Captain Kirk

De populaire online DevOps-tool GitLab heeft een beveiligingsupdate voor een kritieke SAML authentication bypass, waardoor aanvallers toegang tot GitLabs-accounts kunnen krijgen, ook voor oudere versies van de software beschikbaar gemaakt. Organisaties kunnen GitLab op hun eigen server of servers installeren. Via de kwetsbaarheid (CVE-2024-45409) is het mogelijk voor een aanvaller om de authenticatie te omzeilen en zo toegang tot een GitLab-account te krijgen. Voorwaarde voor misbruik is wel dat voor GitLab-instances SAML-gebaseerde authenticatie is ingeschakeld. SAML staat voor Security Assertion Markup Language en is een standaard om authenticatie- en autorisatiegegevens tussen domeinen uit te wisselen. De impact van van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10. Het probleem is aanwezig in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE). GitLab kwam vorige week met beveiligingsupdates voor versies 17.3.3, 17.2.7, 17.1.8, 17.0.8 en 16.11.10. De patch is nu ook gebackport naar oudere versies. Gebruikers van een oudere versie kunnen updaten naar versie 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8 of 16.0.10. GitLab roept organisaties en beheerders op om zo snel mogelijk naar de laatste versie te updaten. bron: https://www.security.nl

Tienduizenden WordPress-sites zijn kwetsbaar voor aanvallen door een kritiek beveiligingslek in Jupiter X Core. Dit is een plug-in die kernfunctionaliteit voor het Jupiter X theme biedt. De software is op meer dan negentigduizend websites geinstalleerd. Een kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige bestanden naar de webserver te uploaden, wat tot remote code execution kan leiden. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vier weken geleden kwamen de ontwikkelaars met een update voor het probleem, waarop securitybedrijf Wordfence nu de details openbaar heeft gemaakt. Daarnaast maakt een ander beveiligingslek in de plug-in het mogelijk om in te loggen als de eerste gebruiker die met een socialmedia-account op de website inlogde, waaronder beheerders. Ook als deze optie is uitgeschakeld, na een keer te zijn ingeschakeld en gebruikt, is misbruik mogelijk. De impact van dit lek is beoordeeld met een score van 8.1. Voor dit probleem kwamen de ontwikkelaars vorige week met een volledige oplossing. Uit cijfers van WordPress.org blijkt dat tienduizenden websites nog altijd niet up-to-date zijn en zo risico lopen aangevallen te worden. bron: https://www.security.nl

Criminelen zijn erin geslaagd om een nieuwe beveiligingsmaatregel van Google te omzeilen die het stelen van cookies in Chrome moest tegengaan. Dat laat beveiligingsonderzoeker 'g0njxa' op X weten. Voor het beveiligen van cookies, wachtwoorden en andere gevoelige data maakt Chrome gebruik van de beveiligingsopties die het onderliggende besturingssysteem biedt. In het geval van macOS is dit de Keychain en op Linux een door het systeem aangeboden wallet zoals kwallet of gnome-libsecret. Op Windows maakt Googles browser gebruik van de Data Protection API (DPAPI). Deze interface beschermt data 'at rest' tegen andere gebruikers op het systeem of zogenoemde cold boot-aanvallen. De DPAPI biedt geen bescherming tegen malafide applicaties die code als de ingelogde gebruiker kunnen uitvoeren, zoals infostealer-malware doet. Om cookies beter te beschermen maakt Chrome sinds kort gebruik van 'Application-Bound (App-Bound) Encryption'. In plaats van elke applicatie toegang tot de gevoelige data te geven, kan Chrome nu browserdata op zo'n manier versleutelen, waarbij de encryptie is gekoppeld aan de app-identiteit. Dit is vergelijkbaar met de manier waarop de Keychain op macOS werkt. Tijdens de versleuteling voegt App-Bound Encryption de identiteit van de app aan de versleutelde data toe. Wanneer geprobeerd wordt om de data te ontsleutelen wordt eerst de identiteit van de betreffende app gecontroleerd. Als die niet overeenkomt met de identiteit van de initiële applicatie, zal er geen decryptie plaatsvinden. De App-Bound Encryption service draait met systeemrechten. Een aanvaller moet dan niet alleen malware op het systeem uitvoeren, maar ook systeemrechten zien te krijgen of code in Chrome zien te injecteren. Verschillende ontwikkelaars van infostealer-malware, waarmee wachtwoorden, sessiecookies en andere inloggegevens van besmette computers worden gestolen, laten weten dat hun creaties nu in staat zijn de beveiligingsmaatregel te omzeilen. Het gaat onder andere om Lumma, Lumar, StealC, Vidar en WhiteSnake. Daarbij stellen de ontwikkelaars dat het niet nodig is om over admin- of systeemrechten te beschikken. "Alles werkt zoals voorheen". bron: https://www.security.nl

Privacyorganisatie noyb heeft bij de Oostenrijkse privacytoezichthouder een klacht over Mozilla ingediend en de autoriteit gevraagd een onderzoek naar tracking door Firefox uit te voeren. Aanleiding is het inschakelen van 'Privacy Preserving Attribution' in de browser. "In tegenstelling tot de geruststellende naam, zorgt deze technologie ervoor dat Firefox gebruikersgedrag op websites kan tracken. In essentie doet de browser nu het tracken in plaats van individuele websites", aldus noyb. Eerder kreeg Mozilla al de nodige kritiek over de feature te verduren. Volgens de privacyorganisatie kan Mozillas oplossing een verbetering zijn ten opzichte van tracking door middel van cookies, maar zijn gebruikers nooit gevraagd of ze de feature willen inschakelen. Mozilla heeft het standaard in nieuwe Firefox-versies ingeschakeld. "Dit is met name zorgwekkend, omdat Mozilla over het algemeen de reputatie van een privacyvriendelijk alternatief heeft, wanneer de meeste andere browsers gebaseerd zijn op Googles Chromium", gaat noyb verder. "Mozilla gelooft het verhaal van de advertentie-industrie dat het een recht heeft om gebruikers te tracken door Firefox in een advertentiemeettool te veranderen. Hoewel Mozilla mogelijk goede intenties had, is het zeer onwaarschijnlijk dat 'privacy preserving attribution' cookies en andere trackingtools zal vervangen. Het is gewoon een nieuwe, aanvullende manier om gebruikers te tracken", zegt noyb-advocaat Felix Mikolasch. De privacyorganisatie hekelt ook het feit dat Mozilla de technologie ongevraagd heeft ingeschakeld en gebruikers hier ook niet over informeerde. Mozilla stelde dat er bewust voor is gekozen om gebruikers geen toestemmingsscherm te tonen, omdat dit een gebruikersonvriendelijke afleiding is. Ook stelde een Firefox-ontwikkelaar dat het lastig is om 'privacybeschermende advertentiemetingen' voor de meeste gebruikers uit te leggen, zodat ze een geïnformeerde beslissing kunnen maken. "Het is jammer dat een organisatie zoals Mozilla denkt dat gebruikers te dom zijn om ja of nee te zeggen. Gebruikers zouden in staat moeten zijn om een keuze te maken en de feature zou standaard moeten zijn uitgeschakeld", gaat Mikolasch verder. Noyb wil dat de Oostenrijkse privacytoezichthouder het gedrag van Mozilla onderzoekt. Daarnaast wil de organisatie dat Mozilla gebruikers adequaat over de dataverwerkingsactiviteiten informeert, naar een opt-insysteem overstapt en alle onrechtmatig verwerkte data verwijdert. bron: https://www.security.nl

Het Europese cyberagentschap ENISA gaat op verzoek van de Europese Commissie certificering van ID-wallets ondersteunen. Met de ID-wallets kunnen burgers en ondernemers straks digitaal zaken doen in Nederland en de rest van Europa. De Europese Commissie presenteerde in 2021 plannen voor de invoering van een digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren. De wallet-applicaties maken het mogelijk om identiteitsdocumenten op te slaan en persoonlijke identificeerbare data met andere partijen te delen. ENISA gaat nu aan de slag met de voorbereiding voor een certificeringsschema voor de ID-wallets en elektronische identificatie. "Een certificeringsschema voor de EU Digital Identity (EUDI) Wallets is essentieel voor een succesvolle werking van het walletconcept. De certificering zorgt ervoor dat EUDI-wallets veilig zijn en de privacy en persoonlijke gegevens van gebruikers beschermen. Bovendien garandeert het ook dat burgers hun nationale digitale wallets in de hele EU kunnen gebruiken", zegt Christiane Kirketerp de Viron, plaatsvervangend directeur voor Digital Society, Trust and Cybersecurity van de Europese Commissie. bron: https://www.security.nl

Betalingsverwerker MoneyGram heeft vorige week systemen wegens een beveiligingsincident offline gehaald, wat nog altijd gevolgen heeft voor de beschikbaarheid van de dienst. Dat laat het bedrijf via X weten. Zondag meldde MoneyGram dat het te maken had met een netwerkstoring en een onderzoek naar de aard en omvang van het probleem had ingesteld. Gisteren verscheen er een nieuwe verklaring waarin de betalingsverwerker meldt dat het om een digitaal beveiligingsincident gaat. Uit voorzorg zijn meerdere systemen offline gehaald. Inmiddels wordt samengewerkt met externe cybersecurity-experts en justitie, aldus de verklaring. Tevens meldt MoneyGram dat het bezig is om systemen weer online te brengen. Verdere details over het incident en de impact ervan zijn niet gegeven. De website van MoneyGram is op het moment van schrijven offline en kunnen er ook geen betalingen worden verwerkt omdat het MoneyGram-platform niet benaderbaar is. bron: https://www.security.nl

Antivirusbedrijf Kaspersky heeft de eigen virusscanner bij Amerikaanse klanten verwijderd en vervolgens automatisch UltraAV geïnstalleerd, tot verrassing van sommige gebruikers. Bij sommige gebruikers verscheen ook UltraVPN op het systeem. De Amerikaanse regering besloot in juni om de verkoop van Kaspersky-producten in de VS te verbieden en later deze maand ook het uitbrengen van updates voor de software. Daarop maakte Kaspersky bekend dat het de VS zal verlaten. De virusbestrijder sloot een overeenkomst met antivirusbedrijf Pango, dat alle Kaspersky-klanten in de VS overneemt. De afgelopen dagen is Kaspersky begonnen om zichzelf van Amerikaanse systemen te verwijderen en UltraAV te installeren. Voor veel gebruikers kwam dit ondanks eerdere berichtgeving als een verrassing, zo blijkt uit reacties op Reddit en het Kaspersky-forum. Meerdere klanten zijn ook niet blij met de automatische installatie en overgang naar UltraAV, omdat ze het bedrijf niet kennen en vertrouwen. In een reactie op het eigen forum laat Kaspersky weten dat het nauw met UltraAV heeft samengewerkt om de overgang naar de andere virusscanner zo naadloos mogelijk te maken. bron: https://www.security.nl

Microsoft heeft een testversie van Windows Server 2025 beschikbaar gemaakt die het installeren van beveiligingsupdates zonder herstart van het systeem mogelijk maakt. Deze 'hotpatches' zijn volgens Microsoft een 'gamechanger'. Hotpatches zijn beveiligingsupdates die geen reboot vereisen. De updates patchen in het geheugen code van draaiende processen, zonder dat het nodig is om deze processen te herstarten. Dit moet ervoor zorgen dat in plaats van twaalf verplichte reboots per jaar op 'Patch Tuesday', er wordt gewerkt met een geplande herstart per kwartaal. Dit bestempelt Microsoft als 'nominale hotpatch maand'. Minder binaries houdt ook in dat updates sneller worden gedownload en geïnstalleerd, aldus het techbedrijf. Hotpatching is al een aantal jaren beschikbaar in Windows Server 2022 Datacenter: Azure Edition, maar vereist dat het besturingssysteem in een virtual machine (VM) draait. De feature komt ook beschikbaar in de Standard en Datacenter edition van Windows Server 2025. en zonder VM-verplichting. Hotpatching wordt ondersteund op fysieke servers of virtual machines. De VM's kunnen op Hyper-V, VMware of andere oplossingen draaien die Microsofts Virtualization Based Security-standaard ondersteunen. Voor het gebruik van hotpatching is wel Azure Arc vereist. bron: https://www.security.nl

Een beveiligingsonderzoeker heeft een naar eigen zeggen 'catastrofale' kwetsbaarheid in de op Chromium-gebaseerde Arc-browser gevonden waardoor het mogelijk was om willekeurige JavaScript binnen de browser van alle gebruikers uit te voeren, waarbij alleen het kennen van een user-ID voldoende was. Het probleem speelde alleen bij de Arc-browser, andere Chromium-gebaseerde browsers waren niet kwetsbaar. The Browser Company, het bedrijf achter de Arc-browser, had oorspronkelijk geen bugbountyprogramma, maar besloot de onderzoeker met het alias 'xyzeva' een beloning van tweeduizend dollar toe te kennen. De Arc-browser biedt een feature genaamd 'Boosts', waarmee het mogelijk is om elke website door middel van custom CSS en JavaScript aan te passen. Deze aanpassingen slaat Arc op in Firebase. The Browser Company had naar eigen zeggen de Firebase ACL's (Access Control Lists) verkeerd geconfigureerd, waardoor het mogelijk was om de CreatorID van een Boost te veranderen nadat die was aangemaakt. Hierdoor was het mogelijk om een malafide Boost aan elke willekeurige gebruiker toe te kennen, die dan automatisch werd geactiveerd als ze de website bezochten waarvoor de Boost was aangemaakt. Het bleek daarbij eenvoudig om het user-ID te achterhalen. Een aanvaller zou zo een Boost kunnen maken met malafide JavaScript dat binnen de browser van de gebruiker zou worden uitgevoerd. De kwetsbaarheid (CVE-2024-45489) werd op 25 augustus aan The Browser Company gemeld dat een dag later met een fix en beloning kwam. Naar aanleiding van het incident gaat Arc-browser JavaScript in gesynchroniseerde Boosts standaard uitschakelen, zal het Firebase niet meer voor nieuwe features en producten gebruiken, worden bestaande Firebase ACL's geaudit, is er een security-engineer aangenomen en een bugbountyprogramma gestart. bron: https://www.security.nl

Graag gedaan en succes. Ik zet het topic op slot. Wil je toch nog reageren, laat het ons dan even weten.

I think youre question is to change the OS XP for a other OS to use the laptop for the next 18 years. You can try to install a Linux-version. Those are free to use and sutable for most systems.

Kleine aanvulling: ik gebruik zelf ook regelmatig zo 'uitlees-apparaatje" De meeste hebben verschillende aansluitingen zodat de meeste schijven, zeker de oudere, eenvoudig aangesloten kunnen worden. Je schijf verschijnt als extern station in je verkenner. Werkt simpel en snel.

Aanvallers maken gebruik van GitHub-notificatiemails om ontwikkelaars op het platform via een malafide PowerShell-commando met malware te infecteren. Het uiteindelijke doel is om via de malware wachtwoorden en andere inloggegevens te stelen die voor verdere aanvallen zijn te gebruiken. Als eerste stap in de aanval maakt de aanvaller een GitHub-account aan en rapporteert dan een probleem met een publieke repository van de ontwikkelaar. Vervolgens verwijdert de aanvaller het probleem. De eigenaar van de publieke repository ontvangt nu een notificatiemail. Daarin staat de omschrijving van het probleem dat door de aanvaller was aangemaakt. De aanvaller laat in de omschrijving weten dat er een beveiligingsprobleem met de repository is aangetroffen en wijst vervolgens naar een website genaamd 'github-scanner' waarin meer informatie over het oplossen van het probleem te vinden zou zijn. De website heeft een zogenaamde captcha waarbij gebruikers worden opgeroepen PowerShell te starten, ctrl+v te doen en dan enter. Hierdoor wordt de net gekopieerde code geplakt en uitgevoerd. Deze code downloadt de malware op het systeem. Het gaat om de Lumma-infostealer. Deze malware is ontwikkeld om allerlei inloggegevens van het systeem te stelen, zo meldt Ian Spence, die een dergelijke GitHub-notificatiemail ontving. Het gebruik van malafide PowerShell-commando's is al bij verschillende phishingaanvallen toegepast. bron: https://www.security.nl

Thunderbird is gestopt met de ondersteuning van Windows 7 en 8 en zal niet zoals Mozilla bij Firefox deed de e-mailclient langer blijven ondersteunen. Dat heeft het ontwikkelteam bekendgemaakt. Onlangs maakte Mozilla bekend dat het Firefox voor Windows 7 en 8.1 tot maart 2025 van beveiligingsupdates zal voorzien en een verdere verlenging wordt niet uitgesloten. "We zullen de support van Thunderbird 115 niet op dezelfde manier verlengen", aldus de ontwikkelaars van de e-mailclient. Dat houdt in dat Thunderbird 115.15.0, die twee weken geleden verscheen, de laatste ondersteunde versie is. De ontwikkelaars sluiten niet uit dat er nog één kleine update voor deze versie verschijnt, maar de support van de oude Windowsversies is daarmee officieel tot een einde gekomen. Aanleiding voor de beslissing is dat Thunderbird veel minder gebruikers op Windows 7 en 8 heeft dan Firefox. Het aandeel Windows 7- en 8-gebruikers bij de e-mailclient is zo'n zes procent, tegenover elf procent bij de browser. Thunderbird 115 blijft vooralsnog voor gebruikers van Windows 7 en 8 beschikbaar, totdat dit niet langer veilig is, gebaseerd op de beveiligingsupdates die voor Thunderbird versie 128 verschijnen. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt klanten voor een kritiek path traversal-lek in Cloud Service Appliance (CSA) waar aanvallers actief misbruik van maken en dat 'bij toeval' op 10 september werd opgelost. Onlangs meldde Ivanti ook actief misbruik van een andere kwetsbaarheid in CSA. Via de Cloud Service Appliance kunnen organisaties software uitrollen, updates installeren en op afstand problemen oplossen op door de organisatie beheerde laptops, tablets, smartphones en andere systemen. Een gecompromitteerde CSA kan dan ook verstrekkende gevolgen voor een organisatie hebben. Op 10 september kan Ivanti met een update voor een kwetsbaarheid in CSA versie 4.6, aangeduid als CVE-2024-8190. Drie dagen later liet het softwarebedrijf weten dat aanvallers actief misbruik van dit beveiligingslek maken. Gisteren kwam Ivanti met een nieuwe waarschuwing voor een tweede actief aangevallen lek in CSA 4.6. Het gaat om een kritieke path traversal-kwetsbaarheid (CVE-2024-8963) waardoor een ongeauthenticeerde aanvaller op afstand 'toegang tot 'afgeschermde functionaliteit' kan krijgen. Aanvallers combineren CVE-2024-8963 en CVE-2024-8190 om de admin-authenticatie te omzeilen en willekeurige commando's op de appliance uit voeren. De impact van CVE-2024-8963 is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Met de update die op 10 september voor CVE-2024-8190 verscheen blijkt ook 'bij toeval' CVE-2024-8963 te zijn verholpen, aldus de uitleg van Ivanti. Met de patch voor CSA 4.6 zijn dan ook beide actief aangevallen kwetsbaarheden opgelost. Deze versie is echter end-of-life en organisaties worden dan ook aangeraden naar CSA 5.0 te upgraden. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Apache HugeGraph Server waarvoor in april een beveiligingsupdate verscheen. Dat laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Apache HugeGraph maakt het mogelijk om applicaties te ontwikkelen gebaseerd op graph databases. Een kwetsbaarheid in de software maakt het mogelijk voor aanvallers op om afstand code uit te voeren en zo de server volledig over te nemen. De impact van het beveiligingslek (CVE-2024-27348) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Eind april kwam de Apache Foundation met updates om het probleem te verhelpen. Begin juni werden technische details over de kwetsbaarheid openbaar gemaakt. Een maand later meldde The Shadowserer Foundation dat er aanvalspogingen plaatsvonden. Nu meldt ook het CISA dat aanvallers actief misbruik van het beveiligingslek maken. Amerikaanse overheidsinstanties zijn opgedragen om de beschikbare beveiligingsupdate voor 9 oktober te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Antivirusbedrijf Doctor Web brengt weer updates uit na aanval op systemen Antivirusbedrijf Doctor Web brengt weer updates uit voor klanten nadat het hier eerder wegens een aanval op de eigen infrastructuur mee was gestopt. Details over het incident zijn nog altijd niet gegeven. Zo zijn de aard en omvang onbekend. De virusbestrijder spreekt van een 'gevaarlijke situatie' met betrekking tot de aanval op de eigen infrastructuur, die afgelopen zaterdag 14 september begon. Op 16 september ontdekte Doctor Web 'ongeautoriseerde inmenging' binnen de eigen it-infrastructuur. Daarop werd besloten om alle servers van het netwerk los te koppelen. Uiteindelijk wist Doctor Web naar eigen zeggen de dreiging te isoleren. Vanwege de beslissing om de servers offline te halen konden er geen updates voor de antivirussoftware worden uitgerold. Inmiddels brengt het antivirusbedrijf weer updates uit en stelt dat geen klanten door het incident zijn getroffen. bron: https://www.security.nl

Een kritieke kwetsbaarheid maakt het mogelijk om VMware vCenter-servers op afstand over te nemen. Broadcom heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. Kwetsbaarheden in de oplossing zijn in het verleden geregeld gebruikt voor het uitvoeren van aanvallen. Volgens VMware bevat de implementatie van het DCERPC-protocol binnen vCenter een heap-overflow kwetsbaarheid. Door het versturen van speciaal geprepareerde netwerkpakketten kan een aanvaller met toegang tot een vCenter-server code op het systeem uitvoeren. De impact van het beveiligingslek (CVE-2024-38812) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. In juni kwam Broadcom ook al met updates voor kritieke kwetsbaarheden die met het DCERPC-protocol te maken hadden. Daarnaast heeft VMware een kwetsbaarheid in vCenter opgelost (CVE-2024-38813) waardoor een aanvaller met netwerktoegang tot een vCenter-server zijn rechten kan verhogen naar die van root. Broadcom zegt dat het niet bekend is met actief misbruik van de nu verholpen beveiligingslekken. Organisaties worden opgeroepen de updates zo snel mogelijk te installeren. bron: https://www.security.nl

De infrastructuur van Doctor Web was afgelopen weekend het doelwit van een gerichte aanval, zo heeft het antivirusbedrijf vandaag bekendgemaakt. Vanwege het incident worden er tijdelijk geen nieuwe Doctor Web virus databases, met informatie over nieuwe malware, uitgebracht. Doctor Web spreekt over een gerichte aanval om de infrastructuur te beschadigen en dat die tijdig gestopt is. De aanval heeft volgens het bedrijf geen gevolgen gehad voor gebruikers van de antivirussoftware. Details over de aard en omvang van de aanval zijn niet gegeven. In de vrij korte verklaring meldt Doctor Web dat "alle resources" zijn losgekoppeld van het netwerk zodat die kunnen worden gecontroleerd. Verder wordt gemeld dat het uitbrengen van virus databases tijdelijk is gestaakt, maar snel weer zal worden hervat. bron: https://www.security.nl

Google is niet te spreken over third-party dependency scanners die claimen dat er kwetsbaarheden in de producten van het techbedrijf aanwezig zijn, terwijl dat niet het geval is. Daardoor ontvangt Google naar eigen zeggen irrelevante bugmeldingen van beveiligingsonderzoekers. Een dependency scanner kijkt welke software op een host geïnstalleerd is en of daar bekende beveiligingslekken in voorkomen. Volgens Google komt het vaak voor dat deze scanners kwetsbaarheden rapporteren die eigenlijk false positives zijn of dat het om zaken gaat die Google niet als 'security relevant' beschouwt. Het techbedrijf is nu met een blogposting gekomen om beveiligingsonderzoekers erop te wijzen om alleen zaken in Googles producten te melden die security relevant zijn. Erik Varga van Google stelt dat de false positives die de scanners genereren in vier categorieën te verdelen zijn, namelijk ingetrokken kwetsbaarheden, onjuiste versies, verkeerd platform en niet security relevante meldingen. "De bevindingen van dependency scanners moeten met een korreltje zout worden genomen, aangezien er veel factoren zijn die beïnvloeden of een kwetsbaarheid in een programma op het gescande systeem van toepassing is", aldus Varga. Google hoopt dat de nu gegeven uitleg voor betere bugmeldingen van onderzoekers zal zorgen. bron: https://www.security.nl

Cybercriminelen gebruiken de kioskmode van browsers om zo inloggegevens van gebruikers te stelen, zo waarschuwen onderzoekers van OALabs. De kioskmode zorgt ervoor dat een opgegeven pagina fullscreen wordt geladen en de gebruiker die niet eenvoudig kan sluiten. Criminelen maken hier misbruik van door op een besmet systeem een bepaalde inlogpagina, vaak die van Google, in de kioskmode te laden, aldus de onderzoekers. Slachtoffers kunnen denken dat ze hun inloggegevens moeten invoeren om de pagina te sluiten. De ingevoerde gebruikersnaam en wachtwoord kunnen vervolgens worden gestolen. De malware heeft het niet op één specifieke browser voorzien, maar kijkt naar welke browsers op het systeem aanwezig zijn, om die vervolgens in de kioskmode op te starten. Daarbij worden ook parameters opgegeven om het sluiten van de kioskmode via de F11- en Escape-knoppen te voorkomen. Er zijn echter nog wel andere toetsencombinaties waarmee gebruikers de browser kunnen sluiten. bron: https://www.security.nl

Kritieke kwetsbaarheden maken het mogelijk om verschillende type wifi-routers van fabrikant D-Link op afstand over te nemen. Het gaat onder andere om een 'verborgen functie' waardoor Telnet wordt ingeschakeld en een aanvaller met hardcoded credentials kan inloggen. D-Link heeft firmware-updates beschikbaar gemaakt om de problemen te verhelpen. De problemen spelen bij de D-Link DIR-X5460, DIR-X4860 en COVR-X1870. De webservice van de X5460 en X4860 bevat een stack-based buffer overflow, waardoor een ongeauthenticeerde aanvaller op afstand willekeurige code op de apparaten kan uitvoeren, zo waarschuwt het Taiwanese Computer Emergency Response Team (TWCERT). De impact van de kwetsbaarheid (CVE-2024-45694) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een andere buffer overflow die remote code execution mogelijk maakt (CVE-2024-45695) raakt alleen de DIR-X4860. De DIR-X4860 en COVR-X1870 bevatten een kwetsbaarheid (CVE-2024-45696) waardoor een aanvaller, door het versturen van speciaal geprepareerde pakketten naar de webservice, Telnet kan inschakelen. Vervolgens is het mogelijk om met hardcoded credentials op de wifi-routers in te loggen. Het TWCERT spreekt over een 'verborgen functie'. Een beveiligingslek (CVE-2024-45697) in de DIR-X4860 zorgt ervoor dat Telnet wordt ingeschakeld wanneer de WAN-poort wordt ingeplugd. Wederom kan een ongeautoriseerde aanvaller op afstand dan met hardcoded credentials inloggen, laat het TWCERT weten, dat ook deze kwetsbaarheid als 'verborgen functie' aanduidt. Gebruikers worden opgeroepen de firmware-updates te installeren. bron: https://www.security.nl

Een kwetsbaarheid in Windows waarvoor Microsoft vorige week een beveiligingsupdate uitbracht werd voor het uitkomen van de patch actief misbruikt, zo heeft techbedrijf alsnog bevestigd. In eerste instantie gaf Microsoft aan dat er geen misbruik van het beveiligingslek, aangeduid als CVE-2024-43461, bekend was. Securitybedrijf ZDI liet direct na het uitkomen van de update weten dat Windowsgebruikers wel via de kwetsbaarheid werden aangevallen. "Dit beveiligingslek is gelijk aan de kwetsbaarheid die we in juli rapporteerden en werd gepatcht. Het ZDI Threat Hunting team ontdekte deze exploit in het wild en meldde het afgelopen juni aan Microsoft. Het lijkt erop dat aanvallers de vorige patch snel wisten te omzeilen. Toen we Microsoft over de kwetsbaarheid rapporteerden hebben we aangegeven dat er actief misbruik van werd gemaakt. We weten niet waarom Microsoft niet meldt dat actief misbruik plaatsvindt", aldus Dustin Childs van ZDI afgelopen dinsdag. Volgens Microsoft gaat het om een "Windows MSHTML platform spoofing kwetsbaarheid". Via het beveiligingslek proberen aanvallers het doelwit een malafide bestand te laten openen dat op een PDF-bestand lijkt, maar in werkelijkheid een MSHTML-bestand is dat via Internet Explorer wordt uitgevoerd, ook al is de browser op het systeem uitgeschakeld, zo werd afgelopen juli al duidelijk. Het malafide bestand is in werkelijkheid malware waarmee allerlei wachtwoorden en inloggegevens worden gestolen, aldus antivirusbedrijf Trend Micro. Microsoft heeft inmiddels het beveiligingsbulletin aangepast en laat weten dat er wel actief misbruik van de kwetsbaarheid wordt gemaakt. In de uitleg stelt het techbedrijf dat CVE-2024-43461 actief werd misbruikt voor juli als onderdeel van een aanvalsketen met betrekking tot CVE-2024-38112. De update die in juli verscheen zorgde ervoor dat de aanval niet meer werkt, aldus Microsoft. Om volledig beschermd te zijn moeten Windowsgebruikers zowel de update van juli als die van afgelopen dinsdag installeren. bron: https://www.security.nl

De Belgische overheid waarschuwt voor een malafide e-mail die afkomstig lijkt van het Centrum voor Cybersecurity België (CCB) en waarin ontvangers worden opgeroepen een virusscanner te installeren. Volgens de e-mail is 'onmiddellijke actie vereist' en moet de ontvanger 'betrouwbare antivirusbescherming' installeren. Daarbij doet de malafide e-mail voorkomen alsof het om een bericht van het CCB gaat. "Er doet momenteel een bericht de ronde dat het logo en de naam van het Centrum voor Cybersecurity België (CCB) misbruikt. In het bericht word je aangemoedigd om een virusscanner te downloaden. Doe dit in geen geval. Het is duidelijk een poging tot phishing. Dit bericht is niet afkomstig van het CCB", zo waarschuwt Safeonweb, dat een initiatief van het Centrum voor Cybersecurity België is. Waar de link naartoe wijst laat het overheidsorgaan niet weten. bron: https://www.security.nl

Microsoft en antivirusbedrijven hebben deze week de weerbaarheid van Windows besproken. Aanleiding was de wereldwijde storing veroorzaakt door de beveiligingssoftware van CrowdStrike. "Zowel onze klanten en ecosysteempartners hebben Microsoft opgeroepen om aanvullende beveiligingsmogelijkheden buiten de kernelmode te bieden", zegt Microsofts David Weston. Beveiligingssoftware en virusscanners draaien met kernelrechten, om zo te voorkomen dat malafide gebruikers met adminrechten of malware de software kunnen uitschakelen. In het geval van een crash of probleem met de beveiligingssoftware heeft dit echter grote gevolgen voor het systeem, omdat een herstart niet mogelijk is zoals bij gebruikersapplicaties mogelijk is. Tijdens het overleg dat deze week plaatsvond werden de vereisten besproken voor het ontwikkelen van een 'nieuw platform' dat tegemoet komt aan de eisen van antivirusbedrijven. Microsoft zegt dat het deze nieuwe platformmogelijkheden zal ontwerpen en ontwikkelen, waarbij de betrouwbaarheid moet worden vergroot, zonder dat dit ten koste van de veiligheid gaat. Exacte details zijn niet gegeven. In een reactie stelt antivirusbedrijf ESET dat het aanpassingen aan het Windows-ecosysteem steunt, als dit voor een meetbaar betere stabiliteit zorgt, zonder dat dit ten koste gaat van veiligheid, prestaties en de mogelijkheid voor klanten om beveiligingssoftware te kiezen. "Het blijft belangrijk dat kerneltoegang mogelijk blijft voor beveiligingsproducten om toekomstige cyberdreigingen te detecteren en blokkeren", aldus de virusbestrijder. bron: https://www.security.nl