval de FBI de zaak zou winnen en Apple een aangepaste versie van iOS zou moeten ontwikkelen waarmee er toegang tot een vergrendelde iPhone kan worden verkregen. Het Tor Project is verantwoordelijk voor de ontwikkeling van het Tor-netwerk en software zoals Tor Browser, waarmee er toegang tot het Tor-netwerk kan worden verkregen. Volgens het Tor Project heeft het nog nooit een juridisch bevel ontvangen om een backdoor aan de software of broncode toe te voegen. Ook zijn er geen verzoeken binnengekomen om bijvoorbeeld encryptiesleutels voor het signeren van software te overhandigen. De manier waarop de software wordt ontwikkeld en gecontroleerd, alsmede het opensourceontwikkelproces, zouden er daarnaast voor zorgen dat een aangebrachte backdoor snel wordt ontdekt. Inmiddels is het Tor Project ook een beloningsprogramma voor het melden van kwetsbaarheden gestart. Verder verkent het Tor Project manieren om de 'single points of failure' te verhelpen. Zelfs in het geval een overheid of crimineel de encryptiesleutels weten te bemachtigen, zouden gebruikers en het Tor-netwerk dit dan nog steeds weten te detecteren. Tor wordt onder andere door mensen, activisten en journalisten in totalitaire regimes gebruikt om hun identiteit te beschermen. bron: security.nl

Computercriminelen maken gebruik van TeamViewer om een ransomware-variant genaamd 'Surprise' op computers en servers te installeren. Verschillende slachtoffers maken daar melding van op de website Bleeping Computer. TeamViewer is een programma om op afstand computers te beheren. De aanvallers weten via TeamViewer op de systemen in te loggen. Daar wordt vervolgens de ransomware uitgevoerd. Het gaat om een bestand genaamd surprise.exe, dat alle versleutelde bestanden van de bestandsextensie .surprise voorziet. De ransomware is gebaseerd op de open source EDA2-ransomware. De EDA2-ransomware werd vorig jaar door een Turkse onderzoeker ontwikkeld. Naar eigen zeggen voor educatieve doeleinden. Verschillende internetcriminelen gebruiken de code echter om eigen varianten te maken. Sommige van de slachtoffers waren vergeten dat TeamViewer nog op de aangevallen systemen stond. Het is echter onduidelijk hoe de aanvallers de inloggegevens wisten te bemachtigen. Een mogelijkheid is dat de aanvallers toegang tot de e-mailaccounts van hun slachtoffers hadden en zo het wachtwoord voor TeamViewer konden resetten. De exacte oorzaak is nog onbekend. bron: security.nl

Internetgigant Yahoo is op een missie om het wachtwoord te elimineren en om dit te bereiken heeft het een nieuwe inlogmethode onthuld. Gebruikers kunnen voortaan via hun smartphone op hun account inloggen in plaats van een wachtwoord te gebruiken. De oplossing heet Yahoo Account Key en werd vorig jaar al aan de Mail-app toegevoegd. Nu kan er ook via allerlei andere apps middels Account Key op het Yahoo-account worden ingelogd. Zodra gebruikers willen inloggen ontvangen ze op hun smartphone een pushbericht. Zodra de gebruiker dit bericht goedkeurt is hij ingelogd. "Het is veilig en het is niet meer nodig om een lastig wachtwoord te onthouden", zegt productmanager Lovlesh Chhabra. bron: security.nl

