Captain Kirk

Ik heb jaren met Pinnacle gewerkt en had toen ook al last van dit probleem. Wanneer je een beetje Google-t, kom je op meerdere fora mensen met dit probleem tegen. Er worden wel wat mogelijke oplossingen besproken, maar deze helpen niet of maar een beetje. Het lijkt een vaak voorkomend probleem te zijn waar niet echt een oplossing voor is. Ik hoop dat je de licentiesleutel weer naar voren kunt toveren en dat dan een nieuwe installatie wel het probleem voor je op zal lossen. Hou ons op de hoogte.

De criminelen achter de Qilin-ransomware stelen bij aangevallen bedrijven en organisaties wachtwoorden van besmette machines. Het gaat dan specifiek om inloggegevens die door medewerkers in Google Chrome zijn opgeslagen. Dat laat antivirusbedrijf Sophos weten. De virusbestrijder roept op om geen wachtwoorden in de browser op te slaan en een aparte wachtwoordmanager te gebruiken. Net als veel andere ransomwaregroepen steelt ook de Qilin-groep eerst allerlei data van organisaties, voordat systemen worden versleuteld. Onlangs onderzocht Sophos een aanval op een organisatie. De aanvallers hadden door middel van gecompromitteerde VPN-inloggegevens toegang tot de organisatie gekregen. De niet nader genoemde VPN-oplossing maakte geen gebruik van multifactorauthenticatie. Nadat de aanvallers toegang hadden voerden ze een script uit waarmee van alle op het netwerk aangesloten machines de in Google Chrome opgeslagen wachtwoorden werden gestolen. Hierna werden alle hierbij gebruikte bestanden en event logs van zowel de domeincontroller als besmette machines verwijderd. Volgens het antivirusbedrijf werd dit gedaan om het lastiger te maken om de omvang van de datadiefstal te bepalen. Nadat het bewijs was verwijderd werden op de systemen alle bestanden versleuteld en de 'ransom note' achtergelaten. "Een dergelijke succesvolle aanval houdt in dat verdedigers niet alleen alle Active Directory-wachtwoorden moeten wijzigen, maar ook (in theorie) eindgebruikers moeten vragen om hun websites voor tientallen, mogelijk honderden, third-party sites aan te passen waarvoor gebruikers hun inloggegevens in de Chrome-browser hebben opgeslagen", zegt Lee Kirkpatrick van Sophos. Hij adviseert organisaties om van aparte wachtwoordmanager-applicaties gebruik te maken. "Het is keer op keer bewezen dat het gebruik van een browser-gebaseerde wachtwoordmanager onveilig is." bron: https://www.security.nl

WordPress-sites aangevallen via kritiek lek in LiteSpeed Cache Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache voor het aanvallen van WordPress-sites, zo waarschuwt securitybedrijf Wordfence. Miljoenen websites hebben de update waarmee het probleem wordt verholpen nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. Afgelopen woensdag liet Wordfence al weten dat het op korte termijn misbruik van de kwetsbaarheid verwachtte. In het eigen dashboard meldt het securitybedrijf dat het de afgelopen 24 uur bijna dertigduizend aanvallen heeft geblokkeerd waarbij aanvallers via het beveiligingslek WordPress-sites probeerden aan te vallen. Beheerders die de update nog niet geïnstalleerd hebben worden opgeroepen dit te doen. Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache voor het aanvallen van WordPress-sites, zo waarschuwt securitybedrijf Wordfence. Miljoenen websites hebben de update waarmee het probleem wordt verholpen nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. Afgelopen woensdag liet Wordfence al weten dat het op korte termijn misbruik van de kwetsbaarheid verwachtte. In het eigen dashboard meldt het securitybedrijf dat het de afgelopen 24 uur bijna dertigduizend aanvallen heeft geblokkeerd waarbij aanvallers via het beveiligingslek WordPress-sites probeerden aan te vallen. Beheerders die de update nog niet geïnstalleerd hebben worden opgeroepen dit te doen.

