Captain Kirk

Er is inmiddels een waar kat-en-muisspel ontstaan rond de Password Alert-extensie van Google die Chromegebruikers tegen phishingaanvallen moet beschermen, maar inmiddels een aantrekkelijk doelwit van onderzoekers is geworden die de uitbreiding steeds proberen te omzeilen en daar ook in slagen. Password Alert zorgt ervoor dat gebruikers die hun Google-wachtwoord op een phishingsite invullen een waarschuwing krijgen. Vervolgens is het mogelijk om vanuit de waarschuwing het wachtwoord te wijzigen. Eerder deze week slaagde de Britse securityconsultant Paul Moore erin om Password Alert via een script van zeven regels te omzeilen. Gebruikers kregen in dit geval geen waarschuwing als ze hun Google-wachtwoord op een phishingsite invulden. Google kwam met een update naar versie 1.4, die ook door Moore werd omzeild. Wederom publiceerde Google een nieuwe versie, 1.5, waarop het Nederlandse beveiligingsbedrijf Securify met een manier kwam om de waarschuwing te omzeilen. Het duurde echter niet lang voordat Google ook deze aanval had afgevangen en versie 1.6 uitbracht. Onderzoekers zijn er nu in geslaagd ook deze versie, wat de meest recente versie is, te omzeilen. "Inmiddels hebben we weer een nieuwe manier gevonden om Password Alert te omzeilen. Door het loginformulier in een iframe te laden waarvan Javascript is uitgeschakeld, is het niet meer mogelijk voor Password Alert om toetsaanslagen af te vangen. Hierdoor werkt de detectie niet meer", zegt Yorick Koster van Securify tegenover Security.NL. "In feite is dit een kat-en-muisspel. De extensie controleert of een gebruiker zijn Google-accountgegevens heeft ingevuld: e-mailadres en wachtwoord. Wanneer één van die twee niet meer goed doorkomt, dan werkt de detectie niet meer." bron: security.nl

Het is algemeen bekend dat er zeer weinig malware voor Linux in omloop is, zeker in vergelijking met Windows, maar het komt wel voor dat Linuxservers in een netwerk met Windowscomputers worden gebruikt. Reden voor testlab Virus Bulletin om te kijken hoe goed virusscanners voor Linux met Windows-malware presteren, bijvoorbeeld als Windowsgebruikers besmette bestanden van of naar een fileserver kopiëren. Normaliter test Virus Bulletin vooral anti-virusprogramma's voor Windows, toch zijn er ook virusscanners voor Linuxsystemen in omloop. Het aantal ligt echter wel een stuk lager dan bij Windows het geval is. Voor de test van Virus Bulletin werd er met slechts zes producten getest. Tijdens de test moesten de virusscanners als eerste de ongeveer 1300 malware-exemplaren op de WildList detecteren. Het gaat hier om een maandelijks samengestelde lijst met malware die op internet is aangetroffen. De scanoplossingen van Avast, AVG, Bitdefender, eScan, ESET en Kaspersky wisten alle exemplaren te detecteren en kregen dan ook de Virus Bulletin 100% beoordeling, die alleen bij een perfecte score wordt uitgedeeld. Recente malwareNaast de WildList werd er ook een RAP (Reactive And Proactive)-test gehouden. Hier wordt er met de meest recente malware getest, alsmede exemplaren die pas verschenen nadat de databases van de virusscanners waren "bevroren". Deze test is vooral bedoeld om te kijken hoe de anti-virusbedrijven met grote hoeveelheden nieuwe en onbekende malware omgaan. Tijdens deze test scoort AVG met 90% het best, op de voet gevolgd door Avast (88,8%), Bitdefender (87,7%) en eScan (87%). Virus Bulletin keek ook naar de systeembelasting van de virusscanners. Dan blijkt dat AVG en ESET de minste impact op systemen hebben. Als laatste werd ook nog de omgang met schone software getest. Geen één van de virusscanners bestempelde schone software ten onrechte als malware, de zogeheten 'false positives'. Volgens het testlab zetten de virusscanners dan ook goede resultaten neer, zowel qua detectiescores als stabiliteit. De volledige test is op deze pagina te vinden. bron: security.nl

