Captain Kirk

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen die nu een random seed op de usb-stick opslaat om zo alle encryptie te versterken. Dat hebben de ontwikkelaars bekendgemaakt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Voor allerlei cryptografische toepassingen maakt Tails gebruik van een 'cryptographically secure pseudorandom number generator'. Het gaat dan bijvoorbeeld om HTTPS, verbinding maken met het Tor-netwerk en de persistente opslag. Hoe willekeuriger een seed, hoe groter de entropie, wat het voorspellen van gegenereerde encryptiesleutels lastiger maakt. Tails-gebruikers hadden jaren geleden al gevraagd voor een random seed die op de usb-stick van Tails wordt opgeslagen. Die aanpassing is nu in Tails 6.4 doorgevoerd. bron: https://www.security.nl

VMware vCenter-servers zijn via twee kritieke kwetsbaarheden op afstand over te nemen, zo waarschuwt VMware dat updates heeft uitgebracht om de beveiligingslekken te verhelpen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers en in het verleden geregeld doelwit van aanvallen geweest. Volgens VMware bevat de implementatie van het DCERPC-protocol binnen vCenter verschillende heap-overflow kwetsbaarheden. Door het versturen van speciaal geprepareerde netwerkpakketten kan een aanvaller met toegang tot een vCenter-server code op het systeem uitvoeren. De impact van de twee kwetsbaarheden (CVE-2024-37079 en CVE-2024-37080) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Daarnaast heeft VMware een kwetsbaarheid in vCenter opgelost waardoor een geauthenticeerde lokale gebruiker rootrechten kon krijgen. Dit probleem werd veroorzaakt door een misconfiguratie van sudo. VMware zegt dat het niet bekend is met actief misbruik van de nu verholpen beveiligingslekken. Organisaties worden opgeroepen de updates zo snel mogelijk te installeren. bron: https://www.security.nl

Aanvallers maken gebruik van valse Google Chrome-meldingen op legitieme, gecompromitteerde websites om slachtoffers malafide PowerShell-scripts uit te laten voeren. Volgens securitybedrijf Proofpoint wordt deze vorm van social engineering steeds vaker toegepast. Zo waarschuwde antivirusbedrijf Ahnlab onlangs dat deze tactiek ook bij phishingmails wordt toegepast. Bij de aanvallen die Proofpoint waarnam hebben de aanvallers legitieme websites weten te compromitteren, waar vervolgens malafide HTML-code en JavaScript aan wordt toegevoegd. Zodra gebruikers de gecompromitteerde websites bezoeken krijgen ze een melding te zien die van Google Chrome afkomstig lijkt en stelt dat er een probleem is met het weergeven van de website. Om het probleem op te lossen moet de gebruiker volgens de foutmelding een "rootcertificaat" installeren. Hiervoor moet de gebruiker "code" kopiëren en in Windows PowerShell uitvoeren, aldus de instructies. In werkelijkheid is de "code" een malafide PowerShell-script dat wanneer uitgevoerd verschillende infostealer-malware op het systeem installeert. Deze malware kan allerlei wachtwoorden, inloggegevens en andere data van het systeem stelen en terugsturen naar de aanvallers. Ook verandert de malware crypto-adressen in het clipboard met die van de aanvaller. Wanneer slachtoffers op een besmet systeem een cryptotransactie doen en de wallet van de begunstigde kopiëren zorgt de malware ervoor dat het adres in het clipboard wordt aangepast en het geld naar de aanvaller gaat als de gebruiker niet goed oplet bij het plakken. "Deze aanvalsketen vereist aanzienlijke interactie van de gebruiker om succesvol te zijn. De social engineering in de valse foutmelding is slim en lijkt een betrouwbare melding afkomstig van het besturingssysteem. Het bevat zowel het probleem als de oplossing, zodat de gebruiker actie kan ondernemen zonder over het risico na te denken", aldus de onderzoekers. bron: https://www.security.nl

Verschillende routers van D-Link bevatten een 'verborgen backdoor' waarmee aanvallers op de apparaten kunnen inloggen, zo waarschuwt het Taiwanese Computer Emergency Response Team (TWCERT) Er zijn firmware-updates uitgebracht om het probleem te verhelpen. "Bepaalde modellen wifi-routers van D-Link bevatten een niet vermelde fabriekstest-backdoor. Ongeauthenticeerde aanvallers op het lokale netwerk kunnen via een speciale url Telnet inschakelen en dan inloggen via de admin-inloggegevens die in de firmware zijn te vinden", aldus de uitleg van de Taiwanese overheidsinstantie. Volgens de beschrijving van D-Link gaat het om een path traversal-kwetsbaarheid, hoewel het ook om een fout in de beschrijving kan gaan, aangezien in hetzelfde beveiligingsbulletin een andere path traversal-kwetsbaarheid wordt beschreven. Volgens de uitleg van D-Link kan een ongeauthenticeerde aanvaller toegang tot een specifieke url krijgen, waarmee Telnet is in te schakelen. Vervolgens kan een aanvaller inloggen met de hardcoded inloggegevens die in de router-firmware zijn te vinden. Het uit 1969 stammende Telnet laat gebruikers op afstand op machines inloggen. Het maakt geen gebruik van encryptie, wat inhoudt dat gebruikersnaam en wachtwoord onversleuteld worden verstuurd. Het gebruik ervan wordt dan ook afgeraden en staat tegenwoordig op veel apparaten uitgeschakeld. De aanval is volgens D-Link alleen vanaf de LAN-kant mogelijk. Het probleem lijkt dan ook vooral te spelen bij wifi-netwerken waar meerdere mensen toegang toe hebben. De impact van de kwetsbaarheid (CVE-2024-6045) is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het beveiligingslek is aanwezig in de volgende modellen: E15, G403, G415, G416, M15, M18, M32, R03, R04, R12, R15, R18, R32 en AQUILA PRO AI Family model E30, M30 en M60. De beschikbare firmware-updates kunnen automatisch en handmatig worden geïnstalleerd. bron: https://www.security.nl

Aanvallers maken gebruik van Discord-emoji's om besmette systemen te besturen, zo meldt securitybedrijf Volexity in een analyse. Het gaat hierbij specifiek om systemen die een Linux-distributie genaamd BOSS draaien. BOSS is een in India ontwikkelde Linux-distributie die onder andere op desktops van overheidsinstanties draait. Volgens de BOSS-ontwikkelaars is de distributie zes miljoen keer geïnstalleerd. Bij de aanvallen versturen de aanvallers naar hun doelwit een zip-bestand, dat een malafide ELF-bestand bevat. Volgens Volexity is het zeer waarschijnlijk dat de aanvallers weten dat hun doelwit de BOSS-distributie draait. Zodra gebruikers het bestand openen wordt er een PDF-bestand als afleiding gedownload. In de achtergrond wordt daarnaast de 'Disgomoji-malware' gedownload. Via deze malware krijgen aanvallers controle over het systeem. De communicatie via het besmette systeem gaat via een Discord-server. Zodra het systeem wordt gestart verstuurt de malware informatie over het systeem naar de Discord-server. Het gaat dan om intern ip-adres, gebruikersnaam, hostnaam, besturingssysteem en working directory. Daarbij zijn er ook aanvallen waargenomen waarbij de aanvallers de DirtyPipe (CVE-2022-0847) exploit gebruikten om rootrechten te krijgen. Hoewel deze kwetsbaarheid al twee jaar oud is, blijkt de meest recente BOSS-versie nog steeds kwetsbaar te zijn. Door middel van een cronjob wordt de malware bij elke herstart geladen. Wat de malware doet opvallen is dat de aanvallers door middel van Discord-emoji's opdrachten aan het besmette systeem kunnen geven, zoals het maken van screenshots, downloaden van bestanden en uitvoeren van commando's. Volgens Volexity wordt de malware vermoedelijk door een Pakistaanse actor tegen Indiaanse overheidsinstanties ingezet. bron: https://www.security.nl

Mozilla heeft het op privacy gerichte advertentietechbedrijf Anonym overgenomen. Anonym "privacyveilige manieren" waarop adverteerders kunnen zien hoe hun advertenties en advertentiecampagnes presteren, waarbij de privacy van internetgebruikers wordt gerespecteerd. Het bedrijf werd in 2022 door twee voormalige Meta-topfiguren opgericht. "Door op veilige wijze versleutelde datasets van platforms en adverteerders te combineren, maakt Anonym schaalbare, privacyveilige metingen en optimalisaties van advertentiecampagnes mogelijk, en zorgt daarmee voor een verschuiving naar een duurzamer advertentie-ecosysteem", aldus Mozilla. Volgens de Firefox-ontwikkelaar zorgt de omgeving van Anonym ervoor dat adverteerders, uitgevers en Anonym zelf geen toegang tot "user level data" hebben. Tevens worden gegevens geanonimiseerd verwerkt, wat zorgt voor 'geanonimiseerde inzichten en modellen', zodat adverteerders kunnen zien hoe hun advertentiecampagnes het doen, zonder dat hierbij de privacy van internetgebruikers wordt geschonden, gaat Mozilla verder. Als laatste wordt er gebruikgemaakt van "differentiële privacy-algoritmes", waarbij er "ruis" aan de data wordt toegevoegd, om zo te voorkomen dat die naar individuele gebruikers is te herleiden. Mozilla is van plan om Anonym binnen de "Mozilla familie" te integreren. Details over de overname zijn niet bekendgemaakt. bron: https://www.security.nl

PHP heeft updates uitgebracht waarmee een kritieke kwetsbaarheid (CVE-2024-4577) in de Windowsversie wordt verholpen die remote code execution (RCE) op de onderliggende server mogelijk maakt. Een ongeautoriseerde aanvaller kan willekeurige code op servers uitvoeren waar PHP in de CGI mode draait en de Chinese of Japanse taal is ingesteld. De bekende beveiligingsonderzoeker Orange Tsai, die het probleem ontdekte, waarschuwt dat Windowssystemen waarvoor een andere taal is ingesteld mogelijk ook risico kunnen lopen. Organisaties worden dan ook opgeroepen om naar de laatste PHP-versie te updaten. In 2012 werd er een kwetsbaarheid (CVE-2012-1823) in PHP gevonden die het uitvoeren van willekeurige code mogelijk maakt. Het probleem werd gepatcht, maar door een feature van Windows voor het omzetten van karakters is het mogelijk om via bepaalde 'character sequences' de patch voor CVE-2012-1823 te omzeilen en wederom code op de server uit te voeren. De kwetsbaarheid werd op 7 mei aan het PHP-ontwikkelteam gerapporteerd en gisteren verschenen PHP 8.3.8, 8.2.20 en 8.1.29 waarin het probleem is verholpen. Orange Tsai heeft geen exacte details gegeven hoe remote code execution mogelijk is, maar onderzoekers van securitybedrijf Watchtower hebben wel een blogposting gepubliceerd waarin ze het uitvoeren van code laten zien. De onderzoekers spreken van een 'nasty bug' en waarschuwen dat er een grote kans is dat er misbruik van zal worden gemaakt, vanwege de eenvoud waarmee dit mogelijk is. De Shadowserver Foundation meldt dat proof-of-concept exploitcode openbaar is en er inmiddels tests tegen de honeypotservers van de organisatie zijn waargenomen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een bijna zes jaar oude kwetsbaarheid in ThinkPHP, alsmede een uit begin 2019 stammend beveiligingslek in het platform. Dat stelt internetbedrijf Akamai op basis van eigen onderzoek. ThinkPHP is een PHP-framework waar allerlei webapplicaties en websites gebruik van maken. Twee oude kwetsbaarheden in het platform, aangeduid als CVE-2018-20062 en CVE-2019-9082, laten een aanvaller op afstand de onderliggende server overnemen. De beveiligingslekken spelen bijvoorbeeld bij contentmanagementsystemen die van ThinkPHP gebruikmaken, zoals NoneCMS en BMS. De twee kwetsbaarheden zijn respectievelijk sinds december 2018 en februari 2019 bekend en gepatcht. Ondanks de leeftijd van de beveiligingslekken worden ze nog steeds actief gebruikt bij aanvallen, zo stelt Akamai. Via de kwetsbaarheden installeren de aanvallers een webshell om zo toegang tot de gecompromitteerde server te behouden. De gecompromitteerde server wordt vervolgens gebruikt voor het uitvoeren van verdere aanvallen. Volgens Akamai laten de aanvallen, die sinds oktober vorig jaar plaatsvinden en sinds kort grootschaliger zijn geworden, het belang van patchmanagement zien, aangezien aanvallers nog steeds met jaren oude kwetsbaarheden succes hebben. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Progress Telerik Report Server, zo laat de Shadowserver Foundation weten. Op 29 mei kwam softwareontwikkelaar Progress met een beveiligingsupdate, maar die is door veel organisaties niet geïnstalleerd. Telerik Report Server is een rapportageplatform waarmee organisaties managementrapporten kunnen maken. Een "authentication bypass" kwetsbaarheid in het systeem maakt het mogelijk voor een ongeauthenticeerde aanvaller om toegang tot de server te krijgen. Via het beveiligingslek kan een aanvaller een admin-account aanmaken en daarmee vervolgens inloggen. De impact van de kwetsbaarheid (CVE-2024-4358) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De onderzoeker die het probleem ontdekte publiceerde op 3 juni een proof-of-concept exploit. Vandaag meldt de Shadowserver Foundation dat aanvallers sinds gisteren actief misbruik van het beveiligingslek maken. De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. Regelmatig scant de organisatie naar kwetsbare systemen. Tijdens de laatste scan werden 95 rapportageservers gevonden die vanaf internet toegankelijk zijn. Daarvan bleken er 89 een kwetsbare versie te draaien. bron: https://www.security.nl

Onderzoekers hebben phishingmails ontdekt waarvan de bijlage malafide code naar het clipboard kopieert en vervolgens het slachtoffer wordt gevraagd die in de PowerShell-terminal te plakken en uit te voeren. De phishingmails vragen de ontvanger als eerste de meegestuurde html-bijlage te openen. Deze html-bijlage bevat een malafide Powershell-commando dat automatisch in de achtergrond naar het clipboard wordt gekopieerd. In de voorgrond verschijnen instructies voor het doelwit. Daarin wordt gesteld dat een "Word online" extensie ontbreekt. Om het probleem op te lossen moet de Powershell-terminal worden geopend en dan ctrl-v en enter gedaan. In werkelijkheid zorgt dit ervoor dat de eerder gekopieerde malafide code wordt uitgevoerd. Het Powershell-commando downloadt een HTA-bestand. Dit bestand wist de inhoud van het clipboard en voert een nieuw Powershell-commando uit waarmee de uiteindelijke malware wordt gedownload en uitgevoerd, zo laat antivirusbedrijf Ahnlab weten. bron: https://www.security.nl

De FBI heeft meer dan zevenduizend decryptiesleutels van de Lockbit-ransomware in handen waarmee getroffen organisaties hun gegevens kunnen ontsleutelen. Dat maakte Bryan Vorndran van de FBI tijdens een conferentie in de VS over cybersecurity bekend. In februari van dit jaar wisten politiediensten tijdens een internationale operatie verschillende servers van de Lockbit-ransomwaregroep in beslag te nemen. Volgens Vondran zijn wereldwijd meer dan 2400 aanvallen uitgevoerd waarbij vervolgens de Lockbit-ransomware werd gebruikt. "Wat voor miljarden dollars schade bij slachtoffers zorgde." Vondran voegde toe dat de FBI bekende slachtoffers van de Lockbit-ransomware benadert. "We hebben nu meer dan zevenduizend decryptiesleutels en kunnen slachtoffers helpen om hun data terug te krijgen en weer online te komen." Getroffen organisaties kunnen daarnaast zelf contact met de FBI opnemen. Vondran merkte tevens op dat het belangrijk is dat organisaties basale beveiligingsmaatregelen nemen. "Algemeen bekende cybersecurity practices, waaronder multifactorauthenticatie en wachtwoordbeheer, effectieve logging en logbeheer, vulnerability- en patchmanagement en het hebben van air-gapped, versleutelde en actuele back-ups, moeten overal in de organisatie worden toegepast." bron: https://www.security.nl

De cloudservice van Cisco Webex heeft maandenlang en mogelijk zelfs jarenlang metadata van meetings van overheden en bedrijven gelekt, waaronder die vanuit Nederland. Het ging onder andere om meetings van ministers en beursgenoteerde bedrijven. De titel van de meeting, host, starttijd, of het een normale meeting was en profielfoto's indien aangemaakt waren openlijk zichtbaar, aldus onderzoekers van het Duitse Netzbegrünung en het Duitse Zeit Online. Wanneer iemand een videoconferentie via Webex aanmaakt wordt er een link gegenereerd. De onderzoekers stellen dat Cisco geen willekeurige nummers gebruikt voor de meeting-url's. "Gecombineerd met een verkeerd geconfigureerde view voor mobiele apparaten, was het daardoor mogelijk om via alleen een eenvoudige webbrowser toegang tot een gigantische hoeveelheid metadata te krijgen, en dit maandenlang en mogelijk zelfs jaren", aldus de onderzoekers. Het Duitse Zeit Online stelt dat de meeting-url's opeenvolgend waren. Dit maakte het kinderspel om allerlei meetings en bijbehorende metadata te vinden. Zowel meetings die al hadden plaatsgevonden alsnog moesten plaatsvinden. Daarbij gaat het ook om meetings van Nederlandse bedrijven en autoriteiten, alsmede van allerlei andere landen. Zeit Online spreekt over duizenden videoconferenties van ministeries die het zo kon vinden. Cisco is met een vrij summiere advisory gekomen waarin het stelt dat het probleem is opgelost en getroffen klanten ingelicht. Zeit Online meldt dat de getroffen klanten niet volledig zijn geïnformeerd over de werkelijke omvang van de mogelijk gelekte data. Zo zou een Duits ministerie van Cisco te horen hebben gekregen dat het niet getroffen was, terwijl dit volgens de Duitse krant wel het geval is. De Zeit Online laat verder weten dat het Nederlandse Nationaal Cyber Security Centrum (NCSC) via het onderzoek van de krant op de hoogte van het probleem kwam. "Er zijn ruim 10.000 links naar regeringsvergaderingen gevonden, met informatie en gegevens van verschillende ministers", gaat de krant verder. De onderzoekers van Netzbegrünung merken op dat Cisco waarschijnlijk het nummersysteem niet heeft aangepast. Ze vroegen Cisco om opheldering of de getallen nu echt willekeurig zijn, maar kregen naar eigen zeggen geen reactie. bron: https://www.security.nl

Verschillende bugs in Cisco Webex Meetings zijn bij 'gericht beveiligingsonderzoek' gebruikt om ongeautoriseerde toegang te krijgen tot meeting-informatie en metadata van bepaalde klanten in een datacenter in Frankfurt, zo heeft Cisco bekendgemaakt. De problemen zijn inmiddels opgelost en een fix is op 28 mei wereldwijd uitgerold. Cisco laat in een security-advisory weten dat het begin mei verschillende bugs in Webex Meetings ontdekte die bij 'gericht beveiligingsonderzoek' zijn gebruikt om ongeautoriseerde toegang tot meeting-informatie en metadata te krijgen. Daarbij waren volgens Cisco verschillende klanten het doelwit van wie de Webex-installatie werd gehost in het Cisco-datacenter in Frankfurt. De klanten waarbij er 'waarneembare pogingen' waren om toegang te krijgen tot hun meeting-informatie en medata zijn inmiddels ingelicht. Sinds de bugs zijn gepatcht zegt Cisco geen verdere pogingen te hebben gezien. Het netwerkbedrijf spreekt in de security-advisory niet van kwetsbaarheden en er zijn ook geen CVE-nummers toegekend. Details over de bugs zijn niet gegeven, alsmede de 'targeted security research activity' die Cisco in het bulletin noemt. bron: https://www.security.nl

Zyxel heeft een noodpatch uitgebracht voor verschillende kritieke kwetsbaarheden in twee NAS-systemen die niet meer worden ondersteund en waardoor een aanvaller de apparaten op afstand kan overnemen. Volgens de onderzoekers die de beveiligingslekken ontdekten en rapporteerden gaat het onder andere om een backdoor-account dat in de NAS-systemen aanwezig is. De twee kwetsbare NAS-systemen betreffen de NAS326 en NAS542, die beide sinds 31 december vorig jaar niet meer door Zyxel worden ondersteund. Onderzoekers van securitybedrijf Outpost24 ontdekten vijf kwetsbaarheden in de NAS-apparaten, die op 14 maart aan Zyxel werden gerapporteerd en nu zijn verholpen. Het gaat om drie beveiligingslekken waardoor een ongeauthenticeerde aanvaller op afstand commando's of code op het apparaat kan uitvoeren. De overige twee kwetsbaarheden laten een aanvaller zijn rechten verhogen tot die van root of admin. Een van de gevonden beveiligingslekken, aangeduid als CVE-2024-29972, betreft volgens de onderzoekers een backdoor-account. Dat is door een aanvaller op afstand in te schakelen. Het voor dit account gebruikte wachtwoord is wel voor elk NAS-systeem uniek, maar aan de hand van het MAC-adres af te leiden. Via een andere kwetsbaarheid kan een aanvaller dit MAC-adres achterhalen en zo met het backdoor-account toegang krijgen tot het NAS-systeem. Zyxel roept gebruikers op om de beschikbaar gestelde firmware-updates te installeren. bron: https://www.security.nl

Microsoft heeft een methode geblokkeerd waarmee het mogelijk was om Windows 11 zonder Microsoft Account te installeren. Dat meldt Windows Central. Windows 11 vereist tijdens de installatie een internetverbinding en Microsoft Account, zo staat in de systeemeisen. Er zijn echter verschillende manieren om de accountverplichting te omzeilen. Eén daarvan was het opgeven van een door Microsoft geblokkeerd e-mailadres, zoals 'example@example.com'. Dit zorgde ervoor dat de setup doorging naar het maken van een lokaal account. Deze methode lijkt nu door Microsoft in Windows 11 24H2 te zijn geblokkeerd. Gebruikers komen bij het opgeven van een geblokkeerd e-mailadres in een loop terecht, aldus Windows Central. De methode waarbij tijdens de installatie OOBE\BYPASSNRO in de Command Prompt wordt ingevoerd, en waardoor het verbinden met internet en zo ook het koppelen van een Microsoft Account worden overgeslagen, werkt nog wel. Niet alle gebruikers zijn blij met het verplicht opgeven van een Microsoft Account. Zo werd er onder andere een petitie tegen gestart. bron: https://www.security.nl

Privacystichting noyb heeft bij de Oostenrijkse privacytoezichthouder verschillende privacyklachten over Microsoft 365 Education ingediend. Volgens noyb schendt Microsoft de privacy van kinderen. De klachten van noyb gaan vooral over het afschuiven van verantwoordelijkheden door Microsoft aan scholen en gebrek aan transparantie. De Amerikaanse techgigant stelt dat scholen de 'controller' van hun data zijn, maar scholen hebben geen controle over de systemen, aldus de privacystichting. "In het huidige systeem dat Microsoft aan scholen oplegt, moeten scholen Microsoft auditen of ze instructies geven hoe ze de data van leerlingen moeten verwerken. Iedereen weet dat dergelijke contractuele overeenkomsten losstaan van de werkelijkheid. Dit is niets meer dan een poging om de verantwoordelijkheid voor de data van kinderen zo ver als mogelijk van Microsoft af te schuiven", aldus noyb-advocaat Maartje de Graaf. Noyb stelt onder andere dat er een gebrek aan transparantie is over het privacybeleid dat voor Microsoft 365 Education geldt en dat Microsoft 365 Education in het geheim kinderen volgt door het plaatsen van cookies. "Het bedrijf heeft geen geldige grondslag voor deze verwerking", laat de privacystichting verder weten. "Onze analyse van de datastromen is zeer zorgwekkend. Microsoft 365 Education lijkt gebruikers te volgen, ongeacht hun leeftijd. Deze werkwijze raakt waarschijnlijk honderdduizenden leerlingen in de EU. Autoriteiten moeten in actie komen om de rechten van minderjarigen te handhaven." Noyb heeft de Oostenrijkse privacytoezichthouder gevraagd om te onderzoeken en analyseren welke data nu precies door Microsoft 365 Education wordt verwerkt, omdat dit volgens de privacystichting op dit moment onduidelijk is. Zowel eigen onderzoek als documentatie van Microsoft hebben dit niet kunnen ophelderen, aldus noyb. De stichting stelt ook dat Microsoft niet voldoet aan inzageverzoeken. Als laatste wil noyb dat de Oostenrijkse toezichthouder een boete aan Microsoft oplegt. bron: https://www.security.nl

Check Point heeft klanten vandaag opgeroepen om een fix te installeren voor een actief aangevallen kwetsbaarheid in de eigen vpn-oplossing. Volgens securitybedrijf Watchtowr is het beveiligingslek zeer eenvoudig te misbruiken en lijkt Check Point de ernst van de kwetsbaarheid te bagatelliseren. Aanvallers zouden al sinds begin april misbruik van het beveiligingslek maken, toen er nog geen update voor beschikbaar was. De kwetsbaarheid (CVE-2024-24919) bevindt zich in Check Point Remote Access VPN en laat een aanvaller 'bepaalde informatie uitlezen', aldus de uitleg van de leverancier. Volgens onderzoekers van Watchtowr is het niet heel moeilijk om het beveiligingslek te vinden en misbruik "extreem eenvoudig". Daarbij is de impact groot. "We maken ons zorgen over de verklaring van de leverancier, die de ernst van deze bug lijkt te bagatelliseren." Volgens Watchtowr moeten organisaties de kwetsbaarheid als ongeauthenticeerde remote code execution behandelen. Check Point heeft inmiddels een fix uitgebracht die vpn-systemen moet beschermen. Bij klanten die zich voor de Security Auto Update service hebben geregistreerd is een update geïnstalleerd die bepaald misbruik van de kwetsbaarheid moet voorkomen. Dit is echter een tijdelijke oplossing. Om het probleem echt te verhelpen moeten organisaties de fix installeren en Check Point roept klanten op dit te doen om beschermd te zijn. Securitybedrijf Censys laat weten dat er nog altijd duizenden kwetsbare vpn-systemen vanaf internet toegankelijk zijn. bron: https://www.security.nl

De makers van GrapheneOS hebben een nieuwe feature toegevoegd die ervoor zorgt dat alle data op de telefoon wordt gewist wanneer een bepaald wachtwoord of pincode wordt ingevoerd. De "Duress PIN/Password" functie moet voorkomen dat kwaadwillenden toegang tot gegevens op de telefoon krijgen. Bij het wissen worden al hardware keystore keys gewist, waaronder keys die worden gebruikt bij het ontsleutelen van de harde schijf. Daarnaast worden ook aanwezige eSIMs gewist en daarna de telefoon uitgeschakeld. De wisprocedure is niet te stoppen. GrapheneOS is een op Android-gebaseerd besturingssysteem voor Pixel-telefoons. De nieuwste versie bevat de 'langverwachte' feature, aldus de ontwikkelaars op X. Die geven als voorbeeld voor het gebruik van de feature een situatie waarbij iemand door de douane wordt gedwongen het wachtwoord van zijn telefoon af te staan. "Als er een pistool tegen mijn hoofd wordt gezet en ik allen wat geld verlies, zal ik waarschijnlijk niet mijn duress pincode geven. Maar als ik een journalist ben die zijn bronnen en gezin wil beschermen, dan wel", reageert een gebruiker op het op het forum van GrapheneOS. "Een meer praktische aanpak is het instellen van mijn geboortedag als duress pincode. Als een aanvaller of de politie mijn telefoon pakt en de pincode probeert te raden, is de kans groter dat ze de duress pincode invoeren dan de echte pincode." bron: https://www.security.nl

QNAP stopt met het gebruik van het MAC-adres als het standaard admin-wachtwoord voor NAS-apparaten en gaat in plaats daarvan de 'Cloud Key' gebruiken, zo heeft het bedrijf aangekondigd. De aanpassing zal worden doorgevoerd in NAS-apparaten die QTS 5.2 / QuTS hero 5.2 of nieuwer draaien. Dit zijn de NAS-besturingssystemen van QNAP. De Cloud Key is te vinden op de NAS-behuizing en is tijdens de eerste setup van het apparaat te gebruiken. De NAS-fabrikant adviseert gebruikers om het wachtwoord meteen na de eerste keer inloggen te veranderen en een sterk wachtwoord te kiezen. Tevens adviseert QNAP een "password login" of het inschakelen van tweestapsverificatie te overwegen. bron: https://www.security.nl

Gebruikers van Google Chrome zijn opnieuw het doelwit van aanvallen geworden. Voor de vierde keer deze maand is Google gekomen met een update voor een actief aangevallen kwetsbaarheid waar op het moment van de aanvallen geen patch voor beschikbaar was. Net als de actief aangevallen lekken die op 13 en 15 mei werden gepatcht gaat het om een kwetsbaarheid in V8, aangeduid als CVE-2024-5274. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd op 20 mei door twee onderzoekers van Google zelf gevonden en gemeld. Details over de aanvallen zijn niet gegeven. Het totaal aantal beveiligingslekken dat actief tegen Chrome-gebruikers is ingezet voordat een patch beschikbaar was komt dit jaar daarmee op vijf. Tijdens de afgelopen Pwn2Own-wedstrijd in Vancouver demonstreerden onderzoekers exploits voor onbekende kwetsbaarheden in Chrome, maar die zijn voor zover bekend niet gebruikt voor het actief aanvallen van gebruikers. Hieronder de actief aangevallen kwetsbaarheden die dit jaar door Google in Chrome zijn gepatcht. CVE-2024-0519 16 januari CVE-2024-4671 09 mei CVE-2024-4761 13 mei CVE-2024-4947 15 mei CVE-2024-5274 23 mei Google Chrome 125.0.6422.112/.113 is beschikbaar voor macOS en Windows. Voor Linux is versie 125.0.6422.112 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Onderzoekers hebben in opnamesoftware die wordt gebruikt door rechtbanken, gevangenissen, alsmede voor hoorzittingen, colleges en vergaderingen, een backdoor aangetroffen waarmee aanvallers volledige controle over het onderliggende systeem krijgen. Organisaties die met Justice AV Solutions (JAVS) werken wordt opgeroepen om getroffen systemen opnieuw te installeren en inloggegevens te wijzigen. Justice AV Solutions is een Amerikaans bedrijf dat zich vooral richt op het aanbieden van audiovisuele oplossingen voor partijen in de justitieketen. Het bedrijf claimt wereldwijd meer dan tienduizend installaties. Het gaat onder andere om de JAVS Suite, beheersoftware voor digitale opnames. Eén van de onderdelen van de JAVS Suite is de JAVS Viewer, waarmee log- en mediabestanden zijn te bekijken. In de officiële versie van JAVS Viewer versie 8.3.7 is een backdoor aangetroffen die gelinkt is aan de GateDoor/Rustdoor-malware, zo meldt securitybedrijf Rapid7. Begin april werd er al op X gewaarschuwd voor de aanwezigheid van malware in de JAVS Viewer. De malware is gesigneerd, maar niet met een certificaat van Justice AV Solutions. Rapid7 deed onderzoek naar de malware en informeerde de Amerikaanse overheid. Na ontdekking van de malware heeft JAVS de eigen wachtwoorden gereset en een audit naar de eigen systemen laten uitvoeren. Hoe de besmette versie van de software op de officiële website terechtkwam laat het softwarebedrijf niet weten. Organisaties die met de software werken moeten getroffen systemen opnieuw installeren, versie 8.3.8 of nieuwer installeren en alle inloggegevens die op het systeem zijn gebruikt veranderen. bron: https://www.security.nl

Wachtwoordmanager LastPass heeft besloten om na zestien jaar url's in wachtwoordkluizen te versleutelen. Experts hebben al jaren kritiek op het feit dat dit niet gebeurt. In 2022 wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer van LastPass op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Onder de gestolen kluisdata bevonden zich ook onversleutelde url's. Wanneer LastPass-gebruikers een website bezoeken kijkt de wachtwoordmanager of de bezochte url in de kluis bekend is, zodat opgeslagen inloggegevens kunnen worden ingevuld. Na de inbraak erkende LastPass dat url's niet versleuteld werd opgeslagen en suggereerde daarbij dat dit het hier niet om gevoelige gegevens ging. "Maar website url's zijn wel zeer gevoelige data. Aanvallers willen dolgraag weten waar je toegang toe hebt. Dan kunnen ze gerichte phishingmails maken voor de personen die hun moeite waard zijn", aldus beveiligingsonderzoeker Wladimir Palant eind 2022. Hij voegde toe dat sommige door LastPass opgeslagen url's parameters bevatten die gevoelig kunnen zijn. Tevens merkte Palant op dat LastPass in 2015 (pdf), 2017 en 2018 was gewaarschuwd dat het niet versleutelen van url's een slecht idee was. LastPass geeft als reden dat het in 2008 is ontwikkeld en ontsleuteling toen veel meer rekenkracht kostte. Voor betere prestaties en gebruikerservaring is toen besloten de url's niet te versleutelen, aldus de verklaring van het bedrijf. Nu stelt LastPass dat het wel belangrijk is om url's te versleutelen, omdat die informatie over het account in kwestie bevatten. De versleuteloperatie gaat gefaseerd plaatsvinden. De eerste fase zou in juni gereed moeten zijn, waarbij de uitrol in juli begint. Gebruikers ontvangen dan een e-mail met informatie over wat te verwachten en zal er begonnen worden met het versleutelen van primaire url-velden van in de kluis opgeslagen accounts. De overige url-velden zullen eind dit jaar worden versleuteld. bron: https://www.security.nl

De Belgische overheid lekt gevoelige informatie via verlopen domeinnamen, zo stelt de Belgische beveiligingsonderzoeker Inti De Ceukelaire in een blogposting. De onderzoeker registreerde 107 verlopen domeinnamen die van Belgische gemeenten, politiezones, psychiatrische ziekenhuizen, justitie, sociale zekerheidsorganisaties en andere instellingen waren geweest. Na de registratie ontving De Ceukelaire allerlei e-mails voor de betreffende domeinnamen, soms met gevoelige informatie. Voor de 107 geregistreerde domeinnamen bleken nog zeker 848 e-mailadressen actief. Ook bleek dat de nog gebruikte e-mailadressen bij allerlei clouddiensten waren geregistreerd. Via het uitvoeren van een wachtwoordreset kon de onderzoeker zo ook toegang tot cloudaccounts krijgen. Via de 848 e-mailadressen wist hij toegang te krijgen tot 80 Dropbox-accounts, 142 Google Drive-accounts en 57 Microsoft-, OneDrive- en SharePoint-accounts, alsmede tientallen Smartschool- en Doccle-accounts. Na enige tijd zette De Ceukelaire het ontvangen van e-mails uit en waarschuwde hij het Belgische Centrum voor Cybersecurity, dat de vorige domeineigenaren over de risico's van verlopen domeinnamen informeerde. "Met honderden nieuwe domeinnamen die het komende jaar verlopen, zijn structurele veranderingen nodig om te voorkomen dat dit nog eens gebeurt", aldus De Ceukelaire, die met zijn onderzoek voor bewustzijn hoopt te zorgen. In Nederland is het probleem van verlopen domeinnamen al jaren bekend. In 2017 bleek de politie op deze manier gevoelige e-mails te lekken en in 2019 lekte de jeugdzorg via verlopen domeinnamen dossiers van duizenden kinderen. bron: https://www.security.nl

België heeft een nieuw voorstel gepresenteerd voor EU-brede controle van chatberichten van burgers. Wie niet met de controle akkoord gaat kan geen afbeeldingen en video's meer versturen. EU-voorzitter België hoopt zo de landen die eerder dwars lagen over de streep te trekken. Begin 2022 kwam de Europese Commissie met een voorstel om alle chatberichten en ander verkeer van burgers te inspecteren. In het geval van end-to-end versleutelde chatdiensten zou dit via client-side scanning moeten plaatsvinden, waarbij alle berichten van alle burgers zouden worden gecontroleerd. Eind vorig jaar bleek dat het Europees Parlement tegen het voorstel van de Europese Commissie is en kwam met een eigen voorstel. De Europese lidstaten hebben nog geen gezamenlijke positie ingenomen en die is er nog altijd niet. EU-voorzitter België probeert nu met voorstellen te komen waarover de lidstaten het eens kunnen worden. Het nieuwste voorstel betreft een verplichting voor communicatie-apps om video's en afbeeldingen van gebruikers te controleren en wanneer die verdacht worden bevonden naar een Europees centrum en de politie te sturen, aldus Patrick Breyer, Europarlementariër voor de Piratenpartij. Gebruikers moeten echter met de controle akkoord gaan. Wanneer er geen akkoord wordt gegeven zal het niet mogelijk zijn om afbeeldingen en video's te versturen. Bij de detectie wordt gecontroleerd op bekend en onbekend misbruikmateriaal. Experts hebben herhaaldelijk gewaarschuwd dat detectie van onbekend materiaal zeer foutgevoelig is. Nederland heeft eerder al aangegeven dat het vanwege deze reden tegen het toevoegen van detectie van onbekend materiaal is. Volgens Netzpolitik.org is er alleen een PowerPoint-presentatie van het Belgische voorstel beschikbaar. Daaruit zou blijken dat detectiebevelen niet voor versleutelde content gaan gelden. Veel chatapps maken echter gebruik van end-to-end encryptie. Daarnaast is ook onduidelijk hoe de controle precies gaat werken en hoe wordt gegarandeerd dat autoriteiten op een later moment niet besluiten om detectie alsnog te verplichten, aangezien apps al van de benodigde software hiervoor zijn voorzien. Morgen wordt het onderwerp opnieuw in Brussel besproken. bron: https://www.security.nl

Een beveiligingsonderzoeker heeft met behulp van ChatGPT kwetsbaarheden in Apple Safari en Google Chrome gevonden, wat hem 28.000 dollar aan beloningen opleverde. Onderzoeker Igor Sak-Sakovskiy van securitybedrijf Positive Technologies deed onderzoek naar de eXtensible Stylesheet Language (XSL) waarmee het mogelijk is om data op te halen en aan te passen. In plaats van de documentatie over XSL te lezen besloot hij via ChatGPT voorbeelden te genereren voor het achterhalen van de locatie en uitlezen van lokale bestanden. Sak-Sakovskiy wijzigde één van de voorbeelden die de chatbot had gegenereerd en ontdekte dat hij ermee toegang tot het /etc/hosts-bestand op zijn iPhone kon krijgen. Ook /etc/hosts en /etc/passwd bleken toegankelijk te zijn. In het geval van Chrome op Android kon de inhoud van /etc/hosts worden uitgelezen. De onderzoeker waarschuwde Apple en Google, die vervolgens met updates voor de browsers kwamen. De techbedrijven beloonden Sak-Sakovskiy voor zijn melding met respectievelijk een bedrag van 25.000 en 3.000 dollar. De kwetsbaarheid wordt wel gemeld op de website van Google (CVE-2023-4357), maar is nog niet op de site van Apple (CVE-2023-40415) te vinden. bron: https://www.security.nl