Captain Kirk

Bij de aanval op dna-testbedrijf 23andMe zijn de afstammingsgegevens van 6,9 miljoen gebruikers buitgemaakt. Een aantal dat niet eerder bekend was gemaakt. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan komen en in contact te komen met andere familieleden op het platform. Daarnaast kan er ook worden getest op gezondheidsgerelateerde zaken. Het bedrijf zou zo'n 14 miljoen gebruikers tellen. Bij een credential stuffing-aanval wisten aanvallers toegang tot de accounts van 14.000 gebruikers te krijgen, liet 23andMe vorige week tegenover de Amerikaanse beurswaakhond SEC weten. Verder werd gesteld dat de aanvallers toegang hadden gekregen tot een 'significant number of files' met de afstammingsgegevens van andere gebruikers. Een aantal werd echter niet genoemd. Tegenover TechCrunch laat het dna-testbedrijf nu weten dat het in totaal om 6,9 miljoen gebruikers gaat. 23andMe biedt gebruikers de feature 'DNA Relatives', waarmee het mogelijk is om andere familieleden op het platform te vinden en meer over de eigen afstamming te weten te komen. Het gaat hier om een optionele feature. Maar via de 14.000 accounts die werden gecompromitteerd konden de aanvallers de afstammingsgegevens van 6,9 miljoen 23andMe-gebruikers downloaden. Het gaat om 6,9 miljoen mensen die ook toestemming hadden gegeven om hun gegevens via de DNA Relatives-feature te delen. Het gaat om naam, geboortejaar, relatielabels, het dna-percentage dat met familieleden wordt gedeeld, afstammingsrapporten en zelf doorgegeven locatie. Van 1,4 miljoen van deze gebruikers zijn ook de stamboomgegevens benaderd. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Vanwege de aanval besloot 23andMe de wachtwoorden van alle 14 miljoen gebruikers te resetten en het gebruik van tweestapsverificatie te verplichten. bron: https://www.security.nl

Facebook stopt met het versturen van PGP-versleutelde e-mails naar gebruikers, zo heeft het platform laten weten. Gebruikers konden instellen dat Facebook voor e-mailnotificaties gebruikmaakte van Pretty Good Privacy (PGP). Hiervoor moesten gebruikers hun OpenPGP public key bij Facebook uploaden en de public key van Facebook binnen hun eigen e-mailomgeving importeren, zodat gecontroleerd kon worden dat het bericht van Facebook afkomstig was. De feature werd acht jaar geleden geïntroduceerd, maar zal vandaag worden verwijderd, meldt TechCrunch. Hoeveel mensen er nog van de feature gebruikmaakten wil Facebook niet zeggen. Acht jaar geleden liet PGP-uitvinder Phil Zimmermann weten dat hij er geen gebruik van PGP maakte omdat er geen PGP-software voor zijn Mac beschikbaar was. Facebookgebruikers die versleutelde e-mailnotificaties ontvingen zullen vanaf vandaag onversleutelde berichten toegestuurd krijgen. Het is echter mogelijk om de e-mailnotificaties uit te zetten. bron: https://www.security.nl

Een zerodaylek in Microsoft Outlook waarvoor op 14 maart van dit jaar een beveiligingsupdate verscheen is sinds begin april vorig jaar door aanvallers misbruikt om toegang tot mailaccounts op Exchange-servers te krijgen, zo laat Microsoft vandaag weten. De aanvallen zouden het werk zijn van een vanuit Rusland opererende groep die bekendstaat als Fancy Bear en APT28. De kwetsbaarheid, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. Door het versturen van een speciaal geprepareerde e-mail kan de aanvaller het slachtoffer op zijn server laten inloggen, waarbij de wachtwoordhash van het e-mailaccount wordt verstuurd. De verstuurde hash is vervolgens te onderscheppen en te kraken. Er is geen enkele interactie van het slachtoffer vereist, de aanvaller hoeft alleen het e-mailadres te kennen en hier een e-mail naar toe te sturen. Het zerodaylek zou onder andere tegen Poolse instanties zijn ingezet. Het Poolse Cyber Commando werkte samen met Microsoft bij het onderzoek naar de aanval. Volgens Microsoft hadden de aanvallers het in eerste instantie op 'high-value' gebruikers voorzien. Misbruik van de kwetsbaarheid vindt zeker sinds begin april 2022 plaats. Organisaties die willen kijken of hun accounts zijn gecompromitteerd zouden dan ook vanaf deze datum naar aanwijzingen moeten zoeken. Microsoft heeft instructies beschikbaar gemaakt voor het uitvoeren van dergelijke scans. Verder wordt aangeraden om gebruikers aan de Protected Users Group toe te voegen, wat voorkomt dat NTLM als authenticatiemechanisme wordt gebruikt en uitgaand SMB-verkeer op de firewall te blokkeren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in een veelgebruikte WordPress-plug-in maakt het mogelijk om zo'n 170.000 websites over te nemen. Een update is sinds 29 november beschikbaar, maar op veel sites nog niet geïnstalleerd. Het gaat om de plug-in MW WP Form, waarmee het mogelijk is om mailformulieren voor WordPress-sites te maken. De plug-in is op meer dan 200.000 websites geïnstalleerd. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een aanvaller om willekeurige bestanden naar de webserver te uploaden, waaronder PHP-bestanden. Daarmee is het mogelijk om willekeurige code op de webserver uit te voeren. Voorwaarde is wel dat de optie “Saving inquiry data in database” staat ingeschakeld. Het beveiligingslek werd op 24 november door securitybedrijf Wordfence aan de ontwikkelaars van de plug-in gemeld. Voor de kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 met een 9.8 is beoordeeld, verscheen op 29 november een update (versie 5.0.2). Uit cijfers van WordPress.org blijkt dat de afgelopen week 32.000 websites de nieuwe update hebben geïnstalleerd, wat inhoudt dat nog zo'n 170.000 websites kwetsbaar zijn. Beheerders worden dan ook opgeroepen de nieuwste versie van de plug-in te installeren. bron: https://www.security.nl

