Captain Kirk

Statelijke actoren, spionagegroepen en cybercriminelen maken op allerlei manieren gebruik van ChatGPT, zoals het verzamelen van informatie en genereren van phishingmails, zo claimen Microsoft en Open AI. In een vandaag gepubliceerde blogposting geeft Microsoft verschillende voorbeelden van hoe Advanced Persistent Threats (APT's) en statelijke actoren de chatbot bij aanvallen hebben ingezet. Volgens Microsoft heeft de vanuit Rusland opererende groep genaamd Fancy Bear, die aan de Russische inlichtingendienst GRU gelieerd zou zijn, ChatGPT gebruikt voor het verzamelen van informatie over programmeren en de werking van satellieten. Een vanuit Noord-Korea opererende groep gebruikte de chatbot om de werking achter een kwetsbaarheid in de Microsoft Support Diagnostic Tool (MSDT) te weten te komen, aldus Microsoft. Tevens blijkt dat ChatGPT door meerdere groepen is ingezet voor het genereren van phishingmails, opvragen van informatie, verbeteren van scripts en vertalen van termen en technische papers. Microsoft zegt nog geen nieuwe of unieke AI-gebaseerde aanvallen te hebben gezien of misbruik van technieken waarbij AI is gebruikt. "We blijven het landschap echter nauwlettend volgen." bron: https://www.security.nl

Antivirusbedrijf Avast heeft een beveiligingslek in de Rhysida-ransomware maandenlang stilletjes gebruikt om slachtoffers te helpen bij het terugkrijgen van hun bestanden. Nu onderzoekers vorige week een rapport over de kwetsbaarheid publiceerden (pdf) heeft de virusbestrijder de gebruikte decryptietool openbaar gemaakt. Rhysida wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Voor de verspreiding wordt gebruikgemaakt van phishingmails. Vorig jaar waarschuwde het Amerikaanse ministerie van Volksgezondheid zorginstellingen in de VS voor aanvallen met de Rhysida-ransomware. De ransomware maakt gebruik van een secure random number generator om de encryptiesleutel te genereren en daarmee data op besmette systemen te versleutelen. Een implementatiefout in de ransomware maakt het mogelijk om de gebruikte encryptiesleutel opnieuw te genereren en zo de versleutelde data te ontsleutelen. Zuid-Koreaanse onderzoekers publiceerden vorige week hun onderzoek waarin ze de implementatiefout beschrijven. Antivirusbedrijf Avast was naar eigen zeggen al veel langer van de kwetsbaarheid op de hoogte en heeft slachtoffers sinds augustus vorig jaar stilletjes voorzien van een decryptietool voor het ontsleutelen van data. Dankzij samenwerking met opsporingsdiensten konden zo meerdere getroffen organisaties worden geholpen. Nu de implementatiefout bekend is gemaakt, heeft Avast dit ook gedaan voor de decryptietool, die via de website van het antivirusbedrijf is te downloaden. bron: https://www.security.nl

Chatbot ChatGPT gaat informatie uit gesprekken met gebruikers standaard 'onthouden' en gebruiken bij toekomstige gesprekken, zo heeft ontwikkelaar Open AI aangekondigd. De verzamelde informatie wordt ook gebruikt voor het trainen van de chatbot. Gebruikers krijgen wel de mogelijkheid om de 'Memory' optie uit te schakelen of bepaalde onthouden zaken te verwijderen. Open AI zegt dat gezondheidsgerelateerde zaken niet standaard worden opgeslagen. Volgens Open AI moet Memory ervoor zorgen dat gebruikers geen eerder gegeven informatie hoeven te herhalen. De chatbot kan details zelf onthouden, maar gebruikers kunnen ook specifieke opdrachten hiervoor geven. Het is mogelijk om deze verzamelde 'memories' te bekijken of te verwijderen. Gebruikers kunnen de Memory-optie ook uitschakelen, maar dit zorgt er niet voor dat eerder verzamelde informatie wordt verwijderd. Dit moeten gebruikers via een andere instelling doen. bron: https://www.security.nl

