Captain Kirk

WordPress-sites die gebruikmaken van Bricks Builder worden aangevallen via een kritieke kwetsbaarheid waarvoor vorige week een update verscheen, zo melden securitybedrijven. Bricks Builder is een "theme en page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Het gaat om een betaalde plug-in die op zo'n 25.000 WordPress-sites zou draaien. Een kritieke kwetsbaarheid in de software (CVE-2024-25600) maakt ongeauthenticeerde remote code execution mogelijk, waardoor een aanvaller op afstand willekeurige commando's kan uitvoeren en zo de website/server kan overnemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vorige week dinsdag 13 februari kwam Bricks Builder met een beveiligingsupdate en riep beheerders op om meteen te updaten naar versie 1.9.6.1. Op dat moment was er nog geen misbruik bekend, aldus het beveiligingsbulletin. Inmiddels is dat wel het geval, zo waarschuwen securitybedrijven Patchstack en Wordfence. Vanwege de aanvallen heeft Patchstack besloten om details over het beveiligingslek eerder dan gepland openbaar te maken. bron: https://www.security.nl

Ruim 28.000 Exchange-servers zijn kwetsbaar voor een actief aangevallen beveiligingslek, zo meldt de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. Het aantal kwetsbare servers ligt mogelijk nog veel hoger. Van de kwetsbare en mogelijk kwetsbare servers bevinden zich er 3500 in Nederland. Vorige week dinsdag kwam Microsoft met een beveiligingsupdate voor Exchange Server, aangeduid als CVE-2024-21410. Via de kwetsbaarheid is het mogelijk om NTLM relay-aanvallen op Exchange-servers uit te voeren en zo toegang tot e-mailaccounts van gebruikers te krijgen. In eerste instantie meldde Microsoft dat er geen misbruik van de kwetsbaarheid werd gemaakt, maar een dag na de publicatie van de updates kwam het bedrijf daarop terug en liet weten dat het om een zerodaylek ging. De Shadowserver Foundation scant geregeld op kwetsbare systemen op internet en besloot nu te kijken naar kwetsbare Exchange-servers. Het vond 28.500 Exchange-servers die de update voor CVE-2024-21410 niet hebben geïnstalleerd. Daarnaast werden 68.500 servers gevonden die mogelijk kwetsbaar zijn. Of de servers kwetsbaar zijn kon niet met zekerheid worden gezegd, omdat die de update missen, maar mogelijk wel de mitigatie hebben doorgevoerd die bescherming tegen aanvallen biedt. Van de 97.000 gevonden servers bevinden zich er 3500 in Nederland. Duitsland staat met bijna 26.000 servers bovenaan. bron: https://www.security.nl

Zeker tachtig organisaties, waaronder de Iraanse ambassade in Nederland, zijn vorig jaar aangevallen via een zerodaylek in Roundcube Webmail. Dat stelt securitybedrijf Recorded Future op basis van eigen onderzoek. Het gebruik van de kwetsbaarheid werd vorig jaar oktober al door antivirusbedrijf ESET gemeld. Recorded Future heeft nu meer details over de waargenomen aanvallen gegeven. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De kwetsbaarheid waarvan de aanvallers misbruik maakten (CVE-2023-5631) maakt stored cross-site scripting (XSS) mogelijk. Door het versturen van een malafide e-mail kan een aanvaller zo JavaScript in de browser van het slachtoffer uitvoeren en vervolgens alle e-mails in zijn of haar e-mailaccount stelen. In een analyse stelt Recorded Future dat zeker tachtig organisaties via het beveiligingslek zijn aangevallen. Het grootste deel daarvan bevindt zich in Oekraïne, Georgië en Polen. België staat in het overzicht op de vierde plek. De aanvallers hadden het daarbij vooral voorzien op overheden en overheidsinstanties, militaire organisaties en onderzoeksinstellingen/academici. De aanvallen worden toegeschreven aan een aan Rusland gelieerde groep. Het beveiligingslek in RoundCube werd in oktober al gepatcht. Onlangs werd gewaarschuwd voor een andere zeroday in de software, maar daar zijn nog geen details over bekend. bron: https://www.security.nl

Dertienduizend gebruikers van Wyze-beveiligingscamera's hebben vorige week camerabeelden ontvangen die bij andere gebruikers waren gemaakt, zo heeft het bedrijf vandaag bekendgemaakt. Vorige week meldde Wyze al dat door een storing gebruikers beelden van andere gebruikers te zien kregen. Vandaag blijkt dat dertienduizend gebruikers thumbnails van camera's ontvingen die niet van henzelf waren. Van die groep hebben meer dan vijftienhonderd gebruikers op de thumbnails geklikt om de grotere afbeelding te bekijken. In sommige gevallen werd echter ook een 'Event Video' getoond. Wyze zegt dat het alle gebruikers heeft gewaarschuwd. Volgens de camerafabrikant is het probleem veroorzaakt door een niet nader genoemde hird-party caching client library die onlangs aan de Wyze-systemen was toegevoegd. Deze library kreeg te maken met een ongekende belasting door camera's die vanwege een storing bij Amazon Web Services allemaal tegelijkertijd online kwamen. Dit zorgde ervoor dat de library apparaat-ID en gebruikers-ID door elkaar haalde en data aan de verkeerde accounts koppelde. Wyze stelt dat het maatregelen heeft genomen om herhaling te voorkomen. Vorig jaar kwam het ook al voor dat gebruikers met de beelden van anderen konden meekijken. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Microsoft Outlook waar vorige week dinsdag een beveiligingsupdate voor verscheen is toch niet als een zerodaylek misbruikt, zo laat Microsoft in een nieuwe aanvulling op het beveiligingsbulletin weten. In eerste instantie meldde Microsoft dat het niet bekend was met misbruik van de kwetsbaarheid. Een dag later werd het bulletin aangepast en stelde het techbedrijf dat aanvallers al actief misbruik van het lek hadden gemaakt. Microsoft heeft deze aanpassing nu teruggedraaid. Het bedrijf stelt dat het abusievelijk had vermeld dat er misbruik van de kwetsbaarheid had plaatsgevonden, terwijl dit niet het geval is. Zerodaylekken krijgen over het algemeen een hogere prioriteit om te patchen dan kwetsbaarheden waar nog geen misbruik van bekend is. Het beveiligingslek in Outlook (CVE-2024-21413) maakt remote code execution mogelijk, waarbij een aanvaller de Office Protected View-beveiliging kan omzeilen. Daardoor wordt het malafide document in de 'editing mode' geopend in plaats van de beveiligde mode. Om via de kwetsbaarheid te worden aangevallen is het niet nodig dat een slachtoffer het document opent. Ook als het document via de preview pane (voorbeeldvenster) wordt weergegeven is misbruik mogelijk. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Centrum en de Australische overheid hebben apart voor de kwetsbaarheid gewaarschuwd. Het NCSC laat daarbij weten dat er proof-of-concept exploitcode voor het lek beschikbaar is, wat de kans vergroot dat aanvallers er uiteindelijk misbruik van zullen maken. bron: https://www.security.nl

Nog anderhalf jaar en dan stopt Microsoft de ondersteuning van Windows 10. Bedrijven die niet naar Windows 11 kunnen of willen upgraden of niet voor Windows 10-beveiligingsupdates willen betalen, kunnen overstappen op ChromeOS Flex, zo stelt Google. Ondanks het naderende einde van de standaard support wordt Windows 10 nog op grote schaal gebruikt. "Traditioneel is het upgraden naar het laatste beschikbare besturingssysteem een geschikte manier om de kans op een aanval te verkleinen, maar met honderden miljoenen Windows 10-apparaten die binnenkort geen ondersteuning meer krijgen omdat ze niet in aanmerking voor de nieuwste Windowsversie komen, zou het vinden van een manier om deze pc's te beschermen en onderhouden een topprioriteit moeten zijn", aldus Naveen Viswanatha van Google. Het techbedrijf stelt dat ChromeOS Flex in deze gevallen een oplossing kan zijn, omdat bedrijven het besturingssysteem op hun bestaande Windowscomputer kunnen installeren. "Dit moderniseert apparaten, verlengt hun levensduur en voorkomt dat ze op de vuilnisbelt belanden, verkleint het aanvalsoppervlak en bespaart op hardwarekosten", gaat Viswanatha verder. Volgens Google is ChromeOS Flex met security als uitgangspunt ontwikkeld. "Niet achteraf", merkt Viswanatha. Daarnaast heeft het besturingssysteem nog nooit met een succesvolle ransomware-aanval te maken gekregen, gaat hij verder. Het marktaandeel van ChromeOS Flex is echter zeer klein. Een ander punt waar gebruikers rekening mee moeten houden is dat ChromeOS Flex alleen met webapplicaties werkt. Gebruikers kunnen geen applicaties installeren. Wel is het mogelijk om Windows-applicaties en andere software te streamen, laat Google daarover weten. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Microsoft Outlook waarvoor dinsdagavond een patch verscheen is al voor het uitkomen van de update actief gebruikt voor het aanvallen van gebruikers. Dit heeft Microsoft alsnog gemeld in een update van het beveiligingsbulletin, dat hetzelfde ook al deed bij een kritieke kwetsbaarheid in Exchange Server. Onderzoekers vragen zich af wat er aan de hand is bij Microsoft omdat het twee keer achter elkaar vergeet te melden dat er sprake is van zerodaylekken. Het beveiligingslek in Outlook (CVE-2024-21413) maakt remote code execution mogelijk, waarbij een aanvaller de Office Protected View-beveiliging kan omzeilen. Daardoor wordt het malafide document in de 'editing mode' geopend in plaats van de beveiligde mode. Om via de kwetsbaarheid te worden aangevallen is het niet nodig dat een slachtoffer het document opent. Ook als het document via de preview pane (voorbeeldvenster) wordt weergegeven is misbruik mogelijk. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft komt elke tweede dinsdag van de maand met beveiligingsupdates. Daarbij meldt het bedrijf of het weet dat er sprake is van zerodaylekken, oftewel kwetsbaarheden waar voor het uitkomen van de updates misbruik van is gemaakt. Afgelopen dinsdag stelde Microsoft dat dit het geval was bij twee kwetsbaarheden in Windows (CVE-2024-21412 en CVE-2024-21351). Het ging om zogeheten security bypasses. Zerodaylekken krijgen altijd de hoogste prioriteit, omdat er actief misbruik van wordt gemaakt en het daarom nodig is die meteen te patchen. Nu blijkt dat ook kwetsbaarheden in Exchange Server en Outlook als zeroday zijn gebruikt. Onderzoekers vragen zich dan ook af waarom Microsoft de twee zerodays in eerste instantie niet heeft gemeld. Microsoft heeft hierover geen details gegeven. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Exchange Server waarvoor Microsoft dinsdagavond beveiligingsupdates uitbracht is actief bij zeroday-aanvallen gebruikt, zo laat Microsoft weten. In eerste instantie meldde het bedrijf dat dit niet het geval was. Via de kwetsbaarheid is het mogelijk om NTLM relay-aanvallen op Exchange-servers uit te voeren en zo toegang tot e-mailaccounts van gebruikers te krijgen. In het geval van een relay-aanval kan een aanvaller met de onderschepte wachtwoordhash van een slachtoffer inloggen op de Exchange-server en zo toegang krijgen tot het e-mailaccount van het slachtoffer. Een aanvaller zou hiervoor wel eerst de hash van de gebruiker moeten zien te bemachtigen, bijvoorbeeld door misbruik te maken van een kwetsbaarheid in Outlook, zo legt Microsoft uit. De impact van de kwetsbaarheid, aangeduid als CVE-2024-21410, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft geeft geen details over de waargenomen zeroday-aanvallen en waarom het niet in eerste instantie meldde dat het om een zerodaylek ging. bron: https://www.security.nl

Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, wat kan leiden tot het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving, zo heeft het Europees Hof van de Rechten van de Mens geoordeeld. Volgens Patrick Breyer, Europarlementariër van de Piratenpartij, zorgt de uitspraak ervoor dat client-side scanning zoals de Europese Commissie wil invoeren illegaal is. Het Hof deed uitspraak in een zaak die een Russische burger tegen de Russische overheid had aangespannen. Het ging over een wet die communicatieproviders verplicht om alle communicatiedata voor een periode van een jaar op te slaan, en de inhoud van de berichten voor een periode van zes maanden. Tevens moeten providers de autoriteiten de informatie verstrekken om versleutelde berichten te ontsleutelen. Volgens het Hof speelt encryptie een belangrijke rol in het beschermen van het recht op een privéleven en de privacy van online communicatie. Om berichten van end-to-end versleutelde chatapps te ontsleutelen moet de encryptie voor alle gebruikers worden verzwakt, ook die geen onderdeel van een onderzoek zijn. Daarnaast zorgt het verzwakken van encryptie ervoor dat burgers aan allerlei risico's worden blootgesteld. Een wettelijke verplichting om end-to-end encryptie te kunnen ontsleutelen zorgt er eigenlijk voor dat chatproviders worden verplicht om de encryptie voor alle gebruikers te verzwakken, wat niet proportioneel is ten opzichte van het beoogde doel, aldus het Hof. De betreffende wetgeving, waarbij alle online communicatie van alle gebruikers moet worden opgeslagen, de veiligheidsdiensten meteen toegang tot opgeslagen data hebben zonder waarborgen tegen misbruik en de vereiste om end-to-end versleutelde communicatie te ontsleutelen, is in een democratische samenleving niet als noodzakelijk te beschouwen, concludeert het Hof. Dat stelt verder dat de wetgeving in strijd met Artikel 8 van het Europees Verdrag voor de Rechten van de Mens is. Piratenpartij-Europarlementariër Patrick Breyer noemt de uitspraak een mijlpaal en stelt dat hierdoor ook het plan van de Europese Commissie, om alle berichten van Europese burgers door middel van client-side scanning te inspecteren, 'duidelijk illegaal' is. "Het zou de bescherming van iedereen vernietigen in plaats van verdachten te onderzoeken." Volgens Breyer is er nu geen andere mogelijkheid dan het plan voor de 'vernietiging' van end-to-end encryptie uit het voorstel te halen. bron: https://www.security.nl

DuckDuckGo heeft de eigen browser van een nieuwe feature voorzien waardoor gebruikers hun wachtwoorden en bookmarks op end-to-end versleutelde manier over meerdere apparaten kunnen synchroniseren. Om de feature te gebruiken is er geen account vereist en DuckDuckGo claimt dat het bookmarks en wachtwoorden van gebruikers nooit ziet. "Onze private sync is end-to-end versleuteld. Wanneer je van private sync gebruikmaakt blijft je data tijdens het synchronisatieproces veilig versleuteld, omdat de unieke sleutel om het te ontsleutelen alleen op jouw apparaten blijft. Je wachtwoorden zijn voor niemand behalve jou toegankelijk. Dat geldt ook voor DuckDuckGo, dat op geen enkel moment toegang tot je data heeft." Om bookmarks en wachtwoorden met een ander apparaat te synchroniseren kan er gebruik worden gemaakt van een qr-code of alfanumerieke code. bron: https://www.security.nl

Statelijke actoren, spionagegroepen en cybercriminelen maken op allerlei manieren gebruik van ChatGPT, zoals het verzamelen van informatie en genereren van phishingmails, zo claimen Microsoft en Open AI. In een vandaag gepubliceerde blogposting geeft Microsoft verschillende voorbeelden van hoe Advanced Persistent Threats (APT's) en statelijke actoren de chatbot bij aanvallen hebben ingezet. Volgens Microsoft heeft de vanuit Rusland opererende groep genaamd Fancy Bear, die aan de Russische inlichtingendienst GRU gelieerd zou zijn, ChatGPT gebruikt voor het verzamelen van informatie over programmeren en de werking van satellieten. Een vanuit Noord-Korea opererende groep gebruikte de chatbot om de werking achter een kwetsbaarheid in de Microsoft Support Diagnostic Tool (MSDT) te weten te komen, aldus Microsoft. Tevens blijkt dat ChatGPT door meerdere groepen is ingezet voor het genereren van phishingmails, opvragen van informatie, verbeteren van scripts en vertalen van termen en technische papers. Microsoft zegt nog geen nieuwe of unieke AI-gebaseerde aanvallen te hebben gezien of misbruik van technieken waarbij AI is gebruikt. "We blijven het landschap echter nauwlettend volgen." bron: https://www.security.nl

Antivirusbedrijf Avast heeft een beveiligingslek in de Rhysida-ransomware maandenlang stilletjes gebruikt om slachtoffers te helpen bij het terugkrijgen van hun bestanden. Nu onderzoekers vorige week een rapport over de kwetsbaarheid publiceerden (pdf) heeft de virusbestrijder de gebruikte decryptietool openbaar gemaakt. Rhysida wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Voor de verspreiding wordt gebruikgemaakt van phishingmails. Vorig jaar waarschuwde het Amerikaanse ministerie van Volksgezondheid zorginstellingen in de VS voor aanvallen met de Rhysida-ransomware. De ransomware maakt gebruik van een secure random number generator om de encryptiesleutel te genereren en daarmee data op besmette systemen te versleutelen. Een implementatiefout in de ransomware maakt het mogelijk om de gebruikte encryptiesleutel opnieuw te genereren en zo de versleutelde data te ontsleutelen. Zuid-Koreaanse onderzoekers publiceerden vorige week hun onderzoek waarin ze de implementatiefout beschrijven. Antivirusbedrijf Avast was naar eigen zeggen al veel langer van de kwetsbaarheid op de hoogte en heeft slachtoffers sinds augustus vorig jaar stilletjes voorzien van een decryptietool voor het ontsleutelen van data. Dankzij samenwerking met opsporingsdiensten konden zo meerdere getroffen organisaties worden geholpen. Nu de implementatiefout bekend is gemaakt, heeft Avast dit ook gedaan voor de decryptietool, die via de website van het antivirusbedrijf is te downloaden. bron: https://www.security.nl

Chatbot ChatGPT gaat informatie uit gesprekken met gebruikers standaard 'onthouden' en gebruiken bij toekomstige gesprekken, zo heeft ontwikkelaar Open AI aangekondigd. De verzamelde informatie wordt ook gebruikt voor het trainen van de chatbot. Gebruikers krijgen wel de mogelijkheid om de 'Memory' optie uit te schakelen of bepaalde onthouden zaken te verwijderen. Open AI zegt dat gezondheidsgerelateerde zaken niet standaard worden opgeslagen. Volgens Open AI moet Memory ervoor zorgen dat gebruikers geen eerder gegeven informatie hoeven te herhalen. De chatbot kan details zelf onthouden, maar gebruikers kunnen ook specifieke opdrachten hiervoor geven. Het is mogelijk om deze verzamelde 'memories' te bekijken of te verwijderen. Gebruikers kunnen de Memory-optie ook uitschakelen, maar dit zorgt er niet voor dat eerder verzamelde informatie wordt verwijderd. Dit moeten gebruikers via een andere instelling doen. bron: https://www.security.nl

Microsoft gaat de eigen certificaten gebruikt voor Secure Boot vervangen omdat die in 2026 verlopen en adviseert gebruikers van encryptiesoftware BitLocker om een back-up van hun keys te maken. Secure Boot is een beveiligingsmaatregel in de Unified Extensible Firmware Interface (UEFI) die ervoor moet zorgen dat er tijdens het opstarten van het systeem alleen vertrouwde software draait. Hiervoor maakt Secure Boot gebruik van digitale handtekeningen die worden vergeleken met vertrouwde digitale sleutels opgeslagen in de UEFI. Secure Boot maakt gebruik van een 'certificate management system' waarbij certificaatautoriteiten worden gebruikt voor de opslag van digitale certificaten. Deze certificaatautoriteiten, die bestaan uit fabrikanten (OEM's) en Microsoft, genereren sleutelparen die de 'root of trust' van een systeem vormen. De door Secure Boot gebruikte Microsoft-certificaten verlopen in 2026. Microsoft is daarom nu al begonnen met het vervangen van de certificaten, wat gefaseerd plaatsvindt. Een eerste update die hiervoor zorgt is nu beschikbaar gesteld. Het gaat hier om een optionele update. Vanaf april is Microsoft van plan om die onder alle Windowsgebruikers uit te rollen. Microsoft stelt dat het vaker Secure Boot-databases heeft geüpdatet, maar het de eerste keer is dat dit op een dergelijke grote schaal gebeurt. Voor organisaties en gebruikers die de update nu al willen uitrollen en met BitLocker werken adviseert Microsoft om eerst een back-up van de BitLocker keys te maken. Mocht het apparaat na de Secure Boot-update niet meer werken, is in ieder geval de harde schijf nog te ontsleutelen. bron: https://www.security.nl

Softwarebedrijf Twilio stopt maanden eerder dan aangekondigd met de support van tweefactorauthenticatie (2fa)-app Authy Desktop, zo laat het in een bericht aan gebruikers weten. Oorspronkelijk had Twilio aangekondigd dat de apps voor Linux, macOS en Windows vanaf 19 augustus dit jaar end-of-life zouden worden en zo geen ondersteuning meer kregen. Nu meldt Twilio dat de support al op 19 maart stopt, vijf maanden eerder dan oorspronkelijk gepland. De smartphone-apps voor Android en iOS zullen wel ondersteuning blijven ontvangen. Twilio zegt dat het de beslissing heeft genomen om meer middelen beschikbaar te hebben voor de mobiele versies, die meer in trek zijn dan de desktopversies. Authy is een applicatie voor het genereren van tweefactorauthenticatie (2FA) codes. Gebruikers van de desktopversie die niet voor 19 maart actie ondernemen kunnen hun Authy-gebaseerde accounttokens dan niet meer gebruiken, benaderen of migreren. bron: https://www.security.nl

Google gaat binnenkort aanpassingen in Chrome doorvoeren waardoor websites worden geladen en getoond voordat de Safe Browsing-controle van de site is afgerond. Via Safe Browsing waarschuwt Chrome voor phishingsites en andere malafide pagina's. Op dit moment moet de controle zijn afgerond voordat Chrome de website in kwestie toont. Dit kan ervoor zorgen dat het even duurt voordat gebruikers sites te zien krijgen. Met de lancering van Chrome versie 122 zal de browser een 'asynchroon mechanisme' gebruiken, waarbij websites meteen worden geladen, ook al is de Safe Browsing-controle nog niet afgerond. Mocht na de controle blijken dat het om een malafide pagina gaat, krijgt de gebruiker alsnog een waarschuwing te zien. Google stelt dat het op deze manier met AI- en machine learning-gebaseerde algoritmes kan experimenteren om meer phishing- en social engineering-aanvallen te blokkeren. Iets wat voorheen lastig was vanwege de vertraging voor gebruikers. Wat betreft de risico's dat Chrome-gebruikers straks vaker slachtoffer van malafide websites worden stelt Google dat de kans zeer klein is dat een gebruiker bijvoorbeeld al zijn wachtwoord heeft ingevoerd voordat de alsnog getoonde waarschuwing verschijnt. Tevens hanteert de browser een lokale lijst met websites waarvan bekend is dat ze gebruikmaken van Chrome-exploits om zo gebruikers te infecteren. Controle PDF-downloads Een andere aanpassing die Google doorvoert betreft de controle van gedownloade PDF-bestanden. Volgens het techbedrijf werden PDF-bestanden in het verleden op grote schaal gebruikt voor het aanvallen van gebruikers. Het gebruik van PDF-exploits is echter sterk afgenomen. "Zelfs wanneer we malafide PDF's in het wild tegenkomen, bevatten ze links die gebruikers terug naar Chrome redirecten wat ons nog een kans geeft om gebruikers te beschermen", aldus Google. Het bedrijf heeft dan ook besloten om het aantal PDF-controles sterk te verminderen, wat miljarden Safe Browsing-checks per week scheelt. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Microsoft Exchange maakt het mogelijk om NTLM relay-aanvallen uit te voeren en zo toegang tot e-mailaccounts van gebruikers te krijgen, zo waarschuwt Microsoft dat beveiligingsupdates beschikbaar heeft gemaakt. De impact van de kwetsbaarheid, aangeduid als CVE-2024-21410, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts, waarbij gebruik wordt gemaakt van wachtwoordhashes. In het geval van een relay-aanval kan een aanvaller met de onderschepte hash van het slachtoffer inloggen op de Exchange-server. Een aanvaller zou hiervoor wel eerst de hash van de gebruiker moeten zien te krijgen, bijvoorbeeld door misbruik te maken van een kwetsbaarheid in Outlook, zo legt Microsoft uit. Microsoft merkt verder op dat voor het verschijnen van de Exchange Server 2019 Cumulative Update 14 (CU14) update, Exchange Server standaard geen bescherming tegen relay-aanvallen had ingeschakeld. De gisteren uitgebrachte CU14-update zorgt ervoor dat de Extended Protection for Authentication (EPA) wel standaard wordt ingeschakeld. Meer details over het installeren van de updates geeft Microsoft in deze blogposting. bron: https://www.security.nl

Beurshandelaren zijn zeker sinds januari van dit jaar aangevallen via een zerodaylek in Microsoft Defender Smartscreen, waarmee criminelen de beveiligingsmaatregel konden omzeilen om slachtoffers op een geraffineerde wijze met malware te infecteren. Dat laat antivirusbedrijf Trend Micro weten. Microsoft heeft beveiligingsupdates voor Windows uitgebracht waarin het probleem is verholpen. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. De afgelopen jaren zijn meerdere kwetsbaarheden in de beveiligingsmaatregel gevonden en gebruikt bij aanvallen. Het nieuwste zerodaylek (CVE-2024-21412) blijkt een eerder uitgebrachte update van Microsoft voor een andere kwetsbaarheid (CVE-2023-36025) te omzeilen. Bij de door Trend Micro waargenomen aanvallen waren beurshandelaren op forex-handelsforums en Telegram-kanalen het doelwit. De aanvallers plaatsten berichten waarin ze om advies vroegen of gaven, of zogenaamde financiële tools deelden. In alle berichten werd gelinkt naar een zogenaamde aandelengrafiek die op een gecompromitteerde Russische handels- en cryptosite werd gehost. In werkelijkheid wees de link naar een WebDAV share die gebruikers vroeg om Windowsverkenner te openen. Via WebDAV is het mogelijk om bestanden op servers te bekijken en delen. De aanvallers hadden de malafide WebDAV share zo vormgegeven dat die op de lokale downloadmap van slachtoffers leek en er een JPG-bestand in stond. Het weergegeven bestand 'photo_2023-12-29.jpg.url' is in werkelijkheid een ini-configuratiebestand, meldt Trend Micro. Dit bestand wijst weer naar een andere url die naar de malware wijst. Windows laat standaard geen extensies zien, waardoor slachtoffers zouden kunnen denken dat het getoonde bestand een afbeelding is. Zodra slachtoffers de 'afbeelding' in de WebDAV share openen wordt in de achtergrond de malware gedownload, zonder dat hierbij de SmartScreen-waarschuwing verschijnt. Om slachtoffers niets te laten vermoeden wordt er na de infectie een echte afbeelding getoond. Via de malware krijgen de aanvallers controle over het systeem van het slachtoffer. bron: https://www.security.nl

Gebruikers van Roundcube Webmail zijn het doelwit van cross-site-scripting (XSS)-aanvallen, waarbij aanvallers misbruik van een bekende kwetsbaarheid in de software maken om informatie van gebruikers te stelen, zo waarschuwt de Amerikaanse overheid. Roundcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. Een kwetsbaarheid in de software, aangeduid als CVE-2023-43770, maakt via speciaal geprepareerde links in e-mailberichten XSS mogelijk. Het probleem wordt veroorzaakt door het verwerken van linkrefs in plaintext berichten. Een aanvaller kan zo informatie van gebruikers buitmaken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 6.1. Eind september vorig jaar verscheen er een beveiligingsupdate voor de kwetsbaarheid. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat er nu misbruik van het beveiligingslek wordt gemaakt en heeft overheidsinstanties die met Roundcube werken opgedragen om de update voor 4 maart uit te rollen, mocht dat nog niet zijn gedaan. Details over de aanvallen zijn niet gegeven. Vorig jaar werd bekend dat een ander XSS-lek in Roundcube bij zeroday-aanvallen werd gebruikt voor het stelen van e-mail van gebruikers. bron: https://www.security.nl

De populaire adblocker Adblock Plus moet het aantal filterlijsten dat het standaard meelevert en door gebruikers is in te schakelen wegens nieuwe regels van Google beperken, zo laten de ontwikkelaars weten. Adblockers maken gebruik van filters en blocklists om trackers en advertenties te blokkeren. In een reactie op adblockers passen trackers en advertentiebedrijven steeds hun code, scripts en domeinen aan, om zo toch internetgebruikers te kunnen blijven volgen, advertenties te tonen en adblockers te blokkeren. Google verplicht dit jaar nieuwe regels voor browser-extensies, die staan beschreven in een Manifest. Over een aantal maanden wordt Manifest V3 verplicht. De nieuwe regels beperken adblockers op verschillende manieren. Zo zal Adblock Plus straks nog maximaal honderd vooraf geïnstalleerde filterlijsten meeleveren waarvan gebruikers er vijftig tegelijkertijd kunnen inschakelen. Daarnaast zal het in eerste instantie niet mogelijk voor gebruikers zijn om zich op andere filterlijsten die buiten de extensie worden aangeboden te abonneren. Updates Manifest V3 stelt ook eisen aan de manier waarop extensies kunnen worden geüpdatet. Op dit moment kunnen adblockers updates voor hun filters en blocklists zelf uitrollen, waardoor er snel op aanpassingen van trackers en advertentiebedrijven kan worden gereageerd. Manifest V3 staat "remotely hosted code" niet meer toe. Alle updates, zelfs die voor filterlijsten, zullen via volledige extensie-updates via de Chrome Web Store moeten lopen. Google controleert alle extensies en updates die in de Chrome Web Store verschijnen, waardoor ze met de nodige vertraging pas beschikbaar voor gebruikers komen. Adblock Plus zegt dat er een oplossing hiervoor is gevonden in de vorm van 'differential filter list updates', waardoor het mogelijk is om filterlijsten buiten de officiele release om te updaten. "Gebruikers zullen waarschijnlijk geen verschil merken in de kwaliteit van het adblocken", aldus Adblock Plus. De Manifest V3-versie van Adblock Plus zal voor juni van dit jaar verschijnen, aangezien extensie-ontwikkelaars dan van Google hun migratie naar het nieuwe manifest moeten hebben afgerond. De nieuwe regels gaan niet gelden voor Mozilla Firefox. bron: https://www.security.nl

Skiff, een bedrijf dat end-to-end versleutelde e-mail, cloudopslag, workspace en kalender biedt, stopt met het aanbieden van diensten nu het is overgenomen door 'connected workspace' aanbieder Notion, tot grote onvrede van gebruikers. Die hebben nu nog zes maanden de tijd om e-mails, bestanden, contacten, kalenders en andere data te exporteren of migreren. Tevens is het mogelijk om in te stellen dat e-mail naar een andere provider wordt doorgestuurd. Gebruikers reageren woedend op Reddit over het stopzetten van de dienstverlening en vragen vooral om advies over hoe en waar ze naar toe moeten overstappen. Skiff werd in 2020 gelanceerd en omschreef zichzelf als een bedrijf dat privacy op de eerste plek zette. Details over de overname zijn niet bekendgemaakt. bron: https://www.security.nl

Vpn-provider ExpressVPN heeft jarenlang sommige dns-verzoeken van gebruikers gelekt, zo heeft het bedrijf bekendgemaakt. Het probleem doet zich voor bij de Windowsapplicatie van ExpressVPN wanneer de feature 'split tunneling' is ingeschakeld. Wanneer ExpressVPN actief is gaat al het verkeer via de vpn-app. Via split tunneling kunnen gebruikers aangeven welke apps via de vpn-tunnel gaan en welke apps direct met een open netwerk verbinding maken. "Wanneer je via split tunneling instelt dat bepaalt verkeer niet via de bescherming van je vpn gaat, kan je internetprovider of een derde partij toegang totdat verkeer krijgen", waarschuwt ExpressVPN op de eigen website. Een bug in de feature zorgt ervoor dat dns-verzoeken die naar een ExpressVPN-server hadden moeten gaan naar een server van een derde gaat, bijvoorbeeld die van de internetprovider. Die kan zo zien welke websites de gebruiker bezoekt. Vanwege de fout heeft ExpressVPN een update voor versie 12 van de Windowsapplicatie uitgebracht waarin split tunneling volledig is uitgeschakeld. Er wordt nu onderzocht wat de exacte oorzaak is. ExpressVPN stelt dat het de situatie alleen in bepaalde gevallen bij bepaalde apps kon repliceren. Wanneer de oorzaak van het probleem, dat sinds 19 mei 2022 in de software aanwezig is, is achterhaald en verholpen, zal split tunneling via een update weer beschikbaar in de vpn-app komen. bron: https://www.security.nl

Malafide advertenties op Facebook worden gebruikt voor het verspreiden van malware die onder andere wachtwoorden uit wachtwoordmanagers, crypto en documenten van besmette systemen steelt, zo laat securitybedrijf Trustwave weten (pdf). De advertenties doen voorkomen dat er vacatures zijn voor posities zoals accountmanager. Voor meer informatie wordt er naar een extern bestand gelinkt. Dit is een malafide bestand dat, wanneer geopend door de gebruiker, de uiteindelijke malware downloadt. Eenmaal actief kan de Ov3r_Stealer, zoals de malware door Trustwave wordt genoemd, allerlei informatie van systemen stelen. Het gaat dan om cryptowallets, wachtwoorden uit een groot aantal wachtwoordmanagers waaronder Dashlane, Bitwarden, KeePass, LastPass en KeePassXC, alsmede authenticator-apps zoals Google Authenticator, Microsoft Authenticator, Duo Mobile, Authy en FreeOTP. Verder steelt de malware ook tekst-, Excel- en Word-bestanden uit de Documenten-map, inloggegevens uit ftp-client FileZilla en gebruikersgegevens uit Google Chrome. Het gaat dan om cookies, creditcardgegevens en andere ingevulde gegevens. De gestolen data wordt vervolgens naar een Telegram-kanaal gestuurd dat door de aanvallers wordt gemonitord. bron: https://www.security.nl

Fortinet waarschuwt organisaties voor een nieuwe kritieke kwetsbaarheid in FortiOS, waardoor het mogelijk is om kwetsbare firewalls, vpn-systemen en andere netwerkapparaten zonder authenticatie op afstand over te nemen. Mogelijk wordt er al misbruik van het lek gemaakt. De Australische overheid roept op om de beschikbaar gestelde beveiligingsupdate te installeren en de SSL VPN-functionaliteit uit te schakelen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. Een nieuwe kwetsbaarheid aangeduid als CVE-2024-21762 maakt het mogelijk voor aanvallers om zonder authenticatie op afstand code en commando's op kwetsbare apparatuur uit te voeren. De enige vereiste is de mogelijkheid om een HTTP-request naar het apparaat te sturen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. In het beveiligingsbulletin stelt Fortinet dat er mogelijk al misbruik van de kwetsbaarheid wordt gemaakt, maar verdere details zijn niet gegeven. Naast het installeren van de beschikbaar gestelde update kunnen organisaties als workaround ook de SSL VPN-functionaliteit in FortiOS uitschakelen. Het Australische Cyber Security Centre (ACSC) adviseert zowel het installeren van de update als het uitschakelen van de VPN-functie. bron: https://www.security.nl

Ivanti roept beheerders op om een nieuwe kwetsbaarheid in Connect Secure en Policy Secure meteen te patchen. De afgelopen weken zijn andere kwetsbaarheden in Connect Secure actief gebruikt om organisaties aan te vallen. De nieuwste kwetsbaarheid (CVE-2024-22024) maakt het mogelijk voor een aanvaller om zonder authenticatie bepaalde afgeschermde 'resources' te benaderen. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 8.3. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Volgens Ivanti heeft het geen aanwijzingen dat er actief misbruik van de kwetsbaarheid wordt gemaakt. "Het is echter belangrijk dat je meteen actie onderneemt om ervoor te zorgen dat je volledig beschermd bent", aldus het bedrijf. Ivanti kwam op 31 januari al met een mitigatie die ook bescherming tegen de nieuwe kwetsbaarheid biedt. Daarnaast zijn er nu ook patches beschikbaar gesteld. Afhankelijk van eerder genomen maatregelen kan het nodig zijn om ook een fabrieksreset van het apparaat uit te voeren. Sinds 10 januari zijn er in totaal vijf beveiligingslekken in Ivanti Connect Secure aan het licht gekomen, waarvan er zeker drie actief worden misbruikt. bron: https://www.security.nl