Captain Kirk

Organisaties Citizen Lab en Access Now waarschuwen vandaag voor spearphishing-aanvallen waarbij 'versleutelde' en 'beveiligde' pdf-bestanden worden gebruikt om slachtoffers naar phishingsites te lokken die inloggegevens voor Proton- en Google-accounts proberen te stelen. Volgens de twee organisaties zijn de aanvallen uitgevoerd door twee groepen genaamd Coldriver en Coldwastrel. De eerste groep zou aan de Russische geheime dienst FSB zijn gelieerd. De aanvallen zijn gericht tegen maatschappelijke organisaties en internationale NGO's. De aanvallers versturen e-mails die afkomstig lijken van personen die het doelwit kent, waarbij van e-mailadressen gebruik wordt gemaakt die op één karakter na hetzelfde zijn. De e-mails bevatten een pdf-bestand dat wanneer geopend claimt dat er moet worden ingelogd om de inhoud te bekijken. Het pdf-bestand bevat hiervoor een link die naar de phishingpagina wijst. Volgens onderzoekers van Citizen Lab en Access Now is het belangrijk om alert te zijn op 'versleutelde' en 'beveiligde' pdf-bestanden. Daarnaast adviseren ze het 'correct gebruik' van tweefactorauthenticatie (2FA). Sommige van de slachtoffers hadden 2FA ingeschakeld, maar werden verleid om hun 2FA-codes in te voeren. Met name het gebruik van sms-gebaseerde 2FA wordt riskant genoemd. De onderzoekers adviseren het gebruik van security keys en passkeys als 2FA-methode. bron: https://www.security.nl

Microsoft verwacht dat aanvallers misbruik zullen maken van een kritieke TCP/IP-kwetsbaarheid in Windows waardoor remote code execution zonder enige interactie van gebruikers mogelijk is. Volgens securitybedrijf ZDI kan via het beveiligingslek een computerworm worden verspreid. De kwetsbaarheid, aangeduid als CVE-2024-38063, laat een ongeauthenticeerde aanvaller willekeurige code op systemen uitvoeren, zonder dat hier enige interactie van gebruikers voor is vereist. Het versturen van speciaal geprepareerde IPv6-pakketten volstaat. Systemen waarop IPv6 staat uitgeschakeld zijn dan ook niet kwetsbaar, aldus Microsoft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Je kunt IPv6 uitschakelen om misbruik te voorkomen, maar IPv6 staat bijna op alles standaard ingeschakeld", zegt Dustin Childs van ZDI. Wat de kans op misbruik betreft heeft Microsoft dit als 'more likely' ingeschat. Het techbedrijf kwam gisterenavond met updates voor de kwetsbaarheid, die op de meeste systemen automatisch worden geïnstalleerd. Het probleem was gerapporteerd door een onderzoeker van cybersecuritybedrijf Cyber KunLun. bron: https://www.security.nl

Tijdens de patchdinsdag van augustus heeft Microsoft zes kwetsbaarheden in Office en Windows verholpen die actief zijn misbruikt voordat de updates beschikbaar waren. Drie van de beveiligingslekken maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Twee maken remote code execution mogelijk en de laatste kwetsbaarheid betreft een 'Security Feature Bypass' in Windows Mark of the Web. De eerste kwetsbaarheid (CVE-2024-38189) waardoor een aanvaller willekeurige code kan uitvoeren is aanwezig in Microsoft Project. Door een doelwit een malafide Microsoft Office Project-bestand te laten openen is remote code execution (RCE) mogelijk. Dit probleem raakt Microsoft Office LTSC 2021, Microsoft Project 2016, Microsoft 365 Apps for Enterprise en Microsoft Office 2019. De tweede RCE-kwetsbaarheid is aanwezig in de scripting engine van Windows. Misbruik vereist volgens Microsoft dat een aanvaller er eerst voor zorgt dat het doelwit Edge in Internet Explorer-mode gebruikt. Vervolgens moet er een speciaal geprepareerde link worden geopend. Dit beveiligingslek (CVE-2024-38178) werd door het Zuid-Koreaanse National Cyber Security Center (NCSC) en antivirusbedrijf AhnLab aan Microsoft gerapporteerd. Dan zijn er drie kwetsbaarheden waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen tot die van SYSTEM. Het gaat om problemen in Windows Ancillary Function Driver for WinSoc (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107) en de Windows-kernel (CVE-2024-38106). De laatste actief aangevallen kwetsbaarheid die Microsoft deze maand heeft opgelost bevindt zich in de Mark of the Web-feature van Windows. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-38213) zorgt ervoor dat de waarschuwing niet verschijnt. Dit beveiligingslek werd door Trend Micro aan Microsoft gerapporteerd. Naast de zes actief aangevallen kwetsbaarheden zijn er ook vier beveiligingslekken verholpen waarvan details al voor het uitkomen van de update openbaar waren, maar waarvan Microsoft zegt dat er geen misbruik is waargenomen. Het gaat om problemen in Microsoft Office (CVE-2024-38200) en Windows (CVE-2024-38199, CVE-2024-21302 en CVE-2024-38202), waardoor spoofing, remote code execution en het verhogen van rechten mogelijk is. Het totaal aantal gepatchte kwetsbaarheden bedraagt deze maand negentig. Geen van de aangevallen of al eerder openbaar gemaakte beveiligingslekken zijn als kritiek aangemerkt. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Softwarebedrijf Ivanti heeft vandaag beveiligingsupdates uitgebracht voor kritieke kwetsbaarheden in Ivanti Neurons for IT Service Management (ITSM) en Ivanti Virtual Traffic Manager en on-premise klanten worden opgeroepen die meteen te installeren. Neurons for ITSM is een oplossing voor het ondersteunen van helpdesks. Via de kwetsbaarheid in de oplossing (CVE-2024-7569) kan een ongeauthenticeerde aanvaller authenticatiegegevens stelen die in debug-informatie zijn te vinden. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Ivanti Virtual Traffic Manager is een oplossing voor application delivery en load balancing. Een incorrecte implementatie van een authenticatie-algoritme zorgt ervoor dat een ongeauthenticeerde aanvaller de authenticatie van het beheerderspaneel kan omzeilen om vervolgens zelf een beheerder te kunnen aanmaken. De impact van dit lek (CVE-2024-7593) is beoordeeld met een 9.8. Misbruik is nog niet waargenomen. Wel is voor dit beveiligingslek proof-of-concept exploitcode beschikbaar. Voor twee versies van Virtual Traffic Manager is er een update beschikbaar. Voor vier andere versies verschijnen de patches volgende week. Kwetsbaarheden in oplossingen van Ivanti zijn in het verleden geregeld misbruikt bij aanvallen. bron: https://www.security.nl

MDM-leverancier Mobile Guardian is weken voor een grote aanval, waarbij de iPads en Chromebooks van zeker dertienduizend studenten en leerlingen werden gewist en daardoor maanden of soms jaren aan werk verloren, gewaarschuwd voor een kritieke kwetsbaarheid. Volgens het Singaporese ministerie van Onderwijs, dat een grote klant van Mobile Guardian is, werd dit beveiligingslek voor de aanval van begin augustus gepatcht. De persoon die het probleem ontdekte is echter bang dat er meer van dergelijke kwetsbaarheden in de oplossing aanwezig zijn. Mobile Guardian levert een mobile device management (MDM)-oplossing voor onderwijsinstellingen, die daarmee bijvoorbeeld de iPads en Chromebooks van hun leerlingen en studenten op afstand kunnen beheren. Het bedrijf zegt wereldwijd duizenden scholen als klant te hebben. Begin deze maand vond er een aanval plaats waarbij zeker dertienduizend iPads en Chromebooks van leerlingen van 26 Singapore scholen werden gewist. Of ook onderwijsinstellingen in andere landen zijn getroffen is onbekend. Een dag na de aanval publiceerde iemand op Reddit een bericht waarin wordt gesteld dat hij in mei een kritieke kwetsbaarheid in de MDM-oplossing ontdekte waardoor een standaard gebruiker van het platform "super admin" kon worden. Vervolgens was het mogelijk om activiteiten als schoolbeheerder uit te voeren, waaronder het resetten van alle apparaten. De ontdekker van de kwetsbaarheid informeerde zowel het Singaporese ministerie van Onderwijs als Mobile Guardian. Het ministerie laat tegenover The Straits Times weten dat het probleem al eerder was gevonden en uiteindelijk voordat de aanval plaatsvond was gepatcht. De ontdekker van het probleem stelt op Reddit dat hij het probleem binnen drie uur had ontdekt, terwijl het ministerie en periodieke penetratietests er drie jaar over deden. Het probleem zou al sinds 2021 in het MDM-platform aanwezig zijn geweest. Daarnaast werd het probleem na de ontdekking van het probleem niet meteen gepatcht. "Cybersecurity moet serieuzer dan dit genomen worden", aldus de ontdekker. "Het is al minder relevant hoe de recente hack heeft plaatsgevonden en of het is veroorzaakt door een meer geraffineerde aanval: het feit dat deze eenvoudige kwetsbaarheid jaren aanwezig was is op zichzelf reden tot zorg." bron: https://www.security.nl

Tijdens een internationale operatie hebben politiediensten wereldwijd servers van de Radar-ransomware offline gehaald, zo hebben de Amerikaanse en Duitse autoriteiten bekendgemaakt. De Radar-ransomware, ook bekend als Dispossessor, was sinds vorig jaar augustus actief. De ransomwaregroep richtte zich op mkb-bedrijven en instellingen in allerlei sectoren. De meeste aanvallen van de groep vonden in de Verenigde Staten plaats. Om toegang tot de systemen van slachtoffers te krijgen maakte de groep gebruik van zwakke wachtwoorden en het feit dat organisaties voor hun accounts geen tweefactorauthenticatie hadden ingeschakeld. Zodra er toegang was verkregen werden eerst allerlei gegevens gestolen. Daarna werden bestanden bij slachtoffers versleuteld. Wanneer organisaties niet op de losgeldeisen reageerden werden ze door de aanvallers gebeld of gemaild om toch te betalen. De e-mails waren ook voorzien van links naar video's waarin de gestolen bestanden te zien waren. Wanneer slachtoffers niet betaalden werden ze door de groep openbaar gemaakt. Tijdens de operatie werden servers van de groep in de Verenigde Staten, Duitsland en het Verenigd Koninkrijk in beslag genomen, alsmede acht domeinnamen. Hoeveel slachtoffers de groep heeft gemaakt is onbekend. Tijdens de operatie werden 43 getroffen bedrijven ontdekt in meer dan veertien verschillende landen. bron: https://www.security.nl

Het cybercrimeverdrag van de Verenigde Naties (VN) vormt een bedreiging voor mensenrechten en de werkzaamheden van cybersecurity-onderzoekers en journalisten, zo stelt de Duitse hackersclub CCC. Vorige week stemde een VN-commissie in met het verdrag. Later dit jaar zal de Algemene Vergadering van de VN over het verdrag stemmen. De CCC roept Europa op om tegen te stemmen. Al jaren stellen burger- en mensenrechtenbewegingen dat het verdrag onder andere te breed is en allerlei waarborgen mist voor het beschermen van mensenrechten. De kritiek is echter niet meegenomen in de verdragstekst waarover vorige week een akkoord werd bereikt. De CCC spreekt van een 'gevaarlijke misser'. "Het bevat nog steeds brede surveillanceverplichtingen die door VN-leden geïmplementeerd zouden moeten worden, maar zonder dat deze bevoegdheden worden bewaakt door minimale juridische standaarden." Zo introduceert het uitgebreide bevoegdheden om metadata van telecomverkeer te verzamelen en in real-time communicatie te onderscheppen. De tekst van het verdrag bevat ook geen minimale standaarden voor databescherming, maar juist een uitbreiding van wereldwijde samenwerking tussen opsporingsdiensten en geheime diensten, gaat de CCC verder. "Iedereen die het respecteren van mensenrechten en zelfbeschikking op informatiegebied belangrijk vindt, moet de verdragstekst afwijzen. Deze surveillancegekte moet niet in Europa worden geratificeerd", zegt CCC-woordvoerder Dirk Engling. Een ander kritiekpunt in de verdragstekst is het ontbreken van duidelijke regels die cybersecurity-onderzoekers en journalisten in staat stellen te werken zonder angst voor repressie. "Journalisten en oppositieleden lopen met name gevaar door de overeenkomst. VN-staten zouden medeplichtig kunnen worden aan de vervolging van journalisten, activisten of dissidenten door gedwongen te worden hun data aan repressieve regimes te verstrekken." bron: https://www.security.nl

De makers van OpenVPN hebben uitgehaald naar Microsoft wegens het gebruik van de term 'zero-days' die in het veelgebruikte vpn-protocol aanwezig zouden zijn. OpenVPN behoort tot de meestgebruikte protocollen voor het opzetten van vpn-verbindingen. Microsoft-onderzoeker Vladimir Tokarev ontdekte verschillende kwetsbaarheden in het protocol, die volgens de onderzoeker miljoenen OpenVPN-endpoints wereldwijd raken. Via de beveiligingslekken zou onder andere remote code execution mogelijk zijn. In maart van dit jaar kwam OpenVPN met updates en beveiligingsbulletins voor de gevonden problemen. Afgelopen donderdag gaf Tokarev tijdens de Black Hat USA 2024 conferentie in Las Vegas een presentatie met de titel 'OVPNX: 4 Zero-Days Leading to RCE, LPE and KCE (via BYOVD) Affecting Millions of OpenVPN Endpoints Across the Globe'. Microsoft kwam op dezelfde dag met een blogposting waarin het meer details gaf. Twee van de vier kwetsbaarheden (CVE-2024-1305 en CVE-2024-27903) zijn als kritiek aangemerkt. Tijdens de presentatie liet Tokarev zien hoe de verschillende kwetsbaarheden zijn te combineren om kwetsbare systemen over te nemen. De aanval gaf hij de naam OVPNX. In zowel de titel als de omschrijving van zijn presentatie spreekt de onderzoeker geregeld over 'zero-days'. Volgens de makers van OpenVPN zijn de claims van de Microsoft-onderzoeker dat er zero-days in OpenVPN aanwezig zijn, waardoor de 'OVPNX'-aanval mogelijk is, onjuist. "De definitie van zerodaylekken is dat details openbaar zijn, maar er geen patch beschikbaar is. De OpenVPN-community heeft in maart 2024 een nieuwe versie uitgebracht met de oplossingen en details. Daarom zijn dit gewoon geen zerodaylekken", aldus het OpenVPN-ontwikkelteam. Dat heeft zelf ook meer details over de kwetsbaarheden gegeven. Zo zou een aanvaller al vergaande toegang tot een systeem moeten hebben om de kwetsbaarheden te misbruiken. "Voldoende toegang dat je waarschijnlijk deze kwetsbaarheden niet hoeft te misbruiken." bron: https://www.security.nl

Microsoft waarschuwt voor een spoofing-kwetsbaarheid in Microsoft Office 2016, 2019, LTSC 2021 en Microsoft 365 Apps for Enterprise waardoor een aanvaller NTLM-hashes van gebruikers kan stelen. Een beveiligingsupdate wordt morgen 13 augustus beschikbaar gemaakt. In de tussentijd heeft Microsoft voor ondersteunde Office-versies een 'alternative fix' uitgerold. Volgens het techbedrijf zijn klanten van alle ondersteunde versies van Microsoft Office en Microsoft 365 beschermd, maar wordt het installeren van de update morgen aangeraden. Daarnaast heeft Microsoft advies gegeven om het stelen van NTLM-hashes tegen te gaan. De kwetsbaarheid, aangeduid als CVE-2024-38200, werd gerapporteerd door Jim Rush van PrivSec Consulting en Metin Yunus Kandemir van Synack. Rush gaf dit weekend tijdens de Defcon-conferentie Las Vegas meer details over het beveiligingslek. Microsoft stelt dat misbruik alleen mogelijk is als gebruikers een malafide bestand openen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. Kwetsbaarheden in Office zijn in het verleden vaker gebruikt voor het stelen van NTLM-hashes. Via het malafide document kan een aanvaller het slachtoffer op zijn server laten inloggen, waarbij de hash wordt verstuurd, die vervolgens kan worden onderschept. De aanvaller kan daarna proberen de NTLM-hash te kraken of die te 'relayen' en zich zo als het slachtoffer bij andere diensten te authenticeren. bron: https://www.security.nl

Onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) konden wereldwijd miljoenen zonnepaneelsystemen van fabrikant Enphase via kritieke kwetsbaarheden op afstand overnemen. De fabrikant heeft na te zijn ingelicht maatregelen genomen. De eerste problemen werden aangetroffen in het accountbeheer van Enphase-apparatuur. De gelijkstroom die zonnepanelen leveren wordt via omvormers omgezet in wisselstroom. Enphase biedt systemen waarbij elk systeem van een eigen micro-omvormer is voorzien. De systemen die Enphase biedt kunnen gebruikers via een account beheren. DIVD-onderzoeker Wietse Boonstra ontdekte een kwetsbaarheid waardoor hij zichzelf beheerder van andere accounts kon maken, meldt Follow The Money vandaag. Enphase werd ingelicht waarna de belangrijkste kwetsbaarheid binnen 24 uur verholpen. Daarnaast vonden DIVD-onderzoekers ook zes kritieke kwetsbaarheden in Enphase IQ Gateway, dat eerder nog bekend stond als Enphase Envoy. Deze oplossing verzorgt de communicatie via de micro-omvormers van zonnepanelen en de Enphase-app. Door drie van de kwetsbaarheden te combineren was het mogelijk voor een ongeauthenticeerde aanvaller om op afstand commando's op het systeem uit te voeren. Via de gevonden problemen zou een aanvaller kunnen proberen om via een aanval op de zonnepaneelsystemen het stroomnet te ontregelen. "Een gateway is alleen kwetsbaar als de Enphase-apparatuur is gekoppeld aan een niet-vertrouwd netwerk, zoals het openbare internet of een gastennetwerk thuis. Volgens de fabrikant zijn er zo’n vier miljoen systemen geïnstalleerd in meer dan 150 landen", zo laat het DIVD in een persbericht weten. De gevonden beveiligingslekken zijn verholpen in de volgende release die momenteel wordt uitgerold. DIVD werkt samen met Enphase om wereldwijd kwetsbare en blootgestelde Envoy IQ Gateways te identificeren om te helpen bij het patchen. "De energiesector is essentieel voor ons dagelijks leven, maar door de snelle energietransitie nemen de kwetsbaarheden toe. Nieuwe technologieën zoals slimme netwerken en IoT-apparaten verhogen de risico’s, vaak sneller dan de beveiligingsmaatregelen kunnen bijbenen. Daarom is het cruciaal om cyberbeveiliging prioriteit te geven om deze bedreigingen te beheersen", zo laat het DIVD verder weten. bron: https://www.security.nl

Aanvallers maken misbruik van een zes jaar oude kwetsbaarheid in Windows, ook al is een update sinds 8 mei 2018 beschikbaar, zo laat Cisco weten. De Amerikaanse overheid heeft het beveiligingslek, aangeduid als CVE-2018-0824, aan een lijst met actief aangevallen kwetsbaarheden toegevoegd. Cisco waarschuwde vorige week voor een groep genaamd APT41 die zich zowel met spionage als financieel gemotiveerde cybercrime bezighoudt. CVE-2018-0824 betreft een kwetsbaarheid in Microsoft COM for Windows waardoor remote code execution mogelijk is. APT41 gebruikt het beveiligingslek om de eigen rechten te verhogen op systemen waar het al toegang toe heeft, aldus de uitleg van Cisco. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft het Windows-lek toegevoegd aan de lijst met actief aangevallen kwetsbaarheden. Amerikaanse overheidsinstanties zijn daarnaast opgedragen om de update waarmee het beveiligingslek wordt verholpen voor 26 augustus te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

De campagne die Mozilla afgelopen juni startte over 'onofficiële' websites die Firefox aanbieden heeft ruim achttienhonderd meldingen opgeleverd, zo laat de Firefox-ontwikkelaar weten. Het gaat om sites die downloads van Firefox aanbieden, waarbij er niet direct wordt doorgelinkt naar Mozilla.org. Volgens Mozilla waren veel van de Firefox-downloads vorig jaar afkomstig van onbekende bronnen. Dit brengt verschillende risico's met zich mee, bijvoorbeeld dat gebruikers een verouderde of malafide versie van de browser downloaden en installeren, aldus de Firefox-ontwikkelaar. Die riep gebruikers op om dergelijke websites te rapporteren. De campagne heeft in totaal 1844 meldingen opgeleverd, aan de hand waarvan 683 unieke third-party websites en 105 unieke downloadlinks werden geïdentificeerd. Mozilla gebruikt de meldingen voor verder onderzoek dat nog gaande is. bron: https://www.security.nl

Thuisgebruikers wereldwijd zijn het doelwit van een nieuwe campagne waarbij de Magniber-ransomware wordt verspreid. Voor het ontsleutelen van bestanden wordt een bedrag van duizend dollar gevraagd, dat oploopt tot vijfduizend dollar als er niet binnen drie dagen wordt betaald. Waar veel ransomwaregroepen zich richten op bedrijven en andere organisaties, heeft Magniber het vooral op thuisgebruikers voorzien. Sinds 20 juli ontving ID-Ransomware, een website waar slachtoffers van ransomware kunnen kijken door welke variant ze zijn getroffen, meer dan zevenhonderd inzendingen van de Magniber-ransomware, zo laat het tegenover Bleeping Computer weten. De website zag op het eigen forum ook een toename van Magniber-slachtoffers die om hulp vroegen. In het verleden gebruikte de Magniber-groep nep-updates om slachtoffers met ransomware te infecteren. Hoe de nieuwste infecties plaatsvinden is onbekend. Wel blijkt dat verschillende slachtoffers met Windows 7 werken. Vorig jaar gebruikte de groep nog een onbekende kwetsbaarheid in Windows om Microsofts SmartScreen te omzeilen en slachtoffers zo te verleiden tot het openen van malafide bestanden. Het beveiligingslek werd drie maanden na ontdekking van het eerste misbruik door Microsoft gepatcht. Er is geen decryptietool voor de nieuwste Magniber-variant beschikbaar. bron: https://www.security.nl

Google schaadt de belangen van miljarden Chrome-gebruikers door trackingcookies toch in de browser te blijven gebruiken, ook al had het eerder aangegeven hiermee te stoppen, zo stelt de Amerikaanse burgerrechtenbeweging EFF. Die wil dat Google de beslissing terugdraait, het bedrijf wordt opgebroken en er strengere privacywetgeving komt, die onder andere gerichte advertentie verbiedt. Trackingcookies spelen een belangrijke rol bij het volgen van gebruikers op internet en tonen van gerichte advertenties. Vanwege privacyzorgen worden dergelijke cookies door meerdere browsers inmiddels geblokkeerd. Google had plannen aangekondigd om trackingcookies in de eigen browser uit te faseren, maar kwam daar vorige maand op terug. "Door deze plannen te verlaten stelt Google miljarden Chrome-gebruikers bloot aan online surveillance", aldus de EFF. "Dit is slecht voor jouw privacy en goed voor Googles business." Volgens de burgerrechtenbeweging is de beslissing van Google om trackingcookies in Chrome te blijven ondersteunen het gevolg van Googles businessmodel. Het grootste deel van de inkomsten die het techbedrijf verdient is afkomstig van gerichte advertenties. "Google is de grootste tracker op internet, en de meeste websites die je bezoekt bevatten Google-trackers, (waaronder maar niet beperkt tot third-party cookies)", gaat de burgerrechtenbeweging verder. "Nu Chrome gebruikers kwetsbaar voor tracking laat, blijft Google bijna tachtig procent van hun inkomsten via online advertenties ontvangen", De EFF ziet verschillende oplossingen om de problematiek aan te pakken. Zo zou de marktmacht van Google doorbroken moeten worden door het bedrijf op te splitsen. Daarnaast moet het techbedrijf de beslissing terugdraaien en trackingcookies toch uitfaseren. "Zeker wanneer andere grote browsers die al jaren blokkeren, is het een duidelijke schending van het vertrouwen van gebruikers. Google moet de privacy van mensen boven hun eigen advertentie-inkomsten plaatsen en echte oplossingen zoeken voor mededingszorgen." Verder adviseert de EFF gebruikers om anti-trackingextensies te installeren. "We hebben ook privacywetgeving nodig om ervoor te zorgen dat privacystandaarden niet door advertentiebedrijven worden bepaald." Daarbij zouden ook gerichte advertenties moeten worden verboden, aangezien die de reden voor de buitensporige dataverzameling zijn. "Googles beslissing om third-party cookies in Chrome toe te blijven staan is een grote teleurstelling. Om internet te gebruiken zou je je niet moeten overgeven aan uitgebreide surveillance. Nu Google winst boven privacy plaatst hebben we wetgeving nodig die jou controle over je data geeft", besluit de EFF haar pleidooi. bron: https://www.security.nl

Een spionagegroep is erin geslaagd om de DNS-infrastructuur van een niet nader genoemde internetprovider te kapen om zo besmette updates onder klanten te verspreiden, zo stelt securitybedrijf Volexity in een analyse. Via de besmette updates werden zowel macOS- als Windowssystemen bij aangevallen organisaties gecompromitteerd. Het Domain Name System (DNS) is het systeem en netwerkprotocol dat namen van domeinen koppelt aan ip-adressen en omgekeerd. Doordat de aanvallers de DNS-omgeving van de provider hadden gecompromitteerd konden ze via aangepaste DNS-responses bepaalde applicaties malafide updates laten downloaden. Het ging hierbij specifiek om applicaties die automatische updates via HTTP uitvoeren en de digitale handtekening van de update of installer niet goed controleren. Eén van de applicaties waar de aanvallers het op hadden voorzien was 5KPlayer. Deze applicatie zal bij elke start controleren of er een nieuwe versie van de software YoutubeDL beschikbaar is. Hiervoor verstuurt 5KPlayer een HTTP-request. Wanneer er een nieuwe versie beschikbaar is zal 5KPlayer die vanaf een opgegeven locatie downloaden. De aanvallers konden, omdat er gebruik werd gemaakt van HTTP, het verzoek onderscheppen en laten weten dat er een update beschikbaar was, die vanaf hun server gedownload moest worden. De aangeboden update bevatte echter malware, waarmee de aanvallers systemen konden compromitteren. Bij één van de succesvolle aanvallen installeerden de aanvallers vervolgens een malafide Google Chrome-extensie waarmee browsercookies werden gestolen. Hoe de aanvallers de betreffende internetprovider konden compromitteren en welke apparatuur daarbij werd besmet is niet bekend. Volexity waarschuwde de ISP, die vervolgens verschillende netwerkapparaten offline haalde, waarna de DNS-manipulatie meteen stopte. bron: https://www.security.nl

Google Chrome waarschuwt gebruikers van uBlock Origin dat het de populaire adblocker binnenkort zal uitschakelen. Dat laat ontwikkelaar Raymond Hill op X en GitHub weten. Aanleiding voor de melding is dat Googles browser stopt met de ondersteuning van extensies die op Manifest V2-gebaseerd zijn. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google gaat Manifest V2 vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Er is geen Manifest V3-versie van uBlock Origin beschikbaar. Vanwege de nieuwe regels lanceerde Hill twee jaar geleden een 'lite' versie van de adblocker genaamd uBO Lite (uBOL). Dit is een beperktere versie van uBlock Origin met minder mogelijkheden. Huidige gebruikers van uBlock Origin zullen niet automatisch naar de lite-versie worden overgezet, omdat er te grote verschillen zijn. Volgens Hil is het uiteindelijk aan gebruikers of uBO Lite een acceptabel alternatief voor uBlock Origin is. "Het is geen keuze die voor jou wordt gemaakt." Tevens merkt de ontwikkelaar op dat er andere browsers zijn die Manifest V2 blijven ondersteunen, zoals Firefox. bron: https://www.security.nl

Een kwetsbaarheid in de SecureCore UEFI-firmware van leverancier Phoenix raakt meerdere generaties Intel-processors, zo waarschuwen onderzoekers van securitybedrijf Eclypsium. Via het beveiligingslek kan een aanvaller die toegang tot een systeem heeft zijn rechten verhogen en code in de UEFI-firmware uitvoeren. Aanvallers zouden op deze manier een backdoor kunnen verbergen, aldus de onderzoekers. Phoenix kwam afgelopen mei met updates. Eclypsium heeft nu details over de kwetsbaarheid (CVE-2024-0762) in de Phoenix SecureCore UEFI-firmware openbaar gemaakt. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. De onderzoekers ontdekten een onveilige variabele in de Trusted Platform Module (TPM) configuratie die tot een buffer overflow en het uitvoeren van malafide code kan leiden. De betreffende SecureCore-firmware draait op verschillende generaties Intel-processors, waaronder AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake en TigerLake. "Gegeven dat deze Intel Core-processors door allerlei fabrikanten worden gebruikt, kan dezelfde kwetsbaarheid een groot aantal leveranciers en mogelijk honderden pc-producten raken die ook van de Phoenix SecureCore UEFI-firmware gebruikmaken", zo waarschuwen de onderzoekers. Die voegen toe dat misbruik afhankelijk is van de configuratie en permissies die aan de betreffende variabele zijn toegekend, wat voor elk platform verschillend kan zijn. bron: https://www.security.nl

Tor Browser heeft de laatste grote versie uitgebracht die Windows 8.1 en macOS Mojave ondersteunt. Daarnaast is voor Androidgebruikers de gebruikersinterface verbeterd voor het opzetten van een verbinding met het Tor-netwerk en zijn er voor de desktopversie ook allerlei verbeteringen doorgevoerd. "Tor Browser 13.5 voelt als een mijlpaal", aldus Duncan Larsen-Russell van het Tor Project. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. In sommige landen wordt Tor geblokkeerd. Om gebruikers in deze landen toch verbinding met het netwerk te laten maken biedt Tor Browser verschillende opties. De interface om deze opties te gebruikers is nu bij de Androidversie verbeterd en lijkt meer op die van de desktopversie. "Uiteindelijk hopen we dat een gebruiker die succesvol censuur op de desktop weet te omzeilen dit ook eenvoudig op Android kan doen, zonder opnieuw te leren hoe het werkt", aldus Larsen-Russell. Naast een visuele aanpassing is het nu ook mogelijk om altijd automatisch verbinding te maken. Verder is de letterboxing in de desktopversie aangepast. Om fingerprinting van gebruikers tegen te gaan, waarbij trackers een profiel maken op basis van kenmerken van het systeem van internetgebruikers, biedt Tor Browser een "vast" browservenster. Dit browservenster wordt standaard afgerond op een vaste pixelverhouding. Wanneer gebruikers zelf de grootte van hun vensterscherm aanpassen kunnen ze worden gefingerprint. In 2019 introduceerde Tor Browser letterboxing, waarbij fingerprinting ook bij aangepaste browservensters wordt tegengegaan. De optie was echter niet in de instellingen van Tor Browser te vinden, wat nu is aangepast, wat ook geldt voor de vormgeving van de feature. Verder zijn foutmeldingen van Tor-sites vereenvoudigd. Als laatste waarschuwt het Tor Project dat Tor Browser 13.5 de laatste grote versie is die op Windows 8.1 en macOS Mojave wordt ondersteund. Beide platforms worden al niet meer door Apple en Microsoft ondersteund. Wanneer Tor Browser 14.0 in het vierde kwartaal van dit jaar uitkomt, zullen gebruikers op deze twee platforms geen Tor Browser-updates meer ontvangen, wat risico's voor hun privacy, security en anonimiteit met zich meebrengt, aldus Larsen-Russell. Gebruikers worden dan ook opgeroepen om voor de volgende grote release van Tor Browser naar een wel ondersteunde versie van Windows of macOS te upgraden. bron: https://www.security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen die nu een random seed op de usb-stick opslaat om zo alle encryptie te versterken. Dat hebben de ontwikkelaars bekendgemaakt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Voor allerlei cryptografische toepassingen maakt Tails gebruik van een 'cryptographically secure pseudorandom number generator'. Het gaat dan bijvoorbeeld om HTTPS, verbinding maken met het Tor-netwerk en de persistente opslag. Hoe willekeuriger een seed, hoe groter de entropie, wat het voorspellen van gegenereerde encryptiesleutels lastiger maakt. Tails-gebruikers hadden jaren geleden al gevraagd voor een random seed die op de usb-stick van Tails wordt opgeslagen. Die aanpassing is nu in Tails 6.4 doorgevoerd. bron: https://www.security.nl

VMware vCenter-servers zijn via twee kritieke kwetsbaarheden op afstand over te nemen, zo waarschuwt VMware dat updates heeft uitgebracht om de beveiligingslekken te verhelpen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers en in het verleden geregeld doelwit van aanvallen geweest. Volgens VMware bevat de implementatie van het DCERPC-protocol binnen vCenter verschillende heap-overflow kwetsbaarheden. Door het versturen van speciaal geprepareerde netwerkpakketten kan een aanvaller met toegang tot een vCenter-server code op het systeem uitvoeren. De impact van de twee kwetsbaarheden (CVE-2024-37079 en CVE-2024-37080) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Daarnaast heeft VMware een kwetsbaarheid in vCenter opgelost waardoor een geauthenticeerde lokale gebruiker rootrechten kon krijgen. Dit probleem werd veroorzaakt door een misconfiguratie van sudo. VMware zegt dat het niet bekend is met actief misbruik van de nu verholpen beveiligingslekken. Organisaties worden opgeroepen de updates zo snel mogelijk te installeren. bron: https://www.security.nl

Aanvallers maken gebruik van valse Google Chrome-meldingen op legitieme, gecompromitteerde websites om slachtoffers malafide PowerShell-scripts uit te laten voeren. Volgens securitybedrijf Proofpoint wordt deze vorm van social engineering steeds vaker toegepast. Zo waarschuwde antivirusbedrijf Ahnlab onlangs dat deze tactiek ook bij phishingmails wordt toegepast. Bij de aanvallen die Proofpoint waarnam hebben de aanvallers legitieme websites weten te compromitteren, waar vervolgens malafide HTML-code en JavaScript aan wordt toegevoegd. Zodra gebruikers de gecompromitteerde websites bezoeken krijgen ze een melding te zien die van Google Chrome afkomstig lijkt en stelt dat er een probleem is met het weergeven van de website. Om het probleem op te lossen moet de gebruiker volgens de foutmelding een "rootcertificaat" installeren. Hiervoor moet de gebruiker "code" kopiëren en in Windows PowerShell uitvoeren, aldus de instructies. In werkelijkheid is de "code" een malafide PowerShell-script dat wanneer uitgevoerd verschillende infostealer-malware op het systeem installeert. Deze malware kan allerlei wachtwoorden, inloggegevens en andere data van het systeem stelen en terugsturen naar de aanvallers. Ook verandert de malware crypto-adressen in het clipboard met die van de aanvaller. Wanneer slachtoffers op een besmet systeem een cryptotransactie doen en de wallet van de begunstigde kopiëren zorgt de malware ervoor dat het adres in het clipboard wordt aangepast en het geld naar de aanvaller gaat als de gebruiker niet goed oplet bij het plakken. "Deze aanvalsketen vereist aanzienlijke interactie van de gebruiker om succesvol te zijn. De social engineering in de valse foutmelding is slim en lijkt een betrouwbare melding afkomstig van het besturingssysteem. Het bevat zowel het probleem als de oplossing, zodat de gebruiker actie kan ondernemen zonder over het risico na te denken", aldus de onderzoekers. bron: https://www.security.nl

Verschillende routers van D-Link bevatten een 'verborgen backdoor' waarmee aanvallers op de apparaten kunnen inloggen, zo waarschuwt het Taiwanese Computer Emergency Response Team (TWCERT) Er zijn firmware-updates uitgebracht om het probleem te verhelpen. "Bepaalde modellen wifi-routers van D-Link bevatten een niet vermelde fabriekstest-backdoor. Ongeauthenticeerde aanvallers op het lokale netwerk kunnen via een speciale url Telnet inschakelen en dan inloggen via de admin-inloggegevens die in de firmware zijn te vinden", aldus de uitleg van de Taiwanese overheidsinstantie. Volgens de beschrijving van D-Link gaat het om een path traversal-kwetsbaarheid, hoewel het ook om een fout in de beschrijving kan gaan, aangezien in hetzelfde beveiligingsbulletin een andere path traversal-kwetsbaarheid wordt beschreven. Volgens de uitleg van D-Link kan een ongeauthenticeerde aanvaller toegang tot een specifieke url krijgen, waarmee Telnet is in te schakelen. Vervolgens kan een aanvaller inloggen met de hardcoded inloggegevens die in de router-firmware zijn te vinden. Het uit 1969 stammende Telnet laat gebruikers op afstand op machines inloggen. Het maakt geen gebruik van encryptie, wat inhoudt dat gebruikersnaam en wachtwoord onversleuteld worden verstuurd. Het gebruik ervan wordt dan ook afgeraden en staat tegenwoordig op veel apparaten uitgeschakeld. De aanval is volgens D-Link alleen vanaf de LAN-kant mogelijk. Het probleem lijkt dan ook vooral te spelen bij wifi-netwerken waar meerdere mensen toegang toe hebben. De impact van de kwetsbaarheid (CVE-2024-6045) is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het beveiligingslek is aanwezig in de volgende modellen: E15, G403, G415, G416, M15, M18, M32, R03, R04, R12, R15, R18, R32 en AQUILA PRO AI Family model E30, M30 en M60. De beschikbare firmware-updates kunnen automatisch en handmatig worden geïnstalleerd. bron: https://www.security.nl

Aanvallers maken gebruik van Discord-emoji's om besmette systemen te besturen, zo meldt securitybedrijf Volexity in een analyse. Het gaat hierbij specifiek om systemen die een Linux-distributie genaamd BOSS draaien. BOSS is een in India ontwikkelde Linux-distributie die onder andere op desktops van overheidsinstanties draait. Volgens de BOSS-ontwikkelaars is de distributie zes miljoen keer geïnstalleerd. Bij de aanvallen versturen de aanvallers naar hun doelwit een zip-bestand, dat een malafide ELF-bestand bevat. Volgens Volexity is het zeer waarschijnlijk dat de aanvallers weten dat hun doelwit de BOSS-distributie draait. Zodra gebruikers het bestand openen wordt er een PDF-bestand als afleiding gedownload. In de achtergrond wordt daarnaast de 'Disgomoji-malware' gedownload. Via deze malware krijgen aanvallers controle over het systeem. De communicatie via het besmette systeem gaat via een Discord-server. Zodra het systeem wordt gestart verstuurt de malware informatie over het systeem naar de Discord-server. Het gaat dan om intern ip-adres, gebruikersnaam, hostnaam, besturingssysteem en working directory. Daarbij zijn er ook aanvallen waargenomen waarbij de aanvallers de DirtyPipe (CVE-2022-0847) exploit gebruikten om rootrechten te krijgen. Hoewel deze kwetsbaarheid al twee jaar oud is, blijkt de meest recente BOSS-versie nog steeds kwetsbaar te zijn. Door middel van een cronjob wordt de malware bij elke herstart geladen. Wat de malware doet opvallen is dat de aanvallers door middel van Discord-emoji's opdrachten aan het besmette systeem kunnen geven, zoals het maken van screenshots, downloaden van bestanden en uitvoeren van commando's. Volgens Volexity wordt de malware vermoedelijk door een Pakistaanse actor tegen Indiaanse overheidsinstanties ingezet. bron: https://www.security.nl

Mozilla heeft het op privacy gerichte advertentietechbedrijf Anonym overgenomen. Anonym "privacyveilige manieren" waarop adverteerders kunnen zien hoe hun advertenties en advertentiecampagnes presteren, waarbij de privacy van internetgebruikers wordt gerespecteerd. Het bedrijf werd in 2022 door twee voormalige Meta-topfiguren opgericht. "Door op veilige wijze versleutelde datasets van platforms en adverteerders te combineren, maakt Anonym schaalbare, privacyveilige metingen en optimalisaties van advertentiecampagnes mogelijk, en zorgt daarmee voor een verschuiving naar een duurzamer advertentie-ecosysteem", aldus Mozilla. Volgens de Firefox-ontwikkelaar zorgt de omgeving van Anonym ervoor dat adverteerders, uitgevers en Anonym zelf geen toegang tot "user level data" hebben. Tevens worden gegevens geanonimiseerd verwerkt, wat zorgt voor 'geanonimiseerde inzichten en modellen', zodat adverteerders kunnen zien hoe hun advertentiecampagnes het doen, zonder dat hierbij de privacy van internetgebruikers wordt geschonden, gaat Mozilla verder. Als laatste wordt er gebruikgemaakt van "differentiële privacy-algoritmes", waarbij er "ruis" aan de data wordt toegevoegd, om zo te voorkomen dat die naar individuele gebruikers is te herleiden. Mozilla is van plan om Anonym binnen de "Mozilla familie" te integreren. Details over de overname zijn niet bekendgemaakt. bron: https://www.security.nl

PHP heeft updates uitgebracht waarmee een kritieke kwetsbaarheid (CVE-2024-4577) in de Windowsversie wordt verholpen die remote code execution (RCE) op de onderliggende server mogelijk maakt. Een ongeautoriseerde aanvaller kan willekeurige code op servers uitvoeren waar PHP in de CGI mode draait en de Chinese of Japanse taal is ingesteld. De bekende beveiligingsonderzoeker Orange Tsai, die het probleem ontdekte, waarschuwt dat Windowssystemen waarvoor een andere taal is ingesteld mogelijk ook risico kunnen lopen. Organisaties worden dan ook opgeroepen om naar de laatste PHP-versie te updaten. In 2012 werd er een kwetsbaarheid (CVE-2012-1823) in PHP gevonden die het uitvoeren van willekeurige code mogelijk maakt. Het probleem werd gepatcht, maar door een feature van Windows voor het omzetten van karakters is het mogelijk om via bepaalde 'character sequences' de patch voor CVE-2012-1823 te omzeilen en wederom code op de server uit te voeren. De kwetsbaarheid werd op 7 mei aan het PHP-ontwikkelteam gerapporteerd en gisteren verschenen PHP 8.3.8, 8.2.20 en 8.1.29 waarin het probleem is verholpen. Orange Tsai heeft geen exacte details gegeven hoe remote code execution mogelijk is, maar onderzoekers van securitybedrijf Watchtower hebben wel een blogposting gepubliceerd waarin ze het uitvoeren van code laten zien. De onderzoekers spreken van een 'nasty bug' en waarschuwen dat er een grote kans is dat er misbruik van zal worden gemaakt, vanwege de eenvoud waarmee dit mogelijk is. De Shadowserver Foundation meldt dat proof-of-concept exploitcode openbaar is en er inmiddels tests tegen de honeypotservers van de organisatie zijn waargenomen. bron: https://www.security.nl