Microsoft gaat de eigen certificaten gebruikt voor Secure Boot vervangen omdat die in 2026 verlopen en adviseert gebruikers van encryptiesoftware BitLocker om een back-up van hun keys te maken. Secure Boot is een beveiligingsmaatregel in de Unified Extensible Firmware Interface (UEFI) die ervoor moet zorgen dat er tijdens het opstarten van het systeem alleen vertrouwde software draait. Hiervoor maakt Secure Boot gebruik van digitale handtekeningen die worden vergeleken met vertrouwde digitale sleutels opgeslagen in de UEFI. Secure Boot maakt gebruik van een 'certificate management system' waarbij certificaatautoriteiten worden gebruikt voor de opslag van digitale certificaten. Deze certificaatautoriteiten, die bestaan uit fabrikanten (OEM's) en Microsoft, genereren sleutelparen die de 'root of trust' van een systeem vormen. De door Secure Boot gebruikte Microsoft-certificaten verlopen in 2026. Microsoft is daarom nu al begonnen met het vervangen van de certificaten, wat gefaseerd plaatsvindt. Een eerste update die hiervoor zorgt is nu beschikbaar gesteld. Het gaat hier om een optionele update. Vanaf april is Microsoft van plan om die onder alle Windowsgebruikers uit te rollen. Microsoft stelt dat het vaker Secure Boot-databases heeft geüpdatet, maar het de eerste keer is dat dit op een dergelijke grote schaal gebeurt. Voor organisaties en gebruikers die de update nu al willen uitrollen en met BitLocker werken adviseert Microsoft om eerst een back-up van de BitLocker keys te maken. Mocht het apparaat na de Secure Boot-update niet meer werken, is in ieder geval de harde schijf nog te ontsleutelen. bron: https://www.security.nl

Softwarebedrijf Twilio stopt maanden eerder dan aangekondigd met de support van tweefactorauthenticatie (2fa)-app Authy Desktop, zo laat het in een bericht aan gebruikers weten. Oorspronkelijk had Twilio aangekondigd dat de apps voor Linux, macOS en Windows vanaf 19 augustus dit jaar end-of-life zouden worden en zo geen ondersteuning meer kregen. Nu meldt Twilio dat de support al op 19 maart stopt, vijf maanden eerder dan oorspronkelijk gepland. De smartphone-apps voor Android en iOS zullen wel ondersteuning blijven ontvangen. Twilio zegt dat het de beslissing heeft genomen om meer middelen beschikbaar te hebben voor de mobiele versies, die meer in trek zijn dan de desktopversies. Authy is een applicatie voor het genereren van tweefactorauthenticatie (2FA) codes. Gebruikers van de desktopversie die niet voor 19 maart actie ondernemen kunnen hun Authy-gebaseerde accounttokens dan niet meer gebruiken, benaderen of migreren. bron: https://www.security.nl

Google gaat binnenkort aanpassingen in Chrome doorvoeren waardoor websites worden geladen en getoond voordat de Safe Browsing-controle van de site is afgerond. Via Safe Browsing waarschuwt Chrome voor phishingsites en andere malafide pagina's. Op dit moment moet de controle zijn afgerond voordat Chrome de website in kwestie toont. Dit kan ervoor zorgen dat het even duurt voordat gebruikers sites te zien krijgen. Met de lancering van Chrome versie 122 zal de browser een 'asynchroon mechanisme' gebruiken, waarbij websites meteen worden geladen, ook al is de Safe Browsing-controle nog niet afgerond. Mocht na de controle blijken dat het om een malafide pagina gaat, krijgt de gebruiker alsnog een waarschuwing te zien. Google stelt dat het op deze manier met AI- en machine learning-gebaseerde algoritmes kan experimenteren om meer phishing- en social engineering-aanvallen te blokkeren. Iets wat voorheen lastig was vanwege de vertraging voor gebruikers. Wat betreft de risico's dat Chrome-gebruikers straks vaker slachtoffer van malafide websites worden stelt Google dat de kans zeer klein is dat een gebruiker bijvoorbeeld al zijn wachtwoord heeft ingevoerd voordat de alsnog getoonde waarschuwing verschijnt. Tevens hanteert de browser een lokale lijst met websites waarvan bekend is dat ze gebruikmaken van Chrome-exploits om zo gebruikers te infecteren. Controle PDF-downloads Een andere aanpassing die Google doorvoert betreft de controle van gedownloade PDF-bestanden. Volgens het techbedrijf werden PDF-bestanden in het verleden op grote schaal gebruikt voor het aanvallen van gebruikers. Het gebruik van PDF-exploits is echter sterk afgenomen. "Zelfs wanneer we malafide PDF's in het wild tegenkomen, bevatten ze links die gebruikers terug naar Chrome redirecten wat ons nog een kans geeft om gebruikers te beschermen", aldus Google. Het bedrijf heeft dan ook besloten om het aantal PDF-controles sterk te verminderen, wat miljarden Safe Browsing-checks per week scheelt. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Microsoft Exchange maakt het mogelijk om NTLM relay-aanvallen uit te voeren en zo toegang tot e-mailaccounts van gebruikers te krijgen, zo waarschuwt Microsoft dat beveiligingsupdates beschikbaar heeft gemaakt. De impact van de kwetsbaarheid, aangeduid als CVE-2024-21410, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts, waarbij gebruik wordt gemaakt van wachtwoordhashes. In het geval van een relay-aanval kan een aanvaller met de onderschepte hash van het slachtoffer inloggen op de Exchange-server. Een aanvaller zou hiervoor wel eerst de hash van de gebruiker moeten zien te krijgen, bijvoorbeeld door misbruik te maken van een kwetsbaarheid in Outlook, zo legt Microsoft uit. Microsoft merkt verder op dat voor het verschijnen van de Exchange Server 2019 Cumulative Update 14 (CU14) update, Exchange Server standaard geen bescherming tegen relay-aanvallen had ingeschakeld. De gisteren uitgebrachte CU14-update zorgt ervoor dat de Extended Protection for Authentication (EPA) wel standaard wordt ingeschakeld. Meer details over het installeren van de updates geeft Microsoft in deze blogposting. bron: https://www.security.nl