Op internet zijn zo'n twintigduizend Microsoft Exchange-servers te vinden die end-of-life zijn en geen beveiligingsupdates meer ontvangen. In Nederland gaat het om zo'n zeshonderd servers, aldus de Shadowserver Foundation op basis van eigen scans. De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. De organisatie scant regelmatig op kwetsbare systemen. Laatst werd er gescand op Exchange-servers die end-of-life zijn. Dan blijkt dat erop internet zo'n twintigduizend van dergelijke systemen zijn te vinden. Het grootste deel staat in de Verenigde Staten en Duitsland, met respectievelijk vijfduizend en bijna drieduizend machines. In Nederland telt de Shadowserver Foundation 612 servers. Het grootste deel van de niet meer ondersteunde servers draait Exchange Server 2013. Deze versie van Exchange ontvangt sinds 11 april van dit jaar geen beveiligingsupdates meer. bron: https://www.security.nl

Precies tien jaar geleden lanceerde de Australische beveiligingsonderzoeker Troy Hunt de zoekmachine Have I Been Pwned, waarmee gebruikers kunnen kijken of hun e-mailadres in een bekend datalek voorkomt. Sindsdien bevat de zoekmachine e-mailadressen van 12,8 miljard 'pwned' accounts, afkomstig van 731 gecompromitteerde websites en verzamelde datasets. Hunt ontvangt e-mailadressen en wachtwoordhashes die bij deze websites zijn gestolen en voegt die toe aan zijn zoekmachine. Deze gegevens worden soms ook door opsporingsdiensten verstrekt, die slachtoffers van datalekken naar de zoekmachine verwijzen. Recentelijk deed de FBI dit met gegevens van slachtoffers van de Genesis Market, een online marktplaats die op grote schaal in gestolen persoonsgegevens handelde. Het Nederlandse Openbaar Ministerie wilde dit niet doen en besloot een eigen online check te maken waarmee mensen kunnen kijken of ze van de Genesis Market slachtoffer zijn geworden. "Internationaal wordt bij dit soort datadiefstallen standaard doorverwezen naar de website Have I Been Pwnd. Dat is een private Australische website waar de FBI ook in dit onderzoek hun onderzoeksdata aan heeft verstrekt. Wij hebben ervoor gekozen om zelf de regie te houden", zo stelde Ruben van Well, teamleider van het cybercrimeteam van de politie Rotterdam, eerder dit jaar. De Nederlandse overheid maakt echter zelf wel gebruik van Have I Been Pwned. Zo wordt er actief gekeken of er geen e-mailadressen van overheidsdomeinen in bekende datalekken voorkomen. Een aantal jaren geleden had Hunt nog gekeken of hij de zoekmachine kon verkopen, maar dat ging niet door. Recentelijk kondigde de onderzoeker verschillende abonnementen aan voor het monitoren van domeinen via Have I Been Pwned. Inmiddels werken er meerdere personen voor de zoekmachine. bron: https://www.security.nl

De EU-lidstaten en het Europees Parlement hebben een voorlopig politiek akkoord bereikt over de Cyber Resilience Act (CRA), waardoor fabrikanten hun producten minimaal vijf jaar lang van beveiligingsupdates moeten voorzien. Daarnaast moeten digitale producten – zowel software, hardware als componenten – naar verwachting vanaf 2027 voldoen aan uitgebreide eisen en standaarden op het gebied van cyberveiligheid. Apparaten die als 'cyberonveilig' worden bestempeld mogen dan niet meer op de Europese markt worden aangeboden. De CRA is een wettelijke uitbreiding op een eerder besluit om al per 2025 cybersecurityeisen te stellen aan draadloos communicerende apparaten zoals routers, babyfoons en slimme deurbellen via de Radio Equipment Directive (RED). De CRA is straks breder dan de RED en geldt niet alleen voor draadloos verbonden apparaten, maar voor alle hard- en software. De veiligheidseisen gaan bijvoorbeeld over het automatisch installeren van beveiligingsupdates, het versleuteld opslaan van gebruikersgegevens en gebruikers de optie bieden om data permanent te verwijderen. Minimaal vijf jaar updates Fabrikanten moeten voor gedurende de hele te verwachten gebruiksperiode van het product gratis veiligheidsupdates verstrekken zodra er kwetsbaarheden worden ontdekt. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar. De minimumduur doet niet af aan de hoofdregel: als het verwachte gebruik van een product bijvoorbeeld acht jaar is dan moet de ondersteuning ook acht jaar worden geboden. Verder moeten fabrikanten incidenten en actief misbruikte kwetsbaarheden binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid. Voor ontwikkelaars en aanbieders van niet-commercieel aangeboden opensourcesoftware geldt dat zij niet aan de eisen voor fabrikanten hoeven te voldoen. Met de inwerkingtredingstermijn van drie jaar is volgens het ministerie van Economische Zaken voldoende tijd geboden voor de implementatie en het opstellen van technische normen waarin de cybersecurityeisen aan fabrikanten worden uitgewerkt. Er komen bovendien voorzieningen om micro- en kleine fabrikanten te ondersteunen bij de implementatie van de eisen. Het voorlopige EU-akkoord moet hierna nog voor instemming worden voorgelegd aan de EU-lidstaten en het Europees Parlement. bron: https://www.security.nl

Onderzoekers hebben een manier gevonden om trainingsdata van ChatGPT op een eenvoudige manier te achterhalen, waaronder e-mailadressen en telefoonnummers. Hiervoor lieten de onderzoekers van Google DeepMind en verschillende universiteiten de chatbot een bepaald woord een oneindig keer herhalen, waarbij er opeens ook trainingsdata als antwoord werd gegeven. "De kwetsbaarheid is dat ChatGPT een groot deel van de trainingsdata onthoudt, misschien omdat het overtraind is of voor een andere reden", zo stellen de onderzoekers in een rapport. De aanval zorgt ervoor dat het onderliggende model afwijkt en zijn trainingsdata prijsgeeft. De onderzoekers denken dat het mogelijk is om op deze manier wel een gigabyte aan trainingsdata te achterhalen. Data gebruikt voor het trainen van ChatGPT is afkomstig van het openbare internet, maar de trainingsdata zelf is niet openbaar. "Hoe gevoeliger of origineler je data is, hoe belangrijker je extractie van trainingsdata vindt", aldus de onderzoekers. Die waarschuwden OpenAI op 30 augustus van dit jaar en gaven de chatbot-ontwikkelaar negentig dagen de tijd om het probleem te verhelpen voordat het openbaar zou worden gemaakt. De specifieke aanval mag dan zijn verholpen, de onderliggende kwetsbaarheid niet, zo waarschuwen de onderzoekers. bron: https://www.security.nl

Zyxel waarschuwt eigenaren van twee type NAS-apparaten voor verschillende kritieke kwetsbaarheden waardoor een ongeauthenticeerde aanvaller op afstand commando's op de systemen kan uitvoeren. De in totaal zes beveiligingslekken zijn aanwezig in de Zyxel NAS326 en NAS542. Drie daarvan (CVE-2023-35138, CVE-2023-4473 en CVE-2023-4474) maken het uitvoeren van OS-commando's door een ongeauthenticeerde aanvaller mogelijk. De impact van deze drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De overige drie beveiligingslekken die Zyxel heeft verholpen hebben een lagere impactscore. De fabrikant roept gebruikers op om de beschikbaar gestelde firmware-updates te installeren. De Amerikaanse overheid meldde afgelopen juni nog actief misbruik van een kritieke kwetsbaarheid (CVE-2023-27992) in NAS-apparaten van Zyxel waardoor een aanvaller ook OS-commando's kan uitvoeren. Een beveiligingsupdate verscheen op 20 juni. Nog geen drie dagen later werd het eerste misbruik al waargenomen. bron: https://www.security.nl

VMware heeft twee weken na de aankondiging van een kritieke kwetsbaarheid in VMware Cloud Director Appliance (VCD Appliance) een beveiligingsupdate uitgebracht om het probleem te verhelpen. In eerste instantie was er alleen een script als workaround beschikbaar. De VCD Appliance is een vooraf geconfigureerde virtual machine voor het draaien van VMware Cloud Director service, dat wordt gebruikt voor software-as-a-service. Via het beveiligingslek (CVE-2023-34060) kan een aanvaller de authenticatie omzeilen om zo via poort 22 (ssh) of poort 5480 (appliance management console) toegang tot het systeem te krijgen. De kwetsbaarheid doet zich alleen voor wanneer de VMware Cloud Director Appliance van een oudere versie is geüpgraded naar versie 10.5. Bij nieuwe installaties van de VCD Appliance is het probleem niet aanwezig. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. VMware heeft versie 10.5.1 uitgebracht als oplossing en adviseert organisaties die te installeren. bron: https://www.security.nl

Onderzoekers hebben verschillende kwetsbaarheden in de bluetooth-standaard ontdekt waarmee het mogelijk is om man-in-the-middle (mitm) aanvallen op bluetooth-apparaten uit te voeren en zo versleuteld verkeer af te luisteren. Via de gevonden kwetsbaarheden zijn in totaal zes verschillende aanvallen mogelijk die door de onderzoekers de naam 'BLUFFS' hebben gekregen. BLUFFS staat zich voor BLUetooth Forward and Future Secrecy en richt zich op het compromitteren van de sessie tussen twee bluetooth-apparaten. De veiligheid en privacy van bluetooth is afhankelijk van twee beveiligingsmechanismes, namelijk het pairen en opzetten van een sessie. Via de BLUFFS-aanval is het mogelijk om de doelwitten voor het opzetten van een verbinding zwakke sessie-keys te laten gebruiken. Deze keys zijn vervolgens via een bruteforce-aanval te kraken, waarna de aanvaller het verkeer van zijn slachtoffers kan afluisteren. Daarnaast kan de aanvaller ervoor zorgen dat, zolang hij in de buurt van zijn slachtoffers is, dezelfde zwakke encryptie-sleutel voor alle sessies te laten gebruiken. Als de aanvaller erin slaagt om de encryptiesleutel te kraken is het ook mogelijk om alle eerdere en toekomstige sessies te ontsleutelen, zo stelt de Bluetooth Special Interest Group (SIG), een organisatie die toeziet op de ontwikkeling van bluetoothstandaarden. De onderzoekers hebben de BLUFFS-aanval getest tegen achttien verschillende apparaten van Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Del en Xiaomi, die in totaal zeventien verschillende bluetooth-chips gebruiken. De aanval raakt zowel de Secure Connections (SC) als Legacy Secure Connections (LSC) securitymode van bluetooth. Om de aanval uit te voeren moet een aanvaller in de buurt van twee kwetsbare bluetooth-apparaten zijn die een verbinding aan het opzetten zijn. Fabrikanten zouden inmiddels aan updates werken. bron: https://www.security.nl

Google start vrijdag 1 december aanstaande met het verwijderen van inactieve accounts. Het gaat om accounts waar gebruikers twee jaar lang niet op hebben ingelogd. Volgens het techbedrijf maken "onbeheerde accounts" vaak gebruik van oude of hergebruikte wachtwoorden die mogelijk zijn gecompromitteerd. Tevens claimt Google dat dergelijke accounts vaak geen gebruikmaken van tweefactorauthenticatie (2FA). Voordat een account daadwerkelijk wordt verwijderd zullen gebruikers gedurende een periode van verschillende maanden meerdere waarschuwingen ontvangen. Die worden zowel naar het Google-adres als hersteladres gestuurd als dat is ingesteld. Om gebruikers hierop te wijzen stuurde Google in juli al aan verschillende gebruikers een e-mail. Gebruikers die niet willen dat hun account wordt verwijderd moeten hierop inloggen. "Door proactief deze accounts te verwijderen verkleint Google het aanvalsoppervlak dat voor cybercriminelen beschikbaar is", zegt Oren Koren van securitybedrijf Veriti tegenover CNN. "Dezea actie van Google is een voorbeeld van een bredere trend in cybersecurity: het nemen van preventieve maatregelen om het digitale securitylandschap te versterken." bron: https://www.security.nl

Authenticatieplatform Okta heeft gegevens van alle klanten die support zochten gelekt. Het gaat voor de meeste klanten om naam en e-mailadres die bij een aanval eind september werden gestolen. Vorige maand liet Okta weten dat een aanvaller na een inbraak op een supportsysteem gevoelige gegevens van klanten had buitgemaakt waarmee op hun systemen kon worden ingelogd. Het datalek werd veroorzaakt door middel van gestolen inloggegevens waarmee de aanvaller kon inloggen op Okta's supportsysteem. Volgens Okta had een medewerker het wachtwoord voor het supportsysteem in zijn privé Google-account op zijn zakelijk beheerde laptop opgeslagen. Het bedrijf stelde dat de inloggegevens zeer waarschijnlijk zijn gestolen doordat de aanvallers toegang tot het privé Google-account of een privé apparaat van deze medewerker hebben gekregen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. In eerste instantie meldde Okta dat bij de aanval gegevens van 134 bedrijven waren gestolen. De aanvaller wist bij vijf klanten met gestolen sessietokens op de klantomgeving in te loggen. Drie van deze klanten, BeyondTrust, Cloudflare en 1Password, maakten de inbraak zelf bekend. Eerder uitte Cloudflare nog felle kritiek op Okta, omdat het vond dat het bedrijf meldingen over de inbraak niet serieus had genomen. Nu blijkt dat gegevens van alle bedrijven die support zochten zijn gelekt. Uit verder onderzoek naar de aanval blijkt dat de aanvaller de gegevens van alle klanten in het supportsysteem heeft opgevraagd. Voor 99,6 procent van de klanten gaat het om volledige naam en e-mailadres. "Er is een mogelijkheid dat de aanvaller deze informatie kan gebruiken om Okta-klanten via phishing of social engineering aan te vallen", aldus het authenticatieplatform, dat over een verhoogd risico op dergelijke aanvallen spreekt. Okta stelt dat het dit deel van het datalek in eerste instantie had gemist vanwege het zoekfilter dat de aanvaller gebruikte. bron: https://www.security.nl

Een kritieke kwetsbaarheid in ownCloud, een oplossing voor het uitwisselen en opslaan van bestanden, maakt het mogelijk voor aanvallers om het adminwachtwoord en andere inloggegevens te stelen en zo toegang tot opgeslagen data te krijgen. Vervolgens is het mogelijk om de aanwezige gegevens te stelen of die te versleutelen. Er zijn berichten dat het beveiligingslek, aangeduid als CVE-2023-49103, actief wordt misbruikt, maar het is de vraag of die aanvallen ook succesvol zijn. OwnCloud is een gratis opensource-oplossing die te vergelijken is met diensten zoals OneDrive, Dropbox en Google Drive. Via een ownCloud-server kunnen organisaties bestanden voor gebruikers beschikbaar maken. Op 21 november waarschuwde ownCloud voor een kritieke kwetsbaarheid waardoor een ongeautoriseerde aanvaller het adminwachtwoord, inloggegevens voor de mailserver, database credentials en S3 access-key kan stelen. De “graphapi” app van ownCloud maakt gebruik van een third-party library, die een url biedt. Via deze url is het mogelijk om de configuratiegegevens van de PHP-omgeving (phpinfo) te bekijken. Deze informatie bevat alle omgevingsvariabelen van de webserver. In 'containerized deployments' kan dit gevoelige data betreffen, zoals de eerder genoemde inloggegevens. OwnCloud benadrukt dat het uitschakelen van de graphapi app de kwetsbaarheid niet verhelpt. Daarnaast toont phpinfo ook andere mogelijk gevoelige configuratiegegevens waarmee een aanvaller informatie over het systeem kan verzamelen. Ook wanneer ownCloud niet in een container-omgeving draait is de kwetsbaarheid nog steeds reden tot zorg, aldus de softwareontwikkelaar. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Securitybedrijf GreyNoise meldde op het eigen blog dat er sinds 25 november misbruik van het beveiligingslek wordt gemaakt. Daarop kwam ook het Australische Cyber Security Centre (ACSC) met een waarschuwing. Beveiligingsonderzoeker Will Dormann laat via X weten dat het hier om niet werkende aanvallen gaat, aangezien alleen ownCloud-installaties die in een container draaien kwetsbaar zijn. bron: https://www.security.nl

Google waarschuwt gebruikers van Chrome voor een actief aangevallen zerodaylek in de browser. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2023-6345, bevindt zich in de Skia graphics engine, waar Chrome gebruik van maakt voor het weergeven van tekst en afbeeldingen. In april van dit jaar verhielp Google ook al een zerodaylek in dit deel van de browser. De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google Chrome 119.0.6045.199/.200 is beschikbaar voor Windows, voor Linux en macOS is versie 119.0.6045.199 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Tijdens een internationale politieoperatie, waar ook de Nederlandse politie aan deelnam, is een vanuit Oekraïne opererende ransomwaregroep opgerold. Dat laat Europol vandaag weten. De groep wordt verantwoordelijk gehouden voor wereldwijde aanvallen met de LockerGoga-, MegaCortex-, HIVE- en Dharma-ransomware. Organisaties in 71 landen zouden door de groep zijn aangevallen. Volgens Europol hadden de verdachten verschillende rollen in de criminele organisatie. Sommige waren verantwoordelijk voor het compromitteren van de netwerken van slachtoffers, terwijl andere zich bezighielden met het witwassen van het losgeld van slachtoffers. Om toegang tot de netwerken van slachtoffers te krijgen werd gebruikgemaakt van bruteforce-aanvallen, SQL-injection en phishingmails met malafide bijlagen om zo inloggegevens te stelen. Zodra er toegang was verkregen maakte de groep gebruik van tools zoals de TrickBot-malware, Cobalt Strike en PowerShell Empire om zich lateraal door het netwerk te bewegen en zoveel mogelijk systemen te infecteren voordat de ransomware werd uitgerold. Uit het onderzoek dat de autoriteiten naar de groep uitvoerden blijkt dat die meer dan 250 servers van grote bedrijven hebben versleuteld, wat voor honderden miljoenen euro's schade zorgde, aldus Europol. Het forensische onderzoek zorgde ervoor dat decryptietools voor varianten van de LockerGoga- en MegaCortex-ransomware konden worden ontwikkeld, die via nomoreransom.org beschikbaar zijn. Naast de Nederlandse politie en Openbaar Ministerie waren ook politiediensten uit Noorwegen, Frankrijk, Oekraïne, Duitsland, Zwitserland en Verenigde Staten betrokken, alsmede Europol en Eurojust. bron: https://www.security.nl

Meerdere gebruikers van Google Drive zijn maanden aan opgeslagen data verloren. Google heeft de problemen bevestigd, maar weet nog niet wat de oorzaak is en wanneer gebruikers hun bestanden terugkrijgen. Op Googles eigen forum klaagden de afgelopen dagen meerdere gebruikers dat ze opeens bestanden in Google Drive kwijt waren en de cloudopslag terugging naar de bestanden van april en mei dit jaar. Vrijwillige supportmedewerkers hebben een bericht op het forum geplaatst dat van een Google-engineer afkomstig is en waarin wordt gesteld dat meer personen problemen met hun Google Drive hebben. "We wachten nog op de probleemanalyse en hoe we het kunnen verhelpen. Vanwege het lopende onderzoek kunnen we nog niet zeggen wanneer het is opgelost." Ook op Hacker News maken meerdere mensen melding van het feit dat ze maanden aan gegevens zijn verloren. "Conclusie? Maak je eigen back-ups", reageert één lezer. bron: https://www.security.nl

Eerder dit jaar nam het Europees Parlement een resolutie aan om het gebruik van spyware zoals Pegasus door landen tegen te gaan, maar een half jaar verder zijn er nog geen wetten aangenomen om dergelijk misbruik aan te pakken. Het Europarlement heeft daarop een nieuwe resolutie aangenomen dat het gebrek aan handelen bekritiseert. Afgelopen juni presenteerde een speciale door het Europees Parlement ingestelde commissie onderzoek naar het gebruik van spyware door Europese overheden (pdf). Onder andere in Hongarije, Polen, Griekenland, Cyprus en Spanje zou spyware tegen onder andere oppositie en journalisten zijn ingezet. Daarop nam het Europarlement een resolutie aan waarin werd gesteld dat spyware alleen in uitzonderlijke omstandigheden en alleen voor een beperkte tijd mag worden ingezet. Verder werden er gerichte aanbevelingen voor de genoemde landen gedaan. Spyware zou alleen mogen worden gebruikt in EU-lidstaten waar beschuldigingen van spywaremisbruik uitgebreid zijn onderzocht, waar nationale wetgeving in lijn is met aanbevelingen van de Venetië Commissie en jurisprudentie van het Europees Hof van Justitie en waar exportregels worden gehandhaafd. Sinds de aanbevelingen van het onderzoeksrapport door het Parlement zijn aangenomen zijn er echter nieuwe gevallen van spywaremisbruik in Europa waargenomen, wat suggereert dat de huidige juridische regels tekort schieten. Zo zijn verschillende Europarlementariërs het doelwit van spyware geworden. In Griekenland lijkt het erop dat onderzoek naar spywaremisbruik door de autoriteiten opzettelijk wordt gedwarsboomd en in Polen heeft een onderzoekscommissie vastgesteld dat mensen vanwege politieke redenen met spyware zijn aangevallen. In Spanje is het onderzoek wegens het niet meewerken door de Israëlische autoriteiten stopgezet. Verder heeft het Franse bedrijf Nexa Technologies de Predator-spyware aan repressieve regimes verkocht. Volgens Europarlementariërs suggereert onderzoek dat de dual-use exportregels zijn overtreden, maar is er geen vervolgonderzoek ingesteld. Dit zou een omgeving voor 'kwaadwillende actoren' creëren, terwijl in de VS allerlei Europese spywarebedrijven op een blacklist zijn geplaatst. "Dit is een gangsters paradijs - Europa is een gangsters paradijs. Er is volledige immuniteit voor de misbruik van spyware en de illegale verkoop van spyware. En ik vraag me af als de Commissie dit niet kan oplossen, waarom we dan een Commissie hebben, als jullie niet de hoeders van de verdragen zijn?", stelde Europarlementariër Sophie in 't Veld de vraag. bron: https://www.security.nl

E-mailprovider Tuta adviseert Chrome-gebruikers om nu de overstap naar Firefox te maken, aangezien Mozillas browser een privacyvriendelijke oplossing is en adblockers niet gaat beperken. "Mainstream browsers zoals Google Chrome, Safari, Opera en Internet Explorer zijn allemaal browsers om te vermijden, aangezien ze je privacy niet respecteren. Het is beter om voor Firefox te kiezen", aldus Tuta dat eerder nog bekendstond als Tutanota. De mailprovider maakte een overzicht van tien private browsers, waarbij Firefox de beste keuze voor 'basic privacy' is, zo claimt Tuta. Google gaat verschillende aanpassingen aan Chrome doorvoeren die invloed op de werking van extensies heeft. Onlangs liet de ontwikkelaar van de populaire adblocker uBlock Origin weten dat zijn extensie hierdoor minder goed zal werken. Mozilla heeft aangegeven dat het deze aanpassingen niet in Firefox zal doorvoeren, waardoor adblockers gewoon blijven werken. Verder stelt Tuta dat Firefox meer privacyvoordelen dan de andere bekende browsers heeft, een groot aantal extensies ondersteunt en de code open source is. Voor maximale privacy adviseert Tuta het gebruik van Tor Browser, aangezien het standaard het ip-adres van gebruikers afschermt. bron: https://www.security.nl

Een kritieke kwetsbaarheid in twee beveiligingscamera's van fabrikant Synology maakt het mogelijk voor aanvallers om de apparaten op afstand over te nemen. Synology heeft firmware-updates uitgebracht om het probleem te verhelpen. Tijdens de Pwn2Own-hackwedstrijd in Toronto vorige maand demonstreerden onderzoekers meerdere succesvolle aanvallen tegen de BC500-beveiligingscamera van Synology. "De kwetsbaarheid maakt het mogelijk voor remote aanvallers om willekeurige code uit te voeren en laat remote gebruikers bij een kwetsbare firmwareversie de beveiligingsbeperkingen omzeilen", aldus de advisory. Naast de BC500 blijkt ook de TC500 kwetsbaar te zijn. Gebruikers wordt aangeraden om te updaten naar firmwareversie 1.0.7-0298 of nieuwer. bron: https://www.security.nl

Ministers uit de Europese Unie overleggen volgende maand over de oprichting van een Europees Cyberschild. Het gaat om een Europees netwerk van Security Operations Centers (SOCs) die zich gaan bezighouden met het opsporen, analyseren en verwerken van gegevens over cyberdreigingen en –incidenten. Het Europees Cyberschild is onderdeel van de Europese Cybersolidariteitsverordening (Cyber Solidarity Act) die de Europese Commissie eerder dit jaar presenteerd. Op 5 december vindt de Telecomraad plaats in Brussel, waarbij Europese telecomministers bijeenkomen en ook over de Cyber Solidarity Act zullen spreken. Het voorstel van de Cybersolidariteitsverordening gaat naast de oprichting van een Europees Cyberschild ook over het instellen van een Europees Cybernoodmechanisme en het instellen van een Europees Evaluatiemechanisme voor Cyberincidenten. "Op deze manier wil de Commissie bijdragen aan het versterken van het algehele situationeel bewustzijn van cyberdreigingen, het versterken van gemeenschappelijke responscapaciteiten en de algehele weerbaarheid van de Unie vergroten", stelt demissionair minister Adriaansens van Economische Zaken in een brief aan de Tweede Kamer (pdf). Het Europees Cyberschild zal bestaan uit zogenoemde nationale SOCs en grensoverschrijdende SOCs. De nationale SOCs gaan informatie uitwisselen, terwijl de grensoverschrijdende SOCs relevante informatie over grootschalige cybersecurityincidenten moeten verstrekken aan het EU-Cyber Crisis Liaison Organisation Netwerk (EU-CyCLONE), het Computer Security Incident Response Teams Netwerk (CSIRT-Netwerk) en de Europese Commissie. "Nederland heeft echter vragen ten aanzien van de praktische uitwerking van het voorstel. Hierbij gaat de aandacht van Nederland tijdens de onderhandelingen met name uit naar (het bewaken van) samenhang en het voorkomen van duplicatie met andere initiatieven binnen het cyberdomein, een sterkere rol van lidstaten in de (inzet van) de Cyber Reserve, effectiviteit en goede werking van de op te zetten mechanismen, en de link (van informatiedeling) met nationale veiligheid en de verantwoordelijkheid van lidstaten hierbij", aldus minister Adriaansens. Volgende maand zouden zowel het Europees Parlement als de Raad van de Europese Unie met een positie over het voorstel moeten komen. bron: https://www.security.nl

De makers van OpenSSL hebben een nieuwe versie uitgebracht die nu ook de Windows-certificaatstore als locatie van vertrouwde rootcertificaten kan gebruiken. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. OpenSSL kan ook met certificaten werken en gebruikers kunnen certificaten die ze vertrouwen in een directory van de applicatie plaatsen. Met OpenSSL 3.2 is het nu ook mogelijk om de store met certificaten die Windows vertrouwt als locatie van vertrouwde rootcertificaten te gebruiken. Dit moet op dit moment nog handmatig worden ingeschakeld, maar zal in een toekomstige versie waarschijnlijk standaard ingesteld worden. Daarnaast zijn erin OpenSSL 3.2 verschillende andere nieuwe features toegevoegd en is de support voor algoritmes uitgebreid. bron: https://www.security.nl

De ontwikkelaars van de Lumma-malware claimen dat ze in staat zijn om verlopen Google-cookies van besmette systemen te herstellen, zodat aanvallers ze alsnog kunnen gebruiken om toegang tot accounts te krijgen. Dat blijkt uit screenshots van een forum waar de ontwikkelaars de nieuwe feature aankondigen. De Lumma-malware is ontwikkeld voor het stelen van allerlei soorten informatie van besmette systemen. Gebruikers betalen een maandelijks bedrag van tussen de 250 en 1000 dollar om de malware te kunnen gebruiken. De ontwikkelaars bieden drie abonnementen en claimen vierhonderd afnemers te hebben. Volgens de ontwikkelaars is het met de nieuwste versie van de malware mogelijk om verlopen sessiecookies te herstellen. Dit is echter niet onafhankelijk geverifieerd. De makers van de Rhadamanthys-malware bieden echter een soortgelijke feature. Daarnaast liet Alon Gal van securitybedrijf Hudson Rock onlangs weten dat de ontwikkelaars ook beweerden dat ze een manier hadden gevonden om Google-cookies van besmette systemen te stelen die niet verlopen of worden ingetrokken, zelfs als het slachtoffer zijn wachtwoord wijzigt. Dit zou volgens Gal voor een grote verschuiving in de cybercrime-wereld zorgen en aanvallers in staat stellen om meer accounts binnen te dringen. Ook deze claims van de ontwikkelaar zijn echter nog niet bevestigd, merkt Gal op. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om officiële software van CyberLink van malware te voorzien en zo systemen wereldwijd te infecteren, zo waarschuwt Microsoft. CyberLink maakt multimediasoftware en is onder andere bekend vanwege PowerDVD. De aanvallers hebben de officiële installer van een CyberLink-applicatie van malware voorzien, aldus Microsoft. Het techbedrijf laat niet weten welke applicatie van CyberLink door de aanvallers besmet is, maar uit de links die het vermeldt lijkt het om Promeo te gaan, software voor het bewerken van video en graphics. De malware in de installer downloadt aanvullende malware, die met een geldig certificaat van CyberLink is gesigneerd en op de legitieme update-infrastructuur van CyberLink wordt gehost. Microsoft detecteerde meer dan honderd besmette systemen in onder andere Japan, Taiwan, Canada en de Verenigde Staten. Volgens het techbedrijf is de aanval uitgevoerd door de Lazarus Groep, die vanuit Noord-Korea opereert. De groep houdt zich bezig met spionage, diefstal van persoonlijke en zakelijke informatie, inbraken bij banken en wiper-aanvallen. Wat het doel van de supplychain-aanval via CyberLink is, is op dit moment onduidelijk. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de WordPress-plug-in UserPro maakt het mogelijk voor aanvallers om het wachtwoord van elke willekeurige gebruiker te wijzigen, waaronder de admin, en zo de site over te nemen. De ontwikkelaars van UserPro, dat op meer dan twintigduizend websites is geïnstalleerd, werden op 10 mei ingelicht en kwamen op 31 oktober met een patch die het probleem volledig verhelpt. UserPro biedt WordPress-sites extra gebruikersbeheer, zoals aangepaste registratieformulieren en inlogvensters. Een beveiligingslek in de plug-in, aangeduid als CVE-2023-2449, maakt het mogelijk voor aanvallers om de wachtwoorden van alle gebruikers te wijzigen. Het probleem wordt veroorzaakt doordat de plug-in de standaard wachtwoordresetfunctie van WordPress gebruikt gecombineerd met onvoldoende validatie van de resetfunctie. "De functie gebruikt de plaintext waarde van de wachtwoordreset-key in plaats van een gehashte waarde, wat inhoudt dat die eenvoudig is te achterhalen en te gebruiken", aldus securitybedrijf Wordfence dat het probleem ontdekte en rapporteerde. Om misbruik van CVE-2023-2449 te kunnen maken moet een aanvaller wel over een andere kwetsbaarheid beschikken, maar twee van dergelijke lekken werden ook door Wordfence ontdekt. Nadat de ontwikkelaars op 10 mei waren ingelicht kwamen die op 27 juli met een gedeeltelijke oplossing. Op 31 oktober verscheen versie 5.1.5 van de plug-in waarin het probleem volledig is verholpen. Wordfence heeft de details nu openbaar gemaakt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl