Captain Kirk

De aanvallers die een wereldwijde zeroday-aanval tegen Barracuda Email Security Gateways (ESG) uitvoerden hielden er rekening mee dat de aanval zou worden ontdekt, en installeerden na de bekendmaking nieuwe malware op getroffen apparaten om zo ook nieuwe en opgeschoonde gateways te kunnen infecteren, zo stelt securitybedrijf Mandiant. Verder zochten de aanvallers vooral naar e-mailaccounts van medewerkers met een politieke of strategische interesse voor de Chinese overheid, aldus de onderzoekers van het bedrijf. De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een e-mail met een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Barracuda ontdekte het zerodaylek op 19 mei van dit jaar, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Volgens Mandiant, dat onderzoek naar de aanvallen deed, wordt er al sinds 10 oktober vorig jaar misbruik van het lek gemaakt. Barracuda liet eerder al weten dat vijf procent van alle gateways wereldwijd is gecompromitteerd. Vooral in de Verenigde Staten en Canada blijken deze apparaten zich te bevinden. Dat kan volgens Mandiant ook te maken hebben met het klantenbestand, dat zich vooral in deze landen bevindt. Verder stelt het securitybedrijf in een vandaag verschenen analyse dat de aanvallers er rekening mee hielden dat de zeroday-aanval zou worden opgemerkt. Een week nadat Barracuda bekendmaakte dat er een zerodaylek in de gateway zat, rolden de aanvallers onder een select aantal slachtoffers aanvullende malware uit met de naam Submarine of Depthcharge. Het ging met name om overheidsinstanties en techbedrijven. Via deze malware konden de aanvallers opgeschoonde of nieuwe gateways opnieuw infecteren als getroffen organisaties een back-upconfiguratie van een eerder besmette gateway terugplaatsten. Onlangs liet de FBI nog weten dat de updates die Barracuda uitbracht om het zerodaylek te verhelpen onvoldoende waren en adviseerde om de gateways meteen uit het netwerk te verwijderen. bron: https://www.security.nl

Microsoft gaat dit najaar Extend Protection standaard op Exchange 2019-servers inschakelen, zo heeft het techbedrijf aangekondigd. Systeembeheerders kunnen de beveiligingsmaatregel, die bescherming tegen relay-aanvallen moet bieden, wel weer uitschakelen. Bij relay-aanvallen weet een aanvaller door middel van onderschepte communicatie zich als het slachtoffer bij de server aan te melden. Exchange ondersteunt Extend Protection al sinds vorig jaar augustus, maar beheerders moesten het wel zelf inschakelen. Dit najaar zal Microsoft via Cumulative Update 14 bij alle Exchange 2019-servers de beveiligingsmaatregel inschakelen. De feature wordt alleen bij Exchange Server 2019 ingeschakeld, aangezien dit de enige versie is die nog mainstream support ontvangt. Microsoft roept organisaties op om Extend Protection nu al in hun omgeving in te schakelen. De maatregel is sinds de 'August 2022 Security Update' beschikbaar. Servers die deze beveiligingsupdate missen zijn volgens Microsoft permanent kwetsbaar en zouden meteen moeten worden geüpdatet. Daarnaast zullen deze oudere servers niet kunnen communiceren met Exchange-servers die Extend Protection hebben ingeschakeld. bron: https://www.security.nl

Het ip-adres van mobiele Skype-gebruikers is alleen door het versturen van een malafide link te achterhalen. Behalve het openen van het bericht is geen verdere interactie vereist, zoals het klikken op de link zelf. Microsoft was eerst niet van plan om het probleem te verhelpen, maar heeft nu toch een update aangekondigd. Het probleem doet zich alleen voor bij de Skype-app. De desktopapplicatie is niet kwetsbaar. Dat meldt 404 Media, dat door een beveiligingsonderzoeker genaamd 'Yossi' werd ingelicht. Aangezien Skype nog steeds kwetsbaar is wil de publicatie niet vertellen hoe de kwetsbaarheid precies werkt, behalve dat alleen het openen van een bericht met een speciaal geprepareerde link voldoende is om het ip-adres te lekken. De onderzoeker stelt dat hij Microsoft op 12 augustus over het probleem informeerde, maar het techbedrijf het lekken van het ip-adres niet als een kwetsbaarheid beschouwt. In een verdere uitleg laat Microsoft weten dat het probleem niet ernstig genoeg is om meteen te worden verhelpen, maar het in de toekomst met een update komt om klanten te beschermen. bron: https://www.security.nl

Cisco VPN's zonder multifactorauthenticatie (MFA) zijn het doelwit van ransomware-aanvallen, zo heeft het netwerkbedrijf bekendgemaakt. Het gaat om aanvallen door criminelen achter de Akira-ransomware, die het voorzien hebben op organisaties die geen MFA voor hun VPN-gebruikers hebben ingeschakeld. De Akira-groep zou sinds afgelopen maart actief zijn. Begin deze maand meldde een beveiligingsonderzoeker op X dat Cisco VPN's zonder MFA door de criminelen werden aangevallen. Volgens Cisco hebben de aanvallers vermoedelijk gebruikgemaakt van bruteforce-aanvallen om toegang tot de VPN-server te krijgen of is er gebruik van gestolen inloggegevens gemaakt, die bijvoorbeeld via online fora zijn aangeschaft. Cisco weet dit echter niet met zekerheid, omdat bij de aangevallen Cisco VPN-servers geen logging was ingeschakeld. "Dit maakt het lastig om te bepalen hoe de Akira-groep toegang tot de VPN's heeft gekregen", zegt Omar Santos van Cisco. Volgens Santos laten de ransomware-aanvallen het belang van MFA zien. "Door MFA te implementeren kunnen organisaties de kans van ongeautoriseerde toegang, waaronder potentiële ransomware-infecties, aanzienlijk verkleinen. Als een aanvaller ongeautoriseerde toegang krijgt tot de VPN-inloggegevens van een gebruiker, bijvoorbeeld via een bruteforce-aanval, biedt MFA een aanvullende beveiligingslaag om te voorkomen dat de aanvaller toegang tot de VPN krijgt." bron: https://www.security.nl

De criminelen achter de Clop-ransomware hebben via een kwetsbaarheid in MOVEit Transfer de gegevens van zestig miljoen personen gestolen. Duizend organisaties werden via het beveiligingslek aangevallen, zo stelt securitybedrijf Emsisoft op basis van datalekmeldingen aan privacytoezichthouders, persberichten, meldingen bij de Amerikaanse beurswaakhond SEC en de website van de criminelen zelf. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van inmiddels duizend organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties. Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren. Emsisoft stelt dat inmiddels van duizend organisaties bekend is dat ze slachtoffer zijn geworden en dat aantal kan nog verder groeien. De grootste datadiefstal via het MOVEit-lek vond plaats bij de Amerikaanse dienstverlener Maximus, waarbij de gegevens van elf miljoen personen werden gestolen. Op de tweede plaats staat het Franse centrum voor werkgelegenheid Pôle emploi. Daar kregen de aanvallers de gegevens van tien miljoen mensen in handen, zo werd vorige week bekend. De meeste getroffen organisaties, 84 procent, bevinden zich in de Verenigde Staten, Duitsland volgt met 3,6 procent op de tweede plek, gevolgd door Canada (2,6 procent) en het Verenigd Koninkrijk (2,1 procent). Financiële en professionele dienstverleners en onderwijsinstellingen maken bij elkaar vijftig procent van de getroffen organisaties uit. bron: https://www.security.nl

Een Europese backbone-provider is via een kwetsbare versie van ManageEngine Servicedesk besmet met malware, zo stelt Cisco. De niet nader genoemde "internet backbone infrastructure provider" had nagelaten een beschikbare beveiligingsupdate te installeren. Servicedesk is software waarmee helpdesks allerlei taken kunnen uitvoeren, zoals incidentmanagement, het beheer van supporttickets en het genereren van rapportages. Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. In januari van dit jaar werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt. Vijf dagen na de publicatie maken aanvallers actief misbruik van de kwetsbaarheid. De aanval op de backbone-provider is volgens Cisco het werk van de Lazarus Group, die volgens het netwerkbedrijf wordt gesponsord door de Noord-Koreaanse overheid. Lazarus wordt door onderzoekers aangemerkt als een financieel gemotiveerde groep en richt zich vaak op cryptogerelateerde bedrijven. Wat het precies met de aanval op de backbone-provider wilde bereiken is niet bekend. De malware die de groep bij de aanvallen inzet maakt gebruik van het QT framework. Dat vergroot volgens Cisco de complexiteit van de code, wat analyse door onderzoekers lastiger maakt in vergelijking met malware gemaakt met eenvoudigere programmeertalen. bron: https://www.security.nl

Dus toch een instelling. Soms kan een simpele instelling best irritant zijn. Fijn dat het verholpen lijkt te zijn. Is het OK dat we het topic sluiten?

Ik heb hier ook zo even geen verklaring voor. Maar zou het kunne zijn dat er binnen Photoshop bij de instellingen iets staat aangegeven dat Photoshop dit zelf doet? Het is meedenken, oorzaak en oplossing weet ik zo even niet. Sorry

Een Europese backbone-provider is via een kwetsbare versie van ManageEngine Servicedesk besmet met malware, zo stelt Cisco. De niet nader genoemde "internet backbone infrastructure provider" had nagelaten een beschikbare beveiligingsupdate te installeren. Servicedesk is software waarmee helpdesks allerlei taken kunnen uitvoeren, zoals incidentmanagement, het beheer van supporttickets en het genereren van rapportages. Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. In januari van dit jaar werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt. Vijf dagen na de publicatie maken aanvallers actief misbruik van de kwetsbaarheid. De aanval op de backbone-provider is volgens Cisco het werk van de Lazarus Group, die volgens het netwerkbedrijf wordt gesponsord door de Noord-Koreaanse overheid. Lazarus wordt door onderzoekers aangemerkt als een financieel gemotiveerde groep en richt zich vaak op cryptogerelateerde bedrijven. Wat het precies met de aanval op de backbone-provider wilde bereiken is niet bekend. De malware die de groep bij de aanvallen inzet maakt gebruik van het QT framework. Dat vergroot volgens Cisco de complexiteit van de code, wat analyse door onderzoekers lastiger maakt in vergelijking met malware gemaakt met eenvoudigere programmeertalen. bron: https://www.security.nl

Twee kwetsbaarheden in de populaire WordPress-plugin Jupiter X Core geven hackers de mogelijkheid om de website in kwestie over te nemen en zonder authenticatie bestanden te uploaden. Jupiter X Core is een visuele editor die als plugin onderdeel uitmaakt van het Jupiter X-thema. Ruim 172 duizend WordPress-websites gebruiken dit 59 dollar kostende thema, schrijft Bleepingcomputer op basis van de verkooppagina op Themeforest. De twee kwetsbaarheden zijn ontdekt door WordPress-beveiligingsfirma Patchstack en gerapporteerd aan de ontwikkelaar van het thema. Die heeft onlangs een beveiligingsupdate uitgebracht die de kwetsbaarheden verhelpt. Gebruikers van Jupiter X Core met versie 3.3.8 en lager zijn kwetsbaar en dienen de plugin te updaten naar versie 3.4.3. De ene kwetsbaarheid (CVE-2023-38388) stelt een kwaadwillende in staat om zonder authenticatie bestanden te uploaden, inclusief potentieel het uitvoeren van willekeurige code op de server. Om die reden heeft het lek een score van 9.0 gekregen. De tweede kwetsbaarheid is met een score van 9.8 nog gevaarlijker en draagt de naam CVE-2023-38389. Een kwaadwillende die het e-mailadres van de gebruiker weet, kan dat WordPress-account in kwestie overnemen door een bug in de authenticatiemethode. Onduidelijk is of één of beide kwetsbaarheden in het wild misbruikt zijn. Bleepingcomputer kon hier geen bewijs voor vinden. Patchstack laat zich niet uit over eventueel misbruik. bron: https://www.security.nl

Onderzoekers hebben malware ontdekt die vanaf besmette pc's naar wifi-routers in de buurt zoekt, om zo de locatie van de geïnfecteerde computer te achterhalen. Dat laat securitybedrijf Secureworksin een analyse weten. De malware, met de naam 'Whiffy Recon', wordt geïnstalleerd door andere malware. Eenmaal actief kijkt Whiffy Recon eerst of de computer over wifi beschikt. Vervolgens vindt de wifi-scan plaats, waarbij naar wifi-routers in de buurt wordt gezocht. De scanresultaten worden dan naar de Google Geolocation API gestuurd. Deze dienst bepaalt aan de hand van wifi access points en zendmasten de locatie van systemen. Het resultaat van de Google API gaat daarna naar de aanvallers. "Omdat de wifi-scanning elke zestig seconden plaatsvindt en wordt verrijkt met geolocatiegegevens, kunnen de aanvallers daarmee het besmette systeem volgen. Het is onduidelijk hoe de aanvallers deze data gebruiken", aldus Secureworks. Het securitybedrijf heeft verschillende indicators of compromise gegeven die organisaties kunnen gebruiken om verkeer naar de server van de aanvallers te blokkeren. bron: https://www.security.nl

Alle gebruikers van Messenger zouden voor het einde van dit jaar standaard end-to-end versleuteld moeten communiceren, zo heeft Meta aangekondigd. De beveiligingsmaatregel is inmiddels bij nog meer gebruikers ingeschakeld. Vorig jaar augustus werd end-to-end encryptie bij "sommige" gebruikers uitgerold. Gebruikers van Messenger hebben al de mogelijkheid om end-to-end versleuteld te communiceren, maar moeten dit zelf inschakelen. Meta liet eerder al weten dat het chats standaard end-to-end wil versleutelen en test dat stapsgewijs. Sinds dinsdag is end-to-end encryptie bij "miljoenen" meer gebruikers ingeschakeld en stelt Meta dat het op koers ligt om end-to-end encryptie voor het einde van dit jaar standaard voor alle één-op-één en 'family chats' in te schakelen. Volgens het techbedrijf is het een ongekend complexe en uitdagende puzzel om de overstap naar standaard end-to-end encryptie te maken. Zo moest de volledige code base voor het versturen van berichten en bellen bijna volledig opnieuw worden geschreven. Daarom wordt ook voor een gefaseerde uitrol gekozen. Eerder dit jaar werd Meta nog door politiediensten opgeroepen om de encryptieplannen te heroverwegen en end-to-end encryptie alleen door te voeren als er ook "robuuste veiligheidssystemen" zijn om de veiligheid van kinderen te beschermen. bron: https://www.security.nl

Google heeft de eerste wekelijkse beveiligingsupdates voor Chrome uitgebracht. Het techbedrijf liet onlangs weten dat het elke week patches voor de browser zal uitbrengen om zo gebruikers beter te beschermen. Met de nieuwste versie van de browser zijn in totaal vijf kwetsbaarheden verholpen. Chrome is gebaseerd op de open source Chromium-browser. De code is open source en kan door iedereen worden bekeken, waaronder verholpen kwetsbaarheden. Het is al meerdere keren voorgekomen dat kwetsbaarheden in Chromium of andere opensource-onderdelen van Chrome door de ontwikkelaars van deze onderdelen waren gepatcht, maar deze updates nog niet door Google binnen Chrome waren doorgevoerd. Gebruikers konden daardoor worden aangevallen. Om deze 'patch gap' te verkorten is met de lancering van Chrome 116 voor een wekelijke patchcyclus gekozen. De eerste update voor Chrome 116 verhelpt in totaal vijf beveiligingslekken, waarvan de maximale impact als 'high' is beoordeeld. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De update naar Chrome 116.0.5845.110 voor Linux en macOS en Chrome 116.0.5845.110/.111 voor Windows zal op de meeste systemen automatisch worden geïnstalleerd. In het geval van kwetsbaarheden met een "high" impact kan dit echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Microsoft heeft een zakelijke versie van Edge gelanceerd, die zich richt op security, privacy en beheer, zo claimt het techbedrijf. Edge for Business is geen nieuwe browser, maar een versie die productiviteit en security moet verbeteren, zo staat in de uitleg vermeld. Naast de kleine visuele aanpassingen is het bij de zakelijke versie ook mogelijk voor organisaties om volledige controle over policies, features en configuraties te hebben, in tegenstelling tot de normale versie waarbij dit veel beperkter is. Microsoft stelt verder dat Edge for Business het oppervlak voor cyberaanvallen kan verkleinen en de 'security posture' van een organisatie kan verbeteren. Verder biedt het voor eindgebruikers die op zowel werk als persoonlijke profielen zijn ingelogd de optie om automatisch te switchen, wat security- en privacyvoordelen zou hebben. Alle gebruikers die inloggen met Entra ID (voorheen Azure Active Directory) zullen Edge for Business automatisch ontvangen. Er is geen aparte download vereist. Wachtwoorden, favorieten en data gekoppeld aan het werkprofiel van de gebruiker zullen ook in Edge for Business beschikbaar zijn. Data, favorieten en wachtwoorden worden niet gedeeld tussen werk en persoonlijke browservensters. Door middel van een apart Edge-icoon kunnen gebruikers zien dat ze de 'werkbrowser' gebruiken. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Veeam voor het aanvallen van back-upservers. Het gaat onder andere om de criminelen achter de Cuba-ransomware, zo melden BlackBerry en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2023-27532, is sinds 7 maart van dit jaar beschikbaar. Veeam biedt oplossingen voor het maken en restoren van back-ups en repliceren van software. Via de kwetsbaarheid in Veeam Backup & Replication en Veeam Cloud Connect kan een ongeauthenticeerde aanvaller versleutelde inloggegevens uit de configuratiedatabase stelen, en zo toegang tot de back-upserver krijgen. Voorwaarde is wel dat de aanvaller toegang tot de 'backup infrastructure network perimeter' moet hebben om de aanval uit te kunnen voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. In april meldde securitybedrijf WithSecure dat een 'financieel gemotiveerde cybercrimegroep' genaamd FIN7 misbruik van de kwetsbaarheid maakte. Vorige week liet BlackBerry weten dat dit ook werd gedaan door de criminelen achter de Cuba-ransomware. Gisterenavond kwam het CISA vervolgens met de melding dat er actief misbruik van het lek werd gemaakt en heeft nu federale Amerikaanse overheidsinstanties verplicht om de Veeam-update voor 12 september te installeren. bron: https://www.security.nl

Gegevens van 2,6 miljoen gebruikers van het online taalplatform Duolingo worden via een online forum verspreid. Het gaat onder andere om e-mailadressen, namen, gesproken talen, gebruikersnamen en talen die gebruikers aan het leren zijn. De data kon door middel van scraping worden verkregen, waarbij aanvallers gebruikmaakten van een kwetsbare programmeerinterface (API). Via Duolingo is het mogelijk om allerlei talen te leren. Het platform had vorig jaar 50 miljoen actieve gebruikers per maand. "De gegevens zijn door middel van scraping van publieke profielinformatie verkregen", aldus een woordvoerder afgelopen januari, toen de gegevens op internet te koop werden aangeboden. Inmiddels wordt de data via een "populair hackingforum" verspreid, stelt beveiligingsonderzoeker Troy Hunt. "Hoewel sommige data-attributen opzettelijk openbaar zijn, vormt de mogelijkheid om private e-mailadressen aan ze te koppelen een risico voor de privacy van gebruikers", aldus de onderzoeker, die tevens oprichter van datalekzoekmachine Have I Been Pwned is. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Hunt heeft de 2,6 miljoen gelekte e-mailadressen nu toegevoegd. Daarvan was maar liefst 100 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om het updatekanaal van Cobra DocGuard te kapen en te gebruiken voor de verspreiding van een backdoor die door Microsoft was gesigneerd, zo meldt securitybedrijf Symantec in een analyse. De meeste slachtoffers van de supply chain-aanval bevinden zich in in Hong Kong. Cobra DocGuard is een programma voor het beveiligen, versleutelen en ontsleutelen van software, ontwikkeld door het Chinese EsafeNet. Vorig jaar september meldde antivirusbedrijf ESET dat een update voor de software was gebruikt voor het infecteren van een gokbedrijf in Hong Kong. In april bleek dat er opnieuw besmette updates onder gebruikers van de software waren verspreid. De afgelopen maanden zijn erop deze manier verschillende malware-exemplaren "uitgerold". Een van de malware-exemplaren was gesigneerd door Microsoft en downloadde de Korplug-backdoor op systemen. Deze backdoor kan aanvallers commando's op besmette systemen laten uitvoeren, bestanden stelen, toetsaanslagen opslaan en firewall-poorten openzetten. De malafide downloader beschikte over een certificaat van Microsoft. Vanaf Windows 10 moeten alle drivers via het Windows Hardware Developer Center Dashboard portal gesigneerd zijn. Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die als alles goed is signeren. Verschillende malafide partijen hebben het Windows Hardware Developer Program misbruikt om hun malafide drivers door Microsoft gesigneerd te krijgen, zo liet het techbedrijf afgelopen juli weten. Zo'n honderd systemen raakten besmet via de malafide updates voor Cobra DocGuard. Het programma draait op zo'n tweeduizend systemen, aldus de onderzoekers. Dit zou suggereren dat de aanvallers de malware selectief onder bepaalde slachtoffers verspreiden. Hoe de aanvallers erin zijn geslaagd het updatekanaal van DocGuard te compromitteren wordt niet door Symantec gemeld. bron: https://www.security.nl

Vpn-provider Proton VPN heeft vandaag een aparte zakelijke vpn-dienst voor bedrijven aangekondigd. Proton VPN for Business is een volledig beheerde vpn-dienst die via aparte servers en ip-adressen een gateway voor bedrijven biedt. Elke gateway is alleen benaderbaar voor medewerkers van het betreffende bedrijf. Op basis van de gateway kan vervolgens worden bepaald tot welke middelen personeel toegang heeft. De servers en ip-adressen die voor de private gateway worden gebruikt kunnen uit meer dan 65 locaties worden gekozen. Proton VPN benadrukt dat het een volledig beheerde dienst is en bedrijven niet over "in-house experts" hoeven te beschikken om van de vpn-dienst gebruik te maken. Ook is er geen aparte hardware of installatie vereist. Verder kan de vpn-dienst advertenties en trackers blokkeren. Volgens Proton VPN gebruikt de zakelijk vpn-dienst een deel van de technologie die ook voor de consumenten vpn-dienst wordt gebruikt, maar is het fundamenteel een ander product. bron: https://www.security.nl

Een aanvaller kan door middel van kwetsbaarheden in een slimme ledlamp van fabrikant TP-Link het wifi-wachtwoord van gebruikers stelen, zo hebben onderzoekers van de Universita di Catania en Royal Holloway University of London aangetoond (pdf). TP-Link heeft inmiddels updates voor de firmware van de lamp en bijbehorende app uitgebracht. De problemen zijn aangetoond in de TP-Link Tapo L530E. Gebruikers kunnen de lamp, die toegang moet hebben tot het wifi-netwerk van de gebruiker, via een bijbehorende app bedienen. Vier kwetsbaarheden, met betrekking tot de authenticatie en vertrouwelijkheid, maken het mogelijk om verschillende soorten aanvallen uit te voeren. Zo is er een gebrek aan authenticatie van de lamp bij de Tapo-app. Daardoor kan een aanvaller zich bij de app authenticeren en als lamp voordoen. Verder wordt er tussen de lamp en app gebruikgemaakt van een hard-coded secret. Dit secret is echter kort en wordt gelekt door zowel de app als de lamp. De onderzoekers stellen dat de vier kwetsbaarheden vijf aanvallen mogelijk maken. Bij één van die aanvallen kan de aanvaller een wifi deauthenticatie-aanval uitvoeren, waardoor de lamp de verbinding met het wifi-netwerk van de gebruiker verliest. De gebruiker zal dan de lamp resetten. De aanvaller plaatst zich vervolgens tussen de gebruiker en de lamp en kan zo het wifi-wachtwoord van de gebruiker achterhalen, alsmede de inloggegevens die het slachtoffer gebruikt om zich bij de Tapo-app aan te melden. TP-Link werd op 25 februari over de kwetsbaarheden geïnformeerd en liet op 16 juni weten dat de problemen waren verholpen door middel van updates voor de lamp en app. bron: https://www.security.nl

De maker van de populaire adblocker uBlock Origin heeft een 'lite' versie voor Firefox beschikbaar gemaakt die standaard minder goed presteert dan het origineel. Aanleiding zijn nieuwe regels van Google die voor browser-extensies gaan gelden. De manier waarop extensies binnen Chrome en andere browsers mogen werken staat beschreven in een manifest. Google zal versie drie (V3) van het manifest voor extensies gaan verplichten. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API in Manifest V3 voorgesteld genaamd declarativeNetRequest (DNR). DNR beperkt de mogelijkheden van adblockers door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Voor statische regels hanteert Chrome in Manifest V3 een limiet van 30.000 regels per extensie en een totale limiet van 330.000 regels voor alle geïnstalleerde extensies bij elkaar. In het geval de limiet wordt overschreden zal Chrome ingrijpen en bepaalde regels, waarin staat welke url's van adverteerders en trackers te filteren, aanpassen. In het ergste geval kan zelfs het standaardfilter worden uitgeschakeld omdat het meer dan 30.000 regels bevat. Voor dynamische regels, waarmee de gebruiker zijn eigen regels en filters kan toevoegen, geldt een limiet van vijfduizend. Wanneer deze limiet wordt overschreden zal de adblocker alleen de eerste vijfduizend regels toepassen en blijft de rest uitgeschakeld. Raymond Hill, ontwikkelaar van uBlock Origin, uitte eerder al kritiek op Manifest V3. Vanwege de nieuwe regels besloot hij een lite-versie van zijn adblocker te ontwikkelen die minder permissies vereist. Zo heeft de adblocker geen permissies nodig om data van websites te lezen of aan te passen. Daardoor heeft de adblocker wel minder mogelijkheden, aldus Hill. Firefox gaat ook gebruikmaken van Manifest V3, maar Mozilla liet al weten dat het niet van plan is om adblockers te gaan beperken zoals Google doet. Desondanks is uBlock Origin Lite nu ook voor Firefox beschikbaar gekomen. Standaard is ook de lite-versie voor Firefox minder effectief dan het origineel, maar biedt gebruikers wel de mogelijkheid om permissies voor specifieke sites uit te breiden, zodat de adblocker op die sites beter kan filteren. Hill voegt toe dat de lite-versie nog wel een 'work in progress' is. Voor Chrome-gebruikers was de lite-versie al al beschikbaar. bron: https://www.security.nl

Opnieuw maken aanvallers misbruik van een kritieke kwetsbaarheid in Adobe Coldfusion voor het aanvallen van systemen, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Adobe kwam afgelopen maart met een beveiligingsupdate voor het beveiligingslek, dat een aanvaller willekeurige code op systemen laat uitvoeren. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. De laatste update voor een actief aangevallen kwetsbaarheid verscheen begin 2019. Begin dit jaar waarschuwde Adobe echter voor een actief misbruikt zerodaylek in de software. Vervolgens volgde in juli een update voor een andere zeroday en bleken aanvallers in juli ook actief misbruik te maken van twee kwetsbaarheden waarvoor Adobe een week eerder updates had uitgebracht. Nu laat het CISA weten dat aanvallers ook actief misbruik maken van een andere kwetsbaarheid, aangeduid als CVE-2023-26359. Het gaat om een 'deserialization of untrusted data' kwetsbaarheid. Hierbij gebruikt de applicatie data en maakt daar een object van. Wanneer de applicatie niet goed omgaat met data die door een aanvaller wordt ingevoerd kan dit leiden tot het uitvoeren van code. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Organisaties wordt aangeraden om naar de nieuwste versie van ColdFusion te updaten. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt voor een actief aangevallen zerodaylek in MobileIron Sentry. Het is de derde zeroday in korte tijd waar het bedrijf melding van maakt. MobileIron is een oplossing voor mobile device management, waar organisaties de mobiele apparaten van hun medewerkers op afstand mee kunnen beheren. Sentry is een onderdeel waarmee kan worden ingesteld welke apparaten toegang tot de Exchange-mailserver van de organisatie hebben. Een kritieke kwetsbaarheid in de beheerdersinterface van Ivanti MobileIron Sentry maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en vervolgens toegang tot het systeem te krijgen. Vervolgens is het mogelijk om de configuratie aan te passen, systeemcommando's uit te voeren of bestanden naar het systeem te schrijven. De impact van het beveiligingslek, aangeduid als CVE-2023-38035, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een beveiligingsupdate is inmiddels beschikbaar, maar een "beperkt aantal" klanten is al voor het uitkomen van de patch aangevallen. Om hoeveel organisaties het precies gaat laat Ivanti niet weten. Naast het installeren van de update adviseert het softwarebedrijf om de beheerdersinterface niet vanaf het internet toegankelijk te maken. Onlangs bleek dat aanvallers twee zerodaylekken in een ander product van Ivanti, met de naam Endpoint Manager Mobile, maandenlang hebben gebruikt bij aanvallen op de Noorse overheid en organisaties. bron: https://www.security.nl

Een bij vpn-provider Ivacy gestolen private key voor het signeren van software is door aanvallers gebruikt voor het signeren van malware, zo meldt securitybedrijf SentinelOne. Het certificaat is inmiddels door certificaatautoriteit DigiCert ingetrokken. Eind mei maakten onderzoekers op X al melding dat er malware was gesigneerd met een certificaat van Ivacy. Softwareontwikkelaars kunnen hun software signeren, zodat die bijvoorbeeld door het besturingssysteem of beveiligingssoftware wordt vertrouwd. In het geval van ongesigneerde software kan het besturingssysteem een waarschuwing laten zien of vereisen dat er extra stappen voor de installatie zijn vereist. Een code signing certificaat bestaat uit een private en public key. Volgens onderzoeker Aleksandar Milenkoski is het waarschijnlijk dat de private key van Ivacy, die vereist is om de eigen software te signeren, op een gegeven moment is gestolen. Het komt vaker voor dat aanvallers signing keys stelen. In het geval van Ivacy is de key in handen gekomen van een groep aanvallers met de naam 'Bronze Starlight'. Deze groep heeft spionage als primair doel, waarbij het ransomware-aanvallen als afleidingsmanoeuvre gebruikt, stelt Milenkoski. Volgens de onderzoeker is malware gesigneerd met het Ivacy-certificaat ingezet tegen gokbedrijven in Zuidoost-Azië. Hoe de key en certificaat bij Ivacy konden worden gestolen is niet bekend. "Vpn-providers zijn een belangrijk doelwit, aangezien ze aanvallers toegang tot gevoelige data en communicatie van gebruikers kunnen geven", aldus Milenkoski. bron: https://www.security.nl

Een beveiligingslek in de populaire archiveringssoftware WinRAR maakt het mogelijk voor aanvallers om willekeurige code op het systeem van gebruikers uit te voeren als die een malafide pagina bezoeken of een malafide bestand openen. WinRAR heeft een nieuwe versie uitgebracht waarin het probleem is verholpen. De kwetsbaarheid, een out of bounds write aangeduid als CVE-2023-40477, werd op 8 juni door het Zero Day Initiative aan ontwikkelaar Rarlab gerapporteerd en wordt veroorzaakt doordat de software niet goed omgaat met door gebruikers verstrekte data. Op 2 augustus verscheen WinRAR versie 6.23, waarin het probleem is verholpen. Het Zero Day Initiave (ZDI) beloont onderzoekers voor het rapporteren van kwetsbaarheden in allerlei software en licht vervolgens de betreffende ontwikkelaar in zodat die met een update kan komen. Vorige week maakt het ZDI de details van de kwetsbaarheid bekend. Naast de bovengenoemde kwetsbaarheid verhelpt WinRAR 6.23 ook een bug waardoor WinRAR een verkeerd bestand kon starten wanneer gebruikers een bestand in een speciaal geprepareerd archiefbestand aanklikten. De nieuwste versie van WinRAR is te downloaden via Rarlab.com. Beveiligingslekken in WinRAR zijn in het verleden actief misbruikt voor het aanvallen van gebruikers.

Google Chrome gaat gebruikers binnenkort waarschuwen wanneer ze extensies hebben geïnstalleerd die malware bevatten of de regels van de Chrome Web Store hebben overtreden en daarom door Google uit de Web Store zijn verwijderd. Dat heeft het techbedrijf in een blogposting bekendgemaakt. Vanaf Chrome 117 krijgen gebruikers te zien als er iets mis is met geïnstalleerde extensies. Naast extensies die zijn aangemerkt als malware en in strijd zijn met de Chrome Web Store policy gaat het ook om extensies die door de ontwikkelaar zelf uit de Web Store zijn verwijderd. Via de Web Store kunnen Chrome-gebruikers extensies voor de browser downloaden. "We hebben deze aanpassing bedacht om het ecosysteem veilig voor gebruikers te houden en tegelijkertijd de kans te verkleinen dat dit legitieme extensies raakt", zegt Oliver Dunk van Google. Wanneer het probleem met de extensie is verholpen zal de melding binnen de browser verdwijnen. Gebruikers kunnen via de melding ervoor kiezen om de extensie zelf te verwijderen of de waarschuwing te verbergen. In het geval van besmette extensies worden die altijd automatisch door Google verwijderd, iets wat nu ook al het geval is. Chrome 117 verschijnt op 6 september. bron: https://www.security.nl