Beurshandelaren zijn zeker sinds januari van dit jaar aangevallen via een zerodaylek in Microsoft Defender Smartscreen, waarmee criminelen de beveiligingsmaatregel konden omzeilen om slachtoffers op een geraffineerde wijze met malware te infecteren. Dat laat antivirusbedrijf Trend Micro weten. Microsoft heeft beveiligingsupdates voor Windows uitgebracht waarin het probleem is verholpen. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. De afgelopen jaren zijn meerdere kwetsbaarheden in de beveiligingsmaatregel gevonden en gebruikt bij aanvallen. Het nieuwste zerodaylek (CVE-2024-21412) blijkt een eerder uitgebrachte update van Microsoft voor een andere kwetsbaarheid (CVE-2023-36025) te omzeilen. Bij de door Trend Micro waargenomen aanvallen waren beurshandelaren op forex-handelsforums en Telegram-kanalen het doelwit. De aanvallers plaatsten berichten waarin ze om advies vroegen of gaven, of zogenaamde financiële tools deelden. In alle berichten werd gelinkt naar een zogenaamde aandelengrafiek die op een gecompromitteerde Russische handels- en cryptosite werd gehost. In werkelijkheid wees de link naar een WebDAV share die gebruikers vroeg om Windowsverkenner te openen. Via WebDAV is het mogelijk om bestanden op servers te bekijken en delen. De aanvallers hadden de malafide WebDAV share zo vormgegeven dat die op de lokale downloadmap van slachtoffers leek en er een JPG-bestand in stond. Het weergegeven bestand 'photo_2023-12-29.jpg.url' is in werkelijkheid een ini-configuratiebestand, meldt Trend Micro. Dit bestand wijst weer naar een andere url die naar de malware wijst. Windows laat standaard geen extensies zien, waardoor slachtoffers zouden kunnen denken dat het getoonde bestand een afbeelding is. Zodra slachtoffers de 'afbeelding' in de WebDAV share openen wordt in de achtergrond de malware gedownload, zonder dat hierbij de SmartScreen-waarschuwing verschijnt. Om slachtoffers niets te laten vermoeden wordt er na de infectie een echte afbeelding getoond. Via de malware krijgen de aanvallers controle over het systeem van het slachtoffer. bron: https://www.security.nl

Gebruikers van Roundcube Webmail zijn het doelwit van cross-site-scripting (XSS)-aanvallen, waarbij aanvallers misbruik van een bekende kwetsbaarheid in de software maken om informatie van gebruikers te stelen, zo waarschuwt de Amerikaanse overheid. Roundcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. Een kwetsbaarheid in de software, aangeduid als CVE-2023-43770, maakt via speciaal geprepareerde links in e-mailberichten XSS mogelijk. Het probleem wordt veroorzaakt door het verwerken van linkrefs in plaintext berichten. Een aanvaller kan zo informatie van gebruikers buitmaken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 6.1. Eind september vorig jaar verscheen er een beveiligingsupdate voor de kwetsbaarheid. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat er nu misbruik van het beveiligingslek wordt gemaakt en heeft overheidsinstanties die met Roundcube werken opgedragen om de update voor 4 maart uit te rollen, mocht dat nog niet zijn gedaan. Details over de aanvallen zijn niet gegeven. Vorig jaar werd bekend dat een ander XSS-lek in Roundcube bij zeroday-aanvallen werd gebruikt voor het stelen van e-mail van gebruikers. bron: https://www.security.nl

De populaire adblocker Adblock Plus moet het aantal filterlijsten dat het standaard meelevert en door gebruikers is in te schakelen wegens nieuwe regels van Google beperken, zo laten de ontwikkelaars weten. Adblockers maken gebruik van filters en blocklists om trackers en advertenties te blokkeren. In een reactie op adblockers passen trackers en advertentiebedrijven steeds hun code, scripts en domeinen aan, om zo toch internetgebruikers te kunnen blijven volgen, advertenties te tonen en adblockers te blokkeren. Google verplicht dit jaar nieuwe regels voor browser-extensies, die staan beschreven in een Manifest. Over een aantal maanden wordt Manifest V3 verplicht. De nieuwe regels beperken adblockers op verschillende manieren. Zo zal Adblock Plus straks nog maximaal honderd vooraf geïnstalleerde filterlijsten meeleveren waarvan gebruikers er vijftig tegelijkertijd kunnen inschakelen. Daarnaast zal het in eerste instantie niet mogelijk voor gebruikers zijn om zich op andere filterlijsten die buiten de extensie worden aangeboden te abonneren. Updates Manifest V3 stelt ook eisen aan de manier waarop extensies kunnen worden geüpdatet. Op dit moment kunnen adblockers updates voor hun filters en blocklists zelf uitrollen, waardoor er snel op aanpassingen van trackers en advertentiebedrijven kan worden gereageerd. Manifest V3 staat "remotely hosted code" niet meer toe. Alle updates, zelfs die voor filterlijsten, zullen via volledige extensie-updates via de Chrome Web Store moeten lopen. Google controleert alle extensies en updates die in de Chrome Web Store verschijnen, waardoor ze met de nodige vertraging pas beschikbaar voor gebruikers komen. Adblock Plus zegt dat er een oplossing hiervoor is gevonden in de vorm van 'differential filter list updates', waardoor het mogelijk is om filterlijsten buiten de officiele release om te updaten. "Gebruikers zullen waarschijnlijk geen verschil merken in de kwaliteit van het adblocken", aldus Adblock Plus. De Manifest V3-versie van Adblock Plus zal voor juni van dit jaar verschijnen, aangezien extensie-ontwikkelaars dan van Google hun migratie naar het nieuwe manifest moeten hebben afgerond. De nieuwe regels gaan niet gelden voor Mozilla Firefox. bron: https://www.security.nl

Skiff, een bedrijf dat end-to-end versleutelde e-mail, cloudopslag, workspace en kalender biedt, stopt met het aanbieden van diensten nu het is overgenomen door 'connected workspace' aanbieder Notion, tot grote onvrede van gebruikers. Die hebben nu nog zes maanden de tijd om e-mails, bestanden, contacten, kalenders en andere data te exporteren of migreren. Tevens is het mogelijk om in te stellen dat e-mail naar een andere provider wordt doorgestuurd. Gebruikers reageren woedend op Reddit over het stopzetten van de dienstverlening en vragen vooral om advies over hoe en waar ze naar toe moeten overstappen. Skiff werd in 2020 gelanceerd en omschreef zichzelf als een bedrijf dat privacy op de eerste plek zette. Details over de overname zijn niet bekendgemaakt. bron: https://www.security.nl

Vpn-provider ExpressVPN heeft jarenlang sommige dns-verzoeken van gebruikers gelekt, zo heeft het bedrijf bekendgemaakt. Het probleem doet zich voor bij de Windowsapplicatie van ExpressVPN wanneer de feature 'split tunneling' is ingeschakeld. Wanneer ExpressVPN actief is gaat al het verkeer via de vpn-app. Via split tunneling kunnen gebruikers aangeven welke apps via de vpn-tunnel gaan en welke apps direct met een open netwerk verbinding maken. "Wanneer je via split tunneling instelt dat bepaalt verkeer niet via de bescherming van je vpn gaat, kan je internetprovider of een derde partij toegang totdat verkeer krijgen", waarschuwt ExpressVPN op de eigen website. Een bug in de feature zorgt ervoor dat dns-verzoeken die naar een ExpressVPN-server hadden moeten gaan naar een server van een derde gaat, bijvoorbeeld die van de internetprovider. Die kan zo zien welke websites de gebruiker bezoekt. Vanwege de fout heeft ExpressVPN een update voor versie 12 van de Windowsapplicatie uitgebracht waarin split tunneling volledig is uitgeschakeld. Er wordt nu onderzocht wat de exacte oorzaak is. ExpressVPN stelt dat het de situatie alleen in bepaalde gevallen bij bepaalde apps kon repliceren. Wanneer de oorzaak van het probleem, dat sinds 19 mei 2022 in de software aanwezig is, is achterhaald en verholpen, zal split tunneling via een update weer beschikbaar in de vpn-app komen. bron: https://www.security.nl

Malafide advertenties op Facebook worden gebruikt voor het verspreiden van malware die onder andere wachtwoorden uit wachtwoordmanagers, crypto en documenten van besmette systemen steelt, zo laat securitybedrijf Trustwave weten (pdf). De advertenties doen voorkomen dat er vacatures zijn voor posities zoals accountmanager. Voor meer informatie wordt er naar een extern bestand gelinkt. Dit is een malafide bestand dat, wanneer geopend door de gebruiker, de uiteindelijke malware downloadt. Eenmaal actief kan de Ov3r_Stealer, zoals de malware door Trustwave wordt genoemd, allerlei informatie van systemen stelen. Het gaat dan om cryptowallets, wachtwoorden uit een groot aantal wachtwoordmanagers waaronder Dashlane, Bitwarden, KeePass, LastPass en KeePassXC, alsmede authenticator-apps zoals Google Authenticator, Microsoft Authenticator, Duo Mobile, Authy en FreeOTP. Verder steelt de malware ook tekst-, Excel- en Word-bestanden uit de Documenten-map, inloggegevens uit ftp-client FileZilla en gebruikersgegevens uit Google Chrome. Het gaat dan om cookies, creditcardgegevens en andere ingevulde gegevens. De gestolen data wordt vervolgens naar een Telegram-kanaal gestuurd dat door de aanvallers wordt gemonitord. bron: https://www.security.nl

Fortinet waarschuwt organisaties voor een nieuwe kritieke kwetsbaarheid in FortiOS, waardoor het mogelijk is om kwetsbare firewalls, vpn-systemen en andere netwerkapparaten zonder authenticatie op afstand over te nemen. Mogelijk wordt er al misbruik van het lek gemaakt. De Australische overheid roept op om de beschikbaar gestelde beveiligingsupdate te installeren en de SSL VPN-functionaliteit uit te schakelen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. Een nieuwe kwetsbaarheid aangeduid als CVE-2024-21762 maakt het mogelijk voor aanvallers om zonder authenticatie op afstand code en commando's op kwetsbare apparatuur uit te voeren. De enige vereiste is de mogelijkheid om een HTTP-request naar het apparaat te sturen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. In het beveiligingsbulletin stelt Fortinet dat er mogelijk al misbruik van de kwetsbaarheid wordt gemaakt, maar verdere details zijn niet gegeven. Naast het installeren van de beschikbaar gestelde update kunnen organisaties als workaround ook de SSL VPN-functionaliteit in FortiOS uitschakelen. Het Australische Cyber Security Centre (ACSC) adviseert zowel het installeren van de update als het uitschakelen van de VPN-functie. bron: https://www.security.nl

Ivanti roept beheerders op om een nieuwe kwetsbaarheid in Connect Secure en Policy Secure meteen te patchen. De afgelopen weken zijn andere kwetsbaarheden in Connect Secure actief gebruikt om organisaties aan te vallen. De nieuwste kwetsbaarheid (CVE-2024-22024) maakt het mogelijk voor een aanvaller om zonder authenticatie bepaalde afgeschermde 'resources' te benaderen. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 8.3. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Volgens Ivanti heeft het geen aanwijzingen dat er actief misbruik van de kwetsbaarheid wordt gemaakt. "Het is echter belangrijk dat je meteen actie onderneemt om ervoor te zorgen dat je volledig beschermd bent", aldus het bedrijf. Ivanti kwam op 31 januari al met een mitigatie die ook bescherming tegen de nieuwe kwetsbaarheid biedt. Daarnaast zijn er nu ook patches beschikbaar gesteld. Afhankelijk van eerder genomen maatregelen kan het nodig zijn om ook een fabrieksreset van het apparaat uit te voeren. Sinds 10 januari zijn er in totaal vijf beveiligingslekken in Ivanti Connect Secure aan het licht gekomen, waarvan er zeker drie actief worden misbruikt. bron: https://www.security.nl

Microsoft heeft een testversie van een nieuwe tool genaamd Face Check gelanceerd, waarbij een selfie van gebruikers met een foto van hun identiteitsbewijs wordt vergeleken. Daarbij benadrukt het techbedrijf dat er geen sprake van gezichtsherkenning is. Microsoft omschrijft Face Check als een 'privacy-respecting facial matching feature' van Microsoft Entra Verified ID. Entra ID stond eerder nog bekend als Azure Active Directory. Face Check maakt gebruik van 'Azure AI services' waarbij een real-time selfie van een gebruiker met de foto op zijn paspoort, identiteitsbewijs of rijbewijs wordt vergeleken. "Door alleen de matchresultaten te delen en geen gevoelige identiteitsgegevens, verbetert Face Check de privacy van gebruikers terwijl organisaties zeker kunnen zijn dat de persoon die een identiteit claimt te zijn dit ook echt is." Daarbij stelt Microsoft dat Face Check in allerlei situaties is te gebruiken waarbij bijvoorbeeld personeel of klanten moeten worden geverifieerd. 'Controversiële gezichtsherkenning' In een uitleg over Face Check laat Microsoft weten dat er een groot verschil is tussen gezichtsverificatie en 'controversiële gezichtsherkenning'. Bij gezichtsverificatie is er volgens het techbedrijf sprake van een op toestemming gebaseerd proces, waarbij een persoon kan aantonen dat hij is wie hij zegt te zijn. "Gezichtsherkenningstools zijn controversieel en worden, buiten medeweten van een persoon om, door overheidsinstanties gebruikt voor surveillance en onderzoeken", aldus Microsoft. bron: https://www.security.nl

Bij de aanval op AnyDesk zijn ook twee Europese relay-servers getroffen, waardoor in theorie inloggegevens van gebruikers konden worden gestolen, zo heeft het softwarebedrijf laten weten. Dat stelt dat de 'situatie onder controle' is en AnyDesk veilig kan worden gebruikt. AnyDesk is software waarmee het mogelijk is om computers op afstand over te nemen, bijvoorbeeld voor helpdeskdoeleinden. AnyDesk meldde vorige week dat het getroffen was door een inbraak op de eigen productiesystemen. Uit voorzorg werd onder andere besloten om alle wachtwoorden voor de webportaal my.anydesk.com te vervangen. AnyDesk heeft nu iets meer details over de aanval gegeven. Hoe die kon plaatsvinden is nog niet bekendgemaakt. Wel meldt het bedrijf dat twee van de Europese relay-servers zijn getroffen. Europese AnyDesk-gebruikers gebruiken deze servers om op hun AnyDesk-account in te loggen. Volgens AnyDesk is er een theoretisch risico dat de aanvallers via deze gecompromitteerde servers inloggegevens van gebruikers hebben kunnen stelen. Het gaat dan om gebruikers die hun gebruikersnaam en wachtwoord handmatig invoerden en gebruikers zover wisten te krijgen om een malafide versie te installeren. "Dit lijkt onwaarschijnlijk, maar is niet onmogelijk", aldus de uitleg. AnyDesk zegt dat het geen aanwijzingen heeft dat er gecompromitteerde versies van de software in omloop zijn. Ook is er geen bewijs volgens het bedrijf dat klantgegevens zijn buitgemaakt of systemen van gebruikers gecompromitteerd. Wel worden gebruikers aangeraden om naar de laatste versie van de software te updaten. Tevens is AnyDesk bezig om de certificaten gebruikt voor het signeren van software te vervangen en zijn alle security-gerelateerde certificaten al ingetrokken. bron: https://www.security.nl

Aanvallers maken misbruik van een kwetsbaarheid in Google Chrome waarvoor afgelopen september een beveiligingsupdate verscheen, zo meldt de Amerikaanse overheid. Google laat in de beveiligingsbulletins altijd weten of het bekend is met misbruik van een kwetsbaarheid, maar dat was in het geval van CVE-2023-4762 niet zo. Het beveiligingslek bevindt zich in V8, de JavaScript-engine van Chrome waarin de afgelopen jaren meerdere kwetsbaarheden zijn gevonden, die ook bij aanvallen zijn gebruikt. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security geeft geen details over de aanvallen. Chrome beschikt over een automatische updatefunctie, waardoor bekende kwetsbaarheden over het algemeen slechts korte tijd zijn te misbruiken. bron: https://www.security.nl

Een kritieke kwetsbaarheid in TeamCity maakt het mogelijk om servers van softwareontwikkelaars op afstand over te nemen, wat vergaande gevolgen kan hebben. De Amerikaanse autoriteiten lieten eind vorig jaar weten dat een soortgelijk beveiligingslek maandenlang door de Russische geheime dienst werd misbruikt. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software. Het nieuwste beveiligingslek in TeamCity waarvoor JetBrains in een blogposting waarschuwt wordt aangeduid als CVE-2024-23917. Het betreft een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller met toegang tot een TeamCity-server de authenticatie kan omzeilen en beheerderscontrole over de server kan krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in alle versies van 2017.1 tot en met 2023.11.2. Organisaties en gebruikers worden opgeroepen om te updaten naar versie 2023.11.3 waarin het probleem is verholpen. De kwetsbaarheid werd op 19 januari door een externe onderzoeker aan JetBrains gerapporteerd. Zowel de on-premise als bij JetBrains gehoste cloudversies bleken kwetsbaar. Het beveiligingslek is al in de cloudversie verholpen en JetBrains stelt dat er geen aanwijzingen van misbruik op de cloudservers is aangetroffen. Organisaties die hun TeamCity-server niet op korte termijn kunnen patchen worden aangeraden die offline te halen als die vanaf het internet toegankelijk is. bron: https://www.security.nl

Verschillende kritieke kwetsbaarheden in printers van fabrikant Canon maken de apparaten kwetsbaar voor remote code execution, waardoor een aanvaller willekeurige code kan uitvoeren. Het gaat in totaal om zeven buffer overflows die tot remote code execution of een denial-of-service kunnen leiden. Een aanvaller moet wel toegang tot de printer hebben, bijvoorbeeld wanneer die direct op internet is aangesloten, aldus Canon. De printerfabrikant adviseert klanten om een 'privaat ip-adres' voor de printer in te stellen en een firewall te gebruiken om zo netwerktoegang tot het apparaat te beperken. Ook zijn er firmware-updates uitgebracht. De problemen zijn aanwezig in verschillende modellen laserprinters en 'multifunction printers' (pdf). Het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC) heeft de impact van de kwetsbaarheden op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Tientallen landen en techbedrijven, waaronder Google, Meta en Microsoft, hebben vandaag een akkoord getekend over de aanpak van commerciële spyware. De verklaring werd ondertekend tijdens een door het Verenigd Koninkrijk en Frankrijk georganiseerde conferentie over commerciele spyware. Het gaat dan om spyware zoals Pegasus en Predator. In de verklaring wordt gesteld dat de zeer snel groeiende markt voor spyware zorgen met zich meebrengt over nationale veiligheid en mensenrechten, alsmede statelijke en niet-statelijke actoren toegang tot krachtige spionagetools geeft. De landen die de verklaring hebben ondertekend geven daarmee aan dat ze commerciële spyware op een juridische en verantwoorde manier zullen gebruiken, met precisie. Daarnaast komt er meer toezicht op spywareleveranciers. Door het niet strenger reguleren van commerciële spyware bestaat het risico dat kwaadwillenden spionage-activiteiten zullen uitvoeren, zo stellen de ondertekenaars, aldus persbureau Reuters. Er wordt dan gewezen naar groepen die voor 'commerciële klanten' spyware-aanvallen uitvoeren. Spywareleveranciers claimen dat hun producten alleen bedoeld zijn voor overheden voor het beschermen van de nationale veiligheid, maar in de praktijk wordt spyware geregeld aangetroffen op telefoons van mensenrechtenactivisten, journalisten, advocaten en politieke oppositie. bron: https://www.security.nl

Europol heeft alarm geslagen over actief misbruik van kwetsbaarheden in Ivanti Connect Secure VPN en roept organisaties op om advies van lokale cyberagentschappen of het Europees Agentschap voor cyberbeveiliging (ENISA) op te volgen, waaronder het uitvoeren van een fabrieksreset. Een derde zeroday in de VPN-oplossing wordt inmiddels op grote schaal aangevallen en de Amerikaanse overheid werd vorige week nog opgedragen om Ivanti-apparaten van het netwerk los te koppelen. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Op 10 januari meldde Ivanti dat het product twee kwetsbaarheden bevat, CVE-2023-46805 en CVE-2024-21887, waarvan aanvallers actief misbruik van maken om systemen over te nemen. Tijdens het onderzoek naar deze kwetsbaarheden en aanvallen werden twee nieuwe beveiligingslekken ontdekt, aangeduid als CVE-2024-21888 en CVE-2024-21893. Deze laatste kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om toegang tot bepaalde 'restricted resources' te krijgen en werd op het moment van de ontdekking al actief misbruikt. De Shadowserver Foundation meldde dit weekend dat er inmiddels grootschalig misbruik plaatsvindt. Ook de andere twee zerodays die Ivanti op 10 januari rapporteerde worden op grote schaal aangevallen, zo laat Europol weten. Volgens de opsporingsdienst is er sprake van een 'developing situation' en is het cruciaal dat organisaties hier gepast op reageren. Daarbij wordt aangeraden om advies van lokale cyberagentagentschappen in de gaten te houden en op te volgen. Het komt zelden voor dat Europol waarschuwt voor kwetsbaarheden. Zo wordt onder andere het uitvoeren van een fabrieksreset van het apparaat als maatregel genoemd. Ook Amerikaanse overheidsinstanties die van de VPN-oplossing gebruikmaken moeten dit doen. bron: https://www.security.nl

Bijna zeventig zerodaylekken in software van Adobe, Apple, Google, Microsoft en Mozilla, die sinds 2016 zijn ontdekt en gebruikt voor het aanvallen van gebruikers zijn het werk van commerciële spywareleveranciers, zo stelt Google in een nieuw rapport (pdf). Het techbedrijf vindt dat er meer internationale inzet nodig is om het 'spyware-ecosysteem' te verstoren en gebruikers te beschermen. De spywareleveranciers leveren spyware waarmee het mogelijk is om volledige toegang tot smartphones of systemen van slachtoffers te krijgen en hen zo te bespioneren. Om de spyware op de telefoon te krijgen maken de bedrijven, die vaak voor overheden werken, gebruik van zerodaylekken, waar op het moment van de aanval nog geen update voor beschikbaar is. De spywareleveranciers zoeken zelf naar deze zerodays of betalen onderzoekers voor het melden hiervan. De kwetsbaarheden worden echter niet gemeld bij de betreffende softwareleverancier, waardoor er ook geen update voor wordt ontwikkeld en gebruikers kwetsbaar blijven. Google stelt dat er sinds 2016 zeker 67 van dergelijke zerodays door commerciële spywareleveranciers zijn gebruikt om systemen te infecteren. Veel van de aangevallen kwetsbaarheden bevinden zich in Android, Google Chrome, en iOS. Sinds halverwege 2014 zijn er volgens Google 72 verschillende zerodaylekken gebruikt om gebruikers van Android, Google Chrome en andere Google-producten aan te vallen. Volgens Google zijn zeker 35 van deze kwetsbaarheden door commerciële spywareleveranciers ingezet. Daarbij stelt het techbedrijf dat dit een lage ondergrens is en het werkelijke aantal zeer waarschijnlijk veel hoger is. Dat geldt zowel voor het totaal aantal geregistreerde zerodaylekken, als de zerodays die zijn ingezet om Google-gebruikers mee aan te vallen. In het rapport over commerciële spyware laat Google weten dat de tijd voor overheden, industrie en maatschappij is gekomen om de beloningsstructuur waardoor spyware zich kan verspreiden te veranderen. Zo is Google voorstander van het reguleren van commerciële spyware. "De schade die deze industrie veroorzaakt is meer dan duidelijk op dit moment, en we vinden dat dit zwaarder weegt dan enig voordeel om er gebruik van te blijven maken", aldus Google. bron: https://www.security.nl

De Belgische overheid waarschuwt burgers voor phishing via qr-codes. Volgens het Belgische ministerie van Economie is 'quishing' een nieuwe vorm van phishing. Het gebruik van qr-codes bij phishingaanvallen komt echter al jaren voor. In 2021 waarschuwde de Nederlandse politie hier nog voor. De malafide qr-codes worden via e-mail en WhatsApp verspreid en lijken van officiële instanties te komen en verzoeken slachtoffers om een (fictieve) boete of rekening te betalen. "Wanneer slachtoffers de qr-code scannen, belanden ze op phishingwebsites of moeten ze een betaling uitvoeren. Ook worden qr-codes gebruikt om schadelijke software te installeren bij slachtoffers. Die software bevat vaak malware, gericht op het stelen van persoonlijke gegevens zoals inloggegevens voor internetbankieren", aldus de uitleg van het ministerie. Afname slachtoffers phishing Ondanks het gebruik van 'quishing' is het aantal geregistreerde slachtoffers van phishing in België vorig jaar afgenomen. In 2022 maakten 1100 slachtoffers melding bij het Belgische meldpunt tegenover zeshonderd vorig jaar. Ook de schade nam af, van gemiddeld 4700 euro in 2022 naar 4100 euro in 2023. Volgens het ministerie heeft de daling verschillende redenen. "Allereerst zijn burgers waakzamer geworden dankzij sensibiliseringscampagnes van de FOD Economie en andere overheidsinstanties. Maar ook de gerichte aanpak van de Economische Inspectie van de FOD Economie in de bestrijding van phishing werpt zijn vruchten af. Ze probeert via gerichte acties de houders van de bankrekeningen waarnaar de gelden werden overgemaakt te identificeren bij de respectievelijke banken, die ook op de hoogte worden gebracht." bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor vier kritieke kwetsbaarheden in Ivanti Connect Secure (voorheen Pulse Connect Secure) en Policy Secure. In een schematisch overzicht geeft het centrum de geïdentificeerde kwetsbaarheden en beschikbare update weer. Kwaadwillenden kunnen de kwetsbaarheden in Ivanti Connect Secure en Policy Secure uitbuiten om authentificatie te omzeilen en op afstand willekeurige code uit te voeren met root-rechten. Ook een SSRF-kwetsbaarheid aangetroffen in Ivanti. Sommige kwetsbaarheden zijn door Ivanti gedicht met behulp van een beveiligingsupdate. In andere gevallen adviseert het bedrijf mitigerende maatregelen toe te passen. Het NCSC adviseert partijen met kwetsbare Ivanti Connect Secure- en Policy Secure-implementaties de volgende stappen te doorlopen: Voer een factory reset uit Installeer patches Wijzig credentials of pas mitigerende maatregelen toe Onderrzoek misbruik, implementeer monitoring en blijft alert bron: https://www.security.nl