Captain Kirk

Microsoft heeft een testversie van Windows Server 2025 beschikbaar gemaakt die het installeren van beveiligingsupdates zonder herstart van het systeem mogelijk maakt. Deze 'hotpatches' zijn volgens Microsoft een 'gamechanger'. Hotpatches zijn beveiligingsupdates die geen reboot vereisen. De updates patchen in het geheugen code van draaiende processen, zonder dat het nodig is om deze processen te herstarten. Dit moet ervoor zorgen dat in plaats van twaalf verplichte reboots per jaar op 'Patch Tuesday', er wordt gewerkt met een geplande herstart per kwartaal. Dit bestempelt Microsoft als 'nominale hotpatch maand'. Minder binaries houdt ook in dat updates sneller worden gedownload en geïnstalleerd, aldus het techbedrijf. Hotpatching is al een aantal jaren beschikbaar in Windows Server 2022 Datacenter: Azure Edition, maar vereist dat het besturingssysteem in een virtual machine (VM) draait. De feature komt ook beschikbaar in de Standard en Datacenter edition van Windows Server 2025. en zonder VM-verplichting. Hotpatching wordt ondersteund op fysieke servers of virtual machines. De VM's kunnen op Hyper-V, VMware of andere oplossingen draaien die Microsofts Virtualization Based Security-standaard ondersteunen. Voor het gebruik van hotpatching is wel Azure Arc vereist. bron: https://www.security.nl

Een beveiligingsonderzoeker heeft een naar eigen zeggen 'catastrofale' kwetsbaarheid in de op Chromium-gebaseerde Arc-browser gevonden waardoor het mogelijk was om willekeurige JavaScript binnen de browser van alle gebruikers uit te voeren, waarbij alleen het kennen van een user-ID voldoende was. Het probleem speelde alleen bij de Arc-browser, andere Chromium-gebaseerde browsers waren niet kwetsbaar. The Browser Company, het bedrijf achter de Arc-browser, had oorspronkelijk geen bugbountyprogramma, maar besloot de onderzoeker met het alias 'xyzeva' een beloning van tweeduizend dollar toe te kennen. De Arc-browser biedt een feature genaamd 'Boosts', waarmee het mogelijk is om elke website door middel van custom CSS en JavaScript aan te passen. Deze aanpassingen slaat Arc op in Firebase. The Browser Company had naar eigen zeggen de Firebase ACL's (Access Control Lists) verkeerd geconfigureerd, waardoor het mogelijk was om de CreatorID van een Boost te veranderen nadat die was aangemaakt. Hierdoor was het mogelijk om een malafide Boost aan elke willekeurige gebruiker toe te kennen, die dan automatisch werd geactiveerd als ze de website bezochten waarvoor de Boost was aangemaakt. Het bleek daarbij eenvoudig om het user-ID te achterhalen. Een aanvaller zou zo een Boost kunnen maken met malafide JavaScript dat binnen de browser van de gebruiker zou worden uitgevoerd. De kwetsbaarheid (CVE-2024-45489) werd op 25 augustus aan The Browser Company gemeld dat een dag later met een fix en beloning kwam. Naar aanleiding van het incident gaat Arc-browser JavaScript in gesynchroniseerde Boosts standaard uitschakelen, zal het Firebase niet meer voor nieuwe features en producten gebruiken, worden bestaande Firebase ACL's geaudit, is er een security-engineer aangenomen en een bugbountyprogramma gestart. bron: https://www.security.nl

Graag gedaan en succes. Ik zet het topic op slot. Wil je toch nog reageren, laat het ons dan even weten.

I think youre question is to change the OS XP for a other OS to use the laptop for the next 18 years. You can try to install a Linux-version. Those are free to use and sutable for most systems.

Kleine aanvulling: ik gebruik zelf ook regelmatig zo 'uitlees-apparaatje" De meeste hebben verschillende aansluitingen zodat de meeste schijven, zeker de oudere, eenvoudig aangesloten kunnen worden. Je schijf verschijnt als extern station in je verkenner. Werkt simpel en snel.

Aanvallers maken gebruik van GitHub-notificatiemails om ontwikkelaars op het platform via een malafide PowerShell-commando met malware te infecteren. Het uiteindelijke doel is om via de malware wachtwoorden en andere inloggegevens te stelen die voor verdere aanvallen zijn te gebruiken. Als eerste stap in de aanval maakt de aanvaller een GitHub-account aan en rapporteert dan een probleem met een publieke repository van de ontwikkelaar. Vervolgens verwijdert de aanvaller het probleem. De eigenaar van de publieke repository ontvangt nu een notificatiemail. Daarin staat de omschrijving van het probleem dat door de aanvaller was aangemaakt. De aanvaller laat in de omschrijving weten dat er een beveiligingsprobleem met de repository is aangetroffen en wijst vervolgens naar een website genaamd 'github-scanner' waarin meer informatie over het oplossen van het probleem te vinden zou zijn. De website heeft een zogenaamde captcha waarbij gebruikers worden opgeroepen PowerShell te starten, ctrl+v te doen en dan enter. Hierdoor wordt de net gekopieerde code geplakt en uitgevoerd. Deze code downloadt de malware op het systeem. Het gaat om de Lumma-infostealer. Deze malware is ontwikkeld om allerlei inloggegevens van het systeem te stelen, zo meldt Ian Spence, die een dergelijke GitHub-notificatiemail ontving. Het gebruik van malafide PowerShell-commando's is al bij verschillende phishingaanvallen toegepast. bron: https://www.security.nl

Thunderbird is gestopt met de ondersteuning van Windows 7 en 8 en zal niet zoals Mozilla bij Firefox deed de e-mailclient langer blijven ondersteunen. Dat heeft het ontwikkelteam bekendgemaakt. Onlangs maakte Mozilla bekend dat het Firefox voor Windows 7 en 8.1 tot maart 2025 van beveiligingsupdates zal voorzien en een verdere verlenging wordt niet uitgesloten. "We zullen de support van Thunderbird 115 niet op dezelfde manier verlengen", aldus de ontwikkelaars van de e-mailclient. Dat houdt in dat Thunderbird 115.15.0, die twee weken geleden verscheen, de laatste ondersteunde versie is. De ontwikkelaars sluiten niet uit dat er nog één kleine update voor deze versie verschijnt, maar de support van de oude Windowsversies is daarmee officieel tot een einde gekomen. Aanleiding voor de beslissing is dat Thunderbird veel minder gebruikers op Windows 7 en 8 heeft dan Firefox. Het aandeel Windows 7- en 8-gebruikers bij de e-mailclient is zo'n zes procent, tegenover elf procent bij de browser. Thunderbird 115 blijft vooralsnog voor gebruikers van Windows 7 en 8 beschikbaar, totdat dit niet langer veilig is, gebaseerd op de beveiligingsupdates die voor Thunderbird versie 128 verschijnen. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt klanten voor een kritiek path traversal-lek in Cloud Service Appliance (CSA) waar aanvallers actief misbruik van maken en dat 'bij toeval' op 10 september werd opgelost. Onlangs meldde Ivanti ook actief misbruik van een andere kwetsbaarheid in CSA. Via de Cloud Service Appliance kunnen organisaties software uitrollen, updates installeren en op afstand problemen oplossen op door de organisatie beheerde laptops, tablets, smartphones en andere systemen. Een gecompromitteerde CSA kan dan ook verstrekkende gevolgen voor een organisatie hebben. Op 10 september kan Ivanti met een update voor een kwetsbaarheid in CSA versie 4.6, aangeduid als CVE-2024-8190. Drie dagen later liet het softwarebedrijf weten dat aanvallers actief misbruik van dit beveiligingslek maken. Gisteren kwam Ivanti met een nieuwe waarschuwing voor een tweede actief aangevallen lek in CSA 4.6. Het gaat om een kritieke path traversal-kwetsbaarheid (CVE-2024-8963) waardoor een ongeauthenticeerde aanvaller op afstand 'toegang tot 'afgeschermde functionaliteit' kan krijgen. Aanvallers combineren CVE-2024-8963 en CVE-2024-8190 om de admin-authenticatie te omzeilen en willekeurige commando's op de appliance uit voeren. De impact van CVE-2024-8963 is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Met de update die op 10 september voor CVE-2024-8190 verscheen blijkt ook 'bij toeval' CVE-2024-8963 te zijn verholpen, aldus de uitleg van Ivanti. Met de patch voor CSA 4.6 zijn dan ook beide actief aangevallen kwetsbaarheden opgelost. Deze versie is echter end-of-life en organisaties worden dan ook aangeraden naar CSA 5.0 te upgraden. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Apache HugeGraph Server waarvoor in april een beveiligingsupdate verscheen. Dat laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Apache HugeGraph maakt het mogelijk om applicaties te ontwikkelen gebaseerd op graph databases. Een kwetsbaarheid in de software maakt het mogelijk voor aanvallers op om afstand code uit te voeren en zo de server volledig over te nemen. De impact van het beveiligingslek (CVE-2024-27348) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Eind april kwam de Apache Foundation met updates om het probleem te verhelpen. Begin juni werden technische details over de kwetsbaarheid openbaar gemaakt. Een maand later meldde The Shadowserer Foundation dat er aanvalspogingen plaatsvonden. Nu meldt ook het CISA dat aanvallers actief misbruik van het beveiligingslek maken. Amerikaanse overheidsinstanties zijn opgedragen om de beschikbare beveiligingsupdate voor 9 oktober te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Antivirusbedrijf Doctor Web brengt weer updates uit na aanval op systemen Antivirusbedrijf Doctor Web brengt weer updates uit voor klanten nadat het hier eerder wegens een aanval op de eigen infrastructuur mee was gestopt. Details over het incident zijn nog altijd niet gegeven. Zo zijn de aard en omvang onbekend. De virusbestrijder spreekt van een 'gevaarlijke situatie' met betrekking tot de aanval op de eigen infrastructuur, die afgelopen zaterdag 14 september begon. Op 16 september ontdekte Doctor Web 'ongeautoriseerde inmenging' binnen de eigen it-infrastructuur. Daarop werd besloten om alle servers van het netwerk los te koppelen. Uiteindelijk wist Doctor Web naar eigen zeggen de dreiging te isoleren. Vanwege de beslissing om de servers offline te halen konden er geen updates voor de antivirussoftware worden uitgerold. Inmiddels brengt het antivirusbedrijf weer updates uit en stelt dat geen klanten door het incident zijn getroffen. bron: https://www.security.nl

Een kritieke kwetsbaarheid maakt het mogelijk om VMware vCenter-servers op afstand over te nemen. Broadcom heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. Kwetsbaarheden in de oplossing zijn in het verleden geregeld gebruikt voor het uitvoeren van aanvallen. Volgens VMware bevat de implementatie van het DCERPC-protocol binnen vCenter een heap-overflow kwetsbaarheid. Door het versturen van speciaal geprepareerde netwerkpakketten kan een aanvaller met toegang tot een vCenter-server code op het systeem uitvoeren. De impact van het beveiligingslek (CVE-2024-38812) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. In juni kwam Broadcom ook al met updates voor kritieke kwetsbaarheden die met het DCERPC-protocol te maken hadden. Daarnaast heeft VMware een kwetsbaarheid in vCenter opgelost (CVE-2024-38813) waardoor een aanvaller met netwerktoegang tot een vCenter-server zijn rechten kan verhogen naar die van root. Broadcom zegt dat het niet bekend is met actief misbruik van de nu verholpen beveiligingslekken. Organisaties worden opgeroepen de updates zo snel mogelijk te installeren. bron: https://www.security.nl

De infrastructuur van Doctor Web was afgelopen weekend het doelwit van een gerichte aanval, zo heeft het antivirusbedrijf vandaag bekendgemaakt. Vanwege het incident worden er tijdelijk geen nieuwe Doctor Web virus databases, met informatie over nieuwe malware, uitgebracht. Doctor Web spreekt over een gerichte aanval om de infrastructuur te beschadigen en dat die tijdig gestopt is. De aanval heeft volgens het bedrijf geen gevolgen gehad voor gebruikers van de antivirussoftware. Details over de aard en omvang van de aanval zijn niet gegeven. In de vrij korte verklaring meldt Doctor Web dat "alle resources" zijn losgekoppeld van het netwerk zodat die kunnen worden gecontroleerd. Verder wordt gemeld dat het uitbrengen van virus databases tijdelijk is gestaakt, maar snel weer zal worden hervat. bron: https://www.security.nl

Google is niet te spreken over third-party dependency scanners die claimen dat er kwetsbaarheden in de producten van het techbedrijf aanwezig zijn, terwijl dat niet het geval is. Daardoor ontvangt Google naar eigen zeggen irrelevante bugmeldingen van beveiligingsonderzoekers. Een dependency scanner kijkt welke software op een host geïnstalleerd is en of daar bekende beveiligingslekken in voorkomen. Volgens Google komt het vaak voor dat deze scanners kwetsbaarheden rapporteren die eigenlijk false positives zijn of dat het om zaken gaat die Google niet als 'security relevant' beschouwt. Het techbedrijf is nu met een blogposting gekomen om beveiligingsonderzoekers erop te wijzen om alleen zaken in Googles producten te melden die security relevant zijn. Erik Varga van Google stelt dat de false positives die de scanners genereren in vier categorieën te verdelen zijn, namelijk ingetrokken kwetsbaarheden, onjuiste versies, verkeerd platform en niet security relevante meldingen. "De bevindingen van dependency scanners moeten met een korreltje zout worden genomen, aangezien er veel factoren zijn die beïnvloeden of een kwetsbaarheid in een programma op het gescande systeem van toepassing is", aldus Varga. Google hoopt dat de nu gegeven uitleg voor betere bugmeldingen van onderzoekers zal zorgen. bron: https://www.security.nl

Cybercriminelen gebruiken de kioskmode van browsers om zo inloggegevens van gebruikers te stelen, zo waarschuwen onderzoekers van OALabs. De kioskmode zorgt ervoor dat een opgegeven pagina fullscreen wordt geladen en de gebruiker die niet eenvoudig kan sluiten. Criminelen maken hier misbruik van door op een besmet systeem een bepaalde inlogpagina, vaak die van Google, in de kioskmode te laden, aldus de onderzoekers. Slachtoffers kunnen denken dat ze hun inloggegevens moeten invoeren om de pagina te sluiten. De ingevoerde gebruikersnaam en wachtwoord kunnen vervolgens worden gestolen. De malware heeft het niet op één specifieke browser voorzien, maar kijkt naar welke browsers op het systeem aanwezig zijn, om die vervolgens in de kioskmode op te starten. Daarbij worden ook parameters opgegeven om het sluiten van de kioskmode via de F11- en Escape-knoppen te voorkomen. Er zijn echter nog wel andere toetsencombinaties waarmee gebruikers de browser kunnen sluiten. bron: https://www.security.nl

Kritieke kwetsbaarheden maken het mogelijk om verschillende type wifi-routers van fabrikant D-Link op afstand over te nemen. Het gaat onder andere om een 'verborgen functie' waardoor Telnet wordt ingeschakeld en een aanvaller met hardcoded credentials kan inloggen. D-Link heeft firmware-updates beschikbaar gemaakt om de problemen te verhelpen. De problemen spelen bij de D-Link DIR-X5460, DIR-X4860 en COVR-X1870. De webservice van de X5460 en X4860 bevat een stack-based buffer overflow, waardoor een ongeauthenticeerde aanvaller op afstand willekeurige code op de apparaten kan uitvoeren, zo waarschuwt het Taiwanese Computer Emergency Response Team (TWCERT). De impact van de kwetsbaarheid (CVE-2024-45694) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een andere buffer overflow die remote code execution mogelijk maakt (CVE-2024-45695) raakt alleen de DIR-X4860. De DIR-X4860 en COVR-X1870 bevatten een kwetsbaarheid (CVE-2024-45696) waardoor een aanvaller, door het versturen van speciaal geprepareerde pakketten naar de webservice, Telnet kan inschakelen. Vervolgens is het mogelijk om met hardcoded credentials op de wifi-routers in te loggen. Het TWCERT spreekt over een 'verborgen functie'. Een beveiligingslek (CVE-2024-45697) in de DIR-X4860 zorgt ervoor dat Telnet wordt ingeschakeld wanneer de WAN-poort wordt ingeplugd. Wederom kan een ongeautoriseerde aanvaller op afstand dan met hardcoded credentials inloggen, laat het TWCERT weten, dat ook deze kwetsbaarheid als 'verborgen functie' aanduidt. Gebruikers worden opgeroepen de firmware-updates te installeren. bron: https://www.security.nl

Een kwetsbaarheid in Windows waarvoor Microsoft vorige week een beveiligingsupdate uitbracht werd voor het uitkomen van de patch actief misbruikt, zo heeft techbedrijf alsnog bevestigd. In eerste instantie gaf Microsoft aan dat er geen misbruik van het beveiligingslek, aangeduid als CVE-2024-43461, bekend was. Securitybedrijf ZDI liet direct na het uitkomen van de update weten dat Windowsgebruikers wel via de kwetsbaarheid werden aangevallen. "Dit beveiligingslek is gelijk aan de kwetsbaarheid die we in juli rapporteerden en werd gepatcht. Het ZDI Threat Hunting team ontdekte deze exploit in het wild en meldde het afgelopen juni aan Microsoft. Het lijkt erop dat aanvallers de vorige patch snel wisten te omzeilen. Toen we Microsoft over de kwetsbaarheid rapporteerden hebben we aangegeven dat er actief misbruik van werd gemaakt. We weten niet waarom Microsoft niet meldt dat actief misbruik plaatsvindt", aldus Dustin Childs van ZDI afgelopen dinsdag. Volgens Microsoft gaat het om een "Windows MSHTML platform spoofing kwetsbaarheid". Via het beveiligingslek proberen aanvallers het doelwit een malafide bestand te laten openen dat op een PDF-bestand lijkt, maar in werkelijkheid een MSHTML-bestand is dat via Internet Explorer wordt uitgevoerd, ook al is de browser op het systeem uitgeschakeld, zo werd afgelopen juli al duidelijk. Het malafide bestand is in werkelijkheid malware waarmee allerlei wachtwoorden en inloggegevens worden gestolen, aldus antivirusbedrijf Trend Micro. Microsoft heeft inmiddels het beveiligingsbulletin aangepast en laat weten dat er wel actief misbruik van de kwetsbaarheid wordt gemaakt. In de uitleg stelt het techbedrijf dat CVE-2024-43461 actief werd misbruikt voor juli als onderdeel van een aanvalsketen met betrekking tot CVE-2024-38112. De update die in juli verscheen zorgde ervoor dat de aanval niet meer werkt, aldus Microsoft. Om volledig beschermd te zijn moeten Windowsgebruikers zowel de update van juli als die van afgelopen dinsdag installeren. bron: https://www.security.nl

De Belgische overheid waarschuwt voor een malafide e-mail die afkomstig lijkt van het Centrum voor Cybersecurity België (CCB) en waarin ontvangers worden opgeroepen een virusscanner te installeren. Volgens de e-mail is 'onmiddellijke actie vereist' en moet de ontvanger 'betrouwbare antivirusbescherming' installeren. Daarbij doet de malafide e-mail voorkomen alsof het om een bericht van het CCB gaat. "Er doet momenteel een bericht de ronde dat het logo en de naam van het Centrum voor Cybersecurity België (CCB) misbruikt. In het bericht word je aangemoedigd om een virusscanner te downloaden. Doe dit in geen geval. Het is duidelijk een poging tot phishing. Dit bericht is niet afkomstig van het CCB", zo waarschuwt Safeonweb, dat een initiatief van het Centrum voor Cybersecurity België is. Waar de link naartoe wijst laat het overheidsorgaan niet weten. bron: https://www.security.nl

Microsoft en antivirusbedrijven hebben deze week de weerbaarheid van Windows besproken. Aanleiding was de wereldwijde storing veroorzaakt door de beveiligingssoftware van CrowdStrike. "Zowel onze klanten en ecosysteempartners hebben Microsoft opgeroepen om aanvullende beveiligingsmogelijkheden buiten de kernelmode te bieden", zegt Microsofts David Weston. Beveiligingssoftware en virusscanners draaien met kernelrechten, om zo te voorkomen dat malafide gebruikers met adminrechten of malware de software kunnen uitschakelen. In het geval van een crash of probleem met de beveiligingssoftware heeft dit echter grote gevolgen voor het systeem, omdat een herstart niet mogelijk is zoals bij gebruikersapplicaties mogelijk is. Tijdens het overleg dat deze week plaatsvond werden de vereisten besproken voor het ontwikkelen van een 'nieuw platform' dat tegemoet komt aan de eisen van antivirusbedrijven. Microsoft zegt dat het deze nieuwe platformmogelijkheden zal ontwerpen en ontwikkelen, waarbij de betrouwbaarheid moet worden vergroot, zonder dat dit ten koste van de veiligheid gaat. Exacte details zijn niet gegeven. In een reactie stelt antivirusbedrijf ESET dat het aanpassingen aan het Windows-ecosysteem steunt, als dit voor een meetbaar betere stabiliteit zorgt, zonder dat dit ten koste gaat van veiligheid, prestaties en de mogelijkheid voor klanten om beveiligingssoftware te kiezen. "Het blijft belangrijk dat kerneltoegang mogelijk blijft voor beveiligingsproducten om toekomstige cyberdreigingen te detecteren en blokkeren", aldus de virusbestrijder. bron: https://www.security.nl

Securitybedrijf Fortinet waarschuwt klanten voor een datalek, nadat een aanvaller toegang tot een third-party cloudomgeving wist te krijgen. In deze 'cloud-based shared file drive' stonden gegevens van een 'klein aantal' klanten die door de aanvaller zijn gestolen. Hoe de aanvaller toegang tot de cloudomgeving kon krijgen laat het securitybedrijf niet weten. De aankondiging bevat nauwelijks informatie. Fortinet zegt dat het politie en cyberagentschappen over het datalek heeft ingelicht. De melding van Fortinet volgt op een bericht dat iemand gisteren op een forum plaatste. In het bericht claimt deze persoon dat hij 440 gigabyte aan bestanden uit de Azure SharePoint-omgeving van Fortinet heeft gestolen. Vervolgens zou Fortinet zijn benaderd om in ruil voor de gestolen data losgeld te betalen, wat het bedrijf weigerde. bron: https://www.security.nl

Een kwetsbaarheid in de Windows Installer waar aanvallers actief misbruik van maken bij aanvallen was al sinds januari bij Microsoft bekend. Dat meldt securitybedrijf SEC Consult dat het probleem bij Microsoft op 24 januari meldde. Het techbedrijf kwam afgelopen dinsdag met beveiligingsupdates voor de kwetsbaarheid. Via het beveiligingslek kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen en SYSTEM-rechten krijgen. Microsoft meldt in het beveiligingsbulletin dat het bekend is met misbruik van de kwetsbaarheid (CVE-2024-38014), maar geeft geen verdere details over het waargenomen misbruik. Het probleem doet zich voor bij de verwerking van MSI-installers. Het MSI-bestandsformaat maakt het mogelijk om gestandaardiseerde installers te maken waarmee het mogelijk is om software te installeren, verwijderen en repareren. Het installeren en verwijderen van software vereist vaak verhoogde rechten, maar de repareerfunctie voor al geïnstalleerde software kan ook door een gebruiker met lage rechten worden uitgevoerd. De repareerfunctie kan echter met SYSTEM-rechten worden uitgevoerd. Iets waar een aanvaller misbruik van kan maken om zelf SYSTEM-rechten te krijgen, waarmee het systeem volledig kan worden overgenomen. SEC Consult waarschuwde Microsoft zoals gezegd op 24 januari. Op 8 februari bevestigde Microsoft het probleem en liet weten dat het in mei met een beveiligingsupdate zou komen. Deze datum werd vanwege de complexiteit en mogelijk impact van regressies vervolgens verzet naar juli, aldus het securitybedrijf. De beveiligingsupdate werd echter opnieuw uitgesteld, omdat Microsoft meer tijd voor de oplossing nodig had. Afgelopen dinsdag verscheen de patch voor alle ondersteunde Windowsversies. Daarop heeft SEC Consult nu de details openbaar gemaakt. bron: https://www.security.nl

De populaire online DevOps-tool GitLab waarschuwt voor een kritieke kwetsbaarheid waardoor een aanvaller in bepaalde gevallen als willekeurige gebruiker een pipeline kan uitvoeren. De impact van het beveiligingslek (CVE-2024-6678) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. GitLab roept organisaties op om de beschikbaar gestelde update zo snel mogelijk te installeren. Organisaties kunnen GitLab op hun eigen server of servers installeren. Het probleem is aanwezig in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE). Via een GitLab pipeline worden verschillende jobs binnen het ontwikkelproces stap voor stap met behulp van geautomatiseerde code uitgevoerd. Wanneer een softwareontwikkelaar nieuwe code aan zijn project op GitLab toevoegt wordt die door de pipeline uitgevoerd, getest en uitgerold. GitLab geeft op dit moment niet veel details over de kwetsbaarheid prijs, behalve dat een aanvaller hierdoor in bepaalde gevallen als een willekeurige gebruiker een pipeline kan uitvoeren. Meer informatie zal het platform over dertig dagen bekendmaken, zoals het met alle kwetsbaarheden doet. Gebruikers van GitLab Community Edition en Enterprise Edition wordt aangeraden te updaten naar versies 17.3.2, 17.2.5 of 17.1.7. bron: https://www.security.nl

Ontwikkelaars van plug-ins en themes voor WordPress die hun creaties via WordPress.org aanbieden worden vanaf volgende maand verplicht om tweefactorauthenticatie (2FA) tijdens het inloggen te gebruiken. Met de maatregel wil WordPress.org naar eigen zeggen het 'WordPress-ecosysteem' beschermen. Aanvallers die toegang tot het account van een ontwikkelaar weten te krijgen kunnen zo malafide code onder miljoenen WordPress-gebruikers verspreiden. Naast de 2FA-verplichting komt WordPress.org ook met SVN-wachtwoorden voor het doorvoeren van aanpassingen aan de code van plug-ins en themes. Ontwikkelaars gebruiken daar nu nog het WordPress.org gebruikersaccount voor. Ook deze maatregel moet als extra bescherming bieden. Het moet het primaire wachtwoord beschermen. Mocht het SVN-wachtwoord worden gecompromitteerd, kan die worden gereset zonder dat het nodig is de inloggegevens voor WordPress.org te wijzigen. bron: https://www.security.nl

Adobe heeft een kritieke kwetsbaarheid Acrobat en Acrobat Reader verholpen waarvoor al maandenlang proof-of-concept (poc) exploitcode beschikbaar is. Het softwarebedrijf is echter niet bekend met misbruik van het beveiligingslek, aangeduid als CVE-2024-41869. Op 23 juni waarschuwde beveiligingsonderzoeker Haifei Li dat zijn sandbox-gebaseerd systeem EXPMON, bij het analyseren van een grote hoeveelheid publieke pdf-bestanden, proof-of-concept exploit voor een kwetsbaarheid in de pdf-lezers van Adobe had gevonden. Via het beveiligingslek zou een aanvaller willekeurige code kunnen uitvoeren. De onderzoeker waarschuwde Adobe, dat op 13 augustus met beveiligingsupdates voor de kwetsbaarheid kwam, toen nog aangeduid als CVE-2024-39383. Een dag later meldde Li dat de kwetsbaarheid nog steeds aanwezig was. Adobe kende het beveiligingslek een nieuw CVE-nummer toe (CVE-2024-41869) en kwam afgelopen dinsdag opnieuw met updates. Li zal binnenkort meer details over de kwetsbaarheid delen en roept gebruikers en organisaties op om de updates te installeren. Het gaat om Acrobat DC en Acrobat Reader DC versie 24.003.20112, Acrobat Classic 2024 versie 24.001.30187, en Acrobat 2020 en Acrobat Reader 2020 versie 20.005.30680. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Ivanti Endpoint Manager maakt het mogelijk voor ongeauthenticeerde aanvallers om servers op afstand over te nemen, wat grote gevolgen voor organisaties kan hebben. Ivanti heeft updates uitgebracht om het probleem te verhelpen. Via Ivanti Endpoint Manager (EPM) kunnen organisaties laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. De oplossing bevat in totaal zestien kwetsbaarheden, waarvan er tien als kritiek zijn aangemerkt. Negen keer gaat het om een 'ongespecificeerde SQL-Injection', waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.1. De meest in het oog springende kwetsbaarheid is CVE-2024-29847, omschreven als 'Deserialization of untrusted data in the agent portal'. De impactscore van dit beveiligingslek is beoordeeld met een 10.0 en maakt het voor ongeauthenticeerde aanvallers mogelijk om op afstand code op de EPM-server uit te voeren. Ivanti meldt dat het niet bekend is met misbruik van de kwetsbaarheden. In het verleden zijn beveiligingslekken in Ivanti-producten geregeld gebruikt bij aanvallen. Organisaties worden onder andere door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security opgeroepen de updates te installeren. bron: https://www.security.nl

Tijdens de patchdinsdag van september heeft Microsoft vier actief aangevallen kwetsbaarheden verholpen. De beveiligingslekken werden al misbruikt voordat de patches beschikbaar waren. Het gaat om drie kwetsbaarheden in Windows en één in Publisher. De gevaarlijkste kwetsbaarheid betreft remote code execution in Windows Update (CVE-2024-43491). Via dit beveiligingslek is een downgrade-aanval mogelijk waardoor eerder gepatchte kwetsbaarheden weer in het systeem aanwezig komen en te misbruiken zijn. Microsoft benadrukt dat er geen misbruik van CVE-2024-43491 is gemaakt, maar wel van de kwetsbaarheden die via de downgrade-aanval opnieuw geïntroduceerd worden. Verder is opnieuw een Windows Mark-of-the-Web security feature bypass verholpen. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows SmartScreen een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-38217) zorgt ervoor dat de waarschuwing niet verschijnt. De tweede actief aangevallen security feature bypass van deze maand bevindt zich in Microsoft Publisher (CVE-2024-38226). Via het beveiligingslek kan een aanvaller ingesteld Office-macrobeleid omzeilen dat wordt gebruikt voor het blokkeren van niet-vertrouwde of malafide bestanden. Een aanvaller moet het doelwit wel een malafide Publisher-bestand laten openen om het lek te misbruiken. Vervolgens worden aanwezige malafide macro's automatisch uitgevoerd, ook al staat ingesteld dat die moeten worden geblokkeerd. In het geval van de actief aangevallen kwetsbaarheid in Windows Installer kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen (CVE-2024-38014). Een aanvaller kan op deze manier SYSTEM-rechten krijgen. De door Microsoft beschikbaar gestelde beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl