Captain Kirk

De afgelopen dagen kwam downloadsite SourceForge in het nieuws omdat het sommige verlaten softwareprojecten die via de website werden aangeboden overnam en vervolgens het installatieprogramma van adware voorzag. Vanwege alle commotie besloot SourceForge deze praktijk te stoppen en stelde dat het geen adware meer bij deze verlaten projecten zou bundelen. Daarnaast zou het bundelen alleen nog plaatsvinden bij actieve projecten waarvan de ontwikkelaars toestemming hadden gegeven. Die belofte is nu al geschonden, zegt Nmap-ontwikkelaar Gordon Lyon. Nmap is een zeer populaire tool voor het scannen van netwerken. Op de Nmap Development mailinglist laat Lyon vandaag weten dat SourceForge zijn account op de downloadsite heeft gekaapt. De oude Nmap-pagina is nu leeg en alle content is nu naar een andere pagina overgeheveld waar alleen SourceForge de controle over heeft. "Vooralsnog bieden ze alleen de officiële Nmap-bestanden aan (zolang je niet op de nep-downloadknoppen klikt) en hebben we ze nog niet betrapt op het trojaniseren van Nmap zoals ze met GIMP deden. Maar we vertrouwen ze voor geen meter", stelt Lyon. Hij wijst naar een eerder incident met Download.com dat in 2011 werd betrapt toen het malware met het installatieprogramma van Nmap bundelde. De ontwikkelaar zal Nmap vragen om de gekaapte Nmap-pagina te verwijderen. "Maar belangrijker, we willen herhalen dat je Nmap alleen van de onze officiële SSL Nmap-site moet downloaden." bron: security.nl

Voordat we je gaan uitleggen hoe je kanalen kunt aanpassen, heb ik het team hier om meer ideeën gevraagd.

Windows User Account Control (UAC) is een beveiligingsmaatregel die volgens Microsoft computers tegen "hackers en kwaadaardige software" moet beschermen, maar via een nieuwe truc is te omzeilen, zo heeft een onderzoeker van beveiligingsbedrijf Cylance aangetoond. Als software of een gebruiker bepaalde Windowsinstellingen wil wijzigen of acties probeert uit te voeren die beheerdersrechten vereisen verschijnt er een UAC-waarschuwing. Pas als de gebruiker hiervoor toestemming geeft wordt de actie ook uitgevoerd. In het geval de gebruiker geen beheerdersrechten heeft, moet hij eerst het beheerderswachtwoord invullen voordat de actie wordt uitgevoerd. ShameOnUACOnderzoeker Derek Soeder ontwikkelde malware om Windows Explorer mee aan te vallen. De malware, door Soeder "ShameOnUAC" genoemd, injecteert zichzelf in een Explorer-proces dat geen beheerdersrechten heeft. Vervolgens wacht dit proces totdat de gebruiker een programma als beheerder wil starten. Het verzoek van dit programma om de beheerdersrechten wordt door de malware gemanipuleerd en van willekeurige, aanvullende commando's voorzien. Zo kunnen er bijvoorbeeld commando's via de command prompt van Windows worden uitgevoerd of aanpassingen aan het Windows Register gemaakt. Soeder legt uit dat in het geval de gebruiker cmd.exe start en vervolgens de UAC-waarschuwing goedkeurt, ShameOnUAC eerst een commando met beheerdersrechten kan uitvoeren voordat de gebruiker de command prompt krijgt te zien. De aanval is eenvoudig te voorkomen, gebruikers moeten namelijk "Show details" aanklikken in de UAC-waarschuwing. Dan worden de toegevoegde opdrachten namelijk getoond. Het is echter aan de gebruiker om dit ook elke keer te doen. "Het is belangrijk om op te merken dat UAC gewoon werkt als bedoeld. ShameOnUAC is griezelig om in actie te zien, omdat het aantoont dat gebruikers telkens al malware onbedoeld verhoogde rechten hebben kunnen geven waarmee het einde oefening was, door elke keer de informatie te negeren waarmee ze het hadden kunnen opmerken", stelt de onderzoeker. In het geval malware beheerdersrechten op een computer kan krijgen kunnen aanvallers namelijk de volledige controle over het systeem krijgen. Zelf zegt Soeder dat hij na zijn onderzoek tegenwoordig altijd de details van een UAC-waarschuwing bekijkt. bron: security.nl

Richten cybercriminelen zich bij het aanvallen van kwetsbaarheden vooral op browsers en browserplug-ins, toch zijn ook routers een interessant doelwit. Een bekende onderzoeker heeft namelijk een exploitkit ontdekt die lekken in de routers van onder andere Belkin, TP-Link en D-Link aanvalt. Het gaat om kwetsbaarheden die in 2008, 2013 en 2015 zijn onthuld en gepatcht. Aangezien routers niet automatisch worden geüpdatet en veel consumenten beschikbare updates niet zelf installeren, kan het inderdaad voorkomen dat er nog routers in omloop zijn met kwetsbaarheden van zeven jaar geleden. Daarnaast voert de exploitkit ook brute force-aanvallen uit op allerlei andere modellen, waaronder die van Microsoft en Linksys. In het geval de aanvallen succesvol zijn wordt de DNS van de router aangepast. Hierdoor kunnen aanvallers het verkeer van de aangevallen router langs hun eigen servers laten lopen, of gebruikers van de aangevallen router naar phishingsites doorsturen. Beveiligingsonderzoeker 'Kafeine' van het blog Malware Don't Need Coffee ontdekte de exploitkit. Die blijkt alleen vanaf bepaalde IP-reeksen te werken. Zodra een router is aangepast worden de IP-adressen van de DNS-servers gewijzigd en daarna de router herstart. Als tweede DNS-server wordt standaard de DNS-server van Google ingesteld. Dit moet volgens de onderzoeker voorkomen dat gebruikers iets vermoeden als er problemen met het IP-adres van de eerste DNS-server ontstaan. bron: security.nl

Cybercriminelen hebben een nieuwe manier gevonden om ransomware te verspreiden, namelijk het gebruik van SVG bestanden, zo meldt beveiligingsbedrijf AppRiver. Scalable Vector Graphics (SVG) is een afbeeldingenformaat dat interactieve features en animaties ondersteunt. Zo is het mogelijk om scripts aan een SVG-afbeelding toe te voegen. De nu ontdekte aanval begint met een e-mail die beweert een cv te bevatten. Het gaat om een ZIP-bestand dat weer een SVG-bestand bevat. Aan het SVG-bestand is een stukje JavaScript toegevoegd dat weer een ZIP-bestand downloadt. Dit ZIP-bestand bevat de Cryptowall-ransomware. Het gaat om een EXE-bestand dat de gebruiker zelf moet uitpakken en openen. Eenmaal geopend versleutelt Cryptowall allerlei bestanden en vraagt vervolgens honderden euro's losgeld om ze te ontsleutelen. bron: security.nl

Cybercriminelen hebben malware ontwikkeld die in staat is om geld van een systeem te stelen dat Belgische bedrijven voor internetbankieren gebruiken. Het gaat om het Isabel-systeem dat door 35.000 Belgische bedrijven, zelfstandigen en vrije beroepen wordt gebruikt. Al verschillende bedrijven zouden door de malware zijn bestolen, waarbij er aanzienlijke geldsommen van bankrekeningen zijn overgemaakt. Via Isabel kunnen bedrijven transacties met verschillende banken regelen en in hun boekhoudsystemen integreren. Vanwege de malware zijn alle notarissen inmiddels door de Koninklijke Federatie van het Belgisch Notariaat gewaarschuwd. Bij één notaris zou inmiddels ook een groot bedrag zijn buitgemaakt, zo meldt De Tijd. Om de frauduleuze geldtransactie klaar te zetten wacht de malware totdat de gebruiker niet achter zijn computer zit. Isabel werkt met een kaartlezer en pincode, die voor het goedkeuren van de transactie vereist zijn. De malware kan de transactie dan ook zelf niet uitvoeren. Na het klaarzetten van de transactie zal de kaartlezer van de gebruiker echter piepen. Het risico bestaat dat de gebruiker nu als een automatisme zijn pincode invoert en zo de transactie goedkeurt. Voor de verspreiding van de malware, die slecht door anti-virusprogramma's wordt herkend, worden e-mailbijlagen gebruikt. De Belgische politie heeft inmiddels verschillende onderzoeken naar bestolen Isabel-klanten ingesteld. bron: security.nl

Google beschikt over een geheime eenheid van meer dan honderd mensen die elke dag bezig zijn met het bestrijden van botnets die click- en advertentiefraude plegen. De botnets genereren verkeer en clicks naar advertenties en zouden adverteerders en advertentieplatformen miljarden euro's kosten. Google is de grootste advertentieaanbieder op internet en advertentiefraude vormt dan ook een serieus risico voor de internergigant. Een risico dat steeds groter wordt. "We zijn op een punt aangekomen dat malware voornamelijk voor advertentiefraude wordt gebruikt", zegt Douglas de Jager van Google tegenover Ad Age. De website kreeg een unieke blik in de werking van de geheime eenheid, waarvan het bestaan niet eerder door Google openbaar is gemaakt. MalwareOm advertentiefraude te bestrijden analyseert het team allerlei malware, die Google onder andere via de online virusscandienst VirusTotal binnenkrijgt. Door de malware te analyseren kan een clickfraudebotnet in kaart worden gebracht. Vervolgens wordt naar het verkeer gekeken dat de malware genereert. Verkeer waarvan de malwaremakers proberen het zo menselijk mogelijk te laten lijken. In het geval Google "niet-menselijk" verkeer tegenkomt krijgt de uitgever die de advertenties toont niet betaald en wordt de adverteerder geen kosten in rekening gebracht. Door nu naar buiten te treden hoopt Google andere bedrijven te inspireren hun bevindingen te delen en samen advertentiefraude aan te pakken. "Het is onze taak om de kosten voor de fraudeurs te verhogen tot een punt dat advertentiefraude niet meer interessant voor ze is", besluit De Jager. bron: security.nl

Het gebruik van alleen een geheime vraag om een vergeten wachtwoord te resetten is onveilig en moet dan ook worden vermeden, zo stelt Google aan de hand van eigen onderzoek (pdf). Veel websites gebruiken nog altijd de geheime vraag als manier voor gebruikers om toegang tot hun account te krijgen als ze de inloggegevens zijn vergeten. Het probleem van de geheime vraag is dat aanvallers kunnen proberen om het antwoord te raden en zo het wachtwoord te resetten. Zo bleek dat een aanvaller met de geheime vraag van Engelstalige gebruikers "wat is je favoriete maaltijd" 19,7% kans heeft om die in één keer te raden. Het antwoord is "pizza". Met tien pogingen heeft een aanvaller 24% kans om de vraag "wat is de naam van je eerste leraar" bij Arabisch sprekende gebruikers te beantwoorden. Met een zelfde aantal pogingen heeft een aanvaller 21% kans om de vraag van Spaanstalige sprekers, "wat is de middelste naam van je vader", te beantwoorden. In het geval van Koreanen leveren tien pogingen een succesratio van 39% op met de vraag "in welke stad ben je geboren" en 43% met de vraag wat het lievelingseten is. Verder bleek dat veel gebruikers identieke antwoorden op geheime vragen hadden waarvan wordt aangenomen dat ze juist zeer veilig zijn, zoals "wat is je telefoonnummer" en "wat is je airmilesnummer". In dit geval bleek dat 37% van de mensen opzettelijk verkeerde informatie invult met het idee dat dit het antwoord lastiger te raden maakt. Het onderzoek, waarvoor Google honderden miljoenen geheime vragen en antwoorden analyseerde, laat ook zien dat 40% van de Engelstalige gebruikers het antwoord op de geheime vraag niet meer weet als ze die moeten invullen. OngeschiktVolgens de onderzoekers toont het onderzoek dat de geheime vraag eigenlijk ongeschikt is om wachtwoorden te resetten en zowel websites als gebruikers goed moeten nadenken of ze geheime vragen wel willen gebruiken. Google zegt dat het de geheime vraag niet als een losstaande manier gebruikt om wachtwoorden te resetten. Verder moeten eigenaren van websites andere authenticatiemethodes gebruiken, zoals sms-codes of een tweede e-mailadres. "Dat is zowel veiliger als gebruiksvriendelijker", concludeert Elie Bursztein van Google. bron: security.nl

Er is een nieuwe versie van Google Chrome verschenen, waarin 37 beveiligingslekken zijn verholpen, waaronder een kwetsbaarheid die het mogelijk maakte voor een aanvaller om uit de sandbox van de browser te ontsnappen. Chrome beschikt over een sandbox die in veel gevallen voorkomt dat een aanvaller willekeurige code op het systeem kan uitvoeren. Een aanvaller moet in dit geval een kwetsbaarheid in de browser én in de sandbox vinden. Het komt niet vaak voor dat onderzoekers erin slagen om uit de sandbox van Chrome te ontsnappen. De kwetsbaarheid werd door een onderzoeker aan Google gemeld die anoniem wilde blijven. Vanwege de ernst van de kwetsbaarheid beloont Google die met een beloning van 16.337 dollar. Het beveiligingslek in de sandbox alleen laat een aanvaller geen willekeurige code op het onderliggende besturingssysteem uitvoeren. Google bestempelde de kwetsbaarheid dan ook als "high" in plaats van "critical", wat de hoogste categorie is als het gaat om de beoordeling van beveiligingslekken. In totaal betaalde Google externe onderzoekers 38.337 dollar voor voor het rapporteren van 14 kwetsbaarheden. Geen enkel van deze lekken werd als "critical" bestempeld. Via kwetsbaarheden die in de categorie "high" vallen kunnen aanvallers vertrouwelijke gegevens van andere websites lezen of aanpassen. Updaten naar Chrome 43.0.2357.65 gebeurt in de meeste gevallen volledig automatisch. bron: security.nl

Computers die nog op Windows Vista draaien zijn vaker met malware besmet dan computers waarop Windows 8.1 is geïnstalleerd, zo beweert Microsoft aan de hand van eigen onderzoek. In het derde en vierde kwartaal van 2014 bleek dat van 1.000 pc's met Vista er gemiddeld 7,8 geïnfecteerd waren. In het geval van Windows 8.1 ging het om 1,6 computers per 1.000 computers waarop malware werd aangetroffen. "De laatste data over hoe verschillende Windowsversies moderne malware-aanvallen afslaan suggereert dat nieuwere versies beter presteren dan oudere versies", aldus Microsofts Tims Rains. Toch gaat die stelling niet helemaal op. Wordt er naar het vierde kwartaal van vorig jaar gekeken, dan blijkt dat Windows 7-computers iets vaker met malware besmet waren dan computers met Windows Vista. De cijfers die Microsoft in de nieuwste editie van het Security Intelligence Report laat zienhttp://microsoft.com/sir worden door sommige CISO's en IT-professionals gebruikt om bedrijven naar nieuwere platformen te upgraden, stelt Rains. bron: security.nl

Om dat uit te proberen zou he de firewall eens even tijdelijk uit kunnen zetten. Het zou wel verklaren waarom het probleem alleen maar op deze machine is.

Heb je al eens geprobeerd om de Wifi op een ander kanaal te zetten. Sommige kanalen geven storing waarvoor het ene hardwaresysteem meer gevoelig is dan de ander?

Beste Aquarezz, Excuus voor de late reactie. De oorzaak van het probleem kan van alles zijn. Van simpel een verkeerd ip-adres tot het verkeerd staan van de veiligheidsinstellingen van de internetbrowser. Heb je al een keer alle stappen doorlopen welke er in de handleiding van de camera's gegevens wordt? Ik week niet welk type camera's er gebruikt worden en kan dus niet garanderen dat deze handleiding ook de juiste is.

Al eens geprobeerd om de Wifi-versterker op een andere plaats te zetten? Dit kan soms behoorlijk veel schelen. ook mbt jouw probleem.

Hoe is het verlopen met het advies van Clarkie? Mogen we aannemen, gezien het feit dat er al een tijdje niet gereageerd is, dat het probleem verholpen is?

Bij veel tests van virusscanners en internet security suites wordt er in een testomgeving gewerkt, maar het Oostenrijkse lab AV-Comparatives heeft één test waarbij de pakketten direct met malware op internet worden getest. Het gaat om de 'Real-World Protection Test' die met echte kwaadaardige URL's test. De 417 gebruikte URL's wezen direct naar malware of probeerden via een drive-by download stilletjes malware op het systeem te installeren. Dit zijn precies dezelfde aanvalsvectoren waarmee internetgebruikers dagelijks te maken krijgen. Aangezien er met up-to-date software werd gewerkt wisten veel van de URL's de drive-by download niet uit te voeren. Volgens AV-Comparatives kunnen internetgebruikers de kans op malware dan ook drastisch laten dalen door patches te installeren.De virusscanners en internet security suites waren op het moment van de test ook met de meest recente signatures bijgewerkt. Avira, Bitdefender, Panda en Trend Micro wisten alle 417 testgevallen te blokkeren. Bij Emsisoft en F-Secure werden ook alle testgevallen geblokkeerd, maar was dit in een aantal gevallen afhankelijk van de beslissing van de gebruiker. Alle virusscanners wisten meer dan 90% van de aanvallen te detecteren. Microsofts eigen virusscanner scoorde 89,9%. De anti-virusprogramma's werden ook met legitieme, schone websites en URL's getest. Hierbij sloegen met name F-Secure (33) en Trend Micro (24) vaak onterecht alarm. Uiteindelijk zal AV-Comparatives de prestaties van de verschillende scanners over een periode van vier maanden nemen om tot een eindscore te komen. bron: security.nl

Kwetsbaarheden in Oracle Java waren jarenlang een geliefd doelwit van cybercriminelen, maar aan die ontwikkeling is in de tweede helft van vorig jaar een einde gekomen toen Microsoft besloot om verouderde Java-plug-ins in Internet Explorer te blokkeren. Dat meldt de softwaregigant in een nieuwe editie van het Security Intelligence Report (SIR). Ook Oracle speelt echter een rol bij de daling, zo laat Microsoft later in het rapport weten. Sinds Java 7 update 51, die in januari 2014 verscheen, moeten Java-applets die de browser uitvoert gesigneerd zijn. Niet alleen wordt het zo lastiger om Java-kwetsbaarheden te misbruiken, ook richten cybercriminelen zich hierdoor minder vaak op Java. De Java-exploit die Microsoft in het vierde kwartaal van vorig jaar het vaakst tegenkwam betreft een aanval op een Java-lek dat in juni 2012 door Oracle werd gepatcht. Alleen bij computers waar Java al 2,5 jaar lang niet geüpdatet was zou deze aanval werken. Waar aanvallen op Java afnamen, was er een toename van aanvallen op Adobe Flash Player te zien. Aanvallers richten zich hierbij ook op meer recentere kwetsbaarheden. Zo werden drie van de vier kwetsbaarheden in Flash Player die aanvallers vorig jaar het vaakst aanvielen ook in 2014 ontdekt en gepatcht. WindowsVerder laat het rapport zien dat modernere Windowsversies minder vaak met malware zijn besmet. Zo bleek dat van alle duizend computers die Windows Vista draaien er in de tweede helft van vorig jaar 15,6 met malware besmet waren. Bij Windows 7 SP1 was dit 15,1, terwijl het aantal infecties bij Windows 8 op 12,7 uitkwam. Windows 8.1 valt daarbij op, aangezien de nieuwste Windowsversie slechts 3,1 infecties per 1000 computers telde. bron: security.nl

In een half jaar tijd is het aantal aanvallen via macro-malware verdubbeld, reden voor netwerkgigant Cisco om alarm te slaan. De malware wordt verspreid via e-mailbijlagen die Word-documenten bevatten. Zodra het document wordt geopend wordt de gebruiker gevraagd of hij macro's wil inschakelen, aangezien Microsoft dit vanwege veiligheidsredenen standaard heeft uitgeschakeld. Volgens Tim Gurganus van Cisco zijn veel mensen het gevaar van macro's echter vergeten en schakelen die vervolgens in, waardoor de kwaadaardige code in het document malware kan downloaden en installeren. Een succesvolle aanpak, zo blijkt uit de toename van het aantal e-mailaanvallen waarbij macro-malware wordt gebruikt. Het probleem wordt vergroot doordat de meeste e-mailfilters en bedrijven Office-documenten niet blokkeren en de kwaadaardige macro-code zeer geobfusceerd en lastig te detecteren is. De eerste kwaadaardige macro's bestonden nog uit 150 regels code, inmiddels zijn dat er 1500 geworden. Ook hebben de makers allerlei maatregelen genomen om detectie te voorkomen en zijn de tactieken op het gebied van social engineering verfijnd. Zo lieten de eerste exemplaren na te zijn geopend een lege pagina zien, wat gebruikers kon alarmeren dat er iets mis was. Sinds begin dit jaar worden "afleidingsdocumenten" getoond terwijl in de achtergrond de infectie plaatsvindt. Daardoor zal de gebruiker niet vermoeden dat het om malware gaat. Verder blijkt dat de aanvallers regelmatig legitieme gehackte websites of clouddiensten zoals Dropbox, Google Drive of Pastebin.com gebruiken om de malware te hosten. Het grote voordeel hiervan is dat de domeinen niet in het netwerkverkeer opvallen en ook niet snel zullen worden geblokkeerd. "Macro-malware is dan ook een goed voorbeeld van malwaremakers die op streng wordende beveiligingsmaatregelen reageren, zoals het blokkeren van zip-bestanden die exe-bestanden bevatten. Aanvallers blijven hun tactieken, technieken en procedures aanpassen", zegt Gurganus. bron: security.nl

Ontwikkelaar van P2P-software BitTorrent heeft na bijna een jaar de versleutelde chatdienst "Bleep" gelanceerd, waarmee gebruikers versleuteld kunnen communiceren. Het gaat zowel om chatberichten als gesprekken. Bleep zou meer privacy dan bestaande chat-apps zoals WhatsApp en iMessage bieden. Zo is er geen centrale opslag van metadata en wordt er ook geen informatie opgeslagen over wie met wie communiceert of wanneer de communicatie plaatsvindt. De software gebruikte de P2P-technologie van BitTorrent en vereist geen persoonlijke informatie. Het opgeven van alleen een gebruikersnaam is voldoende om te beginnen. Optioneel is het mogelijk voor gebruikers om hun e-mailadres en mobiele telefoonnummer te laten verifiëren, zodat anderen hen kunnen vinden. In de nu gelanceerde versie is een nieuwe optie toegevoegd genaamd "Whisper", waarbij het bericht na een bepaalde tijd verdwijnt. Volgens de ontwikkelaars is de functie beschermd tegen het maken van screenshots. Als de ontvanger van het bericht er toch in slaagt een screenshot te maken, zou de alias van de afzender geblokkeerd zijn en kan er niet worden vastgelegd wie wat precies heeft gezegd. Bleep is er voor iOS, Mac OS X, Windows en Android. bron: security.nl

Naast Adobe en Microsoft heeft ook Mozilla gisteren verschillende beveiligingsupdates uitgebracht, wat ook gevolgen heeft voor gebruikers van Tor en het privacybesturingssysteem Tails. In het geval van Firefox 38 zijn 15 beveiligingslekken verholpen. In het overzicht van Mozilla staan 13 lekken vermeld, maar uit de omschrijving blijkt dat het om 15 CVE-nummers gaat. CVE is een standaard om kwetsbaarheden mee aan te geven. Via zes van de kwetsbaarheden zou een aanvaller de computer in het ergste geval volledig kunnen overnemen als er een kwaadaardige of gehackte website wordt bezocht. Een andere belangrijke toevoeging aan Firefox 38 is het inschakelen van DRM om online videocontent te bekijken. Hiervoor gebruikt Firefox de Adobe Content Decryption Module (CDM). "Omdat DRM een 'black-box technologie is die niet open source is, hebben we een security sandbox ontwikkeld die rond de CDM zit. We weten niet hoe andere browsers dit black-boxprobleem hebben aangepakt, maar een sandbox biedt een noodzakelijke beveiligingslaag", zegt Mozilla's Denelle Dixon-Thayer. Daarnaast biedt Mozilla de mogelijkheid om de CDM te verwijderen. Thunderbird, Tor en TailsZeven van de problemen die in Firefox aanwezig waren werden ook gevonden in de e-mailclient Thunderbird. Naast Thunderbird maakt ook Tor Browser gebruik van Mozilla's code. Tor Browser 4.5.1 bevat dan ook de meest recente versie van Firefox ESR, alsmede verschillende andere bugfixes en verbeteringen. Ook van het privacybesturingssysteem Tails is er een nieuwe versie verschenen die de laatste Firefox-patches voor de gebruikte Tor Browser toepast. Verder zijn er verschillende andere kwetsbaarheden in Tails 1.4 opgelost. De nieuwste versies van Firefox en Thunderbird zijn te downloaden via de automatische updatefunctie van de software en Mozilla.org. In het geval van Tor Browser is er ook een automatische updater aanwezig. De updater werkt echter niet op Mac OS X 10.6 en 10.7, waar gebruikers de meest recente versie handmatig zullen moeten downloaden. bron: security.nl

Onderzoekers hebben een elf jaar oud en ernstig beveiligingslek in verschillende virtualisatieplatformen ontdekt, waardoor een aanvaller uit virtual machines kan ontsnappen. De kwetsbaarheid heeft van beveiligingsbedrijf Crowdstrike de naam "Venom" gekregen en bevindt zich in de virtuele floppydiskcontroller (FDC) van QEMU. QEMU, wat staat voor Quick Emulator, is gratis en open source virtualisatiesoftware. De kwetsbare code wordt door verschillende virtualisatieplatformen en appliances gebruikt, waaronder Xen, KVM en de QEMU client. Populaire virtualisatiesoftware zoals VMware, Microsoft Hyper-V en Bochs hypervisor is niet kwetsbaar. Via de kwetsbaarheid zou een aanvaller uit de virtual machine kunnen ontsnappen om vervolgens, al dan niet via andere virtual machines, toegang tot het netwerk te krijgen. Hoewel floppydisks al lang niet meer worden gebruikt, zouden veel virtualisatieoplossingen standaard van een virtuele floppydrive worden voorzien. Door het Venom-lek aan te vallen kunnen aanvallers volgens Crowdstrike toegang tot intellectueel eigendom van bedrijven krijgen, alsmede gevoelige en persoonlijke identificeerbare informatie. Mogelijk zouden duizenden organisaties en miljoenen gebruikers die van de kwetsbare virtual machines gebruik maken risico lopen. Het lek zou sinds 2004 in de code aanwezig zijn. Toch zijn er nog geen aanvallen in het wild waargenomen. Om de aanval uit te voeren moet een aanvaller of malware over root- of beheerdersrechten in het gastsysteem beschikken. Voor het QEMU Project, Xen Project en Red Hat zijn er inmiddels beveiligingsupdates uitgekomen. Een andere oplossing is het configureren van de virtual machine hypervisor op een bepaalde manier, wat de impact van de kwetsbaarheid kan beperken of zelfs helemaal kan voorkomen. Iets wat Crowdstrike in de advisory uitlegt. bron: security.nl

Tijdens de patchdinsdag van mei heeft Microsoft 13 updates voor Windows, Internet Explorer, Office, Silverlight, Lync en het .NET Framework uitgebracht die bij elkaar 48 kwetsbaarheden verhelpen. Drie updates voor Windows, IE, Silverlight, Lync, .NET Framework en Office zijn als kritiek bestempeld. Dit houdt in dat een aanvaller willekeurige code op de computer kan uitvoeren zonder al teveel interactie van de gebruiker. De eerste kritieke update is MS15-043 voor 22 lekken in Internet Explorer. Het bezoeken van een kwaadaardige of gehackte website zou voldoende zijn om een aanvaller op afstand code op de computer uit te laten voeren. De tweede update die gebruikers en beheerders zo snel als mogelijk moeten installeren is MS15-044. Deze update verhelpt twee kwetsbaarheden in de font drivers van Microsoft. Deze drivers worden door een groot aantal producten gebruikt, namelijk Windows, .NET Framework, Office, Lync en Silverlight. Als een kwetsbare gebruiker een document of een website met een speciaal geprepareerd TrueType font opent kan een aanvaller op afstand willekeurige code uitvoeren. De laatste kritieke update die ook het uitvoeren van willekeurige code mogelijk maakt is MS15-045 voor zes kwetsbaarheden in Windows Journal. In dit geval kan een aanvaller toeslaan als een gebruiker een kwaadaardig Windows Journal-bestand opent. De impact kan echter worden beperkt als een gebruiker niet over beheerdersrechten beschikt. Overige updatesDe overige updates, voornamelijk voor Windows, zijn als "belangrijk" beoordeeld en maken het mogelijk voor een aanvaller om informatie te achterhalen, een Denial of Service te veroorzaken, beveiligingsmaatregelen te omzeilen, rechten op het systeem te verhogen of willekeurige code uit te voeren, maar hiervoor is meer interactie van de gebruiker vereist. De updates worden bij de meeste gebruikers automatisch geïnstalleerd. bron: security.nl

Voor een groot deel van de internetgebruikers zijn er gisterenavond kritieke updates uitgekomen die in totaal 52 beveiligingslekken in Adobe Flash Player, Adobe Reader en Acrobat verhelpen. In het geval van Adobe Reader en Acrobat gaat het om 34 kwetsbaarheden waardoor een aanvaller in het ergste geval code op de computer kan uitvoeren. Aan de hand van de CVE-nummers blijkt dat het ook om drie kwetsbaarheden gaat die al in 2014 werden ontdekt. Gebruikers krijgen dan ook het advies om naar versie 11.0.11 of 10.1.14 van de PDF-lezers te upgraden. Vorige week werden de updates door Adobe nog bestempeld als "prioriteit 2", wat inhoudt dat gebruikers en systeembeheerders 30 dagen de tijd hebben om de updates uit te rollen. Die beoordeling is nu veranderd in "1", waarmee Adobe wil zeggen dat de updates binnen 72 uur moeten zijn geïnstalleerd. Flash PlayerOok voor Adobe Flash Player en Adobe AIR verschenen gisteren kritieke beveiligingsupdates die 18 lekken oplossen. Ook in het geval van deze kwetsbaarheden kon een aanvaller code op de computer uitvoeren. Adobe Flash Player is de meestgebruikte browserplug-in en kreeg begin dit jaar met meerdere zero day-aanvallen te maken. Ook weten aanvallers kwetsbaarheden die Adobe in Flash Player patcht steeds sneller na het uitkomen van een patch aan te vallen. Net als met Adobe Reader en Acrobat moeten de updates in het geval van Flash Player binnen 72 uur worden geïnstalleerd. In dit geval gaat het om de upgrade naar Adobe Flash Player 17.0.0.188. Bij gebruikers van Google Chrome en Internet Explorer 10 en 11 op Windows 8 en 8.1 zal de embedded Flash Player automatisch worden bijgewerkt. Gisteren verscheen dan ook Google Chrome 42.0.2311.152 voor Windows, Mac en Linux. Via deze pagina kunnen gebruikers kijken of en welke versie van Flash Player op hun systeem is geïnstalleerd. bron: security.nl

Onderzoekers hebben een wereldwijd botnet ontdekt dat uit tienduizenden gekaapte routers bestaat en gebruikt wordt voor het uitvoeren van DDoS-aanvallen op websites. Dat meldt beveiligingsbedrijf Incapsula in een nieuw rapport. Hoewel de gekaapte routers in 109 verschillende landen werden aangetroffen, bleek dat een meerderheid (85%) zich in Brazilie en Thailand bevindt. De routers worden weer aangestuurd via servers die in China en de Verenigde Staten staan. De onderzoekers dachten in eerste instantie dat de routers via een kwetsbaarheid in de firmware waren overgenomen. Verder onderzoek liet echter zien dat alle apparaten via de standaardpoorten op HTTP en SSH toegankelijk waren. Ook was in bijna alle gevallen het standaardwachtwoord niet gewijzigd. Zo konden de aanvallers de "MrBlack" malware op de routers installeren. Daarnaast werd er op de gekaapte routers een script geïnstalleerd dat naar andere kwetsbare routers zocht. Om dit soort aanvallen te voorkomen krijgen gebruikers het advies om het standaardwachtwoord te wijzigen, de meeste recente firmware te installeren en ervoor te zorgen dat de beheerdersinterface niet via HTTP of SSH toegankelijk is. Iets wat via deze tool kan worden gecontroleerd. bron: security.nl

Onderzoekers zijn erin geslaagd om malware voor Linux en Windows te ontwikkelen die zich in de videokaart kan verstoppen. Een versie voor de Mac zou in ontwikkeling zijn. Het gaat om de op Linuxgebaseerde Jellyfish rootkit en Demon keylogger, waarvan een proof-of-concept op de website GitHub is verschenen. Vorige week verscheen de Linuxversie al, maar nu is er ook een versie voor Windows online gezet. Volgens de ontwikkelaars, van wie onbekend is wie het zijn, heeft malware die zich in de videokaart kan verbergen verschillende voordelen. Zo zijn er op internet geen analysetools te vinden om "GPU-malware" te analyseren. Daarnaast kan de GPU van de videokaart voor allerlei wiskundige berekeningen worden gebruikt. De Demon keylogger van de onderzoekers is gebaseerd op een keylogger die in 2013 al werd gepresenteerd. De keylogger kan de toetsaanslagen van de gebruiker in het geheugen van de videokaart opslaan. VereistenBeide malware-exemplaren vereisen een videokaart met AMD- of Nvidia-chip om te werken. Kaarten met een chipset van Intel worden via een specifieke software ontwikkelkit ondersteund. De rootkit gebruikt daarnaast de OpenCL API van de Kronos Group, een consortium van GPU-leveranciers en andere bedrijven die open standaarden ontwikkelen. De OpenCL-drivers moeten dan ook op het aangevallen systeem aanwezig zijn als de rootkit wil functioneren. De Windowsversie van de malware wordt als een remote acces tool (RAT) omschreven en kopieert een DLL-bestand van de harde schijf naar het geheugen van de videokaart. Als het systeem wordt herstart zal de DLL in het GPU-geheugen worden gezocht en wanneer gevonden worden uitgevoerd, zonder dat hierbij enige activiteit op de harde schijf plaatsvindt. Ook in het geval van de Windowsversie moeten er specifieke drivers en software ontwikkelkit op de computer aanwezig zijn. De onderzoekers stellen dat de malware nog in ontwikkeling is en dat ze die alleen voor educatieve doeleinden hebben ontwikkeld en niet voor het gebruik ervan door derden verantwoordelijk zijn. bron: security.nl