De helpdesksoftware van SolarWinds is kwetsbaar door de aanwezigheid van een hardcoded credential, waardoor een ongeauthenticeerde aanvaller toegang tot het systeem kan krijgen en data kan aanpassen. Het gaat om een kritiek beveiligingslek waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.1. SolarWinds Web Help Desk is webgebaseerde helpdesksoftware waarmee organisaties verzoeken van hun medewerkers of gebruikers kunnen afhandelen. SolarWinds kwam vandaag met een beveiligingsbulletin dat er een update voor de kwetsbaarheid beschikbaar is, die wordt aangeduid als CVE-2024-28987. Details over het lek zijn verder niet gegeven. Het probleem is verholpen in versie 12.8.3 HF2. Een week geleden waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security voor actief misbruik van een andere kwetsbaarheid (CVE-2024-28986) in de helpdesksoftware. bron: https://www.security.nl

Google waarschuwt voor een kwetsbaarheid in Chrome waar aanvallers actief misbruik van maken en heeft gisterenavond updates uitgebracht om het probleem te verhelpen. Misbruik van het beveiligingslek vond al voor het uitkomen van de patches plaats. De kwetsbaarheid in V8 werd gevonden en gerapporteerd door Microsoft. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Het afgelopen jaar zijn er al meerdere actief aangevallen kwetsbaarheden in V8 gevonden en gepatcht. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Het probleem werd op 19 augustus door Microsoft aan Google gemeld. Het is al de zesde keer dit jaar dat Google actief aangevallen Chrome-kwetsbaarheden patcht. Google Chrome 128.0.6613.84/.85 is beschikbaar voor macOS en Windows. Voor Linux is versie 128.0.6613.84 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Microsoft maakt de omstreden Windows-feature Recall in oktober beschikbaar voor Windows Insiders. In juni kreeg Microsoft felle kritiek te verduren van beveiligings- en privacyexperts, die voor de gevolgen van Recall waarschuwden. Recall is een nieuwe 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Microsoft omschrijft het als een 'fotografisch geheugen'. Experts gebruikten de term keylogger en privacynachtmerrie. Vanwege de felle kritiek kondigde Microsoft aan dat het Recall opt-in ging maken, in plaats van standaard in te schakelen. Daarnaast werd ook de release uitgesteld. Nu laat het techbedrijf weten dat Recall in oktober beschikbaar komt voor Windows Insiders. Microsoft stelt dat security de "topprioriteit" van het bedrijf blijft en het bij de uitrol van Recall met meer details komt. bron: https://www.security.nl

Miljoenen WordPress-sites lopen het risico om via een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache door aanvallers te worden overgenomen. Een update is beschikbaar, maar een groot aantal websites heeft die nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. Daarvoor waarschuwt securitybedrijf Wordfence dat op korte termijn actief misbruik van het beveiligingslek verwacht. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. In de dagen na het uitkomen van de update werd die door zo'n anderhalf miljoen WordPress-sites geïnstalleerd, zo blijkt uit cijfers van WordPress.org, wat inhoudt dat nog miljoenen sites kwetsbaar zijn en risico lopen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in GitHub Enterprise Server maakt het voor ongeauthenticeerde aanvallers mogelijk om kwetsbare servers op afstand over te nemen. GitHub heeft updates uitgebacht om het probleem te verhelpen. GitHub Enterprise Server is een self-hosted platform voor softwareontwikkeling binnen een organisatie. Via het platform is het mogelijk om software te ontwikkelen en leveren. Toegang kan onder andere worden geregeld door middel van SAML (Security Assertion Markup Language) single sign-on (SSO) via een identiteitsprovider. Een "XML signature wrapping" kwetsbaarheid bij enterprise servers die van SAML-authenticatie met bepaalde identiteitsproviders gebruikmaken zorgt ervoor dat een ongeauthenticeerde aanvaller met toegang tot de server, SAML-responses kan vervalsen om zo toegang te krijgen tot een gebruiker met beheerdersrechten. Misbruik van het beveiligingslek zorgt ervoor dat een aanvaller zonder eerst in te loggen ongeautoriseerde toegang kan krijgen, aldus de beschrijving van het lek. De impact van de kwetsbaarheid (CVE-2024-6800) is op een schaal van 1 tot en met 10 beoordeeld met een 9.5. Het probleem is verholpen in versies 3.13.3, 3.12.8, 3.11.14 en 3.10.16. bron: https://www.security.nl

Tienduizenden WordPress-sites lopen door een kritieke kwetsbaarheid in donatieplug-in GiveWP het risico om door aanvallers te worden overgenomen. Via GiveWP kunnen WordPress-sites donaties ontvangen of een fundraiser opzetten. Meer dan honderdduizend WordPress-sites maken gebruik van de plug-in. Een kwetsbaarheid in de plug-in zorgt ervoor dat een aanvaller door middel van ongeauthenticeerde ' PHP object Injection' op afstand willekeurige code op het systeem kan uitvoeren. Bij PHP object Injection wordt gebruikersinvoer niet goed gesanitized, waardoor het mogelijk is om een payload te injecteren die een PHP object wordt, aldus securitybedrijf Wordfence. In het geval van de kwetsbaarheid in GiveWP kan een aanvaller willekeurige code uitvoeren, willekeurige bestanden verwijderen waaronder de WordPress-configuratie en een kwetsbare website overnemen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Wordfence waarschuwde de ontwikkelaar op 13 juni, maar kreeg geen reactie. Op 28 juni volgde een tweede poging. Deze tweede poging had ook geen resultaat, waarop op 6 juli het securityteam van WordPress.org werd gewaarschuwd. Op 7 augustus kwam de ontwikkelaar met versie 3.14.2 waarin het probleem is verholpen. Gebaseerd op cijfers van WordPress.org over het aantal WordPress-sites dat beschikbare updates installeert, blijkt dat meer dan veertigduizend sites niet up-to-date zijn en risico op aanvallen lopen. bron: https://www.security.nl

Aanvallers hebben sinds juni een kwetsbaarheid in Windows gebruikt voor de installatie van een rootkit, zo stelt securitybedrijf Gen Digital. Microsoft rolde vorige week dinsdag een beveiligingsupdate uit om het probleem te verhelpen. Via het beveiligingslek in de Windows Ancillary Function Driver, aangeduid als CVE-2024-38193, kan een aanvaller die al toegang tot een systeem heeft SYSTEM-rechten krijgen. Deze rechten gebruikten de aanvallers voor de installatie van de FudModule-rootkit, waarmee de aanvallers hun activiteiten voor aanwezige beveiligingssoftware kunnen verbergen, aldus het securitybedrijf. Ook kan de rootkit aanwezige antivirus- en monitoringssoftware uitschakelen. "De kwetsbaarheid liet aanvallers normale beveiligingsbeperkingen omzeilen en gevoelige systeemgebieden bereiken die die meeste gebruikers en systeembeheerders niet kunnen bereiken", zegt Emma Brownstein van Gen Digital, waar onder andere Norton, Avast, Avira, AVG en CCleaner deel van uitmaken. Het is niet voor het eerst dat aanvallers voor de installatie van de FudModule-rootkit een kwetsbaarheid in Windows gebruiken waar op het moment van de aanval geen update voor beschikbaar is. Dat gebeurde ook al eerder dit jaar. Volgens Gen Digital zit de Noord-Koreaanse Lazarus Group achter de aanvallen. De groep wordt verantwoordelijk gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. Daarnaast zou de groep honderden miljoenen euro's aan cryptovaluta bij cryptobeurzen en -bedrijven hebben gestolen. bron: https://www.security.nl

QNAP heeft een nieuwe versie van QTS uitgebracht, die NAS-apparaten tegen ransomware moet beschermen. QTS is het besturingssysteem dat op de NAS-apparaten van QNAP draait. Met QTS 5.2 is er een nieuwe feature toegevoegd die bestanden actief monitort op verdacht gedrag. Wanneer 'verdacht bestandsgedrag' wordt gedetecteerd zal het systeem bestanden back-uppen of de bestandsactiviteit blokkeren. Het gaat onder andere om het activeren van een read-only mode en het maken van een snapshot. Daarnaast wordt de gebruiker gewaarschuwd. Gebruikers kunnen de beveiligingsmaatregelen tegen ransomware of menselijke fouten aanpassen, om zo het risico op dataverlies te voorkomen wanneer ongewone bestandsactiviteiten zich voordoen. Via een dashboard kunnen gebruikers ook zien hoe vaak bestanden op hun NAS worden aangepast, aangemaakt of verwijderd. De feature moet risico's van ransomware of menselijke fouten tegengaan, aldus QNAP. De afgelopen jaren zijn NAS-apparaten van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Hierbij werden bestanden op tienduizenden NAS-apparaten versleuteld en moesten gebruikers losgeld betalen om weer toegang tot hun data te krijgen. Om toegang tot de systemen te krijgen maakten de aanvallers gebruik van bekende kwetsbaarheden waarvoor updates beschikbaar waren, maar die niet door gebruikers waren geïnstalleerd, maar ook zerodaylekken waar geen patches voor waren ontwikkeld. bron: https://www.security.nl

Verschillende kritieke kwetsbaarheden in digitale leeromgeving Moodle maken het mogelijk voor een aanvaller om op afstand malafide code uit te voeren, beheerderstaken uit te voeren, informatie te achterhalen, data aan te passen of beveiligingsmaatregelen te omzeilen. De makers hebben updates uitgebracht waarmee de in totaal zestien kwetsbaarheden zijn verholpen. Moodle is een gratis open source leermanagementsysteem (LMS) dat wereldwijd door onderwijsinstellingen wordt gebruikt. Meerdere van de kwetsbaarheden zijn aangemerkt als 'serious', waaronder één die remote code execution mogelijk maakt, alsmede een IDOR-kwetsbaarheid en de mogelijkheid om willekeurige bestanden te lezen. De Duitse overheid adviseert beheerders om de updates tijdig te installeren. bron: https://www.security.nl

Verschillende Microsoft-apps voor macOS laten een aanvaller meeliften op gegeven permissies, om bijvoorbeeld zonder gebruikersinteractie toegang tot de camera te krijgen of e-mails te versturen, en hoewel Microsoft is ingelicht, zijn de problemen niet verholpen, zo laat Cisco weten. De problemen werden in acht Microsoft-apps gevonden, maar zijn nog aanwezig in Microsoft Excel, Outlook, PowerPoint en Word. Een malafide app op het systeem kan hier misbruik van maken en zo de permissies gebruiken die de Microsoft-apps hebben. Dit is mogelijk doordat een aanvaller via de malafide app in de processen van de Microsoft-applicaties een library kan injecteren. Deze library krijgt dan alle permissies die de applicatieprocessen hebben. "Een aanvaller zou bijvoorbeeld e-mails via het gebruikersaccount kunnen versturen zonder dat de gebruiker dit opmerkt, audio opnemen, foto's maken of video's opnemen, allemaal zonder enige gebruikersinteractie", aldus Cisco. De applicaties van Microsoft maken wel gebruik van bescherming tegen 'library injection'-aanvallen, maar ze hebben ook een optie ingeschakeld genaamd 'com.apple.security.cs.disable-library-validation'. Dit kan bijvoorbeeld nodig zijn voor het laden van plug-ins, maar zorgt er ook voor dat een aanvaller zijn code kan injecteren. Cisco vond dit probleem bij acht Microsoft-applicaties. Het techbedrijf heeft bij vier applicaties de optie verwijderd. Excel, Outlook, PowerPoint en Word zijn echter nog kwetsbaar. bron: https://www.security.nl

Er is een nieuwe versie van encryptiesoftware VeraCrypt verschenen die gebruikers waarschuwt voor een kwetsbare XTS master key. In de waarschuwing staat dat de master key van het versleutelde volume kwetsbaar voor een aanval is die de dataveiligheid compromitteert. Vervolgens worden gebruikers opgeroepen een nieuw versleuteld volume aan te maken en daar alle data naar toe te verplaatsen. In de waarschuwing staat geen verdere informatie over het soort aanval. Naast de detectie van kwetsbare XTS master keys zijn in VeraCrypt 1.26.13 ook verschillende andere aanpassingen doorgevoerd. Het gaat daarbij ook om specifieke fixes voor de Windows-, Linux-, macOS- en FreeBSD-versies. VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Via de software is het mogelijk om harde schijven te versleutelen, maar ook losse versleutelde containers te maken. bron: https://www.security.nl

Een ransomwaregroep gebruikt een malafide Windows-updatescherm voor het stelen van data van AnyDesk-gebruikers. Dat laat antivirusbedrijf Sophos in een analyse weten. Volgens de virusbestrijder gebruikt de ransomwaregroep, met de naam Mad Liberator, social engineering om toegang te krijgen tot organisaties die met AnyDesk werken. Via deze software is het mogelijk om computers op afstand te beheren. Het wordt onder andere door it-afdelingen en helpdesks gebruikt. AnyDesk maakt voor elk apparaat waarop het is geïnstalleerd gebruik van een een negen- of tiencijferige unieke id-code. Het is mogelijk voor een remote gebruiker om toegang tot een AnyDesk-systeem te krijgen door de betreffende id-code invoeren. De gebruiker van het systeem krijgt dan een pop-up om de verbinding goed te keuren. Pas als de gebruiker deze goedkeuring geeft wordt zijn systeem door de remote gebruiker op afstand overgenomen. Bij een aanval die Sophos onderzocht wist de ransomwaregroep deze verbinding goedgekeurd te krijgen, maar hoe dit precies is gegaan kan het antivirusbedrijf niet zeggen. Wel is duidelijk dat de aanvallers nadat ze toegang tot het systeem hadden een programma uitvoerden dat een malafide Windows-updatescherm liet zien. Hierdoor dacht de gebruiker van het systeem dat er een update werd uitgevoerd. Om te voorkomen dat de gebruiker via de Esc-knop dit programma zou beëindigen hadden de aanvallers gebruikersinvoer via keyboard en muis uitgeschakeld. Terwijl de gebruiker het malafide updatescherm te zien kreeg werd in de achtergrond het OneDrive-account van de gebruiker benaderd, alsmede bestanden op een gedeelde netwerkmap die vervolgens via AnyDesk werden gestolen. De aanvallers lieten vervolgens een notitie achter waarin ze dreigden de bestanden openbaar te maken tenzij er losgeld werd betaald. De getroffen organisatie maakt gebruik van AnyDesk, waardoor de betreffende gebruiker dacht dat het om een legitiem verzoek van de it-afdeling ging. Naast het onderwijzen van gebruikers over dergelijke socialengineering-aanvallen krijgen organisaties het advies om Anydesk Access Control Lists te implementeren, om alleen toegang van bepaalde systemen toe te staan. Onlangs claimde de ransomwaregroep nog een aanval op het Nederlandse COIN bv. bron: https://www.security.nl

Microsoft is twee maandenlang vergeten te melden dat er een actief aangevallen kwetsbaarheid in Windows zat waarvoor het een patch had uitgebracht. Via het beveiligingslek was het mogelijk om de SmartScreen-beveiligingsfeature te omzeilen. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows SmartScreen een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-38213) zorgt ervoor dat de waarschuwing niet verschijnt. Dit beveiligingslek werd eerder dit jaar door Trend Micro aan Microsoft gerapporteerd. De virusbestrijder ontdekte in maart dat criminelen actief misbruik van de kwetsbaarheid maakten om gebruikers door middel van 'copy-paste' operaties met malware te infecteren. Het probleem deed zich voor bij Web-based Distributed Authoring and Versioning (WebDAV). Via WebDAV is het mogelijk om bestanden op servers te bekijken en delen. De criminelen wisten gebruikers zo ver te krijgen om een bestand in een WebDAV share naar hun eigen systeem te kopieren en daarna uit te voeren. "Helaas hebben aanvallers ontdekt dat Windows niet altijd goed het Mark-of-the-Web aan bestanden toekent die via WebDAV worden aangeboden", aldus Peter Girnus van ZDI, een onderdeel van Trend Micro. Eerder dit jaar werd al een soortgelijke kwetsbaarheid ontdekt (CVE-2024-21412) In juni kwam Microsoft met een beveiligingsupdate voor het probleem, waardoor bestanden die vanaf een WebDAV share worden gecopypastet wel een Mark-of-the-Web krijgen. Het bestaan van de kwetsbaarheid en update werden echter niet aan gebruikers gemeld. Dat gebeurde pas aflopen dinsdag, twee maanden later. Hoe het kon dat deze informatie werd vergeten laat Microsoft niet weten. bron: https://www.security.nl

Microsoft heeft een testversie van de nieuwe Windows Sanbox voor Windows 11 uitgerold die over meer opties beschikt voor het uitwisselen van data tussen de host en de sandbox. De Windows Sandbox biedt een 'lichtgewicht desktopomgeving' voor het uitvoeren van applicaties. Software die binnen de sandbox wordt geïnstalleerd blijft binnen de sandbox en draait gescheiden van de host-machine, aldus de uitleg van Microsoft. De sandbox is daarnaast tijdelijk. Wanneer die wordt gesloten zullen ook alle software en bestanden worden verwijderd. Voor Windows 11 werkt Microsoft aan een nieuwe versie van de sandbox. Deze versie biedt de mogelijkheid om bijvoorbeeld informatie via het clipboard tussen de host en sandbox uit te wisselen. Ook de mogelijkheid om mappen te delen is nu beschikbaar, alsmede 'audio/video input control'. Verder beschikt de nu uitgebrachte testversie over een 'supervroege' versie van command line support. De Windows Sandbox Client Preview is beschikbaar via Windows 11 Insider Preview Build 27686. bron: https://www.security.nl

De Belgische consumentenorganisatie Testaankoop heeft bij de Gegevensbeschermingsautoriteit (GBA) een klacht ingediend over het nieuwe privacybeleid van LinkedIn. In het nieuwe beleid geeft LinkedIn zichzelf toestemming om gegevens, foto’s en privéberichten te gebruiken zonder zijn gebruikers daarvan op de hoogte te brengen wat in strijd met de AVG en Belgische wetgeving is, aldus Testaankoop. Dat wil dat de Belgische privacytoezichthouder nu optreedt. Eind maart heeft LinkedIn het privacybeleid gewijzigd. Volgens Testaankoop verbergt LinkedIn bewust voor zijn gebruikers dat het persoonlijke gegevens gebruikt om zijn eigen AI-tools te ontwikkelen. "Zonder je toestemming te vragen, eigent LinkedIn zich het recht toe om al je zoekopdrachten, foto's, posts en zelfs je privéberichten te gebruiken om zijn artificiële intelligentie te trainen. Dat vinden wij niet kunnen en dus hebben we een klacht ingediend”, zegt Laura Clays, woordvoerder van Testaankoop. De Consumentenorganisatie wijst erop dat de AVG bepaalt dat alle wijzigingen in de verwerking van persoonsgegevens duidelijk en transparant moeten worden aangekondigd, en dat er altijd een recht van bezwaar moet zijn om gebruikers in staat te stellen het gebruik van hun gegevens te weigeren. "Wat LinkedIn doet is niet wettelijk. Het platform geeft aan dat gebruikers die bezwaar willen maken tegen een wijziging in het privacybeleid simpelweg hun account moeten verwijderen. Voor de vorm bestaat er wel een formulier om je bezwaar te uiten, maar de klantendienst reageert daar niet op, waardoor het niet effectief is", laat Testaankoop verder weten. Volgens Clays was het eerst Meta dat probeerde om gegevens van gebruikers zonder hun toestemming te gebruiken en blijkt nu LinkedIn dit al langer te doen. "Dit soort situaties zijn onaanvaardbaar en we roepen de Belgische Gegevensbeschermingsautoriteit dan ook op om meer toezicht te houden. Privacybescherming mag geen Far West worden, waarbij dit soort platformen maar doen wat ze willen met de data van hun gebruikers. Het belang van AI mag geen vrijgeleide zijn om zomaar regels met de voeten te treden." bron: https://www.security.nl

Organisaties Citizen Lab en Access Now waarschuwen vandaag voor spearphishing-aanvallen waarbij 'versleutelde' en 'beveiligde' pdf-bestanden worden gebruikt om slachtoffers naar phishingsites te lokken die inloggegevens voor Proton- en Google-accounts proberen te stelen. Volgens de twee organisaties zijn de aanvallen uitgevoerd door twee groepen genaamd Coldriver en Coldwastrel. De eerste groep zou aan de Russische geheime dienst FSB zijn gelieerd. De aanvallen zijn gericht tegen maatschappelijke organisaties en internationale NGO's. De aanvallers versturen e-mails die afkomstig lijken van personen die het doelwit kent, waarbij van e-mailadressen gebruik wordt gemaakt die op één karakter na hetzelfde zijn. De e-mails bevatten een pdf-bestand dat wanneer geopend claimt dat er moet worden ingelogd om de inhoud te bekijken. Het pdf-bestand bevat hiervoor een link die naar de phishingpagina wijst. Volgens onderzoekers van Citizen Lab en Access Now is het belangrijk om alert te zijn op 'versleutelde' en 'beveiligde' pdf-bestanden. Daarnaast adviseren ze het 'correct gebruik' van tweefactorauthenticatie (2FA). Sommige van de slachtoffers hadden 2FA ingeschakeld, maar werden verleid om hun 2FA-codes in te voeren. Met name het gebruik van sms-gebaseerde 2FA wordt riskant genoemd. De onderzoekers adviseren het gebruik van security keys en passkeys als 2FA-methode. bron: https://www.security.nl

Microsoft verwacht dat aanvallers misbruik zullen maken van een kritieke TCP/IP-kwetsbaarheid in Windows waardoor remote code execution zonder enige interactie van gebruikers mogelijk is. Volgens securitybedrijf ZDI kan via het beveiligingslek een computerworm worden verspreid. De kwetsbaarheid, aangeduid als CVE-2024-38063, laat een ongeauthenticeerde aanvaller willekeurige code op systemen uitvoeren, zonder dat hier enige interactie van gebruikers voor is vereist. Het versturen van speciaal geprepareerde IPv6-pakketten volstaat. Systemen waarop IPv6 staat uitgeschakeld zijn dan ook niet kwetsbaar, aldus Microsoft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Je kunt IPv6 uitschakelen om misbruik te voorkomen, maar IPv6 staat bijna op alles standaard ingeschakeld", zegt Dustin Childs van ZDI. Wat de kans op misbruik betreft heeft Microsoft dit als 'more likely' ingeschat. Het techbedrijf kwam gisterenavond met updates voor de kwetsbaarheid, die op de meeste systemen automatisch worden geïnstalleerd. Het probleem was gerapporteerd door een onderzoeker van cybersecuritybedrijf Cyber KunLun. bron: https://www.security.nl

Tijdens de patchdinsdag van augustus heeft Microsoft zes kwetsbaarheden in Office en Windows verholpen die actief zijn misbruikt voordat de updates beschikbaar waren. Drie van de beveiligingslekken maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Twee maken remote code execution mogelijk en de laatste kwetsbaarheid betreft een 'Security Feature Bypass' in Windows Mark of the Web. De eerste kwetsbaarheid (CVE-2024-38189) waardoor een aanvaller willekeurige code kan uitvoeren is aanwezig in Microsoft Project. Door een doelwit een malafide Microsoft Office Project-bestand te laten openen is remote code execution (RCE) mogelijk. Dit probleem raakt Microsoft Office LTSC 2021, Microsoft Project 2016, Microsoft 365 Apps for Enterprise en Microsoft Office 2019. De tweede RCE-kwetsbaarheid is aanwezig in de scripting engine van Windows. Misbruik vereist volgens Microsoft dat een aanvaller er eerst voor zorgt dat het doelwit Edge in Internet Explorer-mode gebruikt. Vervolgens moet er een speciaal geprepareerde link worden geopend. Dit beveiligingslek (CVE-2024-38178) werd door het Zuid-Koreaanse National Cyber Security Center (NCSC) en antivirusbedrijf AhnLab aan Microsoft gerapporteerd. Dan zijn er drie kwetsbaarheden waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen tot die van SYSTEM. Het gaat om problemen in Windows Ancillary Function Driver for WinSoc (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107) en de Windows-kernel (CVE-2024-38106). De laatste actief aangevallen kwetsbaarheid die Microsoft deze maand heeft opgelost bevindt zich in de Mark of the Web-feature van Windows. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-38213) zorgt ervoor dat de waarschuwing niet verschijnt. Dit beveiligingslek werd door Trend Micro aan Microsoft gerapporteerd. Naast de zes actief aangevallen kwetsbaarheden zijn er ook vier beveiligingslekken verholpen waarvan details al voor het uitkomen van de update openbaar waren, maar waarvan Microsoft zegt dat er geen misbruik is waargenomen. Het gaat om problemen in Microsoft Office (CVE-2024-38200) en Windows (CVE-2024-38199, CVE-2024-21302 en CVE-2024-38202), waardoor spoofing, remote code execution en het verhogen van rechten mogelijk is. Het totaal aantal gepatchte kwetsbaarheden bedraagt deze maand negentig. Geen van de aangevallen of al eerder openbaar gemaakte beveiligingslekken zijn als kritiek aangemerkt. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Softwarebedrijf Ivanti heeft vandaag beveiligingsupdates uitgebracht voor kritieke kwetsbaarheden in Ivanti Neurons for IT Service Management (ITSM) en Ivanti Virtual Traffic Manager en on-premise klanten worden opgeroepen die meteen te installeren. Neurons for ITSM is een oplossing voor het ondersteunen van helpdesks. Via de kwetsbaarheid in de oplossing (CVE-2024-7569) kan een ongeauthenticeerde aanvaller authenticatiegegevens stelen die in debug-informatie zijn te vinden. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Ivanti Virtual Traffic Manager is een oplossing voor application delivery en load balancing. Een incorrecte implementatie van een authenticatie-algoritme zorgt ervoor dat een ongeauthenticeerde aanvaller de authenticatie van het beheerderspaneel kan omzeilen om vervolgens zelf een beheerder te kunnen aanmaken. De impact van dit lek (CVE-2024-7593) is beoordeeld met een 9.8. Misbruik is nog niet waargenomen. Wel is voor dit beveiligingslek proof-of-concept exploitcode beschikbaar. Voor twee versies van Virtual Traffic Manager is er een update beschikbaar. Voor vier andere versies verschijnen de patches volgende week. Kwetsbaarheden in oplossingen van Ivanti zijn in het verleden geregeld misbruikt bij aanvallen. bron: https://www.security.nl

MDM-leverancier Mobile Guardian is weken voor een grote aanval, waarbij de iPads en Chromebooks van zeker dertienduizend studenten en leerlingen werden gewist en daardoor maanden of soms jaren aan werk verloren, gewaarschuwd voor een kritieke kwetsbaarheid. Volgens het Singaporese ministerie van Onderwijs, dat een grote klant van Mobile Guardian is, werd dit beveiligingslek voor de aanval van begin augustus gepatcht. De persoon die het probleem ontdekte is echter bang dat er meer van dergelijke kwetsbaarheden in de oplossing aanwezig zijn. Mobile Guardian levert een mobile device management (MDM)-oplossing voor onderwijsinstellingen, die daarmee bijvoorbeeld de iPads en Chromebooks van hun leerlingen en studenten op afstand kunnen beheren. Het bedrijf zegt wereldwijd duizenden scholen als klant te hebben. Begin deze maand vond er een aanval plaats waarbij zeker dertienduizend iPads en Chromebooks van leerlingen van 26 Singapore scholen werden gewist. Of ook onderwijsinstellingen in andere landen zijn getroffen is onbekend. Een dag na de aanval publiceerde iemand op Reddit een bericht waarin wordt gesteld dat hij in mei een kritieke kwetsbaarheid in de MDM-oplossing ontdekte waardoor een standaard gebruiker van het platform "super admin" kon worden. Vervolgens was het mogelijk om activiteiten als schoolbeheerder uit te voeren, waaronder het resetten van alle apparaten. De ontdekker van de kwetsbaarheid informeerde zowel het Singaporese ministerie van Onderwijs als Mobile Guardian. Het ministerie laat tegenover The Straits Times weten dat het probleem al eerder was gevonden en uiteindelijk voordat de aanval plaatsvond was gepatcht. De ontdekker van het probleem stelt op Reddit dat hij het probleem binnen drie uur had ontdekt, terwijl het ministerie en periodieke penetratietests er drie jaar over deden. Het probleem zou al sinds 2021 in het MDM-platform aanwezig zijn geweest. Daarnaast werd het probleem na de ontdekking van het probleem niet meteen gepatcht. "Cybersecurity moet serieuzer dan dit genomen worden", aldus de ontdekker. "Het is al minder relevant hoe de recente hack heeft plaatsgevonden en of het is veroorzaakt door een meer geraffineerde aanval: het feit dat deze eenvoudige kwetsbaarheid jaren aanwezig was is op zichzelf reden tot zorg." bron: https://www.security.nl

Tijdens een internationale operatie hebben politiediensten wereldwijd servers van de Radar-ransomware offline gehaald, zo hebben de Amerikaanse en Duitse autoriteiten bekendgemaakt. De Radar-ransomware, ook bekend als Dispossessor, was sinds vorig jaar augustus actief. De ransomwaregroep richtte zich op mkb-bedrijven en instellingen in allerlei sectoren. De meeste aanvallen van de groep vonden in de Verenigde Staten plaats. Om toegang tot de systemen van slachtoffers te krijgen maakte de groep gebruik van zwakke wachtwoorden en het feit dat organisaties voor hun accounts geen tweefactorauthenticatie hadden ingeschakeld. Zodra er toegang was verkregen werden eerst allerlei gegevens gestolen. Daarna werden bestanden bij slachtoffers versleuteld. Wanneer organisaties niet op de losgeldeisen reageerden werden ze door de aanvallers gebeld of gemaild om toch te betalen. De e-mails waren ook voorzien van links naar video's waarin de gestolen bestanden te zien waren. Wanneer slachtoffers niet betaalden werden ze door de groep openbaar gemaakt. Tijdens de operatie werden servers van de groep in de Verenigde Staten, Duitsland en het Verenigd Koninkrijk in beslag genomen, alsmede acht domeinnamen. Hoeveel slachtoffers de groep heeft gemaakt is onbekend. Tijdens de operatie werden 43 getroffen bedrijven ontdekt in meer dan veertien verschillende landen. bron: https://www.security.nl

Het cybercrimeverdrag van de Verenigde Naties (VN) vormt een bedreiging voor mensenrechten en de werkzaamheden van cybersecurity-onderzoekers en journalisten, zo stelt de Duitse hackersclub CCC. Vorige week stemde een VN-commissie in met het verdrag. Later dit jaar zal de Algemene Vergadering van de VN over het verdrag stemmen. De CCC roept Europa op om tegen te stemmen. Al jaren stellen burger- en mensenrechtenbewegingen dat het verdrag onder andere te breed is en allerlei waarborgen mist voor het beschermen van mensenrechten. De kritiek is echter niet meegenomen in de verdragstekst waarover vorige week een akkoord werd bereikt. De CCC spreekt van een 'gevaarlijke misser'. "Het bevat nog steeds brede surveillanceverplichtingen die door VN-leden geïmplementeerd zouden moeten worden, maar zonder dat deze bevoegdheden worden bewaakt door minimale juridische standaarden." Zo introduceert het uitgebreide bevoegdheden om metadata van telecomverkeer te verzamelen en in real-time communicatie te onderscheppen. De tekst van het verdrag bevat ook geen minimale standaarden voor databescherming, maar juist een uitbreiding van wereldwijde samenwerking tussen opsporingsdiensten en geheime diensten, gaat de CCC verder. "Iedereen die het respecteren van mensenrechten en zelfbeschikking op informatiegebied belangrijk vindt, moet de verdragstekst afwijzen. Deze surveillancegekte moet niet in Europa worden geratificeerd", zegt CCC-woordvoerder Dirk Engling. Een ander kritiekpunt in de verdragstekst is het ontbreken van duidelijke regels die cybersecurity-onderzoekers en journalisten in staat stellen te werken zonder angst voor repressie. "Journalisten en oppositieleden lopen met name gevaar door de overeenkomst. VN-staten zouden medeplichtig kunnen worden aan de vervolging van journalisten, activisten of dissidenten door gedwongen te worden hun data aan repressieve regimes te verstrekken." bron: https://www.security.nl