Captain Kirk

Aanvallers maken gebruik van gekaapte Teams- en Skype-accounts om malware te verspreiden, zo meldt antivirusbedrijf Trend Micro. Zodra de aanvallers toegang tot een account hebben gekregen liften ze mee op een bestaand gesprek om de andere partij een zogenaamde overeenkomst in pdf-formaat te sturen. In werkelijkheid gaat het om een VBS-script dat malware installeert. Om het slachtoffer te misleiden maken de aanvallers gebruik van een bestandsnaam die begint met 'naam.pdf' gevolgd door een aantal spaties en daarna 'www.skype.vbs'. Het doelwit zou daardoor kunnen denken dat het om een pdf-bestand gaat, maar het bestand in kwestie eindigt op .vbs. In het geval van de aanvallen via Teams wordt er gebruikgemaakt van een dubbele extensie die met .lnk begint, zoals 'Position_Guidelines.pdf.lnk'. Ook in dit geval wordt er via het lnk-bestand malware geïnstalleerd. De malware in kwestie, met de naam DarkGate, kan remote access software zoals AnyDesk installeren, het systeem voor cryptomining gebruiken, toetsaanslagen opslaan en informatie uit browsers stelen. Hoe de initieel gebruikte Teams- en Skype-accounts worden gekaapt is onbekend. Mogelijk is dit gedaan via gestolen inloggegevens die op internet te koop worden aangeboden of bij een eerdere aanval op de betreffende organisatie zijn buitgemaakt. bron: https://www.security.nl

Het klinkt raar, maar soms je router een paar centimeter verplaatsen kan soms ook wonderen verrichten. Hoe goed je modem ook is, er kunnen altijd zogenaamde "deathspots" zijn. Dit zijn delen in je huis waar je wifi niet goed werkt. Bedraad lost niet alleen dit probleem op, maar zorgt er ook voor dat je optimaal van je totale internetsnelheid kunt profiteren. Aan de andere kant is bedraad niet altijd mogelijk. Probeer het eens met je router iets anders neer te zetten of te verplaatsen. En anders is een Powerline een goede optie.

Nog twee jaar en dan stopt Microsoft de ondersteuning van Windows 10 Home en Pro. Het besturingssysteem zal vanaf 14 oktober 2025 geen beveiligingsupdates meer ontvangen. Organisaties zullen dan op Windows 11 moeten overstappen. Hoewel deze versie al beschikbaar is, is Windows 10 in veel bedrijfsomgevingen nog altijd heer en meester, zo stelt it-bedrijf Lansweeper op basis van onderzoek onder 33 miljoen Windowscomputers. Meer dan tachtig procent van de onderzochte systemen draait Windows 10, op afstand gevolgd door Windows Server en Windows 11 met respectievelijk 9,1 en 8,3 procent. Gebruikers van Windows 10 Home en Pro kunnen kosteloos naar Windows 11 upgraden als hun computer dit ondersteunt. Windows 11 stelt namelijk verschillende systeemeisen. Van de systemen die Lansweeper analyseerde bleek 67,5 procent over de minimaal vereiste processor te beschikken. Driekwart voldoet aan de eis voor een trusted platform module (TPM) 2.0. Bij de vorige meting in september 2022 draaide 5,7 procent van de Windowscomputers nog op Windows 11. Dat is nu gestegen naar 8,3 procent. "Dit is het eerste jaar dat we een aanzienlijke groei in de Windows 11-adoptie hebben gezien", aldus het it-bedrijf. De voornaamste reden hiervoor is dat nieuwe computers van Windows 11 zijn voorzien. Daarnaast is Windows 11 nu twee jaar beschikbaar, waardoor de overstap als minder riskant wordt ervaren, zo stelt Lansweeper. "Microsoft staat de komende twee jaar een grote uitdaging te wachten: het overtuigen van de enorme groep gebruikers om hun geliefde Windows 10 te verlaten en over te stappen op Windows 11", stelde Windowsvolger Ed Bott eerder dit jaar. Hij sluit niet uit dat Microsoft de deadline voor het besturingssysteem verlengt. Marktvorser IDC liet eind september weten dat het voor volgend jaar verwacht dat bedrijven met de migratie naar Windows 11 zullen beginnen. bron: https://www.security.nl

Google Chome krijgt een optie waardoor gebruikers eenvoudig hun browsegeschiedenis van de laatste vijftien minuten kunnen wissen, zo heeft Google aangekondigd. Gebruikers die nu hun geschiedenis willen wissen moeten hiervoor meerdere handelingen verrichten. Straks wordt het mogelijk om direct vanuit het hamburgermenu de optie 'clear browsing data' te kiezen. Standaard staat de laatste vijftien minuten geselecteerd, maar het lijkt erop dat er meer opties gekozen kunnen worden. Tevens zal Google het 'dark web report' aan het accountmenu van de Google App toevoegen. Via het dark web report laat Google weten wanneer het e-mailadres van de gebruiker op het 'dark web' is waargenomen en welke maatregelen er verder kunnen worden genomen. De feature is nu te vinden in de Androidversie van de Google App, iOS volgt binnenkort. Het dark web report was eerst alleen beschikbaar voor gebruikers met een Google One-abonnement en biedt de mogelijkheid om op allerlei data te scannen en te worden gewaarschuwd wanneer nieuwe resultaten beschikbaar zijn. De gratis versie, die ook in Nederland wordt aangeboden, controleert alleen op één e-mailadres. bron: https://www.security.nl

Onderzoekers van Cisco hebben in een mobiele M2M-router van Yifan meerdere kritieke kwetsbaarheden gevonden waardoor het apparaat op afstand is over te nemen, maar de fabrikant heeft nadat het drie maanden geleden werd ingelicht nog altijd geen beveiligingsupdates uitgebracht. Daarop heeft Cisco nu de details van de beveiligingslekken openbaar gemaakt. De YF325 is een machine-2-machine (M2M) mobiele router voorzien van wifi en simkaart. Volgens Yifan wordt het apparaat voor allerlei M2M-toepassingen gebruikt, zoals kassasystemen, watervoorziening, weermetingen, smart grid, industriële automatisering alsmede het Internet of Things (IoT). De router blijkt dertien kwetsbaarheden te bevatten. Het gaat onder andere om CVE-2023-24479, waardoor een aanvaller de inloggegevens van de beheerder kan aanpassen en vervolgens rootrechten kan krijgen. Daarnaast hebben de ontwikkelaars van de router debugcode achtergelaten met daarin inloggegevens waardoor het ook mogelijk is om als admin in te loggen. De impact van de meeste kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Yifan werd begin juli over de problemen ingelicht, maar heeft nog altijd nagelaten updates uit te brengen. bron: https://www.security.nl

Het populaire gamingplatform Steam verplicht vanaf 24 oktober tweefactorauthenticatie (2FA) voor ontwikkelaars die updates voor hun games willen uitbrengen. Aanleiding is dat recentelijk verschillende accounts van ontwikkelaars werden gekaapt en gebruikt voor het verspreiden van malware. Steam-ontwikkelaar Valve stelt dat minder dan honderd Steam-gebruikers de betreffende games hadden geïnstalleerd toen de malware werd toegevoegd en dat ze allemaal zijn gewaarschuwd. Als onderdeel van een beveiligingsupdate gaat Valve nu verplichten dat ontwikkelaars die updates voor hun games willen uitbrengen een telefoonnummer aan hun account toevoegen. Wanneer deze ontwikkelaars updates willen uitrollen moeten ze eerst een via sms ontvangen code invoeren. Daarnaast zal de 2FA-vereiste in de toekomst ook voor andere 'backend actions' gaan gelden, zo meldt PC Gamer. Volgens Valve is de beveiligingsmaatregel nodig om Steam-gebruikers te beschermen en ontwikkelaars voor gecompromitteerde accounts te kunnen waarschuwen. Het recente incident zou niet de enige poging zijn, waarbij ontwikkelaars het doelwit waren. Valve spreekt van een 'toename van geraffineerde aanvallen' gericht tegen ontwikkelaccounts. Wat de aanvallen geraffineerd maakt laat het bedrijf niet weten. bron: https://www.security.nl

De Belgische overheid heeft een extensie voor Google Chrome ontwikkeld die burgers voor phishing waarschuwt. Volgende week lanceert het Centrum voor Cybersecurity België (CCB) een nieuwe bewustzijnscampagne met de titel 'Phishing, ‘t zit in de details' die aandacht vraagt voor phishing en burgers oproept om de extensie te installeren (pdf). Vorig jaar wisten criminelen in België door middel van phishing veertig miljoen euro te stelen. Een jaar eerder ging het nog om een bedrag van 25 miljoen euro. De nieuwe publiekscampagne roept burgers op om altijd de url van een website te controleren voordat ze op een link klikken. Daarnaast wordt aangeraden om de Safeonweb browser-extensie via safeonweb.be te installeren. De extensie wordt aangeboden via de Chrome Web Store en bevindt zich nog in de bètafase. De Safeonweb-extensie beoordeelt websites op basis van verschillende factoren, zoals eigenaar en certificaatautoriteit. "Installeer de Safeonweb extensie in je browser. Deze zal je waarschuwen als je een onveilige website bezoekt en wanneer het gevaarlijk is om je gegevens in te voeren", zo laat Safeonweb weten. Of er ook nog een extensie voor Mozilla Firefox komt is onbekend. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Adobe Acrobat en Reader waardoor systemen in het ergste geval via een malafide pdf-bestand zijn over te nemen. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het beveiligingslek, aangeduid als CVE-2023-21608, werd op 10 januari van dit jaar door Adobe verholpen. Op dat moment werd er geen misbruik van de kwetsbaarheid gemaakt. Via de kritieke kwetsbaarheid kan een aanvaller door middel van een malafide pdf-bestand een use-after-free veroorzaken waardoor het uitvoeren van willekeurige code met rechten van de ingelogde gebruiker mogelijk is. In maart verscheen er vervolgens exploitcode voor het probleem online. Inmiddels wordt het beveiligingslek actief bij aanvallen ingezet, aldus het CISA. Details over de aanvallen zijn niet gegeven. Het CISA heeft Amerikaanse overheidsinstanties opgedragen om de updates van Adobe voor 17 november te installeren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Citrix NetScalers maakt het mogelijk voor ongeauthenticeerde aanvallers om gevoelige informatie te stelen. Citrix heeft beveiligingsupdates beschikbaar gemaakt en roept organisaties op om die zo snel mogelijk te installeren. Volgens de softwareleverancier is CVE-2023-4966 een 'buffer-gerelateerde' kwetsbaarheid waardoor het mogelijk is om gevoelige informatie van NetScaler ADC en NetScaler Gateway te achterhalen. Verdere details over het soort informatie worden niet gegeven. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. bron: https://www.security.nl

Een brede coalitie van beveiligings- en privacyexperts die werkzaam zijn voor securitybedrijven, antivirusleveranciers en burgerrechtenbewegingen, maken zich zorgen over de voorgestelde Europese Cyber Resilience Act (CRA), die softwareleveranciers verplicht om actief aangevallen zerodaylekken binnen 24 uur na ontdekking bij overheidsinstanties te melden. Die zouden deze informatie voor surveillance en inlichtingendoeleinden kunnen misbruiken. De CRA moet voor veiligere soft- en hardware zorgen. Artikel 11 van het wetsvoorstel introduceert een meldplicht voor zerodays, die bij de autoriteiten moeten worden gerapporteerd. De experts zijn bang dat dit allerlei risico's met zich meebrengt, omdat de betreffende kwetsbaarheden dan nog niet zijn verholpen. "Dit houdt in dat tientallen overheidsinstanties toegang krijgen tot een database met software die ongepatchte kwetsbaarheden bevat", aldus de experts in een open brief (pdf). Dit brengt allerlei risico's met zich mee, zoals het gebruik van deze zerodays door overheden voor surveillance en het verkrijgen van inlichtingen. Daarnaast wordt de database een doelwit voor aanvallers. Verder vrezen de experts dat het voortijdig openbaar maken van kwetsbaarheden de samenwerking tussen beveiligingsonderzoekers en softwareleveranciers verstoort en er zelfs voor kan zorgen dat onderzoekers geen kwetsbaarheden meer zullen melden. De experts die de open brief ondertekenden vinden dat artikel 11 volledig moet worden verwijderd, of dat die zo wordt aangepast dat overheidsinstanties gerapporteerde zerodays niet voor inlichtingen, surveillance of andere offensieve doeleinden mogen gebruiken. Verder moeten de kwetsbaarheden alleen worden gemeld als er updates beschikbaar zijn. Daarnaast moet de meldplicht niet gaan gelden voor beveiligingslekken die door onderzoekers in het kader van 'good faith security research' zijn gemeld. De brief is onder andere ondertekend door medewerkers van ESET, Rapid7, Bitdefender, Electronic Frontier Foundation, Trend Micro, Google, Citizen Lab, TomTom, HackerOne, Panasonic, KU Leuven, Black Hat en DEF CON en het Stanford University Cyber Policy Center. bron: https://www.security.nl

Google waarschuwt gebruikers van Chrome voor een kritieke kwetsbaarheid in een beveiligingsmaatregel van de browser waardoor aanvallers in het ergste geval het systeem van gebruikers kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website is voldoende. Er is geen verdere interactie van gebruikers vereist. Google heeft updates uitgebracht om het probleem te verhelpen. Het beveiligingslek (CVE-2023-5218) bevindt zich in Site Isolation, een onderdeel van de browser dat ervoor zorgt dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. Dit zorgt voor een betere afscherming tussen websites dan de bestaande Chrome-sandbox kan bieden, aldus Google. Ook helpt het bij het tegengaan van Spectre-achtige aanvallen. Doordat dat van andere websites over het algemeen niet in hetzelfde proces worden geladen zou er veel minder data voor de aanvaller beschikbaar zijn. De kwetsbaarheid in Site Isolation kan tot een use-after-free leiden waardoor een aanvaller code op het systeem kan uitvoeren. Google geeft geen verdere details over het beveiligingslek. Het probleem werd door een externe onderzoeker gerapporteerd. De beloning die Google hiervoor zal uitkeren is ook nog niet bekendgemaakt. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 118.0.5993.70/.71 is beschikbaar voor Windows. Voor macOS en Linux verscheen versie 118.0.5993.70. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Microsoft gaat VBScript in Windows volledig verwijderen, zo heeft het techbedrijf aangekondigd. Een reden wordt niet gegeven, maar een aantal jaren geleden liet Microsoft nog weten dat veel aanvallen op gebruikers plaatsvinden door middel van VBScript. VBScript is een scriptingtaal waar websites en webapplicaties gebruik van kunnen maken. Aanvallers maken er echter ook op grote schaal gebruik van door malafide VBScript-bestanden te versturen die de uiteindelijke malware op het systeem downloaden. Vanwege dergelijke aanvallen besloot Microsoft eerder al om de scriptingtaal in Internet Explorer 11 uit te schakelen, wat voor een "veiligere ervaring" moest zorgen. Nu meldt het techbedrijf dat het van plan is om VBScript volledig in Windows uit te faseren. Daarbij zal de scriptingtaal eerst nog als 'feature on demand' beschikbaar zijn, zodat organisaties zich op het einde verdwijnen ervan kunnen voorbereiden. In welke Windowsversies VBScript zal verdwijnen en op welke termijn is nog niet bekend. bron: https://www.security.nl

Tijdens de patchdinsdag van oktober heeft Microsoft 103 kwetsbaarheden in de eigen producten verholpen, waaronder twee actief aangevallen zerodaylekken in WordPad en Skype for Business. Via de kwetsbaarheid in WordPad (CVE-2023-36563) kan een aanvaller NTLM-hashes van gebruikersaccounts stelen, waarmee het systeem vervolgens kan worden overgenomen. Microsoft beschrijft hiervoor twee manieren. De eerste methode is dat een aanvaller al toegang tot een systeem heeft, om vervolgens misbruik van de kwetsbaarheid te maken en daarna volledige controle over het systeem te krijgen. De twee manier is de gebruiker een malafide bestand laten openen. Details over de aanvallen worden niet door Microsoft gegeven, behalve dat het techbedrijf de aanvallen zelf ontdekte. De tweede zeroday (CVE-2023-41763) bevindt zich in Skype for Business en maakt het mogelijk voor een aanvaller om gevoelige informatie te achterhalen waarmee er toegang tot interne netwerken kan worden verkregen. Hiervoor zou de aanvaller een speciaal geprepareerde netwerk call naar een Skype for Business-server moeten maken, die dan ip-adressen of poortnummers aan de aanvaller verstrekt. "In sommige gevallen kan de achterhaalde gevoelige informatie toegang tot interne netwerken geven", aldus Microsoft. Computerworm Daarnaast is er een kwetsbaarheid in Microsoft Message Queuing (CVE-2023-35349) verholpen waardoor een ongeauthenticeerde aanvaller op afstand code op systemen kan uitvoeren. Interactie van gebruikers is niet vereist, wat inhoudt dat een computerworm zich hierdoor zou kunnen verspreiden. Om systemen aan te vallen moet wel de Windows message queuing service ingeschakeld zijn, wat standaard niet het geval is. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een andere kwetsbaarheid (CVE-2023-36434) met een impactscore van 9.8 waarvoor Microsoft een update uitbracht is aanwezig in Windows IIS Server en maakt het mogelijk voor aanvallers om door middel van een bruteforce-aanval toegang tot het systeem te krijgen. De beveiligingsupdates van deze maand zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Een zerodaylek in het HTTP/2-protocol is afgelopen augustus gebruikt voor het uitvoeren van een record ddos-aanval van 398 miljoen requests per seconde (rps), zo hebben Amazon Web Services, Cloudflare en Google vandaag. bekendgemaakt. De aanval die door Google werd gestopt was 7,5 keer groter dan de recordaanval die het eind vorig jaar blokkeerde. De zeroday-aanvallen waar de drie genoemde partijen mee te maken kregen maakten misbruik van een feature van het HTTP/2-protocol. Dit protocol is essentieel voor de werking van het internet en websites. Een van de features die het biedt betreft de mogelijkheid voor clients om door middel van een RST_STREAM frame aan een webserver door te geven dat een vorige stream moet worden geannuleerd. Er is hiervoor geen coördinatie tussen de server en client vereist. De client kan dit eenzijdig doen. Bij de "Rapid Reset" aanval, zoals de aanval wordt genoemd, stuurt de aanvaller een request frame naar de server, en reset dan het verzoek. Het verzoek wordt geannuleerd, maar de HTTP/2-verbinding blijft openstaan. Het aangevallen systeem zal elk verzoek verwerken, en voor deze verzoeken, die dan worden gereset of geannuleerd door de aanvaller, logs genereren. Een aanvaller kan hier misbruik van maken door op grote schaal HTTP/2-requests te versturen, die te annuleren, om vervolgens weer opnieuw te versturen. Dit kan worden gedaan door een vrij klein botnet van zo'n 20.000 machines, die zo de aangevallen webserver volledig kunnen overbelasten. Volgens de drie techbedrijven kunnen alle webapplicaties, services en API's op een server of proxy die via HTTP/2 communiceren kwetsbaar zijn. Na het stoppen van de aanval deelde Google informatie over de gebruikte kwetsbaarheid (CVE-2023-44487) met andere cloudproviders en softwarepartijen die de HTTP/2-protocol stack implementeren. Dat leidde tot verdere mitigaties en patches. "Alle providers die over HTTP/2-services beschikken moeten controleren of ze kwetsbaar zijn", aldus Google. bron: https://www.security.nl

Google heeft besloten om passkeys de standaard inlogmethode voor persoonlijke Google-accounts te maken, zo heeft het techbedrijf aangekondigd. De volgende keer dat gebruikers op hun Google-account inloggen verschijnt er een melding om passkeys aan te gaan maken en gebruiken. Google wil hiermee naar eigen zeggen het wachtwoord overbodig maken. Gebruikers krijgen wel de optie om passkeys uit te schakelen en nog met een wachtwoord in te loggen. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. Critici van passkeys waarschuwen al lange tijd voor het risico van vendor lock-in, waarbij gebruikers zijn gebonden aan het platform waarop de passkey wordt gegenereerd. bron: https://www.security.nl

Een kwetsbaarheid in een library voor het verwerken van cue sheets maakt het mogelijk voor een aanvaller om willekeurige code op Linux-desktops uit te voeren. Daarvoor waarschuwt het GitHub Security Lab, dat het beveiligingslek ontdekte. Het probleem is aanwezig in libcue, een library voor het verwerken van cue sheets. Cue sheets bevatten informatie over de tracks op een cd. Ze worden vaak in combinatie met het Flac-bestandsformaat gebruikt. Verschillende programma's maken gebruik van de library, waaronder tracker-miners, een applicatie die standaard onderdeel van Gnome is, de standaard desktopomgeving voor veel Linux-distributies. Tracker-miners indexeert bestanden in de home directory, zodat ze eenvoudig te vinden en doorzoeken zijn. De index wordt automatisch bijgewerkt als er een bestand wordt toegevoegd of aangepast, bijvoorbeeld in de downloads directory. Daardoor kunnen Linux-gebruikers door het klikken op een verkeerde link gecompromitteerd worden, aldus Kevin Backhouse van GitHub. Wanneer een Gnome-gebruiker een cue sheet downloadt, wordt die standaard in de downloads directory geplaatst. Vervolgens wordt het gedownloade bestand automatisch door tracker-miners gescand. Omdat het om een cue sheet gaat gebruikt tracker-miners libcue om het bestand te verwerken. De malafide cue sheet bevat een exploit die vervolgens de kwetsbaarheid in libcue gebruikt om code op het systeem van de gebruiker uit te voeren. Backhouse omschrijft het dan ook als '1-click remote code execution'. "Soms kan een kwetsbaarheid in een ogenschijnlijk onbeduidende library een grote impact hebben. Vanwege de manier waarop het wordt gebruikt door tracker-miners is deze kwetsbaarheid in libcue een 1-click remote code execution. Als je van Gnome gebruikmaakt installeer dan vandaag nog de update!", laat Backhouse verder weten. GitHub heeft nog geen proof-of-concept exploit beschikbaar gemaakt, zodat gebruikers de tijd hebben om hun distributies te updaten. De kwetsbaarheid wordt aangeduid als CVE-2023-43641 en heeft op een schaal van 1 tot en met 10 een impactscore van 8.8. bron: https://www.security.nl

De afgelopen weken zijn duizenden WordPress-sites gecompromitteerd via een kwetsbaarheid in de tagDiv-plug-in waar de websites gebruik van maken, zo stelt securitybedrijf Sucuri. De plug-in wordt gebruikt in combinatie met het Newspaper theme van tagDiv waarmee beheerders eenvoudig artikelen en blogpostings op hun websites kunnen publiceren. TagDiv claimt dat het Newspaper theme door 135.000 sites wordt gebruikt. Halverwege september werden details openbaar gemaakt van een kwetsbaarheid in de plug-in (CVE-2023-3169) waardoor ongeauthenticeerde stored cross-site scripting mogelijk is. Een aanvaller kan daardoor malafide scripts aan kwetsbare WordPress-sites toevoegen waarmee de cookies van de sitebeheerder worden gestolen. Met deze cookies kunnen de aanvallers vervolgens op de website inloggen. De aanvallers gebruiken hun toegang vaak om verdere malafide code aan de gecompromitteerde WordPress-site toe te voegen die bezoekers naar allerlei scamsites doorstuurt. Deze malafide code werd vorige maand op zeventienduizend WordPress-sites aangetroffen. Meer dan negenduizend van deze sites waren via het lek in de tagDiv-plug-in gecompromitteerd, aldus Sucuri. WordPress-sites die van de plug-in gebruikmaken wordt aangeraden om te updaten naar versie 4.2 waarin het probleem is verholpen. bron: https://www.security.nl

Criminelen maken gebruik van een kwetsbaarheid in Citrix NetScalers om een script op de apparaten te installeren waarmee ze inloggegevens van gebruikers kunnen stelen, zo waarschuwt IBM Security X-Force, dat stelt dat honderden NetScalers getroffen zijn. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de Citrix ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt. Via het beveiligingslek installeren de aanvallers een webshell, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Volgens onderzoekers waren op het moment van de aanvallen 31.000 Citrix NetScalers kwetsbaar voor CVE-2023-3519. In augustus werd gemeld dat ruim 1800 NetScalers nog met een webshell besmet waren. In september ontdekte X-Force een campagne waarbij aanvallers het beveiligingslek misbruiken om een script op de inlogpagina van kwetsbare apparaten te installeren dat de inloggegevens van gebruikers steelt. De onderzoekers van IBM wisten de command & control-server van de aanvallers te identificeren. Aan de hand daarvan werden bijna zeshonderd ip-adressen van getroffen NetScalers gevonden waarvan de inlogpagina was aangepast. Het gaat vooral om NetScalers in Europa en de Verenigde Staten. De eerste aangepaste inlogpagina's dateren van 11 augustus. bron: https://www.security.nl

Nog twee jaar en dan stopt Microsoft de ondersteuning van Windows 10 Home en Pro. Het besturingssysteem zal vanaf 14 oktober 2025 geen beveiligingsupdates meer ontvangen. Organisaties zullen dan op Windows 11 moeten overstappen. Hoewel deze versie al beschikbaar is, is Windows 10 in veel bedrijfsomgevingen nog altijd heer en meester, zo stelt it-bedrijf Lansweeper op basis van onderzoek onder 33 miljoen Windowscomputers. Meer dan tachtig procent van de onderzochte systemen draait Windows 10, op afstand gevolgd door Windows Server en Windows 11 met respectievelijk 9,1 en 8,3 procent. Gebruikers van Windows 10 Home en Pro kunnen kosteloos naar Windows 11 upgraden als hun computer dit ondersteunt. Windows 11 stelt namelijk verschillende systeemeisen. Van de systemen die Lansweeper analyseerde bleek 67,5 procent over de minimaal vereiste processor te beschikken. Driekwart voldoet aan de eis voor een trusted platform module (TPM) 2.0. Bij de vorige meting in september 2022 draaide 5,7 procent van de Windowscomputers nog op Windows 11. Dat is nu gestegen naar 8,3 procent. "Dit is het eerste jaar dat we een aanzienlijke groei in de Windows 11-adoptie hebben gezien", aldus het it-bedrijf. De voornaamste reden hiervoor is dat nieuwe computers van Windows 11 zijn voorzien. Daarnaast is Windows 11 nu twee jaar beschikbaar, waardoor de overstap als minder riskant wordt ervaren, zo stelt Lansweeper. "Microsoft staat de komende twee jaar een grote uitdaging te wachten: het overtuigen van de enorme groep gebruikers om hun geliefde Windows 10 te verlaten en over te stappen op Windows 11", stelde Windowsvolger Ed Bott eerder dit jaar. Hij sluit niet uit dat Microsoft de deadline voor het besturingssysteem verlengt. Marktvorser IDC liet eind september weten dat het voor volgend jaar verwacht dat bedrijven met de migratie naar Windows 11 zullen beginnen. bron: https://www.security.nl

Ubuntu heeft beveiligingsupdates uitgebracht voor dertien kwetsbaarheden in teksteditor Vim waardoor een aanvaller in het ergste geval willekeurige code op het systeem van gebruikers kan uitvoeren of een denial of service veroorzaken. Vim wordt omschreven als een 'verbeterde kloon' van de populaire teksteditor vi. Het programma bevat meerdere kwetsbaarheden (CVE-2022-3235, CVE-2022-3278, CVE-2022-3297, CVE-2022-3491, CVE-2022-3352 en CVE-2022-4292) waardoor een aanvaller willekeurige code op het systeem van de gebruiker kan uitvoeren als die een speciaal geprepareerd bestand via Vim opent. Het probleem wordt veroorzaakt doordat Vim bij het openen van deze bestanden niet goed omgaat met geheugen. Ubuntu adviseert gebruikers om te updaten naar versies 22.04, 20.04, 18.04 en 14.04. bron: https://www.security.nl

Soms kan de oorzaak ook minder diep gezocht worden. Is je netwerkkabel nog wel ok. Een brak stekkertje kan ook voor dit soort problemen zorgen.

Chipgigant Qualcomm waarschuwt eigenaren van smartphones voor drie actief aangevallen zerodaylekken die door onderzoekers van Google zijn ontdekt. De beveiligingslekken zijn aangeduid als CVE-2023-33107, CVE-2022-22071 en CVE-2023-33063. Verdere details zijn nog niet openbaar gemaakt, behalve dat patches voor de kwetsbaarheden in de Adreno GPU- en Compute DSP-drivers aan fabrikanten zijn aangeboden. Tevens heeft Qualcomm smartphonefabrikanten aangeraden om de beveiligingsupdates zo snel mogelijk onder hun gebruikers uit te rollen. Details over de zerodays worden in december bekendgemaakt. De kwetsbaarheden werden gevonden door onderzoekers van Google Project Zero en Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. De onderzoekers vonden ook nog een vierde actief aangevallen kwetsbaarheid in de software van ARM, aangeduid als CVE-2022-22071. Voor dit beveiligingslek verscheen vorig jaar mei al een update. bron: https://www.security.nl

Vanaf februari volgend jaar gaan er nieuwe eisen gelden voor partijen die bulkmail naar Gmail-gebruikers sturen. Zo moeten 'bulk senders' vanaf deze datum hun e-mail authenticeren door gebruik te maken van e-mailstandaarden SPF of DKIM. Daarnaast moeten de bulkmails zijn voorzien van een afmeldlink waarmee gebruikers zich via één klik voor verdere e-mails van deze afzender kunnen afmelden. Deze afmeldverzoeken moeten binnen twee dagen zijn verwerkt. Als derde maatregel zal Gmail een bepaald spamniveau gaan hanteren. Bulk senders moeten onder dit niveau blijven, anders zullen hun berichten als spam worden aangemerkt. Naast Google gaat ook Yahoo strengere eisen aan bulkmail stellen. Bulk senders zijn in de definitie van Google partijen die meer dan vijfduizend berichten in één dag naar Gmail-gebruikers sturen. bron: https://www.security.nl

Mozilla is begonnen om Encrypted Client Hello (ECH) onder Firefox-gebruikers uit te rollen, dat de TLS-handshake van gebruikers versleutelt en zo voor een betere privacybescherming moet zorgen. De meeste websites maken tegenwoordig gebruik van een versleutelde verbinding om het verkeer van en naar bezoekers te beveiligen. Er is echter een probleem, en dat is dat het eerste 'hello' bericht of de TLS-handshake onversleuteld plaatsvindt en zo informatie prijsgeeft over bijvoorbeeld de website die wordt bezocht. ECH zorgt ervoor dat het eerste hello-bericht naar een webserver wordt versleuteld. Dit maakt het volgens Mozilla lastiger voor derde partijen om te identificeren welke websites iemand bezoekt. Om dit te doen maakt ECH gebruik van DNS over HTTPS (DoH), waarbij het public key ophaalt die voor het versleutelen van het bericht wordt gebruikt en ervoor zorgt dat de webserver de enige is die het bericht kan ontsleutelen. Volgens Mozilla worden gebruiker zo dubbel beschermd. DoH versleutelt de DNS-verzoeken, terwijl ECH de eerste communicatie tussen gebruiker en website beschermt. bron: https://www.security.nl

Na anderhalf jaar is er een nieuwe versie van de encryptiesoftware VeraCrypt verschenen, die Windows XP, 7 en 8.1 niet meer ondersteunt, geen TrueCrypt-containers meer kan mounten en ook support voor verschillende oude encryptiealgoritmes heeft laten vallen. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. VeraCrypt versie 1.25.9 is de laatste versie van de software en dateert van vorig jaar februari. De software wordt door Mounir Idrassi ontwikkeld die dit naast een betaalde baan erbij doet. Idrassi heeft nu VeraCrypt 1.26.7 gelanceerd. Met name de Windowsversie bevat een groot aantal bugfixes en aanpassingen, onder andere voor Windows 11. Daarnaast is Windows 10 nu de minimum ondersteunde Windowsversie. Verder ondersteunt VeraCrypt nu ook EMV banking smart cards als keyfiles voor non-system volumes. bron: https://www.security.nl