Captain Kirk

Onderzoekers hebben malware ontdekt die vanaf besmette pc's naar wifi-routers in de buurt zoekt, om zo de locatie van de geïnfecteerde computer te achterhalen. Dat laat securitybedrijf Secureworksin een analyse weten. De malware, met de naam 'Whiffy Recon', wordt geïnstalleerd door andere malware. Eenmaal actief kijkt Whiffy Recon eerst of de computer over wifi beschikt. Vervolgens vindt de wifi-scan plaats, waarbij naar wifi-routers in de buurt wordt gezocht. De scanresultaten worden dan naar de Google Geolocation API gestuurd. Deze dienst bepaalt aan de hand van wifi access points en zendmasten de locatie van systemen. Het resultaat van de Google API gaat daarna naar de aanvallers. "Omdat de wifi-scanning elke zestig seconden plaatsvindt en wordt verrijkt met geolocatiegegevens, kunnen de aanvallers daarmee het besmette systeem volgen. Het is onduidelijk hoe de aanvallers deze data gebruiken", aldus Secureworks. Het securitybedrijf heeft verschillende indicators of compromise gegeven die organisaties kunnen gebruiken om verkeer naar de server van de aanvallers te blokkeren. bron: https://www.security.nl

Alle gebruikers van Messenger zouden voor het einde van dit jaar standaard end-to-end versleuteld moeten communiceren, zo heeft Meta aangekondigd. De beveiligingsmaatregel is inmiddels bij nog meer gebruikers ingeschakeld. Vorig jaar augustus werd end-to-end encryptie bij "sommige" gebruikers uitgerold. Gebruikers van Messenger hebben al de mogelijkheid om end-to-end versleuteld te communiceren, maar moeten dit zelf inschakelen. Meta liet eerder al weten dat het chats standaard end-to-end wil versleutelen en test dat stapsgewijs. Sinds dinsdag is end-to-end encryptie bij "miljoenen" meer gebruikers ingeschakeld en stelt Meta dat het op koers ligt om end-to-end encryptie voor het einde van dit jaar standaard voor alle één-op-één en 'family chats' in te schakelen. Volgens het techbedrijf is het een ongekend complexe en uitdagende puzzel om de overstap naar standaard end-to-end encryptie te maken. Zo moest de volledige code base voor het versturen van berichten en bellen bijna volledig opnieuw worden geschreven. Daarom wordt ook voor een gefaseerde uitrol gekozen. Eerder dit jaar werd Meta nog door politiediensten opgeroepen om de encryptieplannen te heroverwegen en end-to-end encryptie alleen door te voeren als er ook "robuuste veiligheidssystemen" zijn om de veiligheid van kinderen te beschermen. bron: https://www.security.nl

Google heeft de eerste wekelijkse beveiligingsupdates voor Chrome uitgebracht. Het techbedrijf liet onlangs weten dat het elke week patches voor de browser zal uitbrengen om zo gebruikers beter te beschermen. Met de nieuwste versie van de browser zijn in totaal vijf kwetsbaarheden verholpen. Chrome is gebaseerd op de open source Chromium-browser. De code is open source en kan door iedereen worden bekeken, waaronder verholpen kwetsbaarheden. Het is al meerdere keren voorgekomen dat kwetsbaarheden in Chromium of andere opensource-onderdelen van Chrome door de ontwikkelaars van deze onderdelen waren gepatcht, maar deze updates nog niet door Google binnen Chrome waren doorgevoerd. Gebruikers konden daardoor worden aangevallen. Om deze 'patch gap' te verkorten is met de lancering van Chrome 116 voor een wekelijke patchcyclus gekozen. De eerste update voor Chrome 116 verhelpt in totaal vijf beveiligingslekken, waarvan de maximale impact als 'high' is beoordeeld. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De update naar Chrome 116.0.5845.110 voor Linux en macOS en Chrome 116.0.5845.110/.111 voor Windows zal op de meeste systemen automatisch worden geïnstalleerd. In het geval van kwetsbaarheden met een "high" impact kan dit echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Microsoft heeft een zakelijke versie van Edge gelanceerd, die zich richt op security, privacy en beheer, zo claimt het techbedrijf. Edge for Business is geen nieuwe browser, maar een versie die productiviteit en security moet verbeteren, zo staat in de uitleg vermeld. Naast de kleine visuele aanpassingen is het bij de zakelijke versie ook mogelijk voor organisaties om volledige controle over policies, features en configuraties te hebben, in tegenstelling tot de normale versie waarbij dit veel beperkter is. Microsoft stelt verder dat Edge for Business het oppervlak voor cyberaanvallen kan verkleinen en de 'security posture' van een organisatie kan verbeteren. Verder biedt het voor eindgebruikers die op zowel werk als persoonlijke profielen zijn ingelogd de optie om automatisch te switchen, wat security- en privacyvoordelen zou hebben. Alle gebruikers die inloggen met Entra ID (voorheen Azure Active Directory) zullen Edge for Business automatisch ontvangen. Er is geen aparte download vereist. Wachtwoorden, favorieten en data gekoppeld aan het werkprofiel van de gebruiker zullen ook in Edge for Business beschikbaar zijn. Data, favorieten en wachtwoorden worden niet gedeeld tussen werk en persoonlijke browservensters. Door middel van een apart Edge-icoon kunnen gebruikers zien dat ze de 'werkbrowser' gebruiken. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Veeam voor het aanvallen van back-upservers. Het gaat onder andere om de criminelen achter de Cuba-ransomware, zo melden BlackBerry en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2023-27532, is sinds 7 maart van dit jaar beschikbaar. Veeam biedt oplossingen voor het maken en restoren van back-ups en repliceren van software. Via de kwetsbaarheid in Veeam Backup & Replication en Veeam Cloud Connect kan een ongeauthenticeerde aanvaller versleutelde inloggegevens uit de configuratiedatabase stelen, en zo toegang tot de back-upserver krijgen. Voorwaarde is wel dat de aanvaller toegang tot de 'backup infrastructure network perimeter' moet hebben om de aanval uit te kunnen voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. In april meldde securitybedrijf WithSecure dat een 'financieel gemotiveerde cybercrimegroep' genaamd FIN7 misbruik van de kwetsbaarheid maakte. Vorige week liet BlackBerry weten dat dit ook werd gedaan door de criminelen achter de Cuba-ransomware. Gisterenavond kwam het CISA vervolgens met de melding dat er actief misbruik van het lek werd gemaakt en heeft nu federale Amerikaanse overheidsinstanties verplicht om de Veeam-update voor 12 september te installeren. bron: https://www.security.nl

Gegevens van 2,6 miljoen gebruikers van het online taalplatform Duolingo worden via een online forum verspreid. Het gaat onder andere om e-mailadressen, namen, gesproken talen, gebruikersnamen en talen die gebruikers aan het leren zijn. De data kon door middel van scraping worden verkregen, waarbij aanvallers gebruikmaakten van een kwetsbare programmeerinterface (API). Via Duolingo is het mogelijk om allerlei talen te leren. Het platform had vorig jaar 50 miljoen actieve gebruikers per maand. "De gegevens zijn door middel van scraping van publieke profielinformatie verkregen", aldus een woordvoerder afgelopen januari, toen de gegevens op internet te koop werden aangeboden. Inmiddels wordt de data via een "populair hackingforum" verspreid, stelt beveiligingsonderzoeker Troy Hunt. "Hoewel sommige data-attributen opzettelijk openbaar zijn, vormt de mogelijkheid om private e-mailadressen aan ze te koppelen een risico voor de privacy van gebruikers", aldus de onderzoeker, die tevens oprichter van datalekzoekmachine Have I Been Pwned is. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Hunt heeft de 2,6 miljoen gelekte e-mailadressen nu toegevoegd. Daarvan was maar liefst 100 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om het updatekanaal van Cobra DocGuard te kapen en te gebruiken voor de verspreiding van een backdoor die door Microsoft was gesigneerd, zo meldt securitybedrijf Symantec in een analyse. De meeste slachtoffers van de supply chain-aanval bevinden zich in in Hong Kong. Cobra DocGuard is een programma voor het beveiligen, versleutelen en ontsleutelen van software, ontwikkeld door het Chinese EsafeNet. Vorig jaar september meldde antivirusbedrijf ESET dat een update voor de software was gebruikt voor het infecteren van een gokbedrijf in Hong Kong. In april bleek dat er opnieuw besmette updates onder gebruikers van de software waren verspreid. De afgelopen maanden zijn erop deze manier verschillende malware-exemplaren "uitgerold". Een van de malware-exemplaren was gesigneerd door Microsoft en downloadde de Korplug-backdoor op systemen. Deze backdoor kan aanvallers commando's op besmette systemen laten uitvoeren, bestanden stelen, toetsaanslagen opslaan en firewall-poorten openzetten. De malafide downloader beschikte over een certificaat van Microsoft. Vanaf Windows 10 moeten alle drivers via het Windows Hardware Developer Center Dashboard portal gesigneerd zijn. Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die als alles goed is signeren. Verschillende malafide partijen hebben het Windows Hardware Developer Program misbruikt om hun malafide drivers door Microsoft gesigneerd te krijgen, zo liet het techbedrijf afgelopen juli weten. Zo'n honderd systemen raakten besmet via de malafide updates voor Cobra DocGuard. Het programma draait op zo'n tweeduizend systemen, aldus de onderzoekers. Dit zou suggereren dat de aanvallers de malware selectief onder bepaalde slachtoffers verspreiden. Hoe de aanvallers erin zijn geslaagd het updatekanaal van DocGuard te compromitteren wordt niet door Symantec gemeld. bron: https://www.security.nl

