Captain Kirk

Onderzoekers hebben een aanval op mediabedrijven in Hongkong ontdekt waarbij er malware is gebruikt die besmette computers via Dropbox bestuurt. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye. Volgens de IT-beveiliger is er sprake van een trend waarbij aanvallers hun malafide activiteiten in het verkeer van legitieme webdiensten verbergen, om zo detectie te voorkomen. De nu waargenomen aanval begon met een spear phishingmail die een Word-document bevat. Het Word-document maakt gebruik van een bekend beveiligingslek in Microsoft Word dat op 10 april 2012 werd gepatcht. Deze specifieke kwetsbaarheid wordt al jaren gebruikt om organisaties en bedrijven aan te vallen. In het geval beheerders de afgelopen 3,5 jaar geen beveiligingsupdates voor hun Office-software hebben geïnstalleerd en het document wordt geopend, raakt de computer met de Lowball-malware besmet. Deze malware gebruikt Dropbox als een command & control-server. Via de programmeerinterface van Dropbox kan de malware bestanden uploaden, download en bestanden uitvoeren. De communicatie loopt via HTTPS over poort 443. Als de computer interessant genoeg is wordt er aanvullende malware geïnstalleerd. Volgens FireEye wilden de aanvallers de mediabedrijven waarschijnlijk monitoren vanwege de politieke en economische crisis in Hongkong. De IT-beveiliger onderzocht de malware samen met Dropbox en ontdekte een tweede operatie die ook van de cloudopslagdienst gebruikmaakte. Mogelijk zijn bij deze operatie 50 doelwitten aangevallen, maar wie het zijn kon niet worden vastgesteld. bron: security.nl

Microsoft heeft het vertrouwen in twee Dell-certificaten ingetrokken, omdat ze kunnen worden gebruikt om Windowsgebruikers aan te vallen. Het gaat om twee digitale certificaten genaamd DSDTestProvider en eDellCert waarvan de privésleutels onbedoeld openbaar zijn geworden. Eén van deze certificaten kan worden gebruikt om andere certificaten uit te geven, andere domeinen te imiteren of code te ondertekenen. Verder zijn de certificaten ook te gebruiken om content te spoofen en phishing- en man-in-the-middle-aanvallen op Dell-gebruikers uit te voeren. Om gebruikers te beschermen heeft Microsoft de Certificate Trust list (CTL) van alle ondersteunde Windowsversies bijgewerkt en het vertrouwen van de twee certificaten ingetrokken. In Windows 8 en nieuwer wordt de Certificate Trust list automatisch bijgewerkt en hoeven gebruikers geen actie te ondernemen. Gebruikers van Vista, Windows 7 en Server 2008 moeten eerst de automatische updater downloaden voordat ze automatisch zijn beschermd. Eerder besloot Microsoft de certificaten al via Windows Defender en Security Essentials te detecteren en te verwijderen. Ook Dell heeft inmiddels een update uitgebracht om de certificaten van systemen te verwijderen. bron: security.nl

De afgelopen weken zijn er door de ransomware die het op Linux-webservers heeft voorzien zo'n 3.000 websites versleuteld geraakt. Dat stelt het Russische anti-virusbedrijf Doctor Web, dat zich weer baseert op gegevens van Google. Het gaat om ransomware genaamd Linux.encoder. Aanvallers achter de ransomware hebben het voorzien op WordPress-websites en webwinkels die van Magento gebruikmaken. Via een nog altijd onbekende kwetsbaarheid weten de aanvallers toegang tot de webserver te krijgen die de website host en voeren vervolgens Linux.encoder uit. Deze ransomware, die geen aanvullende rechten vereist, versleutelt allerlei bestanden en vraagt vervolgens 1 bitcoin, wat met de huidige wisselkoers 349 euro is. Het is onbekend hoeveel webmasters het losgeld uiteindelijk hebben betaald. F-Secure rapporteerde begin november dat zo'n 36 mensen hadden betaald, wat op dat moment overeenkwam met een bedrag van zo'n 12.000 euro. Door een fout kunnen versleutelde bestanden echter zonder te betalen worden ontsleuteld. Het Roemeense anti-virusbedrijf Bitdefender ontwikkelde een gratis decryptietool voor slachtoffers. Uit onderzoek van de virusbestrijder blijkt dat een vroege versie van de ransomware al op 25 augustus van dit jaar werd verspreid en destijds 7 mensen het losgeld betaalden. bron: security.nl

Bedrijven die vanaf volgend jaar januari Flash Player willen downloaden om binnen de eigen bedrijfsomgeving uit te rollen moeten over een licentie beschikken, zo heeft Adobe aangekondigd. Het softwarebedrijf zal op 22 januari 2016 namelijk de pagina met volledige installatiebestanden offline halen. Via de website was het eenvoudig voor bijvoorbeeld systeembeheerders om de installatiebestanden in exe- of msi-formaat te downloaden. De bestanden konden vervolgens worden gebruikt om Flash Player binnen de organisatie uit te rollen. Daarnaast zijn organisaties vanaf 1 december verplicht om voor het aanvragen van een zakelijke distributielicentie een AdobeID aan te maken. Zakelijke gebruikers moeten over een geldige licentie beschikken om de Adobe Flash Player-bestanden te downloaden en verspreiden, zo stelt het softwarebedrijf. Voor eindgebruikers heeft Adobe een andere pagina waarop Flash Player wordt aangeboden. Het gaat hier echter om een 'installer' die vervolgens bij Adobe de rest van de installatiebestanden downloadt. bron: security.nl

Een Tsjechische starter wil volgend jaar een nieuwe router op de markt gaan brengen die open source is, zichzelf kan updaten en veiligheid voorop stelt. Turris Omnia, zoals de router wordt genoemd, gebruikt open hardware en een op OpenWRT-gebaseerd besturingssysteem. Het team achter de router was eerder betrokken bij de ontwikkeling van 'router Turris', een thuisrouter die als onderzoekproject voor CZ.NIC werd ontwikkeld. Dit is de non-profitorganisatie die voor het Tsjechische .cz top level domein verantwoordelijk is. De makers noemen vooral de veiligheid en mogelijkheden als sterke punten. Zo beschikt de Turris Omnia over een extra cryptochip, wordt er standaard een veilige configuratie gebruikt en zal de router in het geval van kwetsbaarheden of bugfixes zichzelf kunnen updaten. Volgens de ontwikkelaars is een gebrek aan updates voor veel thuisrouters een beveiligingsprobleem. De Omnia zal gedurende de leeftijd van het apparaat van automatische updates worden voorzien. Tevens beschikt de router over een virtuele server en 1GB werkgeheugen, waardoor het veel meer kan dan normale routers. Om de router te realiseren is er een crowdfundingcampagne op Indiegogo gestart, met als doel het ophalen van 100.000 dollar. Inmiddels is er meer dan 279.000 dollar toegezegd. Als de 350.000 dollar wordt gehaald zullen de ontwikkelaars ook netwerkmonitoring gaan toevoegen. Als alles volgens plan verloopt wordt de Turris Omnia volgend jaar april geleverd. De router zal straks 285 dollar kosten, maar is nu nog voor 189 dollar te bestellen. bron: security.nl

Een beveiligingslek bij sommige VPN-aanbieders kan ervoor zorgen dat het echte IP-adres van gebruikers wordt onthuld, zo waarschuwt VPN-aanbieder Perfect Privacy. Een VPN (Virtual Private Network) is een beveiligde verbinding tussen een computer en een server ergens anders op het internet. Deze verbinding is versleuteld waardoor anderen niet kunnen meekijken. Al het internetverkeer van en naar de computer gaat via deze afgeschermde route en kan op dit deel niet worden afgeluisterd. Daarnaast kunnen VPN-gebruikers op deze manier hun IP-adres afschermen, omdat bezochte websites alleen het IP-adres van de VPN-aanbieder zien. Volgens Perfect Privacy lopen gebruikers van sommige VPN-aanbieders toch risico dat hun echte IP-adres bekend wordt. Port forwardingHet probleem speelt bij VPN-aanbieders die port forwarding aanbieden. Het maakt daarbij niet uit of gebruikers van deze VPN-aanbieders zelf port forwarding gebruiken, alleen de aanvaller moet het instellen. Om het IP-adres van een slachtoffer te achterhalen moet er wel aan verschillende voorwaarden zijn voldaan. Zo moet de aanvaller een actief account bij dezelfde VPN-aanbieder als het slachtoffer hebben. Ook moet de aanvaller het 'exit' IP-adres van het slachtoffer kennen en het slachtoffer een bestand of pagina laten openen. Een aanvaller die port forwarding heeft ingeschakeld kan vervolgens het verzoek om de afbeelding of website zien dat van het echte IP-adres van het slachtoffer afkomstig is. In totaal testte Perfect Privacy negen VPN-aanbieders, waarvan er vijf kwetsbaar bleken. Deze partijen zijn inmiddels ingelicht. Het probleem kan echter ook bij andere VPN-aanbieders spelen die niet zijn getest, zo waarschuwt Perfect Privacy. BitTorrentVolgens beveiligingsexpert Darren Martyn kan het lek worden gebruikt om BitTorrent-gebruikers te ontmaskeren die illegaal auteursrechtelijk beschermd materiaal downloaden. Om hun IP-adres af te schermen zijn er BitTorrent-gebruikers die een VPN-dienst gebruiken. Door het lek kunnen rechthebbenden toch het IP-adres van de illegale downloaders zien. Martyn verwacht dan ook dat bedrijven die zich met het aanklagen van copyrightschenders bezighouden deze kwetsbaarheid zullen gebruiken om BitTorrent-gebruikers te vervolgen. bron: security.nl

Belgische consumenten zijn door Febelfin, de koepelorganisatie van Belgische banken, gewaarschuwd voor nieuwe technieken die worden gebruikt om te frauderen met internetbankieren. Maakten criminelen vooral gebruik van e-mail om consumenten te bereiken, sinds kort worden ook sms-berichten ingezet. In beide gevallen is het doel hetzelfde: slachtoffers naar een phishingsite leiden om hun persoonlijke informatie en inloggegevens voor internetbankieren te ontfutselen. Fraudeurs proberen ook steeds vaker rechtstreeks de bankpas en bijhorende pincode van de consument te bemachtigen. Zo wordt deze laatste bijvoorbeeld via e-mail of sms gevraagd om zijn bankpas te vervangen. De bankpas moet naar een bepaald adres worden gestuurd en de pincode moet op een phishingsite worden ingevuld. Met zowel de bankpas als de bijhorende pincode kunnen criminelen vervolgens geld van de rekening stelen. Tevens is er een ontwikkeling gaande waarbij criminelen zich niet alleen meer op consumenten richten, maar ook bedrijven aanvallen. Hiervoor wordt malware ingezet, aldus Febelfin. SlachtoffersOndanks de nieuwe technieken en ontwikkelingen daalde in het derde kwartaal het aantal Belgische slachtoffers van fraude met internetbankieren. Er werden in totaal 43 slachtoffers geregistreerd, waarbij er bijna 93.000 euro werd gestolen. In het tweede kwartaal ging het nog om 57 slachtoffers, maar bedroeg het schadebedrag bijna 539.000 euro. De daling is volgens Febelfin te danken aan de inzet van banken, consumenten en politie. Zo vonden er enkele "significante arrestaties" plaats. Toch blijft waakzaamheid geboden, stelt Febelfin-topman Michel Vermaerke. bron: security.nl

Er is een nieuwe versie van de opensource-e-mailclient Thunderbird verschenen, waarin Mozilla 14 kwetsbaarheden heeft verholpen. Acht van de beveiligingslekken zijn als "kritiek" aangemerkt, wat inhoudt dat een aanvaller ze kon gebruiken om willekeurige code op de computer uit te voeren. Het is echter onduidelijk in hoeverre dit bij Thunderbird het geval was. De e-mailclient is gebaseerd op Gecko 38, de engine die ook door Firefox wordt gebruikt voor het lezen en weergeven van webcontent, zoals HTML, CSS, XUL en JavaScript. In de release notes van Thunderbird 38.4.0 wijst Mozilla naar kwetsbaarheden die in Firefox zijn gepatcht. Bij de details over de verholpen kwetsbaarheden staat echter alleen Firefox vermeld, terwijl bij oudere updates ook Thunderbird werd genoemd. Daarbij patchte Mozilla deze kwetsbaarheden op 3 november in Firefox, terwijl de nieuwe Thunderbird-versie deze week pas verscheen. Updaten naar Thundebird 38.4.0 kan via de e-mailclient en Mozilla.org. bron: security.nl

Gisteren maakte Microsoft bekend dat het de zakelijke beveiligingsproducten van een nieuwe feature heeft voorzien waardoor ook potentieel ongewenste software en adware worden gestopt, maar via een kleine aanpassing van het register kan deze functie ook door consumenten worden geactiveerd. Dat meldt het Duitse Heise Online. Onder potentieel ongewenste software verstaat Microsoft zogeheten softwarebundels die adware, toolbars en andere ongewenste programma's bevatten. Om organisaties hier tegen te beschermen heeft de softwaregigant de zakelijke oplossing System Center Endpoint Protection (SCEP) en Forefront Endpoint Protection (FEP) met een nieuwe opt-in feature uitgebreid. In combinatie met Windows Defender kan daardoor het downloaden en installeren van ongewenste software worden geblokkeerd. De functie is niet exclusief voor bedrijfsomgevingen. Door een aanpassing in het register is die namelijk ook voor gewone Windowssystemen beschikbaar. Volgens Heise Online is de functie om adware te stoppen niet alleen aan SCEP en FEP toegevoegd, maar ook aan Windows Defender, dat in alle Windowsversies sinds Windows 8 aanwezig is. Uit een test van het Duitse IT-magazine blijkt Windows Defender na de aanpassing inderdaad ongewenste software zoals Freemake Video Converter te blokkeren. De test was op de Home- en Pro-versie van Windows 10 uitgevoerd. Om de aanpassing door te voeren moet onderstaande vetgedrukte tekst in een tekstbestand worden geplaatst, waarvan vervolgens de bestandsextensie van .txt in .reg moet worden veranderd. Daarna moet het bestand worden geopend en wordt de registeraanpassing doorgevoerd. bron: security.nl

België heeft besloten om volledig lid van het cybercentrum van de NAVO in Tallinn te worden, de hoofdstad van Estland. De zuiderburen zullen het NATO Cooperative Cyber Defence Centre of Excellence mede gaan ondersteunen. Het centrum doet onderzoek naar en geeft trainingen over cybersecurity. Het wordt door verschillende landen gefinancierd, waaronder Nederland. Ook België zal nu in de kosten gaan delen. "België is een belangrijke speler in de Europese cybersecurity. Naast het hosten van verschillende internationale instellingen, spelen ze een fundamentele rol bij de cyberverdediging van NAVO en de Europese Unie", aldus Sven Sakkov, directeur van het centrum. "De Belgische krijgsmacht is vereerd om lid van het cybercentrum te worden. Cyberverdediging is een topprioriteit voor de Belgische overheid", aldus kolonel Gunther De Kerpel. Het Belgische leger zal binnenkort een cyberspecialist naar Tallinn sturen. Het centrum wordt gefinancierd en bemand door personeel van deelnemende landen. bron: security.nl

Microsoft heeft de zakelijke beveiligingsproducten van een nieuwe feature voorzien om zo bedrijven en organisaties tegen potentieel ongewenste software te beschermen. Het gaat dan bijvoorbeeld om zogeheten softwarebundels die adware, toolbars en andere ongewenste programma's bevatten. Volgens de softwaregigant kunnen deze programma het risico vergroten dat bedrijfsnetwerken met malware besmet raken of maken het lastiger om malware-infecties te identificeren. Ook zou het helpdesks belasten en tijd kosten om de applicaties te verwijderen. Om zakelijke gebruikers tegen dit soort software te beschermen zijn de beveiligingsoplossingen System Center Endpoint Protection (SCEP) en Forefront Endpoint Protection (FEP) met een nieuwe opt-in feature uitgebreid, zo heeft Microsoft via een blogposting bekendgemaakt. De feature kan potentieel ongewenste programma's detecteren en stoppen, zodat ze niet worden gedownload of geïnstalleerd. Microsoft stelt dat het blokkeren van dergelijke software een uitdrukkelijke keuze moet zijn en bedrijven er verstandig aan doen om hier beleid over op te stellen. Ook moeten eindgebruikers in dit geval worden gewaarschuwd, zodat ze weten dat potentieel ongewenste programma's niet in de bedrijfsomgeving zijn toegestaan en de beveiligingsproducten dergelijke software zullen blokkeren. bron: security.nl

Naast ransomware die bestanden versleutelt of computers vergrendelt is er ook ransomware die alleen de browser aanvalt, en een nieuwe variant probeert gebruikers op een aparte manier tot betalen te dwingen. De browser-ransomware doet zich voor als "Microsoft Official Support". Via een pop-up laat de ransomware gebruikers geloven dat er problemen met de computer zijn en er een bepaald telefoonnummer moet worden gebeld. Daarnaast wordt er continu een audioboodschap herhaald die stelt dat er virussen en adware op de computer aanwezig zijn en het opgegeven nummer moet worden gebeld om ze te verwijderen. Als gebruikers de pop-up proberen te sluiten wordt er een nieuwe pop-up geopend. In tegenstelling tot ransomware die bestanden versleutelt of de computer vergrendelt, is browser-ransomware eenvoudig te verhelpen. Gebruikers kunnen de browser via Taakbeheer sluiten, waarmee ook de browser-ransomware verdwijnt. Beveiligingsbedrijf RSA stelt dat ondanks de eenvoud van de oplossing, deze ransomware zich vooral richt op gebruikers die geen kennis van dit soort dreigingen hebben of weten hoe ze die via Taakbeheer kunnen verhelpen en uiteindelijk toch het opgegeven telefoonnummer bellen. Dit telefoonnummer is van oplichters die vervolgens het slachtoffer proberen op te lichten. bron: security.nl

Onderzoekers waarschuwen dat miljoenen apparaten op internet zoals routers, IP-camera's en modems kwetsbaar zijn doordat ze dezelfde encryptiesleutels gebruiken. Aanvallers kunnen hierdoor man-in-the-middle-aanvallen uitvoeren en versleuteld verkeer afluisteren en ontsleutelen. Daardoor zou gevoelige informatie in verkeerde handen terecht kunnen komen. Het probleem speelt bij zogeheten embedded apparaten, waaronder routers, modems, IP-camera's en VoIP-telefoons. Onderzoekers van beveiligingsbedrijf SEC Consult bekeken voor hun onderzoek de firmware van meer dan 4.000 van dergelijke apparaten, afkomstig van meer dan 70 fabrikanten. Er werd vooral gekeken naar cryptografische sleutels in de firmware, zoals publieke sleutels, privésleutels en certificaten. Het gaat dan vooral om sleutels die worden gebruikt om verbinding via SSH te maken en X.509-certificaten die voor HTTPS worden gebruikt. In totaal werden bij de ruim 4.000 onderzochte apparaten meer dan 580 unieke privésleutels aangetroffen. Deze informatie werd vervolgens gecorreleerd met data van grootschalige internetscans. Daaruit kwam naar voren dat de dataset met de 580 unieke sleutels de privésleutels van 9% van alle HTTPS-hosts op het web bevat en de privésleutels van meer dan 6% van alle SSH-hosts. Tenminste 230 van de 580 sleutels werden actief gebruikt en op miljoenen hosts aangetroffen. De sleutels worden door fabrikanten toegevoegd om verbinding via HTTPS en SSH aan te bieden. Het probleem is dat alle apparaten met de betreffende firmware dezelfde sleutels gebruiken. Opmerkelijk was dat dezelfde sleutels in de producten van verschillende fabrikanten werden aangetroffen. Een certificaat van Broadcom werd bijvoorbeeld in meer dan 480.000 apparaten op internet gevonden, onder andere van Linksys en ZyXEL. Het probleem speelt ook bij Cisco, Huawei, Ubiquiti Networks en andere fabrikanten. De kwetsbare apparaten staan vooral in de Verenigde Staten (26,3%) en Mexico (16,5%). OplossingSEC Consult werkte samen met het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit om de betrokken fabrikanten alsmede browserontwikkelaars te waarschuwen. Inmiddels hebben sommige partijen updates uitgebracht. Fabrikanten krijgen daarnaast het advies om voor elk apparaat unieke cryptografische sleutels te gebruiken. Daarnaast moeten internetproviders ervoor zorgen dat remote toegang via de WAN-poort tot de apparatuur van hun abonnees niet mogelijk is. Als laatste krijgen eindgebruikers het advies om de generieke SSH-sleutels en X.509-certificaten op hun apparaten door unieke versies te vervangen. Het CERT/CC stelt echter dat in veel gevallen er geen praktische oplossing voorhanden is. bron: security.nl

Een nieuwe variant van de ransomware die het op Linux-webservers heeft voorzien vraagt 999 dollar voor het ontsleutelen van de versleutelde bestanden, maar Russische slachtoffers kunnen hun bestanden gratis door de cybercriminelen laten ontsleutelen. Linux.encoder, zoals de ransomware wordt genoemd, heeft het voorzien op WordPress-websites en webwinkels die op Magento draaien. Hoe de aanvallers precies weten binnen te komen is nog altijd niet duidelijk. Eenmaal actief versleutelt Linux.encoder allerlei bestanden op de server. In eerste instantie vroeg de ransomware 50 dollar om de bestanden te ontsleutelen, maar dat liep op naar 500 dollar. De nu ontdekte variant vraagt echter 999 dollar voor de decryptie en wil dat slachtoffers binnen 7 dagen betalen. Daarbij lijken de makers een uitzondering voor Russische slachtoffers te maken, zo meldt anti-malwarebedrijf Malwarebytes. In één geval werd er een Russisch bericht ontdekt. Daarin wordt gesteld dat als het om een Russische website gaat de bestanden gratis kunnen worden ontsleuteld. Volgens Malwarebytes vinden de aanvallen waarschijnlijk geautomatiseerd plaats en kunnen landgenoten van de aanvallers van wie onbedoeld de website is versleuteld op deze manier kosteloos hun bestanden terugkrijgen. bron: security.nl

De grote update die deze maand voor Windows 10 verscheen heeft de privacyinstellingen van sommige gebruikers aangepast, waardoor die eenvoudiger door adverteerders konden worden gevolgd. Dat heeft Microsoft laten weten. Vanwege het probleem werd besloten de 'November Update' terug te trekken. Gisteren publiceerde de softwaregigant een update om het probleem te verhelpen en maakte de November Update weer beschikbaar. Daarnaast zal Microsoft de instellingen van de getroffen gebruikers de komende dagen gaan corrigeren. Hoe dit zal worden gedaan is nog onbekend. De bug in de November Update zorgde ervoor dat instellingen voor advertentie-id, achtergrond apps, SmartScreen Filter en het synchroniseren met apparaten niet werden behouden. Volgens Microsoft zou een "zeer klein aantal" mensen door de bug zijn getroffen. bron: security.nl

Op computers van Dell blijken meer gevaarlijke certificaten aanwezig te zijn dan alleen het eDellRoot rootcertificaat waar sinds gisteren voor wordt gewaarschuwd en waardoor gebruikers kunnen worden aangevallen. Dat meldt het beveiligingsbedrijf Duo Security aan de hand van eigen onderzoek. Dell blijkt sinds augustus op computers hetzelfde rootcertificaat genaamd eDellRoot te installeren, inclusief bijbehorende privésleutel. Iets dat volgens de onderzoekers van Duo Security een 'vrij grote fout' is. Via het certificaat kunnen er man-in-the-middle-aanvallen op gebruikers worden uitgevoerd en is het bijvoorbeeld mogelijk om malware te installeren of versleutelde verbindingen af te luisteren. Daarnaast blijkt er ook een tweede eDellRoot certificaat te zijn. Dit tweede certificaat werd op 24 IP-adressen aangetroffen. Om welke modellen het precies gaat is onbekend. "Het suggereert dat Dell opzettelijk identieke sleutels in andere modellen levert. Dit is een schaamteloze minachting voor basale cryptografische veiligheid", aldus de onderzoekers. Eén van de systemen die via het internet toegankelijk was en dit certificaat gebruikte om webdiensten over HTTPS aan te bieden was een SCADA-systeem. Dergelijke systemen worden onder andere voor de vitale infrastructuur gebruikt. Als laatste werd er ook nog een Atheros Authenticode-certificaat ontdekt voor het signeren van software. Het wachtwoord van het certificaat werd binnen 6 uur gekraakt. Het certificaat bleek echter al te verlopen zijn, wat de mogelijkheid voor misbruik beperkt. Het lijkt er echter op dat het certificaat in gebruik was op het moment dat het nog geldig was. Fabrikanten leren nietVolgens de onderzoekers laat de ontdekking een verontrustende ontwikkeling onder fabrikanten zien. Het toevoegen van vertrouwde certificaten aan een systeem, en dan met name rootcertificaten, kan gebruikers aan onnodige risico's blootstellen. "Helaas blijken fabrikanten niet te leren van fouten uit het verleden en blijven ze die steeds herhalen", aldus de conclusie van het onderzoek (pdf). Dell heeft inmiddels aangegeven dat het eDellRoot-certificaat via een update zal worden verwijderd. bron: security.nl

De grote Windows 10-update die Microsoft deze maand heeft uitgebracht blijkt verschillende apps ongevraagd te verwijderen. Het gaat onder andere om CPUID, CPU-Z en Speccy, programma's waarmee informatie over de hardware van de computer kan worden opgevraagd en gemonitord. Ook het AMD Catalyst Control Center, voor het instellen van de videokaart, wordt door de "November update" verwijderd, zo blijkt uit klachten van gebruikers op verschillende fora en Twitter. De November update verscheen twee weken geleden en zou de prestaties van het besturingssysteem verbeteren. Het blijkt echter ook programma's te verwijderen die niet worden ondersteund, tot grote woede van gebruikers. Hoewel Microsoft geen toestemming vraagt om de apps te verwijderen, laat Windows 10 wel weten dat het programma's heeft verwijderd. Verschillende gebruikers melden dat ze de applicaties in kwestie nadat die waren verwijderd opnieuw zonder problemen op Windows 10 hebben geïnstalleerd. bron: security.nl

Microsoft heeft zijn Edge-browser in Windows 10 veiliger gemaakt. De browser is nu ook bestand tegen ongewilde DLL-injecties. De nieuwe versie van Edge met rendering engine EdgeHTML 13 die in Windows 10 is ingebouwd, maakt geen gebruik meer van ActiveX en Browser Helper Objects. Hiermee is de gebruiker beter beschermd tegen zogenoemde binary injectie-aanvallen. Browser zijn voor hackers een geliefd doelwit. Als iemand erin slaagt om een advertentie die de gebruiker ziet, te wijzigen of om er een toe te voegen, kan die persoon veel geld verdienen, aldus Microsoft. Maar hackers maken ook steeds vaker gebruik van browser injecties. De gebruiker merkt dit als er bijvoorbeeld ineens een toolbar in de webbrowser is toegevoegd of als de startpagina van de browser stiekem wordt gewijzigd. Met Microsoft Edge zal dat niet meer lukken, schrijft Microsoft zelf. De browser blokkeert ongeautoriseerde DLL-injecties behalve als zij onderdeel zijn van een Windows-component of als het gaat om een gesigneerde driver voor een apparaat. “Alleen DLL-bestanden die het label ‘Microsoft signed’ hebben of Windows Hardware Quality Lab (WHQL) gesigneerd zijn, worden toegestaan.” Volgens Microsoft maken de nieuwe verbeteringen het browsen met Windows sneller, veiliger en stabieler. bron: security.nl

