Captain Kirk

Een kwetsbaarheid in een library voor het verwerken van cue sheets maakt het mogelijk voor een aanvaller om willekeurige code op Linux-desktops uit te voeren. Daarvoor waarschuwt het GitHub Security Lab, dat het beveiligingslek ontdekte. Het probleem is aanwezig in libcue, een library voor het verwerken van cue sheets. Cue sheets bevatten informatie over de tracks op een cd. Ze worden vaak in combinatie met het Flac-bestandsformaat gebruikt. Verschillende programma's maken gebruik van de library, waaronder tracker-miners, een applicatie die standaard onderdeel van Gnome is, de standaard desktopomgeving voor veel Linux-distributies. Tracker-miners indexeert bestanden in de home directory, zodat ze eenvoudig te vinden en doorzoeken zijn. De index wordt automatisch bijgewerkt als er een bestand wordt toegevoegd of aangepast, bijvoorbeeld in de downloads directory. Daardoor kunnen Linux-gebruikers door het klikken op een verkeerde link gecompromitteerd worden, aldus Kevin Backhouse van GitHub. Wanneer een Gnome-gebruiker een cue sheet downloadt, wordt die standaard in de downloads directory geplaatst. Vervolgens wordt het gedownloade bestand automatisch door tracker-miners gescand. Omdat het om een cue sheet gaat gebruikt tracker-miners libcue om het bestand te verwerken. De malafide cue sheet bevat een exploit die vervolgens de kwetsbaarheid in libcue gebruikt om code op het systeem van de gebruiker uit te voeren. Backhouse omschrijft het dan ook als '1-click remote code execution'. "Soms kan een kwetsbaarheid in een ogenschijnlijk onbeduidende library een grote impact hebben. Vanwege de manier waarop het wordt gebruikt door tracker-miners is deze kwetsbaarheid in libcue een 1-click remote code execution. Als je van Gnome gebruikmaakt installeer dan vandaag nog de update!", laat Backhouse verder weten. GitHub heeft nog geen proof-of-concept exploit beschikbaar gemaakt, zodat gebruikers de tijd hebben om hun distributies te updaten. De kwetsbaarheid wordt aangeduid als CVE-2023-43641 en heeft op een schaal van 1 tot en met 10 een impactscore van 8.8. bron: https://www.security.nl

De afgelopen weken zijn duizenden WordPress-sites gecompromitteerd via een kwetsbaarheid in de tagDiv-plug-in waar de websites gebruik van maken, zo stelt securitybedrijf Sucuri. De plug-in wordt gebruikt in combinatie met het Newspaper theme van tagDiv waarmee beheerders eenvoudig artikelen en blogpostings op hun websites kunnen publiceren. TagDiv claimt dat het Newspaper theme door 135.000 sites wordt gebruikt. Halverwege september werden details openbaar gemaakt van een kwetsbaarheid in de plug-in (CVE-2023-3169) waardoor ongeauthenticeerde stored cross-site scripting mogelijk is. Een aanvaller kan daardoor malafide scripts aan kwetsbare WordPress-sites toevoegen waarmee de cookies van de sitebeheerder worden gestolen. Met deze cookies kunnen de aanvallers vervolgens op de website inloggen. De aanvallers gebruiken hun toegang vaak om verdere malafide code aan de gecompromitteerde WordPress-site toe te voegen die bezoekers naar allerlei scamsites doorstuurt. Deze malafide code werd vorige maand op zeventienduizend WordPress-sites aangetroffen. Meer dan negenduizend van deze sites waren via het lek in de tagDiv-plug-in gecompromitteerd, aldus Sucuri. WordPress-sites die van de plug-in gebruikmaken wordt aangeraden om te updaten naar versie 4.2 waarin het probleem is verholpen. bron: https://www.security.nl

Criminelen maken gebruik van een kwetsbaarheid in Citrix NetScalers om een script op de apparaten te installeren waarmee ze inloggegevens van gebruikers kunnen stelen, zo waarschuwt IBM Security X-Force, dat stelt dat honderden NetScalers getroffen zijn. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de Citrix ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt. Via het beveiligingslek installeren de aanvallers een webshell, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Volgens onderzoekers waren op het moment van de aanvallen 31.000 Citrix NetScalers kwetsbaar voor CVE-2023-3519. In augustus werd gemeld dat ruim 1800 NetScalers nog met een webshell besmet waren. In september ontdekte X-Force een campagne waarbij aanvallers het beveiligingslek misbruiken om een script op de inlogpagina van kwetsbare apparaten te installeren dat de inloggegevens van gebruikers steelt. De onderzoekers van IBM wisten de command & control-server van de aanvallers te identificeren. Aan de hand daarvan werden bijna zeshonderd ip-adressen van getroffen NetScalers gevonden waarvan de inlogpagina was aangepast. Het gaat vooral om NetScalers in Europa en de Verenigde Staten. De eerste aangepaste inlogpagina's dateren van 11 augustus. bron: https://www.security.nl

Nog twee jaar en dan stopt Microsoft de ondersteuning van Windows 10 Home en Pro. Het besturingssysteem zal vanaf 14 oktober 2025 geen beveiligingsupdates meer ontvangen. Organisaties zullen dan op Windows 11 moeten overstappen. Hoewel deze versie al beschikbaar is, is Windows 10 in veel bedrijfsomgevingen nog altijd heer en meester, zo stelt it-bedrijf Lansweeper op basis van onderzoek onder 33 miljoen Windowscomputers. Meer dan tachtig procent van de onderzochte systemen draait Windows 10, op afstand gevolgd door Windows Server en Windows 11 met respectievelijk 9,1 en 8,3 procent. Gebruikers van Windows 10 Home en Pro kunnen kosteloos naar Windows 11 upgraden als hun computer dit ondersteunt. Windows 11 stelt namelijk verschillende systeemeisen. Van de systemen die Lansweeper analyseerde bleek 67,5 procent over de minimaal vereiste processor te beschikken. Driekwart voldoet aan de eis voor een trusted platform module (TPM) 2.0. Bij de vorige meting in september 2022 draaide 5,7 procent van de Windowscomputers nog op Windows 11. Dat is nu gestegen naar 8,3 procent. "Dit is het eerste jaar dat we een aanzienlijke groei in de Windows 11-adoptie hebben gezien", aldus het it-bedrijf. De voornaamste reden hiervoor is dat nieuwe computers van Windows 11 zijn voorzien. Daarnaast is Windows 11 nu twee jaar beschikbaar, waardoor de overstap als minder riskant wordt ervaren, zo stelt Lansweeper. "Microsoft staat de komende twee jaar een grote uitdaging te wachten: het overtuigen van de enorme groep gebruikers om hun geliefde Windows 10 te verlaten en over te stappen op Windows 11", stelde Windowsvolger Ed Bott eerder dit jaar. Hij sluit niet uit dat Microsoft de deadline voor het besturingssysteem verlengt. Marktvorser IDC liet eind september weten dat het voor volgend jaar verwacht dat bedrijven met de migratie naar Windows 11 zullen beginnen. bron: https://www.security.nl

Ubuntu heeft beveiligingsupdates uitgebracht voor dertien kwetsbaarheden in teksteditor Vim waardoor een aanvaller in het ergste geval willekeurige code op het systeem van gebruikers kan uitvoeren of een denial of service veroorzaken. Vim wordt omschreven als een 'verbeterde kloon' van de populaire teksteditor vi. Het programma bevat meerdere kwetsbaarheden (CVE-2022-3235, CVE-2022-3278, CVE-2022-3297, CVE-2022-3491, CVE-2022-3352 en CVE-2022-4292) waardoor een aanvaller willekeurige code op het systeem van de gebruiker kan uitvoeren als die een speciaal geprepareerd bestand via Vim opent. Het probleem wordt veroorzaakt doordat Vim bij het openen van deze bestanden niet goed omgaat met geheugen. Ubuntu adviseert gebruikers om te updaten naar versies 22.04, 20.04, 18.04 en 14.04. bron: https://www.security.nl

Soms kan de oorzaak ook minder diep gezocht worden. Is je netwerkkabel nog wel ok. Een brak stekkertje kan ook voor dit soort problemen zorgen.

Chipgigant Qualcomm waarschuwt eigenaren van smartphones voor drie actief aangevallen zerodaylekken die door onderzoekers van Google zijn ontdekt. De beveiligingslekken zijn aangeduid als CVE-2023-33107, CVE-2022-22071 en CVE-2023-33063. Verdere details zijn nog niet openbaar gemaakt, behalve dat patches voor de kwetsbaarheden in de Adreno GPU- en Compute DSP-drivers aan fabrikanten zijn aangeboden. Tevens heeft Qualcomm smartphonefabrikanten aangeraden om de beveiligingsupdates zo snel mogelijk onder hun gebruikers uit te rollen. Details over de zerodays worden in december bekendgemaakt. De kwetsbaarheden werden gevonden door onderzoekers van Google Project Zero en Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. De onderzoekers vonden ook nog een vierde actief aangevallen kwetsbaarheid in de software van ARM, aangeduid als CVE-2022-22071. Voor dit beveiligingslek verscheen vorig jaar mei al een update. bron: https://www.security.nl

Vanaf februari volgend jaar gaan er nieuwe eisen gelden voor partijen die bulkmail naar Gmail-gebruikers sturen. Zo moeten 'bulk senders' vanaf deze datum hun e-mail authenticeren door gebruik te maken van e-mailstandaarden SPF of DKIM. Daarnaast moeten de bulkmails zijn voorzien van een afmeldlink waarmee gebruikers zich via één klik voor verdere e-mails van deze afzender kunnen afmelden. Deze afmeldverzoeken moeten binnen twee dagen zijn verwerkt. Als derde maatregel zal Gmail een bepaald spamniveau gaan hanteren. Bulk senders moeten onder dit niveau blijven, anders zullen hun berichten als spam worden aangemerkt. Naast Google gaat ook Yahoo strengere eisen aan bulkmail stellen. Bulk senders zijn in de definitie van Google partijen die meer dan vijfduizend berichten in één dag naar Gmail-gebruikers sturen. bron: https://www.security.nl

Mozilla is begonnen om Encrypted Client Hello (ECH) onder Firefox-gebruikers uit te rollen, dat de TLS-handshake van gebruikers versleutelt en zo voor een betere privacybescherming moet zorgen. De meeste websites maken tegenwoordig gebruik van een versleutelde verbinding om het verkeer van en naar bezoekers te beveiligen. Er is echter een probleem, en dat is dat het eerste 'hello' bericht of de TLS-handshake onversleuteld plaatsvindt en zo informatie prijsgeeft over bijvoorbeeld de website die wordt bezocht. ECH zorgt ervoor dat het eerste hello-bericht naar een webserver wordt versleuteld. Dit maakt het volgens Mozilla lastiger voor derde partijen om te identificeren welke websites iemand bezoekt. Om dit te doen maakt ECH gebruik van DNS over HTTPS (DoH), waarbij het public key ophaalt die voor het versleutelen van het bericht wordt gebruikt en ervoor zorgt dat de webserver de enige is die het bericht kan ontsleutelen. Volgens Mozilla worden gebruiker zo dubbel beschermd. DoH versleutelt de DNS-verzoeken, terwijl ECH de eerste communicatie tussen gebruiker en website beschermt. bron: https://www.security.nl

Na anderhalf jaar is er een nieuwe versie van de encryptiesoftware VeraCrypt verschenen, die Windows XP, 7 en 8.1 niet meer ondersteunt, geen TrueCrypt-containers meer kan mounten en ook support voor verschillende oude encryptiealgoritmes heeft laten vallen. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. VeraCrypt versie 1.25.9 is de laatste versie van de software en dateert van vorig jaar februari. De software wordt door Mounir Idrassi ontwikkeld die dit naast een betaalde baan erbij doet. Idrassi heeft nu VeraCrypt 1.26.7 gelanceerd. Met name de Windowsversie bevat een groot aantal bugfixes en aanpassingen, onder andere voor Windows 11. Daarnaast is Windows 10 nu de minimum ondersteunde Windowsversie. Verder ondersteunt VeraCrypt nu ook EMV banking smart cards als keyfiles voor non-system volumes. bron: https://www.security.nl

De criminelen achter de LockBit-ransomware, die eerder de KNVB succesvol afpersten, claimen de aanval op wellnesscentrum Thermae 2000 in het Limburgse Valkenburg. Het bedrijf werd naar eigen zeggen op 5 september slachtoffer van een 'geavanceerde ransomware-aanval'. Daarop werden systemen uitgeschakeld en uiteindelijk gecontroleerde back-ups teruggeplaatst. "Op dit moment is het nog niet duidelijk tot welke gegevens de aanvallers toegang hebben gehad. Wij kunnen dan ook niet uitsluiten dat uw persoonsgegevens inzichtelijk zijn geweest. We hebben daarom melding gemaakt van dit incident bij de Autoriteit Persoonsgegevens en contact opgenomen met de politie", zo laat het wellnesscentrum weten. De criminelen achter de LockBit-ransomware hebben nu de naam van Thermae 2000 op hun eigen website geplaatst en dreigen gestolen gegevens openbaar te maken als er geen losgeld wordt betaald. Om wat voor gegevens het gaat is onbekend. LockBit, waarvan de eerste versie begin 2020 verscheen, wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Naast het versleutelen van gegevens voor losgeld wordt er bij LockBit-aanvallen vaak ook data gestolen. De groep dreigt deze data op de eigen website openbaar te maken als slachtoffers niet betalen. Om slachtoffers onder druk te zetten wordt eerst de naam vermeld, gecombineerd met een aflopende timer. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in WS_FTP voor het overnemen van kwetsbare servers, zo waarschuwt securitybedrijf Rapid7. Het WinSock File Transfer Protocol (WS_FTP) is een protocol voor het veilig uitwisselen van bestanden. Het bestaat uit een ftp-client en een ftp-server en zou wereldwijd meer dan veertig miljoen gebruikers hebben. Een kritieke .NET deserialization kwetsbaarheid in de Ad Hoc Transfer-module van de ftp-server maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige commando's op de ftp-server uit te voeren. De impact van dit beveiligingslek, aangeduid als CVE-2023-40044, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Op 27 september kwam softwareontwikkelaar Progress met beveiligingsupdates voor de kwetsbaarheid, die was gevonden door onderzoekers van Assetnote. Op 1 oktober maakte Assetnote details over het beveiligingslek openbaar. Op 30 september zag Rapid7 echter al de eerste aanvallen bij klanten plaatsvinden. Iets wat het vervolgens ook op X meldde. Organisaties die de updates nog niet hebben geïnstalleerd worden aangeraden dit alsnog te doen. bron: https://www.security.nl

De makers van Thunderbird waarschuwen voor ransomware die zich als de e-mailclient voordoet en via online advertenties wordt verspreid. Het gaat om de criminelen achter de Snatch-ransomware die hiervoor betaalde advertenties op Google.com gebruiken. De advertenties lijken te wijzen naar populaire software zoals Microsoft Teams, Adobe Reader, Thunderbird en Discord. In werkelijkheid gaat het om ransomware. Mozilla zegt dat het bezig is om de websites die de malware aanbieden offline te halen. "Maar aangezien ze in Rusland worden gehost zijn takedowns lastig en vaak niet effectief. Wat je in de tussentijd kunt doen is Thunderbird via een vertrouwde locatie zoals Thunderbird.net downloaden of via de software store van je Linux-distributie", aldus de ontwikkelaars. Die wijzen ook naar deze uitleg hoe gebruikers hun downloads van Thunderbird kunnen verifiëren. bron: https://www.security.nl

De makers van e-mailserversoftware Exim hebben beveiligingsupdates uitgebracht voor verschillende kwetsbaarheden die vorig jaar al werden gerapporteerd en het mogelijk maken om in het ergste geval kwetsbare mailservers op afstand over te nemen en toegang tot gevoelige gegevens maken, zo waarschuwt onder andere het Nationaal Cyber Security Centrum (NCSC). Meer dan 253.000 mailservers maken gebruik van Exim. Een kritieke kwetsbaarheid (CVE-2023-42115) die zich in de smtp-service van Exim bevindt en wordt veroorzaakt door onvoldoende validatie van gebruikersinvoer maakt het mogelijk voor een aanvaller om willekeurige code op de server uit te voeren. CVE-2023-42115 is onderdeel van in totaal zes kwetsbaarheden die vorig jaar door het Zero Day Initiative (ZDI) aan de Exim-ontwikkelaars werden gerapporteerd. Na het vorige week openbaar maken van de kwetsbaarheden reageerden de Exim-ontwikkelaars dat ZDI geen werkbare informatie had gegeven, wat weer tot een reactie van het securitybedrijf leidde. Drie van de zes gerapporteerde kwetsbaarheden zijn nu verholpen in Exim 4.96.1 en 4.97. Versie 4.96.1 is te downloaden via de ftp-server van Exim. bron: https://www.security.nl

Criminelen maken actief misbruik van een kritieke kwetsbaarheid in TeamCity-servers voor het uitvoeren van ransomware-aanvallen. Een update is sinds 21 september beschikbaar, maar op internet zijn nog zeker dertienhonderd kwetsbare servers te vinden, waaronder meer dan zestig in Nederland. Dat laat de Shadowserver Foundation weten. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Organisaties kunnen het platform op een eigen server hosten of hiervoor een in de cloud gehoste oplossing gebruiken. Volgens zoekmachine Shodan zijn meer dan drieduizend on-premise TeamCity-servers op internet te vinden. Een kwetsbaarheid in TeamCity, aangeduid als CVE-2023-42793, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige code op de server uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Omdat deze kwetsbaarheid geen geldig account op de aangevallen server vereist en eenvoudig is te misbruiken, is het waarschijnlijk dat dit beveiligingslek actief zal worden misbruikt", zo waarschuwde Stefan Schiller van securitybedrijf Sonar Source eind september. Sonar Source ontdekte het beveiligingslek en rapporteerde dit aan JetBrains. Misbruik vindt inmiddels plaats, zo laten verschillende partijen onder andere via X weten. Zo meldt securitybedrijf Prodaft dat veel bekende ransomwaregroepen CVE-2023-42793 inmiddels in hun 'workflow' toepassen. Organisaties worden dan ook opgeroepen om hun servers te patchen. bron: https://www.security.nl

De makers van e-mailserversoftware Exim en het Zero Day Initiative (ZDI) ruziën over het oppakken en oplossen van gevonden kwetsbaarheden. Exim is an open source mail transfer agent waar 253.000 servers op internet gebruik van maken. Vorige week maakte het ZDI verschillende kwetsbaarheden in de software openbaar waardoor een aanvaller in het ergste geval de server kan overnemen. Updates zijn echter nog niet beschikbaar. Het ZDI is onderdeel van antivirusbedrijf Trend Micro en beloont onderzoekers van het melden van onbekende kwetsbaarheden en doet hier ook zelf onderzoek naar. Vervolgens wordt bescherming tegen het beveiligingslek toegevoegd aan de producten van Trend Micro en de betreffende softwareontwikkelaar en leverancier gewaarschuwd, zodat die updates kan ontwikkelen. Voor het ontwikkelen van de patches stelt het ZDI een deadline. Afhankelijk van de impact moeten de updates binnen een bepaalde tijd zijn ontwikkeld, anders maakt het securitybedrijf de details openbaar. Vorige week maakte het ZDI in totaal zes kwetsbaarheden in Exim openbaar waarvoor nog geen update beschikbaar is, wat Security.NL afgelopen vrijdag al meldde. Het gaat onder andere om een kritieke kwetsbaarheid waardoor remote code execution op Exim-mailservers mogelijk is. Het ZDI liet weten dat het probleem vorig jaar juni al was gemeld. Op 25 april van dit jaar vroegen de onderzoekers om een update, waarop Exim vroeg om de bugmelding opnieuw op te sturen, wat op 10 mei werd gedaan. Op 25 september vroeg het ZDI wederom of er al een update beschikbaar was en het van plan was om de kwetsbaarheid openbaar te maken, wat vorige week ook gebeurde. Op de oss-sec mailinglist bevestigt Exim-maintainer Heiko Schlittermann dat het ZDI vorig jaar juni de bugmeldingen indiende. "We vroegen om details, maar kregen geen antwoorden waar we iets mee konden", voegt hij toe. Nadat het ZDI afgelopen mei contact opnam werd er een bugtracker voor drie van de zes problemen gestart. Inmiddels zijn drie van de beveiligingslekken verholpen, maar zijn de updates voor deze problemen nog niet openbaar gemaakt. Wat de drie overige problemen betreft zijn die volgens Schlittermann discutabel of ontbreekt de informatie om de kwetsbaarheid te verhelpen. In een reactie op het verwijt van de Exim-maintainer stelt het ZDI dat het de ontwikkelaars meerdere keren over de bugmeldingen heeft benaderd, zonder dat er nauwelijks enige vordering bleek te zijn gemaakt. "Nadat onze deadline met meerdere maanden was overschreden hebben we de maintainer ingelicht met de intentie om deze kwetsbaarheden openbaar te maken, waarbij we kregen te horen dat we moesten doen wat we niet konden laten", aldus het ZDI. Op het moment van schrijven is Exim versie 4.96 de meest recente versie, maar updates zouden elk moment kunnen verschijnen. bron: https://www.security.nl

Microsoft Defender, de in Windows ingebouwde gratis virusscanner, beschouwt Tor Browser als een Trojaans paard waardoor gebruikers geen verbinding met het anonimiseringsnetwerk kunnen maken. Volgens Microsofts antivirusprogramma gaat het om een malware-exemplaar genaamd 'Win32/Malgent!MTB'. Vanwege deze detectie wordt het bestand Tor.exe in quarantaine geplaatst en kan de browser niet meer worden gestart, zo melden gebruikers op Reddit. Gebruikers stellen als oplossing om de executable van een oudere versie terug te plaatsen. Daarin bevinden zich echter kritieke beveiligingslekken. De nieuwste versie van Tor Browser verscheen op 29 september. Sindsdien hebben gebruikers met de waarschuwing van de virusscanner te maken. Het Tor Project laat op de eigen website weten dat sommige antivirussoftware waarschuwingen geeft als Tor Browser wordt gestart en dat dit false positives zijn waar gebruikers zich geen zorgen over hoeven te maken. bron: https://www.security.nl

De kwetsbaarheid in libvpx, die als zeroday is gebruikt om gebruikers van Google Chrome met spyware te infecteren, is nu ook verholpen in Microsoft Edge en Thunderbird. Libvpx is een door Google en de Alliance for Open Media ontwikkelde videocodec-library. Bij het verwerken van een malafide VP8-mediastream kan er een heap buffer overflow ontstaan waardoor een aanvaller code binnen de browser of e-mailclient kan uitvoeren. Om te worden aangevallen zou een slachtoffer een malafide of gecompromitteerde website moeten bezoeken. Google kwam op 27 september met een update voor Chrome en liet weten dat de kwetsbaarheid door een niet nader genoemde commerciële spywareleverancier was ingezet. Libvpx wordt ook door allerlei andere software gebruikt. Op 28 september volgde Mozilla met updates voor verschillende Firefox-versies. Nu is de kwetsbaarheid (CVE-2023-5217) ook verholpen in Edge en Thunderbird (115.3.1). Updaten zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

In de populaire e-mailserversoftware Exim bevindt zich een kritieke kwetsbaarheid die remote code execution mogelijk maakt, waardoor een ongeauthenticeerde aanvaller de server kan overnemen, en een beveiligingsupdate is nog niet beschikbaar. Dat stelt securitybedrijf ZDI, dat Exim naar eigen zeggen vorig jaar juni over het probleem inlichtte. De kwetsbaarheid, aangeduid als CVE-2023-42115, bevindt zich in de smtp-service en wordt veroorzaakt door onvoldoende validatie van gebruikersinvoer. Een aanvaller kan hierdoor een 'out-of-bounds write' veroorzaken die het uitvoeren van willekeurige code mogelijk maakt. De impact van het beveligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Verdere details zijn niet door het ZDI gegeven. De onderzoekers van het bedrijf stellen dat ze Exim vorig jaar juni over de kwetsbaarheid informeerden. Op 25 april van dit jaar vroegen de onderzoekers om een update, waarop Exim vroeg om de bugmelding opnieuw op te sturen, wat op 10 mei werd gedaan. Op 25 september vroeg het ZDI wederom of er al een update beschikbaar was en het van plan was om de kwetsbaarheid openbaar te maken. Gisteren werd het bestaan van het beveiligingslek openbaar gemaakt, hoewel het ZDI geen technische details of een proof-of-concept exploit heeft gegeven waarmee misbruik mogelijk is. Aangezien er geen beveiligingsupdate beschikbaar is adviseert het securitybedrijf om de 'interactie met de applicatie' te beperken. In het verleden zijn kwetsbaarheden in Exim regelmatig gebruikt om mailservers mee aan te vallen. bron: https://www.security.nl

Mozilla heeft een noodpatch uitgebracht voor een actief aangevallen zerodaylek in libvpx, waar ook Firefox gebruik van maakt. De kwetsbaarheid is actief gebruikt voor het infecteren van Google Chrome-gebruikers met spyware, zo maakte Google gisteren bekend. Het techbedrijf kwam woensdag met een update voor Chrome. Libvpx, een door Google en de Alliance for Open Media ontwikkelde videocodec-library. Bij het verwerken van een malafide VP8-mediastream kan er een heap buffer overflow ontstaan waardoor een aanvaller code binnen de browser kan uitvoeren. Om te worden aangevallen zou een slachtoffer een malafide of gecompromitteerde website moeten bezoeken. Naast Chrome maakt ook Firefox gebruik van libvpx. In het geval van Google Chrome was de kwetsbaarheid als 'high' aangemerkt, waardoor alleen het uitvoeren van code binnen de browser mogelijk is. In het geval van Mozilla gaat het om een kritieke kwetsbaarheid waardoor een aanvaller code op het onderliggende systeem kan uitvoeren. Om de kwetsbaarheid te verhelpen zijn nu Mozilla Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus for Android 118.1 en Firefox for Android 118.1 verschenen. bron: https://www.security.nl

Er zitten weinig verschillen in virusscanners voor Windows 10, zo blijkt uit de nieuwste test van het Duitse AV-Test Institute. Van de zestien geteste antivirusprogramma's voor eindgebruikers worden er twaalf als 'top product' bestempeld, waaronder de ingebouwde virusscanner Microsoft Defender en de gratis versie van Avast. Voor de nieuwste test, die in juli en augustus plaatsvond, werden antiviruspakketten beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 306 "zero-day" malware-exemplaren en ruim 16.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,3 procent gehaald. De test met de ruim 18.500 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Avast, AVG, Bitdefender, F-Secure, Kaspersky, McAfee, Norton, PC Matic en Trend Micro weten voor beide detectietests 100 procent te scoren. Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. Microworld en Protected.net zetten met 5 punten de laagste score op dit onderdeel neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Tien pakketten halen hier de maximale zes punten, de overige pakketten komen op 5,5 punten uit. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden 1,1 miljoen schone websites en bestanden gebruikt. Op dit onderdeel scoort PC Matic vier punten, de overige pakketten halen de maximale zes punten. Van de zestien virusscanners worden er uiteindelijk twaalf als "Top Product" bestempeld. Deze pakketten weten 17,5 of de maximale 18 punten te scoren. Het gaat onder andere om de gratis antiviruspakketten Avast Free Antivirus en Microsoft Defender Antivirus. De laatste is standaard onderdeel van Windows 10. Malwarebytes, Microworld, PC Matic en Protected.net zijn de vier pakketten die niet als top worden beoordeeld. bron: https://www.security.nl

Een kwetsbaarheid in de XMPP-serversoftware Openfire wordt actief gebruikt om servers te versleutelen en cryptominers te installeren, zo meldt antivirusbedrijf Doctor Web. Het beveiligingslek, aangeduid als CVE-2023-32315, zou al zeker sinds juni bij aanvallen worden misbruikt. Openfire is een XMPP-server voor chats en groepschats. De kwetsbaarheid maakt path traversal mogelijk, waarbij een aanvaller toegang tot de beheerdersinterface kan krijgen om vervolgens een nieuwe gebruiker met beheerdersrechten toe te voegen. Bij de aanvallen die Doctor Web waarnam gebruiken de aanvallers hun toegang om bestanden te versleutelen en cryptominers te installeren, die de rekenkracht van de server gebruiken voor het delven van cryptovaluta. De kwetsbaarheid is verholpen in versies 4.6.8 en 4.7.5. Beheerders worden dan ook opgeroepen om de beveiligingsupdate te installeren en toegang tot poorten 9090 en 9091 te blokkeren. Eind augustus bleek dat er nog duizenden kwetsbare servers op internet te vinden waren. bron: https://www.security.nl

Mozilla heeft vandaag Firefox 118 gelanceerd die websites en andere webcontent lokaal kan vertalen, waarbij de vertaalde tekst op de computer blijft en niet naar de cloud gaat, zoals bij andere browsers het geval is. Dat laat Mozilla in de release notes van de nieuwe Firefox-versie weten. Het is mogelijk om talen naar het Bulgaars, Nederlands, Engels, Frans, Duits, Italiaans, Pools, Portugees en Spaans te vertalen. Met de ingebouwde vertaling hoeven gebruikers ook geen browser-extensie meer te gebruiken, zoals eerder het geval was. Verder maakt Web Audio in Firefox nu gebruik van een wiskundige library om de Fingerprint Protection te verbeteren en zo tracking van gebruikers te voorkomen. Daarnaast zijn er negen kwetsbaarheden verholpen waarvan Mozilla vermoedt dat ze met voldoende moeite zijn te misbruiken om willekeurige code op de systemen van gebruikers uit te voeren. Updaten naar de nieuwe Firefox-versie kan via de automatische updatefunctie of Mozilla.org. bron: https://www.security.nl

Recent verholpen zerodaylekken in Google Chrome en iOS zijn gebruikt voor het infecteren van de smartphone van een voormalig Egyptisch parlementslid met de Predator-spyware, zo stellen onderzoekers van Citizen Lab en Google. De aanval vond plaats via een Man-in-the-Middle (MitM) aanval en linkjes die via sms werden verstuurd. Deze week kwam Apple met beveiligingsupdates voor drie actief aangevallen zerodaylekken die het mogelijk maken om een toestel volledig over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is hiervoor voldoende. Er is geen verdere interactie van gebruikers vereist. Om de iPhone van parlementslid Ahmed Eltantawy met de Predator-spyware te infecteren stuurden de aanvallers linkjes in sms-berichten die zogenaamd van WhatsApp afkomstig leken. Daarnaast werd er een MitM-aanval toegepast wanneer Eltantawy HTTP-sites bezocht. Het voormalige parlementslid werd dan stilletjes naar een malafide website doorgestuurd die de aanval op zijn iPhone uitvoerde. Volgens Google beschikten de aanvallers ook over een zerodaylek in Chrome om de Predator-spyware op Androidtelefoons in Egypte te installeren. Deze kwetsbaarheid is inmiddels door Google verholpen. Volgens het techbedrijf laten de aanvallen het belang van HTTPS zien, dat netwerkinjectie via een MitM-aanval moet voorkomen. Hiervoor biedt Chrome de “HTTPS-First Mode”, waarbij websites altijd over HTTPS worden geladen en er een waarschuwing verschijnt als er wordt teruggevallen op HTTP. De Predator-spyware geeft aanvallers vergaande controle over de telefoon van slachtoffers, die zo zijn te bespioneren. De malware wordt aangeboden door het bedrijf Cytrox. Citizen Lab en Google stellen dat de spyware-aanval weer een voorbeeld is van misbruik door het groeiende aantal commerciële spywareleveranciers. bron: https://www.security.nl

Proton, het bedrijf achter ProtonMail en ProtonVPN, heeft vandaag een zelfontwikkelde CAPTCHA geïntroduceerd die bestand tegen censuur zou moeten zijn en volledig aan de AVG voldoet. De Proton CAPTCHA is volgens het bedrijf met een 'privacy-first' aanpak ontwikkeld die volledig aan de AVG voldoet, is mobiel vriendelijk en maakt geen gebruik van third-party services. Verder beschikt de CAPTCHA-oplossing over verschillende beschermingsmaatregelen om misbruik te voorkomen, zoals proof of work, visuele puzzels en privacyvriendelijke botdetectie. Zo moeten gebruikers bijvoorbeeld een puzzelstuk op de juiste plek leggen om de captcha op te lossen. "Ons doel is het bieden van een CAPTCHA die toegankelijk, bruikbaar, privacyvriendelijk en bestand is tegen zelfs de meest geavanceerde dreigingen", zegt Eamonn Maguire van Proton. Op dit moment maakt alleen Proton gebruik van de CAPTCHA, maar het bedrijf overweegt om die via een API toegankelijk te maken voor derde partijen die privacy belangrijk vinden. bron: https://www.security.nl