Microsoft heeft een belangrijke beveiligingsupdate voor Windows Server 2003/R2 opnieuw uitgebracht en adviseert beheerders om die te installeren. De update verhelpt tien beveiligingslekken in Internet Explorer, waardoor een aanvaller in het ergste geval de computer volledig kan overnemen. De update, met codenummer KB3038314, werd op 14 april door Microsoft uitgegeven. Al gauw verschenen er allerlei klachten van gebruikers die bij de installatie tegen problemen aanliepen. Zo was het niet meer mogelijk om Google als zoekmachine in te stellen. De problemen deden zich bij allerlei Windowsversies voor. Het bleef echter stil aan de kant van Microsoft en ook in het Security Bulletin over de IE-lekken werd er geen melding van gemaakt. Donderdag liet de softwaregigant opeens in het Security Bulletin weten dat de KB3038314-update op het Microsoft Download Center acht dagen eerder al was bijgewerkt door een nieuwe versie. Een reden geeft Microsoft niet, maar beheerders van systemen met Windows Server 2003/R2 die de update voor 22 april hebben geïnstalleerd krijgen het advies de nieuwe versie te installeren, anders zijn ze niet volledig tegen de beveiligingslekken beschermd die de update verhelpt. bron: security.nl

Microsoft heeft een belangrijke beveiligingsupdate voor Windows Server 2003/R2 opnieuw uitgebracht en adviseert beheerders om die te installeren. De update verhelpt tien beveiligingslekken in Internet Explorer, waardoor een aanvaller in het ergste geval de computer volledig kan overnemen. De update, met codenummer KB3038314, werd op 14 april door Microsoft uitgegeven. Al gauw verschenen er allerlei klachten van gebruikers die bij de installatie tegen problemen aanliepen. Zo was het niet meer mogelijk om Google als zoekmachine in te stellen. De problemen deden zich bij allerlei Windowsversies voor. Het bleef echter stil aan de kant van Microsoft en ook in het Security Bulletin over de IE-lekken werd er geen melding van gemaakt. Donderdag liet de softwaregigant opeens in het Security Bulletin weten dat de KB3038314-update op het Microsoft Download Center acht dagen eerder al was bijgewerkt door een nieuwe versie. Een reden geeft Microsoft niet, maar beheerders van systemen met Windows Server 2003/R2 die de update voor 22 april hebben geïnstalleerd krijgen het advies de nieuwe versie te installeren, anders zijn ze niet volledig tegen de beveiligingslekken beschermd die de update verhelpt. bron: security.nl

Woensdag onthulde Google een extensie voor Chrome die het Google-wachtwoord van gebruikers tegen phishingaanvallen moet beschermen. Zodra gebruikers op een phishingsite hun wachtwoord hebben ingevuld krijgen ze een waarschuwing van Password Alert, zoals de extensie heet, en de mogelijkheid om hun Google-wachtwoord te wijzigen. De werking bleek niet onfeilbaar, want nog geen dag later had de Britse securityconsultant Paul Moore Password Alert via een script van zeven regels omzeild, zo maakte hij via Twitter bekend. Het script, dat de consultant naar eigen zeggen in twee minuten had gemaakt, zorgde ervoor dat gebruikers helemaal geen waarschuwing meer te zien kregen. Vandaag kwam Google met een update naar versie 1.4 om de aanval van Moore te verhelpen. Een uur geleden is Moore er echter in geslaagd om ook deze versie te omzeilen, zo laat hij wederom via Twitter weten. Het Nederlandse beveiligingsbedrijf Securify publiceerde gisteren een uitgebreidere proof-of-concept om de extensie te omzeilen, maar het lijkt erop dat Google ook deze aanval heeft opgelost, aangezien gisteren versie 1.5 is verschenen. bron: security.nl

Om ervoor te zorgen dat websites allemaal HTTPS gebruiken heeft Mozilla een plan aangekondigd waarbij de werking van websites die alleen via HTTP bereikbaar zijn zal worden beperkt. Volgens de browserontwikkelaar is HTTPS de "weg voorwaarts" en is er de afgelopen maanden door allerlei organisaties en zelfs de Amerikaanse overheid opgeroepen om internetverkeer te versleutelen. Om dit veilige web te realiseren heeft Mozilla een plan bedacht dat uit twee pijlers staat. Eerst zullen nieuwe features vanaf een bepaalde datum alleen nog voor veilige websites beschikbaar zijn. Daarnaast zal geleidelijk aan de toegang tot browserfeatures voor onveilige websites, en dan met name features die een risico voor de veiligheid en privacy van gebruikers vormen, worden uitgefaseerd. Mozilla erkent dat het verwijderen van features die onveilige websites gebruiken ervoor kan zorgen dat die niet meer zullen werken. Er zal dan ook een balans moeten worden gezocht tussen de veiligheid van gebruikers en het aantal websites dat niet meer goed functioneert. Daarnaast overweegt Mozilla ook minder strengere eisen als het gaat om de features die onveilige websites kunnen gebruiken. Via het aangekondigde plan wil Mozilla naar eigen zeggen een bericht naar webontwikkelaars sturen dat ze veilig moeten zijn. Om dit te bereiken zal Mozilla zich dan ook op de brede webgemeenschap richten en binnenkort voorstellen bij een werkgroep van het World Wide Web Consortium (W3C) indienen. bron: security.nl

Gehackte routers en printers zijn verantwoordelijk voor een toename van het aantal en de omvang van DDoS-aanvallen. Ook andere apparaten die op het web worden aangesloten en onderdeel van het "Internet of Things" zijn spelen hierbij een rol, zo beweert het beveiligingsbedrijf NSFocus. Bij de aanvallen gebruiken de aanvallers het Simple Service Discovery Protocol (SSDP) dat onderdeel van het UPnP-protocol is. Dit protocol staat op miljoenen apparaten ingeschakeld, waaronder routers, mediaservers, webcams, smart televisies en printers. Via SSDP kunnen apparaten elkaar eenvoudig op netwerken vinden en verbinding met elkaar maken. Door middel van het SSDP-protocol op deze apparaten versterken criminelen hun DDoS-aanvallen. De criminelen spoofen hierbij het IP-adres van de aan te vallen website en sturen pakketjes naar de router of andere apparaten. Die reageren vervolgens met antwoordpakketjes die naar het gespoofte IP-adres worden gestuurd. Volgens NSFocus kunnen aanvallen op deze manier met een factor 75 worden versterkt. Het bedrijf stelt verder dat er wereldwijd meer dan 7 miljoen SSDP-apparaten zijn die voor DDoS-aanvallen kunnen worden ingezet. Als straks het Internet of Things werkelijkheid wordt, waarbij er miljarden apparaten online komen, verwacht de IT-beveiliger een exponentiële groei van SSDP-achtige aanvallen. "Recentelijk zijn er meer aanvallen waargenomen die van slimme apparaten worden gelanceerd", zo stellen de onderzoekers van het beveiligingsbedrijf in dit rapport. De reden hiervoor is dat slimme apparaten over een relatief hoge bandbreedte beschikken, vaak niet worden geüpdatet en 24 uur per dag online zijn. "Als slimme apparaten zwakke wachtwoorden of andere kwetsbaarheden hebben, kunnen aanvallers ze gebruiken voor het uitvoeren van DDoS-aanvallen." Onlangs waarschuwde ook beveiligingsbedrijf Arbor Networks voor het gebruik van SSDP voor het versterken van DDoS-aanvallen. bron: security.nl

Aanvallers zijn erin geslaagd het Nederlandse misdaadblog Crimescene te hacken en te gebruiken voor de verspreiding van malware. Daarvoor waarschuwt het Nederlandse beveiligingsbedrijf Redsocks. Volgens onderzoeker Rickey Gevers ontvangt Crimescene maandelijks 300.000 tot 400.000 bezoekers, waarvan "een zeer groot percentage" uit politieagenten bestaat. "Het weblog is met name populair onder criminelen en daarom ook erg interessant voor partijen als politie en justitie. Deze groepen lopen hierdoor een verhoogd risico geïnfecteerd te worden met de betreffende malware", aldus Gevers. Voor Crimescene zijn twee domeinen geregistreerd, die op verschillende manieren de malware verspreiden. De ene website gebruikt een drive-by download, waarbij een bekend beveiligingslek in Java wordt gebruikt om bezoekers met malware te infecteren. De tweede aanval verloopt via een Java-applet dat de malware op de computer probeert te installeren. In het geval de aanval succesvol is wordt de SpyNet Remote Access Trojan (RAT) geïnstalleerd. Via deze vrij eenvoudige malware heeft een aanvaller volledige controle over de computer en kan bijvoorbeeld de webcam van het slachtoffer bedienen. "Het is opmerkelijk dat deze malware juist op deze website wordt ingezet, en dit lijkt een gericht en voor opgezet plan", aldus Gevers. De domeinen van Crimescene worden op verschillende servers gehost, maar op beide servers zijn dezelfde bestanden geplaatst. "Gezien het verwantschap tussen beide sites is het mogelijk dat de websites gehackt zijn en op beide servers hetzelfde wachtwoord is gebruikt, waardoor de aanvaller de betreffende bestanden op beide servers heeft kunnen plaatsen", besluit de onderzoeker. bron: security.nl

De op Tor-gebaseerde e-maildienst SIGAINT heeft gebruikers gewaarschuwd dat het een doelwit van vermoedelijk een inlichtingendienst is geworden, waarbij er in totaal 70 kwaadaardige servers werden ingezet. Ook zou de aanvallende partij de afgelopen maanden verschillende aanvallen tegen de infrastructuur van de dienst hebben uitgevoerd. Volgens de beheerders van SIGAINT zouden de aanvallen echter zijn mislukt. SIGAINT is alleen via het Tor-netwerk toegankelijk en moet journalisten en activisten tegen de grootschalige surveillance op internet beschermen. Op de website sigaint.org staat het adres van de Tor-website waarop SIGAINT te vinden is. Volgens de beheerder heeft de vermeende inlichtingendienst geprobeerd om dit adres aan te passen, zodat ze Man-in-the-Middle-aanvallen op gebruikers konden uitvoeren en hen in real-time konden bespioneren. Waarschijnlijk zijn er dan ook enkele wachtwoorden gestolen, maar zou het de aanvallers hier niet om te doen zijn geweest. "We krijgen minder dan één gebruiker in de drie maanden die klaagt dat zijn of haar account is gekaapt", aldus de beheerder. SIGAINT zou in totaal 42.000 gebruikers hebben. Doordat de e-maildienst van het Tor-netwerk gebruik maakt is het afhankelijk van de servers in het netwerk. Het Tor-netwerk bestaat uit verschillende servers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server, die door vrijwilligers aan het Tor-netwerk wordt toegevoegd, wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. De aanvallers hadden in dit geval 70 van dit soort servers neergezet. Vanwege dit grote aantal vermoedt de beheerder van SIGAINT dat hij het doelwit van een inlichtingendienst is geweest. Hij laat op de Tor-mailinglist weten dat er voor de website sigaint.org een SSL-certificaat gebruikt kan worden om te voorkomen dat de inhoud, en ook het adres van de Tor-website, wordt aangepast. Een inlichtingendienst zou volgens hem ook hierom heen kunnen werken door de sleutel van een certificaatautoriteit uit het betreffende land te gebruiken. De kwaadaardige Tor-servers bleken niet alleen tegen SIGAINT te zijn ingezet, maar ook voor andere dubieuze zaken zijn te gebruikt. Alle 70 servers zijn inmiddels op een blacklist geplaatst. bron: security.nl

Voor eigenaren van een WordPress-sites is er deze week een belangrijke beveiligingsupdate uitgekomen die een kwetsbaarheid verhelpt waardoor een aanvaller de website volledig kan overnemen. Volgens de ontwikkelaars van WordPress gaat het om een kritieke cross-site scriptingkwetsbaarheid waarmee anonieme gebruikers de website kunnen compromitteren. Het lek, dat door de Belgische beveiligingsonderzoeker Cedric van Bockhaven werd ontdekt, is aanwezig in WordPress 4.1.1 en ouder. Naast deze kwetsbaarheid zijn ook drie andere lekken verholpen. De impact van deze lekken zijn echter minder ernstig van aard. De ontwikkelaars van WordPress melden in de aankondiging van de update dat er deze week ook voor verschillende plug-ins beveiligingsupdates zijn uitgebracht. "Hou alles up-to-date om veilig te blijven", zegt Gary Pendergast van WordPress. Ongepatchte plug-ins en WordPress-installaties zijn namelijk een voorname reden waardoor aanvallers websites weten te kapen. Zo bleek eind maart dat duizenden WordPress-websites waren gehackt via een lek in een populaire plug-in waar al geruime tijd een update voor beschikbaar is. De gehackte sites werden vervolgens gebruikt voor de verspreiding van malware. Vanwege de ernst van de nu gepatchte kwetsbaarheid heeft ook het Readiness Team van de Amerikaanse overheid (US-CERT) een waarschuwing afgegeven en adviseert beheerders om naar WordPress 4.1.2 te upgraden. bron: security.nl

Het Tsjechische anti-virusbedrijf AVG heeft een extensie voor Google Chrome ontwikkeld die naar eigen zeggen gebruikers zonder surveillance het internet laat gebruiken. Wat de Crumbe-extensie in werkelijkheid doet is het blokkeren van trackers en cookies die met name adverteerders achterlaten. Dit wordt op zo'n manier gedaan dat het de functionaliteit van websites niet breekt, aldus AVG. In tegenstelling tot andere extensies die gebruikers tegen trackers beschermen maakt Crumble geen gebruik van een blacklist, maar worden de cookies zelf via een algoritme geanalyseerd. Dit zou ervoor moeten zorgen dat nieuwe trackers meteen kunnen worden geblokkeerd zodra ze verschijnen, zonder dat de blacklist eerst moet worden bijgewerkt. Daarnaast vindt er geen onderscheid in de geblokkeerde trackers plaats. Door cookies te blokkeren wordt volgens AVG voorkomen dat adverteerders en trackers internetgebruikers kunnen volgen. Experts hebben echter regelmatig aangetoond dat voor het volgen van internetgebruikers cookies niet zijn vereist. Wel geeft Crumble gebruikers inzicht in de trackers die op een website actief zijn, aangezien de extensie die weergeeft. Crumble bevindt zich nog in de bètafase en is via de Chrome Store te downloaden. bron: security.nl

Net als met de testversie van Internet Explorer 11 is Microsoft ook een beloningsprogramma gestart voor de testversie van de nieuwe browser met de codenaam "Project Spartan", waarbij hackers en onderzoekers worden beloond voor het melden van beveiligingslekken. Het beloningsbedrag varieert van 500 tot 15.000 dollar, hoewel Microsoft stelt dat het de beloning ook kan verhogen afhankelijk van de gevonden kwetsbaarheid en de kwaliteit van de bugmelding. Het programma loopt van 22 april tot en met 22 juni. Op deze manier hoopt Microsoft onderzoekers aan te sporen om lekken in Project Spartan te vinden en te melden voordat de uiteindelijke versie deze zomer verschijnt. Bij IE11 zorgde het beloningsprogramma ervoor dat er meer bugs werden aangemeld dan met de testversie van IE10 het geval was. Naast het beloningsprogramma voor Project Spartan heeft Microsoft ook het "Online Services Bug Bounty Program" uitgebreid. Zo worden kwetsbaarheden in Azure en Sway.com voortaan beloond, waarbij de maximale beloning naar 15.000 dollar is verhoogd. Ook hier kan de beloning hoger uitvallen afhankelijk van de inzending. De hoogste beloningen deelt Microsoft uit voor aanvallen om beveiligingsmethodes in Windows 8.1 en Server 2012 R2 te omzeilen. Hiermee kunnen onderzoekers 100.000 dollar verdienen. Ook dit programma is iets aangepast, waarbij ook "Hyper-V escapes" nu in aanmerking voor een beloning komen. Volgens Microsofts Jason Shirk spelen "bug bounties", zoals de beloningen worden genoemd, een steeds grotere rol bij het vinden van kwetsbaarheden en veiliger maken van software. bron: security.nl

Naast het vaste patchmoment op de tweede dinsdag van elke maand, ook wel patchdinsdag genoemd, publiceert Microsoft ook nog regelmatig optionele Windows-updates die niet security-gerelateerd zijn. Deze optionele patchronde krijgt normaal niet zoveel aandacht, maar dat is deze maand anders. Microsoft heeft namelijk 34 optionele updates voor allerlei zaken uitgebracht. Zo is er ondersteuning voor het kopiëren van mkv-bestanden van een Windowscomputer naar een Windows Phone, is er een fix voor het maken van back-ups op Bluray-schijfjes, is een fout met het aansluiten van twee USB-apparaten verholpen en heeft Microsoft het Secure Channel voor Windows 8.1, RT 8.1 en Server 2012 R2 verbeterd. Ook behoort een foutmelding die ontstond bij het starten van een computer uit slaapmodus verholpen. Alle updates, waarvan de meeste voor Windows 8.1 zijn, zijn via Windows Update te downloaden. bron: security.nl

Een omvangrijke aanval op gebruikers van Adobe Flash Player bleef twee maanden lang verborgen voordat die door beveiligingsonderzoekers werd ontdekt. Voor de aanval maakten de aanvallers gebruik van een onbekende kwetsbaarheid in Flash Player waarvoor Adobe op 4 februari van dit jaar met een update kwam. Anti-virusbedrijf Malwarebytes stelt echter dat het lek al sinds 10 december 2014 werd aangevallen. In tegenstelling tot veel zero days, kwetsbaarheden waarvoor een update ontbreekt, ging het hier niet om gerichte aanvallen tegen specifieke organisaties of instellingen. Er werden juist advertentienetwerken gebruikt om doorsnee internetgebruikers aan te vallen en met ransomware en clickfraude-malware te infecteren. Zodra er een besmette advertentie werd getoond kon de computer van een Flash Player-gebruiker met de malware besmet raken. Voor de verspreiding van de besmette advertenties gebruikten de aanvallers een advertentienetwerk dat naar eigen zeggen meer dan 500 miljoen gebruikers bereikt. Om te voorkomen dat de aanval zou opvallen kreeg elke bezoeker de besmette advertentie slechts één keer te zien en werden gebruikers met een VPN of proxy niet geïnfecteerd. Volgens Malwarebytes probeerden de aanvallers op deze manier de aanval voor beveiligingsonderzoekers en beveiligingssoftware te verbergen. Verder ontdekte de virusbestrijder dat de aanvallers gewoon voor de advertenties betaalden en er geen sprake van gehackte advertentienetwerken was. Er werd 0,75 dollarcent voor 1.000 impressies betaald, maar dit bedrag daalde naar 0,06 dollarcent op minder drukke momenten. De advertenties verschenen daarbij op verschillende populaire websites, zoals Dailymotion.com, Huffingtonpost.com, sexuality.about.com, dictionary.reference.com, answers.com, nydailynews.com, tagged.com, forums.androidcentral.com en howtogeek.com. Malwarebytes stelt dat, getuige de inzet van een zero-day en de uitvoering van de aanval, het hier om een professionele operatie ging. De aanvallen stopten uiteindelijk op 3 februari, een dag nadat Adobe een noodpatch voor het lek had aangekondigd. bron: security.nl

Tijdens de RSA Conferentie in San Francisco heeft Microsoft een nieuwe beveiligingsmaatregel voor Windows 10 aangekondigd die besmetting van computers en laptops door malware moet voorkomen. Met Device Guard, zoals de oplossing heet, kunnen organisaties systemen tegen zowel bekende als onbekende malware en Advanced Persistent Threats (APTs) beschermen, alsmede zero day-aanvallen. Via de beveiligingsmaatregel worden namelijk alleen programma's van specifieke leveranciers, de Windows Store of de eigen organisatie toegestaan. Alle andere software zal Windows 10 blokkeren. Bedrijven kunnen zelf bepalen welke aanbieders Device Guard vertrouwt. De oplossing wordt geleverd met software waarmee het mogelijk is om apps, die niet door de oorspronkelijke leverancier zijn gesigneerd, zelf te signeren, zodat ze toch kunnen worden gebruikt. Om te bepalen of een programma dat wordt uitgevoerd te vertrouwen is gebruikt Device Guard hardwaretechnologie en virtualisatie om die beslissing van de rest van Windows 10 te isoleren, wat bescherming moet bieden tegen aanvallers of malware die volledige systeemrechten hebben weten te krijgen. Volgens Microsoft biedt dit een groot voordeel ten opzichte van traditionele virusscanners en whitelisting-oplossingen zoals AppLocker, die kwetsbaar voor manipulatie door beheerders of malware zijn. Verschillende fabrikanten, waaronder Acer, Fujitsu, HP, Lenovo en Toshiba, hebben toegezegd het gebruik van Device Guard op hun apparatuur aan te ondersteunen. bron: security.nl

We zijn nu twee weken verder. Ik ga er vanuit dat het gelukt is en sluit dit onderwerp. Wil je toch nog reageren, stuur dan even een PM om dit topic te heropenen.

Ik ben bang dat hier toch de videokaart het begeven heeft. Opstarten in de safemodus, start de pc met minimale drivers. De officiële driver wordt dus niet gestart. Vandaar dat je dan wel beeld hebt. Was je een grafisch zwaar spel aan het spelen? Ik krijg namelijk het idee dat warmte hier je videokaart de das heeft omgedaan. Je zou nog even een ander beeldscherm kunnen proberen om uit te sluiten of het het beeldscherm zelf niet is.

Een nieuwe ransomware-variant die eind januari voor het eerst verscheen en de afgelopen maand steeds actiever werd blijkt een fout te maken waardoor slachtoffers zonder te betalen hun bestanden kunnen terughalen. Het gaat om de Threat Finder-ransomware, die zich verspreidt via kwetsbaarheden in Java, Adobe Flash Player en Microsoft Silverlight die niet door internetgebruikers zijn gepatcht. Zodra de ransomware actief is versleutelt die allerlei bestanden en vraagt hier 1,25 bitcoins voor, wat met de huidige wisselkoers 259 euro is. Een onderzoeker van Bleeping Computer ontdekte dat de ransomware de Shadow Volume Copies niet van de computer verwijdert, waardoor het mogelijk is om de bestanden via de "Previous options" van Windows kan herstellen, of via een tool als Shadow Explorer. bron: security.nl

Aanvallers hebben de afgelopen periode zero day-lekken in Adobe Flash Player en Windows gebruikt om bij organisaties in te breken. De kwetsbaarheid in Flash Player is inmiddels gepatcht, maar Microsoft werkt nog aan een update. Volgens beveiligingsbedrijf FireEye gaat het om gerichte aanvallen. Voor het uitvoeren van de aanval moet een doelwit een linkje van de aanvallers openen. Vervolgens wordt er een website geladen die het lek in Flash Player gebruikt om code uit te voeren. Via het Windowslek kunnen de aanvallers vervolgens hun rechten op de computer verhogen. Op het moment van de aanvallen waren beide kwetsbaarheden nog niet gepatcht. Hoewel Windows nog op een update wacht, zouden gebruikers die de meest recente beveiligingsupdate van Flash Player installeren geen risico meer lopen. De aanval op het Windowslek zou namelijk alleen in combinatie met het Flash Player-lek zijn waargenomen, aldus het Amerikaanse FireEye. In het geval de aanval succesvol is wordt er malware op het systeem geïnstalleerd die de aanvallers volledige toegang geeft. Wie erachter de aanval zit is onbekend, maar FireEye noemt het "waarschijnlijk" dat het een Russische spionagegroep is. bron: security.nl

Een beveiligingslek in Adobe Flash Player dat deze week werd gepatcht maakte het mogelijk voor websites om zonder toestemming van bezoekers de webcam en microfoon in te schakelen. Het probleem was aanwezig op alle systemen die Flash Player ondersteunt, zo meldt onderzoeker Jouko Pynnönen. Daarbij maakte het niet uit wat de bezoeker in het configuratiepaneel van Flash Player had ingeschakeld. Via dit paneel kan worden aangegeven dat websites de webcam niet mogen benaderen. Dit kon de aanval echter niet voorkomen. Details over de kwetsbaarheid wil Pynnönen nog niet vrijgeven, aangezien er een potentiële variant van het lek, dat mogelijk in de meest recente versie van Flash Player aanwezig is, wordt onderzocht. Via de kwetsbaarheid is het ook mogelijk om een ander lek aan te roepen, waardoor een aanvaller in het ergste geval de computer kon overnemen. Ook deze kwetsbaarheid werd afgelopen dinsdag verholpen. Ter demonstratie van de webcamaanval maakte de onderzoeker deze video. bron: security.nl

Adware is niet alleen vervelend doordat het overal advertenties laat zien, het vormt ook een serieus beveiligingsrisico. Daarvoor waarschuwt Google. De internetgigant wijst naar verschillende vormen van adware die in staat zijn om SSL-verbindingen te kapen, zoals met Superfish van Lenovo het geval was. De adware voert door het kapen van SSL-verbindingen eigenlijk een Man-in-the-Middle-aanval op gebruikers uit, waardoor er toegang tot persoonlijke informatie kan worden verkregen en de computer kwetsbaar is. In het geval van Superfish en Komodia konden aanvallers bijvoorbeeld phishingsites hosten die geen waarschuwing veroorzaakten en versleuteld verkeer ontsleutelen. Om dit soort risico's te voorkomen adviseert Google gebruikers om voorzichtig te zijn met het downloaden van software van internet. Wanneer er een beveiligde website wordt bezocht, bijvoorbeeld bij internetbankieren, moet er extra aandacht worden gegeven aan vreemde aanpassingen aan de website, zoals extra advertenties, coupons of onderzoeken. "Dit kan een aanwijzing zijn dat je computer met dit soort ongewenste software is geïnfecteerd", zegt Google software-engineer Eric Severance. bron: security.nl

Aanvallers zijn twee keer in korte tijd erin geslaagd om besmette advertenties via Google DoubleClick te verspreiden. De aanval die nu bekend is geworden werd uitgevoerd via een bedrijf genaamd Merchenta, dat een advertentieplatform aanbiedt en directe banden met Google DoubleClick heeft. Via dit platform zou het bedrijf alleen in de VS maandelijks 28 miljard advertentie-impressies leveren. De aanvallers deden zich in dit geval voor als een adverteerder en infiltreerden het platform via een derde partij, zo meldt anti-virusbedrijf Malwarebytes. Daarbij wisten ze de besmette advertentie op het advertentieplatform van Merchenta te krijgen, waarna het werd doorgestuurd naar de kanalen van Google DoubleClick. De besmette advertentie zou binnen minuten een 95% bereik in de VS, Europa en Groot-Brittannië hebben gehad, waarbij een groot aantal mensen risico liep, aldus Malwarebytes. De virusbestrijder merkt op dat DoubleClick niet direct verantwoordelijk is voor het laden van de besmette advertentie, maar dat het begint met de vertrouwensketen met de uitgever, die weinig controle heeft over de transacties die plaatsvinden. De advertentie in kwestie maakte gebruik van een bekende en al gepatchte kwetsbaarheid in Adobe Flash Player om computers met malware te infecteren. Op het moment van de aanval werd de exploit die van het lek misbruik maakte door geen enkele virusscanner herkend. Het ging om dezelfde exploit die onlangs werd gebruikt bij een andere aanvalscampagne, waarbij besmette advertenties onder andere op de website van de Huffington Post verschenen. Het account van de aanvallers werd volgens Merchenta op 10 april opgeheven. Twee dagen eerder waarschuwde het Delftse beveiligingsbedrijf Fox-IT voor een andere aanval die rond dezelfde tijd via DoubleClick plaatsvond. Hierbij werd echter een andere exploitkit gebruikt voor het infecteren van ongepatchte internetgebruikers. bron: security.nl

Gebruikers van Google Chrome op Windows XP zullen tot het einde van dit jaar beveiligingsupdates voor de browser blijven ontvangen, zo heeft Google aangekondigd. Microsoft stopte vorig jaar april de ondersteuning van Windows XP. Google liet destijds weten dat het Chrome in ieder geval tot april 2015 zou blijven ondersteunen. Volgens de internetgigant zouden het juist ongepatchte browserlekken zijn waardoor internetgebruikers werden aangevallen. Inmiddels wordt Windows XP al een jaar niet meer met beveiligingsupdates ondersteund en lopen gebruikers van het besturingssysteem vanwege allerlei ongepatchte kritieke lekken verhoogd risico op malware, wat het lastig voor Google Chrome maakt om een veilige internetomgeving te bieden. Google adviseert XP-gebruikers dan ook om te upgraden naar een besturingssysteem dat wel wordt ondersteund. Toch erkent de internetgigant dat het upgraden niet voor iedereen zo eenvoudig is en er dagelijks nog miljoenen mensen met Windows XP werken. "We willen dat die mensen de keuze hebben om een browser te gebruiken die up-to-date en zo veilig als mogelijk is op een niet meer ondersteund besturingssysteem", zegt Mark Larson, directeur Engineering Google Chrome. Daarom zal Google tot eind 2015 nog steeds regelmatig beveiligingsupdates voor Chrome op XP uitbrengen. bron: security.nl

De hoeveelheid adware waarmee doorsnee internetgebruikers te maken hebben heeft inmiddels zulke proporties aangenomen dat Mozilla geen andere mogelijkheden ziet dan de vrijheid van Firefoxgebruikers iets in te perken. Deze zomer zal Mozilla alleen nog de installatie van gesigneerde uitbreidingen toestaan. Eén van de sterke kanten van Firefox is de mogelijkheid om uitbreidingen te ondersteunen. Uitbreidingen die zowel via Mozilla's eigen website addons.mozilla.org (AMO) als andere kanalen kunnen worden verspreid. Dit geeft ontwikkelaars veel flexibiliteit en mogelijkheden, maar biedt ook rotte appels een kans. "Het is hartverscheurend dat er zoveel kwaadaardige ontwikkelaars in de wereld zijn die misbruik van anderen willen maken", zegt Daniel Veditz van Mozilla. Hij merkt op dat de manier waarop meer technische gebruikers het internet ervaren volledig verschilt van doorsnee gebruikers. Zo zijn er tientallen miljoenen mensen bij wie allerlei toolbars en extensies zijn geïnstalleerd zonder dat ze hier hun nadrukkelijke toestemming voor hebben gegeven. Bij het downloaden van software lopen deze gebruikers het risico op nieuwe toolbars en uitbreidingen, die vaak advertenties tonen, gebruikers volgen en content wijzigen. "Hun internetervaring wordt bepaald door deze third-party add-ons op manieren waarvoor ze niet hebben gekozen en waar de derde partij van profiteert en niet de gebruiker", laat Veditz weten. In de standaardversie van Firefox zullen daarom straks alleen nog gesigneerde extensies worden geaccepteerd. "We hebben dezelfde conclusie bereikt als soortgelijke ecosystemen dat er een scheidsrechter moet zijn die voor de belangen van de gebruiker opkomt", zo stelt de Mozilla-ontwikkelaar. Volgens Veditz kunnen gebruikers nog steeds hun eigen online ervaring via add-ons en extensies bepalen en voor veruit de meeste Firefoxgebruikers zal er niets veranderen. Wel zal de beslissing van Mozilla een extra belasting voor extensie-ontwikkelaars zijn. Veel ontwikkelaars vroegen Mozilla dan ook waarom deze vereiste niet via opties of instellingen kan worden geregeld. Veditz stelt dat het onmogelijk is om die beslissing op te slaan op een plek waar de adware niet bij kan komen. bron: security.nl

Een beveiligingslek in Windows dat afgelopen dinsdag door Microsoft werd gepatcht vormt een risico voor 70 miljoen websites, zo claimt internetbedrijf Netcraft. Het gaat om een kwetsbaarheid in Microsoft's HTTP-protocol stack, ook bekend als HTTP.sys. Door het versturen van een speciaal HTTP-verzoek kan een aanvaller kwetsbare Windowscomputers overnemen. Het gaat dan met name om webservers die op Windows draaien. Vanwege de impact van het lek besloot onderzoeker Robert Graham een scan naar het aantal kwetsbare machines uit te voeren. De scan gaf geen duidelijk beeld, aangezien servers die kwetsbaar zijn als niet kwetsbaar werden aangemerkt. Uit eigen onderzoek van Netcraft blijkt dat meer dan 70 miljoen websites risico lopen, waaronder Microsoft IIS-server die zich achter niet-Windows loadbalancers bevinden. "Het totale aantal servers dat bij de hosting van deze websites betrokken is bedraagt zo'n 900.000, wat meer dan een zesde is van alle computers die via het web toegankelijk zijn", zegt Paul Mutton van Netcraft. Hij roept systeembeheerders dan ook op om de update zo snel als mogelijk te installeren. bron: security.nl