Captain Kirk

Google Chrome gaat alle websites die gebruikers bezoeken in real-time controleren. Voorheen gebruikte de browser een lokaal opgeslagen lijst om te zien of een website of bestand mogelijk gevaarlijk is. Chrome maakt al lange tijd gebruik van Safe Browsing om gebruikers voor malafide en phishingsites te waarschuwen. De browser maakte hiervoor altijd gebruik van een lokaal opgeslagen lijst van bekende malafide sites, die elke dertig tot zestig minuten wordt bijgewerkt. Volgens Google zijn phishingdomeinen tegenwoordig veel geraffineerder geworden en bestaat zestig procent van de phishingsites minder dan tien minuten, waardoor ze lastig te blokkeren zijn. Daarom controleert Google nu in real-time of Chrome-gebruikers een bekende malafide site bezoeken. Dit zou voor een "25 procent verbeterde bescherming" tegen malware en phishing moeten zorgen, zo beweert het techbedrijf. Chrome-gebruikers konden sinds 2020 bezochte websites al in real-time laten controleren, maar moesten hier zelf voor kiezen door Enhanced Safe Browsing in te schakelen. Bij het gebruik van Enhanced Safe Browsing wordt er meer data met het techbedrijf gedeeld. Zo worden alle geopende links naar Google gestuurd. Ook stuurt de browser een klein deel van de bezochte webpagina's en verdachte downloads naar Google om nieuwe dreigingen te ontdekken. De nu aangekondigde 'real-time protection' wordt standaard onderdeel van Chrome en Google stelt dat het daarbij niet kan zien welke websites gebruikers bezoeken. De feature is beschikbaar voor desktop- en iOS-versie. Android volgt later deze maand. Gebruikers die meer bescherming willen kunnen hiervoor Enhanced Safe Browsing inschakelen. bron: https://www.security.nl

Mozilla blijft op Manifest V2-gebaseerde browser-extensies in Firefox voorlopig ondersteunen en als er wordt besloten om hiermee te stoppen zal dit tenminste twaalf maanden van tevoren worden aangekondigd, zodat extensie-ontwikkelaars hierop kunnen anticiperen. Dat heeft Mozilla aangekondigd. De manier waarop browser-extensies werken staat beschreven in een Manifest. Over een aantal maanden zal Google voor Chrome Manifest V3 verplichten. De nieuwe regels van dit Manifest bieden volgens Google allerlei voordelen, maar critici stellen dat ze de werking van adblockers beperken. Ook Firefox maakt gebruik van een Manifest en is bezig met de implementatie van Manifest V3. In tegenstelling tot Google is Mozilla niet van plan om adblockers via Manifest V3 te beperken. De Manifest V3-implementatie van Mozilla verschilt van die van Google. Browser-extensies kunnen aangeven of ze met Chrome of Firefox werken. Google zal daarnaast Manifest V2-extensies in Chrome dit jaar bij gebruikers gaan uitschakelen, zodat die alleen nog V3-extensies kunnen gebruiken. Firefox heeft geen plannen om V2-extensies voorlopig uit te faseren. Mocht Mozilla daarop terugkomen, zegt het dit minstens twaalf maanden van tevoren bekend te maken. Dit moet extensie-ontwikkelaars de tijd geven om hun extensie aan te passen. bron: https://www.security.nl

Het plan van de Amerikaanse staat Nevada om de uitrol van end-to-end encrypte in Facebook Messenger te verbieden ondermijnt de privacy en veiligheid voor iedereen, zo stelt Mozilla. Dat schreef samen met chatapp Signal en de Amerikaanse burgerrechtenbeweging EFF een brief naar de rechter die zich over het plan buigt (pdf). Daarin waarschuwen de partijen voor de gevolgen die een dergelijk verbod kan hebben. De procureur-generaal van Nevada heeft een verzoek bij de rechter ingediend om de uitrol van end-to-end encryptie in Facebook Messenger voor minderjarigen via een gerechtelijk bevel te verbieden. De Amerikaanse staat stelt dat end-to-end encryptie strafrechtelijke onderzoeken kan hinderen. "Encryptie voorkomt niet dat de afzender of ontvanger zorgwekkende content bij de politie kunnen melden, of voorkomt dat de politie via een gerechtelijk bevel toegang tot metadata over de communicatie kan krijgen", aldus Mozilla. De Firefox-ontwikkelaar waarschuwt dat het blokkeren van de uitrol van end-to-end encryptie de privacy en veiligheid van iedereen ondermijnt. "Voor een marginaal voordeel dat wordt tenietgedaan door de schade die een dergelijke draconische beperking creëert." Volgens Mozilla omvat de zaak een breder debat over de balans tussen opsporingsdiensten online misdaad laten bestrijden en het beschermen van belangrijke online bescherming voor alle gebruikers, met name kwetsbare groepen zoals kinderen. bron: https://www.security.nl

Tijdens de patchdinsdag van maart heeft Microsoft updates voor 61 kwetsbaarheden uitgebracht, waaronder twee kritieke kwetsbaarheden in Microsoft Hyper-V. Dit is Microsofts virtualisatiesoftware waarmee virtual machines (VM's) zijn te maken. Eén van de kritieke kwetsbaarheden in Hyper-V (CVE-2024-21408) maakt het mogelijk voor een aanvaller om een denial of service te veroorzaken. Normaliter worden dergelijke beveiligingslekken niet als kritiek beoordeeld, maar in dit geval wel. Microsoft geeft echter geen verdere details. De tweede kritieke Hyper-V-kwetsbaarheid (CVE-2024-21407) maakt het mogelijk voor een geauthenticeerde aanvaller op een gast-VM om code op de onderliggende host-server uit te voeren. Volgens Microsoft zou een aanvaller voor een succesvolle aanval eerst specifieke informatie over de aan te vallen omgeving moeten verzamelen en aanvullende acties moeten ondernemen. Het techbedrijf stelt dat misbruik van beide Hyper-V-kwetsbaarheden 'minder waarschijnlijk' is. De overige kwetsbaarheden die Microsoft deze maand heeft verholpen hebben een lagere impact, aldus het techbedrijf. bron: https://www.security.nl

Tijdens de patchdinsdag van maart heeft Microsoft updates voor 61 kwetsbaarheden uitgebracht, waaronder twee kritieke kwetsbaarheden in Microsoft Hyper-V. Dit is Microsofts virtualisatiesoftware waarmee virtual machines (VM's) zijn te maken. Eén van de kritieke kwetsbaarheden in Hyper-V (CVE-2024-21408) maakt het mogelijk voor een aanvaller om een denial of service te veroorzaken. Normaliter worden dergelijke beveiligingslekken niet als kritiek beoordeeld, maar in dit geval wel. Microsoft geeft echter geen verdere details. De tweede kritieke Hyper-V-kwetsbaarheid (CVE-2024-21407) maakt het mogelijk voor een geauthenticeerde aanvaller op een gast-VM om code op de onderliggende host-server uit te voeren. Volgens Microsoft zou een aanvaller voor een succesvolle aanval eerst specifieke informatie over de aan te vallen omgeving moeten verzamelen en aanvullende acties moeten ondernemen. Het techbedrijf stelt dat misbruik van beide Hyper-V-kwetsbaarheden 'minder waarschijnlijk' is. De overige kwetsbaarheden die Microsoft deze maand heeft verholpen hebben een lagere impact, aldus het techbedrijf. bron: https://www.security.nl

Een Belgisch bedrijf heeft op meerdere punten de AVG overtreden door foto's van een ex-werknemer niet van de bedrijfssite en social media te verwijderen nadat die hierom had gevraagd, zo heeft de Belgische privacytoezichthouder GBA geoordeeld (pdf). De medewerkster was tot 2021 bij het bedrijf in dienst. In augustus 2023 ontdekte ze dat haar foto's op de website van het bedrijf werden gebruikt om nieuw personeel te werven. De medewerkster vroeg haar ex-werkgever om al haar foto's van de bedrijfssite en social media te verwijderen en ze niet meer in de toekomst te gebruiken. De ex-werkgever reageerde door te stellen dat een regeling voor het gebruik van fotomateriaal na uitdiensttreding werd uitgewerkt en het bedrijf dus aan de regels voldeed. Tevens liet het bedrijf weten dat er aan nieuw fotomateriaal werd gewerkt om dergelijke situaties in de toekomst te voorkomen. Begin november vorig jaar diende de ex-werknemer een klacht in bij de GBA. De Belgische privacytoezichthouder merkt op dat iemands naam en foto onder de AVG persoonlijke gegevens zijn en de publicatie hiervan als gegevensverwerking kan worden aangemerkt. Elke gegevensverwerking moet een juridische grondslag hebben. Het kan dan bijvoorbeeld gaan om toestemming, contract of legitiem belang. In dit geval oordeelt de GBA dat er in de relatie van werknemer-werkgever geen sprake is van 'vrije' toestemming. Daarnaast kan het bedrijf ook geen beroep doen op een contract, aangezien dat al in 2021 is geëindigd. Maar zelfs als de werknemer nog in dienst was had het bedrijf dit niet als grondslag kunnen gebruiken, omdat het publiceren van foto's van een werknemer niet noodzakelijk zijn om het werknemerscontract uit te voeren. Het werven van een nieuw personeel kan wel een legitiem belang zijn, maar volgens de GBA is het hier niet noodzakelijk voor om foto's te plaatsen. Daarnaast had de werknemer ook geen redelijke verwachting kunnen hebben dat haar foto door haar ex-werkgever zou worden gepubliceerd, zeker omdat ze voor een concurrent ging werken. Volgens de toezichthouder is er dan ook sprake van onrechtmatige gegevensverwerking. Verder hebben mensen het recht onder de AVG om hun data te laten verwijderen. De GBA heeft het bedrijf dan ook opgedragen om het verzoek van de ex-werknemer binnen dertig dagen uit te voeren. bron: https://www.security.nl

Fortinet waarschuwt organisaties voor twee kritieke kwetsbaarheden in de captive portal van FortiOS en FortiProxy waardoor een aanvaller code en commando's op het systeem kan uitvoeren. De impact van de beveiligingslekken (CVE-2023-42789 en CVE-2023-42790) is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. Beide producten bieden een captive portal die gebruikers authenticeert voordat ze toegang tot 'web resources' krijgen. Door het versturen van speciaal geprepareerde HTTP requests kan een aanvaller een out-of-bounds write of buffer overflow veroorzaken en zo code of commando's op het systeem uitvoeren. Fortinet heeft beveiligingsupdates voor FortiOS en FortiProxy uitgebracht. Daarnaast kunnen organisaties ook een workaround doorvoeren wat misbruik van de beveiligingslekken voorkomt. Vorige week bleek nog dat 150.000 Fortinet-apparaten een belangrijke beveiligingsupdate voor een actief aangevallen kwetsbaarheid niet hebben geïnstalleerd. bron: https://www.security.nl

Het Tor Project heeft vandaag een nieuwe tool gelanceerd waarmee Tor-gebruikers overheidscensuur kunnen omzeilen. WebTunnel, zoals de tool heet, neemt het Tor-verkeer en vermomt dat als gewoon webverkeer. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er "Tor-bridges". Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt. WebTunnel is ook een soort bridge en is een aanvulling op de al bestaande obfs4-bridge die Tor gebruikt. Obfs4 probeert het verkeer volledig onherkenbaar te maken. WebTunnel kiest juist een aanpak waarbij het normaal verkeer nabootst. Dit zou vooral effectief moeten zijn in scenario's waarbij er een protocol allow list en een 'deny-by-default' netwerkomgeving is, laat Gustavo Gus van het Tor Project weten. Sommige landen, zoals China, blokkeren internetverkeer op basis van het protocol. Obfs4-verkeer komt niet overeen met een bekend toegestaan protocol, waardoor het wordt geblokkeerd. WebTunnel lijkt op normaal HTTPS-verkeer, wat een toegestaan protocol is, en wordt dan ook doorgelaten. Op dit moment worden WebTunnel-bridges alleen via de bridges-website van het Tor Project aangeboden, maar het plan is om ze bijvoorbeeld ook via Telegram te gaan aanbieden. bron: https://www.security.nl

Streamingdienst Roku heeft een onbekend aantal ongeautoriseerde abonnementen geannuleerd en klanten vergoed nadat criminelen via een credential stuffing-aanval meer dan vijftienduizend accounts hadden gekaapt. Volgens Roku maakten de aanvallers gebruik van inloggegeven die bij andere partijen waren gestolen. Getroffen Roku-gebruikers gebruikten hetzelfde wachtwoord van die diensten voor hun Roku-account, waardoor de aanvallers konden inloggen. Nadat de aanvallers toegang tot de accounts hadden gekregen probeerden ze streamingabonnementen aan te schaffen. Na ontdekking van de aanval heeft Roku de wachtwoorden van getroffen accounts gereset om verder misbruik te voorkomen. Daarnaast werden ongeautoriseerde abonnementen geannuleerd en de kosten hiervan aan slachtoffers vergoed. Uit een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine blijkt dat de aanvallers via de credential stuffing-aanval toegang tot meer dan vijftienduizend accounts kregen. Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Roku roept getroffen gebruikers op om de abonnementen van hun account te controleren en voor elk online account een uniek en sterk wachtwoord te gebruiken. Roku had vorig jaar naar eigen zeggen meer dan tachtig miljoen actieve accounts en een omzet van 3,4 miljard dollar. bron: https://www.security.nl

E-maildienst Tuta, voorheen bekend als Tutanota, heeft een post-quantum encryptieprotocol ontwikkeld dat e-mail van gebruikers moet beschermen tegen aanvallen door quantumcomputers. Het protocol, met de naam TutaCrypt, zal de klassieke asymmetrische cryptografie (RSA-2048) vervangen. TutaCrypt is een 'quantum-safe hybride encryptieprotocol' dat post-quantum Key Encapsulation Mechanism (CRYSTALS-Kyber) en een Elliptic-Curve-Diffie-Hellmann key exchange (x25519) combineert. "Voor de eerste keer kunnen mensen nu e-mails versturen en ontvangen die zo goed versleuteld zijn dat zelfs quantumcomputers de encryptie niet kunnen kraken om de berichten te ontsleutelen", zegt Tuta-ceo Arne Mohle. "En het beste is dat deze unieke encryptie is te gebruiken om naar iedereen in de wereld e-mails end-tot-end versleuteld te versturen, ongeacht hun e-mailprovider, met het eenvoudig uitwisselen van een wachtwoord." Voorheen genereerde Tuta een RSA key pair. Met de lancering van TutaCrypt worden twee key pairs gegenereerd. Een Elliptic Curve key pair voor een Elliptic Curve Diffie-Hellman Key Exchange (ECDH) en een Kyber-1024 key pair voor key encapsulation. De private keys worden op de servers van Tuta opgeslagen, die zich in Duitsland bevinden, zodat ze zijn te gebruiken op elk apparaat van de gebruiker. Nieuwe Tuta-accounts zullen voortaan alleen TutaCrypt key pairs hebben een geen RSA key pair meer. TutaCrypt zal geleidelijk onder alle gebruikers worden uitgerold. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) gaan dit jaar nauwer samenwerken. Hiervoor wordt een cultuurtraject gestart en naar gezamenlijke producten gewerkt. Uiteindelijk moeten het NCSC, het DTC en het CSIRT-DSP voor digitale serviceproviders in één centraal expertisecentrum samen verder gaan. Voor dit jaar staat de integratie tussen het Nationaal Cybersecurity Centrum en CSIRT-DSP gepland, gevolgd door de integratie van het NCSC en Digital Trust Center in 2026. Dit moet voor meer synergie zorgen en versnippering binnen het overheidslandschap van cybersecurity tegengaan. Het NCSC heeft als primaire doelgroepen het informeren en bijstaan van vitale organisaties, zoals banken, energie- en telecomaanbieders, en de Rijksoverheid zelf. Het DTC is er voor het bedrijfsleven en het CSIRT-DSP voor digitale serviceproviders. "Het afgelopen jaar heeft de integratie van het DTC met het NCSC steeds verder vorm gekregen. Belangrijke ontwikkelingen waren het aanstellen van een transitiemanager en het opstellen en verder vormgeven van de transitieopgave", zo laat demissionair minister Adriaansens van Economische Zaken in een brief aan de Tweede Kamer weten. Daarnaast wordt er onderling tussen het DTC en het NCSC al op verschillende manieren samengewerkt. "Er wordt in teams, waarin alle disciplines van het DTC en het NCSC zijn vertegenwoordigd, langs vier werkstromen aan de transitie naar de vernieuwde cybersecurityorganisatie gewerkt. Tevens is de medezeggenschapsraad voor de vernieuwde nationale cybersecurityorganisatie ook op een gezamenlijke manier ingericht", laat Adriaansens verder weten. Voor dit jaar meldt de minister dat voor zowel het DTC als het CSIRT-DSP de samenwerking met het NCSC steeds verder geïntensiveerd zal worden. Hiervoor wordt onder andere gestart met een cultuurtraject en het werken naar gezamenlijke producten. bron: https://www.security.nl

Opnieuw zijn duizenden WordPress-sites via een kwetsbaarheid in de plug-in Popup Builder besmet geraakt met malware. Dat laat securitybedrijf Sucuri weten. Begin dit jaar raakten 6200 websites besmet. Bij een nieuwe campagne die de afgelopen drie weken plaatsvond zijn meer dan 3300 websites gecompromitteerd. Popup Builder is een plug-in waarmee WordPress-sites pop-ups kunnen maken die aan bezoekers worden getoond. Meer dan tweehonderdduizend websites maken er gebruik van. Begin december werd bekend dat er een stored cross-site scripting kwetsbaarheid in de plug-in aanwezig is. Daarmee kan een ongeauthenticeerde aanvaller dezelfde acties uitvoeren als een ingelogde beheerder, waaronder het installeren van willekeurige plug-ins en toevoegen van nieuwe beheerders. Op 7 december verscheen er een beveiligingsupdate voor de kwetsbaarheid. Drie maanden na het uitkomen van de patch blijkt uit cijfers van WordPress.org dat zeker veertig procent van de WordPress-sites waarop de plug-in is geïnstalleerd de update mist. Daardoor zijn tienduizenden websites nog steeds kwetsbaar. Bij de nieuwste aanvallen maken aanvallers misbruik van het beveiligingslek om kwaadaardige code aan WordPress-sites toe te voegen die bezoekers naar malafide sites doorstuurt. bron: https://www.security.nl

Het internetdomein Fritz.box is offline gehaald na een klacht van netwerkfabrikant AVM. De FRITZ!Box-modems van AVM maken op het interne netwerk gebruik van het domein fritz.box om de gebruikersinterface te openen. Via de gebruikersinterface zijn alle functies van de FRITZ!Box te configureren en is gedetailleerde informatie over het product, de aansluiting en verbindingen te vinden. Op 22 januari van dit jaar werd door iemand het internetdomein Fritz.box geregistreerd, waarop allerlei NFT-advertenties werden getoond. Dit zorgde ervoor dat gebruikers die op hun modem wilden inloggen naar de internetsite werden doorgestuurd. AVM liet vorige maand weten dat het naar 'verschillende oplossingen' keek om de situatie te herstellen. De netwerkfabrikant lijkt inmiddels een beroep te hebben gedaan op het Uniform Rapid Suspension System, waarvan merkhouders gebruik kunnen maken. Het domein liet vorige week namelijk de melding zien: 'This Site is Suspended. The Domain Name you have entered is not available. It has been taken down as a result of dispute resolution proceedings pursuant to the Uniform Rapid Suspension System (URS)." Eigenaren van een FRITZ!Box kunnen de gebruikersinterface van de modem naast het domein fritz.box ook via een ip-adres bereiken. Op Reddit wordt gesuggereerd dat AVM bij de lancering van het .box top level domein (TLD) vergeten is om de domeinnaam te registreren. Security.NL heeft AVM om een reactie gevraagd. bron: https://www.security.nl

Softwarebedrijf JetBrains heeft securitybedrijf Rapid7 de schuld gegeven van de aanvallen op TeamCity-servers die de afgelopen dagen plaatsvonden. Volgens JetBrains heeft Rapid7 'onethisch' gehandeld door details en een exploit voor een kritieke kwetsbaarheid in TeamCity uit te brengen vijf uur nadat een beveiligingsupdate voor het probleem beschikbaar was gemaakt. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software. De kritieke kwetsbaarheid in het platform (CVE-2024-27198) maakt het mogelijk voor een aanvaller met toegang tot een Jetbrains-server om de authenticatie te omzeilen en een admin-account aan te maken. Zo kan de aanvaller beheerderstoegang tot het systeem krijgen. Het beveiligingslek werd gevonden door Rapid7 dat het probleem bij JetBrains rapporteerde. Vervolgens ontstond er een woordenwisseling tussen beide bedrijven over het aankondigen van de kwetsbaarheid en vrijgeven van details. Rapid7 beschuldigde JetBrains van het stilletjes willen patchen van de kwetsbaarheid, wat weer door de TeamCity-ontwikkelaar werd ontkend. Vijf uur na het uitkomen van de beveiligingsupdate publiceerde Rapid7 details van de kwetsbaarheid en een exploitmodule voor Metasploit. Dit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Kort na het verschijnen van de details en exploitmodule werden TeamCity-servers aangevallen. "We vinden dat het publiceren van de volledige technische details van een kwetsbaarheid en exploit gelijktijdig met de update onethisch en schadelijk voor onze klanten is", aldus JetBrains. Het bedrijf stelt dat klanten hierdoor onvoldoende tijd hadden om de patch te installeren en zo konden worden aangevallen. "Na de full disclosure hoorden we van klanten dat hun servers waren gecompromitteerd. Dit was mogelijk door de exploit die Rapid7 ter beschikking stelde", aldus JetBrains. Het softwarebedrijf vindt dan ook dat details pas veel later na het verschijnen van een update openbaar moeten worden. bron: https://www.security.nl

De Europese Commissie overtreedt met het gebruik van Microsoft 365 de privacywetgeving voor EU-instellingen (EUI's), zo heeft de Europese privacytoezichthouder EDPS vastgesteld. De EDPS heeft Brussel opgedragen om vanaf 9 december te stoppen met het doorsturen van data naar Microsoft en diens partners en subverwerkers die zich buiten de EU bevinden en niet onder een besluit vallen waarbij het beschermingsniveau passend wordt verklaard. Tevens heeft de privacytoezichthouder de Europese Commissie opgedragen om het gebruik van Microsoft 365 aan de geldende regelgeving te laten voldoen. Ook dit moet uiterlijk 9 december zijn geregeld. Volgens de EDPS heeft Brussel niet voor voldoende waarborgen gezorgd dat persoonlijke data die buiten de EU wordt verstuurd net zo goed beschermd is als binnen de EU. Verder heeft de Europese Commissie in het contract met Microsoft over het gebruik van Microsoft 365 niet voldoende duidelijk gemaakt welke persoonlijke data mag worden verzameld en voor welke expliciet vermelde doeleinden. De overtredingen van de Europese Commissie als verwerkingsverantwoordelijke hebben ook betrekking op de data die namens haar wordt verwerkt, waaronder het uitwisselen van persoonlijke data. "Het is de verantwoordelijkheid van EU-instellingen, -organen, -instanties en -agentschappen om ervoor te zorgen dat de verwerking van persoonlijke data buiten en binnen de EU, waaronder binnen de context van clouddiensten, is vergezeld van robuuste databeschermingswaarborgen en -maatregelen. Dit is van groot belang om ervoor te zorgen dat de informatie van personen wordt beschermd, zoals is vastgelegd in Regelgeving (EU) 2018/1725, wanneer data wordt verwerkt door, of in naam, van een EUI", aldus EDPS-voorzitter Wojciech Wiewiorowski (pdf). bron: https://www.security.nl

Een kritieke kwetsbaarheid in de wachtwoordresetfunctie van Facebook maakte het mogelijk voor aanvallers om accounts te kapen, soms zonder enige interactie van gebruikers. Meta heeft het probleem inmiddels verholpen, zo meldt beveiligingsonderzoeker Samip Aryal die het probleem ontdekte en op 30 januari rapporteerde. Facebook biedt gebruikers verschillende opties voor het resetten van hun wachtwoord. Een daarvan is de optie om een wachtwoord te resetten door een zescijferige code via een Facebooknotificatie naar een andere app of apparaat te sturen dan waar de gebruiker op is ingelogd. De verstuurde inlogcode bleek zo'n twee uur actief en in deze tijdsduur verstuurde Facebook ook steeds dezelfde code. Daarnaast bleek Facebook geen beveiliging tegen bruteforce-aanvallen te hebben geïmplementeerd, waardoor het mogelijk was om via een tool zoals Burp Suite alle mogelijke combinaties te proberen en zo de wachtwoordreset uit te voeren. Om de aanval uit te voeren zou een aanvaller in naam van een andere gebruiker eerst een wachtwoordreset moeten aanvragen. Deze gebruiker zou dan de notificatie ontvangen. Vervolgens zou de aanvaller dan de bruteforce-aanval kunnen uitvoeren om de door Facebook verstuurde inlogcode te kunnen achterhalen. Bij sommige gebruikers bleek dat de zescijferige code meteen in de notificatie van Facebook werd gegenereerd en weergegeven. Bij andere gebruikers was een extra click op de notificatie vereist voordat de code werd gegenereerd en weergegeven, waarna pas de aanval kon plaatsvinden. Facebook biedt een beloning van 130.000 dollar voor aanvallen waarbij een account zonder enige interactie van gebruikers is over te nemen. Voor een '1-click' aanval, waarbij er nog een click van de gebruiker is vereist, wordt een bedrag van maximaal 50.000 dollar betaald. Facebook stelde dat in het geval van de aanval die Aryal demonstreerde er nog interactie van gebruikers was vereist, maar dat het klikken op een notificatie een veel kleiner obstakel is dan het klikken op een link. Welk bedrag er uiteindelijk is uitgekeerd wil Aryal niet laten weten. bron: https://www.security.nl

Deurbelcamera's van fabrikant Eken, die ook onder allerlei andere namen worden verkocht, zijn zeer eenvoudig door kwaadwillenden over te nemen, die daarna ermanent met beelden van de videofeed kunnen meekijken. Dat meldt de Amerikaanse consumentenorganisatie Consumer Reports. Het enige dat een aanvaller hoeft te doen is een account aanmaken via de Aiwit-app. Vervolgens kan de aanvaller naar de deurbelcamera van zijn slachtoffer gaan en de bel indrukken om de pairingmode te starten. Vervolgens is het mogelijk om de deurbel met een wifi-netwerk te verbinden en het apparaat zo volledig over te nemen. Daarna is het mogelijk om live met de camera mee te kijken. Ook kan de aanvaller dan het serienummer van de camera achterhalen. De oorspronkelijke eigenaar krijgt, wanneer een aanvaller zijn telefoon aan de deurbelcamera koppelt, bericht dat hij geen toegang meer heeft. Door zijn telefoon opnieuw te pairen is het mogelijk voor de eigenaar om de controle weer terug te krijgen. Een probleem is echter dat een aanvaller met het achterhaalde serienummer van de deurbelcamera beelden van de videofeed kan blijven bekijken, ook al is zijn telefoon niet meer gepaird. Hiervoor is geen account of wachtwoord vereist en de eigenaar krijgt hier geen melding van. Tevens blijkt dat de deurbelcamera's ook het ip-adres en wifi-netwerknaam onversleuteld naar het internet versturen. De camera's worden in allerlei webshops en op online marktplaatsen aangeboden, ook in Nederland. De Android-app van Eken is meer dan een miljoen keer gedownload. Consumer Reports meldde de problemen bij de deurbelcamerafabrikant, maar kreeg naar eigen zeggen geen reactie. bron: https://www.security.nl

Onderzoekers hebben op GitHub meer dan honderdduizend besmette repositories ontdekt die zich voordoen als legitieme repositories, maar in werkelijkheid malware bevatten. Repositories bestaan uit broncode en bestanden van softwareprojecten. Bij de waargenomen aanvallen klonen aanvallers bestaande, legitieme repositories. Vervolgens worden de gekloonde repositories van malware voorzien en opnieuw naar GitHub met identieke namen geüpload. Deze gekloonde, besmette repositories worden dan automatisch duizenden keren geforkt. De aanvallers proberen dan door middel van social engineering, bijvoorbeeld via berichten op fora en Discord, gebruikers naar de malafide repositories te lokken. Het komt echter ook voor dat gebruikers zelf de verkeerde repository kiezen, aldus onderzoekers van securitybedrijf Apiiro. De meeste geforkte malafide repositories worden automatisch door GitHub verwijderd, maar de handmatig geüploade repositories worden vaak gemist en weten zo te overleven, zo laten de onderzoekers verder weten. Vanwege het grote aantal malafide repositories gaat het nog steeds om vele duizenden repositories. De malware in de repositories steelt wachtwoorden, cookies en andere vertrouwelijke data en stuurt die terug naar de aanvallers. bron: https://www.security.nl

3D-printerfabrikant Anycubic is een onderzoek gestart nadat gebruikers wereldwijd via hun printer bericht kregen dat die kritieke kwetsbaarheden bevat. In een bericht op Discourse wordt gemeld dat de printers twee kritiek beveiligingslekken bevatten waarvan er één 'catastrofaal' is als die door een aanvaller wordt gevonden. Volgens het bericht zijn de kwetsbaarheden herhaaldelijk bij Anycubic gemeld, maar heeft de fabrikant geen actie ondernomen. Op Reddit regende het klachten en vragen van gebruikers die de boodschap via hun printer ontvingen. Het gaat om een tekstbestand dat op de printers werd geplaatst. Het beveiligingslek zou zich bevinden in de MQTT-service waarmee de printers vanaf het internet zijn te bedienen. Het MQTT (Message Queueing Telemetry Transport)-protocol maakt het mogelijk om berichten tussen apparaten uit te wisselen. In het verleden zijn er vaker kwetsbaarheden in de MQTT-implementaties van fabrikanten gevonden. Op Reddit meldt Anycubic dat het een onderzoek is gestart. Het bedrijf claimt drie miljoen 3D-printers te hebben verkocht. bron: https://www.security.nl

Een beruchte groep cybercriminelen heeft een zerodaylek in Windows gebruikt voor de installatie van een rootkit. De kwetsbaarheid werd deze maand door Microsoft verholpen, zo meldt antivirusbedrijf Avast, dat het beveiligingslek vorig jaar augustus aan Microsoft rapporteerde. De virusbestrijder stelt dat het om een actief aangevallen zerodaylek gaat. Microsoft zegt in het beveiligingsbulletin echter niet bekend te zijn met misbruik van CVE-2024-21338. De kwetsbaarheid maakt het mogelijk voor een aanvaller die al adminrechten op een gecompromitteerd systeem heeft om kernelrechten te krijgen. Volgens Avast heeft de beruchte Lazarus Group het beveiligingslek gebruikt om de FudModule-rootkit op systemen te installeren. De Lazarus Group wordt onder andere verantwoordelijk gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. Daarnaast zou de groep honderden miljoenen euro's aan cryptovaluta bij cryptobeurzen en -bedrijven hebben gestolen. Via de rootkit, die de groep al jaren gebruikt, kan het antivirus- en monitoringssoftware uitschakelen. Een eerdere versie van de rootkit werd in oktober 2021 door antivirusbedrijf ESET op een systeem van een organisatie in Nederland ontdekt (pdf). "Lazarus is zeer voorzichtig wanneer het de rootkit inzet, en rolt die alleen onder de juiste omstandigheden uit", aldus Avast. De virusbestrijder heeft vandaag details over de rootkit gegeven, die door middel van een nog onbekende remote access trojan werd geïnstalleerd. Details over deze trojan en gebruikte infectievector worden binnenkort gepubliceerd. bron: https://www.security.nl

Brave heeft de in de browser ingebouwde cryptowallet van een update voorzien, zodat nu ook bitcoin wordt ondersteund. De browserontwikkelaar wil met de Brave Wallet naar eigen zeggen de 'veiligste en privacyvriendelijkste' wallet voor dagelijks gebruik aanbieden. Via de Brave Wallet is het nu mogelijk om naar alle soorten bitcoin-adressen geld over te maken of te ontvangen. Op dit moment is het alleen mogelijk om via de Brave Wallet 'native SegWit bitcoin-accounts' aan te maken, maar later dit jaar volgen ook andere soorten accounts. De bitcoin-support is vooralsnog alleen in de desktopversie aanwezig, maar komt ook beschikbaar in de mobiele versie. "In tegenstelling tot de meeste cyptowallets is de Brave Wallet browser-native, wat inhoudt dat geen extra downloads of extensies vereist, wat beveiligingsrisico's vermindert", aldus de browserontwikkelaar. bron: https://www.security.nl

Aanvallers maken al enige tijd gebruik van een reeks kwetsbaarheden in Ivanti Connect Secure VPN om servers te compromitteren en van backdoors te voorzien. Daarbij wordt nu ook geprobeerd om deze backdoors upgrades, patches en zelfs fabrieksresets te laten overleven. Dit is echter door een fout in de malware nog niet gelukt, zo stelt securitybedrijf Mandiant in een analyse. Volgens het bedrijf laat deze ontwikkeling wel zien hoeveel moeite de aanvallers proberen te doen om toegang tot belangrijke doelwitten te behouden en benadrukt tevens het belang om netwerkapparatuur van de laatste updates en patches te voorzien. Mandiant stelt dat waarschijnlijk tal van Ivanti vpn-servers via de recent misbruikte zerodaylekken zijn gecompromitteerd. Vanwege de aanvallen werden Amerikaanse overheidsdiensten opgedragen om Ivanti-apparaten van het netwerk los te koppelen. Ook werden organisaties opgeroepen, onder andere door Europol, om een fabrieksreset van de apparatuur uit te voeren. De aanvallers proberen hierop te anticiperen door hun malware een dergelijke reset te laten overleven. "Dit is tot nu toe niet succesvol geweest vanwege een gebrek aan logica in de malwarecode om rekening te houden met een encryption key mismatch", aldus Mandiant. De aanvallen zijn volgens het securitybedrijf het werk van twee vanuit China opererende spionagegroepen. Ivanti heeft inmiddels een nieuwe versie van de Integrity Checking Tool (ICT) uitgebracht waarmee organisaties de aanwezigheid van malware kunnen detecteren. Afsluitend stelt Mandiant dat de aanvallers via de gebruikte malware en pogingen om fabrieksresets te overleven hebben aangetoond over uitgebreide kennis van Ivanti vpn-servers te beschikken. Het securitybedrijf verwacht dat deze en andere groepen zerodaylekken in netwerk edge apparaten zullen gebruiken om organisaties aan te vallen. bron: https://www.security.nl

Besmette Ubiquiti EdgeRouters zijn door aanvallers gebruikt voor het stelen van inloggegevens en wachtwoordhashes, proxyen van netwerkverkeer en uitvoeren van phishingaanvallen, zo waarschuwen de FBI, de Amerikaanse geheime dienst NSA, het Centrum voor Cybersecurity België, het Britse National Cyber Security Centre (NCSC), het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI), alsmede politiediensten uit Noorwegen, Zuid-Korea, Letland, Frankrijk, Brazilië, Polen en Litouwen (pdf). De autoriteiten roepen eigenaren op om een fabrieksreset van de routers uit te voeren. In een gezamenlijke waarschuwing stellen de autoriteiten dat de aanvallen zijn uitgevoerd door een eenheid van de Russische geheime dienst, die ook bekendstaat als APT28 en Fancy Bear. Onlangs maakte de Amerikaanse overheid bekend dat het een botnet van besmette Ubiquiti EdgeRouters in de Verenigde Staten had opgeschoond, door de malware van de apparaten te verwijderen en firewall rules te wijzigen. De diensten stellen dat EdgeRouters vaak met standaard inloggegevens worden verscheept en over beperkte of geen firewallbescherming beschikken. Daarnaast installeren EdgeRouters niet automatisch beveiligingsupdates, tenzij beheerders instellen om dit te doen. Volgens de diensten heeft APT28 besmette EdgeRouters gebruikt om inloggegevens te verzamelen, netwerkverkeer te proxyen en gespoofte landingpagina's te hosten. Zo gebruikten de aanvallers scripts voor het verzamelen van inloggegevens van specifieke webmailgebruikers. Tevens zijn besmette EdgeRouters gebruikt voor het uitvoeren van NTLM relay-aanvallen en het stelen van wachtwoordhashes. In het geval van een relay-aanval kan een aanvaller met de onderschepte hash van het slachtoffer inloggen. Aanvallen zijn uitgevoerd tegen overheden, militaire organisaties en bedrijven in allerlei sectoren, aldus de diensten in hun gezamenlijke advisory. Om toegang tot de routers te krijgen maken de aanvallers gebruik van standaard wachtwoorden en 'getrojaniseerde OpenSSH serverprocessen', afkomstig van al aanwezige malware. Deze malware is eerder gebruikt om de routers via standaard inloggegevens te compromitteren. Vervolgens worden legitieme bestanden op de router vervangen door getrojaniseerde versies. Maatregelen De overheidsdiensten roepen eigenaren van Ubiquiti EdgeRouters op om een hardwarematige fabrieksreset uit te voeren, de laatste firmware te installeren, standaard inloggegevens te wijzigen en firewall rules voor de WAN-interfaces in te stellen. In de advisory geven de diensten allerlei informatie om de aanwezigheid van malware op de routers te detecteren. bron: https://www.security.nl

De makers van het op privacy gerichte besturingssysteem Tails hebben een nieuwe versie uitgebracht die gebruikers voortaan ook tegen malafide usb-sticks en andere -apparaten moet beschermen. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. Vandaag is versie 6.0 gelanceerd met bescherming tegen malafide usb-apparaten. "Wanneer een aanvaller erin slaagt om een malafide usb-apparaat op je computer aan te sluiten, kan die software draaien die de in Tails ingebouwde security breekt, zonder dat je dit doorhebt", aldus de ontwikkelaars van het besturingssysteem. Om dergelijke aanvallen te voorkomen wanneer een gebruik weg van zijn computer is, zal Tails 6.0 alle usb-apparaten die op een vergrendeld systeem worden aangesloten negeren. Nieuwe usb-apparaten zijn alleen te gebruiken wanneer het scherm is ontgrendeld. De nieuwe versie kan nu ook waarschuwen voor defecte usb-sticks en zal aangesloten usb-sticks of harde schijven voortaan automatisch mounten. Tevens is het nu eenvoudiger om een Gmail-account in Thunderbird te configureren. Tails-gebruikers kunnen vanaf een bestaande versie naar versie 6.0 updaten of een geheel nieuwe versie via Tails.net downloaden. bron: https://www.security.nl

De Amerikaanse staat Nevada wil de uitrol van end-to-end encrypte in Facebook Messenger door middel van een gerechtelijk bevel verbieden. De procureur-generaal van de staat heeft hier een verzoek toe ingediend (pdf). De autoriteiten willen dat de beveiligingsmaatregel, die ervoor zorgt dat berichten alleen zijn te bekijken door afzender en ontvanger, niet voor minderjarigen op het platform beschikbaar komt. "Encryptie is het belangrijkste middel dat we hebben om privacy te beschermen, wat met name belangrijk is voor jongeren op internet. Toch lijkt Nevada onder het mom van het beschermen van kinderen te beweren dat alleen het aanbieden van encryptie op een socialmediaplatform, waarvan Meta weet dat het door criminelen wordt gebruikt, illegaal is", zo reageert de Amerikaanse burgerrechtenbeweging EFF. "Dit kan niet de wet zijn; in de praktijk kan de staat zo alle platforms verbieden om encryptie aan te bieden, en zo'n vonnis zou grote grondwettelijke zorgen met zich meebrengen." Riana Pfefferkorn, van het Stanford Internet Observatory, noemt het een 'compleet gestoorde aanval' op encryptie, alsmede de 'grootste aanval' op encryptie in de Verenigde Staten sinds 2016. Volgens de EFF laten dit soort rechtszaken ook het risico zien van wetsvoorstellen, zoals EARN IT ed Stop CSAM, waarbij ook wordt geprobeerd om encryptie in te perken. bron: https://www.security.nl