Captain Kirk

Onderzoekers hebben een aanval gedemonstreerd waarmee het mogelijk is om het encryptiewachtwoord van versleutelde Linuxsystemen in handen te krijgen. De aanval vereist wel dat de aanvaller fysieke toegang tot het systeem heeft. In dit geval kan er code worden toegevoegd om het wachtwoord te onderscheppen. In 2009 demonstreerde onderzoekster Joanna Rutkowska de Evil Maid-aanval, waarbij een aanvaller met fysieke toegang het encryptiewachtwoord van met TrueCrypt-versleutelde systemen kon achterhalen. Dergelijke aanvallen kunnen volgens onderzoekers van beveiligingsbedrijf Gotham Digital Science op elk besturingssysteem worden uitgevoerd. Onderzoekers van het bedrijf besloten voor hun onderzoek naar de Linux Unified Key Setup (LUKS) te kijken, de schijfversleuteling voor Linux. Ze hebben hun aanval omgedoopt tot 'EvilAbigail', waarbij Abigail een Amerikaanse term voor bediende is. Bij een Linuxdistributie die met volledige schijfversleuteling wordt geïnstalleerd is er een kleine partitie die onversleuteld is om de decryptie en bootstrapping van de versleutelde harde schijf mogelijk te maken. Deze partitie wordt gemount en bevat de kernel en de initiële ramdisk (initrd). De initrd bestaat uit een minimale verzameling van tools voor het ontsleutelen en mouten van het root-bestandssysteem. Een aanvaller met fysieke toegang kan de initrd van kwaadaardige code voorzien, zodat het encryptiewachtwoord van de gebruiker, zodra die het de volgende keer invoert, wordt opgeslagen. MaatregelenVolgens de onderzoekers kunnen gebruikers verschillende maatregelen nemen om zich tegen dit soort aanvallen te beschermen. De eerste oplossing is om de bootloader, kernel en de initrd op een externe usb-stick op te slaan en het systeem daar vanaf te starten. Hoewel dit mogelijk de veiligste oplossing is, is het ook de meest onhandige, aangezien de gebruiker altijd de usb-stick moet loskoppelen en meenemen als hij zijn laptop onbeheerd achterlaat. Een andere oplossing is het uitschakelen van de mogelijkheid om vanaf externe media op te starten. Dit kan geheel geautomatiseerde aanvallen voorkomen, maar biedt nog steeds ruimte voor een aanvaller die het systeem handmatig mount en de initrd vanuit de initrd zelf aanpast. Een andere oplossing is het instellen van een BIOS-wachtwoord, zodat het systeem niet zonder BIOS-wachtwoord kan worden opgestart. Deze laatste twee opties bieden echter geen bescherming tegen een aanvaller die voldoende tijd heeft om de harde schijf uit de laptop te halen en op een eigen systeem aan te sluiten en zo aan te passen. De veiligste oplossing volgens de onderzoekers is de initrd aan SecureBoot toe te voegen. Op deze manier wordt het gehele opstartproces gecontroleerd en kan aangepaste code worden gedetecteerd. Toch is er nog steeds een aanvalsvector als een aanvaller de BIOS/UEFI kan flashen om zo SecureBoot uit te schakelen. "De beste manier om jezelf tegen dit soort aanvallen te beschermen is om je systeem nooit in handen van de aanvallers te laten vallen. Onze proof-of-concept-aanval kon alle doelen in iets meer dan 2 minuten backdooren", zo waarschuwen de onderzoekers. bron: security.nl

Volgens het Tsjechische anti-virusbedrijf Avast zijn openbare wifi-netwerken niet te vertrouwen, daarom heeft het een gratis app gelanceerd waarmee veilige draadloze netwerken kunnen worden gevonden. Wi-Fi Finder, zoals de app heet, bevat een database van bijna 800.000 wifi-netwerken wereldwijd. De netwerken zijn door betatesters van de app toegevoegd. Hoe meer mensen de app gebruiken, des te groter de database zal worden. Gebruikers kunnen wifi-netwerken namelijk zelf toevoegen en beoordelen. Naast het aanbieden van beschikbare wifi-netwerken test de app ook de snelheid van het wifi-netwerk en voert een veiligheidscheck uit. Wi-Fi Finder is alleen beschikbaar voor Android en te downloaden via Google Play. bron: security.nl

Een Italiaanse onderzoeker waarschuwt voor een botnet dat uit duizenden gehackte routers bestaat en WordPress-sites aanvalt. Het botnet voert bruteforce-aanvallen op het inloggedeelte van de websites uit. Er wordt geprobeerd om met de gebruikersnaam admin en verschillende wachtwoorden in te loggen. Nu zijn er meer botnets die WordPress-sites aanvallen, alleen dit botnet viel op. Alle gebruikte IP-adressen waren namelijk van dezelfde IP-reeksen afkomstig. Het bleek om voornamelijk Italiaanse internetproviders te gaan. Verder onderzoek wees uit dat de aanvallen van gehackte Aethra-routers afkomstig waren. De apparaten bleken standaard inloggegevens te gebruiken, namelijk een lege gebruikersnaam en een leeg wachtwoord. Via de zoekmachine Shodan kon uiteindelijk de omvang van het botnet in kaart worden gebracht. Het gaat om zo'n 12.000 apparaten. De aanvallen werden in februari van dit jaar waargenomen. De onderzoeker van het Italiaanse VoidSec waarschuwde daarop de verschillende providers. BT Italia gaf echter geen reactie en de apparaten van de provider zijn nog steeds kwetsbaar. De Italiaanse provider Fastweb kwam wel in actie en rolde deze maand een update uit. Inmiddels elf maanden later heeft de onderzoeker besloten details over het botnet vrij te geven, mede omdat de intensiteit van de aanvallen is afgenomen. bron: security.nl

Google is bezig met het testen van een nieuwe inlogmethode waarbij gebruikers zonder wachtwoord toegang tot hun account krijgen. Dat laat één van de testers op Reddit weten. De geteste inlogmethode maakt gebruik van de smartphone. Zodra gebruikers op de desktop op hun Google-account willen inloggen moeten ze hun e-mailadres opgeven. Vervolgens verschijnt er een melding dat ze het inloggen op hun telefoon moeten bevestigen en er op een bepaald getal moet worden geklikt dat de inlogpagina laat zien. Daarna is de gebruiker ingelogd. Tegenover VentureBeat verklaart Google dat het een kleine groep gebruikers de nieuwe inlogmethode laat testen. De internetgigant stelt dat de nieuwe inlogmethode helpt tegen phishing, omdat de telefoon het wachtwoord wordt. bron: security.nl

De makers van het contentmanagementsysteem Joomla hebben een beveiligingsupdate uitgebracht die een kritieke kwetsbaarheid in de software verhelpt waardoor een aanvaller kwetsbare websites kan overnemen. Beheerders krijgen dan ook het advies om de update direct te installeren. Vorige week verscheen er ook een update voor Joomla, toen voor een kwetsbaarheid die actief werd aangevallen. De oorzaak van deze kwetsbaarheid blijkt een bug in PHP zelf te zijn. PHP had deze kwetsbaarheid zelf al in september van dit jaar gepatcht via PHP 5.4.45, 5.5.29, 5.6.13 en PHP 7. Joomla-websites die op een kwetsbare versie van PHP draaiden konden via de kwetsbaarheid worden aangevallen. "We weten dat niet alle hosts hun PHP-installaties up-to-date houden en hebben deze release uitgebracht om dit probleem op kwetsbare PHP-versies op te lossen", aldus het ontwikkelteam van Joomla. Gebruikers krijgen het advies om Joomla 3.4.7 te installeren. Hoewel Joomla 1.5 en 2.5 end-of-life zijn en niet meer worden ondersteund heeft Joomla ook voor deze versies updates uitgebracht. bron: security.nl

Net als Google, Facebook en Twitter gaat ook Yahoo gebruikers waarschuwen als ze het doelwit van overheidsaanvallen zijn. Het gaat in dit geval om aanvallen die tegen specifieke gebruikers zijn gericht. Zodra Yahoo vermoedt dat een gebruiker het doelwit van een dergelijke aanval is zal het bedrijf een aparte waarschuwing laten zien met informatie en advies om het account te beveiligen. Aangevallen gebruikers krijgen het advies om twee factor-authenticatie in te schakelen, een sterk en uniek wachtwoord voor alleen Yahoo aan te maken, de herstelgegevens voor het account te controleren, de opties voor het doorsturen van e-mail en reply-to te controleren en de recente activiteiten bij de accountinstellingen door te lopen. Yahoo benadrukt dat als gebruikers een dergelijke waarschuwing krijgen dit niet inhoudt dat ze ook daadwerkelijk zijn aangevallen, maar dat er een sterk vermoeden is dat de gebruiker mogelijk is aangevallen. Hoe Yahoo vaststelt dat het om een overheidsaanval gaat wil het niet zeggen, om te voorkomen dat dergelijke aanvallers achter de detectiemethodes komen. bron: security.nl

Een onderzoeker van het Duitse beveiligingsbedrijf Emsisoft is erin geslaagd een nieuwe en schadelijke ransomware-variant te kraken, waardoor slachtoffers zonder te betalen hun documenten terugkrijgen. Gomasom, zoals onderzoeker Fabian Wosar de ransomware noemt, voegt een Gmailadres aan de versleutelde versie van bestanden toe. Vandaar ook de naam Gomasom, wat staat voor 'GOogle MAil ranSOM'. In tegenstelling tot andere ransomware versleutelt Gomasom ook uitvoerbare bestanden op de computer, waardoor de meeste programma's niet meer werken. Wosar is er echter in geslaagd om de ransomware te kraken, zodat de versleutelde bestanden kosteloos kunnen worden ontsleuteld. Een tool die slachtoffers hiermee helpt is via de website van Emsisoft te downloaden. Op het forum van Bleeping Computer wordt er een uitleg over de tool gegeven. Hoe Gomasom zich verspreidt is niet bekend. Eén slachtoffer van de ransomware laat echter weten hoe die 50.000 bestanden op zijn systeem versleutelde. bron: security.nl

Ruim helft Belgen gebruikt gratis beveiligingssoftware Ruim de helft van de Belgen (54%) gebruikt gratis beveiligingssoftware om de computer tegen malware te beschermen. Dat blijkt uit onderzoek onder meer dan 1.000 Belgische internetgebruikers door de Universiteit Gent. Om zichzelf te beveiligen tegen internetdreigingen is de meest genomen maatregel het installeren van gratis software. 54% van de respondenten geeft aan dit te doen. Op de tweede plaats komt het vermijden of stoppen van specifieke internetactiviteiten (50%). Op de derde plaats volgt het aanpassen van instellingen (47%). Slechts 21% van de respondenten geeft aan dat ze hun internetgebruik in totaliteit gaan verminderen als beschermingsmaatregel. De wetenschappers gingen ook na met welke vormen van cybercrime de respondenten al in aanraking zijn gekomen. Daarbij kregen ze zes vormen van cybercrime voorgelegd. De respondenten geven aan dat zijzelf of iemand uit hun omgeving slachtoffer is geweest van virussen (40%), monitoring door private bedrijven (39%), monitoring door de overheid (25%), ongewenste inhoud en/of gedrag (18%), hacking en identiteitsdiefstal (11%) en scams (9%). Bij de categorieën monitoring, zowel door de overheid als door private bedrijven, zijn er in vergelijking met de andere categorieën opvallend meer mensen die aangeven dat ze niet zeker zijn of ze effectief slachtoffer zijn geweest of niet. DoelgroepenOp basis van hoe de respondenten internet gebruiken, genomen beveiligingsmaatregelen en hoe ze hun eigen veiligheid op internet beschouwen stelden de wetenschappers vier profielen samen. Het gaat om de bewuste internetgebruiker, de gebruiker met te veel vertrouwen in het internet, de onervaren internetgebruiker en de onbekommerde internetgebruiker. Campagnes voor veilig internetgebruik moeten zich volgens de onderzoekers richten op de groep met te veel vertrouwen in het internet de onervaren internetgebruikers. Dit zijn volgens de onderzoekers de meest kwetsbare groepen, omdat ze relatief weinig kennis over het internet en online risico’s hebben. bron: security.nl

De nieuwste versie van Flash Player, die eerder deze maand verscheen, bevat verschillende extra beveiligingsmaatregelen, zo heeft Adobe bekendgemaakt. Flash Player ligt al geruime tijd onder vuur. Om misbruik door cybercriminelen lastiger te maken werkt Adobe met verschillende partijen samen. Het gaat dan om partijen als Google en Microsoft, die helpen met het ontwikkelen van proactieve beveiligingsmaatregelen. Dit moet het lastiger voor aanvallers maken om exploits te ontwikkelen die van kwetsbaarheden in de browserplug-in gebruikmaken. De verbeteringen in de laatste versie van Flash Player beperken de mogelijkheden van aanvallers om zogeheten 'use-after-free' kwetsbaarheden te gebruiken, zo stelt Peleus Uhley van Adobe. Hij vermeldde de nieuwe beveiligingsmaatregelen in een terugblik op 2015. Uhley dankt daarin de beveiligingsgemeenschap en partners als Google en Microsoft, die hebben geholpen bij het veiliger maken van Flash Player. Volgens Uhley staan er echter nog meer beveiligingsverbeteringen gepland die volgend zullen worden doorgevoerd. Ondanks de genomen maatregelen kiezen steeds meer partijen ervoor om Flash Player te laten vallen. Zo maakte vorige week Facebook bekend dat het voor het afspelen van video's voortaan HTML5 in plaats van Flash zal gebruiken. bron: security.nl

Adware heeft zich door de jaren heen steeds verder ontwikkeld waarbij inmiddels heuse aanvalstechnieken op gebruikers worden toegepast om advertenties te tonen. Aanleiding voor Microsoft om de regels voor programma's die advertenties in de browser laten zien aan te scherpen. De afgelopen maanden verschenen er meerdere berichten over agressieve adware, die bijvoorbeeld virusscanners of updates voor Google Chrome en Firefox uitschakelt. Ook Microsoft stelt dat adware zich heeft ontwikkeld en nu verschillende man-in-the-middle-aanvallen toepast. Het gaat dan om het instellen van proxies, het aanpassen van DNS-instellingen, het manipuleren van de netwerklaag en andere methodes. In al deze gevallen wordt de communicatie tussen de computer en het internet onderschept om advertenties op websites te injecteren. De toegepaste man-in-the-middle-technieken introduceren allerlei nieuwe beveiligingsrisico's, aldus Microsoft. Ook ondermijnen ze de beveiligingsmaatregelen van browsers en is het lastig voor doorsnee gebruikers om de doorgevoerde aanpassingen ongedaan te maken. Het kan bijvoorbeeld gaan om de installatie van een rootcertificaat, waardoor de adware alle versleutelde verbindingen onderschept. Om gebruikers hier tegen te beschermen gaat Microsoft strenger optreden. Voortaan moeten programma's die advertenties in de browser laten zien alleen het extensiemodel van de browser gebruiken, anders zullen ze als adware worden bestempeld en door de beveiligingssoftware van Microsoft worden verwijderd. De softwaregigant zal de nieuwe regels vanaf 31 maart 2016 gaan handhaven. bron: security.nl

Bij het bezoeken van websites die zijn gecensureerd kunnen internetgebruikers voortaan een specifieke foutmelding krijgen, zo heeft Mark Nottingham van de HTTP Working Group van de Internet Engineering Task Force (IETF) bekendgemaakt. Het idee voor een aparte foutmelding voor gecensureerde websites is afkomstig van Amazon-werknemer Tim Bray. Hij stelde voor om duidelijk aan internetgebruikers te maken als een website vanwege censuur niet kan worden getoond. In dit geval zou de melding "Error 451" moeten verschijnen. Een verwijzing naar de dystopische toekomstroman Fahrenheit 451 van Ray Bradbury. In eerste instantie was de werkgroep tegen het plan, maar Bray hield vast. Daarnaast waren er websites die het experimenteel begonnen te gebruiken. Doordat censuur op internet steeds meer voorkomt en zichtbaarder wordt, kreeg de werkgroep van meerdere websites het verzoek om dit onderscheid te maken. Daarnaast zou een specifieke foutmelding voor gecensureerde websites kunnen helpen om online censuur in kaart te brengen. Uiteindelijk ging de werkgroep overstag en publiceerde de nieuwe HTTP-statuscode. Nottingham waarschuwt wel dat het uiteindelijk aan de censor is om de gecensureerde content juist te labelen. Daarnaast zullen sommige overheden het gebruik van de 451-code niet toestaan, om zo te verbergen wat ze doen. "Maar als je overheid dat doet, stuurt het een sterk signaal naar burgers wat hun plannen zijn. Dat is ook belangrijk om te weten", aldus Nottingham. bron: security.nl

Het Finse anti-virusbedrijf F-Secure heeft een gratis sandbox-omgeving gelanceerd waarmee malware kan worden getest. De Sandboxed Execution Environment (SEE) is een framework voor het bouwen van geautomatiseerde tests in een beveiligde omgeving. Verschillende Hypervisors, zoals Qemu en VirtualBox, kunnen worden gebruikt om de testomgevingen te draaien. F-Secure stelt dat SEE bedoeld is voor het automatisch testen van onbekende, gevaarlijke of onstabiele software en de werking van de software tijdens het uitvoeren te volgen. Daarbij kunnen tests voor zowel prototyping als productieomgevingen worden gemaakt. De code van de Sandboxed Execution Environment is via GitHub te downloaden. bron: security.nl

Microsoft heeft een update voor Windows 10 uitgerold die gebruikers van Microsoft Edge en Internet Explorer 11 tegen drive-by-aanvallen moet beschermen. Drive-by-aanvallen, ook bekend als drive-by-downloads, maken gebruik van kwetsbaarheden in browsers en browserplug-ins om automatisch malware op de computer te plaatsen. Het bezoeken van een gehackte website of het te zien krijgen van een besmette advertentie is hiervoor voldoende. De meeste drive-by-aanvallen maken gebruik van bekende kwetsbaarheden waarvoor beveiligingsupdates al beschikbaar zijn. Gebruikers die de updates hebben geinstalleerd lopen dan geen risico. De tijd tussen het verschijnen van een update en de exploit die hier misbruik van maakt wordt steeds korter. Daarnaast waren er het afgelopen jaar ook meerdere zero day-aanvallen. In dit geval gaat het om exploits waarvoor nog geen update beschikbaar is. "Door deze trend hebben gebruikers minder tijd om naar een veilige situatie te updaten en kunnen niet langer vertrouwen dat het installeren van patches een betrouwbare bescherming tegen drive-by-aanvallen is", aldus Microsoft. Om gebruikers tegen dit soort aanvallen te beschermen heeft Microsoft SmartScreen uitgebreid. Dit is het filter in Internet Explorer en Microsoft Edge dat tegen kwaadaardige websites beschermt. Het gaat dan om websites die via social engineering malware aanbieden of phishingsites. Via informatie uit Microsoft Edge, Internet Explorer, Bing, Defender en de Enhanced Mitigation Experience Toolkit (EMET) heeft Microsoft ook zicht op drive-by-aanvallen. Er is dan ook besloten om deze informatie voor SmartScreen te gebruiken en op deze manier gebruikers tegen dergelijke aanvallen te beschermen. CachebestandIn tegenstelling tot het detecteren van phishingsites en social engineering-aanvallen, moeten drive-by-aanvallen worden gedetecteerd voordat de website wordt geladen. Om te voorkomen dat dit invloed op de prestaties van de browser heeft, gebruikt SmartScreen een klein cachebestand om tegen drive-by-aanvallen te beschermen. Dit cachebestand wordt regelmatig door de browser geüpdatet, zodat SmartScreen alleen wordt aangeroepen als er een grote kans is dat de website kwaadaardige content bevat. In dat geval krijgen gebruikers een duidelijke melding te zien. bron: security.nl

De Belgische politie waarschuwt internetgebruikers via de eigen website voor malafide e-mails die op dit moment worden verstuurd en van elektronicaketen Saturn afkomstig lijken. In de e-mails wordt gesteld dat er met de creditcard van de ontvanger voor een bedrag van rond de 2.000 euro goederen zijn besteld. Voor telefoonnummer en andere contactgegevens wordt er naar de meegestuurde bijlage verwezen. De e-mail en het genoemde bedrag zou ontvangers ertoe kunnen bewegen om de bijlage te openen, zo stelt de politie. De bijlage bevat echter malware. Om wat voor malware het precies gaat is niet bekendgemaakt. "De mail die rondgaat is in het Nederlands geschreven, maar er zouden ook Franstalige versies bestaan. Verwijder deze mail onmiddellijk en open dus zeker de bijlage niet", aldus de waarschuwing. Media Markt, eigenaar van Saturn, heeft op de eigen website geen melding geplaatst, maar herhaalt via Twitter de waarschuwing van de Federale Politie. bron: security.nl

Ik begrijp dat je ook geen idee hebt wat deze twee apparaten zijn. We zouden ze kunnen uitschakelen om te zien wat het effect is maar ik denk dat de volgende stap slimmer is: Download en installeer Speccy. Speccy is er ook in Nederlandstalige versie, bij de installatie (of update) kan je de taal wijzigen van Engels naar Nederlands ... als je op het driehoekje klikt, krijg je een uitrolmenu waarin je Nederlands kan selecteren. Wanneer, tijdens het installeren van Speccy, de optie aangeboden wordt om Google Chrome of Google Toolbar "gratis" mee te installeren dien je de vinkjes weg te halen, tenzij dit een bewuste keuze is. Start nu het programma en er zal een overzicht gemaakt worden van je hardware. Als dit gereed is selecteer je bovenaan "Bestand - Publiceer Snapshot" en vervolgens bevestig je die keuze met " Ja ". In het venster dat nu opent krijg je een link te zien, kopieer nu die link en plak die in je volgende bericht. Zo krijgen we een gedetailleerd overzicht van je hardware. Meer info over deze procedure lees je HIER. Ik zal na plaatsen van je log je probleem in het team kenbaar maken.

Google heeft kritieke kwetsbaarheden in de apparatuur van het Amerikaanse beveiligingsbedrijf FireEye ontdekt waardoor een aanvaller het apparaat volledig kon overnemen. FireEye levert producten die het netwerkverkeer monitoren aan zowel overheden als bedrijven. Als gebruikers een kwaadaardige website bezoeken of een besmette e-mail ontvangen kan het apparaat alarm slaan. "Voor netwerken die van FireEye-apparaten gebruikmaken, zou een kwetsbaarheid die via de passieve monitoringsinterface kan worden aangevallen een nachtmerrie zijn. Dit zou inhouden dat een aanvaller alleen een e-mail naar een gebruiker hoeft te versturen om toegang tot een permanente netwerktap te hebben. De ontvanger van de e-mail hoeft de e-mail niet eens te lezen, het ontvangen is voldoende", zegt Tavis Ormandy van Google Project Zero, het speciale team van hackers dat beveiligingsonderzoek naar allerlei producten uitvoert. En die nachtmerrie blijkt in het geval van FireEye werkelijkheid te zijn geworden. Google ontdekte verschillende kwetsbaarheden waardoor het voldoende is om een e-mail naar een gebruiker te versturen of de gebruiker een link te laten openen om de FireEye-apparatuur volledig over te nemen. Deze apparaten nemen vaak een belangrijke plek in het netwerk in. Een aanvaller die het apparaat weet over te nemen kan vervolgens vertrouwelijke data stelen, verkeer manipuleren, zich lateraal door het netwerk bewegen en zelfs een internetworm zou zich via de kwetsbaarheid kunnen verspreiden. Google waarschuwde FireEye en het bedrijf had binnen een paar uur een tijdelijke oplossing onder klanten uitgerold. Binnen twee dagen werd er een permanente oplossing aan klanten aangeboden (pdf). Daarop besloot Google details over de aanval en kwetsbaarheid te publiceren. Details over het gedeelte van de aanval waardoor een aanvaller op het beveiligingsapparaat zijn rechten kan verhogen zijn echter nog niet vrijgegeven. bron: security.nl

Mozilla heeft een 64-bit versie van Firefox voor Windows gelanceerd en 21 kwetsbaarheden in de browser verholpen. De 64-bit versie moet voor betere prestaties bij webapplicaties en games op 64-bit systemen zorgen. Gebruikers zijn wel gewaarschuwd dat deze versie niet alle plug-ins ondersteunt. Plug-ins die wel op de 32-bit versie van Firefox werken, werken mogelijk niet op de 64-bit versie, zo waarschuwt Mozilla. De 64-bit versie is beschikbaar voor Windows 7 en latere versies en kan via Mozilla.org worden gedownload. Naast een volledige ondersteuning van 64-bit verhelpt Firefox 43 ook 21 kwetsbaarheden. Vijf van de beveiligingslekken zijn als kritiek aangemerkt. Een aanvaller kan in dit geval willekeurige code op de computer uitvoeren, zoals het installeren van malware, waarvoor het bezoeken van een gehackte of kwaadaardige website voldoende is. Updaten naar Firefox 43 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Mozilla heeft de trackerblokkade in Firefox uitgebreid, zodat gebruikers naast de trackers die standaard worden geblokkeerd ook andere trackers kunnen blokkeren. Onlangs voegde Mozilla aan Firefox Tracking Protection toe. De maatregel moet gebruikers meer controle over hun data geven. Ook moet het voorkomen dat gebruikers ongewenst op het web worden gevolgd. Gebruikers die via Private Browsing surfen kunnen op deze manier advertenties, analytics en trackers blokkeren. Standaard werd de blocklist van Disconnect gebruikt, een browserplug-in die ook allerlei advertenties en trackers blokkeert. Wie meer bescherming tegen trackers wil kan nu ook uit een "strenge" blocklist kiezen. Deze lijst blokkeert trackers die vaak in video, foto of embedded content worden gebruikt. Mozilla waarschuwt dat het gebruik van deze blocklist er wel voor kan zorgen dat sommige websites niet goed meer werken. bron: security.nl

Er is een kwetsbaarheid in de Linux-bootloader Grub2 ontdekt waardoor een aanvaller met fysieke toegang tot een systeem zonder wachtwoord kan inloggen. Grub2 is de bootloader die de meeste Linuxsystemen gebruiken. Het nu ontdekte lek is aanwezig in versie 1.98 (uit 2009) tot versie 2.02 (2015). Een aanvaller die van de kwetsbaarheid gebruik weet te maken kan zonder geldige gebruikersnaam of wachtwoord inloggen, informatie stelen of een Denial of Service veroorzaken, aldus de advisory. Ook zou het voor een geavanceerde aanvaller met fysieke toegang mogelijk zijn om via de kwetsbaarheid het systeem met malware te infecteren. Het beveiligingslek werd ontdekt door Hector Marco en Ismael Ripoll van het Spaanse Cybersecurity Research Group van de Universiteit van Valencia. Gebruikers die willen controleren of ze kwetsbaar zijn moeten als Grub om de gebruikersnaam vraagt 28 keer backspace indrukken. Als de machine herstart of een 'rescue shell' laat zien is de gebruikte Grubversie kwetsbaar. Marco en Ripoll hebben een noodpatch gemaakt die het beveiligingslek verhelpt. Het Nationaal Cyber Security Center (NCSC) van de Nederlandse overheid meldt dat Fedora inmiddels updates voor Fedora 23 beschikbaar heeft gesteld. bron: security.nl

Een toolkit waarmee cybercriminelen kwaadaardige Word-documenten kunnen genereren is uitgebreid met een 'nieuwe' Word-aanval, wat een serieuze dreiging is voor bedrijven en organisaties die achterlopen met het installeren van beveiligingsupdates voor Microsoft Office. Microsoft Word Intruder (MWI) is een toolkit die malafide Word-documenten genereert die van kwetsbaarheden in Microsoft Office gebruikmaken. Het gaat om kwetsbaarheden uit 2010, 2012, 2013 en 2014 waarvoor beveiligingsupdates al jaren beschikbaar zijn. Toch zijn er bedrijven en organisaties die deze updates niet installeren. Het openen van een kwaadaardig document kan er daardoor voor zorgen dat een aanvaller malware op de computer kan plaatsen, om vervolgens allerlei informatie te stelen of andere computers in het netwerk aan te vallen. Om de kans op succes te vergroten heeft de ontwikkelaar van MWI een nieuwe exploit aan de toolkit toegevoegd. Het gaat om een kwetsbaarheid in Microsoft Office die in april van dit jaar werd gepatcht. Via het beveiligingslek kan een aanvaller, als het document op een ongepatchte computer wordt geopend, willekeurige code op de computer uitvoeren, zoals het installeren van malware. In september werden er al aanvallen waargenomen die van de kwetsbaarheid gebruikmaakten. Nu de exploit voor de kwetsbaarheid aan de MWI-toolkit is toegevoegd kunnen veel meer cybercriminelen over deze aanval beschikken. Volgens het Britse anti-virusbedrijf Sophos een serieus probleem, want zelfs de oude exploits in de toolkit hadden een succespercentage van tussen de 15% en 50%. "Dus met deze nieuwe exploit kunnen we bij malware-campagnes die van MWI gebruikmaken hogere infectiepercentages verwachten", zo stelt onderzoeker Gabor Szappanos. Bedrijven kunnen zich echter eenvoudig wapenen, namelijk het installeren van de betreffende patch. bron: security.nl

De makers van het populaire contentmanagementsysteem (CMS) Joomla hebben een noodpatch voor een zero day-lek uitgebracht dat de afgelopen dagen actief werd aangevallen. Via de kwetsbaarheid kunnen websites volledig worden overgenomen. Beveiligingsbedrijf Sucuri stelt dat het al op 12 december aanvallen heeft waargenomen, terwijl de update gisterenavond verscheen. Sinds gisteren zouden de aanvallen verder zijn toegenomen. "Dat houdt in dat waarschijnlijk elke Joomla-site is aangevallen", zegt Daniel Cid van Sucuri. Via de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren. De makers van Joomla werden op 13 december over het beveiligingslek ingelicht en kwamen een dag later op 14 december met een noodpatch. De kwetsbaarheid is aanwezig in Joomla-versies 1.5.0 tot en met 3.4.5. Gebruikers krijgen dan ook het advies om te upgraden naar versie 3.4.6. Ook voor Joomla 1.5 en 2.5, die end-of-life zijn en niet meer worden ondersteund, hebben de ontwikkelaars een hotfix uitgebracht. Volgens cijfers zou zo'n 3% van de websites op internet van Joomla gebruikmaken. bron: security.nl

TrueCrypt is de populairste encryptiesoftware onder Windowsgebruikers, zo claimt softwarebedrijf OPSWAT, dat software op 12.000 computers wereldwijd analyseerde. Voor het onderzoek werd Microsoft BitLocker bewust niet meegeteld. Deze encryptiesoftware is namelijk standaard aanwezig in bepaalde Windowsversies. Zou BitLocker wel worden meegeteld, dan zou dit het populairste versleutelprogramma zijn, met een marktaandeel van 82%. Zonder BitLocker is TrueCrypt het meestgebruikte programma, ook al wordt de software sinds vorig jaar niet meer ondersteund. TrueCrypt heeft een marktaandeel van 21%, gevolgd door oplossingen van AVG (14%), Bitdefender (13%), Sophos (10%) en Kaspersky (7%). De reden dat TrueCrypt zo populair blijft is volgens OPSWAT omdat het gratis is en BitLocker niet voor Windows Home-edities beschikbaar is. 63% van de 12.000 onderzochte computers draaide een Home-editie. bron: security.nl

Een driver voor Bluetooth-chips van fabrikant CSR, die ook door Lenovo wordt gebruikt, blijkt een rootcertificaat op computers te installeren. Een aanvaller die over de privésleutel van het rootcertificaat beschikt kan hierdoor in theorie HTTPS-verbindingen van gebruikers afluisteren. Dat meldt onderzoeker Hanno Bock. Het blijkt om een testcertificaat te gaan dat onbedoeld aan de driver is toegevoegd. Lenovo biedt op de eigen website een Bluetooth-driver met het betreffende certificaat aan. Bock stelt dat het incident weg heeft van het Superfish-debacle waar Lenovo eerder dit jaar mee te maken kreeg, alleen bevat het rootcertificaat dit keer geen privésleutels, waardoor de impact kleiner is. Toch is het toevoegen van het rootcertificaat een beveiligingsrisico, aldus de onderzoeker. CSR werd in augustus van dit jaar door Qualcomm overgenomen. Het bedrijf laat in een reactie weten dat bij de ontwikkeling van de driver een testcertificaat was gebruikt. Block denkt dat CSR aan hardwarefabrikanten zoals Lenovo een versie van de driver heeft gegeven die eigenlijk nog in ontwikkeling was, inclusief het testcertificaat. De onderzoeker merkt op dat het niet ongewoon is dat tijdens de ontwikkelfase er lokaal testcertificaten worden gebruikt, maar dat die in de uiteindelijke versie moeten worden verwijderd. Lenovo heeft vragen van Bock niet beantwoord. Ook wordt de driver in kwestie nog steeds aangeboden. bron: security.nl

Kun je bij de twee meldingen laten zoeken naar de laatste drivers?

Ik ben bang dat de laptop het begeven heeft. Je kunt nog wel proberen een reparatie uit te laten voeren maar dat zal waarschijnlijk resulteren in een complete nieuwe installatie van het besturingssysteem en daarbij de kosten van eventuele nieuwe onderdelen. Dan moet je wel bedenken dat je gaat sleutelen aan een oude laptop. Dus wat is dit je dan waard. Gezien de leeftijd van de laptop en de mogelijke reparatiekosten kun je misschien beter dit geld gaan steken in een nieuw apparaat.