Captain Kirk

Het populaire gamingplatform Steam is, zoals begin vorig jaar al werd aangekondigd, nu officieel gestopt met de ondersteuning van Windows 7, Windows 8 en Windows 8.1. De Steamversie voor deze Windowsversies ontvangt geen updates meer en ook is er geen technische ondersteuning meer beschikbaar. Steam-ontwikkelaar Valve adviseert gebruikers om te updaten naar een nieuwere Windowsversie. Steam zal vooralsnog op Windows 7, 8 en 8.1 blijven werken, maar er worden geen garanties gegeven dat dit zo zal blijven. Mocht Steam stoppen met werken, dan kunnen gebruikers hun gekochte games niet meer gebruiken. De drie besturingssystemen hebben bij elkaar op dit moment nog een aandeel van bijna één procent. Het grootste deel van de Steamgebruikers maakt gebruik van Windows 10. Steam zou maandelijks 132 miljoen actieve gebruikers hebben. bron: https://www.security.nl

E-mailadressen zijn geen goede permanente identifiers voor accounts, zo stelt Chris Siebenmann van de Universiteit van Toronto. Veel organisaties maken gebruik van e-mailadressen als interne identificatie voor accounts. Volgens Siebenmann zijn er twee problemen met deze aanpak. E-mailadressen van personen kunnen veranderen, zelfs binnen een organisatie. Daarnaast bestaat er de mogelijkheid dat organisaties e-mailadressen hergebruiken. "Soms heb je geen keus, omdat account recovery via het bekende e-mailadres moet gaan, maar in andere gevallen heb je een vorm van interne ID die uniek en permanent zou moeten zijn, en die moet je gebruiken", aldus Siebenmann. Zelfs wanneer e-mailadressen voor accountherstel worden gebruikt, zou de interne identifier die de organisatie voor accounts gebruikt betekenisloos moeten zijn. "Dit maakt je leven op de lange termijn een stuk eenvoudiger, zelfs als het nooit aan mensen wordt getoond." Het pleidooi van Siebenmann zorgde voor honderden reacties op Hacker News. In één van de reacties wordt gesteld dat er geen goede identiteit is. "E-mailadressen veranderen, mensen verliezen toegang tot oude e-mailadressen. Mensen houden niet van gebruikersnamen, ze willen niet-unieke gebruikersnamen kunnen kiezen in plaats van iets als user53267 te gebruiken. Mensen verliezen toegang tot apparaten, alleen het opslaan van een geheim UUID in hun cookie, of het gebruik van een passkey van hun apparaat gaat niet werken. Er is geen ideale oplossing, behalve het combineren van verschillende dingen." bron: https://www.security.nl

Criminelen hebben een manier gevonden waardoor ze via gegevens die van een besmette computer zijn gestolen op Google-accounts kunnen inloggen, ook al heeft de eigenaar het wachtwoord inmiddels aangepast. Google is over de methode ingelicht, maar doet niets om het probleem te verhelpen, zo melden securitybedrijven Hudson Rock en CloudSek in twee blogposting en YouTube-video. Er zijn allerlei malware-exemplaren die inloggegevens zoals wachtwoorden en cookies van besmette computers stelen. Gebruikers wordt in dergelijke scenario's aangeraden om na ontdekking van de malware die eerst te verwijderen en dan voor alle accounts een nieuw wachtwoord in te stellen. De makers van de Lumma-malware, een infostealer die allerlei inloggegevens steelt, hebben echter een manier gevonden waardoor ze ook na een dergelijke wachtwoordreset nog steeds toegang tot accounts hebben. Hiervoor moet de malware, voordat die verwijderd wordt, eerst tokens en account-ID's uit Google Chrome zien te stelen. Met de gestolen gegevens is het mogelijk om Google-servicecookies opnieuw te genereren en daarmee toegang tot het account van het slachtoffer te krijgen, ook al heeft die in de tussentijd zijn wachtwoord gewijzigd. Inmiddels maken meerdere malware-exemplaren gebruik van deze methode. "Google-cookies die niet verlopen en zelfs werken wanneer het accountwachtwoord is gewijzigd, een gigantisch voordeel voor cybercriminelen en Google doet niets", zegt Alon Gal van Hudson Rock, die stelt dat hij Google al in oktober heeft gewaarschuwd. bron: https://www.security.nl

Maar hé, jaren 70. Dat is nogal een bepalend jaar voor de muziek geweest. Moody Blues, Eagels, Led Zeppelin....En dan alle zeezenders: Mia Migo, Noordzee, Caroline, Veronica. Samen met de jaren tachtig toch de betere muziekperiode...of ik ben ook oud.... 🤣 Draai niet voor niets geregeld muziek uit deze periode op mijn stationnetje.

Certificaatautoriteit Let's Encrypt voorziet inmiddels meer dan 377 miljoen websites van een gratis tls-certificaat, ruim 55 miljoen meer dan een jaar geleden. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG), een non-profitorganisatie die honderd procent afhankelijk van donaties is, en heeft een volledig versleuteld web als doel. Dagelijks geeft Let's Encrypt, dat uit 27 medewerkers bestaat, drie miljoen certificaten uit, die websites gebruiken voor het opzetten van een versleutelde verbinding met gebruikers. Een jaar geleden waren dat er nog 2,5 miljoen. Volgens Sarah Gran,vicepresident van het ISRG, was Let's Encrypt een 'game changer' voor internetveiligheid. Websites kunnen via de certificaatautoriteit kosteloos, geautomatiseerd en van een betrouwbare partij een tls-certificaat verkrijgen. De certificaten van Let's Encrypt zijn geldig voor een periode van negentig dagen, maar dat zal volgend jaar een stuk korter worden. Let's Encrypt is van plan om certificaten maximaal tien dagen geldig te laten zijn, wat de impact van gecompromitteerde private keys van het certificaat moet verminderen, aldus Gran. bron: https://www.security.nl

Microsoft heeft besloten om het App Installer-protocol in Windows wegens misbruik standaard uit te schakelen. Volgens het techbedrijf maken cybercriminelen er gebruik van om gebruikers en organisaties met malware te infecteren. Via het protocol zijn Windows-apps vanaf een webpagina te installeren. Gebruikers kunnen op deze manier eenvoudig de installatie van de betreffende software uitvoeren. Twee jaar geleden verhielp Microsoft als een zerodaylek in het protocol. Destijds konden criminelen de getoonde softwareleverancier spoofen, waardoor het voor gebruikers leek alsof ze software van bekende leveranciers zoals Adobe en Microsoft installeerden, terwijl het in werkelijkheid om malware ging. Bij de nu waargenomen aanvallen is dat niet het geval en wordt de naam van een onbekende softwareleverancier getoond. Gebruikers worden bijvoorbeeld via phishingaanvallen verleid om Zoom of Adobe PDF Reader te installeren, maar het gaat hier om malware waarmee verdere aanvallen worden uitgevoerd. De aanvallen zijn het werk van criminele organisaties die zich onder andere met bankfraude en ransomware bezighouden, aldus Microsoft. Om het waargenomen misbruik tegen te gaan is nu besloten het protocol in Windows standaard uit te schakelen. Daarnaast kunnen het beheerders het ook via een group policy binnen hun organisatie uitschakelen of inschakelen. bron: https://www.security.nl

Een volledig versleuteld web is dichtbij, maar de groei van het aantal HTTPS-sites stagneert. Volgens Google wordt 95 procent van de websites inmiddels via HTTPS geladen, terwijl Firefox dit op 80 procent houdt. Eind 2019 meldde Firefox al een zelfde percentage. Volgens de Amerikaanse burgerrechtenbeweging EFF zijn er verschillende redenen waarom nog altijd vijf tot twintig procent van de websites via het onversleutelde HTTP wordt geladen. Sommige websites zijn oud en worden niet meer beheerd. Een klein percentage van de websites heeft opzettelijk besloten om alleen via HTTP toegankelijk te zijn. Verder ondersteunen sommige mobiele ecosystemen geen 'HTTPS by default' en wordt als laatste gewezen naar toegankelijkheidsobstakels voor het verkrijgen van TLS-certificaten gebruikt voor HTTPS. De EFF hekelt ook de manier waarop sommige mobiele apparaten met webverkeer omgaan. "Te vaak versturen mobiele apps onversleutelde data." De Amerikaanse burgerrechtenbeweging, die aan de wieg stond van de HTTPS Everywhere-extensie voor browsers, ziet dan ook het standaard gebruik van HTTPS door mobiele apps als het volgende strijdgebied. Toch stelt de EFF dat een volledig versleuteld web uiteindelijk haalbaar is. bron: https://www.security.nl

Aanvallers hebben misbruik gemaakt van een zerodaylek in een opensource-library voor het verwerken van Excel-bestanden om Barracuda Email Security Gateways met malware te infecteren. Het gaat om de library Spreadsheet::ParseExcel. Barracuda heeft een update uitgebracht om gateways te beschermen, maar de kwetsbaarheid in Spreadsheet::ParseExcel is nog altijd niet opgelost en producten die van de library gebruikmaken zijn dan ook kwetsbaar. De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. De Amavis-virusscanner die op de gateway draait maakt gebruik van Spreadsheet::ParseExcel voor het scannen van Excel-bijlagen die via e-mail worden verstuurd. Een kwetsbaarheid in de library maakt het mogelijk voor een aanvaller om door middel van een malafide Excel-bijlage willekeurige code op de gateway uit te voeren. Aanvallers hebben de kwetsbaarheid gebruikt om Barracuda Gateways met twee backdoors te infecteren om zo toegang tot de apparaten te behouden. Barracuda en securitybedrijf Mandiant claimen dat de zeroday-aanvallen zijn uitgevoerd door een vanuit China opererende groep. Op 21 december kwam Barracuda met een update om de kwetsbaarheid in de eigen implementatie (CVE-2023-7102) van de library te verhelpen, gevolgd met een update op 22 december om getroffen gateways op te schonen. Het beveiligingslek in Spreadsheet::ParseExcel (CVE-2023-7101) is nog altijd aanwezig en organisaties die hiervan gebruikmaken, of met producten werken die van de library afhankelijk zijn, worden opgeroepen om maatregelen te treffen. De Australische overheid heeft inmiddels een waarschuwing afgegeven. bron: https://www.security.nl

Helemaal prima. Neem rustig de tijd en bij vragen weet je ons te vinden. Prettige feestdagen

Ik neem aan dat je zelf dit ook al hebt bekeken, zo niet, wie weet laten ze hier nog iets zien wat je nog niet geprobeerd hebt: TP-Link RE365 Wi-Fi AC1200 Range Extender

Een leuk puzzelproject. Hier kan van alles aan de hand zijn. Dus het zal vooral try and error worden om hem weer aan de praat te krijgen. Krijg je helemaal niets te zien, ook geen biosopties?

Beste Armajail. Heeft de hulp van Eddy X je probleem opgelost? Dan kunnen we namelijk dit topic op slot zetten.

Ik zou het advies van Kape volgen. Op mijn werk werken we niet anders en dat gaat heel goed. En anders zou je ook nog kunnen overwegen om een deel van je eigen One-drive of Google-drive te delen.

Ook ik wens iedereen een paar mooie en gezellige dagen en alvast een voorspoedig 2024. En mocht je voor de feestdagen nog een leuk radiostation zoeken: zondag 24 december zet ik de speciale kerstuitzending van mijn internetstation online: Just Your Music Station

Gelukkig staan ze bij mij nog niet met het pistool klaar, maar het is in zekere zin wel herkenbaar. In de meer dan 30 jaar dat ik nu voor de klas sta is de mentaliteit van met name ouders (sta in het basisonderwijs) niet altijd ten goede meegegroeid.

Instagram-gebruikers zijn het doelwit van een phishingaanval, waarbij wordt geprobeerd hun back-upcodes te stelen zodat aanvallers de tweefactorauthenticatie (2FA) kunnen omzeilen, zo meldt securitybedrijf Trustwave. Instagram biedt gebruikers de optie om hun account door middel van 2FA te beveiligen. In het geval gebruikers de vereiste 2FA-code niet kunnen genereren, bijvoorbeeld omdat ze hun telefoon kwijt zijn, kan er door middel van een back-upcode toch toegang tot het account worden verkregen.Back-upcodes bestaan uit acht cijfers en zijn eenmalig te gebruiken. Gebruikers kunnen wanneer ze op hun account zijn ingelogd een nieuwe lijst met codes genereren. De phishingmails die de aanvallers versturen stellen dat er copyrightklachten over het account van de gebruiker zijn binnengekomen. De link naar het 'bezwaarformulier' wijst echter naar een phishingsite. De website vraagt gebruikers om hun inloggegevens, alsmede of ze voor hun account 2FA hebben ingeschakeld. Als de gebruiker hier bevestigend op antwoordt vraagt de phishingsite om een back-upcode, gevolgd door het telefoonnummer en e-mailadres. "Er zijn zoveel manieren om op Instagram in te loggen en cybercriminelen maken hier misbruik van", aldus Trustwave. bron: https://www.security.nl

Google heeft voor de achtste keer dit jaar een actief aangevallen zeroday-kwetsbaarheid in Chrome verholpen. Het beveiliigignslek, aangeduid als CVE-2023-7024, bevindt zich in het WebRTC-onderdeel van Chrome, dat browsers van Real-Time Communicatie (RTC) voorziet, zoals online video. De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Drie weken geleden kwam Google ook al met een update voor een zeroday die door deze groep was ontdekt. Google Chrome 120.0.6099.129/130 is beschikbaar voor Windows, voor Linux en macOS is versie 120.0.6099.129 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

De FBI heeft een decryptietool ontwikkeld waarmee honderden slachtoffers van de ALPHV/BlackCat-ransomware hun bestanden kunnen terugkrijgen. Dat meldt het Amerikaanse ministerie van Justitie. Eerder vandaag werd al bekend dat de Amerikaanse opsporingsdienst in samenwerking met andere politiediensten de oude website van de ransomwaregroep in beslag heeft genomen. Volgens het ministerie van Justitie is de ALPHV-groep de op één na meest actieve ransomwaregroep van de afgelopen anderhalf jaar, waarbij het zich baseert op de 'honderden miljoenen dollars' die slachtoffers betaalden. De groep hanteert een 'ransomware-as-a-service' (RaaS) model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De Amerikaanse autoriteiten claimen dat de ALPHV-groep wereldwijd meer dan duizend slachtoffers heeft gemaakt. Tijdens het onderzoek naar de criminelen kreeg de FBI naar eigen zeggen zichtbaarheid in het netwerk van de criminelen, waarbij het 946 public/private key paren voor de door ALHPV gebruikte Tor-sites in handen kreeg. De ransomwaregroep maakt voor elk slachtoffer een aparte Tor-site aan om te communiceren en onderhandelen. De FBI heeft ook een decryptietool ontwikkeld waarmee meer dan vijfhonderd slachtoffers hun systemen kunnen herstellen, zo laat het ministerie verder weten. Hoe de dienst deze tool kon ontwikkelen is niet bekendgemaakt. Daarnaast is er een beloning uitgeloofd voor informatie over personen die achter de groep zitten. Het gaat om een beloning tot 10 miljoen dollar. bron: https://www.security.nl

Een kwetsbaarheid in de interpretatie van het SMTP-protocol maakt het mogelijk om vanaf allerlei domeinen gespoofte e-mails te versturen en zo phishingaanvallen uit te voeren. Daarvoor waarschuwt securitybedrijf SEC Consult, dat de gebruikte methode 'SMTP smuggling' noemt. Het Simple Mail Transfer Protocol (SMTP) is een protocol voor het versturen van e-mail dat sinds 1980 wordt gebruikt. Bij een SMTP-sessie worden eerst verschillende commando's tussen de SMTP-servers uitgewisseld, gevolgd door de inhoud van het e-mailbericht, waarna de sessie wordt gesloten. SMTP-smuggling maakt misbruik van 'interpretatieverschillen' waar de berichtdata van de e-mail eindigt. Zo kan een aanvaller via de berichtdata, die door een kwetsbare SMTP-server verkeerd wordt geïnterpreteerd, SMTP-commando's uitvoeren en via de kwetsbare server aparte e-mails versturen. De onderzoekers ontdekten dat SMTP smuggling werkte tegen onder andere e-mailprovider GMX en Exchange Online. Zo was het mogelijk om gespoofte e-mails vanaf miljoenen domeinen naar miljoenen ontvangende SMTP-servers te versturen. GMX en Microsoft hebben het probleem inmiddels verholpen. Het probleem is ook vastgesteld in de Cisco Secure Email Gateway en cloud-gebaseerde Cisco Secure Email Cloud Gateway. Deze oplossing zijn nog kwetsbaar en SEC Consult adviseert bedrijven die van Cisco's mailproducten gebruikmaken om hun kwetsbare standaardconfiguratie aan te passen. De onderzoekers hebben een analysetool gemaakt waarmee organisaties kunnen kijken of ze kwetsbaar zijn, maar zullen die pas op een later moment openbaar maken. bron: https://www.security.nl

De Europese Commissie is een onderzoek gestart naar X wegens het mogelijk overtreden van de Digital Service Act (DSA). Het gaat dan om zaken als risicomanagement, modereren van content, gebruik van 'dark patterns', transparantie over advertenties en datatoegang voor onderzoekers. Onlangs werd er bij de Europese privacytoezichthouder nog een klacht tegen de Europese Commissie ingediend vanwege de manier waarop het X gebruikte om gerichte advertenties te tonen voor het invoeren van client-side scanning. Brussel noemt vier gebieden waarop het onderzoek zich richt. Het gaat dan om de aanpak van "illegale content", de genomen maatregelen om "informatiemanipulatie" tegen te gaan, de toegang tot gegevens door onderzoekers en een mogelijk misleidend ontwerp in de gebruikersinterface, met betrekking tot bepaalde abonnementsdiensten, de zogenoemde 'blauwe badges'. Het is voor het eerst dat de Europese Commissie een formeel onderzoek naar het overtreden van de DSA door een bedrijf start. Voor het overtreden van de DSA kan Brussel een boete opleggen die zes procent van de wereldwijde omzet bedraagt. In een reactie tegenover TechCrunch laat X weten dat het zich inzet om aan de Digital Service Act te voldoen en meewerkt met regelgeving. "Het is belangrijk dat dit proces vrij blijft van politieke invloed en de wet volgt. X richt zich op het creeren van een veilige en inclusieve omgeving voor alle gebruikers op ons platform, terwijl tegelijkertijd de vrijheid van meningsuiting wordt beschermd", aldus een woordvoerder. De DSA is april vorig jaar aangenomen door de Europese Unie en geldt sinds augustus voor de negentien allergrootste digitale diensten die gemiddeld meer dan 45 miljoen actieve gebruikers per maand hebben. Daar vallen onder meer socialmediaplatforms Facebook, Instagram en X onder, maar ook de zoekmachines van Bing en Google en de Apple App Store en Google Play Store. Ook Booking.com, Aliexpress en Snapchat moeten aan de DSA voldoen omdat zij (juridisch) vanuit Nederland in Europa opereren. bron: https://www.security.nl

Criminelen hebben een zerodaylek gebruikt om QNAP VioStor NVR-apparaten onderdeel van een botnet te maken dat ddos-aanvallen uitvoert. QNAP kwam op 9 december met een waarschuwing voor de kwetsbaarheid, die daarvoor al werd misbruikt. Dat laat internetbedrijf Akamai in een analyse weten. Via het beveiligingslek is command injection mogelijk, waardoor een aanvaller op afstand commando's op kwetsbare apparaten kan uitvoeren. QNAP VioStor NVR is een netwerksurveillance-oplossing voor het monitoren van ip-camera's, waaronder video-opnames, bekijken van beelden en remote toegang tot data. Volgens QNAP is de kwetsbaarheid (CVE-2023-47565) aanwezig in legacy QNAP VioStor NVR-modellen die QVR firmware 4.x draaien. Bij de waargenomen aanvallen versturen de aanvallers een speciaal geprepareerd request dat gebruikmaakt van het standaard wachtwoord van de VioStor. Vervolgens wordt zo malware op het apparaat geïnstalleerd. QNAP stelt dat het de kwetsbaarheid al op 21 juni 2014 in versie 5.0.0 van de QVR-firmware heeft verholpen en adviseert gebruikers naar deze versie te updaten. Het bestaan van het beveiligingslek is nooit naar gebruikers toe gecommuniceerd, aldus Akamai. Volgens het internetbedrijf laten de aanvallen zie hoe belangrijk het is dat gebruikers tijdens de initiële setup het standaard wachtwoord wijzigen. "De aanwezigheid van standaard wachtwoorden en verouderde, niet meer ondersteunde netwerksystemen is een route voor botnet-infecties. Legacy systemen zijn een vruchtbare bodem voor het vinden en misbruiken van nieuwe kwetsbaarheden om zo malware te verspreiden", laat Akamai weten. Afsluitend stelt het internetbedrijf dat de aanvallen benadrukken dat zowel bewustzijn als educatie rond best practices voor IoT-apparaten moeten worden versterkt, zowel bij eindgebruikers als fabrikanten. Zo zouden fabrikanten producten langer met updates moeten ondersteunen en gebruikers bij het eerste gebruik moeten verplichten om standaard wachtwoorden te wijzigen. bron: https://www.security.nl

Google gaat vanaf volgende maand een nieuwe feature in Chrome testen waarbij websites standaard geen toegang meer tot third-party cookies krijgen, wat cross-site tracking moet beperken. Mozilla Firefox doet dit al sinds het vorige decennium. Volgens Google zijn third-party cookies, die vaak voor het tracken van internetgebruikers worden gebruikt, al dertig jaar een fundamenteel onderdeel van het web. "Hoewel ze zijn te gebruiken om je webactiviteiten te volgen, gebruiken sites ze ook voor allerlei online ervaringen, zoals inloggen of het tonen van relevante advertenties", aldus Google. Het bedrijf verdient meer aan gerichte advertenties dan aan ongerichte advertenties. Vanwege privacyzorgen worden trackingcookies door meerdere browsers inmiddels geblokkeerd. Om gebruikers zonder het gebruik van third-party cookies toch gerichte advertenties te kunnen blijven laten zien bedacht Google de "Privacy Sandbox", een verzameling van technieken waarmee gepersonaliseerde reclame is te tonen. Google stelt zelf dat het door middel van de "Privacy Sandbox" een "verantwoorde aanpak" hanteert voor het uitfaseren van trackingcookies in Chrome. Tracking Protection, zoals de nieuwe maatregel wordt genoemd, zal vanaf 4 januari bij één procent van de Chrome-gebruikers worden ingeschakeld. Volgens Google kunnen websites zo kijken of ze voorbereid zijn op een web zonder third-party cookies. Wanneer Chrome detecteert dat een website niet goed zonder third-party cookies werkt krijgen gebruikers de optie om die tijdelijk in te schakelen. bron: https://www.security.nl

Aanvallers maken wereldwijd actief misbruik van een kritieke kwetsbaarheid in Apache Struts 2 om systemen aan te vallen, zo waarschuwen de Australische en Franse autoriteiten, die grootschalig misbruik verwachten. Op 7 december kwam de Apache Foundation met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-50164. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties en websites. In 2017 wisten aanvallers via een kritieke Struts-kwetsbaarheid de gegevens van meer dan 147 miljoen Amerikanen bij het Amerikaanse kredietbureau Equifax te stelen. De kwetsbaarheid waarvan nu misbruik wordt gemaakt maakt het mogelijk voor aanvallers om parameters voor het uploaden van bestanden aan te passen, waardoor path traversal en het uploaden van malafide bestanden mogelijk wordt, wat weer kan leiden tot remote code execution. Gisteren meldde de Shadowserver Foundation dat er aanvallen zijn waargenomen waarbij gebruik wordt gemaakt van eerder verschenen proof-of-concept exploitcode. Ook het Australische Cyber Security Centre (ACSC), Franse Computer Emergency Response Team (CERT-FR) en internetgigant Akamai maken melding van misbruik. De autoriteiten roepen organisaties op om op Struts-gebaseerde applicaties te updaten, aangezien er grootschalig misbruik wordt verwacht. Via het beveiligingslek installeren de aanvallers een backdoor/webshell, waarmee toegang tot de gecompromitteerde server wordt behouden en verdere aanvallen mogelijk zijn. bron: https://www.security.nl

Microsoft heeft met een gerechtelijk bevel meerdere domeinnamen in beslag genomen en offline gehaald die werden gebruikt voor de verkoop van frauduleuze Outlook-accounts. Volgens het techbedrijf heeft de groep criminelen achter de websites 750 miljoen frauduleuze Microsoft-accounts aangemaakt en daarmee miljoenen dollars verdiend. De aangeboden accounts worden door cybercriminelen voor allerlei doeleinden gebruikt, zoals phishing, spam en ransomware, aldus Microsoft. Een week geleden kreeg Microsoft een gerechtelijk bevel om de in VS -gebaseerde infrastructuur van de groep criminelen, aangeduid als Storm-1152, in beslag te nemen en de gebruikte websites offline te halen. Naast frauduleuze Microsoft-accounts werden via de websites ook tools en diensten aangeboden om beveiligingsmaatregelen van andere bekende platforms te omzeilen, zoals CAPTCHA's. Volgens Microsoft hebben de genomen juridische stappen tegen Storm-1152 gevolgen voor de operaties van de groep, maar zullen andere groepen als gevolg daarvan hun technieken aanpassen. bron: https://www.security.nl

Securitybedrijf Sophos heeft een actief aangevallen kwetsbaarheid ook verholpen in firewalls die end-of-life zijn. Vorig jaar kwam het bedrijf al met een update voor het beveiligingslek (CVE-2022-3236), waardoor een aanvaller willekeurige code op het onderliggende systeem kan uitvoeren. Sophos meldde destijds dat de kwetsbaarheid werd gebruikt bij aanvallen tegen een "klein aantal specifieke organisaties", voornamelijk in de Zuid-Aziatische regio. Deze maand ontdekte Sophos naar eigen zeggen dat aanvallers een nieuwe exploit hadden ontwikkeld voor het aanvallen van firewalls waarin de kwetsbaarheid ook aanwezig is, maar die end-of-life zijn. Deze firewalls worden eigenlijk niet meer ondersteund, maar vanwege de aanvallen heeft Sophos nu ook voor deze apparaten een update ontwikkeld. De patch zou inmiddels bij 99 procent van de klanten zijn geïnstalleerd die de optie 'accept hotfix' hebben ingeschakeld. Volgens Sophos zoeken aanvallers geregeld naar apparaten die end-of-life zijn en doen klanten er daarom verstandig aan om te upgraden naar apparaten die nog wel worden ondersteund. bron: https://www.security.nl