Het Russische softwarebedrijf Elcomsoft heeft een update voor het programma System Recovery uitgebracht waarmee Windows 8- en 8.1- en Windows 10-accounts waarvoor een Microsoft-account wordt gebruikt direct kunnen worden ontgrendeld door de inloggegevens te resetten. Daarnaast is het mogelijk om de wachtwoordhash te exporteren en die vervolgens te kraken. (pdf). "In veel gevallen kan zo het originele plain-text wachtwoord worden achterhaald", zegt Oleg Afonin. Op deze manier kan er toegang tot alle gebruikersgegevens worden verkregen die op basis van het accountwachtwoord waren versleuteld. Afonin erkent dat dit niet nieuw is, aangezien hetzelfde al tien jaar geleden met lokale Windowsaccounts kon. "Wat wel is veranderd is het soort informatie dat via het Microsoft-accountwachtwoord dat we hebben achterhaald kan worden benaderd. Dit is zo'n geval waarbij een kleine verandering allerlei nieuwe mogelijkheden voor digitaal forensisch onderzoek introduceert." Microsoft AccountHet Microsoft-account, voorheen bekend als Windows Live ID, is een single sign-on-oplossing waarmee op allerlei Microsoftdiensten kan worden ingelogd. Als gebruikers een Microsoft-account gebruiken om op hun computer met Windows 8, 8.1 of 10 in te loggen krijgen ze bijvoorbeeld toegang tot Microsoft OneDrive. Ook zorgt het inloggen met een Microsoft-account ervoor dat de computer wordt versleuteld middels BitLocker. De herstelsleutel wordt standaard in de cloud van Microsoft bewaard, in het geval de gebruiker zijn wachtwoord vergeet. Een onderzoeker die toegang tot het Microsoft-account heeft kan zodoende ook de BitLocker-herstelsleutels van dat account benaderen. "In tegenstelling tot lokale Windows-accounts worden inloggegevens van Microsoft-accounts op de servers van Microsoft opgeslagen en online geauthenticeerd", merkt Afonin op. "Het uitvoeren van een grootschalige online aanval op een Microsoft-account is onmogelijk, maar omdat er een lokale kopie van de wachtwoordhash wordt opgeslagen om offline authenticatie te bieden, kunnen wij hier gebruik van maken om de hash te achterhalen en die te kraken, wat het originele wachtwoord oplevert. Met dit wachtwoord kunnen experts allerlei soorten data van het online account benaderen." Elcomsoft omschrijft System Recovery als een tool voor forensische onderzoekers en it-beveiligingsspecialisten. bron: security.nl

Een beruchte malwarefamilie die zich de afgelopen maanden vooral via Word-, Excel- en JavaScriptbestanden verspreidde maakt nu van rtf-bestanden gebruik, in de hoop om zo virusscanners te misleiden. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye in een analyse. Het gaat om Dridex, een Trojaans paard dat speciaal ontwikkeld is om geld via internetbankieren te stelen. Bij nieuwe campagnes maakt Dridex geen gebruik meer van de eerder genoemde bestandsformaten, maar gebruikt WordprocessingML dat als een rtf-bestand is opgeslagen. WordprocessingML is een xml-formaat dat een Worddocument beschrijft. Volgens FireEye probeert de malware op deze manier bepaalde signatures van virusscanners te omzeilen. Net als de eerder gebruikte Word- en Excelbestanden wordt er een macro gebruikt om de malware op de computer te krijgen. Om detectie door virusscanners te voorkomen bevat de kwaadaardige macro zelf geen kwaadaardige code. Die wordt in een textbox-object van een formulier opgeslagen. FireEye stelt dat de meeste exemplaren die nu worden verspreid niet door virusscanners worden opgemerkt. Zo zou slechts 1 van de 56 anti-virusbedrijven waarmee op VirusTotal wordt gescand de malware detecteren. "Cybercriminelen blijven innoveren, waarbij ze dit keer een creatieve manier laten zien om de detectie van dreigingen via statische signatures te bemoeilijken. Om veilig te blijven is het belangrijk om op drie gebieden waakzaam en proactief te zijn, namelijk bewustzijn bij gebruikers, beleid en technologie", zegt analist Robert Venal. bron: security.nl

Technologiebedrijven Microsoft, Google, Yahoo, Comcast en LinkedIn, alsmede verschillende experts, werken aan een mechanisme dat man-in-the-middle-aanvallen op e-mail moet voorkomen en ervoor moet zorgen dat zo goed als alle e-mail via een met tls beveiligde verbinding wordt verstuurd. Het mechanisme heet SMTP Strict Transport Security (STS) en zorgt ervoor dat mailproviders laten weten dat ze met tls-beveiligde verbindingen kunnen accepteren en hoe ze certificaten valideren. Op dit moment wordt e-mail via smtp onversleuteld verstuurd. Als oplossing werd er een uitbreiding voor smtp bedacht, genaamd starttls. Hiermee kan er een smtp-sessie over tls worden opgezet. Volgens de technologiebedrijven en experts biedt starttls in de huidige vorm geen vertrouwelijkheid, omdat het kwetsbaar is voor downgrade-aanvallen op de versleutelde verbinding en de authenticiteit van de server niet goed gecontroleerd wordt. Een aanvaller zou zodoende berichten kunnen onderscheppen. Het nu gepresenteerde voorstel zorgt ervoor dat voor het versturen van een e-mail naar een domein dat SMTP STS ondersteunt er eerst wordt gekeken of de ontvangende e-mailserver tls-encryptie ondersteunt en wordt de geldigheid van het certificaat van de server gecontroleerd. Pas daarna vindt het verzenden plaats. Op het voorstel, dat bij de Internet Engineering Task Force (IETF) is ingediend, kan de komende maanden worden gereageerd. Of het ook een standaard zal worden en zo ja wanneer, is onduidelijk. bron: security.nl