Captain Kirk

Aanvallers maken actief misbruik van een bijna zes jaar oude kwetsbaarheid in ThinkPHP, alsmede een uit begin 2019 stammend beveiligingslek in het platform. Dat stelt internetbedrijf Akamai op basis van eigen onderzoek. ThinkPHP is een PHP-framework waar allerlei webapplicaties en websites gebruik van maken. Twee oude kwetsbaarheden in het platform, aangeduid als CVE-2018-20062 en CVE-2019-9082, laten een aanvaller op afstand de onderliggende server overnemen. De beveiligingslekken spelen bijvoorbeeld bij contentmanagementsystemen die van ThinkPHP gebruikmaken, zoals NoneCMS en BMS. De twee kwetsbaarheden zijn respectievelijk sinds december 2018 en februari 2019 bekend en gepatcht. Ondanks de leeftijd van de beveiligingslekken worden ze nog steeds actief gebruikt bij aanvallen, zo stelt Akamai. Via de kwetsbaarheden installeren de aanvallers een webshell om zo toegang tot de gecompromitteerde server te behouden. De gecompromitteerde server wordt vervolgens gebruikt voor het uitvoeren van verdere aanvallen. Volgens Akamai laten de aanvallen, die sinds oktober vorig jaar plaatsvinden en sinds kort grootschaliger zijn geworden, het belang van patchmanagement zien, aangezien aanvallers nog steeds met jaren oude kwetsbaarheden succes hebben. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Progress Telerik Report Server, zo laat de Shadowserver Foundation weten. Op 29 mei kwam softwareontwikkelaar Progress met een beveiligingsupdate, maar die is door veel organisaties niet geïnstalleerd. Telerik Report Server is een rapportageplatform waarmee organisaties managementrapporten kunnen maken. Een "authentication bypass" kwetsbaarheid in het systeem maakt het mogelijk voor een ongeauthenticeerde aanvaller om toegang tot de server te krijgen. Via het beveiligingslek kan een aanvaller een admin-account aanmaken en daarmee vervolgens inloggen. De impact van de kwetsbaarheid (CVE-2024-4358) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De onderzoeker die het probleem ontdekte publiceerde op 3 juni een proof-of-concept exploit. Vandaag meldt de Shadowserver Foundation dat aanvallers sinds gisteren actief misbruik van het beveiligingslek maken. De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. Regelmatig scant de organisatie naar kwetsbare systemen. Tijdens de laatste scan werden 95 rapportageservers gevonden die vanaf internet toegankelijk zijn. Daarvan bleken er 89 een kwetsbare versie te draaien. bron: https://www.security.nl

Onderzoekers hebben phishingmails ontdekt waarvan de bijlage malafide code naar het clipboard kopieert en vervolgens het slachtoffer wordt gevraagd die in de PowerShell-terminal te plakken en uit te voeren. De phishingmails vragen de ontvanger als eerste de meegestuurde html-bijlage te openen. Deze html-bijlage bevat een malafide Powershell-commando dat automatisch in de achtergrond naar het clipboard wordt gekopieerd. In de voorgrond verschijnen instructies voor het doelwit. Daarin wordt gesteld dat een "Word online" extensie ontbreekt. Om het probleem op te lossen moet de Powershell-terminal worden geopend en dan ctrl-v en enter gedaan. In werkelijkheid zorgt dit ervoor dat de eerder gekopieerde malafide code wordt uitgevoerd. Het Powershell-commando downloadt een HTA-bestand. Dit bestand wist de inhoud van het clipboard en voert een nieuw Powershell-commando uit waarmee de uiteindelijke malware wordt gedownload en uitgevoerd, zo laat antivirusbedrijf Ahnlab weten. bron: https://www.security.nl

De FBI heeft meer dan zevenduizend decryptiesleutels van de Lockbit-ransomware in handen waarmee getroffen organisaties hun gegevens kunnen ontsleutelen. Dat maakte Bryan Vorndran van de FBI tijdens een conferentie in de VS over cybersecurity bekend. In februari van dit jaar wisten politiediensten tijdens een internationale operatie verschillende servers van de Lockbit-ransomwaregroep in beslag te nemen. Volgens Vondran zijn wereldwijd meer dan 2400 aanvallen uitgevoerd waarbij vervolgens de Lockbit-ransomware werd gebruikt. "Wat voor miljarden dollars schade bij slachtoffers zorgde." Vondran voegde toe dat de FBI bekende slachtoffers van de Lockbit-ransomware benadert. "We hebben nu meer dan zevenduizend decryptiesleutels en kunnen slachtoffers helpen om hun data terug te krijgen en weer online te komen." Getroffen organisaties kunnen daarnaast zelf contact met de FBI opnemen. Vondran merkte tevens op dat het belangrijk is dat organisaties basale beveiligingsmaatregelen nemen. "Algemeen bekende cybersecurity practices, waaronder multifactorauthenticatie en wachtwoordbeheer, effectieve logging en logbeheer, vulnerability- en patchmanagement en het hebben van air-gapped, versleutelde en actuele back-ups, moeten overal in de organisatie worden toegepast." bron: https://www.security.nl

De cloudservice van Cisco Webex heeft maandenlang en mogelijk zelfs jarenlang metadata van meetings van overheden en bedrijven gelekt, waaronder die vanuit Nederland. Het ging onder andere om meetings van ministers en beursgenoteerde bedrijven. De titel van de meeting, host, starttijd, of het een normale meeting was en profielfoto's indien aangemaakt waren openlijk zichtbaar, aldus onderzoekers van het Duitse Netzbegrünung en het Duitse Zeit Online. Wanneer iemand een videoconferentie via Webex aanmaakt wordt er een link gegenereerd. De onderzoekers stellen dat Cisco geen willekeurige nummers gebruikt voor de meeting-url's. "Gecombineerd met een verkeerd geconfigureerde view voor mobiele apparaten, was het daardoor mogelijk om via alleen een eenvoudige webbrowser toegang tot een gigantische hoeveelheid metadata te krijgen, en dit maandenlang en mogelijk zelfs jaren", aldus de onderzoekers. Het Duitse Zeit Online stelt dat de meeting-url's opeenvolgend waren. Dit maakte het kinderspel om allerlei meetings en bijbehorende metadata te vinden. Zowel meetings die al hadden plaatsgevonden alsnog moesten plaatsvinden. Daarbij gaat het ook om meetings van Nederlandse bedrijven en autoriteiten, alsmede van allerlei andere landen. Zeit Online spreekt over duizenden videoconferenties van ministeries die het zo kon vinden. Cisco is met een vrij summiere advisory gekomen waarin het stelt dat het probleem is opgelost en getroffen klanten ingelicht. Zeit Online meldt dat de getroffen klanten niet volledig zijn geïnformeerd over de werkelijke omvang van de mogelijk gelekte data. Zo zou een Duits ministerie van Cisco te horen hebben gekregen dat het niet getroffen was, terwijl dit volgens de Duitse krant wel het geval is. De Zeit Online laat verder weten dat het Nederlandse Nationaal Cyber Security Centrum (NCSC) via het onderzoek van de krant op de hoogte van het probleem kwam. "Er zijn ruim 10.000 links naar regeringsvergaderingen gevonden, met informatie en gegevens van verschillende ministers", gaat de krant verder. De onderzoekers van Netzbegrünung merken op dat Cisco waarschijnlijk het nummersysteem niet heeft aangepast. Ze vroegen Cisco om opheldering of de getallen nu echt willekeurig zijn, maar kregen naar eigen zeggen geen reactie. bron: https://www.security.nl

Verschillende bugs in Cisco Webex Meetings zijn bij 'gericht beveiligingsonderzoek' gebruikt om ongeautoriseerde toegang te krijgen tot meeting-informatie en metadata van bepaalde klanten in een datacenter in Frankfurt, zo heeft Cisco bekendgemaakt. De problemen zijn inmiddels opgelost en een fix is op 28 mei wereldwijd uitgerold. Cisco laat in een security-advisory weten dat het begin mei verschillende bugs in Webex Meetings ontdekte die bij 'gericht beveiligingsonderzoek' zijn gebruikt om ongeautoriseerde toegang tot meeting-informatie en metadata te krijgen. Daarbij waren volgens Cisco verschillende klanten het doelwit van wie de Webex-installatie werd gehost in het Cisco-datacenter in Frankfurt. De klanten waarbij er 'waarneembare pogingen' waren om toegang te krijgen tot hun meeting-informatie en medata zijn inmiddels ingelicht. Sinds de bugs zijn gepatcht zegt Cisco geen verdere pogingen te hebben gezien. Het netwerkbedrijf spreekt in de security-advisory niet van kwetsbaarheden en er zijn ook geen CVE-nummers toegekend. Details over de bugs zijn niet gegeven, alsmede de 'targeted security research activity' die Cisco in het bulletin noemt. bron: https://www.security.nl

Zyxel heeft een noodpatch uitgebracht voor verschillende kritieke kwetsbaarheden in twee NAS-systemen die niet meer worden ondersteund en waardoor een aanvaller de apparaten op afstand kan overnemen. Volgens de onderzoekers die de beveiligingslekken ontdekten en rapporteerden gaat het onder andere om een backdoor-account dat in de NAS-systemen aanwezig is. De twee kwetsbare NAS-systemen betreffen de NAS326 en NAS542, die beide sinds 31 december vorig jaar niet meer door Zyxel worden ondersteund. Onderzoekers van securitybedrijf Outpost24 ontdekten vijf kwetsbaarheden in de NAS-apparaten, die op 14 maart aan Zyxel werden gerapporteerd en nu zijn verholpen. Het gaat om drie beveiligingslekken waardoor een ongeauthenticeerde aanvaller op afstand commando's of code op het apparaat kan uitvoeren. De overige twee kwetsbaarheden laten een aanvaller zijn rechten verhogen tot die van root of admin. Een van de gevonden beveiligingslekken, aangeduid als CVE-2024-29972, betreft volgens de onderzoekers een backdoor-account. Dat is door een aanvaller op afstand in te schakelen. Het voor dit account gebruikte wachtwoord is wel voor elk NAS-systeem uniek, maar aan de hand van het MAC-adres af te leiden. Via een andere kwetsbaarheid kan een aanvaller dit MAC-adres achterhalen en zo met het backdoor-account toegang krijgen tot het NAS-systeem. Zyxel roept gebruikers op om de beschikbaar gestelde firmware-updates te installeren. bron: https://www.security.nl

Microsoft heeft een methode geblokkeerd waarmee het mogelijk was om Windows 11 zonder Microsoft Account te installeren. Dat meldt Windows Central. Windows 11 vereist tijdens de installatie een internetverbinding en Microsoft Account, zo staat in de systeemeisen. Er zijn echter verschillende manieren om de accountverplichting te omzeilen. Eén daarvan was het opgeven van een door Microsoft geblokkeerd e-mailadres, zoals 'example@example.com'. Dit zorgde ervoor dat de setup doorging naar het maken van een lokaal account. Deze methode lijkt nu door Microsoft in Windows 11 24H2 te zijn geblokkeerd. Gebruikers komen bij het opgeven van een geblokkeerd e-mailadres in een loop terecht, aldus Windows Central. De methode waarbij tijdens de installatie OOBE\BYPASSNRO in de Command Prompt wordt ingevoerd, en waardoor het verbinden met internet en zo ook het koppelen van een Microsoft Account worden overgeslagen, werkt nog wel. Niet alle gebruikers zijn blij met het verplicht opgeven van een Microsoft Account. Zo werd er onder andere een petitie tegen gestart. bron: https://www.security.nl

Privacystichting noyb heeft bij de Oostenrijkse privacytoezichthouder verschillende privacyklachten over Microsoft 365 Education ingediend. Volgens noyb schendt Microsoft de privacy van kinderen. De klachten van noyb gaan vooral over het afschuiven van verantwoordelijkheden door Microsoft aan scholen en gebrek aan transparantie. De Amerikaanse techgigant stelt dat scholen de 'controller' van hun data zijn, maar scholen hebben geen controle over de systemen, aldus de privacystichting. "In het huidige systeem dat Microsoft aan scholen oplegt, moeten scholen Microsoft auditen of ze instructies geven hoe ze de data van leerlingen moeten verwerken. Iedereen weet dat dergelijke contractuele overeenkomsten losstaan van de werkelijkheid. Dit is niets meer dan een poging om de verantwoordelijkheid voor de data van kinderen zo ver als mogelijk van Microsoft af te schuiven", aldus noyb-advocaat Maartje de Graaf. Noyb stelt onder andere dat er een gebrek aan transparantie is over het privacybeleid dat voor Microsoft 365 Education geldt en dat Microsoft 365 Education in het geheim kinderen volgt door het plaatsen van cookies. "Het bedrijf heeft geen geldige grondslag voor deze verwerking", laat de privacystichting verder weten. "Onze analyse van de datastromen is zeer zorgwekkend. Microsoft 365 Education lijkt gebruikers te volgen, ongeacht hun leeftijd. Deze werkwijze raakt waarschijnlijk honderdduizenden leerlingen in de EU. Autoriteiten moeten in actie komen om de rechten van minderjarigen te handhaven." Noyb heeft de Oostenrijkse privacytoezichthouder gevraagd om te onderzoeken en analyseren welke data nu precies door Microsoft 365 Education wordt verwerkt, omdat dit volgens de privacystichting op dit moment onduidelijk is. Zowel eigen onderzoek als documentatie van Microsoft hebben dit niet kunnen ophelderen, aldus noyb. De stichting stelt ook dat Microsoft niet voldoet aan inzageverzoeken. Als laatste wil noyb dat de Oostenrijkse toezichthouder een boete aan Microsoft oplegt. bron: https://www.security.nl

Check Point heeft klanten vandaag opgeroepen om een fix te installeren voor een actief aangevallen kwetsbaarheid in de eigen vpn-oplossing. Volgens securitybedrijf Watchtowr is het beveiligingslek zeer eenvoudig te misbruiken en lijkt Check Point de ernst van de kwetsbaarheid te bagatelliseren. Aanvallers zouden al sinds begin april misbruik van het beveiligingslek maken, toen er nog geen update voor beschikbaar was. De kwetsbaarheid (CVE-2024-24919) bevindt zich in Check Point Remote Access VPN en laat een aanvaller 'bepaalde informatie uitlezen', aldus de uitleg van de leverancier. Volgens onderzoekers van Watchtowr is het niet heel moeilijk om het beveiligingslek te vinden en misbruik "extreem eenvoudig". Daarbij is de impact groot. "We maken ons zorgen over de verklaring van de leverancier, die de ernst van deze bug lijkt te bagatelliseren." Volgens Watchtowr moeten organisaties de kwetsbaarheid als ongeauthenticeerde remote code execution behandelen. Check Point heeft inmiddels een fix uitgebracht die vpn-systemen moet beschermen. Bij klanten die zich voor de Security Auto Update service hebben geregistreerd is een update geïnstalleerd die bepaald misbruik van de kwetsbaarheid moet voorkomen. Dit is echter een tijdelijke oplossing. Om het probleem echt te verhelpen moeten organisaties de fix installeren en Check Point roept klanten op dit te doen om beschermd te zijn. Securitybedrijf Censys laat weten dat er nog altijd duizenden kwetsbare vpn-systemen vanaf internet toegankelijk zijn. bron: https://www.security.nl

De makers van GrapheneOS hebben een nieuwe feature toegevoegd die ervoor zorgt dat alle data op de telefoon wordt gewist wanneer een bepaald wachtwoord of pincode wordt ingevoerd. De "Duress PIN/Password" functie moet voorkomen dat kwaadwillenden toegang tot gegevens op de telefoon krijgen. Bij het wissen worden al hardware keystore keys gewist, waaronder keys die worden gebruikt bij het ontsleutelen van de harde schijf. Daarnaast worden ook aanwezige eSIMs gewist en daarna de telefoon uitgeschakeld. De wisprocedure is niet te stoppen. GrapheneOS is een op Android-gebaseerd besturingssysteem voor Pixel-telefoons. De nieuwste versie bevat de 'langverwachte' feature, aldus de ontwikkelaars op X. Die geven als voorbeeld voor het gebruik van de feature een situatie waarbij iemand door de douane wordt gedwongen het wachtwoord van zijn telefoon af te staan. "Als er een pistool tegen mijn hoofd wordt gezet en ik allen wat geld verlies, zal ik waarschijnlijk niet mijn duress pincode geven. Maar als ik een journalist ben die zijn bronnen en gezin wil beschermen, dan wel", reageert een gebruiker op het op het forum van GrapheneOS. "Een meer praktische aanpak is het instellen van mijn geboortedag als duress pincode. Als een aanvaller of de politie mijn telefoon pakt en de pincode probeert te raden, is de kans groter dat ze de duress pincode invoeren dan de echte pincode." bron: https://www.security.nl

QNAP stopt met het gebruik van het MAC-adres als het standaard admin-wachtwoord voor NAS-apparaten en gaat in plaats daarvan de 'Cloud Key' gebruiken, zo heeft het bedrijf aangekondigd. De aanpassing zal worden doorgevoerd in NAS-apparaten die QTS 5.2 / QuTS hero 5.2 of nieuwer draaien. Dit zijn de NAS-besturingssystemen van QNAP. De Cloud Key is te vinden op de NAS-behuizing en is tijdens de eerste setup van het apparaat te gebruiken. De NAS-fabrikant adviseert gebruikers om het wachtwoord meteen na de eerste keer inloggen te veranderen en een sterk wachtwoord te kiezen. Tevens adviseert QNAP een "password login" of het inschakelen van tweestapsverificatie te overwegen. bron: https://www.security.nl

Gebruikers van Google Chrome zijn opnieuw het doelwit van aanvallen geworden. Voor de vierde keer deze maand is Google gekomen met een update voor een actief aangevallen kwetsbaarheid waar op het moment van de aanvallen geen patch voor beschikbaar was. Net als de actief aangevallen lekken die op 13 en 15 mei werden gepatcht gaat het om een kwetsbaarheid in V8, aangeduid als CVE-2024-5274. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd op 20 mei door twee onderzoekers van Google zelf gevonden en gemeld. Details over de aanvallen zijn niet gegeven. Het totaal aantal beveiligingslekken dat actief tegen Chrome-gebruikers is ingezet voordat een patch beschikbaar was komt dit jaar daarmee op vijf. Tijdens de afgelopen Pwn2Own-wedstrijd in Vancouver demonstreerden onderzoekers exploits voor onbekende kwetsbaarheden in Chrome, maar die zijn voor zover bekend niet gebruikt voor het actief aanvallen van gebruikers. Hieronder de actief aangevallen kwetsbaarheden die dit jaar door Google in Chrome zijn gepatcht. CVE-2024-0519 16 januari CVE-2024-4671 09 mei CVE-2024-4761 13 mei CVE-2024-4947 15 mei CVE-2024-5274 23 mei Google Chrome 125.0.6422.112/.113 is beschikbaar voor macOS en Windows. Voor Linux is versie 125.0.6422.112 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Onderzoekers hebben in opnamesoftware die wordt gebruikt door rechtbanken, gevangenissen, alsmede voor hoorzittingen, colleges en vergaderingen, een backdoor aangetroffen waarmee aanvallers volledige controle over het onderliggende systeem krijgen. Organisaties die met Justice AV Solutions (JAVS) werken wordt opgeroepen om getroffen systemen opnieuw te installeren en inloggegevens te wijzigen. Justice AV Solutions is een Amerikaans bedrijf dat zich vooral richt op het aanbieden van audiovisuele oplossingen voor partijen in de justitieketen. Het bedrijf claimt wereldwijd meer dan tienduizend installaties. Het gaat onder andere om de JAVS Suite, beheersoftware voor digitale opnames. Eén van de onderdelen van de JAVS Suite is de JAVS Viewer, waarmee log- en mediabestanden zijn te bekijken. In de officiële versie van JAVS Viewer versie 8.3.7 is een backdoor aangetroffen die gelinkt is aan de GateDoor/Rustdoor-malware, zo meldt securitybedrijf Rapid7. Begin april werd er al op X gewaarschuwd voor de aanwezigheid van malware in de JAVS Viewer. De malware is gesigneerd, maar niet met een certificaat van Justice AV Solutions. Rapid7 deed onderzoek naar de malware en informeerde de Amerikaanse overheid. Na ontdekking van de malware heeft JAVS de eigen wachtwoorden gereset en een audit naar de eigen systemen laten uitvoeren. Hoe de besmette versie van de software op de officiële website terechtkwam laat het softwarebedrijf niet weten. Organisaties die met de software werken moeten getroffen systemen opnieuw installeren, versie 8.3.8 of nieuwer installeren en alle inloggegevens die op het systeem zijn gebruikt veranderen. bron: https://www.security.nl

Wachtwoordmanager LastPass heeft besloten om na zestien jaar url's in wachtwoordkluizen te versleutelen. Experts hebben al jaren kritiek op het feit dat dit niet gebeurt. In 2022 wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer van LastPass op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Onder de gestolen kluisdata bevonden zich ook onversleutelde url's. Wanneer LastPass-gebruikers een website bezoeken kijkt de wachtwoordmanager of de bezochte url in de kluis bekend is, zodat opgeslagen inloggegevens kunnen worden ingevuld. Na de inbraak erkende LastPass dat url's niet versleuteld werd opgeslagen en suggereerde daarbij dat dit het hier niet om gevoelige gegevens ging. "Maar website url's zijn wel zeer gevoelige data. Aanvallers willen dolgraag weten waar je toegang toe hebt. Dan kunnen ze gerichte phishingmails maken voor de personen die hun moeite waard zijn", aldus beveiligingsonderzoeker Wladimir Palant eind 2022. Hij voegde toe dat sommige door LastPass opgeslagen url's parameters bevatten die gevoelig kunnen zijn. Tevens merkte Palant op dat LastPass in 2015 (pdf), 2017 en 2018 was gewaarschuwd dat het niet versleutelen van url's een slecht idee was. LastPass geeft als reden dat het in 2008 is ontwikkeld en ontsleuteling toen veel meer rekenkracht kostte. Voor betere prestaties en gebruikerservaring is toen besloten de url's niet te versleutelen, aldus de verklaring van het bedrijf. Nu stelt LastPass dat het wel belangrijk is om url's te versleutelen, omdat die informatie over het account in kwestie bevatten. De versleuteloperatie gaat gefaseerd plaatsvinden. De eerste fase zou in juni gereed moeten zijn, waarbij de uitrol in juli begint. Gebruikers ontvangen dan een e-mail met informatie over wat te verwachten en zal er begonnen worden met het versleutelen van primaire url-velden van in de kluis opgeslagen accounts. De overige url-velden zullen eind dit jaar worden versleuteld. bron: https://www.security.nl

De Belgische overheid lekt gevoelige informatie via verlopen domeinnamen, zo stelt de Belgische beveiligingsonderzoeker Inti De Ceukelaire in een blogposting. De onderzoeker registreerde 107 verlopen domeinnamen die van Belgische gemeenten, politiezones, psychiatrische ziekenhuizen, justitie, sociale zekerheidsorganisaties en andere instellingen waren geweest. Na de registratie ontving De Ceukelaire allerlei e-mails voor de betreffende domeinnamen, soms met gevoelige informatie. Voor de 107 geregistreerde domeinnamen bleken nog zeker 848 e-mailadressen actief. Ook bleek dat de nog gebruikte e-mailadressen bij allerlei clouddiensten waren geregistreerd. Via het uitvoeren van een wachtwoordreset kon de onderzoeker zo ook toegang tot cloudaccounts krijgen. Via de 848 e-mailadressen wist hij toegang te krijgen tot 80 Dropbox-accounts, 142 Google Drive-accounts en 57 Microsoft-, OneDrive- en SharePoint-accounts, alsmede tientallen Smartschool- en Doccle-accounts. Na enige tijd zette De Ceukelaire het ontvangen van e-mails uit en waarschuwde hij het Belgische Centrum voor Cybersecurity, dat de vorige domeineigenaren over de risico's van verlopen domeinnamen informeerde. "Met honderden nieuwe domeinnamen die het komende jaar verlopen, zijn structurele veranderingen nodig om te voorkomen dat dit nog eens gebeurt", aldus De Ceukelaire, die met zijn onderzoek voor bewustzijn hoopt te zorgen. In Nederland is het probleem van verlopen domeinnamen al jaren bekend. In 2017 bleek de politie op deze manier gevoelige e-mails te lekken en in 2019 lekte de jeugdzorg via verlopen domeinnamen dossiers van duizenden kinderen. bron: https://www.security.nl

België heeft een nieuw voorstel gepresenteerd voor EU-brede controle van chatberichten van burgers. Wie niet met de controle akkoord gaat kan geen afbeeldingen en video's meer versturen. EU-voorzitter België hoopt zo de landen die eerder dwars lagen over de streep te trekken. Begin 2022 kwam de Europese Commissie met een voorstel om alle chatberichten en ander verkeer van burgers te inspecteren. In het geval van end-to-end versleutelde chatdiensten zou dit via client-side scanning moeten plaatsvinden, waarbij alle berichten van alle burgers zouden worden gecontroleerd. Eind vorig jaar bleek dat het Europees Parlement tegen het voorstel van de Europese Commissie is en kwam met een eigen voorstel. De Europese lidstaten hebben nog geen gezamenlijke positie ingenomen en die is er nog altijd niet. EU-voorzitter België probeert nu met voorstellen te komen waarover de lidstaten het eens kunnen worden. Het nieuwste voorstel betreft een verplichting voor communicatie-apps om video's en afbeeldingen van gebruikers te controleren en wanneer die verdacht worden bevonden naar een Europees centrum en de politie te sturen, aldus Patrick Breyer, Europarlementariër voor de Piratenpartij. Gebruikers moeten echter met de controle akkoord gaan. Wanneer er geen akkoord wordt gegeven zal het niet mogelijk zijn om afbeeldingen en video's te versturen. Bij de detectie wordt gecontroleerd op bekend en onbekend misbruikmateriaal. Experts hebben herhaaldelijk gewaarschuwd dat detectie van onbekend materiaal zeer foutgevoelig is. Nederland heeft eerder al aangegeven dat het vanwege deze reden tegen het toevoegen van detectie van onbekend materiaal is. Volgens Netzpolitik.org is er alleen een PowerPoint-presentatie van het Belgische voorstel beschikbaar. Daaruit zou blijken dat detectiebevelen niet voor versleutelde content gaan gelden. Veel chatapps maken echter gebruik van end-to-end encryptie. Daarnaast is ook onduidelijk hoe de controle precies gaat werken en hoe wordt gegarandeerd dat autoriteiten op een later moment niet besluiten om detectie alsnog te verplichten, aangezien apps al van de benodigde software hiervoor zijn voorzien. Morgen wordt het onderwerp opnieuw in Brussel besproken. bron: https://www.security.nl

Een beveiligingsonderzoeker heeft met behulp van ChatGPT kwetsbaarheden in Apple Safari en Google Chrome gevonden, wat hem 28.000 dollar aan beloningen opleverde. Onderzoeker Igor Sak-Sakovskiy van securitybedrijf Positive Technologies deed onderzoek naar de eXtensible Stylesheet Language (XSL) waarmee het mogelijk is om data op te halen en aan te passen. In plaats van de documentatie over XSL te lezen besloot hij via ChatGPT voorbeelden te genereren voor het achterhalen van de locatie en uitlezen van lokale bestanden. Sak-Sakovskiy wijzigde één van de voorbeelden die de chatbot had gegenereerd en ontdekte dat hij ermee toegang tot het /etc/hosts-bestand op zijn iPhone kon krijgen. Ook /etc/hosts en /etc/passwd bleken toegankelijk te zijn. In het geval van Chrome op Android kon de inhoud van /etc/hosts worden uitgelezen. De onderzoeker waarschuwde Apple en Google, die vervolgens met updates voor de browsers kwamen. De techbedrijven beloonden Sak-Sakovskiy voor zijn melding met respectievelijk een bedrag van 25.000 en 3.000 dollar. De kwetsbaarheid wordt wel gemeld op de website van Google (CVE-2023-4357), maar is nog niet op de site van Apple (CVE-2023-40415) te vinden. bron: https://www.security.nl

Microsoft gaat VBScript in Windows na 2027 volledig verwijderen, waarbij het wordt vervangen door PowerShell. VBScript is een scriptingtaal waar websites en webapplicaties gebruik van kunnen maken. Aanvallers maken er echter ook op grote schaal gebruik van door malafide VBScript-bestanden te versturen die de uiteindelijke malware op het systeem downloaden. Eind vorig jaar maakte Microsoft bekend dat het afscheid gaat nemen van VBScript. Dat zal gefaseerd gebeuren, zo laat het techbedrijf vandaag in meer detail weten. In de tweede helft van dit jaar zal VBScript beschikbaar komen als 'features on demand' en staat standaard ingeschakeld op Windows 11 versie 24H2. Rond 2027 zal VBScript standaard worden uitgeschakeld. Organisaties en gebruikers die er gebruik van maken moeten dit dan zelf inschakelen. Na 2027 wordt VBScript volledig uit Windows verwijderd. "Dit houdt in dat alle dynamic link libraries (.dll bestanden) van VBScript zullen worden verwijderd. Als gevolg zullen projecten die van VBScript afhankelijk zijn niet meer werken. Tegen die tijd verwachten we dat je naar de gesuggereerde alternatieven bent overgestapt", aldus Naveen Shankar van Microsoft, die daarmee doelt op PowerShell en JavaScript. bron: https://www.security.nl

Mozilla gaat Firefox voorzien van 'lokale on-device AI-modellen' die voor een betere gebruikerservaring moeten zorgen, bijvoorbeeld door alt-text voor pdf-afbeeldingen te genereren. Daarbij staat de privacy van gebruikers centraal, zo claimt Mozilla, dat eerder dit jaar al aankondigde dat het AI-plannen heeft. Nu zijn er iets meer details over de invulling van deze plannen gegeven. "Het beschermen van jouw privacy is de kern van alles wat we doen bij Firefox", zegt Jon van Mozilla. "Met Firefox heb je veel keuze, maar hoef je niet te kiezen tussen bruikbaarheid en privacy. Je data is veilig en belangrijkste, van jou." Mozilla kijkt op dit moment hoe het lokale, on-device AI-modellen aan Firefox kan toevoegen, waarbij bijvoorbeeld tekstgeneratie lokaal op het apparaat plaatsvindt. Een feature waarmee Mozilla volgend kwartaal start is het genereren van alt-text voor afbeeldingen die aan pdf-bestanden worden toegevoegd. "De alt-text wordt dan verwerkt op jouw apparaat en lokaal opgeslagen, in plaats van in clouddiensten, wat garandeert dat dit soort verbeteringen worden gedaan met jouw privacy in achterhoofd", merkt Jon op. Mozilla maakte eerder al bekend dat het Firefox wil uitrusten met Fakespot, een AI-gebaseerde tool voor het detecteren van neprecensies. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Veeam Backup & Replication kan een aanvaller toegang tot back-upservers geven. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. Veeam biedt oplossingen voor het maken en restoren van back-ups en repliceren van software. Via de kwetsbaarheid in Veeam Backup & Replication kan een ongeauthenticeerde aanvaller als elke willekeurige gebruiker inloggen op de Veeam Backup Enterprise Manager webinterface. De impact van de kwetsbaarheid (CVE-2024-29849) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vorig jaar gebruikten criminelen achter de Cuba-ransomware een andere Veeam-kwetsbaarheid voor het aanvallen van back-upservers. Eind 2022 waarschuwde het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voor twee andere actief aangevallen Veeam-kwetsbaarheden. bron: https://www.security.nl

De Britse privacytoezichthouder ICO kijkt of een nieuwe 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt, wel aan geldende privacyregels voldoet en heeft het techbedrijf om opheldering gevraagd. Dat meldt de BBC. Deze week introduceerde Microsoft een nieuwe serie pc's genaamd Copilot+, die over een feature genaamd Recall beschikken. Recall maakt continu screenshots van het scherm en slaat die lokaal op. Vervolgens kunnen gebruikers deze screenshots op activiteiten en andere zaken doorzoeken. Microsoft omschrijft het als een 'fotografisch geheugen', tegenstanders spreken van een 'privacynachtmerrie'. Volgens Microsoft blijven de screenshots lokaal op het systeem en heeft het hier geen toegang toe. Ook is het een 'optionele ervaring'. "Dit kan een privacynachtmerrie worden", zegt technoloog Kris Shrishak tegenover de BBC. "Het feit dat screenshots worden gemaakt tijdens het gebruik van het apparaat kan een chilling effect op mensen hebben." Datarechtenexpert Daniel Tozer zegt dat de feature hem doet denken aan de Netflix-serie Black Mirror. "Microsoft heeft een rechtsgeldige basis nodig om de persoonlijke informatie van gebruikers op te slaan en opnieuw weer te geven." Een ander risico is dat iemand met toegang tot het systeem uitgebreide informatie over de activiteiten van de gebruiker kan achterhalen. Het kan dan gaan om politie of opsporingsdiensten met een gerechtelijk bevel, of zelfs Microsoft als het later van gedachten verandert om alle data lokaal te houden en niet te gebruiken voor gerichte advertenties of het trainen van hun AI, stelt Jen Caltrider van Mozilla. "Ik zou een computer met Recall niet gebruiken voor zaken die ik niet in het zicht van een buslading vreemden zou doen", merkt Caltrider op. "Dat houdt in het inloggen op financiële accounts, het opzoeken van gevoelige gezondheidsinformatie, het stellen van gênante vragen of het zoeken naar informatie over blijf-van-mijn-lijfhuizen, fertiliteitsklinieken of immigratieadvocaten." De Britse privacytoezichthouder heeft Microsoft om meer informatie gevraagd. De ICO stelt dat bedrijven voordat ze nieuwe producten op de markt brengen rigoureus de risico's voor de rechten en vrijheden van mensen moeten onderzoeken en verhelpen. "We hebben navraag bij Microsoft gedaan om te zien welke maatregelen er aanwezig zijn om de privacy van gebruikers te beschermen." bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt voor zes kritieke SQL injection-kwetsbaarheden in Endpoint Manager (EPM), waardoor een ongeauthenticeerde aanvaller willekeurige code op de server kan uitvoeren wat grote gevolgen voor organisaties kan hebben. Via Ivanti Endpoint Manager kunnen organisaties namelijks laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. In totaal bevat Ivanti EPM zes 'ongespecificeerde' SQL Injection-lekken die een aanvaller in hetzelfde netwerk de mogelijkheid geven om willekeurige code op de server uit te voeren. De impact van de zes kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Ivanti heeft updates beschikbaar gemaakt om het probleem te verhelpen en zegt niet bekend te zijn met actief misbruik van de beveiligingslekken. Producten van Ivanti zijn in het verleden wel geregeld doelwit geweest van aanvallen. bron: https://www.security.nl

De zakelijke versie van Microsoft Edge krijgt een optie om het maken van screenshots door gebruikers te voorkomen, zo heeft Microsoft aangekondigd. Dit moet volgens het techbedrijf het lekken van gevoelige informatie met derde partijen voorkomen. Edge for Business werd vorig jaar gelanceerd. Het is een speciaal op bedrijven gerichte versie van Edge. Naast kleine visuele aanpassingen is het bij de zakelijke versie ook mogelijk voor organisaties om volledige controle over policies, features en configuraties te hebben, in tegenstelling tot de normale versie waarbij dit veel beperkter is. "Screenshot prevention" is één van de nieuwe policies die aan de browser wordt toegevoegd. Wanneer deze policy is ingeschakeld en gebruikers een screenshot maken, verschijnt er een zwart scherm, aldus Microsoft. De maatregel geldt ook voor Copilot in de Edge sidebar. Daardoor kan ook communicatie met de chatbot niet via een screenshot worden vastgelegd. De policy, die de komende maanden wordt uitgerold, is in te stellen voor Microsoft 365, Microsoft Defender for Cloud Apps (MDA), Microsoft Intune Mobile Application Management (MAM) en Microsoft Purview. bron: https://www.security.nl

Rockwell Automation heeft klanten opgeroepen om industriële controlesystemen offline te halen, om zo te voorkomen dat die doelwit van cyberaanvallen worden. De fabrikant biedt oplossingen voor het automatiseren, digitaliseren en aansturen van industriële processen en systemen. Het gaat dan bijvoorbeeld om Supervisory Control and Data Acquisition (SCADA) software. Rockwell zegt dat het vanwege toegenomen politieke spanningen en 'wereldwijde vijandige cyberactiviteiten' een waarschuwing heeft afgegeven waarin het klanten oproept om meteen actie te ondernemen. Zo moeten die kijken of ze apparaten hebben die vanaf het publieke internet benaderbaar zijn. In het geval van apparaten die niet voor dergelijke publieke internetconnectiviteit zijn ontworpen, moeten die offline worden gehaald. Dergelijke apparaten moeten nooit direct met internet worden verbonden, aldus de fabrikant. Door ze offline te halen wordt het aanvalsoppervlak verkleind. Wanneer het niet mogelijk is om deze apparaten van het publieke internet los te koppelen adviseert Rockwell om 'security best practices' te volgen. Tevens zijn er zeven kwetsbaarheden in producten van Rockwell die volgens de fabrikant extra aandacht verdienen. bron: https://www.security.nl