Captain Kirk

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Microsoft SharePoint Server waarvoor vorig jaar mei een beveiligingsupdate verscheen. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het beveiligingslek werd vorig maart tijdens de Pwn2Own-wedstrijd in Vancouver door onderzoekers van STAR Labs gedemonstreerd, die daarmee 100.000 dollar verdienden. Het beveiligingslek, aangeduid als CVE-2023-24955, maakt remote code execution op SharePoint-servers mogelijk. Authenticatie is in dit geval wel vereist. Tijdens de Pwn2Own-wedstrijd combineerden de onderzoekers CVE-2023-24955 met een ander beveiligingslek (CVE-2023–29357) waardoor een ongeauthenticeerde aanvaller SharePoint-servers op afstand kan overnemen. In januari van dit jaar meldde het CISA misbruik van CVE-2023-29357. Nu wordt ook misbruik van CVE-2023-24955 gemeld. Details over de waargenomen aanvallen zijn niet gegeven. Beheerders worden opgeroepen de update van Microsoft, die sinds 9 mei 2023 beschikbaar is, te installeren. bron: https://www.security.nl

Facebook heeft in het geheim Snapchat-gebruikers afgeluisterd die de vpn-tool Onavo van Facebook gebruikten. Dat blijkt uit documenten die als onderdeel van een rechtszaak tegen Meta openbaar zijn geworden (pdf). Facebook wilde via 'Project Ghostbusters', wat een referentie is naar het spooklogo van Snapchat, het gedrag van Snapchat-gebruikers analyseren, om zo een competitief voordeel te krijgen. Onavo Protect werd in 2013 door Facebook overgenomen en bood gebruikers een gratis vpn-dienst aan. Meta (destijds nog Facebook) stelde dat de app de gegevens en activiteiten van gebruikers zou beschermen en dat de verzamelde data alleen werd gebruikt voor het kunnen aanbieden van de vpn-dienst. In werkelijkheid werd het gedrag van gebruikers, zoals welke apps ze gebruikten en hoelang, door Onavo en Facebook verzameld. Vervolgens werden de gegevens gedeeld met moederbedrijf Meta. De data werd gebruikt voor Meta's marktonderzoek, zo werd vorig jaar duidelijk, toen Meta in Australië een boete van 20 miljoen dollar kreeg voor het misleiden van gebruikers van de Onavo Protect vpn-app. Volgens de nu openbaar geworden documenten kon Facebook via de vpn-app uitgebreid analyseren hoe gebruikers Snapchat gebruikten. Het programma zou later ook zijn uitgebreid naar Amazon en YouTube. Binnen Facebook was er ook kritiek op de werkwijze, zo meldt TechCrunch. "Ik kan geen goede reden verzinnen waarom dit oké is. Geen enkel securitypersoon vindt dit prima, ongeacht of we toestemming van het publiek krijgen. Mensen weten gewoon niet hoe dit precies werkt", laat het toenmalig hoofd security engineering in een e-mail weten. Volgens de aanklagers in deze zaak heeft Facebook de Amerikaanse 'Wiretap' wetgeving overtreden, die het verbiedt om elektronische communicatie van mensen af te luisteren. Verder zou uit de documenten blijken dat Meta-topman Mark Zuckerberg direct betrokken was bij de gesprekken over de vpn-tool. Zo werd in 2019 nog een e-mail naar hem gestuurd waarin expliciet om zijn beslissing werd gevraagd of SSL-decryptie, waarbij Project Ghostbusters werd bedoeld, moest stoppen, laat Quartz weten. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Google Chrome maakt remote code execution mogelijk, waardoor een aanvaller in het ergste geval systemen volledig kan overnemen. Een gebruiker hoeft hiervoor alleen een gecompromitteerde of besmette website te bezoeken of een besmette advertentie te zien krijgen. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. Google heeft updates uitgebracht om het probleem (CVE-2024-2883) te verhelpen. Het is de eerste kritieke kwetsbaarheid die dit jaar door het techbedrijf in de browser wordt gemeld. Het beveiligingslek, een use after free, bevindt zich in ANGLE. Dit is een onderdeel van de browser dat wordt gebruikt voor het uitvoeren van WebGL- en andere OpenGL-content. De kwetsbaarheid werd gevonden en gerapporteerd door beveiligingsonderzoeker Cassidy Kim, die hiervoor een beloning van 10.000 dollar ontving. Google heeft ook een kwetsbaarheid verholpen die tijdens de Pwn2Own-wedstrijd in Vancouver vorige week door onderzoeker Manfred Paul werd gedemonstreerd. Dit beveiligingslek heeft een lagere impact, omdat het alleen het uitvoeren van code binnen de browser mogelijk maakt, terwijl CVE-2024-2883 een aanvaller code op het onderliggende systeem laat uitvoeren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 123.0.6312.86/.87 is beschikbaar voor Windows en macOS. Voor Linux is versie 123.0.6312.86 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Vpn-provider Atlas VPN stopt op 24 april met bestaan. Bestaande klanten zullen automatisch naar zusterbedrijf NordVPN worden overgezet. Dat heeft het bedrijf vandaag in een blogposting aangekondigd. Volgens Atlas VPN heeft het met onmogelijke uitdagingen te maken, waaronder technologische eisen, een zeer competitieve markt en oplopende kosten. "Deze factoren hebben ons doen besluiten dat het doorgaan met Atlas VPN op de lange termijn niet houdbaar is." Bestaande klanten worden voor het restant van hun abonnement overgezet naar NordVPN. De vereiste gegevens voor een abonnement bij NordVPN, waaronder de duur van het abonnement en e-mailadres van de gebruiker, worden hiervoor doorgegeven. Volgens Atlas VPN biedt NordVPN de meeste features die het zelf ook biedt. Klanten die niet naar NordVPN willen migreren kunnen dit tot 22 april kenbaar maken. bron: https://www.security.nl

In de eerste week van maart zijn meer dan zesduizend routers van fabrikant Asus onderdeel van een proxy-botnet geworden, zo meldt securitybedrijf Lumen Technologies. De besmette routers worden vervolgens als proxy aan criminelen aangeboden, die zo bij het uitvoeren van fraude, malware en andere aanvallen hun sporen kunnen verbergen. De malware in kwestie wordt TheMoon genoemd en bestaat al sinds 2014. In eerste instantie richtte de malware zich alleen op Linksys-routers, maar in 2016 werden opeens ook Asus-routers aangevallen. Lumen Technologies laat niet weten hoe de Asus-routers begin deze maand besmet raakten, maar meldt wel dat het om end-of-life apparaten gaat die niet meer met beveiligingsupdates worden ondersteund. Naast het gebruik van besmette routers als proxy, worden de apparaten ook gebruikt voor het scannen naar en infecteren van andere routers. In de eerste weken van dit jaar bestond het botnet uit 40.000 apparaten in 88 landen. Begin maart kwamen daar binnen een periode van nog geen drie dagen meer dan zesduizend Asus-routers bij. Volgens de onderzoekers kiezen cybercriminelen steeds vaker voor 'residentiële' proxyservers bij het uitvoeren van aanvallen in plaats van het gebruik van vpn's of het Tor-netwerk. bron: https://www.security.nl

De Duitse overheid heeft vandaag een waarschuwing gegeven voor 17.000 Microsoft Exchange-servers in het land die één of meerdere kritieke kwetsbaarheden bevatten en daardoor risico lopen om te worden aangevallen. Een zelfde aantal is mogelijk kwetsbaar. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, roept beheerders en organisaties dan ook op om in actie te komen. Volgens het BSI blijkt uit onderzoek dat Duitsland 45.000 Exchange-servers telt die via Outlook Web Access (OWA) toegankelijk zijn. Twaalf procent van deze servers draait Exchange Server 2010 of 2013, die al lang niet meer worden ondersteund. Een kwart van de servers draait de nog wel ondersteunde Exchange-versies 2016 of 2019, alleen missen beveiligingsupdates. Dat houdt in dat 37 procent van de toegankelijke Exchange-servers in Duitsland kwetsbaar is, aldus het BSI. Voor 48 procent van de Exchange-servers bij onze Oosterburen kon het BSI niet duidelijk vaststellen of ze nog kwetsbaar zijn. Vanwege de situatie heeft de overheidsinstantie dreigingsniveau 'oranje' afgegeven (pdf). Dat wil zeggen dat de it-dreiging voor grootschalige verstoring van de bedrijfsvoering kan zorgen. Exchange-beheerders worden dan ook opgeroepen om geregeld te controleren of hun servers nog wel up-to-date zijn. Tevens wordt aangeraden om webdiensten van Exchange-servers, zoals Outlook Web Access, niet direct vanaf het internet toegankelijk te maken maar achter een vpn te plaatsen. bron: https://www.security.nl

Python-ontwikkelaars zijn via een malafide versie van de populaire package Colorama besmet geraakt met malware, waardoor ook verschillende GitHub-accounts konden worden gekaapt. Dat laat securitybedrijf Checkmarx weten. Colorama is een populaire package die ontwikkelaars gebruiken voor het toevoegen van onder andere kleuren aan hun tekst in terminal outputs. De tool telt meer dan 150 miljoen downloads per maand. Colorama wordt aangeboden via de Python Package Index (PyPI), een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Het subdomein files.pythonhosted.org is een officiële PyPI-mirror. De aanvallers namen het programma Colorama en voegden malware toe die session cookies, wachtwoorden, creditcardgegevens, cryptowallets, Telegram-sessies, Instagram-data en andere bestanden van een systeem kan stelen. Vervolgens werd de aangepaste, malafide versie via een .org-domein met de naam 'files.pypihosted' aangeboden, wat lijkt op de officiële mirror files.pythonhosted.org. Via de gestolen cookies konden de aanvallers weer toegang tot andere accounts van hun slachtoffers krijgen, waaronder GitHub-accounts. Hoeveel ontwikkelaars slachtoffer zijn geworden is onbekend. Het domein is inmiddels offline gehaald. bron: https://www.security.nl

Het Metasploit Framework, dat door pentesters en andere securityprofessionals wordt gebruikt, heeft na veertien maanden weer een grote update gekregen. Het vandaag gelanceerde Metasploit Framework 6.4 bevat verbeteringen voor het uitvoeren van Kerberos-gebaseerde aanvallen, uitgebreidere dns-configuratie, nieuwe session types en een nieuwe feature voor Windows Meterpreter om procesgeheugen te doorzoeken. Metasploit is een door securitybedrijf Rapdi7 ontwikkeld opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het is erg geliefd bij penetratietesters en securityprofessionals. Het bevat allerlei modules en exploits waarmee er misbruik van kwetsbaarheden kan worden gemaakt. Vorig jaar januari verscheen Metasploit 6.3, vandaag is versie 6.4 uitgekomen. bron: https://www.security.nl

De Europese Commissie is een onderzoek gestart naar Alphabet, Apple en Meta voor het mogelijk overtreden van de Europese Digital Markets Act (DMA). Het gaat dan om het 'betaal of oké' model van Meta, en de manier waarop Apple en Alphabet hun eigen diensten zouden bevooroordelen en andere app-ontwikkelaars juist zouden hinderen. Als 'gatekeepers' moeten Apple en Alphabet het externe ontwikkelaars toestaan dat ze klanten apps en producten ook buiten de appstores van de gatekeepers kunnen aanbieden. De Europese Commissie maakt zich naar eigen zeggen zorgen dat de manier waarop de techbedrijven dit doen niet compliant met de DMA is, aangezien er verschillende beperkingen worden opgelegd. Tevens onderzoekt Brussel of Google via de eigen zoekmachine andere Google-diensten in de zoekresultaten bevooroordeelt In het geval van Apple wordt gekeken of iOS-gebruikers wel eenvoudig al geïnstalleerde apps kunnen verwijderen, de standaardinstellingen kunnen wijzigen en of het via de keuzeschermen eenvoudig is om een andere browser of zoekmachine in te stellen. Wat betreft het 'betaal of oké' model van Meta is de Europese Commissie bezorgd dat de keuze die Meta met het model oplegt geen echt alternatief is in het geval gebruikers geen toestemming geven. Gebruikers van Facebook of Instagram moeten een maandelijks bedrag van minimaal tien euro per maand per account betalen. Als ze dit bedrag niet kunnen of willen betalen, gaan ze er automatisch mee akkoord dat ze worden gevolgd en hun persoonlijke gegevens voor gerichte advertenties worden gebruikt. Het nu aangekondigde onderzoek moet binnen twaalf maanden zijn afgerond, waarna er maatregelen kunnen volgen die de techbedrijven moeten doorvoeren. Mochten er overtredingen worden vastgesteld kunnen er boetes tot twintig procent van de jaaromzet worden opgelegd. bron: https://www.security.nl

De FBI heeft softwareontwikkelaars opgeroepen om een einde aan SQL Injection te maken, een klasse van beveiligingslekken die al sinds 1998 bestaat, maar nog altijd voorkomt. "Ondanks wijdverbreide kennis en documentatie van SQL Injection-kwetsbaarheden, alsmede beschikbaarheid van effectieve oplossingen, blijven softwareontwikkelaars producten met deze kwetsbaarheid ontwikkelen, wat veel klanten risico laat lopen", aldus de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security (pdf). Bij SQL Injection kan een aanvaller SQL-opdrachten op een systeem uitvoeren. Zie dit Security.NL achtergrondartikel voor meer details. In 2007 werd SQL Injection nog als een 'onvergeeflijke' kwetsbaarheid bestempeld. Zeventien jaar later is het probleem nog altijd op grote schaal aanwezig. De MITRE Corporation, de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden mee te identificeren, stelde vorig jaar nog dat SQL Injection in de Top 3 van meestvoorkomende beveiligingslekken staat. Vandaag roepen de FBI en het CISA softwareleveranciers en fabrikanten op om hun code op de aanwezigheid van SQL Injection te controleren. Daarnaast moeten alle klanten hun leveranciers vragen of ze een dergelijke controle hebben uitgevoerd. Mocht uit deze controle blijken dat de code kwetsbaar is voor SQL Injection, moeten ontwikkelaars meteen beginnen met het implementeren van oplossingen, aldus de oproep van de Amerikaanse overheidsdiensten. "Het toepassen van security in producten vanaf het begin kan SQL Injection voorkomen." Volgens de FBI en het CISA is SQL Injection nog steeds succesvol omdat softwareontwikkelaars gebruikersinvoer niet als mogelijk kwaadaardig beschouwen. Als oplossing wordt het gebruik van parameterized queries met prepared statements aangeraden, om zo SQL-code van gebruikersinvoer te scheiden. "Deze scheiding zorgt ervoor dat het systeem gebruikersinvoer als data behandelt en niet als uitvoerbare code, waardoor het risico wordt geëlimineerd dat malafide gebruikersinvoer als SQL-statement wordt gezien." Daarbij zien de overheidsdiensten een belangrijke rol weggelegd voor bestuurders en topmanagers om kwetsbaarheden zoals SQL Injection te voorkomen. Zo moet er in de organisatie prioriteit worden gegeven aan proactieve maatregelen, zoals het toepassen van veilig programmeren, waaronder het gebruik van parametrized queries, en het afhankelijk zijn van reactieve maatregelen te verminderen. Daarnaast moet topmanagement ervoor zorgen dat hun organisatie audits uitvoert om kwetsbaarheden zoals SQL Injection te detecteren. bron: https://www.security.nl

Je hebt verschillende 'gratis"alternatieven. Probeer bijvoorbeeld eens Serato-lite. Het is wel vaak even kijken welke lekker werkt. Besef wel dat je bij de gratis versies bepaalde functies mist.

Meer dan tienduizend WordPress-sites lopen door een kritieke kwetsbaarheid in twee plug-ins, die niet meer worden ondersteund, het risico om door criminelen te worden overgenomen. Het gaat om de 'Malware Scanner' en 'Web Application Firewall' van een ontwikkelaar genaamd MiniOrange. De twee plug-ins zijn juist ontwikkeld om WordPress-sites tegen allerlei aanvallen en malware te beschermen. De Malware Scanner draait op meer dan tienduizend websites, de Web Application Firewall is op driehonderd sites actief. Beide plug-ins bevatten dezelfde kwetsbaarheid waardoor een ongeauthenticeerde aanvaller het wachtwoord van gebruikers kan resetten. De enige voorwaarde is dat een aanvaller een geldige gebruikersnaam opgeeft. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem werd op 5 maart aan de ontwikkelaar van de plug-ins gerapporteerd. In plaats van een update te ontwikkelen besloot die met de plug-ins te stoppen. Vanwege de impact van de kwetsbaarheid en het ontbreken van een patch roept securitybedrijf Wordfence alle gebruikers op om de plug-ins meteen van hun website te verwijderen. bron: https://www.security.nl

Google Chrome gaat alle websites die gebruikers bezoeken in real-time controleren. Voorheen gebruikte de browser een lokaal opgeslagen lijst om te zien of een website of bestand mogelijk gevaarlijk is. Chrome maakt al lange tijd gebruik van Safe Browsing om gebruikers voor malafide en phishingsites te waarschuwen. De browser maakte hiervoor altijd gebruik van een lokaal opgeslagen lijst van bekende malafide sites, die elke dertig tot zestig minuten wordt bijgewerkt. Volgens Google zijn phishingdomeinen tegenwoordig veel geraffineerder geworden en bestaat zestig procent van de phishingsites minder dan tien minuten, waardoor ze lastig te blokkeren zijn. Daarom controleert Google nu in real-time of Chrome-gebruikers een bekende malafide site bezoeken. Dit zou voor een "25 procent verbeterde bescherming" tegen malware en phishing moeten zorgen, zo beweert het techbedrijf. Chrome-gebruikers konden sinds 2020 bezochte websites al in real-time laten controleren, maar moesten hier zelf voor kiezen door Enhanced Safe Browsing in te schakelen. Bij het gebruik van Enhanced Safe Browsing wordt er meer data met het techbedrijf gedeeld. Zo worden alle geopende links naar Google gestuurd. Ook stuurt de browser een klein deel van de bezochte webpagina's en verdachte downloads naar Google om nieuwe dreigingen te ontdekken. De nu aangekondigde 'real-time protection' wordt standaard onderdeel van Chrome en Google stelt dat het daarbij niet kan zien welke websites gebruikers bezoeken. De feature is beschikbaar voor desktop- en iOS-versie. Android volgt later deze maand. Gebruikers die meer bescherming willen kunnen hiervoor Enhanced Safe Browsing inschakelen. bron: https://www.security.nl

Mozilla blijft op Manifest V2-gebaseerde browser-extensies in Firefox voorlopig ondersteunen en als er wordt besloten om hiermee te stoppen zal dit tenminste twaalf maanden van tevoren worden aangekondigd, zodat extensie-ontwikkelaars hierop kunnen anticiperen. Dat heeft Mozilla aangekondigd. De manier waarop browser-extensies werken staat beschreven in een Manifest. Over een aantal maanden zal Google voor Chrome Manifest V3 verplichten. De nieuwe regels van dit Manifest bieden volgens Google allerlei voordelen, maar critici stellen dat ze de werking van adblockers beperken. Ook Firefox maakt gebruik van een Manifest en is bezig met de implementatie van Manifest V3. In tegenstelling tot Google is Mozilla niet van plan om adblockers via Manifest V3 te beperken. De Manifest V3-implementatie van Mozilla verschilt van die van Google. Browser-extensies kunnen aangeven of ze met Chrome of Firefox werken. Google zal daarnaast Manifest V2-extensies in Chrome dit jaar bij gebruikers gaan uitschakelen, zodat die alleen nog V3-extensies kunnen gebruiken. Firefox heeft geen plannen om V2-extensies voorlopig uit te faseren. Mocht Mozilla daarop terugkomen, zegt het dit minstens twaalf maanden van tevoren bekend te maken. Dit moet extensie-ontwikkelaars de tijd geven om hun extensie aan te passen. bron: https://www.security.nl

Het plan van de Amerikaanse staat Nevada om de uitrol van end-to-end encrypte in Facebook Messenger te verbieden ondermijnt de privacy en veiligheid voor iedereen, zo stelt Mozilla. Dat schreef samen met chatapp Signal en de Amerikaanse burgerrechtenbeweging EFF een brief naar de rechter die zich over het plan buigt (pdf). Daarin waarschuwen de partijen voor de gevolgen die een dergelijk verbod kan hebben. De procureur-generaal van Nevada heeft een verzoek bij de rechter ingediend om de uitrol van end-to-end encryptie in Facebook Messenger voor minderjarigen via een gerechtelijk bevel te verbieden. De Amerikaanse staat stelt dat end-to-end encryptie strafrechtelijke onderzoeken kan hinderen. "Encryptie voorkomt niet dat de afzender of ontvanger zorgwekkende content bij de politie kunnen melden, of voorkomt dat de politie via een gerechtelijk bevel toegang tot metadata over de communicatie kan krijgen", aldus Mozilla. De Firefox-ontwikkelaar waarschuwt dat het blokkeren van de uitrol van end-to-end encryptie de privacy en veiligheid van iedereen ondermijnt. "Voor een marginaal voordeel dat wordt tenietgedaan door de schade die een dergelijke draconische beperking creëert." Volgens Mozilla omvat de zaak een breder debat over de balans tussen opsporingsdiensten online misdaad laten bestrijden en het beschermen van belangrijke online bescherming voor alle gebruikers, met name kwetsbare groepen zoals kinderen. bron: https://www.security.nl

Tijdens de patchdinsdag van maart heeft Microsoft updates voor 61 kwetsbaarheden uitgebracht, waaronder twee kritieke kwetsbaarheden in Microsoft Hyper-V. Dit is Microsofts virtualisatiesoftware waarmee virtual machines (VM's) zijn te maken. Eén van de kritieke kwetsbaarheden in Hyper-V (CVE-2024-21408) maakt het mogelijk voor een aanvaller om een denial of service te veroorzaken. Normaliter worden dergelijke beveiligingslekken niet als kritiek beoordeeld, maar in dit geval wel. Microsoft geeft echter geen verdere details. De tweede kritieke Hyper-V-kwetsbaarheid (CVE-2024-21407) maakt het mogelijk voor een geauthenticeerde aanvaller op een gast-VM om code op de onderliggende host-server uit te voeren. Volgens Microsoft zou een aanvaller voor een succesvolle aanval eerst specifieke informatie over de aan te vallen omgeving moeten verzamelen en aanvullende acties moeten ondernemen. Het techbedrijf stelt dat misbruik van beide Hyper-V-kwetsbaarheden 'minder waarschijnlijk' is. De overige kwetsbaarheden die Microsoft deze maand heeft verholpen hebben een lagere impact, aldus het techbedrijf. bron: https://www.security.nl

Tijdens de patchdinsdag van maart heeft Microsoft updates voor 61 kwetsbaarheden uitgebracht, waaronder twee kritieke kwetsbaarheden in Microsoft Hyper-V. Dit is Microsofts virtualisatiesoftware waarmee virtual machines (VM's) zijn te maken. Eén van de kritieke kwetsbaarheden in Hyper-V (CVE-2024-21408) maakt het mogelijk voor een aanvaller om een denial of service te veroorzaken. Normaliter worden dergelijke beveiligingslekken niet als kritiek beoordeeld, maar in dit geval wel. Microsoft geeft echter geen verdere details. De tweede kritieke Hyper-V-kwetsbaarheid (CVE-2024-21407) maakt het mogelijk voor een geauthenticeerde aanvaller op een gast-VM om code op de onderliggende host-server uit te voeren. Volgens Microsoft zou een aanvaller voor een succesvolle aanval eerst specifieke informatie over de aan te vallen omgeving moeten verzamelen en aanvullende acties moeten ondernemen. Het techbedrijf stelt dat misbruik van beide Hyper-V-kwetsbaarheden 'minder waarschijnlijk' is. De overige kwetsbaarheden die Microsoft deze maand heeft verholpen hebben een lagere impact, aldus het techbedrijf. bron: https://www.security.nl

Een Belgisch bedrijf heeft op meerdere punten de AVG overtreden door foto's van een ex-werknemer niet van de bedrijfssite en social media te verwijderen nadat die hierom had gevraagd, zo heeft de Belgische privacytoezichthouder GBA geoordeeld (pdf). De medewerkster was tot 2021 bij het bedrijf in dienst. In augustus 2023 ontdekte ze dat haar foto's op de website van het bedrijf werden gebruikt om nieuw personeel te werven. De medewerkster vroeg haar ex-werkgever om al haar foto's van de bedrijfssite en social media te verwijderen en ze niet meer in de toekomst te gebruiken. De ex-werkgever reageerde door te stellen dat een regeling voor het gebruik van fotomateriaal na uitdiensttreding werd uitgewerkt en het bedrijf dus aan de regels voldeed. Tevens liet het bedrijf weten dat er aan nieuw fotomateriaal werd gewerkt om dergelijke situaties in de toekomst te voorkomen. Begin november vorig jaar diende de ex-werknemer een klacht in bij de GBA. De Belgische privacytoezichthouder merkt op dat iemands naam en foto onder de AVG persoonlijke gegevens zijn en de publicatie hiervan als gegevensverwerking kan worden aangemerkt. Elke gegevensverwerking moet een juridische grondslag hebben. Het kan dan bijvoorbeeld gaan om toestemming, contract of legitiem belang. In dit geval oordeelt de GBA dat er in de relatie van werknemer-werkgever geen sprake is van 'vrije' toestemming. Daarnaast kan het bedrijf ook geen beroep doen op een contract, aangezien dat al in 2021 is geëindigd. Maar zelfs als de werknemer nog in dienst was had het bedrijf dit niet als grondslag kunnen gebruiken, omdat het publiceren van foto's van een werknemer niet noodzakelijk zijn om het werknemerscontract uit te voeren. Het werven van een nieuw personeel kan wel een legitiem belang zijn, maar volgens de GBA is het hier niet noodzakelijk voor om foto's te plaatsen. Daarnaast had de werknemer ook geen redelijke verwachting kunnen hebben dat haar foto door haar ex-werkgever zou worden gepubliceerd, zeker omdat ze voor een concurrent ging werken. Volgens de toezichthouder is er dan ook sprake van onrechtmatige gegevensverwerking. Verder hebben mensen het recht onder de AVG om hun data te laten verwijderen. De GBA heeft het bedrijf dan ook opgedragen om het verzoek van de ex-werknemer binnen dertig dagen uit te voeren. bron: https://www.security.nl

Fortinet waarschuwt organisaties voor twee kritieke kwetsbaarheden in de captive portal van FortiOS en FortiProxy waardoor een aanvaller code en commando's op het systeem kan uitvoeren. De impact van de beveiligingslekken (CVE-2023-42789 en CVE-2023-42790) is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. Beide producten bieden een captive portal die gebruikers authenticeert voordat ze toegang tot 'web resources' krijgen. Door het versturen van speciaal geprepareerde HTTP requests kan een aanvaller een out-of-bounds write of buffer overflow veroorzaken en zo code of commando's op het systeem uitvoeren. Fortinet heeft beveiligingsupdates voor FortiOS en FortiProxy uitgebracht. Daarnaast kunnen organisaties ook een workaround doorvoeren wat misbruik van de beveiligingslekken voorkomt. Vorige week bleek nog dat 150.000 Fortinet-apparaten een belangrijke beveiligingsupdate voor een actief aangevallen kwetsbaarheid niet hebben geïnstalleerd. bron: https://www.security.nl

Het Tor Project heeft vandaag een nieuwe tool gelanceerd waarmee Tor-gebruikers overheidscensuur kunnen omzeilen. WebTunnel, zoals de tool heet, neemt het Tor-verkeer en vermomt dat als gewoon webverkeer. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er "Tor-bridges". Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt. WebTunnel is ook een soort bridge en is een aanvulling op de al bestaande obfs4-bridge die Tor gebruikt. Obfs4 probeert het verkeer volledig onherkenbaar te maken. WebTunnel kiest juist een aanpak waarbij het normaal verkeer nabootst. Dit zou vooral effectief moeten zijn in scenario's waarbij er een protocol allow list en een 'deny-by-default' netwerkomgeving is, laat Gustavo Gus van het Tor Project weten. Sommige landen, zoals China, blokkeren internetverkeer op basis van het protocol. Obfs4-verkeer komt niet overeen met een bekend toegestaan protocol, waardoor het wordt geblokkeerd. WebTunnel lijkt op normaal HTTPS-verkeer, wat een toegestaan protocol is, en wordt dan ook doorgelaten. Op dit moment worden WebTunnel-bridges alleen via de bridges-website van het Tor Project aangeboden, maar het plan is om ze bijvoorbeeld ook via Telegram te gaan aanbieden. bron: https://www.security.nl

Streamingdienst Roku heeft een onbekend aantal ongeautoriseerde abonnementen geannuleerd en klanten vergoed nadat criminelen via een credential stuffing-aanval meer dan vijftienduizend accounts hadden gekaapt. Volgens Roku maakten de aanvallers gebruik van inloggegeven die bij andere partijen waren gestolen. Getroffen Roku-gebruikers gebruikten hetzelfde wachtwoord van die diensten voor hun Roku-account, waardoor de aanvallers konden inloggen. Nadat de aanvallers toegang tot de accounts hadden gekregen probeerden ze streamingabonnementen aan te schaffen. Na ontdekking van de aanval heeft Roku de wachtwoorden van getroffen accounts gereset om verder misbruik te voorkomen. Daarnaast werden ongeautoriseerde abonnementen geannuleerd en de kosten hiervan aan slachtoffers vergoed. Uit een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine blijkt dat de aanvallers via de credential stuffing-aanval toegang tot meer dan vijftienduizend accounts kregen. Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Roku roept getroffen gebruikers op om de abonnementen van hun account te controleren en voor elk online account een uniek en sterk wachtwoord te gebruiken. Roku had vorig jaar naar eigen zeggen meer dan tachtig miljoen actieve accounts en een omzet van 3,4 miljard dollar. bron: https://www.security.nl

E-maildienst Tuta, voorheen bekend als Tutanota, heeft een post-quantum encryptieprotocol ontwikkeld dat e-mail van gebruikers moet beschermen tegen aanvallen door quantumcomputers. Het protocol, met de naam TutaCrypt, zal de klassieke asymmetrische cryptografie (RSA-2048) vervangen. TutaCrypt is een 'quantum-safe hybride encryptieprotocol' dat post-quantum Key Encapsulation Mechanism (CRYSTALS-Kyber) en een Elliptic-Curve-Diffie-Hellmann key exchange (x25519) combineert. "Voor de eerste keer kunnen mensen nu e-mails versturen en ontvangen die zo goed versleuteld zijn dat zelfs quantumcomputers de encryptie niet kunnen kraken om de berichten te ontsleutelen", zegt Tuta-ceo Arne Mohle. "En het beste is dat deze unieke encryptie is te gebruiken om naar iedereen in de wereld e-mails end-tot-end versleuteld te versturen, ongeacht hun e-mailprovider, met het eenvoudig uitwisselen van een wachtwoord." Voorheen genereerde Tuta een RSA key pair. Met de lancering van TutaCrypt worden twee key pairs gegenereerd. Een Elliptic Curve key pair voor een Elliptic Curve Diffie-Hellman Key Exchange (ECDH) en een Kyber-1024 key pair voor key encapsulation. De private keys worden op de servers van Tuta opgeslagen, die zich in Duitsland bevinden, zodat ze zijn te gebruiken op elk apparaat van de gebruiker. Nieuwe Tuta-accounts zullen voortaan alleen TutaCrypt key pairs hebben een geen RSA key pair meer. TutaCrypt zal geleidelijk onder alle gebruikers worden uitgerold. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) gaan dit jaar nauwer samenwerken. Hiervoor wordt een cultuurtraject gestart en naar gezamenlijke producten gewerkt. Uiteindelijk moeten het NCSC, het DTC en het CSIRT-DSP voor digitale serviceproviders in één centraal expertisecentrum samen verder gaan. Voor dit jaar staat de integratie tussen het Nationaal Cybersecurity Centrum en CSIRT-DSP gepland, gevolgd door de integratie van het NCSC en Digital Trust Center in 2026. Dit moet voor meer synergie zorgen en versnippering binnen het overheidslandschap van cybersecurity tegengaan. Het NCSC heeft als primaire doelgroepen het informeren en bijstaan van vitale organisaties, zoals banken, energie- en telecomaanbieders, en de Rijksoverheid zelf. Het DTC is er voor het bedrijfsleven en het CSIRT-DSP voor digitale serviceproviders. "Het afgelopen jaar heeft de integratie van het DTC met het NCSC steeds verder vorm gekregen. Belangrijke ontwikkelingen waren het aanstellen van een transitiemanager en het opstellen en verder vormgeven van de transitieopgave", zo laat demissionair minister Adriaansens van Economische Zaken in een brief aan de Tweede Kamer weten. Daarnaast wordt er onderling tussen het DTC en het NCSC al op verschillende manieren samengewerkt. "Er wordt in teams, waarin alle disciplines van het DTC en het NCSC zijn vertegenwoordigd, langs vier werkstromen aan de transitie naar de vernieuwde cybersecurityorganisatie gewerkt. Tevens is de medezeggenschapsraad voor de vernieuwde nationale cybersecurityorganisatie ook op een gezamenlijke manier ingericht", laat Adriaansens verder weten. Voor dit jaar meldt de minister dat voor zowel het DTC als het CSIRT-DSP de samenwerking met het NCSC steeds verder geïntensiveerd zal worden. Hiervoor wordt onder andere gestart met een cultuurtraject en het werken naar gezamenlijke producten. bron: https://www.security.nl

Opnieuw zijn duizenden WordPress-sites via een kwetsbaarheid in de plug-in Popup Builder besmet geraakt met malware. Dat laat securitybedrijf Sucuri weten. Begin dit jaar raakten 6200 websites besmet. Bij een nieuwe campagne die de afgelopen drie weken plaatsvond zijn meer dan 3300 websites gecompromitteerd. Popup Builder is een plug-in waarmee WordPress-sites pop-ups kunnen maken die aan bezoekers worden getoond. Meer dan tweehonderdduizend websites maken er gebruik van. Begin december werd bekend dat er een stored cross-site scripting kwetsbaarheid in de plug-in aanwezig is. Daarmee kan een ongeauthenticeerde aanvaller dezelfde acties uitvoeren als een ingelogde beheerder, waaronder het installeren van willekeurige plug-ins en toevoegen van nieuwe beheerders. Op 7 december verscheen er een beveiligingsupdate voor de kwetsbaarheid. Drie maanden na het uitkomen van de patch blijkt uit cijfers van WordPress.org dat zeker veertig procent van de WordPress-sites waarop de plug-in is geïnstalleerd de update mist. Daardoor zijn tienduizenden websites nog steeds kwetsbaar. Bij de nieuwste aanvallen maken aanvallers misbruik van het beveiligingslek om kwaadaardige code aan WordPress-sites toe te voegen die bezoekers naar malafide sites doorstuurt. bron: https://www.security.nl

Het internetdomein Fritz.box is offline gehaald na een klacht van netwerkfabrikant AVM. De FRITZ!Box-modems van AVM maken op het interne netwerk gebruik van het domein fritz.box om de gebruikersinterface te openen. Via de gebruikersinterface zijn alle functies van de FRITZ!Box te configureren en is gedetailleerde informatie over het product, de aansluiting en verbindingen te vinden. Op 22 januari van dit jaar werd door iemand het internetdomein Fritz.box geregistreerd, waarop allerlei NFT-advertenties werden getoond. Dit zorgde ervoor dat gebruikers die op hun modem wilden inloggen naar de internetsite werden doorgestuurd. AVM liet vorige maand weten dat het naar 'verschillende oplossingen' keek om de situatie te herstellen. De netwerkfabrikant lijkt inmiddels een beroep te hebben gedaan op het Uniform Rapid Suspension System, waarvan merkhouders gebruik kunnen maken. Het domein liet vorige week namelijk de melding zien: 'This Site is Suspended. The Domain Name you have entered is not available. It has been taken down as a result of dispute resolution proceedings pursuant to the Uniform Rapid Suspension System (URS)." Eigenaren van een FRITZ!Box kunnen de gebruikersinterface van de modem naast het domein fritz.box ook via een ip-adres bereiken. Op Reddit wordt gesuggereerd dat AVM bij de lancering van het .box top level domein (TLD) vergeten is om de domeinnaam te registreren. Security.NL heeft AVM om een reactie gevraagd. bron: https://www.security.nl