Captain Kirk

Onderzoekers hebben verschillende kwetsbaarheden in de bluetooth-standaard ontdekt waarmee het mogelijk is om man-in-the-middle (mitm) aanvallen op bluetooth-apparaten uit te voeren en zo versleuteld verkeer af te luisteren. Via de gevonden kwetsbaarheden zijn in totaal zes verschillende aanvallen mogelijk die door de onderzoekers de naam 'BLUFFS' hebben gekregen. BLUFFS staat zich voor BLUetooth Forward and Future Secrecy en richt zich op het compromitteren van de sessie tussen twee bluetooth-apparaten. De veiligheid en privacy van bluetooth is afhankelijk van twee beveiligingsmechanismes, namelijk het pairen en opzetten van een sessie. Via de BLUFFS-aanval is het mogelijk om de doelwitten voor het opzetten van een verbinding zwakke sessie-keys te laten gebruiken. Deze keys zijn vervolgens via een bruteforce-aanval te kraken, waarna de aanvaller het verkeer van zijn slachtoffers kan afluisteren. Daarnaast kan de aanvaller ervoor zorgen dat, zolang hij in de buurt van zijn slachtoffers is, dezelfde zwakke encryptie-sleutel voor alle sessies te laten gebruiken. Als de aanvaller erin slaagt om de encryptiesleutel te kraken is het ook mogelijk om alle eerdere en toekomstige sessies te ontsleutelen, zo stelt de Bluetooth Special Interest Group (SIG), een organisatie die toeziet op de ontwikkeling van bluetoothstandaarden. De onderzoekers hebben de BLUFFS-aanval getest tegen achttien verschillende apparaten van Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Del en Xiaomi, die in totaal zeventien verschillende bluetooth-chips gebruiken. De aanval raakt zowel de Secure Connections (SC) als Legacy Secure Connections (LSC) securitymode van bluetooth. Om de aanval uit te voeren moet een aanvaller in de buurt van twee kwetsbare bluetooth-apparaten zijn die een verbinding aan het opzetten zijn. Fabrikanten zouden inmiddels aan updates werken. bron: https://www.security.nl

Google start vrijdag 1 december aanstaande met het verwijderen van inactieve accounts. Het gaat om accounts waar gebruikers twee jaar lang niet op hebben ingelogd. Volgens het techbedrijf maken "onbeheerde accounts" vaak gebruik van oude of hergebruikte wachtwoorden die mogelijk zijn gecompromitteerd. Tevens claimt Google dat dergelijke accounts vaak geen gebruikmaken van tweefactorauthenticatie (2FA). Voordat een account daadwerkelijk wordt verwijderd zullen gebruikers gedurende een periode van verschillende maanden meerdere waarschuwingen ontvangen. Die worden zowel naar het Google-adres als hersteladres gestuurd als dat is ingesteld. Om gebruikers hierop te wijzen stuurde Google in juli al aan verschillende gebruikers een e-mail. Gebruikers die niet willen dat hun account wordt verwijderd moeten hierop inloggen. "Door proactief deze accounts te verwijderen verkleint Google het aanvalsoppervlak dat voor cybercriminelen beschikbaar is", zegt Oren Koren van securitybedrijf Veriti tegenover CNN. "Dezea actie van Google is een voorbeeld van een bredere trend in cybersecurity: het nemen van preventieve maatregelen om het digitale securitylandschap te versterken." bron: https://www.security.nl

Authenticatieplatform Okta heeft gegevens van alle klanten die support zochten gelekt. Het gaat voor de meeste klanten om naam en e-mailadres die bij een aanval eind september werden gestolen. Vorige maand liet Okta weten dat een aanvaller na een inbraak op een supportsysteem gevoelige gegevens van klanten had buitgemaakt waarmee op hun systemen kon worden ingelogd. Het datalek werd veroorzaakt door middel van gestolen inloggegevens waarmee de aanvaller kon inloggen op Okta's supportsysteem. Volgens Okta had een medewerker het wachtwoord voor het supportsysteem in zijn privé Google-account op zijn zakelijk beheerde laptop opgeslagen. Het bedrijf stelde dat de inloggegevens zeer waarschijnlijk zijn gestolen doordat de aanvallers toegang tot het privé Google-account of een privé apparaat van deze medewerker hebben gekregen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. In eerste instantie meldde Okta dat bij de aanval gegevens van 134 bedrijven waren gestolen. De aanvaller wist bij vijf klanten met gestolen sessietokens op de klantomgeving in te loggen. Drie van deze klanten, BeyondTrust, Cloudflare en 1Password, maakten de inbraak zelf bekend. Eerder uitte Cloudflare nog felle kritiek op Okta, omdat het vond dat het bedrijf meldingen over de inbraak niet serieus had genomen. Nu blijkt dat gegevens van alle bedrijven die support zochten zijn gelekt. Uit verder onderzoek naar de aanval blijkt dat de aanvaller de gegevens van alle klanten in het supportsysteem heeft opgevraagd. Voor 99,6 procent van de klanten gaat het om volledige naam en e-mailadres. "Er is een mogelijkheid dat de aanvaller deze informatie kan gebruiken om Okta-klanten via phishing of social engineering aan te vallen", aldus het authenticatieplatform, dat over een verhoogd risico op dergelijke aanvallen spreekt. Okta stelt dat het dit deel van het datalek in eerste instantie had gemist vanwege het zoekfilter dat de aanvaller gebruikte. bron: https://www.security.nl

Een kritieke kwetsbaarheid in ownCloud, een oplossing voor het uitwisselen en opslaan van bestanden, maakt het mogelijk voor aanvallers om het adminwachtwoord en andere inloggegevens te stelen en zo toegang tot opgeslagen data te krijgen. Vervolgens is het mogelijk om de aanwezige gegevens te stelen of die te versleutelen. Er zijn berichten dat het beveiligingslek, aangeduid als CVE-2023-49103, actief wordt misbruikt, maar het is de vraag of die aanvallen ook succesvol zijn. OwnCloud is een gratis opensource-oplossing die te vergelijken is met diensten zoals OneDrive, Dropbox en Google Drive. Via een ownCloud-server kunnen organisaties bestanden voor gebruikers beschikbaar maken. Op 21 november waarschuwde ownCloud voor een kritieke kwetsbaarheid waardoor een ongeautoriseerde aanvaller het adminwachtwoord, inloggegevens voor de mailserver, database credentials en S3 access-key kan stelen. De “graphapi” app van ownCloud maakt gebruik van een third-party library, die een url biedt. Via deze url is het mogelijk om de configuratiegegevens van de PHP-omgeving (phpinfo) te bekijken. Deze informatie bevat alle omgevingsvariabelen van de webserver. In 'containerized deployments' kan dit gevoelige data betreffen, zoals de eerder genoemde inloggegevens. OwnCloud benadrukt dat het uitschakelen van de graphapi app de kwetsbaarheid niet verhelpt. Daarnaast toont phpinfo ook andere mogelijk gevoelige configuratiegegevens waarmee een aanvaller informatie over het systeem kan verzamelen. Ook wanneer ownCloud niet in een container-omgeving draait is de kwetsbaarheid nog steeds reden tot zorg, aldus de softwareontwikkelaar. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Securitybedrijf GreyNoise meldde op het eigen blog dat er sinds 25 november misbruik van het beveiligingslek wordt gemaakt. Daarop kwam ook het Australische Cyber Security Centre (ACSC) met een waarschuwing. Beveiligingsonderzoeker Will Dormann laat via X weten dat het hier om niet werkende aanvallen gaat, aangezien alleen ownCloud-installaties die in een container draaien kwetsbaar zijn. bron: https://www.security.nl

Google waarschuwt gebruikers van Chrome voor een actief aangevallen zerodaylek in de browser. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2023-6345, bevindt zich in de Skia graphics engine, waar Chrome gebruik van maakt voor het weergeven van tekst en afbeeldingen. In april van dit jaar verhielp Google ook al een zerodaylek in dit deel van de browser. De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google Chrome 119.0.6045.199/.200 is beschikbaar voor Windows, voor Linux en macOS is versie 119.0.6045.199 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Tijdens een internationale politieoperatie, waar ook de Nederlandse politie aan deelnam, is een vanuit Oekraïne opererende ransomwaregroep opgerold. Dat laat Europol vandaag weten. De groep wordt verantwoordelijk gehouden voor wereldwijde aanvallen met de LockerGoga-, MegaCortex-, HIVE- en Dharma-ransomware. Organisaties in 71 landen zouden door de groep zijn aangevallen. Volgens Europol hadden de verdachten verschillende rollen in de criminele organisatie. Sommige waren verantwoordelijk voor het compromitteren van de netwerken van slachtoffers, terwijl andere zich bezighielden met het witwassen van het losgeld van slachtoffers. Om toegang tot de netwerken van slachtoffers te krijgen werd gebruikgemaakt van bruteforce-aanvallen, SQL-injection en phishingmails met malafide bijlagen om zo inloggegevens te stelen. Zodra er toegang was verkregen maakte de groep gebruik van tools zoals de TrickBot-malware, Cobalt Strike en PowerShell Empire om zich lateraal door het netwerk te bewegen en zoveel mogelijk systemen te infecteren voordat de ransomware werd uitgerold. Uit het onderzoek dat de autoriteiten naar de groep uitvoerden blijkt dat die meer dan 250 servers van grote bedrijven hebben versleuteld, wat voor honderden miljoenen euro's schade zorgde, aldus Europol. Het forensische onderzoek zorgde ervoor dat decryptietools voor varianten van de LockerGoga- en MegaCortex-ransomware konden worden ontwikkeld, die via nomoreransom.org beschikbaar zijn. Naast de Nederlandse politie en Openbaar Ministerie waren ook politiediensten uit Noorwegen, Frankrijk, Oekraïne, Duitsland, Zwitserland en Verenigde Staten betrokken, alsmede Europol en Eurojust. bron: https://www.security.nl

Meerdere gebruikers van Google Drive zijn maanden aan opgeslagen data verloren. Google heeft de problemen bevestigd, maar weet nog niet wat de oorzaak is en wanneer gebruikers hun bestanden terugkrijgen. Op Googles eigen forum klaagden de afgelopen dagen meerdere gebruikers dat ze opeens bestanden in Google Drive kwijt waren en de cloudopslag terugging naar de bestanden van april en mei dit jaar. Vrijwillige supportmedewerkers hebben een bericht op het forum geplaatst dat van een Google-engineer afkomstig is en waarin wordt gesteld dat meer personen problemen met hun Google Drive hebben. "We wachten nog op de probleemanalyse en hoe we het kunnen verhelpen. Vanwege het lopende onderzoek kunnen we nog niet zeggen wanneer het is opgelost." Ook op Hacker News maken meerdere mensen melding van het feit dat ze maanden aan gegevens zijn verloren. "Conclusie? Maak je eigen back-ups", reageert één lezer. bron: https://www.security.nl

Eerder dit jaar nam het Europees Parlement een resolutie aan om het gebruik van spyware zoals Pegasus door landen tegen te gaan, maar een half jaar verder zijn er nog geen wetten aangenomen om dergelijk misbruik aan te pakken. Het Europarlement heeft daarop een nieuwe resolutie aangenomen dat het gebrek aan handelen bekritiseert. Afgelopen juni presenteerde een speciale door het Europees Parlement ingestelde commissie onderzoek naar het gebruik van spyware door Europese overheden (pdf). Onder andere in Hongarije, Polen, Griekenland, Cyprus en Spanje zou spyware tegen onder andere oppositie en journalisten zijn ingezet. Daarop nam het Europarlement een resolutie aan waarin werd gesteld dat spyware alleen in uitzonderlijke omstandigheden en alleen voor een beperkte tijd mag worden ingezet. Verder werden er gerichte aanbevelingen voor de genoemde landen gedaan. Spyware zou alleen mogen worden gebruikt in EU-lidstaten waar beschuldigingen van spywaremisbruik uitgebreid zijn onderzocht, waar nationale wetgeving in lijn is met aanbevelingen van de Venetië Commissie en jurisprudentie van het Europees Hof van Justitie en waar exportregels worden gehandhaafd. Sinds de aanbevelingen van het onderzoeksrapport door het Parlement zijn aangenomen zijn er echter nieuwe gevallen van spywaremisbruik in Europa waargenomen, wat suggereert dat de huidige juridische regels tekort schieten. Zo zijn verschillende Europarlementariërs het doelwit van spyware geworden. In Griekenland lijkt het erop dat onderzoek naar spywaremisbruik door de autoriteiten opzettelijk wordt gedwarsboomd en in Polen heeft een onderzoekscommissie vastgesteld dat mensen vanwege politieke redenen met spyware zijn aangevallen. In Spanje is het onderzoek wegens het niet meewerken door de Israëlische autoriteiten stopgezet. Verder heeft het Franse bedrijf Nexa Technologies de Predator-spyware aan repressieve regimes verkocht. Volgens Europarlementariërs suggereert onderzoek dat de dual-use exportregels zijn overtreden, maar is er geen vervolgonderzoek ingesteld. Dit zou een omgeving voor 'kwaadwillende actoren' creëren, terwijl in de VS allerlei Europese spywarebedrijven op een blacklist zijn geplaatst. "Dit is een gangsters paradijs - Europa is een gangsters paradijs. Er is volledige immuniteit voor de misbruik van spyware en de illegale verkoop van spyware. En ik vraag me af als de Commissie dit niet kan oplossen, waarom we dan een Commissie hebben, als jullie niet de hoeders van de verdragen zijn?", stelde Europarlementariër Sophie in 't Veld de vraag. bron: https://www.security.nl

E-mailprovider Tuta adviseert Chrome-gebruikers om nu de overstap naar Firefox te maken, aangezien Mozillas browser een privacyvriendelijke oplossing is en adblockers niet gaat beperken. "Mainstream browsers zoals Google Chrome, Safari, Opera en Internet Explorer zijn allemaal browsers om te vermijden, aangezien ze je privacy niet respecteren. Het is beter om voor Firefox te kiezen", aldus Tuta dat eerder nog bekendstond als Tutanota. De mailprovider maakte een overzicht van tien private browsers, waarbij Firefox de beste keuze voor 'basic privacy' is, zo claimt Tuta. Google gaat verschillende aanpassingen aan Chrome doorvoeren die invloed op de werking van extensies heeft. Onlangs liet de ontwikkelaar van de populaire adblocker uBlock Origin weten dat zijn extensie hierdoor minder goed zal werken. Mozilla heeft aangegeven dat het deze aanpassingen niet in Firefox zal doorvoeren, waardoor adblockers gewoon blijven werken. Verder stelt Tuta dat Firefox meer privacyvoordelen dan de andere bekende browsers heeft, een groot aantal extensies ondersteunt en de code open source is. Voor maximale privacy adviseert Tuta het gebruik van Tor Browser, aangezien het standaard het ip-adres van gebruikers afschermt. bron: https://www.security.nl

Een kritieke kwetsbaarheid in twee beveiligingscamera's van fabrikant Synology maakt het mogelijk voor aanvallers om de apparaten op afstand over te nemen. Synology heeft firmware-updates uitgebracht om het probleem te verhelpen. Tijdens de Pwn2Own-hackwedstrijd in Toronto vorige maand demonstreerden onderzoekers meerdere succesvolle aanvallen tegen de BC500-beveiligingscamera van Synology. "De kwetsbaarheid maakt het mogelijk voor remote aanvallers om willekeurige code uit te voeren en laat remote gebruikers bij een kwetsbare firmwareversie de beveiligingsbeperkingen omzeilen", aldus de advisory. Naast de BC500 blijkt ook de TC500 kwetsbaar te zijn. Gebruikers wordt aangeraden om te updaten naar firmwareversie 1.0.7-0298 of nieuwer. bron: https://www.security.nl

Ministers uit de Europese Unie overleggen volgende maand over de oprichting van een Europees Cyberschild. Het gaat om een Europees netwerk van Security Operations Centers (SOCs) die zich gaan bezighouden met het opsporen, analyseren en verwerken van gegevens over cyberdreigingen en –incidenten. Het Europees Cyberschild is onderdeel van de Europese Cybersolidariteitsverordening (Cyber Solidarity Act) die de Europese Commissie eerder dit jaar presenteerd. Op 5 december vindt de Telecomraad plaats in Brussel, waarbij Europese telecomministers bijeenkomen en ook over de Cyber Solidarity Act zullen spreken. Het voorstel van de Cybersolidariteitsverordening gaat naast de oprichting van een Europees Cyberschild ook over het instellen van een Europees Cybernoodmechanisme en het instellen van een Europees Evaluatiemechanisme voor Cyberincidenten. "Op deze manier wil de Commissie bijdragen aan het versterken van het algehele situationeel bewustzijn van cyberdreigingen, het versterken van gemeenschappelijke responscapaciteiten en de algehele weerbaarheid van de Unie vergroten", stelt demissionair minister Adriaansens van Economische Zaken in een brief aan de Tweede Kamer (pdf). Het Europees Cyberschild zal bestaan uit zogenoemde nationale SOCs en grensoverschrijdende SOCs. De nationale SOCs gaan informatie uitwisselen, terwijl de grensoverschrijdende SOCs relevante informatie over grootschalige cybersecurityincidenten moeten verstrekken aan het EU-Cyber Crisis Liaison Organisation Netwerk (EU-CyCLONE), het Computer Security Incident Response Teams Netwerk (CSIRT-Netwerk) en de Europese Commissie. "Nederland heeft echter vragen ten aanzien van de praktische uitwerking van het voorstel. Hierbij gaat de aandacht van Nederland tijdens de onderhandelingen met name uit naar (het bewaken van) samenhang en het voorkomen van duplicatie met andere initiatieven binnen het cyberdomein, een sterkere rol van lidstaten in de (inzet van) de Cyber Reserve, effectiviteit en goede werking van de op te zetten mechanismen, en de link (van informatiedeling) met nationale veiligheid en de verantwoordelijkheid van lidstaten hierbij", aldus minister Adriaansens. Volgende maand zouden zowel het Europees Parlement als de Raad van de Europese Unie met een positie over het voorstel moeten komen. bron: https://www.security.nl

De makers van OpenSSL hebben een nieuwe versie uitgebracht die nu ook de Windows-certificaatstore als locatie van vertrouwde rootcertificaten kan gebruiken. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. OpenSSL kan ook met certificaten werken en gebruikers kunnen certificaten die ze vertrouwen in een directory van de applicatie plaatsen. Met OpenSSL 3.2 is het nu ook mogelijk om de store met certificaten die Windows vertrouwt als locatie van vertrouwde rootcertificaten te gebruiken. Dit moet op dit moment nog handmatig worden ingeschakeld, maar zal in een toekomstige versie waarschijnlijk standaard ingesteld worden. Daarnaast zijn erin OpenSSL 3.2 verschillende andere nieuwe features toegevoegd en is de support voor algoritmes uitgebreid. bron: https://www.security.nl

De ontwikkelaars van de Lumma-malware claimen dat ze in staat zijn om verlopen Google-cookies van besmette systemen te herstellen, zodat aanvallers ze alsnog kunnen gebruiken om toegang tot accounts te krijgen. Dat blijkt uit screenshots van een forum waar de ontwikkelaars de nieuwe feature aankondigen. De Lumma-malware is ontwikkeld voor het stelen van allerlei soorten informatie van besmette systemen. Gebruikers betalen een maandelijks bedrag van tussen de 250 en 1000 dollar om de malware te kunnen gebruiken. De ontwikkelaars bieden drie abonnementen en claimen vierhonderd afnemers te hebben. Volgens de ontwikkelaars is het met de nieuwste versie van de malware mogelijk om verlopen sessiecookies te herstellen. Dit is echter niet onafhankelijk geverifieerd. De makers van de Rhadamanthys-malware bieden echter een soortgelijke feature. Daarnaast liet Alon Gal van securitybedrijf Hudson Rock onlangs weten dat de ontwikkelaars ook beweerden dat ze een manier hadden gevonden om Google-cookies van besmette systemen te stelen die niet verlopen of worden ingetrokken, zelfs als het slachtoffer zijn wachtwoord wijzigt. Dit zou volgens Gal voor een grote verschuiving in de cybercrime-wereld zorgen en aanvallers in staat stellen om meer accounts binnen te dringen. Ook deze claims van de ontwikkelaar zijn echter nog niet bevestigd, merkt Gal op. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om officiële software van CyberLink van malware te voorzien en zo systemen wereldwijd te infecteren, zo waarschuwt Microsoft. CyberLink maakt multimediasoftware en is onder andere bekend vanwege PowerDVD. De aanvallers hebben de officiële installer van een CyberLink-applicatie van malware voorzien, aldus Microsoft. Het techbedrijf laat niet weten welke applicatie van CyberLink door de aanvallers besmet is, maar uit de links die het vermeldt lijkt het om Promeo te gaan, software voor het bewerken van video en graphics. De malware in de installer downloadt aanvullende malware, die met een geldig certificaat van CyberLink is gesigneerd en op de legitieme update-infrastructuur van CyberLink wordt gehost. Microsoft detecteerde meer dan honderd besmette systemen in onder andere Japan, Taiwan, Canada en de Verenigde Staten. Volgens het techbedrijf is de aanval uitgevoerd door de Lazarus Groep, die vanuit Noord-Korea opereert. De groep houdt zich bezig met spionage, diefstal van persoonlijke en zakelijke informatie, inbraken bij banken en wiper-aanvallen. Wat het doel van de supplychain-aanval via CyberLink is, is op dit moment onduidelijk. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de WordPress-plug-in UserPro maakt het mogelijk voor aanvallers om het wachtwoord van elke willekeurige gebruiker te wijzigen, waaronder de admin, en zo de site over te nemen. De ontwikkelaars van UserPro, dat op meer dan twintigduizend websites is geïnstalleerd, werden op 10 mei ingelicht en kwamen op 31 oktober met een patch die het probleem volledig verhelpt. UserPro biedt WordPress-sites extra gebruikersbeheer, zoals aangepaste registratieformulieren en inlogvensters. Een beveiligingslek in de plug-in, aangeduid als CVE-2023-2449, maakt het mogelijk voor aanvallers om de wachtwoorden van alle gebruikers te wijzigen. Het probleem wordt veroorzaakt doordat de plug-in de standaard wachtwoordresetfunctie van WordPress gebruikt gecombineerd met onvoldoende validatie van de resetfunctie. "De functie gebruikt de plaintext waarde van de wachtwoordreset-key in plaats van een gehashte waarde, wat inhoudt dat die eenvoudig is te achterhalen en te gebruiken", aldus securitybedrijf Wordfence dat het probleem ontdekte en rapporteerde. Om misbruik van CVE-2023-2449 te kunnen maken moet een aanvaller wel over een andere kwetsbaarheid beschikken, maar twee van dergelijke lekken werden ook door Wordfence ontdekt. Nadat de ontwikkelaars op 10 mei waren ingelicht kwamen die op 27 juli met een gedeeltelijke oplossing. Op 31 oktober verscheen versie 5.1.5 van de plug-in waarin het probleem volledig is verholpen. Wordfence heeft de details nu openbaar gemaakt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Een botnet dat besmette apparaten ddos-aanvallen laat uitvoeren maakt gebruik van twee zerodaylekken om routers en digitale videorecorders te infecteren, zo meldt internetbedrijf Akamai. Aangezien er nog geen beveiligingsupdates voor de problemen beschikbaar zijn, die worden volgende maand verwacht, heeft Akamai de namen van de fabrikanten en kwetsbare modellen niet vrijgegeven. Het botnet heeft het voorzien op routers en videorecorders met standaard admin-inloggegevens. De zeroday-exploit tegen de routerfabrikant lijkt tegen één model gericht te zijn, maar een variant van dit model lijkt ook kwetsbaar te zijn. De feature waar de aanvallers misbruik van maken komt veel voor en het is volgens Akamai dan ook mogelijk dat de code ook bij andere producten wordt hergebruikt. In het geval van de videorecorderfabrikant maakt dit bedrijf zo'n honderd verschillende camera's. Aangezien het niet mogelijk is om vanaf het internet systeeminformatie van besmette apparaten te achterhalen is onduidelijk hoeveel modellen kwetsbaar zijn. Akamai heeft zoals gezegd nog geen uitgebreide technische details gegeven. Wel heeft het internetbedrijf Snort- en YARA-rules beschikbaar gemaakt waarmee beheerders mogelijke infecties in hun netwerken kunnen detecteren. bron: https://www.security.nl

Onderzoekers zijn erin geslaagd om op drie verschillende laptops van Dell, Lenovo en Microsoft de vingerafdrukcontrole van Windows Hello te omzeilen. Via Windows Hello kunnen gebruikers onder andere door een scan van de vingerafdruk inloggen. Microsoft betaalde onderzoekers van securitybedrijf Blackwing om te onderzoeken of het mogelijk was de authenticatie te omzeilen. Bij alle drie de laptops (Dell Inspiron 15, Lenovo ThinkPad T14 en Microsoft Surface Pro Type Cover met Fingerprint ID) blijkt dat het geval. De vingerafdruksensors waarop de onderzoekers het hadden voorzien maken gebruik van een 'match on chip' of MoC, in plaats van 'match on host'. MoC-sensoren beschikken over een op de chip ingebouwde microprocessor en opslag. Daardoor vindt de vingerafdrukcontrole op de chip plaats. Een database met 'vingerafdruk templates' (de biometrische data die door de vingerafdruksensor is verkregen) wordt op de chip opgeslagen en het aanmelden van een vingerafdruk vindt direct plaats op de chip. Doordat de vingerafdruk-templates nooit de chip verlaten moet dit het risico wegnemen dat biometrisch materiaal opgeslagen op het host-systeem wordt gestolen als de host wordt gecompromitteerd. Deze aanpak moet ook voorkomen dat een aanvaller een afbeelding van een geldige vingerafdruk naar de host stuurt om te laten controleren en zo de authenticatie te omzeilen. MoC-sensoren zijn echter kwetsbaar voor spoofing- en relay-aanvallen. Om dit tegen te gaan bedacht Microsoft het Secure Device Connection Protocol (SDCP). Het protocol moet ervoor zorgen dat de vingerafdruksensor wordt vertrouwd en in goede conditie is en dat de invoer tussen de sensor en host wordt beschermd. Het eerste dat de onderzoekers ontdekten was dat SDCP op twee van de drie laptops niet was ingeschakeld. Daarnaast bleek het bij alle drie de laptops mogelijk Windows Hello te misleiden. In het geval van de Dell-laptop blijkt dat de chip twee databases bijhoudt voor Windows en Linux. Door middel van een man-in-the-middle-aanval, waarbij de vingerafdruksensor wordt losgekoppeld en vervangen door een Raspberry Pi, is het mogelijk geldige vingerafdrukken in de Windows-database te enumereren. Vervolgens voegt de aanvaller zijn vingerafdruk als een geldige Windows-gebruiker toe aan de Linux-database. Daarna wordt er een configuratie packet naar de sensor gestuurd om voortaan de Linux-database te gebruiken. De aanvaller kan zo met zijn eigen vingerafdruk als een geldige Windows-gebruiker inloggen. Ook de Lenovo- en Microsoft-laptop zijn door middel van spoofing-aanvallen te misleiden. De onderzoekers doen fabrikanten verschillende aanbevelingen, waaronder het inschakelen van SDCP. bron: https://www.security.nl

Google maakt steeds vaker gebruik van 'privacy washing' om mensen te misleiden, zo stelt Proton, het bedrijf achter ProtonVPN en ProtonMail. Aanleiding zijn verschillende initiatieven die Google lanceerde en de privacy van gebruikers zouden beschermen, terwijl dat volgens Proton niet het geval is. Het laatste project waar de vpn- en mailaanbieder zich aan stoort is IP Protection. Volgens Google moet IP Protection de privacy van gebruikers beschermen door te voorkomen dat hun ip-adres voor tracking wordt gebruikt. In plaats daarvan wordt er gebruikgemaakt van een 'privacy proxy' waardoor de bestemming het echte ip-adres van de gebruiker niet kan zien. Proton stelt dat de feature het alleen maar eenvoudiger voor Google maakt om Chrome-gebruikers te bespioneren. "Dit is geen verrassing, aangezien dit het businessmodel van Google is. Wat wel zorgen baart, is dat Google dit adverteert als een privacyfeature", zegt Ben Wolford van Proton. "Steeds vaker maakt Google gebruik van privacy washing, een vorm van misleidende reclame bedoeld om mensen te laten denken dat hun producten meer privé zijn." Zo gebruikt Google Chrome bij de eerste versies van IP Protection de eigen proxyservers van Google om een tijdelijk ip-adres te genereren voor verschillende websites die van Google zelf zijn, aldus Wolford. Gebruikers moeten IP Protection wel zelf inschakelen. "Google wil je laten geloven dat de dienst privé is en tegelijkertijd je intieme data verzamelen en voorkomen dat concurrenten hetzelfde doen. IP Protection schermt je data af voor de rest van het internet, terwijl het aan de andere kant van de muur Googles surveillanceapparaat op jouw apparatuur bezegelt." bron: https://www.security.nl

Exchange Server 2019 krijgt dit jaar, net als vorig jaar, geen tweede grote update. Dat heeft Microsoft laten weten. Vorig jaar maakte het techbedrijf bekend dat het updatebeleid voor Exchange Server op de schop ging. In plaats van elk kwartaal werd besloten om voortaan twee Cumulative Updates per jaar voor Exchange Server uit te brengen. Eén in de eerste helft van het jaar, de ander in de tweede helft. Cumulative Updates bevatten bugfixes, nieuwe features en alle eerder uitgekomen beveiligingsupdates voor Exchange. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie een bepaalde CU-versie geïnstalleerd hebben. De tweede grote update voor Exchange Server van dit jaar was nog altijd niet verschenen en zal ook niet meer komen. November heeft nog minder dan twee weken en Microsoft brengt geen Cumulative Updates uit in december. Daardoor zal er geen H2 2023 CU verschijnen. Vorig jaar deed zich precies een zelfde situatie voor. Verder laat Microsoft weten dat Exchange Server 2019 nog twee Cumulative Updates zal ontvangen. Namelijk CU14 (H1 2024) en CU15 (H2 2024). CU14 zal waarschijnlijk volgend jaar januari verschijnen en biedt support voor onder andere TLS 1.3 en zal standaard Extended Protection inschakelen, dat servers tegen man-in-the-middle-aanvallen moet beschermen. bron: https://www.security.nl

Mozilla heeft een onbekend bedrag in e-mailbeveiliger Sendmarc geïnvesteerd. Het bedrijf helpt ondernemingen en organisaties bij het implementeren van DMARC voor hun e-mail. Dit is een protocol dat gespoofte e-mails moet detecteren en voorkomen en wordt boven twee andere standaarden gebruikt, namelijk Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM). Via DMARC kan een organisatie aangeven wat een e-mailserver moet doen met e-mails die niet aan het gepubliceerde SPF- en DKIM-beleid voldoen. Op deze manier kunnen spam en phishingmails worden gestopt. Sendmarc is wereldwijd actief en wordt onder andere door Fortune 500-bedrijven gebruikt. Mozilla heeft nu een belang in het bedrijf genomen, maar wil de omvang van de investering nog niet bekendmaken. "De investering helpt Sendmarc om essentiële DMARC-bescherming aan duizenden klanten wereldwijd te bieden", aldus de Firefox-ontwikkelaar. Mozilla doet de investering via het eigen durfkapitaalfonds Mozilla Ventures, dat investeert in tech start-ups die voor een beter internet zorgen, zo laat Mozilla verder weten. "DMARC, SPF en DKIM zijn een essentiële combinatie om veilig te e-mailen", zo stelt het Forum Standaardisatie. De beveiligingsstandaard is verplicht voor alle Nederlandse overheidsdomeinnamen, maar in de praktijk blijkt dat de overheid achterloopt bij het implementeren van de standaarden. bron: https://www.security.nl

Microsoft is een nieuw bugbountyprogramma gestart waarbij het onderzoekers bedragen tot 20.000 dollar betaalt voor het melden van kritieke kwetsbaarheden in de eigen Defender-beveiligingssoftware en -diensten. Vooralsnog is het programma beperkt tot Microsoft Defender for Endpoint API's, maar zal in de toekomst verder worden uitgebreid met andere Defender-producten. Onder Defender biedt Microsoft onder andere een eigen virusscanner gericht op zowel eindgebruikers als bedrijven. Beveiligingssoftware, zoals antivirus, zit vaak diep genesteld in systemen of heeft vergaande rechten en toegang. Kwetsbaarheden kunnen dan ook grote gevolgen hebben. Voor een beveiligingslek waardoor een aanvaller via Defender willekeurige code op systemen kan uitvoeren biedt Microsoft 20.000 dollar. Kwetsbaarheden die een aanvaller de mogelijkheid geven om zijn rechten te verhogen of informatie te stelen worden met maximaal 8.000 dollar beloond. bron: https://www.security.nl

Firefox is van een nieuwe optie voorzien waarmee gebruikers een signaal naar websites kunnen sturen om geen gebruikersdata te delen of verkopen aan derde partijen. Daarnaast blokkeert de browser nu bij Duitse gebruikers cookiebanners en stript trackingparameters in URL's. Verder is voor alle gebruikers de bescherming tegen fingerprinting verbeterd. Met de lancering van Firefox 120 ondersteunt de browser nu een voorgestelde standaard genaamd Global Privacy Control (GPC). Via deze optie kunnen gebruikers aan websites aangeven dat ze niet willen dat hun data wordt gedeeld en verkocht aan derden. In sommige jurisdicties, zoals in de Amerikaanse staat Californië, wordt Global Privacy Control als een juridisch handhaafbare methode gezien waarmee consumenten zich voor gerichte advertenties kunnen afmelden of websites kunnen verzoeken om de verkoop of het delen van hun persoonlijke data te beperken. "Zonder GPC worden gebruikers gedwongen om herhaaldelijk hun bezwaar tegen tracking duidelijk te maken, wat kan leiden tot toestemmingsmoeheid, zelfs in gebieden waar gebruikers basale rechten rond hun data hebben", aldus Mozilla. "Zodra verzameld hebben de meeste mensen geen idee hoe data wordt opgeslagen, gedeeld of zelfs verkocht. GPC moet het eenvoudiger voor mensen maken om hun privacyvoorkeuren te communiceren en rechten uit te oefenen." Gebruikers moet GPC wel zelf binnen de browser inschakelen. Cookiebanners Een andere nieuwe feature in Firefox is het blokkeren van cookiebanners bij Duitse gebruikers. Firefox zal bij onze Oosterburen nu in alle privévensters standaard cookies weigeren en automatisch de 'irritante' cookiemeldingen bij websites sluiten. Verder staat voor Duitse gebruikers nu ook standaard in privévensters URL Tracking Protection ingeschakeld, waarbij Firefox trackingparameters in URL's stript. Wanneer de features in andere landen beschikbaar komen is nog niet bekend. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Computers in de Europese Unie die Windows 10 of 11 draaien zullen voor 6 maart volgend jaar aan de Digital Markets Act voldoen, zo heeft Microsoft aangekondigd. Gebruikers kunnen dan onder andere vooraf geïnstalleerde apps verwijderen, waaronder de Camera-app, Cortana, Microsoft Edge, Photos-app en de Web Search uit de Bing-zoekmachine. Gebruikers die de apps verwijderen kunnen die later weer via de Microsoft Store en internet installeren. Verder zal Windows aan gebruikers in de Europese Unie vragen of ze hun Microsoft-account met Windows willen synchroniseren, zodat hun data ook op andere Windows-apparaten en in Microsoft-producten beschikbaar is waar gebruikers inloggen. De informatie die van andere Microsoft-producten in een Microsoft-account wordt opgeslagen zal ook in Windows beschikbaar zijn. Windows gebruikt de regio die gebruikers tijdens de eerste setup aangeven om te bepalen of de computer zich in de Europese Unie bevindt. Eenmaal gekozen wordt de regio gebruikt om aan de Digital Markets Act te voldoen en kan alleen worden aangepast door het resetten van de pc. Microsoft heeft de mogelijkheid om bepaalde apps te verwijderen al toegevoegd aan testversies van Windows 11. Uiteindelijk zullen computers met Windows 10 versie 22H2 en Windows 11 versie 23H2 in de Europese Unie voor 6 maart volgend jaar 'DMA compliant' zijn, aldus Microsoft. bron: https://www.security.nl

De zeer populaire adblocker uBlock Origin gaat door nieuw Google-beleid een belangrijk onderdeel missen voor het blokkeren van advertenties en trackers, zo heeft ontwikkelaar Raymond Gorhill laten weten. De manier waarop extensies binnen Chrome en andere browsers mogen werken staat beschreven in een manifest. Google zal versie drie (V3) van het manifest voor extensies gaan verplichten en extensies die op V2 zijn gebaseerd bij Chrome-gebruikers uitschakelen. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API in Manifest V3 voorgesteld genaamd declarativeNetRequest (DNR). DNR zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Dit zorgde voor felle kritiek van extensie-ontwikkelaars en Google besloot daarop de uitfasering van Manifest V2-extensies tijdelijk uit te stellen en kondigde aanpassingen aan. Vorige week maakte het techbedrijf bekend dat het de migratie naar Manifest V3 hervat en volgend jaar juni begint met het uitschakelen van Manifest V2-extensies bij Chrome-gebruikers. In de aankondiging stelde Google dat het door de gedane aanpassingen de zorgen bij extensie-ontwikkelaars had weggenomen. Volgens Gorhill zal een belangrijk onderdeel van uBlock Origin niet naar de Manifest V3-versie van de adblocker kunnen worden overgezet en zal de adblocker daardoor straks minder effectief zijn. Het gaat dan specifiek om dynamic filtering. Veel adblockers maken gebruik van statische filters gebaseerd op lijsten met bekende advertentienetwerken en trackers om die te blokkeren. Dat doet uBlock Origin ook, maar het biedt ook dynamic filtering, dat regels vergelijkbaar met die van een firewall toepast. Deze belangrijke feature zal niet in Manifest V3 mogelijk zijn, aldus Gorhill op Twitter. bron: https://www.security.nl

Het Tor Project heeft onlangs een groot aantal relays uit het Tor-netwerk verwijderd omdat de personen die ze hadden toegevoegd er geld mee wilden verdienen. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Het netwerk draait volledig op servers en bandbreedte die door vrijwilligers wordt gedoneerd. Onlangs ontdekte het Tor Project verschillende servers die door beheerders waren toegevoegd die daar geld mee wilden verdienen. De serverbeheerders doen mee aan een project dat cryptotokens belooft als ze hun server onderdeel van het Tor-netwerk maken. Volgens het Tor Project zijn deze servers vanwege verschillende redenen schadelijk voor het netwerk. Zo voldoen de servers niet allemaal aan de eisen die het Tor Project stelt en kunnen dit soort financiële prikkels een grote dreiging voor de integriteit van het netwerk en reputatie van het project vormen. "Aangezien ze individuen met kwade bedoelingen kunnen aantrekken, gebruikers in gevaar kunnen brengen en de door vrijwilligers-gedreven geest van de Tor-gemeenschap kunnen verstoren", aldus Isabela Bagueros, directeur van het Tor Project. De organisatie deed onderzoek naar de toegevoegde servers en nam ook contact op met de beheerders. Die bleken vaak niet te weten waar ze precies deel aan namen of servers in onveilige of risicovolle regio's beheerden. "Het is duidelijk voor ons geworden dat dit project niet goed voor het Tor-netwerk of Tor Project is. Daarom hebben we aan onze directory authorities voorgesteld de servers te verwijderen, die hier voor stemden", stelt Bagueros. De naam van het 'financial scheme' is niet door Bagueros bekendgemaakt, maar het gaat mogelijk om het ATOR Protocol. Dit project beloont personen met de ATOR-cryptovaluta als ze hun servers aan het Tor-netwerk toevoegen. ATOR biedt ook een Router Hotspot en Relay waarmee gebruikers hun verkeer via Tor kunnen laten lopen. Daarnaast heeft het project als doel om geanonimiseerde betalingen mogelijk te maken, waarbij het gebruikmaakt van het Tor-netwerk. bron: https://www.security.nl