Captain Kirk

Aanvallers maken misbruik van Microsofts Quick Assist om organisaties met ransomware te infecteren, zo meldt Microsoft. Quick Assist is een programma van Microsoft waarmee gebruikers hun Windowscomputer of Mac met iemand anders op afstand kunnen delen. Zo kan deze andere persoon het betreffende systeem op afstand volledig overnemen. Volgens Microsoft bellen de aanvallers slachtoffers op, waarbij ze zich voordoen als medewerkers van de automatiseringsafdeling of Microsoft en proberen dan via Quick Assist toegang tot het systeem van het slachtoffer te krijgen. Zodra de aanvallers toegang hebben installeren ze malware zoals QakBot en tools waaronder ScreenConnect, NetSupport Manager en Cobalt Strike. Via deze tools en malware proberen de aanvallers zich lateraal door het netwerk van de organisatie te bewegen om uiteindelijk de ransomware uit te rollen. Microsoft adviseert organisaties om Quick Assist en andere remote management tools te blokkeren of te verwijderen als die niet binnen de bedrijfsomgeving worden gebruikt. Tevens moeten hun organisaties hun personeel voorlichten over social engineering en helpdeskfraude. bron: https://www.security.nl

Google heeft voor de derde keer binnen een week een kwetsbaarheid in Chrome verholpen waar aanvallers actief misbruik van maakten voordat de update beschikbaar was. Net als het beveiligingslek dat op 13 mei werd gepatcht gaat het ook nu om een kwetsbaarheid in V8, aangeduid als CVE-2024-4947. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd op 13 mei door twee onderzoekers van antivirusbedrijf Kaspersky gemeld. Google Chrome krijgt vaker met actief aangevallen beveiligingslekken te maken, maar drie van dergelijke kwetsbaarheden binnen één week is niet eerder voorgekomen. Op 9 mei kwam Google met een update voor een aangevallen beveiligingslek in het 'Visuals' onderdeel van de browser, aangeduid als CVE-2024-4671. Op 13 mei volgde een update voor de aangevallen V8-kwetsbaarheid (CVE-2024-4761), gevolgd door een tweede V8-kwetsbaarheid gisterenavond (CVE-2024-4947). Het totaal aantal beveiligingslekken dat actief tegen gebruikers is ingezet voordat een patch beschikbaar was komt daarmee op vijf. Google Chrome 125.0.6422.60/.61 is beschikbaar voor macOS en Windows. Voor Linux is versie 125.0.6422.60 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Softwarebedrijven moeten hun gebruikers beter waarschuwen voor onveilige configuraties, verdacht gedrag en besmette downloads, zo stellen cyberagentschappen van zes landen. De waarschuwing staat in een document over het voorkomen van cyberdreigingen voor maatschappelijke organisaties, zoals denktanks, ngo's, mensenrechtenbewegingen, activisten en journalisten (pdf). Volgens de overheidsdiensten uit Canada, Estland, Finland, Japan, Verenigd Koninkrijk en Verenigde Staten zijn de genoemde organisaties doelwit van statelijke actoren die 'democratische waarden' willen ondermijnen. Het document beschrijft maatregelen die organisaties en personen kunnen nemen om zich te beschermen, zoals het installeren van beveiligingsupdates, inschakelen van multifactorauthenticatie (MFA), beperken van de hoeveelheid persoonlijke informatie op internet, inschakelen van de Lockdown Mode op iOS en het gebruik van encryptie om alle communicatie te beschermen. "Zonder encryptie kunnen aanvallers onversleutelde of ongeauthenticeerde kanalen misbruiken om malware op apparaten te injecteren, wat grote risico's voor de privacy en veiligheid vormt." Daarnaast richten de overheidsdiensten zich ook op softwarebedrijven. Die moeten ervoor zorgen dat MFA standaard binnen hun producten staat ingeschakeld, algemeen bekende klassen van kwetsbaarheden worden opgelost en logging zonder extra kosten beschikbaar is. Tevens moeten gebruikers beter worden gewaarschuwd voor onveilige configuraties, verdacht gedrag en besmette downloads. De landen pleiten voor het implementeren van 'attention grabbing alerts'. Daarbij wordt in een ander document over veilig softwareontwerp de vergelijking gemaakt met waarschuwingsgeluid dat auto's geven wanneer de gordel niet wordt gebruikt (pdf). bron: https://www.security.nl

GitHub waarschuwt voor een kritieke kwetsbaarheid in Git waardoor remote code execution mogelijk is en roept gebruikers op om naar de nieuwste versie te updaten. Git is een populaire oplossing voor softwareontwikkelaars om code van een lokale repository naar een remote Git-repository te krijgen. Zo kunnen meerdere programmeurs aan de code werken. Het is ook mogelijk om een remote Git-repository naar een lokale machine of andere locatie te kopiëren. In het geval van repositories met submodules is het mogelijk om tijdens de 'clone' operatie code uit te laten voeren, zonder dat de gebruiker de kans krijgt om te zien welke code er wordt uitgevoerd. Dit is mogelijk door Git via een directory en symbolisch link in de war te brengen, aldus Johannes Schindelin van GitHub. De aanval werkt niet wanneer ondersteuning van symbolisch links in Git is uitgeschakeld. Tevens wordt ontwikkelaars aangeraden om geen repositories van onbetrouwbare bronnen te klonen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. bron: https://www.security.nl

Een kwetsbaarheid in Windows is wekenlang actief misbruikt bij malware-aanvallen zonder dat een update beschikbaar was om het probleem te verhelpen. Gisterenavond kwam Microsoft tijdens de patchronde van mei met een update. Het beveiligingslek in de Windows Desktop Window Manager (DWM) core library is één van de twee actief aangevallen kwetsbaarheden die Microsoft deze maand heeft verholpen. De Desktop Window Manager wordt gebruikt voor de weergave van de Windows-desktop. Een kwetsbaarheid in het onderdeel, aangeduid als CVE-2024-30051, maakt het mogelijk voor aanvallers die al toegang tot het systeem hebben om hun rechten te verhogen. In dit geval kunnen er SYSTEM-rechten worden verkregen, waarmee een aanvaller volledige controle over het systeem krijgt. Het beveiligingslek alleen is niet voldoende om een systeem op afstand te compromitteren. Dit zou moeten worden gecombineerd met een andere kwetsbaarheid of een aanvaller zou via malware of andere malafide applicatie toegang moeten hebben. Het beveiligingslek werd door onderzoekers van Kaspersky. Google Threat Analysis Group, Google Mandiant en DBAPPSecurity WeBin Lab aan Microsoft gerapporteerd. Kaspersky ontdekte een exploit die van de kwetsbaarheid misbruik maakt op 1 april in een document dat naar Googles online virusscanner VirusTotal was geüpload. Volgens de virusbestrijder lijkt CVE-2024-30051 heel veel op een andere kwetsbaarheid in de Windows DWM core library (CVE-2023-36033) die ook actief werd misbruikt voordat een update beschikbaar was. Kaspersky wil nog geen verdere details geven, maar laat wel weten dat het beveiligingslek is gebruikt door de criminelen achter de Qakbot-malware en andere malware-families. Het antivirusbedrijf denkt dan ook dat meerdere aanvallers kennis van de kwetsbaarheid hebben. De Qakbot-malware die Kaspersky noemt wordt via phishingmails verspreid en kan op besmette computers inloggegevens stelen en verdere malware installeren. De tweede actief aangevallen betreft CVE-2024-30040, een kwetsbaarheid in het Windows MSHTML-platform. Het beveiligingslek wordt aangeduid als een 'security feature bypass' waarmee een aanvaller beveiligingsmaatregelen van Microsoft 365 en Microsoft Office kan omzeilen. Misbruik is mogelijk wanneer een doelwit een malafide document opent. Details over de aanvallen zijn niet gegeven. De Windows-updates worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

VMware heeft vandaag beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid in VMware Workstation en Fusion waardoor een aanvaller vanuit een virtual machine het onderliggende host-systeem kan kapen. Het beveiligingslek werd afgelopen maart tijdens de Pwn2Own-wedstrijd in Vancouver gedemonstreerd. Het beveiligingslek bevindt zich in het virtuele bluetooth device van VMware Workstation en Fusion. Een aanvaller die in de virtual machine beheerdersrechten heeft kan via de kwetsbaarheid een use-after-free veroorzaken, om vervolgens code op het host-systeem uit te voeren. De impact van het beveiligingslek, aangeduid als CVE-2024-22267, is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Daarnaast zijn ook verschillende andere kwetsbaarheden die tijdens Pwn2Own werden gedemonstreerd verholpen, maar die hebben een lagere impact. De onderzoekers die de VMware-aanval tijdens Pwn2Own demonstreerden ontvingen hiervoor een beloning van 130.000 dollar. bron: https://www.security.nl

Aanvallers maken gebruik van malafide advertenties voor WinSCP en PuTTY om systemen met ransomware te infecteren, zo stelt securitybedrijf Rapid7. Volgens onderzoekers zijn met name medewerkers van it-teams, die naar legitieme versies van de software zoeken door de aanval getroffen. De advertenties wijzen naar nagemaakte versies van de officiële website of een eenvoudige downloadpagina. Via deze pagina's wordt een zip-bestand aangeboden met een getrojaniseerde versie van WinSCP of PuTTY. Zodra gebruikers de software installeren wordt tevens malware geïnstalleerd. Via deze malware proberen de aanvallers vervolgens aanvullende malware op het systeem te installeren. Rapid7 zegt dat aanvallers eerst proberen om data te stelen en daarna ransomware uit te rollen. Gebruikers wordt aangeraden om de bron van hun downloads goed te controleren, alsmede of de hashes van het gedownloade bestand overeenkomen met die op de officiële website. "Getroffen gebruikers zijn onevenredig vaak leden van it-teams, die vaker installatieprogramma's voor tools zoals PuTTY of WinSCP downloaden. Wanneer het account van een it-medewerker is gecompromitteerd, heeft de aanvaller toegang met verhoogde rechten, wat onderzoek bemoeilijkt, omdat ze hun acties met die van de beheerder kunnen laten samengaan. Dit onderstreept de noodzaak om voor het downloaden de bron van bestanden te verifiëren en de inhoud voor het uitvoeren ervan", aldus het securitybedrijf. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om in te breken op een server van securitybedrijf Zscaler, zo heeft het bedrijf vandaag bevestigd. Vorige week verscheen op X een bericht waarin werd gesteld dat een aanvaller toegang bood tot systemen van Zscaler. Daarop startte het securitybedrijf een onderzoek, waaruit bleek dat een 'geïsoleerde testomgeving op een enkele server' toegankelijk was vanaf het internet. De server bevat volgens het bedrijf geen klantgegevens. Het onderzoek naar het incident is nu afgerond en Zscaler meldt dat een server in een testomgeving is getroffen, die niet op de infrastructuur van Zscaler werd gehost. De server bevatte geen klantgegevens en de aanval had geen gevolgen voor de klant-, productie- en bedrijfsomgevingen van het bedrijf. Hoe de server kon worden gecompromitteerd en wat wordt gedaan om dit in de toekomst te voorkomen laat Zscaler niet weten. bron: https://www.security.nl

Google heeft voor de tweede keer binnen vijf dagen een actief aangevallen zerodaylek in Chrome verholpen. Na een update op 9 mei voor een beveiligingslek (CVE-2024-4671) in het 'Visuals' onderdeel van de browser, verscheen gisterenavond een patch voor een kwetsbaarheid in V8 (CVE-2024-4761). Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin al vaker zerodaylekken werden gevonden. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd op 9 mei gerapporteerd door een niet nader genoemde onderzoeker. Google Chrome 124.0.6367.207/.208 is beschikbaar voor macOS en Windows. Voor Linux is versie 124.0.6367.207 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Excuus voor de late reactie. Het was de afgelopen week druk met werk. Lukt het met de aangeboden stappen van p38cyq?

Het loont ook de moeite om eens te kijken op welk kanaal je internet wordt uitgezonden. Mogelijk wordt in de buurt dit kanaal ook door andere modems gebruikt. Dit levert ook een storing op. Vaak kun je je modem zelf laten zoeken naar het best mogelijke kanaal. Heeft deze de functie niet, zijn er eenvoudige tooltjes en appjes te vinden waarmee je dit kunt meten. Het loont dus zeker om eens van kanaal te veranderen.

Bij Dell zijn de gegevens van 49 miljoen klanten gestolen, wat mogelijk was door het bruteforcen van service tags in een 'partnerportal', zo stelt de verantwoordelijke aanvaller. Die informeerde Dell in april over het probleem. Dat laat de aanvaller tegenover TechCrunch weten. Gisteren stuurde Dell een e-mail naar klanten waarin het laat weten dat klantgegevens zijn gestolen. Verdere details over hoe het datalek kon ontstaan zijn niet door Dell gegeven. De aanvaller stelt dat hij zich onder verschillende namen als partner bij het betreffende Dell-portal registreerde. Nadat Dell zijn accounts had goedgekeurd begon de aanvaller naar eigen zeggen met het bruteforcen van de service tags die Dell aan klanten toekent. Service tags bestaan uit zeven cijfers en medeklinkers. Volgens de aanvaller verstuurde hij vijfduizend requests per minuut naar de pagina waarmee klantgegevens via service tags zijn op te vragen, zonder dat Dell dit opmerkte. Na drie weken en bijna vijftig miljoen requests had de aanvaller genoeg informatie en stuurde hij Dell meerdere e-mails over de kwetsbaarheid. Het probleem werd een aantal dagen later verholpen, aldus een verklaring van de aanvaller. Die deelde verschillende screenshots van de e-mails die hij halverwege april naar Dell stuurde met TechCrunch. Dell bevestigt tegenover de website dat het de e-mails van de aanvaller heeft ontvangen. bron: https://www.security.nl

Google heeft een beveiligingsupdate uitgerold voor een actief aangevallen zerodaylek in Chrome. Het is de derde zeroday die tegen gebruikers is ingezet en dit jaar door het techbedrijf is verholpen. Het beveiligingslek, aangeduid als CVE-2024-4671, bevindt zich in het 'Visuals' onderdeel van de browser. De impact van de kwetsbaarheid, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd door een niet nader genoemde onderzoeker gerapporteerd. Google Chrome 124.0.6367.201/.202 is beschikbaar voor macOS en Windows. Voor Linux is versie 124.0.6367.201 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Citrix heeft systeembeheerders op een kritieke kwetsbaarheid in PuTTY gewezen waardoor een aanvaller in een guest virtual machine (VM) de ssh private key van een XenCenter-beheerder kan achterhalen. PuTTY is een populaire ssh-client. Vorige maand verscheen er een beveiligingsupdate voor een kwetsbaarheid in de software, aangeduid als CVE-2024-31497. Via het beveiligingslek is het mogelijk om bepaalde ssh private keys te stelen. In een beveiligingsbulletin laat Citrix weten dat versies van XenCenter for Citrix Hypervisor 8.2 CU1 LTSR gebruikmaken van PuTTY voor het opzetten van ssh-verbindingen van XenCenter naar guest VM's. Via XenCenter is het mogelijk om virtual machines uit te rollen, beheren en monitoren. Vanaf XenCenter versie 8.2.6 is PuTTY niet meer in de software aanwezig. In de versies waar PuTTY nog wel in aanwezig is kan een aanvaller de kwetsbaarheid gebruiken om de private key van de XenCenter-beheerder te achterhalen als die op de guest virtual machine inlogt. Citrix stelt dat organisaties er nu voor kunnen kiezen om PuTTY volledig te verwijderen als ze geen gebruikmaken van de 'Open SSH Console' feature. Beheerders die PuTTY wel willen behouden zullen zelf een nieuwe versie van de ssh-client moeten installeren. bron: https://www.security.nl

Mozilla gaat Firefox van een nieuwe feature voorzien die gebruikers tegen bounce trackers moet beschermen, zo heeft de browserontwikkelaar aangekondigd. Bounce tracking is een trackingmethode waarbij een gebruiker op een link klinkt en vervolgens via een trackingpagina bij de uiteindelijke bestemming komt. Op deze manier kunnen trackers 'first-party cookies' plaatsen en lezen die niet door de browser geblokkeerd worden, in tegenstelling tot zogenoemde third-party cookies waarbij dit wel het geval is. Een gebruiker zit bijvoorbeeld op de website rabbits.example en klikt op een link naar turtles.example. De tracker die op de eerstgenoemde website actief is wijzigt op het laatste moment de link naar tracker.example. De gebruiker komt zo eerst uit op de trackingsite, die de gebruiker vervolgens doorstuurt naar turtles.example. Zo weet de trackingsite dat de betreffende gebruiker interesse in konijnen en schildpadden heeft. Wanneer tracker.example zichzelf maar vaak genoeg bij het browsen van de gebruiker weet te injecteren, kan er een uitgebreid profiel van hem worden gemaakt. Mozilla laat nu weten dat het aan 'Bounce Tracking Protection' werkt, dat gebruikers hier tegen moet beschermen. De feature zorgt ervoor dat elke 24 uur de opgeslagen data van de trackers uit Firefox wordt verwijderd. Hierbij zal de browser gebruikmaken van heuristieke detectie om bounce trackers te herkennen. Bounce Tracking Protection is nu toegevoegd aan een vroege testversie van Firefox. Voorlopig staat de trackingbescherming niet volledig ingeschakeld en wordt er alleen informatie verzameld. Wanneer de feature stabiel genoeg is zal Mozilla die binnen de testversie inschakelen en wordt de trackerdata verwijderd. bron: https://www.security.nl

Dell heeft klanten gewaarschuwd voor een datalek met hun persoonsgegevens, nadat een aanvaller claimde de data van 49 miljoen klanten in handen te hebben. Het zou gaan om informatie van mensen die van 2017 tot 2024 producten bij Dell hebben aangeschaft, aldus Daily Dark Web. Het bedrijf bevestigt dat het inderdaad gegevens van klanten heeft gelekt. Volgens de e-mail wordt er een incident met een Dell-portaal onderzocht, dat gekoppeld is aan een klantendatabase. Daarbij heeft een aanvaller toegang gekregen tot naam, adresgegevens, bestelgegevens en hardware-informatie. "We denken dat er gegeven de betreffende informatie geen groot risico voor onze klanten is", aldus Dell. Hoe de aanvaller toegang tot de gegevens kon krijgen wordt niet gemeld, alsmede het aantal getroffen klanten. bron: https://www.security.nl

Securitybedrijf Zscaler heeft een testomgeving offline gehaald na geruchten over een inbraak. Op X verscheen een bericht waarin werd gesteld dat een aanvaller toegang bood tot systemen van Zscaler. Naar aanleiding van de berichtgeving stelde Zscaler dat het een 'geïsoleerde testomgeving op een enkele server' had ontdekt die toegankelijk was vanaf het internet. De server bevat volgens het bedrijf geen klantgegevens. "De testomgeving werd niet gehost op de infrastructuur van Zscaler en had geen verbinding met de omgevingen van Zscaler. De testomgeving is voor forensisch onderzoek offline gehaald", aldus een verklaring van het securitybedrijf. In een laatste update stelt Zscaler dat het onderzoek gaande is en er geen impact of inbraak is geweest op klant-, productie- of bedrijfsomgevingen. "We blijven de situatie monitoren en zullen gedurende de afronding van het onderzoek met aanvullende informatie komen." bron: https://www.security.nl

Apple heeft een kritieke kwetsbaarheid in de Windowsversie van iTunes verholpen, waardoor een aanvaller de app kan laten crashen of in het ergste geval willekeurige code op het systeem kan uitvoeren. Het beveiligingslek (CVE-2024-27793) is aanwezig in het Core Media framework dat door iTunes wordt gebruikt voor het verwerken van mediabestanden. Wanneer een kwetsbare versie van iTunes een speciaal geprepareerd mediabestand verwerkt is 'arbitrary code execution' mogelijk, aldus de uitleg van Apple. De kwetsbaarheid werd gevonden en gerapporteerd door een onderzoeker van de University of Texas. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Gebruikers wordt opgeroepen om te updaten naar iTunes 12.13.2 voor Windows. bron: https://www.security.nl

Klokkenluiderssysteem SecureDrop heeft een end-to-end versleuteld protocol aangekondigd waar toekomstige versies van SecureDrop-servers gebruik van kunnen maken. SecureDrop is een systeem waarmee klokkenluiders en journalisten met elkaar kunnen communiceren en informatie uitwisselen. Uitgevers of kranten kunnen een eigen SecureDrop-server opzetten, waar klokkenluiders documenten en tips naar toe kunnen sturen. Het maakt hiervoor gebruik van het Tor-netwerk. De ontwikkelaars van SecureDrop hebben nu een nieuw protocol gepresenteerd dat onderdeel van een herontwerp is en meer bescherming moet bieden dan het huidige model. Zo vereist het nieuwe protocol geen accounts, geen serverauthenticatie, zijn er geen berichten, blijft de 'server state' hetzelfde en wordt er geen ciphertext verzameld. Dit moet voorkomen dat een aanvaller informatie in handen krijgt waarmee de anonimiteit van de klokkenluider of vertrouwelijkheid en integriteit van inzendingen zijn te ondermijnen. Het nieuwe SecureDrop-protocol maakt gebruik van een eenvoudige API (application programming interface) met slechts drie endpoints: send, fetch en download. De requests die klokkenluiders en journalisten naar deze endpoints sturen zijn identiek gestructureerd, wat het lastiger maakt om ze te onderscheiden als iemand de server heeft gecompromitteerd of een aanval op het netwerk uitvoert. Daarnaast is de respons van de server voor elk request uniek, zodat er geen 'server state' informatie lekt. Het is de bedoeling dat de SecureDrop-server tot alleen minimale metadata toegang heeft, waardoor die ook in 'vijandige omgevingen' is te gebruiken. Op GitHub is inmiddels een proof-of-concept van het protocol gepubliceerd. SecureDrop waarschuwt dat het hier om een proof-of-concept gaat en de code niet bedoeld voor productie is. De details van het protocol zijn ook nog niet definitief. bron: https://www.security.nl

Ruim vijftigduizend Tinyproxy-servers bevatten een eenvoudig te misbruiken kritieke kwetsbaarheid, die in het ergste geval tot remote code execution kan leiden, en een bijgewerkte versie is niet beschikbaar. Dat stelt securitybedrijf Censys op basis van een eigen meting. Tinyproxy is proxysoftware voor Unix-achtige besturingssystemen en biedt eenvoudige proxyfunctionaliteit. Tinyproxy-versies 1.11.1 en 1.10 bevatten een kwetsbaarheid (CVE-2023-49606) waardoor een aanvaller via het versturen van een speciaal geprepareerde HTTP header een 'use-after-free' kan veroorzaken. Dit maakt het uitvoeren van willekeurige code op de server mogelijk. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Hoewel het is ontworpen voor kleinere netwerken, kan het compromitteren van een proxyserver ernstige gevolgen hebben, zoals datalekken en verstoringen", aldus Censys. Op 1 mei publiceerde Cisco een proof-of-concept exploit voor de kwetsbaarheid. Het bedrijf had de ontwikkelaar voor het probleem gewaarschuwd, maar kreeg naar eigen zeggen geen reactie en heeft nu details openbaar gemaakt. Censys voerde een scan uit en ontdekte meer dan 90.000 Tinyproxy-servers die vanaf internet toegankelijk zijn. Daarvan draaien er ruim vijftigduizend een kwetsbare versie. Organisaties en gebruikers die van Tinyproxy gebruikmaken wordt opgeroepen die niet vanaf internet benaderbaar te maken. Met name als de software in een ontwikkel- of testomgeving wordt gebruikt. Update De ontwikkelaar van Tinyproxy laat weten dat er een commit is waarmee de kwetsbaarheid wordt verholpen. Een bijgewerkte versie is nog niet beschikbaar, maar er wordt gekeken naar het maken van versie 1.11.2. Tevens stelt de ontwikkelaar dat hij niet is ingelicht door Cisco. bron: https://www.security.nl

Er is een 'golf' van aanvallen gaande op WordPress-sites die gebruikmaken van de plug-in LiteSpeed Cache, zo meldt WPScan, onderdeel van Automattic, het bedrijf achter WordPress.com. Via een kwetsbaarheid in de plug-in voegen aanvallers een admingebruiker toe met de naam wpsupp-user. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een beveiligingslek in versie 5.7 en ouder maakt het mogelijk voor aanvallers om malafide JavaScript in de website te injecteren en zo een admingebruiker aan te maken waarmee controle over de website kan worden verkregen. Volgens WPScan is het probleem verholpen in versie 5.7.0.1 en nieuwer. Uit cijfers van WordPress.org blijkt dat nog honderdduizenden websites een kwetsbare versie draaien. Beheerders worden dan ook opgeroepen om naar een nieuwe versie te updaten en te controleren of er geen malafide admingebruikers zijn aangemaakt. bron: https://www.security.nl

De Amerikaanse, Britse en Australische autoriteiten claimen de leider achter de beruchte LockBit-ransomware te hebben ontmaskerd. Volgens de Britse politie gaat het om een Russische man die het alias 'LockBitSupp' gebruikte en aan het hoofd stond van de ransomwaregroep. De Amerikaanse autoriteiten hebben een beloning van 10 miljoen dollar uitgeloofd die leidt tot de aanhouding en/of veroordeling van de man. LockBit, waarvan de eerste versie begin 2020 verscheen, wordt aangeboden als een Ransomware-as-a-Service (RaaS). Door middel van RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Begin dit jaar namen autoriteiten tijdens een internationale operatie allerlei servers van de ransomwaregroep in beslag. Het Britse National Crime Agency (NCA) stelt dat via de LockBit-service meer dan zevenduizend aanvallen wereldwijd zijn uitgevoerd. Bij de operatie begin dit jaar werden ook aan verschillende vermeende leden van de groep sancties opgelegd. Nu geldt dat ook voor de vermeende leider van LockBit. Hij heeft een reisverbod gekregen en zijn tegoed bevroren. Hoe de autoriteiten de verdachte op het spoor zijn gekomen is niet bekendgemaakt. bron: https://www.security.nl

Onderzoekers hebben een nieuwe aanval ontwikkeld genaamd 'TunnelVision' waarmee het mogelijk is om het ip-adres en verkeer van vpn-gebruikers te lekken, zonder dat gebruikers hiervoor worden gewaarschuwd. Normaliter wordt bij een vpn een tunnel naar de vpn-server opgezet waardoor al het verkeer gaat. TunnelVision zorgt ervoor dat het verkeer niet via de tunnel gaat, waarna het door een aanvaller is af te luisteren. De aanval werkt niet tegen vpn-apps op Android, aldus onderzoekers van Leviathan Security. Die stellen dat de aanval al sinds 2002 mogelijk is en sluiten niet uit dat er misbruik van is gemaakt. De aanval vereist dat de aanvaller op hetzelfde netwerk als het slachtoffer zit. Het slachtoffer moet een DHCP (Dynamic Host Configuration Protocol) lease van de server van de aanvaller accepteren. De DHCP-server kent ip-adressen aan gebruikers op het netwerk toe. Door middel van een instelling genaamd 'optie 121' kan de malafide DHCP-server de standaard routeringsregels van de gebruiker aanpassen. Daardoor gaat het verkeer aan de kant van de gebruiker, dat via de vpn--tunnel zou moeten worden verstuurd, niet via de vpn-tunnel. Vpn-apps zullen dit echter niet detecteren en gebruikers geen waarschuwing geven. De tweede vereiste van de TunnelVision-aanval is dat de DHCP-client van het slachtoffer optie 121 heeft geïmplementeerd. In het geval van Android blijkt het besturingssysteem optie 121 te negeren, waardoor de aanval daar niet werkt. Naast het negeren van optie 121 kan op Linux het gebruik van network namespaces de aanval voorkomen. De kwetsbaarheid waarvan TunnelVision gebruikmaakt wordt aangeduid als CVE-2024-3661. bron: https://www.security.nl

Het ontwikkelteam van Thunderbird heeft een twintig jaar oude 'bug' verholpen om spam beter te kunnen herkennen. Op 10 mei 2004 deed iemand het verzoek om in de kolom van afzenders zowel naam als e-mailadres weer te geven. Op dit moment is alleen de naam zichtbaar. Wanneer ook het e-mailadres zou worden weergegeven, zou het volgens de indiener van 'Bug 243258' eenvoudiger moeten worden om spam te herkennen. "Iets wat bijna twintig jaar geleden is gevraagd is eindelijk in de Daily-versie terechtgekomen. De mogelijkheid om de weergave van ontvangers in de berichtenlijst te bepalen en beter onbekende adressen te kunnen onderscheiden van die in het adresboek zijn opgeslagen, is eindelijk geïmplementeerd", zegt Alessandro Castellani van het Thunderbird-team. Volgens de ontwikkelaar is dit één van de vele voorbeelden van features die in het verleden lastig te implementeren waren, maar door verbeteringen aan de architectuur van Thunderbird eindelijk zijn toe te voegen. Het ontwikkelteam is dan ook van plan om meer van deze oude verzoeken waar mogelijk uit te voeren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in GitLab waarmee het mogelijk is om accounts van gebruikers via een wachtwoordreset over te nemen. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Het beveiligingslek, aangeduid als CVE-2023-7028, zorgt ervoor dat een aanvaller e-mails voor het resetten van het accountwachtwoord op een ongeverifieerd e-mailadres kan laten afleveren. Zo kan een aanvaller het wachtwoord van elk willekeurig account resetten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. In het geval gebruikers voor hun account tweefactorauthenticatie (2FA) hebben ingeschakeld is het nog steeds mogelijk voor een aanvaller om het wachtwoord te resetten, maar niet om het account over te nemen, aangezien er nog een tweede factor is vereist om in te loggen. Op 11 januari kwam GitLab met updates voor het probleem. Volgens cijfers van de Shadowserver Foundation zijn op internet nog altijd meer dan duizend GitLab-installaties kwetsbaar. Daarvan bevinden zich er zo'n vijftig in Nederland. Bij de bekendmaking van de kwetsbaarheid liet GitLab weten dat het niet met misbruik bekend was. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt nu dat aanvallen wel plaatsvinden. Gebruikers en organisaties worden dan ook opgeroepen hun GitLab-installatie te updaten. bron: https://www.security.nl