Captain Kirk

De ontwikkelaar van datacompressietool XZ, waar vorige week een backdoor in werd aangetroffen, begint de komende dagen met een onderzoek naar de aanval. Hij is op vakantie en had de situatie niet meekregen, totdat hij toevallig zijn e-mail bekeek, zo laat ontwikkelaar Lasse Collin in een bericht op de Linux Kernel Mailing List (LKML) weten. Daarnaast hebben allerlei overheidsdiensten over de backdoor alarm geslagen. XZ is een tool voor het comprimeren en decomprimeren van data en in veel Linux-distributies aanwezig. Vorige week werd ontdekt dat bepaalde versies een backdoor bevatten waardoor een aanvaller code op systemen kan uitvoeren. De backdoor was toegevoegd door iemand die ook aan het XZ-project werkte. Rob Mensching, ceo van FireGiant en eerder software-engineer bij Microsoft en verantwoordelijk voor het maken van Windows Installer XML, maakte een analyse over de aanval. Daarin bespreekt Mensching hoe de aanvaller contact met Collin zocht, die te maken had met een burn-out. De aanvaller biedt de XZ-ontwikkelaar aan om te helpen bij de ontwikkeling van de tool en voegt uiteindelijk de code toe waarin de backdoor aanwezig is. "Alleen ik had toegang tot de tukaani.org website, git.tukaani.org repositories en gerelateerde bestanden", zegt collins. De aanvaller had alleen toegang tot zaken die op GitHub werden gehost, zo laat de XZ-ontwikkelaar verder weten. Hij voegt toe deze week met het onderzoek naar de backdoor te starten. Inmiddels hebben ook allerlei overheidsinstanties waarschuwingen gegeven. Na het Nationaal Cyber Security Centrum (NCSC) en het Amerikaanse cyberagentschap CISA, gaat het ook om het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, en het Digital Trust Center van het ministerie van Economische Zaken. Ze adviseren gebruikers en organisaties om de betreffende Linux-distributies niet te gebruiken en naar een niet-gecompromitteerde versie te downgraden. bron: https://www.security.nl

Meta's vpn-dienst Onavo stripte via een man-in-the-middle (mitm) aanval de ssl-verbindingen van concurrenten, zodat het vervolgens het verkeer van gebruikers kon analyseren. Vorige week werd al bekend dat Meta een aantal jaren geleden, dat destijds nog Facebook werd genoemd, in het geheim Snapchat-gebruikers had afgeluisterd. Uit een document dat als onderdeel van een rechtszaak tegen Meta openbaar is geworden blijkt dat het bedrijf hiervoor een mitm-aanval uitvoerde (pdf). Onavo Protect werd in 2013 door Facebook overgenomen en bood gebruikers een gratis vpn-dienst aan. Meta (destijds nog Facebook) stelde dat de app de gegevens en activiteiten van gebruikers zou beschermen en dat de verzamelde data alleen werd gebruikt voor het kunnen aanbieden van de vpn-dienst. In werkelijkheid werd het gedrag van gebruikers, zoals welke apps ze gebruikten en hoelang, door Onavo en Facebook verzameld. Hiervoor werden gebruikers gevraagd en betaald om een rootcertificaat te installeren, waarmee het mogelijk was om de ssl-verbindingen van Snapchat-gebruikers te strippen en zo het analytics-verkeer te bekijken. Na Snapchat werd deze tactiek later ook gebruikt om verkeer van Amazon- en YouTube-gebruikers te inspecteren. Volgens de aanklagers in deze zaak heeft Facebook de Amerikaanse 'Wiretap' wetgeving overtreden, die het verbiedt om elektronische communicatie van mensen af te luisteren. "Als een persoon dit had gedaan zou de computerfraudewetgeving tegen ze zijn gebruikt. Met Meta is dat nog afwachten", reageert iemand op Hacker News. bron: https://www.security.nl

Google moet miljoenen records die het via de Incognito-mode van Chrome verzamelde vernietigen of de-identificeren, zo blijk uit een schikking die het techbedrijf trof. De vijf miljard dollar die de klagers hadden geëist hoeft Google niet te betalen. Wel moet het techbedrijf gebruikers informeren over welke informatie het in de Incognito-mode verzamelt en moet het gebruikers in deze mode de optie geven om third-party cookies te blokkeren. Afgelopen december werd beken dat Google een rechtszaak in de Verenigde Staten over de Incognito-mode had geschikt, maar details waren destijds nog niet openbaar gemaakt en zijn dat nu wel. Volgens de aanklacht, die in juni 2020 werd ingediend, heeft Google gebruikers van Chrome misleid door ze te laten geloven dat ze via de Incognito-mode privé konden browsen, maar in werkelijkheid toch door het techbedrijf werden gevolgd, waarmee de Amerikaanse aftapwetgeving en Californische privacywetgeving is overtreden. De Incognito-mode zorgt er alleen voor dat het surfgedrag van de gebruiker niet in de browser of op zijn computer wordt opgeslagen. Gebruikers denken echter dat de browsermode bijvoorbeeld tracking, geolocatie en advertenties voorkomt, zo laat onderzoek zien (pdf). Ook de engineers van Google waren zich hiervan bewust. Zo laat één engineer in een e-mail weten dat er moet worden gestopt met het woord incognito en de afbeelding van een spion. "Maak incognito mode echt privé", schrijft ze. "We zijn beperkt in hoe sterk we Incognito kunnen aanprijzen omdat het niet echt privé is, en dus echt vage, indekkende taal vereist die bijna schadelijk is." Een andere engineer reageert met een grap door te stellen dat "Guy Incognito" uit The Simpsons eigenlijk als icoon gebruikt had moeten worden, aangezien dit beter de geboden privacybescherming zou duidelijk maken. Google stelt in een reactie op de rechtszaak dat het algemeen bekend is dat de incognito mode het browsen niet echt afschermt en gebruikers toestemming hebben gegeven om door het techbedrijf te worden gevolgd. Een poging van Google om de rechtszaak als kort geding af te doen werd begin vorig jaar verworpen. De schikking moet nog wel door een rechter worden goedgekeurd en zou dan voor 136 miljoen Chrome-gebruikers in de staat Californië gelden. Voor het 'dataherstelproces' moet Google informatie verwijderen waarmee het mogelijk is om gebruikers van private browsing te identificeren. "Google zal deze data mitigeren door gedeeltelijk ip-adressen weg te laten en user-agent strings te generaliseren", zo staat in het vonnis. De eisers hadden een bedrag van 5 miljard dollar geëist, maar dat hoeft Google niet te betalen. Chrome-gebruikers in Californië kunnen nog wel zelf een schadeclaim indienen. Dat zou inmiddels vijftig keer zijn gedaan. bron: https://www.security.nl

Het Open Web Application Security Project (OWASP), een organisatie die zich met de veiligheid van webapplicaties bezighoudt, heeft via de misconfiguratie van een webserver de persoonsgegevens van leden gelekt. Dat heeft de organisatie zelf bekendgemaakt. Het gaat om cv's met e-mailadressen, telefoonnummers, adresgegevens en andere persoonlijke identificeerbare informatie van mensen die van 2006 tot en met 2014 hun cv hadden verstrekt om lid te worden. In de genoemde periode moesten leden cv verstrekken, wat inmiddels niet meer het geval is om lid te worden. Wat de misconfiguratie precies is wordt niet genoemd, maar OWASP zegt naar aanleiding van het datalek specifiek directory browsing te hebben uitgeschakeld. Tevens heeft het de webserver en wikiconfiguratie op andere beveiligingsproblemen gecontroleerd. Daarnaast zijn de cv's van leden van de wikiwebsite verwijderd en is de CloudFlare-cache opgeschoond om verdere toegang te voorkomen. Tevens is het Web Archive verzocht de informatie te verwijderen. Volgens OWASP is het lastig om slachtoffers van het datalek in te lichten. Veel van de getroffen personen zijn geen lid meer en de data uit het datalek is tussen de tien en achttien jaar oud en daardoor waarschijnlijk niet meer actueel. Wel zal er een datalekmelding naar de gelekte e-mailadressen worden gestuurd. De organisatie zegt het datalek te betreuren, zeker omdat het zich juist met cybersecurity bezighoudt. bron: https://www.security.nl

De backdoor die in datacompressietool XZ werd aangetroffen is geen authenticatie bypass, maar maakt remote code execution mogelijk, zo stelt onderzoeker Filippo Valsorda. Hij spreekt van een nachtmerriescenario en noemt het mogelijk de best uitgevoerde supplychain-aanval ooit die ontdekt is. Daarnaast blijkt dat het zeer lastig is om op de aanwezigheid van de backdoor te scannen. XZ is een tool voor het comprimeren en decomprimeren van bestanden en is in veel Linux-distributies aanwezig. Deze week werd bekend dat verschillende versies van de tool een backdoor bevatten. "Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om authenticatie te omzeilen en lijkt gebruikt te worden om SSH te compromitteren. Het is nog onbekend wat nodig is voor het omzeilen van authenticatie. Het is mogelijk dat bij het verbinding met een kwetsbaar systeem via SSH dat er performance problemen optreden", aldus het Nationaal Cyber Security Centrum (NCSC) in een update van het eerder uitgebrachte beveiligingsbulletin. Volgens de overheidsinstanties is een systeem hoogstwaarschijnlijk alleen kwetsbaar als het voldoet aan de volgende voorwaarden: een Linux-distributie met glibc (for IFUNC) en versie 5.6.0 of 5.6.1 van xz of liblzma geïnstalleerd (XZ Utils wordt geleverd met de library liblzma). Valsorda stelt dat de de backdoor informatie gebruikt uit een door de aanvaller aangeboden certificaat. Vervolgens kan er een payload op het systeem worden uitgevoerd, aldus de onderzoeker. Waarbij een aanvaller in het geval van een authenticatie bypass alleen toegang krijgt als de gebruiker waarmee wordt ingelogd, kan er in het geval van de nu ontdekte backdoor code binnen het sshd (SSH daemon) proces worden uitgevoerd, zo reageert iemand op de analyse van Valsorda op Hacker News. Als sshd als root draait wordt ook de payload van de aanvaller als root uitgevoerd. Valsorda voegt toe dat als de aan de backdoor aangeboden payload niet klopt of de signature van de key van de aanvaller niet overeenkomt, de backdoor weer terugvalt op zijn normale werking. Dit maakt het volgens de onderzoeker lastig om een betrouwbare netwerkscanner te maken waarmee de aanwezigheid van de backdoor is te detecteren. "Dit is mogelijk de best uitgevoerde supplychain-aanval die ooit in het openbaar is beschreven, en het is een nachtmerriescenario: kwaadaardig, competent, geautoriseerde upstream in een veelgebruikte library", aldus Valsorda. Bij toeval De onderzoeker merkt op dat de backdoor bij toeval is ontdekt. "Vraag me af hoelang het anders had geduurd." De backdoor werd tijdens het uitvoeren van postgres benchmarks gevonden door Andres Freund, een postgres-ontwikkelaar die bij Microsoft werkt. Ook onderzoeker Gynvael Coldwind stelt in zijn analyse dat iemand zeer veel moeite heeft gedaan om de backdoor onschuldig te doen lijken en dat die redelijk goed verborgen is. "Ik kan niet anders dan mezelf afvragen (net zoals ik denk de rest van onze security community) - als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt." bron: https://www.security.nl

Cisco waarschuwt organisaties voor password spraying-aanvallen op vpn-diensten, wat ervoor kan zorgen dat personeel niet meer kan inloggen. Securitybedrijven Arctic Wolf en High Wire Networks meldden eerder deze maand dat er sinds eind februari een toename is van password spraying gericht tegen firewalls en vpn-servers van Cisco, Palo Alto Networks en WatchGuard. Een security-engineer genaamd Aaron Martin meldde soortgelijke aanvallen tegen apparatuur van Fortinet, Palo Alto Networks, Sonicwall en Cisco. De aanvallen zijn volgens Martin het werk van een botnet. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Cisco is nu met een document gekomen waarin het maatregelen adviseert waarmee organisaties zich tegen dergelijke aanvallen kunnen wapenen, alsmede wat de gevolgen van de aanvallen kunnen zijn. Zo kan password spraying ervoor zorgen dat het eigen personeel niet meer op de vpn-server kan inloggen omdat er een lockout van hun account heeft plaatsgevonden. Cisco benadrukt dat de aanvallen niet beperkt zijn tot Cisco-apparatuur. Verder wordt het inschakelen van logging aangeraden en het gebruik certificaat-gebaseerde authenticatie. bron: https://www.security.nl

De standaard end-to-end encryptie van chatberichten in Messenger wordt de komende maanden wereldwijd uitgerold, zo heeft Meta bekendgemaakt. Het bedrijf begon afgelopen december met het inschakelen van deze maatregel. Sinds 2016 hebben gebruikers van Messenger de optie om end-to-end encryptie in te schakelen, maar de beveiligingsmaatregel stond niet standaard ingeschakeld. Iets dat Meta nu gaat veranderen. "We rollen nu end-to-end encryptie in Messenger uit en al je persoonlijke berichten worden standaard versleuteld. Tijdens de uitrol zul je merken dat sommige chats eerder end-to-end zijn versleuteld dan anderen. Dit is te verwachten", aldus Meta. Wanneer chats end-to-end versleuteld zijn krijgen gebruikers hier melding van. De wereldwijde uitrol van de beveiligingsmaatregel zou de komende maanden moeten worden afgerond. Gebruikers kunnen ervoor kiezen om hun chatgeschiedenis lokaal op te slaan of op de servers van Meta. Het bedrijf adviseert gebruikers voor deze laatste optie te kiezen. Wanneer de chatapp chats end-to-end versleutelt krijgen gebruikers ook de vraag of ze van deze 'Secure Storage' feature gebruik willen maken. De bij Meta opgeslagen chatgeschiedenis is dan te bereiken via een zescijferige pincode of een virtuele key die in de Google Drive of Apple iCloud van de gebruiker wordt opgeslagen. bron: https://www.security.nl

De Python Package Index (PyPI) accepteert weer nieuwe gebruikers en projecten nadat die wegens een campagne met malafide packages tijdelijk werden geblokkeerd. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Geregeld komt het voor dat aanvallers malafide packages uploaden en die bijvoorbeeld zijn voorzien van namen die erg lijken op die van legitieme packages. Deze packages worden na te zijn gevonden weer verwijderd. Het afgelopen jaar kreeg PyPI met meerdere aanvallen te maken, waaronder vorig jaar mei en december. Gisteren meldde de Python Package Index dat het wederom het aanmaken van nieuwe projecten en gebruikers tijdelijk had gestaakt als reactie op een actieve campagne waarbij malware werd geüpload. Dit duurde ongeveer zes uur, waarna de blokkade werd opgeheven. PyPI geeft geen details over de genoemde campagne, maar securitybedrijf Checkmarx meldde gisteren dat aanvallers de afgelopen dagen honderden malafide packages naar de repository hadden geüpload met malware die informatie van besmette systemen probeert te stelen. bron: https://www.security.nl

Criminelen maken gebruik van een besmette versie van McAfee Security om Androidtelefoons met bankmalware te infecteren en zo geld van bankrekeningen te stelen. De aanval begint met een sms-bericht, waarin staat dat er een grote geldtransactie heeft plaatsgevonden en als de ontvanger dit niet heeft geautoriseerd het opgegeven telefoonnummer moet worden gebeld. Zodra het slachtoffer dit nummer belt ontvangt hij tijdens het gesprek een tweede sms-bericht met een link die naar een besmette versie van de McAfee Security-app wijst. In werkelijkheid is dit een 'dropper' die de uiteindelijke Vultur-bankmalware installeert, maar ook de functionaliteit van de security-app biedt, om slachtoffers zo niets te laten vermoeden. De Vultur-malware geeft criminelen toegang tot de telefoon om daarvandaan fraude te plegen. De eerste versies maakten het al mogelijk om besmette Androidtelefoons op afstand te bedienen en toetsaanslagen op te slaan. Onlangs is er een nieuwe versie van de Vultur-bankmalware ontdekt, zo laat securitybedrijf Fox-IT weten. Deze versie kan aanvallers bestanden laten installeren, verwijderen en zoeken. Ook is het mogelijk om de audio in en uit te schakelen, te swipen of klikken. Tevens kan de malware voorkomen dat er bepaalde apps draaien, aangepaste notificaties in de statusbalk tonen en Keyguard uitschakelen, om de schermvergrendeling te omzeilen. Om de Vultur-malware te installeren proberen de aanvallers de Accessibility Service privileges te krijgen. Apps met Accessibility Service permissies kunnen volledige zichtbaarheid over events van de gebruikersinterface krijgen, zowel bij systeem-apps als apps van derden. "Hoewel deze services bedoeld zijn om gebruikers te ondersteunen, zijn ze ook door malafide apps te misbruiken voor activiteiten zoals keylogging, het zichzelf automatisch toekennen van extra permissies, monitoren van apps in de voorgrond en daar overlay-vensters over plaatsen voor het uitvoeren van phishingaanvallen", zo stellen de onderzoekers. "De recente ontwikkelingen van Vulture laten zien dat de aandacht is verlegd naar het verkrijgen van volledige controle over besmette toestellen. Met de mogelijkheid om commando's te geven voor het scrollen, swipen, klikken, volumecontrole, het blokkeren van apps en zelfs het toevoegen van een file manager functie, is het duidelijk dat het primaire doel is om volledige controle over gecompromitteerde toestellen te krijgen", zo laten de onderzoekers verder weten. bron: https://www.security.nl

De Duitse overheid heeft een digitaal veiligheidskeurmerk voor videovergaderdiensten gelanceerd, zodat gebruikers de veiligheid van de producten kunnen beoordelen. De diensten moeten in dit geval aan de DIN SPEC 27008-specificatie voldoen, die door een consortium van aanbieders is opgesteld. Daarin staan minimale veiligheidseisen, zoals de bescherming van accounts, updatebeheer, authenticatiemechanismes en gebruikte encryptie. Zo moeten videovergaderdiensten die aan de specificatie voldoen standaard instellen dat meetings standaard privé zijn en beveiligd met een lastig te raden code of andere vorm van 'toegangsdata'. Verder moeten de oplossingen ook beschikken over een wachtkamer, zodat beheerders deelnemers handmatig toegang tot de meeting kunnen geven. Daarnaast moeten videovergaderdiensten het mogelijk maken dat alle deelnemers aan de meeting zichtbaar zijn. Tevens moet de deelname van nieuwe deelnemers worden duidelijk gemaakt via een audio- of videosignaal. Een andere voorwaarde om voor het keurmerk in aanmerking te komen is dat kwetsbaarheden in de diensten direct worden gemeld aan zowel gebruikers als het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Zodra het keurmerk is verleend blijft het BSI over een periode van vier jaar controles uitvoeren om te kijken of er nog steeds aan de gestelde eisen wordt voldaan. Producten die over het keurmerk beschikken zijn ook voorzien van een qr-code, waarmee eenvoudig verdere informatie kan worden opgevraagd. Het digitale veiligheidskeurmerk is er ook voor e-mailproviders, routers, 'slimme camera's' en Internet of Things-apparaten. bron: https://www.security.nl

Stichting Consumers United in Court (CUIC) is een collectieve procedure tegen antivirusbedrijf Avast gestart waarbij het wegens 'spionage' door de virusscanner per gebruiker 1000 euro plus een deel van de winst eist. Acht maanden geleden maakte Stichting CUIC bekend dat het een rechtszaak tegen Avast zou starten. Inmiddels hebben ruim tienduizend Nederlandse Avast-gebruikers zich bij de rechtszaak aangesloten. Al in 2019 werd bekend dat Avast miljoenen aan het browsegedrag van gebruikers verdiende. Deze gegevens werden verhandeld via databedrijf Jumpshot, waar Avast een meerheidsbelang in had. Naar aanleiding van de onthulling over het dataverzamelen besloten Google en Mozilla de browserextensies van Avast uit hun extensie-stores te verwijderen. In een reactie op de ontstane ophef besloot Avast vervolgens verschillende aanpassingen door te voeren, maar vanwege de aanhoudende kritiek werd Jumpshot begin 2020 opgeheven. Volgens CUIC hadden tussen 2014 en 2020 vele honderdduizenden Nederlanders de antivirussoftware van Avast en AVG op hun computer staan. "Mensen waanden zich veilig met een virusscanner, maar juist de maker ervan volgde alles wat ze dede n op hun computer . Avast verkocht deze informatie voor grof geld aan derden. Ze adverteerden zelfs met de goudmijn aan data die ze hadden buitgemaakt. Bedrijven zoals Avast mogen hier niet mee wegkomen. Daarom voeren wij deze rechtszaak. Wie niet horen wil, moet maar voelen", zegt CUIC-voorzitter Wilmar Hendriks. De stichting is een initiatief van privacyorganisatie None of Your Business (noyb) en stichting Privacy First. "Avast bespioneerde haar gebruikers zonder ze te informeren of toestemming te vragen, kopieerde en verkocht op grote schaal hun gegevens door aan derden via dochterbedrijf Jumpshot. Met klanten zoals Google, Unilever en Microsoft heeft Avast via Jumpshot de heimelijk verkregen gegevens zeer wijd kunnen verspreiden", zo laat CUIC verder weten. De stichting heeft nu de dagvaardingen uitgebracht aan Avast. Per gebruiker eist CUIC een schadevergoeding van duizend euro en daar bovenop voor iedere gedupeerde een deel van de door Avast onrechtmatig gerealiseerde winst. Gebruikers kunnen zich kosteloos bij de rechtszaak aansluiten. Dat is op basis van "no cure, no pay". Net als bij andere massaclaims wordt er gebruikgemaakt van een externe procesfinancier die als de rechtszaak slaagt een deel van de schadevergoeding ontvangt. Het gaat om maximaal 25 procent. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Microsoft SharePoint Server waarvoor vorig jaar mei een beveiligingsupdate verscheen. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het beveiligingslek werd vorig maart tijdens de Pwn2Own-wedstrijd in Vancouver door onderzoekers van STAR Labs gedemonstreerd, die daarmee 100.000 dollar verdienden. Het beveiligingslek, aangeduid als CVE-2023-24955, maakt remote code execution op SharePoint-servers mogelijk. Authenticatie is in dit geval wel vereist. Tijdens de Pwn2Own-wedstrijd combineerden de onderzoekers CVE-2023-24955 met een ander beveiligingslek (CVE-2023–29357) waardoor een ongeauthenticeerde aanvaller SharePoint-servers op afstand kan overnemen. In januari van dit jaar meldde het CISA misbruik van CVE-2023-29357. Nu wordt ook misbruik van CVE-2023-24955 gemeld. Details over de waargenomen aanvallen zijn niet gegeven. Beheerders worden opgeroepen de update van Microsoft, die sinds 9 mei 2023 beschikbaar is, te installeren. bron: https://www.security.nl

Facebook heeft in het geheim Snapchat-gebruikers afgeluisterd die de vpn-tool Onavo van Facebook gebruikten. Dat blijkt uit documenten die als onderdeel van een rechtszaak tegen Meta openbaar zijn geworden (pdf). Facebook wilde via 'Project Ghostbusters', wat een referentie is naar het spooklogo van Snapchat, het gedrag van Snapchat-gebruikers analyseren, om zo een competitief voordeel te krijgen. Onavo Protect werd in 2013 door Facebook overgenomen en bood gebruikers een gratis vpn-dienst aan. Meta (destijds nog Facebook) stelde dat de app de gegevens en activiteiten van gebruikers zou beschermen en dat de verzamelde data alleen werd gebruikt voor het kunnen aanbieden van de vpn-dienst. In werkelijkheid werd het gedrag van gebruikers, zoals welke apps ze gebruikten en hoelang, door Onavo en Facebook verzameld. Vervolgens werden de gegevens gedeeld met moederbedrijf Meta. De data werd gebruikt voor Meta's marktonderzoek, zo werd vorig jaar duidelijk, toen Meta in Australië een boete van 20 miljoen dollar kreeg voor het misleiden van gebruikers van de Onavo Protect vpn-app. Volgens de nu openbaar geworden documenten kon Facebook via de vpn-app uitgebreid analyseren hoe gebruikers Snapchat gebruikten. Het programma zou later ook zijn uitgebreid naar Amazon en YouTube. Binnen Facebook was er ook kritiek op de werkwijze, zo meldt TechCrunch. "Ik kan geen goede reden verzinnen waarom dit oké is. Geen enkel securitypersoon vindt dit prima, ongeacht of we toestemming van het publiek krijgen. Mensen weten gewoon niet hoe dit precies werkt", laat het toenmalig hoofd security engineering in een e-mail weten. Volgens de aanklagers in deze zaak heeft Facebook de Amerikaanse 'Wiretap' wetgeving overtreden, die het verbiedt om elektronische communicatie van mensen af te luisteren. Verder zou uit de documenten blijken dat Meta-topman Mark Zuckerberg direct betrokken was bij de gesprekken over de vpn-tool. Zo werd in 2019 nog een e-mail naar hem gestuurd waarin expliciet om zijn beslissing werd gevraagd of SSL-decryptie, waarbij Project Ghostbusters werd bedoeld, moest stoppen, laat Quartz weten. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Google Chrome maakt remote code execution mogelijk, waardoor een aanvaller in het ergste geval systemen volledig kan overnemen. Een gebruiker hoeft hiervoor alleen een gecompromitteerde of besmette website te bezoeken of een besmette advertentie te zien krijgen. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. Google heeft updates uitgebracht om het probleem (CVE-2024-2883) te verhelpen. Het is de eerste kritieke kwetsbaarheid die dit jaar door het techbedrijf in de browser wordt gemeld. Het beveiligingslek, een use after free, bevindt zich in ANGLE. Dit is een onderdeel van de browser dat wordt gebruikt voor het uitvoeren van WebGL- en andere OpenGL-content. De kwetsbaarheid werd gevonden en gerapporteerd door beveiligingsonderzoeker Cassidy Kim, die hiervoor een beloning van 10.000 dollar ontving. Google heeft ook een kwetsbaarheid verholpen die tijdens de Pwn2Own-wedstrijd in Vancouver vorige week door onderzoeker Manfred Paul werd gedemonstreerd. Dit beveiligingslek heeft een lagere impact, omdat het alleen het uitvoeren van code binnen de browser mogelijk maakt, terwijl CVE-2024-2883 een aanvaller code op het onderliggende systeem laat uitvoeren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 123.0.6312.86/.87 is beschikbaar voor Windows en macOS. Voor Linux is versie 123.0.6312.86 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Vpn-provider Atlas VPN stopt op 24 april met bestaan. Bestaande klanten zullen automatisch naar zusterbedrijf NordVPN worden overgezet. Dat heeft het bedrijf vandaag in een blogposting aangekondigd. Volgens Atlas VPN heeft het met onmogelijke uitdagingen te maken, waaronder technologische eisen, een zeer competitieve markt en oplopende kosten. "Deze factoren hebben ons doen besluiten dat het doorgaan met Atlas VPN op de lange termijn niet houdbaar is." Bestaande klanten worden voor het restant van hun abonnement overgezet naar NordVPN. De vereiste gegevens voor een abonnement bij NordVPN, waaronder de duur van het abonnement en e-mailadres van de gebruiker, worden hiervoor doorgegeven. Volgens Atlas VPN biedt NordVPN de meeste features die het zelf ook biedt. Klanten die niet naar NordVPN willen migreren kunnen dit tot 22 april kenbaar maken. bron: https://www.security.nl

In de eerste week van maart zijn meer dan zesduizend routers van fabrikant Asus onderdeel van een proxy-botnet geworden, zo meldt securitybedrijf Lumen Technologies. De besmette routers worden vervolgens als proxy aan criminelen aangeboden, die zo bij het uitvoeren van fraude, malware en andere aanvallen hun sporen kunnen verbergen. De malware in kwestie wordt TheMoon genoemd en bestaat al sinds 2014. In eerste instantie richtte de malware zich alleen op Linksys-routers, maar in 2016 werden opeens ook Asus-routers aangevallen. Lumen Technologies laat niet weten hoe de Asus-routers begin deze maand besmet raakten, maar meldt wel dat het om end-of-life apparaten gaat die niet meer met beveiligingsupdates worden ondersteund. Naast het gebruik van besmette routers als proxy, worden de apparaten ook gebruikt voor het scannen naar en infecteren van andere routers. In de eerste weken van dit jaar bestond het botnet uit 40.000 apparaten in 88 landen. Begin maart kwamen daar binnen een periode van nog geen drie dagen meer dan zesduizend Asus-routers bij. Volgens de onderzoekers kiezen cybercriminelen steeds vaker voor 'residentiële' proxyservers bij het uitvoeren van aanvallen in plaats van het gebruik van vpn's of het Tor-netwerk. bron: https://www.security.nl

De Duitse overheid heeft vandaag een waarschuwing gegeven voor 17.000 Microsoft Exchange-servers in het land die één of meerdere kritieke kwetsbaarheden bevatten en daardoor risico lopen om te worden aangevallen. Een zelfde aantal is mogelijk kwetsbaar. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, roept beheerders en organisaties dan ook op om in actie te komen. Volgens het BSI blijkt uit onderzoek dat Duitsland 45.000 Exchange-servers telt die via Outlook Web Access (OWA) toegankelijk zijn. Twaalf procent van deze servers draait Exchange Server 2010 of 2013, die al lang niet meer worden ondersteund. Een kwart van de servers draait de nog wel ondersteunde Exchange-versies 2016 of 2019, alleen missen beveiligingsupdates. Dat houdt in dat 37 procent van de toegankelijke Exchange-servers in Duitsland kwetsbaar is, aldus het BSI. Voor 48 procent van de Exchange-servers bij onze Oosterburen kon het BSI niet duidelijk vaststellen of ze nog kwetsbaar zijn. Vanwege de situatie heeft de overheidsinstantie dreigingsniveau 'oranje' afgegeven (pdf). Dat wil zeggen dat de it-dreiging voor grootschalige verstoring van de bedrijfsvoering kan zorgen. Exchange-beheerders worden dan ook opgeroepen om geregeld te controleren of hun servers nog wel up-to-date zijn. Tevens wordt aangeraden om webdiensten van Exchange-servers, zoals Outlook Web Access, niet direct vanaf het internet toegankelijk te maken maar achter een vpn te plaatsen. bron: https://www.security.nl

Python-ontwikkelaars zijn via een malafide versie van de populaire package Colorama besmet geraakt met malware, waardoor ook verschillende GitHub-accounts konden worden gekaapt. Dat laat securitybedrijf Checkmarx weten. Colorama is een populaire package die ontwikkelaars gebruiken voor het toevoegen van onder andere kleuren aan hun tekst in terminal outputs. De tool telt meer dan 150 miljoen downloads per maand. Colorama wordt aangeboden via de Python Package Index (PyPI), een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Het subdomein files.pythonhosted.org is een officiële PyPI-mirror. De aanvallers namen het programma Colorama en voegden malware toe die session cookies, wachtwoorden, creditcardgegevens, cryptowallets, Telegram-sessies, Instagram-data en andere bestanden van een systeem kan stelen. Vervolgens werd de aangepaste, malafide versie via een .org-domein met de naam 'files.pypihosted' aangeboden, wat lijkt op de officiële mirror files.pythonhosted.org. Via de gestolen cookies konden de aanvallers weer toegang tot andere accounts van hun slachtoffers krijgen, waaronder GitHub-accounts. Hoeveel ontwikkelaars slachtoffer zijn geworden is onbekend. Het domein is inmiddels offline gehaald. bron: https://www.security.nl

Het Metasploit Framework, dat door pentesters en andere securityprofessionals wordt gebruikt, heeft na veertien maanden weer een grote update gekregen. Het vandaag gelanceerde Metasploit Framework 6.4 bevat verbeteringen voor het uitvoeren van Kerberos-gebaseerde aanvallen, uitgebreidere dns-configuratie, nieuwe session types en een nieuwe feature voor Windows Meterpreter om procesgeheugen te doorzoeken. Metasploit is een door securitybedrijf Rapdi7 ontwikkeld opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het is erg geliefd bij penetratietesters en securityprofessionals. Het bevat allerlei modules en exploits waarmee er misbruik van kwetsbaarheden kan worden gemaakt. Vorig jaar januari verscheen Metasploit 6.3, vandaag is versie 6.4 uitgekomen. bron: https://www.security.nl

De Europese Commissie is een onderzoek gestart naar Alphabet, Apple en Meta voor het mogelijk overtreden van de Europese Digital Markets Act (DMA). Het gaat dan om het 'betaal of oké' model van Meta, en de manier waarop Apple en Alphabet hun eigen diensten zouden bevooroordelen en andere app-ontwikkelaars juist zouden hinderen. Als 'gatekeepers' moeten Apple en Alphabet het externe ontwikkelaars toestaan dat ze klanten apps en producten ook buiten de appstores van de gatekeepers kunnen aanbieden. De Europese Commissie maakt zich naar eigen zeggen zorgen dat de manier waarop de techbedrijven dit doen niet compliant met de DMA is, aangezien er verschillende beperkingen worden opgelegd. Tevens onderzoekt Brussel of Google via de eigen zoekmachine andere Google-diensten in de zoekresultaten bevooroordeelt In het geval van Apple wordt gekeken of iOS-gebruikers wel eenvoudig al geïnstalleerde apps kunnen verwijderen, de standaardinstellingen kunnen wijzigen en of het via de keuzeschermen eenvoudig is om een andere browser of zoekmachine in te stellen. Wat betreft het 'betaal of oké' model van Meta is de Europese Commissie bezorgd dat de keuze die Meta met het model oplegt geen echt alternatief is in het geval gebruikers geen toestemming geven. Gebruikers van Facebook of Instagram moeten een maandelijks bedrag van minimaal tien euro per maand per account betalen. Als ze dit bedrag niet kunnen of willen betalen, gaan ze er automatisch mee akkoord dat ze worden gevolgd en hun persoonlijke gegevens voor gerichte advertenties worden gebruikt. Het nu aangekondigde onderzoek moet binnen twaalf maanden zijn afgerond, waarna er maatregelen kunnen volgen die de techbedrijven moeten doorvoeren. Mochten er overtredingen worden vastgesteld kunnen er boetes tot twintig procent van de jaaromzet worden opgelegd. bron: https://www.security.nl

De FBI heeft softwareontwikkelaars opgeroepen om een einde aan SQL Injection te maken, een klasse van beveiligingslekken die al sinds 1998 bestaat, maar nog altijd voorkomt. "Ondanks wijdverbreide kennis en documentatie van SQL Injection-kwetsbaarheden, alsmede beschikbaarheid van effectieve oplossingen, blijven softwareontwikkelaars producten met deze kwetsbaarheid ontwikkelen, wat veel klanten risico laat lopen", aldus de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security (pdf). Bij SQL Injection kan een aanvaller SQL-opdrachten op een systeem uitvoeren. Zie dit Security.NL achtergrondartikel voor meer details. In 2007 werd SQL Injection nog als een 'onvergeeflijke' kwetsbaarheid bestempeld. Zeventien jaar later is het probleem nog altijd op grote schaal aanwezig. De MITRE Corporation, de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden mee te identificeren, stelde vorig jaar nog dat SQL Injection in de Top 3 van meestvoorkomende beveiligingslekken staat. Vandaag roepen de FBI en het CISA softwareleveranciers en fabrikanten op om hun code op de aanwezigheid van SQL Injection te controleren. Daarnaast moeten alle klanten hun leveranciers vragen of ze een dergelijke controle hebben uitgevoerd. Mocht uit deze controle blijken dat de code kwetsbaar is voor SQL Injection, moeten ontwikkelaars meteen beginnen met het implementeren van oplossingen, aldus de oproep van de Amerikaanse overheidsdiensten. "Het toepassen van security in producten vanaf het begin kan SQL Injection voorkomen." Volgens de FBI en het CISA is SQL Injection nog steeds succesvol omdat softwareontwikkelaars gebruikersinvoer niet als mogelijk kwaadaardig beschouwen. Als oplossing wordt het gebruik van parameterized queries met prepared statements aangeraden, om zo SQL-code van gebruikersinvoer te scheiden. "Deze scheiding zorgt ervoor dat het systeem gebruikersinvoer als data behandelt en niet als uitvoerbare code, waardoor het risico wordt geëlimineerd dat malafide gebruikersinvoer als SQL-statement wordt gezien." Daarbij zien de overheidsdiensten een belangrijke rol weggelegd voor bestuurders en topmanagers om kwetsbaarheden zoals SQL Injection te voorkomen. Zo moet er in de organisatie prioriteit worden gegeven aan proactieve maatregelen, zoals het toepassen van veilig programmeren, waaronder het gebruik van parametrized queries, en het afhankelijk zijn van reactieve maatregelen te verminderen. Daarnaast moet topmanagement ervoor zorgen dat hun organisatie audits uitvoert om kwetsbaarheden zoals SQL Injection te detecteren. bron: https://www.security.nl

Je hebt verschillende 'gratis"alternatieven. Probeer bijvoorbeeld eens Serato-lite. Het is wel vaak even kijken welke lekker werkt. Besef wel dat je bij de gratis versies bepaalde functies mist.

Meer dan tienduizend WordPress-sites lopen door een kritieke kwetsbaarheid in twee plug-ins, die niet meer worden ondersteund, het risico om door criminelen te worden overgenomen. Het gaat om de 'Malware Scanner' en 'Web Application Firewall' van een ontwikkelaar genaamd MiniOrange. De twee plug-ins zijn juist ontwikkeld om WordPress-sites tegen allerlei aanvallen en malware te beschermen. De Malware Scanner draait op meer dan tienduizend websites, de Web Application Firewall is op driehonderd sites actief. Beide plug-ins bevatten dezelfde kwetsbaarheid waardoor een ongeauthenticeerde aanvaller het wachtwoord van gebruikers kan resetten. De enige voorwaarde is dat een aanvaller een geldige gebruikersnaam opgeeft. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem werd op 5 maart aan de ontwikkelaar van de plug-ins gerapporteerd. In plaats van een update te ontwikkelen besloot die met de plug-ins te stoppen. Vanwege de impact van de kwetsbaarheid en het ontbreken van een patch roept securitybedrijf Wordfence alle gebruikers op om de plug-ins meteen van hun website te verwijderen. bron: https://www.security.nl

Google Chrome gaat alle websites die gebruikers bezoeken in real-time controleren. Voorheen gebruikte de browser een lokaal opgeslagen lijst om te zien of een website of bestand mogelijk gevaarlijk is. Chrome maakt al lange tijd gebruik van Safe Browsing om gebruikers voor malafide en phishingsites te waarschuwen. De browser maakte hiervoor altijd gebruik van een lokaal opgeslagen lijst van bekende malafide sites, die elke dertig tot zestig minuten wordt bijgewerkt. Volgens Google zijn phishingdomeinen tegenwoordig veel geraffineerder geworden en bestaat zestig procent van de phishingsites minder dan tien minuten, waardoor ze lastig te blokkeren zijn. Daarom controleert Google nu in real-time of Chrome-gebruikers een bekende malafide site bezoeken. Dit zou voor een "25 procent verbeterde bescherming" tegen malware en phishing moeten zorgen, zo beweert het techbedrijf. Chrome-gebruikers konden sinds 2020 bezochte websites al in real-time laten controleren, maar moesten hier zelf voor kiezen door Enhanced Safe Browsing in te schakelen. Bij het gebruik van Enhanced Safe Browsing wordt er meer data met het techbedrijf gedeeld. Zo worden alle geopende links naar Google gestuurd. Ook stuurt de browser een klein deel van de bezochte webpagina's en verdachte downloads naar Google om nieuwe dreigingen te ontdekken. De nu aangekondigde 'real-time protection' wordt standaard onderdeel van Chrome en Google stelt dat het daarbij niet kan zien welke websites gebruikers bezoeken. De feature is beschikbaar voor desktop- en iOS-versie. Android volgt later deze maand. Gebruikers die meer bescherming willen kunnen hiervoor Enhanced Safe Browsing inschakelen. bron: https://www.security.nl

Mozilla blijft op Manifest V2-gebaseerde browser-extensies in Firefox voorlopig ondersteunen en als er wordt besloten om hiermee te stoppen zal dit tenminste twaalf maanden van tevoren worden aangekondigd, zodat extensie-ontwikkelaars hierop kunnen anticiperen. Dat heeft Mozilla aangekondigd. De manier waarop browser-extensies werken staat beschreven in een Manifest. Over een aantal maanden zal Google voor Chrome Manifest V3 verplichten. De nieuwe regels van dit Manifest bieden volgens Google allerlei voordelen, maar critici stellen dat ze de werking van adblockers beperken. Ook Firefox maakt gebruik van een Manifest en is bezig met de implementatie van Manifest V3. In tegenstelling tot Google is Mozilla niet van plan om adblockers via Manifest V3 te beperken. De Manifest V3-implementatie van Mozilla verschilt van die van Google. Browser-extensies kunnen aangeven of ze met Chrome of Firefox werken. Google zal daarnaast Manifest V2-extensies in Chrome dit jaar bij gebruikers gaan uitschakelen, zodat die alleen nog V3-extensies kunnen gebruiken. Firefox heeft geen plannen om V2-extensies voorlopig uit te faseren. Mocht Mozilla daarop terugkomen, zegt het dit minstens twaalf maanden van tevoren bekend te maken. Dit moet extensie-ontwikkelaars de tijd geven om hun extensie aan te passen. bron: https://www.security.nl