Captain Kirk

Mozilla heeft een een recent toegevoegde feature aan Firefox waardoor onbetrouwbaar geachte downloads proactief worden geblokkeerd wegens een bug tijdelijk uitgeschakeld. De feature zorgde in bepaalde gevallen voor problemen met het downloaden van bestanden. Met de lancering van Firefox 125.0.1 worden downloads van url's die als potentieel onbetrouwbaar worden beschouwd 'proactiever' geblokkeerd, aldus de uitleg van Mozilla. De feature zorgde echter voor problemen bij het downloaden van bestanden, zo blijkt uit klachten van meerdere gebruikers. Die melden onder andere dat de verkeerde content wordt gedownload en ook het downloaden van documenten vanaf een intranet niet goed meer gaat. Vanwege de impact heeft Mozilla Firefox 125.0.2 als spoedoplossing uitgebracht en besloten de feature tijdelijk uit te schakelen. De maatregel zal in een toekomstige versie weer worden ingeschakeld. bron: https://www.security.nl

Een zerodaylek in de Windows Print Spooler-service, dat door de Amerikaanse geheime dienst NSA aan Microsoft werd gerapporteerd, is jarenlang gebruikt bij aanvallen, aldus het techbedrijf. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen tot het SYSTEM-niveau, waarmee volledige controle over het systeem wordt verkregen. Microsoft kwam op 11 oktober 2022 met een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-38028. Het techbedrijf bedankte destijds de NSA voor het rapporteren van het probleem. In een nieuwe analyse meldt Microsoft dat een aan de Russische geheime dienst gelieerde groep die wordt aangeduid als APT28, Fancy Bear en Forest Blizzard, sinds juni 2020 misbruik van het beveiligingslek maakt en dit mogelijk al sinds april 2019 doet. Zodra de aanvallers toegang tot een systeem hebben misbruiken ze de kwetsbaarheid om hun rechten te verhogen en vervolgens inloggegevens te stelen, aldus Microsoft. Het techbedrijf roept organisaties op om de kwetsbaarheid voor CVE-2022-38028 zo snel mogelijk te installeren als dat nog niet is gedaan. Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller. bron: https://www.security.nl

Het aantal slachtoffers van ransomware dat losgeld betaalt is naar het laagste niveau in vijf jaar tijd gedaald, zo stelt securitybedrijf Coveware. Volgens onderzoekers van het bedrijf besloot 28 procent van de slachtoffers in het eerste kwartaal van dit jaar criminelen te betalen, tegenover 85 procent in het eerste kwartaal van 2019. Ook heeft de daling doorgezet van de hoogte van het losgeldbedrag. Het gemiddelde losgeldbedrag dat werd betaald bedroeg 382.000 dollar, een daling van 32 procent ten opzichte van het vierde kwartaal van 2023. Volgens Coveware wordt de daling onder andere veroorzaakt door de aanpak van Ransomware-as-a-Service (RaaS) ontwikkelaars en de manier waarop die zich de afgelopen maanden gedroegen. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen (partners van de ransowmare-ontwikkelaars) moeten in dit geval de ransomware nog wel zelf verspreiden. Begin dit jaar werden een website en servers van de LockBit-ransomware in beslag genomen. LockBit werd als Ransomware-as-a-Service aangeboden. Daarnaast bleek dat een andere ransomwaregroep, genaamd BlackCat (ALPHV), partners had opgelicht. De manier waarop RaaS-ontwikkelaars op de ontwikkelingen reageerden was verbijsterend, aldus de onderzoekers. In plaats van moeite te doen om het vertrouwen van partners te versterken, deden de ontwikkelaars juist het tegenovergestelde. Daardoor zijn veel van de partners gestopt of kijken naar het ontwikkelen van hun eigen ransomware. De onderzoekers keken ook naar de kwetsbaarheden die bij ransomware-aanvallen in het eerste kwartaal werden ingezet. Dan blijkt dat het vooral gaat om beveiligingslekken in vpn-producten van Cisco en NetScaler en ScreenConnect-installaties. Verder was de Akira-ransomware het meest actief in het eerste kwartaal. bron: https://www.security.nl

Honderdduizenden WordPress-sites zijn kwetsbaar voor aanvallen door een kritieke kwetsbaarheid in de Forminator-plug-in. Via de plug-in kunnen websites allerlei soorten webformulieren maken, zoals contactformulieren, polls, quizzen en betaalformulieren. Meer dan een half miljoen WordPress-sites maken gebruik van de plug--in. Die bevat echter een kritiek beveiligingslek waardoor een aanvaller gevaarlijke bestandstypes naar de webserver kan uploaden en uitvoeren. De impact van dit beveiligingslek (CVE-2024-28890) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC), dat voor de kwetsbaarheid waarschuwt, is het probleem aanwezig in alle versies van de plug-in voor versie 1.29.0. Deze versie verscheen eind januari. De ontwikkelaar maakt in de release notes echter geen melding van het oplossen van het probleem. Cijfers van WordPress.org laten zien dat zo'n 55 procent van de sites met Forminator gebruikmaakt van versie 1.29.0 of nieuwer, wat inhoudt dat een groot aantal nog kwetsbaar is. Als er wordt gekeken naar de dagelijkse downloads na het uitkomen van een nieuwe versie, dan blijkt dat zo'n tweehonderdduizend websites up-to-date zijn, waardoor het aantal kwetsbare sites nog veel groter zou zijn. bron: https://www.security.nl

Thunderbird krijgt in juli support voor Exchange, zo hebben de ontwikkelaars aangekondigd. Vooralsnog zal het eerst alleen om e-mail gaan en wordt ondersteuning van kalender en adresboek later toegevoegd. Het is voor het eerst in het 20-jarig bestaan van Thunderbird dat er een nieuw e-mailprotocol aan de e-mailclient wordt toegevoegd en dit is dan ook een hele onderneming. "Microsoft Exchange is een populaire e-maildienst voor bedrijven en onderwijsinstellingen, dus het is geen verrassing dat er onder Thunderbird-gebruikers vraag is naar support voor Exchange", aldus de ontwikkelaars. Op dit moment is het mogelijk om via een betaalde extensie Exchange-accounts via Thunderbird te beheren, maar het wordt niet standaard vanuit de software aangeboden. De ingebouwde support van het Exchange-protocol wordt mogelijk doordat Thunderbird ondersteuning van de Rust-programmeertaal krijgt. Door middel van een zogenoemd 'Rust crate' kan het Exchange-protocol straks binnen de e-mailclient worden gebruikt. Het ontwikkelteam heeft nu meer technische details gegeven over hoe ze de support voor het Microsoft Exchange Web Services e-mailprotocol binnen Thunderbird toevoegen. Daarbij wordt vooral het belang van Rust genoemd. "Thunderbird is een groot project beheerd door een klein team, dus het kiezen van een taal voor nieuwe zaken wordt niet zomaar gedaan. We hebben krachtige tools nodig om complexe features relatief snel te ontwikkelen, maar moeten dit balanceren met langetermijnbeheer. Het kiezen van Rust heeft verschillende belangrijke voordelen." De ontwikkelaars wijzen dan naar memory safety, prestaties, modulariteit en ecosysteem. bron: https://www.security.nl

Het Project Zero-team van Google heeft bij een onderzoek naar de Windows Registry vijftig kwetsbaarheden in de Windows-kernel gevonden die inmiddels door Microsoft zijn verholpen. Dat heeft onderzoeker Mateusz Jurczyk in een blogposting bekendgemaakt. In zo'n tachtig procent van de gevallen gaat het om beveiligingslekken waarmee een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. "In essentie is het register een hiërarchische database bestaande uit "keys" en "values", die door Windows en applicaties worden gebruikt om allerlei instellingen en configuratiedata op te slaan", aldus de onderzoeker. Het kernelgedeelte van het Windows-register is de afgelopen jaren flink gegroeid. Ging het bij Windows NT 4.0 nog om 10.000 regels code, dat is met Windows 11 naar zo'n 100.000 regels code gestegen. Jurczyk deed van mei 2022 tot en met december vorig jaar een uitgebreide audit van de Windows Registry, op zoek naar zogeheten 'local privilege escalation' bugs. Dat leverde zoals gezegd vijftig kwetsbaarheden op. Achttien daarvan waren er volgens de onderzoeker eenvoudig te misbruiken, tien hadden een gemiddelde moeilijkheidsgraad. Gemiddeld had Microsoft 81 dagen nodig om na de melding met een update te komen. Google geeft softwareontwikkelaars standaard negentig dagen de tijd om een kwetsbaarheid te verhelpen, anders maakt het de details openbaar. Volgens Jurczyk laat zijn onderzoek zien dat het register een zeer complex onderdeel van de Windows-kernel is, en één met veel potentie voor het vinden van interessante bugs. bron: https://www.security.nl

Wachtwoordmanager LastPass waarschuwt gebruikers voor een telefonische phishingaanval waarbij wordt geprobeerd om inloggegevens te stelen. De aanval begint met een telefoontje waarin wordt beweerd dat er vanaf een nieuw apparaat op het LastPass-account van de gebruiker is ingelogd. De gebruiker moet vervolgens een '1' indrukken om dit toe te staan of een '2' om de inlogpoging te blokkeren. Wanneer gebruikers op '2' drukken krijgen ze te horen dat een helpdeskmedewerker met hen contact op zal nemen. Deze 'medewerker' belt vanaf een gespooft telefoonnummer en zegt voor LastPass te werken. Vervolgens stuurt de 'medewerker' een e-mail waarmee gebruikers de toegang tot hun account zouden kunnen resetten. De link in deze e-mail wijst in werkelijkheid naar de phishingsite help-lastpass[.]com. Op deze site ingevoerde gegevens worden naar de aanvaller gestuurd. In het geval gebruikers hun master password op de phishingsite invoeren probeert de aanvaller op het LastPass-account in te loggen. Dan worden de instellingen binnen het account aangepast om te voorkomen dat de echte gebruiker kan inloggen. Zo kunnen telefoonnummer en e-mailadres door de aanvaller worden gewijzigd, alsmede het master password. LastPass adviseert gebruikers om meteen op te hangen als ze worden gebeld door iemand die zegt voor LastPass te werken. bron: https://www.security.nl

Vorig jaar was er een toename van de intensiteit, omvang en het technische niveau van spionagecampagnes door Chinese statelijke hackersgroepen, waarbij vooral 'edge devices' zoals vpn-apparatuur, routers en firewalls het doelwit waren, zo stelt de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) in het vandaag verschenen openbaar jaarverslag 2023. "In 2023 waren Nederlandse en bondgenootschappelijke (defensie) bedrijven en overheidsinstellingen veelvuldig doelwit van diverse Chinese cybereenheden", aldus de MIVD. Bij de aanvallen werd voornamelijk gezocht naar intellectueel eigendom, persoonsgegevens en voorkennis omtrent politiek-bestuurlijke beleid- en besluitvorming. "Het tempo van Chinese cyberoperaties op westerse doelwitten ligt hoog en Chinese inlichtingendiensten schroeven de capaciteiten om westerse doelwitten aan te vallen steeds verder op", zo laat de dienst weten. De MIVD merkt op dat Chinese statelijke hackersgroepen al geruime tijd grootschalige en persistente cyberspionagecampagnes uitvoeren tegen Nederlandse en bondgenootschappelijke belangen, maar er vorig jaar een toename zichtbaar was van de intensiteit, omvang en het technische niveau van deze cybercampagnes. Zo richten de aanvallen zich nadrukkelijk op edge devices zoals vpn-apparatuur. Worden bekendgemaakte kwetsbaarheden soms op de dag van de publicatie misbruikt en worden er steeds vaker zerodaylekken ingezet. Defensie werd vorig jaar zelf ook slachtoffer van Chinese statelijke hackers. Een aantal FortiGate-apparaten van Defensie werden met malware besmet. De MIVD meldt dat het vorig jaar voornamelijk grootschalige scanactiviteit waarnam gericht tegen kwetsbare systemen van een breed scala aan doelwitten, waaronder ABDO-bedrijven en defensieorganisaties. "Het patroon is dat aanvallers geautomatiseerde toegang proberen te verkrijgen tot netwerken van doelwitten en in een later stadium bepalen of deze access-posities relevant zijn voor China", aldus de dienst. Verder stelt de MIVD dat tientallen Chinese bedrijven offensieve cyberoperaties ondersteunen met kwetsbaarheden, malware, aanvalsinfrastructuur en specialistische soft- en hardware voor cyberaanvallen "De hoge mate van professionalisering en strategische clustering van Chinese hackerseenheden in combinatie met de samenwerking met Chinese (staats)bedrijven geven China hoogwaardige capaciteiten om aanvallen op Nederland en bongenoten uit te voeren." Ook dragen Chinese universiteiten bij aan de opbouw van offensieve capaciteiten, zo valt in het jaarverslag te lezen. bron: https://www.security.nl

Er is een toename van het aantal aanvallen waarbij misbruik wordt gemaakt van een zerodaylek in de firewalls van Palo Alto Networks, zo heeft het bedrijf bekendgemaakt. Daarnaast blijkt dat eerder gegeven mitigatie-advies niet meer effectief is en zijn er ook proof-of-concept exploits voor de kwetsbaarheid (CVE-2024-3400) online verschenen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. De kwetsbaarheid is aanwezig in PAN-OS, het besturingssysteem dat op de firewalls van Palo Alto Networks draait. Voor verschillende versies van PAN-OS is inmiddels een hotfix beschikbaar, maar nog zeker zeven versies wachten hierop. In de tussentijd kunnen organisaties die met deze versies werken (10.2.3-h13, 10.2.1-h2, 10.2.2-h5, 10.2.0-h3, 10.2.4-h16, 11.0.1-h4 en 11.0.0-h3) een mitigatie doorvoeren om aanvallen te voorkomen. In eerste instantie werd aangeraden om telemetrie op het apparaat uit te schakelen, maar dat is geen effectieve mitigatie meer, aldus Palo Alto Networks in een update van het beveiligingsbulletin. Daarin wordt ook meer informatie over de aanvallen gegeven, zoals hoe organisaties kunnen controleren of hun firewall is gecompromitteerd. Via het beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige code met rootrechten op de firewall uitvoeren. Aanvallers zouden zeker al sinds 26 maart misbruik van het lek maken. bron: https://www.security.nl

Oracle heeft tijdens de patchronde van april 441 patches uitgebracht voor een groot aantal kritieke kwetsbaarheden, onder andere in Oracle WebLogic Server, een product dat in het verleden geregeld is aangevallen. De 441 patches willen niet zeggen dat er 441 kwetsbaarheden zijn. Sommige kwetsbaarheden zijn in meerdere producten aanwezig waar aparte patches voor worden gemaakt. In het overzicht van beveiligingslekken staan meerdere kwetsbaarheden met een impactscore van 9.8 of 9.9 op een schaal van 10. Het gaat onder andere om Oracle Hospitality Simphony, Oracle Commerce Platform, Oracle Communications Network Integrity, Oracle Application Testing Suite, Oracle Enterprise Manager for Fusion Middleware, Oracle HTTP Server, Oracle Identity Manager, Oracle Internet Directory, Oracle Web Services Manager, Oracle Solaris Cluster en Oracle WebLogic Server. Via de kritieke beveiligingslekken kan een ongeauthenticeerde aanvaller kwetsbare systemen in het ergste geval op afstand overnemen. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. In het verleden zijn kwetsbaarheden in de software vaker het doelwit van aanvallen geweest. Meerdere keren werden WebLogic-lekken kort na het uitkomen van de patches misbruikt. Oracle zegt dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren. In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchronde staat gepland voor 16 juli. bron: https://www.security.nl

Er is een toename van bruteforce-aanvallen tegen vpn- en ssh-servers, zo waarschuwt Cisco vandaag, dat tevens een lijst met door de aanvallers gebruikte ip-adressen, wachtwoorden en gebruikersnamen heeft gepubliceerd. De aanvallen zijn onder andere gericht tegen vpn-oplossingen van Cisco zelf, alsmede Checkpoint, Fortinet en SonicWall. Daarnaast zijn ook RD Web Services en apparatuur van Miktrotik, Draytek en Ubiquiti doelwit. Bij de aanvallen proberen de aanvallers generieke gebruikersnamen en geldige gebruikersnamen voor bepaalde organisaties. De aanvallen lijken ongericht en hebben niet een specifieke regio of industrie als doelwit. Volgens Cisco zijn de aanvallen afkomstig van verschillende proxy-diensten en het Tor-netwerk. "Afhankelijk van de aangevallen omgeving, kunnen dit soort aanvallen wanneer succesvol leiden tot ongeautoriseerde netwerktoegang, lockouts van accounts of denial of service-omstandigheden", aldus Cisco. De netwerkgigant merkt op dat het verkeer van deze aanvallen de afgelopen tijd is toegenomen en waarschijnlijk zal blijven toenemen. bron: https://www.security.nl

Microsoft gaat de hoeveelheid bulkmail die via Exchange Online is te versturen beperken, zo heeft het techbedrijf aangekondigd. Vanaf januari 2025 zullen organisaties die van Exchange Online gebruikmaken berichten naar maximaal tweeduizend ontvangers per dag kunnen versturen. Op dit moment handhaaft Microsoft nog geen limiet voor bulkmail. Via de Recipient Rate (ERR) limiet wil Microsoft naar eigen zeggen 'oneerlijk gebruik' en misbruik van Exchange Online tegengaan. Exchange Online zal een limiet van maximaal tienduizend ontvangers gaan hanteren. De limiet van tweeduizend ontvangers binnen 24 uur zal een sub-limiet binnen deze limiet worden. Wanneer de grens van tweeduizend externe ontvangers binnen 24 uur niet wordt bereikt, kunnen er nog steeds berichten naar in totaal tienduizend ontvangers worden verstuurd. De nu aangekondigde limiet zal gefaseerd worden ingevoerd. Vanaf 1 januari geldt die voor cloud-hosted mailboxes van nieuwe klanten. Tussen juli en december 2025 wordt dit ook voor bestaande klanten doorgevoerd. Organisaties die meer mail willen versturen worden door Microsoft naar Azure Communication Services for Email verwezen. bron: https://www.security.nl

Cisco heeft klanten die gebruikmaken van de Duo-authenticatieoplossingen gewaarschuwd voor een datalek met MFA SMS-logbestanden. Duo, dat in 2018 voor een bedrag van 2,35 miljard dollar door Cisco werd overgenomen, biedt oplossingen voor het inloggen via multifactorauthenticatie (MFA). Een telecomprovider die Duo gebruikt voor het versturen van MFA-berichten via SMS en VoIP naar klanten is begin deze maand gecompromitteerd, waarbij de aanvaller toegang kreeg tot logbestanden. De aanvaller wist met inloggegevens van een medewerker van de telecomprovider toegang tot interne systemen te krijgen. Deze inloggegevens werden via een phishingaanval verkregen. Via de interne systemen van de provider kon de aanvaller de logbestanden downloaden. De logbestanden bevatten niet de inhoud van het verstuurde bericht, maar wel telefoonnummer, telecomprovider, land en staat waar elk bericht naar toe werd gestuurd, alsmede andere metadata. De niet nader genoemde provider zegt maatregelen te hebben genomen om herhaling in de toekomst te voorkomen. Naast technische maatregelen moeten medewerkers ook een aanvullende awareness-training over social engineering volgen. Duo roept aangeschreven managed serviceproviders op om hun klanten met getroffen gebruikers direct te waarschuwen en dat die alert moet zijn op mogelijke social engineering-aanvallen die kunnen volgen. Het bericht van Cisco Duo werd gedeeld op Reddit in een subreddit van managed serviceproviders (MSP's). Meerdere deelnemers aan deze subreddit laten weten dat ze het bericht hebben ontvangen. Duo biedt een MSP-programma waarbij deze bedrijven de authenticatieoplossingen voor hun klanten kunnen gebruiken. bron: https://www.security.nl

Vanaf 29 april mogen fabrikanten in het Verenigd Koninkrijk geen Internet of Things (IoT) apparaten meer aanbieden met standaard wachtwoorden. Ook moeten ze dan laten weten hoelang ze het apparaat van beveiligingsupdates voorzien en een aanspreekpunt hebben waar kwetsbaarheden kunnen worden gemeld. De eisen zijn onderdeel van de Product Security and Telecommunications Infrastructure wetgeving die over twee weken van kracht wordt in het VK. Het Britse National Cyber Security Centre (NCSC) heeft nu een poster ontwikkeld die in winkels gehangen kan worden en klanten uitlegt waarom het belangrijk is om cyberveilige producten te kiezen (pdf). De Britse overheidsinstantie roept alle winkels op om de poster te printen en op te hangen. Verder worden gebruikers van IoT-apparaten opgeroepen om de standaard instellingen van apparatuur te controleren en waar nodig te wijzigen, en de laatste updates te installeren. bron: https://www.security.nl

Duizenden kwetsbare NAS-systemen van fabrikant D-Link zijn vanaf internet bereikbaar en lopen het risico om door kwaadwillenden te worden overgenomen. De apparaten zijn end-of-life en zullen daardoor geen updates meer ontvangen. Aanvallers maken inmiddels actief misbruik van de problemen met de NAS-systemen. In eerste instantie meldde D-Link dat vier modellen kwetsbaar zijn, maar dat zijn er twintig. "De gerapporteerde kwetsbaarheden betreffen command injection en een backdoor-account voor de webinterface waardoor een malafide gebruiker misbruik van de apparaten kan maken", aldus D-Link in een vandaag gepubliceerde update van het beveiligingsbulletin. Eerder deze week werd nog aangekondigd dat 92.000 kwetsbare NAS-systemen op internet zijn te vinden, maar dat zijn er volgens securitybedrijf Censys veel minder, namelijk 3700. Bij meer dan 350 van deze apparaten staat remote access ingeschakeld en een kleine tweehonderd beschikken over een VoIP-functionaliteit. De meeste NAS-systemen werden gevonden in de Verenigde Staten, Rusland, Italië, Duitsland en Frankrijk. Zowel D-Link als de Amerikaanse overheid roepen eigenaren op om de apparaten door een nieuw NAS-systeem te vervangen. bron: https://www.security.nl

De op privacygerichte zoekmachine DuckDuckGo heeft vandaag een eigen vpn-dienst, dataverwijdertool en id-fraudehulp gelanceerd. De drie diensten zijn onderdeel van één abonnement dat tien dollar per maand of 99 dollar per jaar kost. Op dit moment is DuckDuckGo Privacy Pro alleen beschikbaar in de Verenigde Staten, maar het is de bedoeling om het abonnement in de toekomst in andere regio's aan te bieden. DuckDuckGo laat weten dat het de vpn-dienst zelf heeft ontwikkeld en beheert. "We houden geen logs van je vpn-activiteiten bij. Dit houdt in dat we niet in staat zijn om wat je met de DuckDuckGo VPN doet aan jou als individu te koppelen - of aan iets anders dat je op DuckDuckGo doet, zoals zoeken." Op dit moment zijn er vpn-servers in de VS, Canada en Europa beschikbaar. De vpn-dienst maakt gebruik van het WireGuard-protocol en dns-verzoeken gaan automatisch via de vpn naar dns-servers van DuckDuckGo zelf. Het tweede deel van het abonnement betreft 'Personal Information Removal' waarmee gebruikers hun persoonlijke informatie bij datahandelaren en personenzoekmachines kunnen laten verwijderen. Dan is er nog de 'Identity Theft Restoration' dienst. Slachtoffers van identiteitsfraude kunnen daarmee hun kredietscore laten herstellen, identiteitsdocumenten opnieuw aanvragen en bij het betwisten van frauduleuze transacties ondersteuning krijgen. Eerder deze week stelde DuckDuckGo nog dat online privacy niet iets is voor mensen die iets te verbergen hebben, maar een mensenrecht. bron: https://www.security.nl

Microsoft gaat de oorzaak van kwetsbaarheden in de eigen producten voortaan via de CWE-standaard beschrijven. CWE staat voor Common Weakness Enumeration en is een industriestandaard waarmee de onderliggende oorzaak van een kwetsbaarheid wordt beschreven zoals bijvoorbeeld 'verkeerde invoervalidatie', 'gebruik van hard-coded credentials' of 'verkeerde authenticatie'. Volgens Microsoft moet het gebruik van de CWE-standaard binnen de eigen beveiligingsbulletins voor betere discussies zorgen over het vinden en voorkomen van dergelijke kwetsbaarheden in bestaande software en hardware, en ze ook in toekomstige updates en releases zoveel mogelijk te beperken. "Als industrie kunnen we niet managen wat we niet kunnen meten. Door onze eigen kwetsbaarheden van nauwkeurige CWE's te voorzien, alsmede sectorgenoten op te roepen hetzelfde te doen, is de sleutel tot het systematisch begrijpen, verhelpen en neutraliseren van gehele klasse kwetsbaarheden", aldus Microsofts Lisa Olson. bron: https://www.security.nl

Tijdens de patchcyclus van april heeft Microsoft 147 kwetsbaarheden verholpen, waaronder twee actief aangevallen zerodaylekken in Windows. De eerste zeroday (CVE-2024-29988) bevindt zich in SmartScreen. Dit is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het zerodaylek zorgt ervoor dat de waarschuwing niet verschijnt. In het beveiligingsbulletin staat dat de kwetsbaarheid niet wordt misbruikt, maar tegenover securitybedrijf ZDI laat Microsoft weten dat dit wel het geval is. De tweede zeroday (CVE-2024-26234) wordt door Microsoft omschreven als een 'proxy driver spoofing vulnerability'. Dit beveiligingslek werd gebruikt om een malafide driver gesigneerd te krijgen via een geldig Microsoft Hardware Publisher Certificate, zo meldt antivirusbedrijf Sophos dat de kwetsbaarheid ontdekte en bij Microsoft rapporteerde. Het betreffende certificaat is inmiddels ingetrokken. Drie andere kwetsbaarheden die volgens het ZDI de aandacht verdienen zijn een spoofinglek in Outlook waardoor NTLM-hashes zijn te stelen, een remote code execution-lek in Windows DNS Server en een kwetsbaarheid in Remote Procedure Call (RPC) waardoor remote code execution voor een geauthenticeerde aanvaller mogelijk is. Volgens ZDI zijn zo'n 1,3 miljoen systemen op internet te vinden waarbij TCP-poort 135 benaderbaar is en daardoor risico op aanvallen via het RPC-lek lopen. De updates van Microsoft worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Netwerkfabrikant Fortinet waarschuwt voor een kwetsbaarheid in FortiOS en FortiProxy waardoor een aanvaller de cookies van administrators kunnen stelen. Er zijn updates uitgebracht om het probleem te verhelpen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. Het beveiligingslek, aangeduid als CVE-2023-41677, wordt door Fortinet omschreven als een 'insufficiently protected credentials' kwetsbaarheid. Om de cookies te kunnen stelen zou een aanvaller een administrator eerst een malafide website moeten laten bezoeken via de vpn. Met de gestolen cookies kan een aanvaller vervolgens ongeautoriseerde code of commando's op het systeem uitvoeren. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. bron: https://www.security.nl

Duizenden WordPress-sites kunnen door kwaadwillenden op afstand worden overgenomen omdat ze updates voor kritieke kwetsbaarheden niet hebben geïnstalleerd. De websites in kwestie maken gebruik van een plug-in genaamd MasterStudy, waarmee WordPress-sites zijn om te vormen tot een 'learning management system' (LMS). De plug-in is op meer dan tienduizend websites actief en wordt vooral gebruikt door online coaches, trainers en andere websites die zich met elearning bezighouden. De eerste kritieke kwetsbaarheid (CVE-2024-2409) maakt het mogelijk voor een ongeauthenticeerde aanvaller om zichzelf tijdens de registratie, door de user metadata aan te passen, beheerder van de website te maken. Via het tweede en derde beveiligingslek (CVE-2024-2411 en CVE-2024-3136) kan een ongeauthenticeerde aanvaller PHP-bestanden uploaden en zo willekeurige bestanden op de server uitvoeren. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8, zo meldt securitybedrijf Wordfence. De problemen zijn via drie beveiligingsupdates verholpen, waarvan de laatste op 4 april verscheen. Uit cijfers van WordPress.org blijkt echter dat nog duizenden websites de updates niet geïnstalleerd hebben en daardoor risico lopen om te worden aangevallen. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS heeft bij de presentatie van het jaaroverzicht 2023 opnieuw gewaarschuwd voor Europese plannen om chatberichten van Europese burgers te controleren, wat tot 'onomkeerbare surveillance' kan leiden (pdf). Al in 2022 sloeg de EDPS alarm over het voorstel van de Europese Commissie om de communicatie van burgers te controleren, als maatregel om kindermisbruik tegen te gaan. Begin 2022 kwam de Europese Commissie met een voorstel om alle chatberichten en ander verkeer van burgers te inspecteren. In het geval van end-to-end versleutelde chatdiensten zou dit via client-side scanning moeten plaatsvinden, waarbij alle berichten van alle burgers zouden worden gecontroleerd. Eind vorig jaar bleek dat het Europees Parlement tegen het voorstel van de Europese Commissie is en kwam met een eigen voorstel. De Europese lidstaten hebben nog geen gezamenlijke positie ingenomen en die is er nog altijd niet. Onlangs kwam de Raad Justitie en Binnenlandse Zaken (JBZ) bijeen, waarbij ook de CSAM-verordening aan bod kwam. EU-voorzitter België presenteerde toen een nieuw tekstvoorstel over de CSAM-verordening. Daarbij zou er een 'meer proportionele' aanpak worden gekozen, maar volgens critici is dat niet het geval en loopt de vertrouwelijkheid van communicatie nog steeds gevaar. Vorig jaar organiseerde de EDPS een seminar over het 'Brusselse scanplan'. "Ik sprak uit de volle overtuiging dat het CSAM-voorstel het internet en digitale communicatie zoals we die kennen fundamenteel zou veranderen, en een omslagpunt zou bereiken waarvan geen weg terug is", aldus EDPS-voorzitter Wojciech Wiewiorowski tijdens zijn presentatie aan een commissie van het Europees Parlement (pdf). bron: https://www.security.nl

Aanvallers maken actief misbruik van een backdoor en een kwetsbaarheid in zeker 92.000 NAS-systemen van fabrikant D-Link. De kwetsbare apparaten zijn end-of-life en ontvangen geen beveiligingsupdates meer. Zowel D-Link als securitybedrijven roepen gebruikers op om de NAS-systemen offline te halen. Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot remote code execution (RCE). Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen. "We zien vanaf meerdere ip-adressen scans/exploits voor CVE-2024-3273 (kwetsbaarheid in end-of-life D-Link NAS-systemen). Het gaat om een combinatie van een backdoor en command injection om RCE mogelijk te maken", aldus de Shadowserver Foundation op X. Dit is een organisatie die zich met de bestrijding van botnets en cybercrime bezighoudt. "Aangezien er geen patch voor deze kwetsbaarheid beschikbaar is, moeten deze apparaten worden vervangen/offline gehaald, en minimaal hun remote toegang achter een firewall hebben zitten." "Actief misbruik van een remote code execution-kwetsbaarheid in D-Link NAS-systemen, raakt minstens 92.000 apparaten", laat securitybedrijf GreyNoise weten. Volgens het bedrijf worden de aanvallen uitgevoerd door een botnet waarbij wordt geprobeerd om de NAS-systemen met malware te infecteren. GreyNoise roept eigenaren van een kwetsbaar NAS-systeem op om in ieder geval hun UPnP-configuratie te controleren. bron: https://www.security.nl

De onlangs gevonden backdoor in datacompressietool XZ maakt niet alleen remote code execution mogelijk, maar ook een volledige authenticatie bypass waardoor een aanvaller met elk willekeurig wachtwoord op een systeem kan inloggen, zo stelt de Nederlandse beveiligingsonderzoeker Peter “blasty” Geissler op basis van eigen onderzoek. Volgens Geissler heeft de maker van de backdoor uitgebreide kennis van OpenSSH. Veel details over de backdoor zijn nog altijd onbekend, zoals de exacte werking en wie verantwoordelijk is. Lasse Collin, de maker van XZ, meldde vorige week dat hij een eigen onderzoek naar de backdoor zal uitvoeren. Het enige dat Collin sindsdien heeft gemeld zijn mogelijke plannen voor XZ wat betreft recent doorgevoerde commits aan de code en het gebruik van een nieuw versienummer. Verschillende onderzoekers hebben echter al wel hun bevindingen gedeeld, waaronder Geissler. Hij meldt via X dat hij een wat lastiger te activeren functionaliteit van de backdoor heeft gevonden, maar er nog meer te verkennen is. Daarbij is het via de backdoor mogelijk om de authenticatie volledig te omzeilen en met elk willekeurig wachtwoord in te loggen. "Wie dit heeft ontworpen heeft zich behoorlijke in de openSSH(d) internals verdiept", aldus Geissler. Er is inmiddels ook een Wikipedia-pagina waarin de werking van de backdoor wordt beschreven. bron: https://www.security.nl

Netwerkfabrikant D-Link waarschuwt voor een backdoor-account in niet meer ondersteunde NAS-systemen, waardoor aanvallers de apparaten op afstand kunnen aanvallen. Volgens een beveiligingsonderzoeker zijn meer dan 92.000 kwetsbare NAS-systemen op internet te vinden. Aangezien de apparaten geen patches meer ontvangen adviseert D-Link die niet meer te gebruiken en door een nieuwe NAS te vervangen. Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service. D-Link stelt dat de betreffende NAS-systemen end-of-life zijn en niet meer worden ondersteund. Gebruikers worden dan ook opgeroepen deze apparaten niet meer te gebruiken en te vervangen door nog wel ondersteunde apparatuur. Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen. Volgens een onderzoek met het alias 'NetworkSecurityFish' zijn echter meer dan 92.000 kwetsbare NAS-systemen vanaf het internet bereikbaar. bron: https://www.security.nl

De populaire broncode- en teksteditor Notepad++ heeft gebruikers om hulp gevraagd bij het offline halen van een 'parasitaire website'. Het gaat om de website 'notepad.plus' die zich in de kleine letters onderaan de pagina omschrijft als een 'onofficiële fan website'. Volgens Don Ho, maker van Notepad++, denken sommige gebruikers ten onrechte dat notepad.plus de officiële website van Notepad++ is. "Deze website heeft een verborgen agenda. Het zit op elke pagina vol malafide advertenties. Deze advertenties proberen nietsvermoedende Notepad++-gebruikers te laten klikken, wat geld voor de eigenaren van de site oplevert", aldus Ho. Volgens de ontwikkelaar heeft notepad.plus als doel om verkeer van de legitieme Notepad++-website weg te leiden, wat de veiligheid van gebruikers in gevaar brengt en de integriteit van de community ondermijnt. Ho roept gebruikers dan ook op om de site als schadelijke website bij Google te rapporteren. De oproep lijkt succesvol, want notepad.plus is niet meer bereikbaar. bron: https://www.security.nl