Captain Kirk

Google heeft voor de tweede keer binnen vijf dagen een actief aangevallen zerodaylek in Chrome verholpen. Na een update op 9 mei voor een beveiligingslek (CVE-2024-4671) in het 'Visuals' onderdeel van de browser, verscheen gisterenavond een patch voor een kwetsbaarheid in V8 (CVE-2024-4761). Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin al vaker zerodaylekken werden gevonden. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd op 9 mei gerapporteerd door een niet nader genoemde onderzoeker. Google Chrome 124.0.6367.207/.208 is beschikbaar voor macOS en Windows. Voor Linux is versie 124.0.6367.207 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Excuus voor de late reactie. Het was de afgelopen week druk met werk. Lukt het met de aangeboden stappen van p38cyq?

Het loont ook de moeite om eens te kijken op welk kanaal je internet wordt uitgezonden. Mogelijk wordt in de buurt dit kanaal ook door andere modems gebruikt. Dit levert ook een storing op. Vaak kun je je modem zelf laten zoeken naar het best mogelijke kanaal. Heeft deze de functie niet, zijn er eenvoudige tooltjes en appjes te vinden waarmee je dit kunt meten. Het loont dus zeker om eens van kanaal te veranderen.

Bij Dell zijn de gegevens van 49 miljoen klanten gestolen, wat mogelijk was door het bruteforcen van service tags in een 'partnerportal', zo stelt de verantwoordelijke aanvaller. Die informeerde Dell in april over het probleem. Dat laat de aanvaller tegenover TechCrunch weten. Gisteren stuurde Dell een e-mail naar klanten waarin het laat weten dat klantgegevens zijn gestolen. Verdere details over hoe het datalek kon ontstaan zijn niet door Dell gegeven. De aanvaller stelt dat hij zich onder verschillende namen als partner bij het betreffende Dell-portal registreerde. Nadat Dell zijn accounts had goedgekeurd begon de aanvaller naar eigen zeggen met het bruteforcen van de service tags die Dell aan klanten toekent. Service tags bestaan uit zeven cijfers en medeklinkers. Volgens de aanvaller verstuurde hij vijfduizend requests per minuut naar de pagina waarmee klantgegevens via service tags zijn op te vragen, zonder dat Dell dit opmerkte. Na drie weken en bijna vijftig miljoen requests had de aanvaller genoeg informatie en stuurde hij Dell meerdere e-mails over de kwetsbaarheid. Het probleem werd een aantal dagen later verholpen, aldus een verklaring van de aanvaller. Die deelde verschillende screenshots van de e-mails die hij halverwege april naar Dell stuurde met TechCrunch. Dell bevestigt tegenover de website dat het de e-mails van de aanvaller heeft ontvangen. bron: https://www.security.nl

Google heeft een beveiligingsupdate uitgerold voor een actief aangevallen zerodaylek in Chrome. Het is de derde zeroday die tegen gebruikers is ingezet en dit jaar door het techbedrijf is verholpen. Het beveiligingslek, aangeduid als CVE-2024-4671, bevindt zich in het 'Visuals' onderdeel van de browser. De impact van de kwetsbaarheid, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd door een niet nader genoemde onderzoeker gerapporteerd. Google Chrome 124.0.6367.201/.202 is beschikbaar voor macOS en Windows. Voor Linux is versie 124.0.6367.201 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Citrix heeft systeembeheerders op een kritieke kwetsbaarheid in PuTTY gewezen waardoor een aanvaller in een guest virtual machine (VM) de ssh private key van een XenCenter-beheerder kan achterhalen. PuTTY is een populaire ssh-client. Vorige maand verscheen er een beveiligingsupdate voor een kwetsbaarheid in de software, aangeduid als CVE-2024-31497. Via het beveiligingslek is het mogelijk om bepaalde ssh private keys te stelen. In een beveiligingsbulletin laat Citrix weten dat versies van XenCenter for Citrix Hypervisor 8.2 CU1 LTSR gebruikmaken van PuTTY voor het opzetten van ssh-verbindingen van XenCenter naar guest VM's. Via XenCenter is het mogelijk om virtual machines uit te rollen, beheren en monitoren. Vanaf XenCenter versie 8.2.6 is PuTTY niet meer in de software aanwezig. In de versies waar PuTTY nog wel in aanwezig is kan een aanvaller de kwetsbaarheid gebruiken om de private key van de XenCenter-beheerder te achterhalen als die op de guest virtual machine inlogt. Citrix stelt dat organisaties er nu voor kunnen kiezen om PuTTY volledig te verwijderen als ze geen gebruikmaken van de 'Open SSH Console' feature. Beheerders die PuTTY wel willen behouden zullen zelf een nieuwe versie van de ssh-client moeten installeren. bron: https://www.security.nl

Mozilla gaat Firefox van een nieuwe feature voorzien die gebruikers tegen bounce trackers moet beschermen, zo heeft de browserontwikkelaar aangekondigd. Bounce tracking is een trackingmethode waarbij een gebruiker op een link klinkt en vervolgens via een trackingpagina bij de uiteindelijke bestemming komt. Op deze manier kunnen trackers 'first-party cookies' plaatsen en lezen die niet door de browser geblokkeerd worden, in tegenstelling tot zogenoemde third-party cookies waarbij dit wel het geval is. Een gebruiker zit bijvoorbeeld op de website rabbits.example en klikt op een link naar turtles.example. De tracker die op de eerstgenoemde website actief is wijzigt op het laatste moment de link naar tracker.example. De gebruiker komt zo eerst uit op de trackingsite, die de gebruiker vervolgens doorstuurt naar turtles.example. Zo weet de trackingsite dat de betreffende gebruiker interesse in konijnen en schildpadden heeft. Wanneer tracker.example zichzelf maar vaak genoeg bij het browsen van de gebruiker weet te injecteren, kan er een uitgebreid profiel van hem worden gemaakt. Mozilla laat nu weten dat het aan 'Bounce Tracking Protection' werkt, dat gebruikers hier tegen moet beschermen. De feature zorgt ervoor dat elke 24 uur de opgeslagen data van de trackers uit Firefox wordt verwijderd. Hierbij zal de browser gebruikmaken van heuristieke detectie om bounce trackers te herkennen. Bounce Tracking Protection is nu toegevoegd aan een vroege testversie van Firefox. Voorlopig staat de trackingbescherming niet volledig ingeschakeld en wordt er alleen informatie verzameld. Wanneer de feature stabiel genoeg is zal Mozilla die binnen de testversie inschakelen en wordt de trackerdata verwijderd. bron: https://www.security.nl

Dell heeft klanten gewaarschuwd voor een datalek met hun persoonsgegevens, nadat een aanvaller claimde de data van 49 miljoen klanten in handen te hebben. Het zou gaan om informatie van mensen die van 2017 tot 2024 producten bij Dell hebben aangeschaft, aldus Daily Dark Web. Het bedrijf bevestigt dat het inderdaad gegevens van klanten heeft gelekt. Volgens de e-mail wordt er een incident met een Dell-portaal onderzocht, dat gekoppeld is aan een klantendatabase. Daarbij heeft een aanvaller toegang gekregen tot naam, adresgegevens, bestelgegevens en hardware-informatie. "We denken dat er gegeven de betreffende informatie geen groot risico voor onze klanten is", aldus Dell. Hoe de aanvaller toegang tot de gegevens kon krijgen wordt niet gemeld, alsmede het aantal getroffen klanten. bron: https://www.security.nl

Securitybedrijf Zscaler heeft een testomgeving offline gehaald na geruchten over een inbraak. Op X verscheen een bericht waarin werd gesteld dat een aanvaller toegang bood tot systemen van Zscaler. Naar aanleiding van de berichtgeving stelde Zscaler dat het een 'geïsoleerde testomgeving op een enkele server' had ontdekt die toegankelijk was vanaf het internet. De server bevat volgens het bedrijf geen klantgegevens. "De testomgeving werd niet gehost op de infrastructuur van Zscaler en had geen verbinding met de omgevingen van Zscaler. De testomgeving is voor forensisch onderzoek offline gehaald", aldus een verklaring van het securitybedrijf. In een laatste update stelt Zscaler dat het onderzoek gaande is en er geen impact of inbraak is geweest op klant-, productie- of bedrijfsomgevingen. "We blijven de situatie monitoren en zullen gedurende de afronding van het onderzoek met aanvullende informatie komen." bron: https://www.security.nl

Apple heeft een kritieke kwetsbaarheid in de Windowsversie van iTunes verholpen, waardoor een aanvaller de app kan laten crashen of in het ergste geval willekeurige code op het systeem kan uitvoeren. Het beveiligingslek (CVE-2024-27793) is aanwezig in het Core Media framework dat door iTunes wordt gebruikt voor het verwerken van mediabestanden. Wanneer een kwetsbare versie van iTunes een speciaal geprepareerd mediabestand verwerkt is 'arbitrary code execution' mogelijk, aldus de uitleg van Apple. De kwetsbaarheid werd gevonden en gerapporteerd door een onderzoeker van de University of Texas. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Gebruikers wordt opgeroepen om te updaten naar iTunes 12.13.2 voor Windows. bron: https://www.security.nl

Klokkenluiderssysteem SecureDrop heeft een end-to-end versleuteld protocol aangekondigd waar toekomstige versies van SecureDrop-servers gebruik van kunnen maken. SecureDrop is een systeem waarmee klokkenluiders en journalisten met elkaar kunnen communiceren en informatie uitwisselen. Uitgevers of kranten kunnen een eigen SecureDrop-server opzetten, waar klokkenluiders documenten en tips naar toe kunnen sturen. Het maakt hiervoor gebruik van het Tor-netwerk. De ontwikkelaars van SecureDrop hebben nu een nieuw protocol gepresenteerd dat onderdeel van een herontwerp is en meer bescherming moet bieden dan het huidige model. Zo vereist het nieuwe protocol geen accounts, geen serverauthenticatie, zijn er geen berichten, blijft de 'server state' hetzelfde en wordt er geen ciphertext verzameld. Dit moet voorkomen dat een aanvaller informatie in handen krijgt waarmee de anonimiteit van de klokkenluider of vertrouwelijkheid en integriteit van inzendingen zijn te ondermijnen. Het nieuwe SecureDrop-protocol maakt gebruik van een eenvoudige API (application programming interface) met slechts drie endpoints: send, fetch en download. De requests die klokkenluiders en journalisten naar deze endpoints sturen zijn identiek gestructureerd, wat het lastiger maakt om ze te onderscheiden als iemand de server heeft gecompromitteerd of een aanval op het netwerk uitvoert. Daarnaast is de respons van de server voor elk request uniek, zodat er geen 'server state' informatie lekt. Het is de bedoeling dat de SecureDrop-server tot alleen minimale metadata toegang heeft, waardoor die ook in 'vijandige omgevingen' is te gebruiken. Op GitHub is inmiddels een proof-of-concept van het protocol gepubliceerd. SecureDrop waarschuwt dat het hier om een proof-of-concept gaat en de code niet bedoeld voor productie is. De details van het protocol zijn ook nog niet definitief. bron: https://www.security.nl

Ruim vijftigduizend Tinyproxy-servers bevatten een eenvoudig te misbruiken kritieke kwetsbaarheid, die in het ergste geval tot remote code execution kan leiden, en een bijgewerkte versie is niet beschikbaar. Dat stelt securitybedrijf Censys op basis van een eigen meting. Tinyproxy is proxysoftware voor Unix-achtige besturingssystemen en biedt eenvoudige proxyfunctionaliteit. Tinyproxy-versies 1.11.1 en 1.10 bevatten een kwetsbaarheid (CVE-2023-49606) waardoor een aanvaller via het versturen van een speciaal geprepareerde HTTP header een 'use-after-free' kan veroorzaken. Dit maakt het uitvoeren van willekeurige code op de server mogelijk. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Hoewel het is ontworpen voor kleinere netwerken, kan het compromitteren van een proxyserver ernstige gevolgen hebben, zoals datalekken en verstoringen", aldus Censys. Op 1 mei publiceerde Cisco een proof-of-concept exploit voor de kwetsbaarheid. Het bedrijf had de ontwikkelaar voor het probleem gewaarschuwd, maar kreeg naar eigen zeggen geen reactie en heeft nu details openbaar gemaakt. Censys voerde een scan uit en ontdekte meer dan 90.000 Tinyproxy-servers die vanaf internet toegankelijk zijn. Daarvan draaien er ruim vijftigduizend een kwetsbare versie. Organisaties en gebruikers die van Tinyproxy gebruikmaken wordt opgeroepen die niet vanaf internet benaderbaar te maken. Met name als de software in een ontwikkel- of testomgeving wordt gebruikt. Update De ontwikkelaar van Tinyproxy laat weten dat er een commit is waarmee de kwetsbaarheid wordt verholpen. Een bijgewerkte versie is nog niet beschikbaar, maar er wordt gekeken naar het maken van versie 1.11.2. Tevens stelt de ontwikkelaar dat hij niet is ingelicht door Cisco. bron: https://www.security.nl

Er is een 'golf' van aanvallen gaande op WordPress-sites die gebruikmaken van de plug-in LiteSpeed Cache, zo meldt WPScan, onderdeel van Automattic, het bedrijf achter WordPress.com. Via een kwetsbaarheid in de plug-in voegen aanvallers een admingebruiker toe met de naam wpsupp-user. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een beveiligingslek in versie 5.7 en ouder maakt het mogelijk voor aanvallers om malafide JavaScript in de website te injecteren en zo een admingebruiker aan te maken waarmee controle over de website kan worden verkregen. Volgens WPScan is het probleem verholpen in versie 5.7.0.1 en nieuwer. Uit cijfers van WordPress.org blijkt dat nog honderdduizenden websites een kwetsbare versie draaien. Beheerders worden dan ook opgeroepen om naar een nieuwe versie te updaten en te controleren of er geen malafide admingebruikers zijn aangemaakt. bron: https://www.security.nl

De Amerikaanse, Britse en Australische autoriteiten claimen de leider achter de beruchte LockBit-ransomware te hebben ontmaskerd. Volgens de Britse politie gaat het om een Russische man die het alias 'LockBitSupp' gebruikte en aan het hoofd stond van de ransomwaregroep. De Amerikaanse autoriteiten hebben een beloning van 10 miljoen dollar uitgeloofd die leidt tot de aanhouding en/of veroordeling van de man. LockBit, waarvan de eerste versie begin 2020 verscheen, wordt aangeboden als een Ransomware-as-a-Service (RaaS). Door middel van RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Begin dit jaar namen autoriteiten tijdens een internationale operatie allerlei servers van de ransomwaregroep in beslag. Het Britse National Crime Agency (NCA) stelt dat via de LockBit-service meer dan zevenduizend aanvallen wereldwijd zijn uitgevoerd. Bij de operatie begin dit jaar werden ook aan verschillende vermeende leden van de groep sancties opgelegd. Nu geldt dat ook voor de vermeende leider van LockBit. Hij heeft een reisverbod gekregen en zijn tegoed bevroren. Hoe de autoriteiten de verdachte op het spoor zijn gekomen is niet bekendgemaakt. bron: https://www.security.nl

Onderzoekers hebben een nieuwe aanval ontwikkeld genaamd 'TunnelVision' waarmee het mogelijk is om het ip-adres en verkeer van vpn-gebruikers te lekken, zonder dat gebruikers hiervoor worden gewaarschuwd. Normaliter wordt bij een vpn een tunnel naar de vpn-server opgezet waardoor al het verkeer gaat. TunnelVision zorgt ervoor dat het verkeer niet via de tunnel gaat, waarna het door een aanvaller is af te luisteren. De aanval werkt niet tegen vpn-apps op Android, aldus onderzoekers van Leviathan Security. Die stellen dat de aanval al sinds 2002 mogelijk is en sluiten niet uit dat er misbruik van is gemaakt. De aanval vereist dat de aanvaller op hetzelfde netwerk als het slachtoffer zit. Het slachtoffer moet een DHCP (Dynamic Host Configuration Protocol) lease van de server van de aanvaller accepteren. De DHCP-server kent ip-adressen aan gebruikers op het netwerk toe. Door middel van een instelling genaamd 'optie 121' kan de malafide DHCP-server de standaard routeringsregels van de gebruiker aanpassen. Daardoor gaat het verkeer aan de kant van de gebruiker, dat via de vpn--tunnel zou moeten worden verstuurd, niet via de vpn-tunnel. Vpn-apps zullen dit echter niet detecteren en gebruikers geen waarschuwing geven. De tweede vereiste van de TunnelVision-aanval is dat de DHCP-client van het slachtoffer optie 121 heeft geïmplementeerd. In het geval van Android blijkt het besturingssysteem optie 121 te negeren, waardoor de aanval daar niet werkt. Naast het negeren van optie 121 kan op Linux het gebruik van network namespaces de aanval voorkomen. De kwetsbaarheid waarvan TunnelVision gebruikmaakt wordt aangeduid als CVE-2024-3661. bron: https://www.security.nl

Het ontwikkelteam van Thunderbird heeft een twintig jaar oude 'bug' verholpen om spam beter te kunnen herkennen. Op 10 mei 2004 deed iemand het verzoek om in de kolom van afzenders zowel naam als e-mailadres weer te geven. Op dit moment is alleen de naam zichtbaar. Wanneer ook het e-mailadres zou worden weergegeven, zou het volgens de indiener van 'Bug 243258' eenvoudiger moeten worden om spam te herkennen. "Iets wat bijna twintig jaar geleden is gevraagd is eindelijk in de Daily-versie terechtgekomen. De mogelijkheid om de weergave van ontvangers in de berichtenlijst te bepalen en beter onbekende adressen te kunnen onderscheiden van die in het adresboek zijn opgeslagen, is eindelijk geïmplementeerd", zegt Alessandro Castellani van het Thunderbird-team. Volgens de ontwikkelaar is dit één van de vele voorbeelden van features die in het verleden lastig te implementeren waren, maar door verbeteringen aan de architectuur van Thunderbird eindelijk zijn toe te voegen. Het ontwikkelteam is dan ook van plan om meer van deze oude verzoeken waar mogelijk uit te voeren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in GitLab waarmee het mogelijk is om accounts van gebruikers via een wachtwoordreset over te nemen. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Het beveiligingslek, aangeduid als CVE-2023-7028, zorgt ervoor dat een aanvaller e-mails voor het resetten van het accountwachtwoord op een ongeverifieerd e-mailadres kan laten afleveren. Zo kan een aanvaller het wachtwoord van elk willekeurig account resetten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. In het geval gebruikers voor hun account tweefactorauthenticatie (2FA) hebben ingeschakeld is het nog steeds mogelijk voor een aanvaller om het wachtwoord te resetten, maar niet om het account over te nemen, aangezien er nog een tweede factor is vereist om in te loggen. Op 11 januari kwam GitLab met updates voor het probleem. Volgens cijfers van de Shadowserver Foundation zijn op internet nog altijd meer dan duizend GitLab-installaties kwetsbaar. Daarvan bevinden zich er zo'n vijftig in Nederland. Bij de bekendmaking van de kwetsbaarheid liet GitLab weten dat het niet met misbruik bekend was. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt nu dat aanvallen wel plaatsvinden. Gebruikers en organisaties worden dan ook opgeroepen hun GitLab-installatie te updaten. bron: https://www.security.nl

De Europese Ombudsman heeft de Europese Commissie beticht van wanbestuur en opgeroepen om documenten over het willen controleren van alle chatberichten van Europese burgers openbaar te maken, omdat Brussel dit weigert te doen en daar volgens de Ombudsman geen goede reden voor is. Begin 2022 kwam de Europese Commissie met een voorstel om alle chatberichten en ander verkeer van burgers te inspecteren. In het geval van end-to-end versleutelde chatdiensten zou dit via client-side scanning moeten plaatsvinden, waarbij alle berichten van alle burgers zouden worden gecontroleerd, ongeacht of die ergens van worden verdacht. Brussel ontving een verzoek om alle documenten met betrekking tot het plan openbaar te maken. In totaal vielen volgens de Europese Commissie 121 documenten onder het verzoek. In totaal werd tot 27 documenten volledige toegang gegeven. Bij 66 documenten was dit gedeeltelijk en toegang tot 28 documenten werd geweigerd. Daarbij claimde Brussel dat deze uitzondering gerechtvaardigd was omdat openbaarmaking de openbare veiligheid, commerciële belangen, het beslissingsproces en juridisch advies zouden kunnen schaden. De persoon die de documenten had opgevraagd stapte vervolgens naar de Europese Ombudsman, die een onderzoek naar de betreffende documenten startte. De Ombudsman komt tot de conclusie dat de Europese Commissie onterecht de documenten geheim houdt en dat het niet willen openbaren als wanbestuur te bestempelen valt. De Ombudsman roept Brussel op om de documenten alsnog openbaar te maken. bron: https://www.security.nl

De Amerikaanse overheid meldt dat aanvallers actief misbruik maken van een beveiligingslek in Windows SmartScreen. Microsoft heeft dit nog altijd niet in het eigen beveiligingsbulletin verwerkt, ook al verklaarde het techbedrijf op 9 april al tegenover securitybedrijf ZDI dat het met het misbruik bekend was. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-29988) zorgt ervoor dat de waarschuwing niet verschijnt. De kwetsbaarheid werd al voor het verschijnen van de beveiligingsupdate op 9 april gebruikt bij aanvallen. Er was dan ook sprake van een zogeheten 'zero day'. Normaliter vermeldt Microsoft in de beveiligingsbulletins als het met misbruik bekend is, maar dat is in het geval van CVE-2024-29988 nog altijd niet het geval. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat nu weten dat het bekend is met aanvallen waarbij de kwetsbaarheid wordt gebruikt en heeft die op een lijst van actief aangevallen beveiligingslekken geplaatst. bron: https://www.security.nl

Apple maakt het voor malafide appstores mogelijk om Europese Safari-gebruikers via een uniek device ID op internet te volgen, zo waarschuwen onderzoekers. Met de lancering van iOS 17.4 heeft Apple een nieuw 'URI scheme' geïntroduceerd waarmee Europese gebruikers alternatieve appstores kunnen downloaden en installeren vanaf een website. Hiervoor moeten alternatieve appstores aan hun website het URI scheme toevoegen. In het geval van Safari blijkt de browser niet te controleren of het gebruikte URI scheme wel aan de juiste website is toegevoegd. Daardoor is het mogelijk om het URI scheme toe te voegen aan een website die niet van de betreffende alternatieve appstore is. Safari zal in dit geval via de URI toch informatie over het toestel van de gebruiker naar deze website sturen. Meerdere websites kunnen dit "MarketplaceKit-proces" via de URI aanroepen, waarbij steeds hetzelfde unieke device ID wordt verstuurd. "Een malafide alternatieve marktplaats kan deze truc gebruiken om gebruikers over meerdere websites te volgen", aldus onderzoekers Talal Haj Bakry en Tommy Mysk. In het geval de Brave-browser wordt gebruikt is deze vorm van tracking niet mogelijk, omdat Brave het betreffende request blokkeert. "Safari zou gebruikers tegen cross-site tracking moeten beschermen. Het zou moeten doen wat Brave doet en de origin van de website moeten controleren en vergelijken met de opgegeven URL", concluderen de onderzoekers. "Het zou het URI scheme niet moeten aanroepen als de URL's niet overeenkomen." Afsluitend adviseren de onderzoekers het gebruik van Brave, omdat dit de enige geautoriseerde browser is die dit soort cross-site tracking blokkeert. bron: https://www.security.nl

De Europese Commissie doet onderzoek of Meta mogelijk de Digital Services Act (DSA) heeft overtreden. Het gaat dan om misleidende advertenties, zichtbaarheid van politieke content, het ontbreken van een tool om de verkiezingen te monitoren en het mechanisme om illegale content op Facebook en Instagram te rapporteren. De Commissie denkt dat Meta niet aan de verplichtingen van de DSA voldoet als het gaat om de aanpak van misleidende advertenties en 'desinformatiecampagnes'. Brussel is bang dat dergelijke content een risico voor de aankomende Europese verkiezingen vormt. Ook denkt de Europese Commissie dat het beleid van Meta met betrekking tot politieke content, waardoor politieke content een lagere aanbeveling krijgt, niet in lijn met de DSA is. Verder heeft Brussel het vermoeden dat het mechanisme om illegale content te rapporteren niet aan de DSA-verplichtingen voldoet. Het gaat dan onder andere om de verplichting dat het melden van illegale content eenvoudig en gebruikersvriendelijk is, wat nu mogelijk niet zo is. Tegelijkertijd denkt de Commissie dat Meta geen effectief intern klachtensysteem heeft om klachten te registreren over moderatiebeslissingen. Afhankelijk van de uitkomsten van het onderzoek kan Brussel handhavende maatregelen nemen. Voor het overtreden van de DSA kan de Commissie een boete opleggen die zes procent van de wereldwijde omzet bedraagt. bron: https://www.security.nl

Streamingdienst MovieBoxPro heeft de gegevens van zes miljoen gebruikers gelekt, zo meldt beveiligingsonderzoeker Troy Hunt. Volgens de onderzoeker gaat het om een 'juridisch dubieuze' streamingdienst waar e-mailadressen en gebruikersnamen van gebruikers via een kwetsbare API (application programming interface) konden worden gescrapet. Hunt kon geen contactgegevens vinden om de kwetsbaarheid en het datalek te rapporteren. "Geen contactinformatie op de website, geen social accounts, WHOIS privacy ingeschakeld, geen informatie over personen, oprichters of locaties. Deze gasten willen echt niet gevonden worden lijkt het?", aldus Hunt op X. Naar verluidt zou de kwetsbaarheid in de API inmiddels zijn verholpen. De zes miljoen gelekte e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun gegevens in bekende datalekken voorkomen. Van de miljoenen bij MovieBoxPro gelekte e-mailadressen kwam 36 procent al in een ander bekend datalek voor. bron: https://www.security.nl

QNAP gaat de NAS-apparaten die het biedt voorzien van bescherming tegen ransomware. Het bedrijf heeft een nieuwe bètaversie van QTS uitgebracht, het besturingssysteem dat op QNAP-apparaten draait, met een feature genaamd 'Security Center'. Dit onderdeel monitort bestanden actief op ongewone of abnormale aanpassingen van een groot aantal bestanden. De NAS neemt dan maatregelen om de bestanden te beschermen, waaronder het activeren van een read-only mode en het maken van een snapshot. Daarnaast wordt de gebruiker gewaarschuwd. Gebruikers kunnen de beveiligingsmaatregelen tegen ransomware of menselijke fouten aanpassen, om zo het risico op dataverlies te voorkomen wanneer ongewone bestandsactiviteiten zich voordoen. Via een dashboard kunnen gebruikers ook zien hoe vaak bestanden op hun NAS worden aangepast, aangemaakt of verwijderd. De afgelopen jaren zijn NAS-apparaten van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Hierbij werden bestanden op tienduizenden NAS-apparaten versleuteld en moesten gebruikers losgeld betalen om weer toegang tot hun data te krijgen. Om toegang tot de systemen te krijgen maakten de aanvallers gebruik van bekende kwetsbaarheden waarvoor updates beschikbaar waren, maar die niet door gebruikers waren geïnstalleerd, maar ook zerodaylekken waar geen patches voor waren ontwikkeld. Wanneer de definitieve versie van QTS 5.2 met Security Center verschijnt is nog niet bekend. bron: https://www.security.nl

Indien je dochter de pc goed af sluit zou het ook kunnen zijn dat de wake-up-lan of de wake up USB in de bios aan staat. Dus dat is ook nog een optie om te bekijken.

Authenticatieplatform Okta waarschuwt klanten voor een grootschalige credential stuffing-aanval op gebruikersaccounts die afgelopen week plaatsvond en waarbij gebruik werd gemaakt van zogenoemde 'residential proxies'. Het gaat hier om proxydiensten die het verkeer van betalende klanten via de systemen en internetverbindingen van legitieme thuisgebruikers laten lopen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Criminelen voeren geregeld phishingaanvallen uit waarbij medewerkers van organisaties sms-berichten ontvangen die naar Okta-phishingsites linken. Op deze manier wordt geprobeerd om inloggegevens voor accounts te ontfutselen. Bij de nu waargenomen aanval proberen de aanvallers direct op het account van medewerkers in te loggen. De aanvallers maken hiervoor gebruik van credential stuffing. Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Onlangs waarschuwde ook Cisco voor credential stuffing-aanvallen tegen ssh- en vpn-servers. Volgens Okta zijn beide aanvallen afkomstig van dezelfde infrastructuur, waarbij gebruik wordt gemaakt van het Tor-netwerk en proxydiensten. Het gaat dan specifiek om 'residential proxies'. Deze diensten maken zoals gezegd gebruik van de systemen en internetverbindingen van legitieme thuisgebruikers om het internetverkeer van betalende klanten te routeren. Deze thuisgebruikers kunnen hun systemen bewust aanmelden bij een proxydienst en krijgen dan in ruil voor hun proxy een vergoeding. Ook komt het voor dat met malware besmette systemen onderdeel van een proxynetwerk worden gemaakt. Okta meldt dat een groot aantal mobiele telefoons onderdeel van een proxynetwerk is geworden, doordat gebruikers een app installeerden die door middel van een besmette SDK (software development kit) was gemaakt. De app-ontwikkelaars kunnen bewust de app hebben gebruikt of zijn zich niet bewuste van de aanwezige kwaadaardige code, laat Okta verder weten. Het voordeel voor aanvallers om residential proxies te gebruiken is dat het verkeer van de credential stuffing-aanvallen afkomstig lijkt van de telefoons, computers en browsers van normale gebruikers, in plaats van de ip-adressen van VPS-providers die ook vaak door proxydiensten worden gebruikt. Okta adviseert organisaties om inlogpogingen afkomstig van residential proxies te blokkeren en multifactorauthenticatie voor accounts in te stellen. Ook heeft het bedrijf een Top 20 van netwerkproviders gegeven die door de aanvallers zijn gebruikt, waaronder Surf B.V., OVH en Akamai Connected Cloud. bron: https://www.security.nl