VMware heeft gewaarschuwd voor een lek in een softwaremodule van Adobe Flex die wordt gebruikt in een aantal producten waaronder vCenter Server en vCloud Director. Volgens het bericht van VMware zijn de versies vCenter Server 5.5 en ouder kwetsbaar. Alleen versie 6.0 van vCenter Server is dat niet. Upgraden“Wil je geen onnodige risico's lopen dan adviseren we te upgraden naar een hogere versie van onze producten”, reageert een woordvoerder van VMware Nederland kort. Gebruikers van vCloud Director en Horizon 6.0 wordt geadviseerd om de upgrade van VMware te installeren. Opvallend is overigens wel het moment van de waarschuwing. VMware bracht woensdag een security advisory uit, terwijl het probleem al zeker sinds augustus bekend is. Ook Adobe heeft er destijds al voor gewaarschuwd. Een kwaadwillende kan met een speciale XML-opdracht aan de server ervoor zorgen dat er onbedoelde gegevens openbaar worden gemaakt. bron: security.nl

De meerderheid van websites met .nl-domeinnamen vertoont ernstige beveiligingsrisico’s. Ook is bijna een kwart van de Nederlandse webservers niet goed beveiligd. Vaak is dit te wijten aan het niet of te laat updaten van software. Dat blijkt uit een ‘passive vulnerability scan’ die de SIDN, de registry van het .nl-toplevel domein, heeft laten uitvoeren door Radically Open Security. Volgens de SIDN maken de gevonden kwetsbaarheden het bijvoorbeeld mogelijk voor hackers om in te breken op de website, data te stelen of om de controle over de site helemaal over te nemen. Vooral voor webwinkels kan dit riskant zijn, aangezien zij werken met betaalgegevens en klantdata. Radically Open Security heeft tussen juli en oktober van dit jaar 1380 .nl- websites onderzocht. Het meeste kwamen kwetsbaarheden in MySQL voor, gevolgd door SMTP-lekken. Ook bleken nog 11 websites, oftewel 0,8 procent, kwetsbaar te zijn voor het Heartbleed-lek. Verder blijkt uit het onderzoek dat er slechts zelden gebruik wordt gemaakt van HTTP-headers die de beveiliging verhogen, zoals X-Frame-Options, ContentSecurity-Polic en X-Content-Type-Options. De scantool, die onderdeel uitmaakt van de bewustzijnscampagne Alert Online, toont volgens de onderzoekers aan dat bij veel zakelijke websites de digitale veiligheid niet op orde is. “En dat terwijl online aanwezigheid en online dienstverlening steeds belangrijker worden.” bron: security.nl

Cybercriminelen kunnen sinds kort hun botnet aansturen via Direct Messages op Twitter. Het Python-programma, Twittor genaamd, is ontworpen naar het idee van Gcat, een soortgelijk programma dat cybercriminelen command & control-servers via Gmail laat beheren. Twittor is gemaakt door zelfbenoemde beveiligingsonderzoeker Paul Amar en sinds september beschikbaar, maar is nu opgemerkt door Sophos. De tool maakt gebruik van directe berichten op Twitter. Het "voordeel" daarvan, vergeleken met de gebruikelijke wijze van het beheren van command & control-servers, is dat de Direct Messages op Twitter privé zijn. En het verkeer wordt niet tegengehouden met IP-filtering omdat Twittor de Twitter API gebruikt. Daar komt nog bij dat Twitter eerder dit jaar aankondigde dat de limiet van 140 tekens in privéberichten wordt verruimd. Hierdoor wordt dus ook meer kwaadaardig verkeer mogelijk. De beperking is wel dat er maximaal 1000 directe berichten per dag verstuurd kunnen worden. Een botmaster kan derhalve niet meer dan circa 100 bots per account beheren. Veel security tools, zoals Nmap en Metasploit, zijn behalve handig voor cybercriminelen ook nuttig voor beveiligingsonderzoekers. Het publiceren van een gratis tool die het mogelijk maakt om een botnet via Twitter Direct Message opereren lijkt echter een vreemde manier van beveiligingsonderzoek, aldus John Zorabedian van Sophos. bron: security.nl

Er gaat een nieuwe versie rond van de hardnekkige ransomware trojan TeslaCrypt. Hoewel er niet veel vernieuwd lijkt te zijn aan de software, is het erg lastig om ervan af te komen.De nieuwe variant, TeslaCrypt v2.2.0, versleutelt bestanden met de .ccc-bestandsextensie, zoals in eerdere versies ook gebeurde. Wel nieuw is dat er meerdere namen voor de losgeld- notificatiebestanden worden gebruikt. Volgens berichten op fora kan die bestandsnaam variëren en ziet het eruit als ‘_how_recover_.HTML’ of ‘_how_recover_.TXT’. De ransomware TeslaCrypt werd eerder dit jaar voor het eerst aangetroffen en heeft het gemunt op bestanden met extensies die vooral met games te maken hadden. Om weer toegang tot de bestanden te krijgen, werd vaak 500 dollar geëist. Volgens Bleepingcomputer is het vrijwel onmogelijk om de versleuteling van TeslaCrypt v2.2.0 ongedaan te maken zonder de cybercriminelen te betalen. Omdat bij versie 1 nog gebruik werd gemaakt van een symmetrische encryptiemethode, werd al snel een tool ontwikkeld om gegijzelde bestanden ‘te bevrijden’ zonder te hoeven betalen. Bij deze nieuwe variant werkt die tool helaas niet meer. bron: security.nl

Een nieuwe dienst maakt online afpersing met behulp van ransomware eenvoudig toegankelijk. Geïnteresseerden kunnen zich bij de nieuwe dienst aanmelden door eenmalig 50 dollar te betalen en het bedrag aan te geven dat slachtoffers dienen te betalen om weer toegang tot hun gegijzelde bestanden te krijgen. 10% commissieDe opbrengsten worden direct in Bitcoin-betalingen uitgekeerd, minus 10 procent commissie voor de nieuwe CryptoLocker Service, aldus Trend Micro. De aanbevolen hoogte van het losgeld is 200 dollar. De crypto ransomware waar gebruik van wordt gemaakt, is alleen effectief bij Windows-gebruikers maar naar het schijnt bestaan er ook plannen om deze cryptolocker voor andere besturingssystemen te ontwikkelen. De eigenaar van de cryptolocker-dienst is een oude bekende in de cyber onderwereld. Het gaat om ‘Fakben’, de voormalige uitbater van Evolution, de zwarte markt op het Tor-netwerk die eerder werd gesloten. Hoewel het nog niet duidelijk is wat de implicaties van deze nieuwe dienst zullen zijn is het niet ondenkbaar dat het aantal ransomware incidenten zal stijgen. Het wordt aanbevolen regelmatig back-ups te maken zodat er in het geval van een incident niet aan de afpersers betaald hoeft te worden. Het betalen van losgeld zal immers alleen maar nieuwe aanvallen stimuleren. bron: security.nl

Het aansluiten van Internet of Things-apparaten in huis, is als het spelen van Russisch roulette. Bijna een op de vier ‘connected’ apparaten voor thuisgebruik is niet goed beveiligd. Of er zitten fouten in de firmware, of de webportal om toegang tot het toestel te krijgen is niet veilig genoeg. Dat is de conclusie van onderzoekers van het Franse Eurecom en de Ruhr University in het Duitse Bochum. Zij hebben de firmware onderzocht van routers, modems, voip-telefoons, netwerkcamera’s en andere IoT-apparaten die via internet kunnen worden beheerd. Geprobeerd werd om de beveiliging te ondermijnen door de firmware aan te passen met behulp van kwaadaardige software-updates, maar ook door de webportal van de toestellen aan te vallen. De portals werden blootgesteld aan veelvoorkomende aanvallen zoals XSS (cross-site scripting), CSRF (cross-site request forgery), SQL-injectie en RCE (remote code/command execution). In totaal zijn 1925 firmware images onderzocht van 54 verschillende fabrikanten. Er werden meer dan 9200 kwetsbaarheden aangetroffen in 185 firmware images. Hoewel slechts 8 procent van de firmware php-code bevat in de beheersoftware of de portal, werd in 143 firmware images maar liefst 5000 XSS-lekken aangetroffen. De studie lijkt te bevestigen wat ook vorige week tijdens Black Hat Europe naar voren kwam. Uit een onderzoek van InformationWeek en Darkreading bleek namelijk dat IT-professionals denken dat over twee jaar de beveiliging van IoT een topprioriteit zal zijn. Nu ligt die prioriteit nog vooral bij de beveiliging van applicaties en eindgebruikers. bron: security.nl

In de code om png-bestanden te verwerken zit een ernstig beveiligingslek. Het probleem dat is geconstateerd in de libpng, de png library, wordt in heel veel software gebruikt. Het lek werd vrijdag gemeld door Glenn Randers-Pehrson. Dankzij png-bestanden met gemanipuleerde image headers zijn hackers in staat om een buffer overflow te creëren en applicaties te laten crashen. Bij een geslaagde aanval kan een hacker ook kwaadaardige code uitvoeren. Complicerende factor is dat heel veel programma’s de libpng library gebruiken om png-bestanden te tonen of op te slaan. Daaronder vallen bijvoorbeeld de meeste webbrowsers, Android, imageviewers, mediaspelers en vrijwel alle Office-programma’s. UpdatesVerwacht wordt dat er op heel korte termijn al grootschalig misbruik zal worden gemaakt van het lek. De libpng-versies 1.6.19, 1.5.24, 1.4.17, 1.2.54 en 1.0.64 die afgelopen week zijn uitgebracht, zijn niet meer kwetsbaar. Deze versies zijn te downloaden via libpng.sourceforge.net. bron: security.nl