Captain Kirk

De Europese Ombudsman heeft de Europese Commissie beticht van wanbestuur en opgeroepen om documenten over het willen controleren van alle chatberichten van Europese burgers openbaar te maken, omdat Brussel dit weigert te doen en daar volgens de Ombudsman geen goede reden voor is. Begin 2022 kwam de Europese Commissie met een voorstel om alle chatberichten en ander verkeer van burgers te inspecteren. In het geval van end-to-end versleutelde chatdiensten zou dit via client-side scanning moeten plaatsvinden, waarbij alle berichten van alle burgers zouden worden gecontroleerd, ongeacht of die ergens van worden verdacht. Brussel ontving een verzoek om alle documenten met betrekking tot het plan openbaar te maken. In totaal vielen volgens de Europese Commissie 121 documenten onder het verzoek. In totaal werd tot 27 documenten volledige toegang gegeven. Bij 66 documenten was dit gedeeltelijk en toegang tot 28 documenten werd geweigerd. Daarbij claimde Brussel dat deze uitzondering gerechtvaardigd was omdat openbaarmaking de openbare veiligheid, commerciële belangen, het beslissingsproces en juridisch advies zouden kunnen schaden. De persoon die de documenten had opgevraagd stapte vervolgens naar de Europese Ombudsman, die een onderzoek naar de betreffende documenten startte. De Ombudsman komt tot de conclusie dat de Europese Commissie onterecht de documenten geheim houdt en dat het niet willen openbaren als wanbestuur te bestempelen valt. De Ombudsman roept Brussel op om de documenten alsnog openbaar te maken. bron: https://www.security.nl

De Amerikaanse overheid meldt dat aanvallers actief misbruik maken van een beveiligingslek in Windows SmartScreen. Microsoft heeft dit nog altijd niet in het eigen beveiligingsbulletin verwerkt, ook al verklaarde het techbedrijf op 9 april al tegenover securitybedrijf ZDI dat het met het misbruik bekend was. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-29988) zorgt ervoor dat de waarschuwing niet verschijnt. De kwetsbaarheid werd al voor het verschijnen van de beveiligingsupdate op 9 april gebruikt bij aanvallen. Er was dan ook sprake van een zogeheten 'zero day'. Normaliter vermeldt Microsoft in de beveiligingsbulletins als het met misbruik bekend is, maar dat is in het geval van CVE-2024-29988 nog altijd niet het geval. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat nu weten dat het bekend is met aanvallen waarbij de kwetsbaarheid wordt gebruikt en heeft die op een lijst van actief aangevallen beveiligingslekken geplaatst. bron: https://www.security.nl

Apple maakt het voor malafide appstores mogelijk om Europese Safari-gebruikers via een uniek device ID op internet te volgen, zo waarschuwen onderzoekers. Met de lancering van iOS 17.4 heeft Apple een nieuw 'URI scheme' geïntroduceerd waarmee Europese gebruikers alternatieve appstores kunnen downloaden en installeren vanaf een website. Hiervoor moeten alternatieve appstores aan hun website het URI scheme toevoegen. In het geval van Safari blijkt de browser niet te controleren of het gebruikte URI scheme wel aan de juiste website is toegevoegd. Daardoor is het mogelijk om het URI scheme toe te voegen aan een website die niet van de betreffende alternatieve appstore is. Safari zal in dit geval via de URI toch informatie over het toestel van de gebruiker naar deze website sturen. Meerdere websites kunnen dit "MarketplaceKit-proces" via de URI aanroepen, waarbij steeds hetzelfde unieke device ID wordt verstuurd. "Een malafide alternatieve marktplaats kan deze truc gebruiken om gebruikers over meerdere websites te volgen", aldus onderzoekers Talal Haj Bakry en Tommy Mysk. In het geval de Brave-browser wordt gebruikt is deze vorm van tracking niet mogelijk, omdat Brave het betreffende request blokkeert. "Safari zou gebruikers tegen cross-site tracking moeten beschermen. Het zou moeten doen wat Brave doet en de origin van de website moeten controleren en vergelijken met de opgegeven URL", concluderen de onderzoekers. "Het zou het URI scheme niet moeten aanroepen als de URL's niet overeenkomen." Afsluitend adviseren de onderzoekers het gebruik van Brave, omdat dit de enige geautoriseerde browser is die dit soort cross-site tracking blokkeert. bron: https://www.security.nl

De Europese Commissie doet onderzoek of Meta mogelijk de Digital Services Act (DSA) heeft overtreden. Het gaat dan om misleidende advertenties, zichtbaarheid van politieke content, het ontbreken van een tool om de verkiezingen te monitoren en het mechanisme om illegale content op Facebook en Instagram te rapporteren. De Commissie denkt dat Meta niet aan de verplichtingen van de DSA voldoet als het gaat om de aanpak van misleidende advertenties en 'desinformatiecampagnes'. Brussel is bang dat dergelijke content een risico voor de aankomende Europese verkiezingen vormt. Ook denkt de Europese Commissie dat het beleid van Meta met betrekking tot politieke content, waardoor politieke content een lagere aanbeveling krijgt, niet in lijn met de DSA is. Verder heeft Brussel het vermoeden dat het mechanisme om illegale content te rapporteren niet aan de DSA-verplichtingen voldoet. Het gaat dan onder andere om de verplichting dat het melden van illegale content eenvoudig en gebruikersvriendelijk is, wat nu mogelijk niet zo is. Tegelijkertijd denkt de Commissie dat Meta geen effectief intern klachtensysteem heeft om klachten te registreren over moderatiebeslissingen. Afhankelijk van de uitkomsten van het onderzoek kan Brussel handhavende maatregelen nemen. Voor het overtreden van de DSA kan de Commissie een boete opleggen die zes procent van de wereldwijde omzet bedraagt. bron: https://www.security.nl

Streamingdienst MovieBoxPro heeft de gegevens van zes miljoen gebruikers gelekt, zo meldt beveiligingsonderzoeker Troy Hunt. Volgens de onderzoeker gaat het om een 'juridisch dubieuze' streamingdienst waar e-mailadressen en gebruikersnamen van gebruikers via een kwetsbare API (application programming interface) konden worden gescrapet. Hunt kon geen contactgegevens vinden om de kwetsbaarheid en het datalek te rapporteren. "Geen contactinformatie op de website, geen social accounts, WHOIS privacy ingeschakeld, geen informatie over personen, oprichters of locaties. Deze gasten willen echt niet gevonden worden lijkt het?", aldus Hunt op X. Naar verluidt zou de kwetsbaarheid in de API inmiddels zijn verholpen. De zes miljoen gelekte e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun gegevens in bekende datalekken voorkomen. Van de miljoenen bij MovieBoxPro gelekte e-mailadressen kwam 36 procent al in een ander bekend datalek voor. bron: https://www.security.nl

QNAP gaat de NAS-apparaten die het biedt voorzien van bescherming tegen ransomware. Het bedrijf heeft een nieuwe bètaversie van QTS uitgebracht, het besturingssysteem dat op QNAP-apparaten draait, met een feature genaamd 'Security Center'. Dit onderdeel monitort bestanden actief op ongewone of abnormale aanpassingen van een groot aantal bestanden. De NAS neemt dan maatregelen om de bestanden te beschermen, waaronder het activeren van een read-only mode en het maken van een snapshot. Daarnaast wordt de gebruiker gewaarschuwd. Gebruikers kunnen de beveiligingsmaatregelen tegen ransomware of menselijke fouten aanpassen, om zo het risico op dataverlies te voorkomen wanneer ongewone bestandsactiviteiten zich voordoen. Via een dashboard kunnen gebruikers ook zien hoe vaak bestanden op hun NAS worden aangepast, aangemaakt of verwijderd. De afgelopen jaren zijn NAS-apparaten van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Hierbij werden bestanden op tienduizenden NAS-apparaten versleuteld en moesten gebruikers losgeld betalen om weer toegang tot hun data te krijgen. Om toegang tot de systemen te krijgen maakten de aanvallers gebruik van bekende kwetsbaarheden waarvoor updates beschikbaar waren, maar die niet door gebruikers waren geïnstalleerd, maar ook zerodaylekken waar geen patches voor waren ontwikkeld. Wanneer de definitieve versie van QTS 5.2 met Security Center verschijnt is nog niet bekend. bron: https://www.security.nl

Indien je dochter de pc goed af sluit zou het ook kunnen zijn dat de wake-up-lan of de wake up USB in de bios aan staat. Dus dat is ook nog een optie om te bekijken.

Authenticatieplatform Okta waarschuwt klanten voor een grootschalige credential stuffing-aanval op gebruikersaccounts die afgelopen week plaatsvond en waarbij gebruik werd gemaakt van zogenoemde 'residential proxies'. Het gaat hier om proxydiensten die het verkeer van betalende klanten via de systemen en internetverbindingen van legitieme thuisgebruikers laten lopen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Criminelen voeren geregeld phishingaanvallen uit waarbij medewerkers van organisaties sms-berichten ontvangen die naar Okta-phishingsites linken. Op deze manier wordt geprobeerd om inloggegevens voor accounts te ontfutselen. Bij de nu waargenomen aanval proberen de aanvallers direct op het account van medewerkers in te loggen. De aanvallers maken hiervoor gebruik van credential stuffing. Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Onlangs waarschuwde ook Cisco voor credential stuffing-aanvallen tegen ssh- en vpn-servers. Volgens Okta zijn beide aanvallen afkomstig van dezelfde infrastructuur, waarbij gebruik wordt gemaakt van het Tor-netwerk en proxydiensten. Het gaat dan specifiek om 'residential proxies'. Deze diensten maken zoals gezegd gebruik van de systemen en internetverbindingen van legitieme thuisgebruikers om het internetverkeer van betalende klanten te routeren. Deze thuisgebruikers kunnen hun systemen bewust aanmelden bij een proxydienst en krijgen dan in ruil voor hun proxy een vergoeding. Ook komt het voor dat met malware besmette systemen onderdeel van een proxynetwerk worden gemaakt. Okta meldt dat een groot aantal mobiele telefoons onderdeel van een proxynetwerk is geworden, doordat gebruikers een app installeerden die door middel van een besmette SDK (software development kit) was gemaakt. De app-ontwikkelaars kunnen bewust de app hebben gebruikt of zijn zich niet bewuste van de aanwezige kwaadaardige code, laat Okta verder weten. Het voordeel voor aanvallers om residential proxies te gebruiken is dat het verkeer van de credential stuffing-aanvallen afkomstig lijkt van de telefoons, computers en browsers van normale gebruikers, in plaats van de ip-adressen van VPS-providers die ook vaak door proxydiensten worden gebruikt. Okta adviseert organisaties om inlogpogingen afkomstig van residential proxies te blokkeren en multifactorauthenticatie voor accounts in te stellen. Ook heeft het bedrijf een Top 20 van netwerkproviders gegeven die door de aanvallers zijn gebruikt, waaronder Surf B.V., OVH en Akamai Connected Cloud. bron: https://www.security.nl

Antivirusbedrijf Avast heeft met het verzamelen en verkopen van gebruikersgegevens op meerdere punten de AVG overtreden en moet daarom een boete van omgerekend 14 miljoen euro betalen, zo heeft de Tsjechische privacytoezichthouder UOOU geoordeeld (pdf). De autoriteit startte begin 2020 een onderzoek naar de activiteiten van Avast. In 2022 stelde de UOOU vast dat de virusbestrijder in overtreding was, maar die ging hier tegen in beroep. De toezichthouder heeft onlangs het beroep behandeld en kwam tot het oordeel dat Avast de AVG heeft geschonden en een boete moet betalen. Via de browser-extensie en antivirussoftware verzamelde Avast gegevens van honderd miljoen gebruikers die aan derden werden doorverkocht. Al in 2019 werd bekend dat Avast miljoenen aan het browsegedrag van gebruikers verdiende. Deze gegevens werden verhandeld via databedrijf Jumpshot, waar Avast een meerheidsbelang in had. Naar aanleiding van de onthulling over het dataverzamelen besloten Google en Mozilla de browserextensies van Avast uit hun extensie-stores te verwijderen. In een reactie op de ontstane ophef besloot Avast vervolgens verschillende aanpassingen door te voeren, maar vanwege de aanhoudende kritiek werd Jumpshot begin 2020 opgeheven. Avast stelde dat het om anonieme gegevens ging, maar dat bleek niet zo te zijn en een deel van de Avast-gebruikers was alsnog te identificeren. Gebruikers werden dan ook verkeerd door Avast geïnformeerd, dat ook niet goed had onderzocht of de gegevensverwerking noodzakelijk was en of het legitiem belang van Avast zwaarder woog dan het legitiem belang van gebruikers, aldus de toezichthouder. De UOOU benadrukte in de beslissing dat Avast een cybersecuritybedrijf is en tools biedt die data en privacy juist zouden moeten beschermen. Gebruikers hadden dan ook niet kunnen verwachten dat juist dit bedrijf hun persoonlijke gegevens zou doorverkopen, aan de hand waarvan niet alleen hun identiteit was vast te stellen, maar ook hun interesses, voorkeuren, beroep en andere privacygerelateerde zaken. Begin dit jaar werd bekend dat Avast in de VS een bedrag van 16,5 miljoen dollar moet betalen. bron: https://www.security.nl

Een groot deel van de CrushFTP-servers mist een belangrijke beveiligingsupdate voor een actief aangevallen kwetsbaarheid waardoor een aanvaller het systeem kan overnemen. In eerste instantie werd gemeld dat een aanvaller via de kwetsbaarheid willekeurige bestanden kon lezen, maar securitybedrijf Rapid7 laat weten dat het beveiligingslek het omzeilen van de authenticatie voor het admin-account en volledige remote code execution mogelijk maakt. Vorige week waarschuwden de CrushFTP-makers voor een actief aangevallen zerodaylek, waar op het moment van de aanvallen geen patch voor beschikbaar was. Inmiddels zijn er wel updates beschikbaar gemaakt, maar blijken veel beheerders die nog niet geïnstalleerd te hebben. The Shadowserver Foundation telde op 24 april minstens 1400 kwetsbare CrushFTP-servers. Volgens securitybedrijf Censys zijn er op internet zo'n 2400 CrushFTP-servers te vinden. De meeste kwetsbare servers bevinden zich in de Verenigde Staten. In Nederland zijn er zo'n vijftig geteld. bron: https://www.security.nl

Onderzoekers hebben een server gebruikt door een bekende 'usb-worm' weten te 'sinkholen', waarna ze 2,5 miljoen unieke ip-adressen verbinding zagen maken. De PlugX-malware bestaat al vele jaren en wordt onder andere ingezet voor datadiefstal en spionage. Eén van de varianten verspreidt zich via usb-sticks, infecteert vanaf het besmette systeem nieuw aangesloten usb-sticks en verzamelt allerlei bestanden van het systeem. Met deze variant besmette machines maken geregeld verbinding met een command & control-server, bijvoorbeeld voor het downloaden van nieuwe malware. Al deze machines blijken verbinding met één specifiek ip-adres te maken. Onderzoekers van securitybedrijf Sekoia wisten vorig jaar september dit ip-adres in handen te krijgen. Op deze manier wisten ze het botnet te 'sinkholen'. Hierbij wordt verkeer afkomstig van een besmette machine doorgestuurd naar een server van bijvoorbeeld een securitybedrijf, autoriteit of provider, om zo verdere schade te voorkomen en besmette machines te identificeren. De afgelopen zes maanden zagen de onderzoekers elke dag 90.000 tot 100.000 unieke ip-adressen requests naar het command & control ip-adres versturen die specifiek zijn voor met PlugX besmette machines. Over een periode van zes maanden gaat het om 2,5 miljoen unieke ip-adressen, waarbij er nog steeds nieuwe infecties plaatsvinden. De onderzoekers merken op dat het totaal aantal besmette machines onbekend is. Veel besmette machines kunnen namelijk een zelfde ip-adres hebben. Daarnaast zijn er veel internetgebruikers met een dynamisch ip-adres, waardoor een besmette machine gedurende een bepaalde periode meerdere ip-adressen kan hebben. De onderzoekers zagen wel dat vijftien landen bij elkaar voor meer dan tachtig procent van de infecties verantwoordelijk zijn. Het gaat vooral om Nigeria, India, China, Iran en Indonesië. bron: https://www.security.nl

Microsoft is al enige tijd bezig met een plan om kwetsbare Windows-bootmanagers in te trekken, om systemen zo tegen aanvallen met de BlackLotus-malware te beschermen. Een eerdere mitigatie die Microsoft vorig jaar uitbracht is te omzeilen, zo stelt het bedrijf in een nieuwe blogposting. Daarom gaat Microsoft een eigen certificaatautoriteit intrekken, maar dat kan ervoor zorgen dat systemen straks niet meer kunnen opstarten. De BlackLotus-malware maakt gebruik van een kwetsbaarheid in Windows voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de malware onder andere BitLocker en Microsoft Defender uitschakelen. UEFI-malware kan ook een herinstallatie van het besturingssysteem of vervangen van hardware overleven. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Vorig jaar kwam Microsoft met een mitigatie, maar die is te omzeilen. Daarom gaat het techbedrijf de Microsoft Windows Production PCA (Product Certificate Authority) 2011 intrekken. Dit zal door middel van een DBX-update worden gedaan. Dit heeft echter tot gevolg dat op systemen waarop secure boot staat ingeschakeld, het systeem niet meer kan opstarten via een Windows-bootmanager die is gesigneerd door het Microsoft Windows Production PCA 2011. Het gaat dan ook om het opstarten via bestaande herstelmedia, usb-media en network boot (WSD/PXE/HTTP) servers waarvan de bootmanager niet is bijgewerkt. Microsoft verwacht met name problemen met PXE boot. "Dat komt doordat je binaries die via PXE worden aangeboden niet kan updaten totdat alle machines ondersteund door de network boot server zijn geüpdatet om de nieuwe database-update te gebruiken", legt Microsofts Sochi Ogbuanya uit. Het techbedrijf heeft een plan van aanpak gepubliceerd hoe organisaties en gebruikers met deze DBX-update kunnen omgaan. bron: https://www.security.nl

Microsoft gaat een technologie van Windows 11 die voor kleinere updates zorgt ook voor Windows 10 toepassen. Volgens het techbedrijf zorgt het gebruik van 'efficient packaging' in Windows 11 voor veertig procent kleinere updates. Hoe kleiner de updates, hoe sneller beveiligingspatches worden geïnstalleerd en gebruikers beschermd zijn, aldus Microsoft. Het techbedrijf meldt dat dezelfde technologie van Windows 11 aan Windows 10 versie 22H2 wordt toegevoegd. Daarmee zou de omvang van maandelijkse 'latest cumulative update' (LCU) packages met twintig procent worden verminderd. "Het verkleinen van de omvang van LCU-packages heeft verschillende voordelen, zoals verminderd bandbreedtegebruik, snellere downloads, beperkter netwerkverkeer en verbeterde prestaties op tragere verbindingen", zegt Microsofts Santosh Kumar Patil. bron: https://www.security.nl

Firewalls van Cisco zijn al maandenlang het doelwit van aanvallen waarbij twee zerodaylekken worden gebruikt, zo heeft het bedrijf zelf laten weten. Bij de aanvallen weten de aanvallers malware op de firewalls te installeren. Hoe de aanvallers toegang tot de firewalls weten te krijgen is onbekend. Het zerodaylek aangeduid als CVE-2024-20359 maakt het mogelijk voor een aanvaller om willekeurige code met rootrechten op de firewall uit te voeren. Dit is echter alleen mogelijk als de aanvaller al admintoegang tot de firewall heeft. De andere zeroday, CVE-2024-20353, wordt gebruikt om te voorkomen dat de firewall een crash dump kan genereren, wat details over de aanval bevat. Via de kwetsbaarheid vindt er meteen een reboot van de firewall plaats, wat forensisch onderzoek zo bemoeilijkt. Zodra de aanvallers toegang tot een Cisco-firewall hebben worden er twee backdoors geïnstalleerd die Cisco "Line Runner" en "Line Dancer" noemt. Via de backdoors wijzigen de aanvallers de configuratie van de firewall, verzamelen netwerkverkeer en kunnen zich lateraal door het netwerk bewegen. De Britse overheid maakte een analyse van beide backdoors (pdf1, pdf2). Cisco stelt dat begin januari de eerste aanvallen zijn waargenomen waarbij de zerodays zijn ingezet. Vorig jaar juli zouden de aanvallers echter al zijn begonnen met het testen van de aanval. De Australische overheid laat weten dat verschillende firewalls in Australië zijn gecompromitteerd. Cisco heeft updates beschikbaar gemaakt om de zerodays te verhelpen. Volgens het netwerkbedrijf zijn de aanvallen het werk van een statelijke actor en is "klein aantal" klanten doelwit geworden. bron: https://www.security.nl

Google heeft vandaag nieuwe versies van Chrome uitgebracht waarin een kritieke kwetsbaarheid is verholpen waardoor een aanvaller willekeurige code op het systeem kan uitvoeren en in het ergste geval het systeem volledig kan overnemen. Een gebruiker hoeft hiervoor alleen een gecompromitteerde of besmette website te bezoeken of een besmette advertentie te zien krijgen. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. Vier weken geleden kwam Google ook al met een update voor een kritieke Chrome-kwetsbaarheid, en net als toen bevindt het nu verholpen probleem zich in ANGLE. Dit is een onderdeel van de browser dat wordt gebruikt voor het uitvoeren van WebGL- en andere OpenGL-content. De kwetsbaarheid werd gevonden en gerapporteerd door twee onderzoekers van Qrious Secure, die hiervoor een beloning van 16.000 dollar ontvingen. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 124.0.6367.78/.79 is beschikbaar voor Windows en macOS. Voor Linux is versie 124.0.6367.78 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

De Open Source Security Foundation (OpenSSF) en OpenJS Foundation waarschuwen opensource-ontwikkelaars voor social engineering, zoals bij de ontwikkelaar van datacompressietool XZ werd toegepast. Antivirusbedrijf Kaspersky verwacht dat de komende maanden meer gecompromitteerde opensourceprojecten bekend zullen worden. Eerder publiceerde Google-onderzoeker Russ Cox een overzicht van hoe social engineering bij de XZ-ontwikkelaar werd toegepast. Eén of meerdere aanvallers die zich voordeden als een persoon genaamd 'Jia Tan' wisten het vertrouwen van XZ-ontwikkelaar Lasse Collin te winnen en konden uiteindelijk een backdoor aan code van het project toevoegen. Collin heeft aangegeven met een eigen analyse van de aanval te komen, maar de XZ-ontwikkelaar heeft zijn website sinds 15 april niet meer bijgewerkt. Volgens de OpenJS Foundation en Open Source Security Foundation is de aanval op XZ waarschijnlijk geen geïsoleerd incident. Ze roepen dan ook alle opensource-ontwikkelaars op om alert te zijn op social engineering, dergelijke patronen te leren herkennen en maatregelen te nemen om hun opensourceprojecten te beschermen. De stichtingen hebben ook verschillende voorbeelden gegeven van hoe social engineering is te herkennen. "Deze social engineering-aanvallen maken misbruik van het plichtsgevoel dat maintainers voor hun project en community hebben om ze zo te manipuleren", aldus de stichtingen. "Let op hoe interacties je laten voelen. Interacties die zorgen voor twijfel, het gevoel tekort te schieten of het niet genoeg doen aan het project, etc., kunnen onderdeel van een social engineering-aanval zijn", aldus de stichtingen. "Het is duidelijk dat social engineering veel minder technische vereisten heeft om volledige toegang tot ontwikkelomgevingen te krijgen dan bij supplychain-aanvallen zoals SolarWinds, M.E.Doc en Asus het geval was", zegt antivirusbedrijf Kaspersky. De virusbestrijder verwacht dat de komende maanden meer incidenten zoals XZ bekend zullen worden. bron: https://www.security.nl

'Edge devices' zoals vpn's, firewalls en e-mail gateways, zijn steeds vaker het doelwit van spionageaanvallen, zo stelt Googles securitybedrijf Mandiant in het eigen jaarrapport. Het aanvallen van dit soort apparaten heeft verschillende voordelen voor aanvallers, zo laat het bedrijf weten. Zo draait er vaak geen beveiligings- of monitoringsoftware op, is er geen gebruikersinteractie vereist om ze te compromitteren, biedt het een springplank om het achterliggende netwerk aan te vallen en bemoeilijkt de vaak proprietary omgeving forensisch onderzoek. Volgens Mandiant maken aanvallers gebruik van ingebouwde features binnen edge devices, wat de complexiteit van de eigen malware vermindert. Het gaat dan bijvoorbeeld om het gebruik van speciale bestandsformaten of configuratiebestanden. "Dit is met name effectief op edge devices omdat de werking vaak niet gemonitord wordt door netwerkbeheerders en de activiteiten daardoor onopgemerkt blijven", aldus het securitybedrijf. Firewalls, gateways en vpn-oplossingen ondersteunen zelden beveiligingssoftware waarmee het apparaat op infecties of verdacht gedrag kan worden gemonitord. Verder kunnen de onderliggende platforms proprietary zijn, wat eventueel onderzoek bemoeilijkt. "Exploits voor deze apparaten zijn zeer waardevol voor aanvallers, omdat ze geen gebruikersinteractie vereisen, wat de kans op detectie verkleint." Wanneer aanvallers over een zeroday-exploit beschikken kunnen ze via het edge device de organisatie binnendringen en vaak lange tijd onopgemerkt blijven. "Als je malware op een Windowscomputer uitrolt is de kans veel groter dat je wordt gepakt dan wanneer je dezelfde malware op een vpn-apparaat uitrolt", zegt Charles Carmakal van Mandiant tegenover The Record. In het jaarrapport meldt Mandiant dat twee van de drie meest aangevallen kwetsbaarheden vorig jaar betrekking hadden op edge devices. Het ging om lekken in MOVEit Transfer en Barracuda Email Security Gateway. Onlangs waarschuwden het Nederlandse Nationaal Cyber Security Centrum (NCSC) en het Britse National Cyber Security Centre (NCSC) ook dat publiek benaderbare edge devices zoals firewalls, vpn-servers en e-mailservers steeds interessanter voor aanvallers worden. bron: https://www.security.nl

Aanvallers hebben via het updatemechanisme van virusscanner eScan een onbekend aantal organisaties met backdoors en cryptominers geïnfecteerd. Dat laat antivirusbedrijf Avast weten. De antivirussoftware van eScan maakte standaard altijd via http verbinding voor het downloaden van updates. De aanvallers wisten door middel van een man-in-the-middle (mitm) aanval een malafide update bij aangevallen organisaties te verspreiden. Vervolgens voert de virusscanner de malafide update uit en wordt het systeem geïnfecteerd. De updates werden wel gecontroleerd, maar via een malafide dll die gesideload werd kon de malware worden uitgevoerd. Hoe de aanvallers de mitm-aanval konden uitvoeren is onbekend, maar Avast denkt dat de aanvallers al toegang tot het systeem of het netwerk van de aangevallen organisatie hadden en zo het verkeer konden omleiden. Bij de aanval werden twee soorten backdoors ingezet, gericht op grote bedrijfsnetwerken. Daarnaast worden besmette systemen geïnfecteerd met een cryptominer die de rekenkracht van de computer gebruikt voor het minen van cryptovaluta. Avast waarschuwde eScan. De virusbestrijder laat weten dat de nieuwste versies van de antivirussoftware gebruikmaken van https voor het downloaden van updates. Volgens Avast hebben de aanvallers mogelijk banden met een Noord-Koreaanse aanvalsgroep. bron: https://www.security.nl

Mozilla heeft een een recent toegevoegde feature aan Firefox waardoor onbetrouwbaar geachte downloads proactief worden geblokkeerd wegens een bug tijdelijk uitgeschakeld. De feature zorgde in bepaalde gevallen voor problemen met het downloaden van bestanden. Met de lancering van Firefox 125.0.1 worden downloads van url's die als potentieel onbetrouwbaar worden beschouwd 'proactiever' geblokkeerd, aldus de uitleg van Mozilla. De feature zorgde echter voor problemen bij het downloaden van bestanden, zo blijkt uit klachten van meerdere gebruikers. Die melden onder andere dat de verkeerde content wordt gedownload en ook het downloaden van documenten vanaf een intranet niet goed meer gaat. Vanwege de impact heeft Mozilla Firefox 125.0.2 als spoedoplossing uitgebracht en besloten de feature tijdelijk uit te schakelen. De maatregel zal in een toekomstige versie weer worden ingeschakeld. bron: https://www.security.nl

Een zerodaylek in de Windows Print Spooler-service, dat door de Amerikaanse geheime dienst NSA aan Microsoft werd gerapporteerd, is jarenlang gebruikt bij aanvallen, aldus het techbedrijf. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen tot het SYSTEM-niveau, waarmee volledige controle over het systeem wordt verkregen. Microsoft kwam op 11 oktober 2022 met een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-38028. Het techbedrijf bedankte destijds de NSA voor het rapporteren van het probleem. In een nieuwe analyse meldt Microsoft dat een aan de Russische geheime dienst gelieerde groep die wordt aangeduid als APT28, Fancy Bear en Forest Blizzard, sinds juni 2020 misbruik van het beveiligingslek maakt en dit mogelijk al sinds april 2019 doet. Zodra de aanvallers toegang tot een systeem hebben misbruiken ze de kwetsbaarheid om hun rechten te verhogen en vervolgens inloggegevens te stelen, aldus Microsoft. Het techbedrijf roept organisaties op om de kwetsbaarheid voor CVE-2022-38028 zo snel mogelijk te installeren als dat nog niet is gedaan. Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller. bron: https://www.security.nl

Het aantal slachtoffers van ransomware dat losgeld betaalt is naar het laagste niveau in vijf jaar tijd gedaald, zo stelt securitybedrijf Coveware. Volgens onderzoekers van het bedrijf besloot 28 procent van de slachtoffers in het eerste kwartaal van dit jaar criminelen te betalen, tegenover 85 procent in het eerste kwartaal van 2019. Ook heeft de daling doorgezet van de hoogte van het losgeldbedrag. Het gemiddelde losgeldbedrag dat werd betaald bedroeg 382.000 dollar, een daling van 32 procent ten opzichte van het vierde kwartaal van 2023. Volgens Coveware wordt de daling onder andere veroorzaakt door de aanpak van Ransomware-as-a-Service (RaaS) ontwikkelaars en de manier waarop die zich de afgelopen maanden gedroegen. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen (partners van de ransowmare-ontwikkelaars) moeten in dit geval de ransomware nog wel zelf verspreiden. Begin dit jaar werden een website en servers van de LockBit-ransomware in beslag genomen. LockBit werd als Ransomware-as-a-Service aangeboden. Daarnaast bleek dat een andere ransomwaregroep, genaamd BlackCat (ALPHV), partners had opgelicht. De manier waarop RaaS-ontwikkelaars op de ontwikkelingen reageerden was verbijsterend, aldus de onderzoekers. In plaats van moeite te doen om het vertrouwen van partners te versterken, deden de ontwikkelaars juist het tegenovergestelde. Daardoor zijn veel van de partners gestopt of kijken naar het ontwikkelen van hun eigen ransomware. De onderzoekers keken ook naar de kwetsbaarheden die bij ransomware-aanvallen in het eerste kwartaal werden ingezet. Dan blijkt dat het vooral gaat om beveiligingslekken in vpn-producten van Cisco en NetScaler en ScreenConnect-installaties. Verder was de Akira-ransomware het meest actief in het eerste kwartaal. bron: https://www.security.nl

Honderdduizenden WordPress-sites zijn kwetsbaar voor aanvallen door een kritieke kwetsbaarheid in de Forminator-plug-in. Via de plug-in kunnen websites allerlei soorten webformulieren maken, zoals contactformulieren, polls, quizzen en betaalformulieren. Meer dan een half miljoen WordPress-sites maken gebruik van de plug--in. Die bevat echter een kritiek beveiligingslek waardoor een aanvaller gevaarlijke bestandstypes naar de webserver kan uploaden en uitvoeren. De impact van dit beveiligingslek (CVE-2024-28890) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC), dat voor de kwetsbaarheid waarschuwt, is het probleem aanwezig in alle versies van de plug-in voor versie 1.29.0. Deze versie verscheen eind januari. De ontwikkelaar maakt in de release notes echter geen melding van het oplossen van het probleem. Cijfers van WordPress.org laten zien dat zo'n 55 procent van de sites met Forminator gebruikmaakt van versie 1.29.0 of nieuwer, wat inhoudt dat een groot aantal nog kwetsbaar is. Als er wordt gekeken naar de dagelijkse downloads na het uitkomen van een nieuwe versie, dan blijkt dat zo'n tweehonderdduizend websites up-to-date zijn, waardoor het aantal kwetsbare sites nog veel groter zou zijn. bron: https://www.security.nl

Thunderbird krijgt in juli support voor Exchange, zo hebben de ontwikkelaars aangekondigd. Vooralsnog zal het eerst alleen om e-mail gaan en wordt ondersteuning van kalender en adresboek later toegevoegd. Het is voor het eerst in het 20-jarig bestaan van Thunderbird dat er een nieuw e-mailprotocol aan de e-mailclient wordt toegevoegd en dit is dan ook een hele onderneming. "Microsoft Exchange is een populaire e-maildienst voor bedrijven en onderwijsinstellingen, dus het is geen verrassing dat er onder Thunderbird-gebruikers vraag is naar support voor Exchange", aldus de ontwikkelaars. Op dit moment is het mogelijk om via een betaalde extensie Exchange-accounts via Thunderbird te beheren, maar het wordt niet standaard vanuit de software aangeboden. De ingebouwde support van het Exchange-protocol wordt mogelijk doordat Thunderbird ondersteuning van de Rust-programmeertaal krijgt. Door middel van een zogenoemd 'Rust crate' kan het Exchange-protocol straks binnen de e-mailclient worden gebruikt. Het ontwikkelteam heeft nu meer technische details gegeven over hoe ze de support voor het Microsoft Exchange Web Services e-mailprotocol binnen Thunderbird toevoegen. Daarbij wordt vooral het belang van Rust genoemd. "Thunderbird is een groot project beheerd door een klein team, dus het kiezen van een taal voor nieuwe zaken wordt niet zomaar gedaan. We hebben krachtige tools nodig om complexe features relatief snel te ontwikkelen, maar moeten dit balanceren met langetermijnbeheer. Het kiezen van Rust heeft verschillende belangrijke voordelen." De ontwikkelaars wijzen dan naar memory safety, prestaties, modulariteit en ecosysteem. bron: https://www.security.nl

Het Project Zero-team van Google heeft bij een onderzoek naar de Windows Registry vijftig kwetsbaarheden in de Windows-kernel gevonden die inmiddels door Microsoft zijn verholpen. Dat heeft onderzoeker Mateusz Jurczyk in een blogposting bekendgemaakt. In zo'n tachtig procent van de gevallen gaat het om beveiligingslekken waarmee een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. "In essentie is het register een hiërarchische database bestaande uit "keys" en "values", die door Windows en applicaties worden gebruikt om allerlei instellingen en configuratiedata op te slaan", aldus de onderzoeker. Het kernelgedeelte van het Windows-register is de afgelopen jaren flink gegroeid. Ging het bij Windows NT 4.0 nog om 10.000 regels code, dat is met Windows 11 naar zo'n 100.000 regels code gestegen. Jurczyk deed van mei 2022 tot en met december vorig jaar een uitgebreide audit van de Windows Registry, op zoek naar zogeheten 'local privilege escalation' bugs. Dat leverde zoals gezegd vijftig kwetsbaarheden op. Achttien daarvan waren er volgens de onderzoeker eenvoudig te misbruiken, tien hadden een gemiddelde moeilijkheidsgraad. Gemiddeld had Microsoft 81 dagen nodig om na de melding met een update te komen. Google geeft softwareontwikkelaars standaard negentig dagen de tijd om een kwetsbaarheid te verhelpen, anders maakt het de details openbaar. Volgens Jurczyk laat zijn onderzoek zien dat het register een zeer complex onderdeel van de Windows-kernel is, en één met veel potentie voor het vinden van interessante bugs. bron: https://www.security.nl

Wachtwoordmanager LastPass waarschuwt gebruikers voor een telefonische phishingaanval waarbij wordt geprobeerd om inloggegevens te stelen. De aanval begint met een telefoontje waarin wordt beweerd dat er vanaf een nieuw apparaat op het LastPass-account van de gebruiker is ingelogd. De gebruiker moet vervolgens een '1' indrukken om dit toe te staan of een '2' om de inlogpoging te blokkeren. Wanneer gebruikers op '2' drukken krijgen ze te horen dat een helpdeskmedewerker met hen contact op zal nemen. Deze 'medewerker' belt vanaf een gespooft telefoonnummer en zegt voor LastPass te werken. Vervolgens stuurt de 'medewerker' een e-mail waarmee gebruikers de toegang tot hun account zouden kunnen resetten. De link in deze e-mail wijst in werkelijkheid naar de phishingsite help-lastpass[.]com. Op deze site ingevoerde gegevens worden naar de aanvaller gestuurd. In het geval gebruikers hun master password op de phishingsite invoeren probeert de aanvaller op het LastPass-account in te loggen. Dan worden de instellingen binnen het account aangepast om te voorkomen dat de echte gebruiker kan inloggen. Zo kunnen telefoonnummer en e-mailadres door de aanvaller worden gewijzigd, alsmede het master password. LastPass adviseert gebruikers om meteen op te hangen als ze worden gebeld door iemand die zegt voor LastPass te werken. bron: https://www.security.nl