Vpn-provider Proton VPN heeft vandaag een aparte zakelijke vpn-dienst voor bedrijven aangekondigd. Proton VPN for Business is een volledig beheerde vpn-dienst die via aparte servers en ip-adressen een gateway voor bedrijven biedt. Elke gateway is alleen benaderbaar voor medewerkers van het betreffende bedrijf. Op basis van de gateway kan vervolgens worden bepaald tot welke middelen personeel toegang heeft. De servers en ip-adressen die voor de private gateway worden gebruikt kunnen uit meer dan 65 locaties worden gekozen. Proton VPN benadrukt dat het een volledig beheerde dienst is en bedrijven niet over "in-house experts" hoeven te beschikken om van de vpn-dienst gebruik te maken. Ook is er geen aparte hardware of installatie vereist. Verder kan de vpn-dienst advertenties en trackers blokkeren. Volgens Proton VPN gebruikt de zakelijk vpn-dienst een deel van de technologie die ook voor de consumenten vpn-dienst wordt gebruikt, maar is het fundamenteel een ander product. bron: https://www.security.nl

Een aanvaller kan door middel van kwetsbaarheden in een slimme ledlamp van fabrikant TP-Link het wifi-wachtwoord van gebruikers stelen, zo hebben onderzoekers van de Universita di Catania en Royal Holloway University of London aangetoond (pdf). TP-Link heeft inmiddels updates voor de firmware van de lamp en bijbehorende app uitgebracht. De problemen zijn aangetoond in de TP-Link Tapo L530E. Gebruikers kunnen de lamp, die toegang moet hebben tot het wifi-netwerk van de gebruiker, via een bijbehorende app bedienen. Vier kwetsbaarheden, met betrekking tot de authenticatie en vertrouwelijkheid, maken het mogelijk om verschillende soorten aanvallen uit te voeren. Zo is er een gebrek aan authenticatie van de lamp bij de Tapo-app. Daardoor kan een aanvaller zich bij de app authenticeren en als lamp voordoen. Verder wordt er tussen de lamp en app gebruikgemaakt van een hard-coded secret. Dit secret is echter kort en wordt gelekt door zowel de app als de lamp. De onderzoekers stellen dat de vier kwetsbaarheden vijf aanvallen mogelijk maken. Bij één van die aanvallen kan de aanvaller een wifi deauthenticatie-aanval uitvoeren, waardoor de lamp de verbinding met het wifi-netwerk van de gebruiker verliest. De gebruiker zal dan de lamp resetten. De aanvaller plaatst zich vervolgens tussen de gebruiker en de lamp en kan zo het wifi-wachtwoord van de gebruiker achterhalen, alsmede de inloggegevens die het slachtoffer gebruikt om zich bij de Tapo-app aan te melden. TP-Link werd op 25 februari over de kwetsbaarheden geïnformeerd en liet op 16 juni weten dat de problemen waren verholpen door middel van updates voor de lamp en app. bron: https://www.security.nl

De maker van de populaire adblocker uBlock Origin heeft een 'lite' versie voor Firefox beschikbaar gemaakt die standaard minder goed presteert dan het origineel. Aanleiding zijn nieuwe regels van Google die voor browser-extensies gaan gelden. De manier waarop extensies binnen Chrome en andere browsers mogen werken staat beschreven in een manifest. Google zal versie drie (V3) van het manifest voor extensies gaan verplichten. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API in Manifest V3 voorgesteld genaamd declarativeNetRequest (DNR). DNR beperkt de mogelijkheden van adblockers door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Voor statische regels hanteert Chrome in Manifest V3 een limiet van 30.000 regels per extensie en een totale limiet van 330.000 regels voor alle geïnstalleerde extensies bij elkaar. In het geval de limiet wordt overschreden zal Chrome ingrijpen en bepaalde regels, waarin staat welke url's van adverteerders en trackers te filteren, aanpassen. In het ergste geval kan zelfs het standaardfilter worden uitgeschakeld omdat het meer dan 30.000 regels bevat. Voor dynamische regels, waarmee de gebruiker zijn eigen regels en filters kan toevoegen, geldt een limiet van vijfduizend. Wanneer deze limiet wordt overschreden zal de adblocker alleen de eerste vijfduizend regels toepassen en blijft de rest uitgeschakeld. Raymond Hill, ontwikkelaar van uBlock Origin, uitte eerder al kritiek op Manifest V3. Vanwege de nieuwe regels besloot hij een lite-versie van zijn adblocker te ontwikkelen die minder permissies vereist. Zo heeft de adblocker geen permissies nodig om data van websites te lezen of aan te passen. Daardoor heeft de adblocker wel minder mogelijkheden, aldus Hill. Firefox gaat ook gebruikmaken van Manifest V3, maar Mozilla liet al weten dat het niet van plan is om adblockers te gaan beperken zoals Google doet. Desondanks is uBlock Origin Lite nu ook voor Firefox beschikbaar gekomen. Standaard is ook de lite-versie voor Firefox minder effectief dan het origineel, maar biedt gebruikers wel de mogelijkheid om permissies voor specifieke sites uit te breiden, zodat de adblocker op die sites beter kan filteren. Hill voegt toe dat de lite-versie nog wel een 'work in progress' is. Voor Chrome-gebruikers was de lite-versie al al beschikbaar. bron: https://www.security.nl

Opnieuw maken aanvallers misbruik van een kritieke kwetsbaarheid in Adobe Coldfusion voor het aanvallen van systemen, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Adobe kwam afgelopen maart met een beveiligingsupdate voor het beveiligingslek, dat een aanvaller willekeurige code op systemen laat uitvoeren. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. De laatste update voor een actief aangevallen kwetsbaarheid verscheen begin 2019. Begin dit jaar waarschuwde Adobe echter voor een actief misbruikt zerodaylek in de software. Vervolgens volgde in juli een update voor een andere zeroday en bleken aanvallers in juli ook actief misbruik te maken van twee kwetsbaarheden waarvoor Adobe een week eerder updates had uitgebracht. Nu laat het CISA weten dat aanvallers ook actief misbruik maken van een andere kwetsbaarheid, aangeduid als CVE-2023-26359. Het gaat om een 'deserialization of untrusted data' kwetsbaarheid. Hierbij gebruikt de applicatie data en maakt daar een object van. Wanneer de applicatie niet goed omgaat met data die door een aanvaller wordt ingevoerd kan dit leiden tot het uitvoeren van code. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Organisaties wordt aangeraden om naar de nieuwste versie van ColdFusion te updaten. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt voor een actief aangevallen zerodaylek in MobileIron Sentry. Het is de derde zeroday in korte tijd waar het bedrijf melding van maakt. MobileIron is een oplossing voor mobile device management, waar organisaties de mobiele apparaten van hun medewerkers op afstand mee kunnen beheren. Sentry is een onderdeel waarmee kan worden ingesteld welke apparaten toegang tot de Exchange-mailserver van de organisatie hebben. Een kritieke kwetsbaarheid in de beheerdersinterface van Ivanti MobileIron Sentry maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en vervolgens toegang tot het systeem te krijgen. Vervolgens is het mogelijk om de configuratie aan te passen, systeemcommando's uit te voeren of bestanden naar het systeem te schrijven. De impact van het beveiligingslek, aangeduid als CVE-2023-38035, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een beveiligingsupdate is inmiddels beschikbaar, maar een "beperkt aantal" klanten is al voor het uitkomen van de patch aangevallen. Om hoeveel organisaties het precies gaat laat Ivanti niet weten. Naast het installeren van de update adviseert het softwarebedrijf om de beheerdersinterface niet vanaf het internet toegankelijk te maken. Onlangs bleek dat aanvallers twee zerodaylekken in een ander product van Ivanti, met de naam Endpoint Manager Mobile, maandenlang hebben gebruikt bij aanvallen op de Noorse overheid en organisaties. bron: https://www.security.nl

Een bij vpn-provider Ivacy gestolen private key voor het signeren van software is door aanvallers gebruikt voor het signeren van malware, zo meldt securitybedrijf SentinelOne. Het certificaat is inmiddels door certificaatautoriteit DigiCert ingetrokken. Eind mei maakten onderzoekers op X al melding dat er malware was gesigneerd met een certificaat van Ivacy. Softwareontwikkelaars kunnen hun software signeren, zodat die bijvoorbeeld door het besturingssysteem of beveiligingssoftware wordt vertrouwd. In het geval van ongesigneerde software kan het besturingssysteem een waarschuwing laten zien of vereisen dat er extra stappen voor de installatie zijn vereist. Een code signing certificaat bestaat uit een private en public key. Volgens onderzoeker Aleksandar Milenkoski is het waarschijnlijk dat de private key van Ivacy, die vereist is om de eigen software te signeren, op een gegeven moment is gestolen. Het komt vaker voor dat aanvallers signing keys stelen. In het geval van Ivacy is de key in handen gekomen van een groep aanvallers met de naam 'Bronze Starlight'. Deze groep heeft spionage als primair doel, waarbij het ransomware-aanvallen als afleidingsmanoeuvre gebruikt, stelt Milenkoski. Volgens de onderzoeker is malware gesigneerd met het Ivacy-certificaat ingezet tegen gokbedrijven in Zuidoost-Azië. Hoe de key en certificaat bij Ivacy konden worden gestolen is niet bekend. "Vpn-providers zijn een belangrijk doelwit, aangezien ze aanvallers toegang tot gevoelige data en communicatie van gebruikers kunnen geven", aldus Milenkoski. bron: https://www.security.nl

Een beveiligingslek in de populaire archiveringssoftware WinRAR maakt het mogelijk voor aanvallers om willekeurige code op het systeem van gebruikers uit te voeren als die een malafide pagina bezoeken of een malafide bestand openen. WinRAR heeft een nieuwe versie uitgebracht waarin het probleem is verholpen. De kwetsbaarheid, een out of bounds write aangeduid als CVE-2023-40477, werd op 8 juni door het Zero Day Initiative aan ontwikkelaar Rarlab gerapporteerd en wordt veroorzaakt doordat de software niet goed omgaat met door gebruikers verstrekte data. Op 2 augustus verscheen WinRAR versie 6.23, waarin het probleem is verholpen. Het Zero Day Initiave (ZDI) beloont onderzoekers voor het rapporteren van kwetsbaarheden in allerlei software en licht vervolgens de betreffende ontwikkelaar in zodat die met een update kan komen. Vorige week maakt het ZDI de details van de kwetsbaarheid bekend. Naast de bovengenoemde kwetsbaarheid verhelpt WinRAR 6.23 ook een bug waardoor WinRAR een verkeerd bestand kon starten wanneer gebruikers een bestand in een speciaal geprepareerd archiefbestand aanklikten. De nieuwste versie van WinRAR is te downloaden via Rarlab.com. Beveiligingslekken in WinRAR zijn in het verleden actief misbruikt voor het aanvallen van gebruikers.

Google Chrome gaat gebruikers binnenkort waarschuwen wanneer ze extensies hebben geïnstalleerd die malware bevatten of de regels van de Chrome Web Store hebben overtreden en daarom door Google uit de Web Store zijn verwijderd. Dat heeft het techbedrijf in een blogposting bekendgemaakt. Vanaf Chrome 117 krijgen gebruikers te zien als er iets mis is met geïnstalleerde extensies. Naast extensies die zijn aangemerkt als malware en in strijd zijn met de Chrome Web Store policy gaat het ook om extensies die door de ontwikkelaar zelf uit de Web Store zijn verwijderd. Via de Web Store kunnen Chrome-gebruikers extensies voor de browser downloaden. "We hebben deze aanpassing bedacht om het ecosysteem veilig voor gebruikers te houden en tegelijkertijd de kans te verkleinen dat dit legitieme extensies raakt", zegt Oliver Dunk van Google. Wanneer het probleem met de extensie is verholpen zal de melding binnen de browser verdwijnen. Gebruikers kunnen via de melding ervoor kiezen om de extensie zelf te verwijderen of de waarschuwing te verbergen. In het geval van besmette extensies worden die altijd automatisch door Google verwijderd, iets wat nu ook al het geval is. Chrome 117 verschijnt op 6 september. bron: https://www.security.nl

ProtonMail werkte vorig jaar mee aan bijna zesduizend verzoeken van overheden om gebruikersdata te overhandigen. Dat zijn er duizend meer dan in 2021. Het recordcijfer is opvallend omdat ProtonMail zich wil onderscheiden met duidelijke privacy waarborgen en strenge Zwitserse wetgeving. De cijfers zijn terug te vinden in het jaarlijkse transparantierapport van Proton. In 2022 ontving ProtonMail bijna zevenduizend officiële overheidsverzoeken om gebruikersdata (metadata) af te staan. Ruim duizend verzoeken werden afgewezen, de andere 5957 werden ingewilligd. In 2021 kreeg ProtonMail ruim zesduizend verzoeken, waarvan er 4920 werden ingewilligd. In 2020 ging het respectievelijk om ruim 3700 ingediende en 3000 gehonoreerde verzoeken. Proton laat in een reactie aan Restoreprivacy weten dat de stijging in het aantal ingediende en ingewilligde verzoeken ‘niet verrassend’ is omdat de dienst steeds meer gebruikers verwelkomt. Meer dan honderd miljoen mensen maken nu gebruik van één of meerdere Proton-diensten. Zij kiezen doorgaans voor Proton vanwege de focus op anonimiteit en strikte Zwitserse wetgeving. Overheidsverzoeken om gebruikersdata af te staan, moeten ook via de Zwitserse juridische kanalen lopen. Als de Zwitserse wet geschonden is, moet Proton gebruikersgegevens aan de Zwitserse overheid afstaan. Die kan de ontvangen informatie doorgeven aan de overheid die het verzoek heeft ingediend. Proton kan alleen metadata afgeven, want de inhoud van e-mails, bijlagen en andere informatie is altijd versleuteld en daarom niet te lezen. Ook niet door Proton, benadrukt het bedrijf. De Amerikaanse FBI is één van de overheidsinstanties die Proton om gebruikersdata heeft gevraagd – en kreeg. Met hulp van metadata kon de FBI een Amerikaanse ProtonMail-gebruiker opsporen die onderzocht werd vanwege het bedreigen van een medewerker die betrokken was bij de presidentsverkiezingen. Dat meldt Forbes in een reconstructie, die ook aangeeft dat er geen overheidsaanklacht tegen de ProtonMail-gebruiker in kwestie is ingediend. bron: https://www.security.nl

Een aanhoudende phishingcampagne probeert bij organisaties over de hele wereld inloggegevens voor Zimbra Collaboration e-mail-servers te stelen. De phishingcampagne werd voor het eerst opgemerkt in april. Wie achter de campagne zit, is nog steeds niet duidelijk. De phishing-e-mails zijn gericht aan organisaties in Latijns-Amerika, Rusland, Europa en Azië. Er lijkt geen specifieke focus te zijn op een sector of bepaalde organisaties, schrijft Bleepingcomputer op basis van een rapport van beveiligingsfirma ESET. De campagne start met een phishing-e-mail die zich voordoet als een e-mail van de organisatie. In de e-mail staat dat de gebruiker een HTML-bestand moet openen om meer te weten te komen over een server upgrade en om deactivatie van zijn account te voorkomen. Dat HTML-bestand toont eenmaal geopend een nagemaakt Zimbra-inlogscherm, compleet met het logo en de naam van de organisatie. De gebruikersnaam is ook alvast ingevuld. De gebruiker hoeft alleen nog zijn wachtwoord in te vullen. Een ingevuld wachtwoord belandt via een HTTPS POST-verzoek bij de kwaadwillende. ESET noemt de mate van verspreiding en het aantal geslaagde phishingpogingen ‘indrukwekkend’ en waarschuwt Zimbra-gebruikers. Zimbra is een populair doelwit van kwaadwillenden. Zo waarschuwde Google vorige maand nog voor een actief aangevallen zerodaylek in Zimbra-mailservers. Zimbra bracht later die maand een beveiligingsupdate uit om het probleem te verhelpen. bron: https://www.security.nl

Google Chrome krijgt meer functies om http-websites veiliger te bezoeken, waaronder het upgraden van http-verkeer naar https. Chrome-gebruikers krijgen ook een waarschuwingsmelding te zien voordat zij een bestand downloaden via een http-verbinding. De maatregelen zijn volgens Google nodig omdat – ondanks eerdere inspanningen om https te stimuleren – nog steeds vijf tot tien procent van het webverkeer in Chrome blijft steken op http. Webverkeer via http is eenvoudiger te onderscheppen door kwaadwillenden. Google toont Chrome-gebruikers al tijden een waarschuwingsmelding als zij een http-webpagina bezoeken, maar erkent in een blogpost dat veel gebruikers de melding niet doorhebben en dat de melding niet voorkomt dat kwaadwillenden de webpagina aanpassen. Om het verkeer via http verder te verminderen, gaat Google voortaan alle http://-navigaties upgraden naar https://. De techniek die Google hiervoor gebruikt, is vergelijkbaar met HSTS-upgrading. Volgens Google werkt de techniek in bijna alle situaties, alleen niet als https echt niet beschikbaar is. Google test de functie nu in Chrome 115 en verwacht de functie ‘binnenkort’ uit te rollen naar alle Chrome-gebruikers. Chrome krijgt ook een expliciete waarschuwings-pop-up als de gebruiker een bestand via een http-verbinding wil downloaden. De pop-up raadt de gebruiker aan om het bestand weg te gooien, maar laat de gebruiker het onveilige bestand ook downloaden. Deze pop-up verschijnt naar Google’s verwachting vanaf medio september in Chrome. Google breidt ook zijn HTTPS-First Mode-beveiligingsmaatregelen uit. In deze modus vraagt Chrome de gebruiker om expliciete toestemming voor het tonen van een http-webpagina. De modus is nu ook beschikbaar voor gebruikers in Google’s Advanced Protection Program die ingelogd zijn in Chrome. Volgens Google was dit een wens van gebruikers. De modus wordt binnenkort ook standaard geactiveerd in de incognitofunctie van Chrome. Google experimenteert ook met het automatisch inschakelen van de modus voor websites waarvan Chrome weet dat de gebruiker die normaliter bezoekt via https, en met het automatisch inschakelen van de modus voor gebruikers die vrijwel nooit http-webpagina’s bezoeken. Chrome-gebruikers die de https-upgrading al voor de brede uitrol willen testen, kunnen dat vanaf vandaag doen via chrome://flags. Daar zijn HTTPS Upgrades en Insecure download warnings te activeren. De HTTPS-First Mode is te activeren via de beveiligingsinstellingen van Chrome. bron: https://www.security.nl

Aanvallers hebben een grootschalige phishingaanval op Microsoft-gebruikers uitgevoerd, waarbij er gebruik werd gemaakt van e-mails met QR-afbeeldingen. Volgens de berichten moesten gebruikers 2FA/MFA voor hun account inschakelen of een "security authentication scan" uitvoeren, zo meldt securitybedrijf Cofense. De QR-codes wezen weer naar Bing URL's. Als onderdeel van advertentiecampagnes biedt Bing de mogelijkheid om een redirect naar een opgegeven website van de adverteerder uit te voeren. Bij het scannen van de QR-code ziet de gebruiker dan ook een link naar Bing.com, maar in werkelijkheid vindt er dan een redirect naar de phishingsite plaats. Door het combineren van QR-codes en een legitiem domein hopen de aanvallers dat de phishingmails niet door spamfilters worden gedetecteerd, alus Cofense. Desondanks stelt het securitybedrijf dat het gebruik van QR-codes voor phishingaanvallen mogelijk niet effectief is, omdat ze door een extern apparaat moeten worden gescand en de meeste smartphones tegenwoordig laten zien waar de code naar verwijst. Aangezien phishingmails niet altijd worden gedetecteerd zouden gebruikers dan ook moeten worden getraind om QR-codes die via mail worden ontvangen niet te scannen, zegt onderzoeker Nathaniel Raymond. bron: https://www.security.nl

Software Freedom Conservancy (SFC), een non-profitorganisatie die mensen meer controle over hun computers wil geven en door Google en Mozilla wordt gesponsord, heeft ontwikkelaars van opensourcesoftware opgeroepen om te stoppen met het gebruik van videoconferentiesoftware Zoom. Aanleiding is dat het bedrijf afgelopen maart de algemene voorwaarden aanpaste, zodat het gegevens van gebruikers kon gebruiken voor het trainen van AI-modellen. Na felle kritiek besloot Zoom de voorwaarden meerdere keren aan te passen en de beslissing terug te draaien. Uit een analyse blijkt dat het lezen van de volledige algemene voorwaarden van Zoom tot dertig minuten kan duren. Het volledig begrijpen ervan zou tussen de vijftig en honderd uur duren. Daarnaast kan het bedrijf de voorwaarden op elk moment aanpassen en is het aan gebruikers om te kijken of de voorwaarden zijn gewijzigd, aldus de SFC. "Zoom heeft zijn naam misbruikt om eraan te verdienen, wetende dat gebruikers de aanpassingen van de voorwaarden niet begrijpen of geen keuze hebben andere software te gebruiken." Volgens de non-profitorganisatie komt het pesten van gebruikers door Big Tech maar al te vaak voor. In plaats van Zoom pleit de SFC voor het gebruik van BigBlueButton (BBB). Een opensource-alternatief voor Zoom. De komende maanden zal Software Freedom Conservancy met handleidingen komen waarin het ontwikkelaars uitlegt hoe ze hun eigen BBB-server kunnen opzetten. "We beseffen dat dit een kleine stap is in het tegengaan van de schade die Zoom heeft aangericht en aanricht. De klassieke strategie van Big Tech, die teruggaat naar de jaren 1970, is het vastzetten van gebruikers in een bepaalde technologische workflow en software stack, en dan de voorwaarden aanpassen", aldus de SFC. "Gebruikers worden slachtoffers van Big Techs controle over hun apparaten en technologische behoeftes." De organisatie maakt zich vooral zorgen over artsen en vertrouwelijke steungroepen die met Zoom werken en zo gedwongen worden de nieuwe voorwaarden te accepteren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Ivanti Avalanche maakt remote code execution mogelijk. Het bedrijf heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. Ivanti Avalanche is een mobile device management system voor het beheer van mobiele apparaten. Organisaties kunnen zo op beheerde telefoons apps installeren en verwijderen, maar ook informatie opvragen, zoals locatie. Een ongeauthenticeerde aanvaller kan door het versturen van een speciaal geprepareerd bericht naar het systeem een buffer overflow veroorzaken waardoor een aanvaller op afstand zijn code kan uitvoeren. Het beveiligingslek, aangeduid als CVE-2023-32560, werd op 4 april door securitybedrijf Tenable aan Ivanti gerapporteerd. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Tenable gaf Ivanti negentig dagen de tijd om het probleem te verhelpen, waarna het de details openbaar zou maken. Ivanti liet weten dat het meer tijd nodig had, waarop Tenable de deadline verschoof. Een beveiligingsupdate werd begin deze maand beschikbaar gemaakt, waarop Tenable nu de details openbaar heeft gemaakt. Onlangs bleek dat aanvallers twee zerodaylekken in een ander product van Ivanti, met de naam Endpoint Manager Mobile, maandenlang hebben gebruikt bij aanvallen op de Noorse overheid en organisaties. bron: https://www.security.nl

Google is een nieuw patchbeleid voor Chrome gestart, waardoor de browser nu wekelijks beveiligingsupdates ontvangt. Dit moet gebruikers beter beschermen tegen kwetsbaarheden die in opensource-onderdelen van de browser aanwezig zijn. Het is meerdere keren voorgekomen dat een beveiligingslek in een dergelijk onderdeel door de betreffende ontwikkelaar werd gepatcht, maar dat Google de update nog niet binnen Chrome had verwerkt en onder gebruikers uitgerold. Die lopen zo risico op aanvallen. Om deze 'patch gap' te verkorten wordt met de release van Chrome 116 een wekelijks patchbeleid gehanteerd. Met Chrome 116 heeft Google in totaal 26 kwetsbaarheden in de browser verholpen. De impact van acht van deze beveiligingslekken is als 'high' beoordeeld. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De overige kwetsbaarheden die nu zijn verholpen hebben een lagere impact. De meeste van de beveiligingslekken werden door externe onderzoekers gerapporteerd. Voor één van de kwetsbaarheden betaalde Google de betreffende bugmelder een beloning van 30.000 dollar. De update naar Chrome 116.0.5845.96 voor Linux en macOS en Chrome 116.0.5845.96/.97 voor Windows zal op de meeste systemen automatisch worden geïnstalleerd. In het geval van kwetsbaarheden met een "high" impact kan dit echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Microsoft heeft beveiligingsupdates voor Exchange Server opnieuw uitgebracht, nadat de eerste versie voor problemen op servers met een niet-Engelstalig besturingssysteem zorgde. Deze versie verscheen op 8 augustus en verhielp meerdere kwetsbaarheden, waaronder een beveiligingslek dat het mogelijk maakt voor een ongeauthenticeerde aanvaller om als een andere gebruiker in te loggen. Door een probleem op servers met een niet-Engelstalig OS kon de installatie van de patch niet worden afgerond en stopten Exchange-services met werken. Het "localization issue" is nu door Microsoft verholpen, waarop versie 2 van de updates is uitgebracht. Voor systemen waar versie 1 zonder problemen handmatig is geïnstalleerd is geen verdere actie vereist. In het geval de eerste versie via Microsoft / Windows Update is geïnstalleerd zal de installatie van versie twee automatisch plaatsvinden. Beheerders van een Exchange-server met een niet-Engelstalig OS die versie 1 via een door Microsoft gegeven workaround konden installeren moeten deze versie eerst verwijderen voordat versie 2 wordt geïnstalleerd. Om beheerders te helpen heeft Microsoft ook een tabel met uit te voeren acties gemaakt. Het techbedrijf roept beheerders op om de nieuwe versie van de updates zo snel mogelijk te installeren. bron: https://www.security.nl

Aanvallers hebben ruim 1800 Citrix NetScalers via een beveiligingslek voorzien van een backdoor. Zo'n 1250 van de apparaten hebben inmiddels een beveiligingsupdate voor de kwetsbaarheid ontvangen, maar waren voor de installatie van de patch al gecompromitteerd en zijn dat nog steeds. Zo stellen securitybedrijf Fox-IT en het Dutch Institute of Vulnerability Disclosure (DIVD) op basis van eigen onderzoek. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt. Via het beveiligingslek installeren de aanvallers een webshell, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Volgens de onderzoekers waren op het moment van de aanvallen 31.000 Citrix NetScalers kwetsbaar voor CVE-2023-3519. Gisteren bleek dat van de NetScalers er 1828 met een webshell zijn besmet. Daarvan hebben er 1248 inmiddels de beveiligingsupdate voor de kwetsbaarheid ontvangen. Organisaties zouden daardoor kunnen denken dat ze veilig zijn, terwijl in werkelijkheid aanvallers nog steeds toegang tot de server hebben. Vooral in Duitsland zijn veel getroffen NetScalers aangetroffen. In Nederland gaat het om meer dan honderd machines. Zowel Fox-IT als securitybedrijf Mandiant hebben scanners uitgebracht waarmee organisaties kunnen kijken of hun NetScalers zijn gecompromitteerd. Het DIVD is op 10 augustus begonnen met het informeren van gecompromitteerde organisaties. bron: https://www.security.nl

Onderzoekers hebben veertig miljoen e-mailadressen die het doelwit van een phishingaanval zijn geworden gedeeld met datalekzoekmachine Have I Been Pwned (HIBP). Het is de eerste keer dat e-mailadressen die bij onderzoek naar een phishingaanval zijn aangetroffen met HIBP zijn gedeeld. De aanval richtte zich met name op Mexicaanse internetgebruikers en probeerde toegang tot bankrekeningen te krijgen. Doelwitten ontvingen e-mails over een onbetaalde factuur. Als bijlage was een zip-bestand meegestuurd dat een url-bestand bevat, dat weer een JavaScript-bestand downloadt en uitvoert. Via dit bestand wordt de uiteindelijke malware geïnstalleerd die inloggegevens uit Outlook en Google Chrome steelt. Ook worden sessietokens gestolen wanneer slachtoffers bij verschillende Mexicaanse banken inloggen. Deze tokens worden naar de aanvaller gestuurd, die zo toegang tot de rekening van het slachtoffer krijgt. Volgens onderzoekers van securitybedrijf Perception Point waren de aanvallers erg slordig met hun operationele security, waardoor er allerlei informatie over de phishingaanval kon worden achterhaald, zoals het aantal gemaakte slachtoffers en mogelijk gestolen bedrag. Daarbij wordt een bedrag van 55 miljoen dollar genoemd. Daarnaast werd een dataset met e-mailadressen van potentiële slachtoffers gevonden. Hoe de aanvallers deze e-mailadressen in handen kregen is niet bekend. Perception Point deelde de e-mailadressen met Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de veertig miljoen gedeelde e-mailadressen was 37 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl