Captain Kirk

ProtonMail werkte vorig jaar mee aan bijna zesduizend verzoeken van overheden om gebruikersdata te overhandigen. Dat zijn er duizend meer dan in 2021. Het recordcijfer is opvallend omdat ProtonMail zich wil onderscheiden met duidelijke privacy waarborgen en strenge Zwitserse wetgeving. De cijfers zijn terug te vinden in het jaarlijkse transparantierapport van Proton. In 2022 ontving ProtonMail bijna zevenduizend officiële overheidsverzoeken om gebruikersdata (metadata) af te staan. Ruim duizend verzoeken werden afgewezen, de andere 5957 werden ingewilligd. In 2021 kreeg ProtonMail ruim zesduizend verzoeken, waarvan er 4920 werden ingewilligd. In 2020 ging het respectievelijk om ruim 3700 ingediende en 3000 gehonoreerde verzoeken. Proton laat in een reactie aan Restoreprivacy weten dat de stijging in het aantal ingediende en ingewilligde verzoeken ‘niet verrassend’ is omdat de dienst steeds meer gebruikers verwelkomt. Meer dan honderd miljoen mensen maken nu gebruik van één of meerdere Proton-diensten. Zij kiezen doorgaans voor Proton vanwege de focus op anonimiteit en strikte Zwitserse wetgeving. Overheidsverzoeken om gebruikersdata af te staan, moeten ook via de Zwitserse juridische kanalen lopen. Als de Zwitserse wet geschonden is, moet Proton gebruikersgegevens aan de Zwitserse overheid afstaan. Die kan de ontvangen informatie doorgeven aan de overheid die het verzoek heeft ingediend. Proton kan alleen metadata afgeven, want de inhoud van e-mails, bijlagen en andere informatie is altijd versleuteld en daarom niet te lezen. Ook niet door Proton, benadrukt het bedrijf. De Amerikaanse FBI is één van de overheidsinstanties die Proton om gebruikersdata heeft gevraagd – en kreeg. Met hulp van metadata kon de FBI een Amerikaanse ProtonMail-gebruiker opsporen die onderzocht werd vanwege het bedreigen van een medewerker die betrokken was bij de presidentsverkiezingen. Dat meldt Forbes in een reconstructie, die ook aangeeft dat er geen overheidsaanklacht tegen de ProtonMail-gebruiker in kwestie is ingediend. bron: https://www.security.nl

Een aanhoudende phishingcampagne probeert bij organisaties over de hele wereld inloggegevens voor Zimbra Collaboration e-mail-servers te stelen. De phishingcampagne werd voor het eerst opgemerkt in april. Wie achter de campagne zit, is nog steeds niet duidelijk. De phishing-e-mails zijn gericht aan organisaties in Latijns-Amerika, Rusland, Europa en Azië. Er lijkt geen specifieke focus te zijn op een sector of bepaalde organisaties, schrijft Bleepingcomputer op basis van een rapport van beveiligingsfirma ESET. De campagne start met een phishing-e-mail die zich voordoet als een e-mail van de organisatie. In de e-mail staat dat de gebruiker een HTML-bestand moet openen om meer te weten te komen over een server upgrade en om deactivatie van zijn account te voorkomen. Dat HTML-bestand toont eenmaal geopend een nagemaakt Zimbra-inlogscherm, compleet met het logo en de naam van de organisatie. De gebruikersnaam is ook alvast ingevuld. De gebruiker hoeft alleen nog zijn wachtwoord in te vullen. Een ingevuld wachtwoord belandt via een HTTPS POST-verzoek bij de kwaadwillende. ESET noemt de mate van verspreiding en het aantal geslaagde phishingpogingen ‘indrukwekkend’ en waarschuwt Zimbra-gebruikers. Zimbra is een populair doelwit van kwaadwillenden. Zo waarschuwde Google vorige maand nog voor een actief aangevallen zerodaylek in Zimbra-mailservers. Zimbra bracht later die maand een beveiligingsupdate uit om het probleem te verhelpen. bron: https://www.security.nl

Google Chrome krijgt meer functies om http-websites veiliger te bezoeken, waaronder het upgraden van http-verkeer naar https. Chrome-gebruikers krijgen ook een waarschuwingsmelding te zien voordat zij een bestand downloaden via een http-verbinding. De maatregelen zijn volgens Google nodig omdat – ondanks eerdere inspanningen om https te stimuleren – nog steeds vijf tot tien procent van het webverkeer in Chrome blijft steken op http. Webverkeer via http is eenvoudiger te onderscheppen door kwaadwillenden. Google toont Chrome-gebruikers al tijden een waarschuwingsmelding als zij een http-webpagina bezoeken, maar erkent in een blogpost dat veel gebruikers de melding niet doorhebben en dat de melding niet voorkomt dat kwaadwillenden de webpagina aanpassen. Om het verkeer via http verder te verminderen, gaat Google voortaan alle http://-navigaties upgraden naar https://. De techniek die Google hiervoor gebruikt, is vergelijkbaar met HSTS-upgrading. Volgens Google werkt de techniek in bijna alle situaties, alleen niet als https echt niet beschikbaar is. Google test de functie nu in Chrome 115 en verwacht de functie ‘binnenkort’ uit te rollen naar alle Chrome-gebruikers. Chrome krijgt ook een expliciete waarschuwings-pop-up als de gebruiker een bestand via een http-verbinding wil downloaden. De pop-up raadt de gebruiker aan om het bestand weg te gooien, maar laat de gebruiker het onveilige bestand ook downloaden. Deze pop-up verschijnt naar Google’s verwachting vanaf medio september in Chrome. Google breidt ook zijn HTTPS-First Mode-beveiligingsmaatregelen uit. In deze modus vraagt Chrome de gebruiker om expliciete toestemming voor het tonen van een http-webpagina. De modus is nu ook beschikbaar voor gebruikers in Google’s Advanced Protection Program die ingelogd zijn in Chrome. Volgens Google was dit een wens van gebruikers. De modus wordt binnenkort ook standaard geactiveerd in de incognitofunctie van Chrome. Google experimenteert ook met het automatisch inschakelen van de modus voor websites waarvan Chrome weet dat de gebruiker die normaliter bezoekt via https, en met het automatisch inschakelen van de modus voor gebruikers die vrijwel nooit http-webpagina’s bezoeken. Chrome-gebruikers die de https-upgrading al voor de brede uitrol willen testen, kunnen dat vanaf vandaag doen via chrome://flags. Daar zijn HTTPS Upgrades en Insecure download warnings te activeren. De HTTPS-First Mode is te activeren via de beveiligingsinstellingen van Chrome. bron: https://www.security.nl

Aanvallers hebben een grootschalige phishingaanval op Microsoft-gebruikers uitgevoerd, waarbij er gebruik werd gemaakt van e-mails met QR-afbeeldingen. Volgens de berichten moesten gebruikers 2FA/MFA voor hun account inschakelen of een "security authentication scan" uitvoeren, zo meldt securitybedrijf Cofense. De QR-codes wezen weer naar Bing URL's. Als onderdeel van advertentiecampagnes biedt Bing de mogelijkheid om een redirect naar een opgegeven website van de adverteerder uit te voeren. Bij het scannen van de QR-code ziet de gebruiker dan ook een link naar Bing.com, maar in werkelijkheid vindt er dan een redirect naar de phishingsite plaats. Door het combineren van QR-codes en een legitiem domein hopen de aanvallers dat de phishingmails niet door spamfilters worden gedetecteerd, alus Cofense. Desondanks stelt het securitybedrijf dat het gebruik van QR-codes voor phishingaanvallen mogelijk niet effectief is, omdat ze door een extern apparaat moeten worden gescand en de meeste smartphones tegenwoordig laten zien waar de code naar verwijst. Aangezien phishingmails niet altijd worden gedetecteerd zouden gebruikers dan ook moeten worden getraind om QR-codes die via mail worden ontvangen niet te scannen, zegt onderzoeker Nathaniel Raymond. bron: https://www.security.nl

Software Freedom Conservancy (SFC), een non-profitorganisatie die mensen meer controle over hun computers wil geven en door Google en Mozilla wordt gesponsord, heeft ontwikkelaars van opensourcesoftware opgeroepen om te stoppen met het gebruik van videoconferentiesoftware Zoom. Aanleiding is dat het bedrijf afgelopen maart de algemene voorwaarden aanpaste, zodat het gegevens van gebruikers kon gebruiken voor het trainen van AI-modellen. Na felle kritiek besloot Zoom de voorwaarden meerdere keren aan te passen en de beslissing terug te draaien. Uit een analyse blijkt dat het lezen van de volledige algemene voorwaarden van Zoom tot dertig minuten kan duren. Het volledig begrijpen ervan zou tussen de vijftig en honderd uur duren. Daarnaast kan het bedrijf de voorwaarden op elk moment aanpassen en is het aan gebruikers om te kijken of de voorwaarden zijn gewijzigd, aldus de SFC. "Zoom heeft zijn naam misbruikt om eraan te verdienen, wetende dat gebruikers de aanpassingen van de voorwaarden niet begrijpen of geen keuze hebben andere software te gebruiken." Volgens de non-profitorganisatie komt het pesten van gebruikers door Big Tech maar al te vaak voor. In plaats van Zoom pleit de SFC voor het gebruik van BigBlueButton (BBB). Een opensource-alternatief voor Zoom. De komende maanden zal Software Freedom Conservancy met handleidingen komen waarin het ontwikkelaars uitlegt hoe ze hun eigen BBB-server kunnen opzetten. "We beseffen dat dit een kleine stap is in het tegengaan van de schade die Zoom heeft aangericht en aanricht. De klassieke strategie van Big Tech, die teruggaat naar de jaren 1970, is het vastzetten van gebruikers in een bepaalde technologische workflow en software stack, en dan de voorwaarden aanpassen", aldus de SFC. "Gebruikers worden slachtoffers van Big Techs controle over hun apparaten en technologische behoeftes." De organisatie maakt zich vooral zorgen over artsen en vertrouwelijke steungroepen die met Zoom werken en zo gedwongen worden de nieuwe voorwaarden te accepteren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Ivanti Avalanche maakt remote code execution mogelijk. Het bedrijf heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. Ivanti Avalanche is een mobile device management system voor het beheer van mobiele apparaten. Organisaties kunnen zo op beheerde telefoons apps installeren en verwijderen, maar ook informatie opvragen, zoals locatie. Een ongeauthenticeerde aanvaller kan door het versturen van een speciaal geprepareerd bericht naar het systeem een buffer overflow veroorzaken waardoor een aanvaller op afstand zijn code kan uitvoeren. Het beveiligingslek, aangeduid als CVE-2023-32560, werd op 4 april door securitybedrijf Tenable aan Ivanti gerapporteerd. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Tenable gaf Ivanti negentig dagen de tijd om het probleem te verhelpen, waarna het de details openbaar zou maken. Ivanti liet weten dat het meer tijd nodig had, waarop Tenable de deadline verschoof. Een beveiligingsupdate werd begin deze maand beschikbaar gemaakt, waarop Tenable nu de details openbaar heeft gemaakt. Onlangs bleek dat aanvallers twee zerodaylekken in een ander product van Ivanti, met de naam Endpoint Manager Mobile, maandenlang hebben gebruikt bij aanvallen op de Noorse overheid en organisaties. bron: https://www.security.nl

Google is een nieuw patchbeleid voor Chrome gestart, waardoor de browser nu wekelijks beveiligingsupdates ontvangt. Dit moet gebruikers beter beschermen tegen kwetsbaarheden die in opensource-onderdelen van de browser aanwezig zijn. Het is meerdere keren voorgekomen dat een beveiligingslek in een dergelijk onderdeel door de betreffende ontwikkelaar werd gepatcht, maar dat Google de update nog niet binnen Chrome had verwerkt en onder gebruikers uitgerold. Die lopen zo risico op aanvallen. Om deze 'patch gap' te verkorten wordt met de release van Chrome 116 een wekelijks patchbeleid gehanteerd. Met Chrome 116 heeft Google in totaal 26 kwetsbaarheden in de browser verholpen. De impact van acht van deze beveiligingslekken is als 'high' beoordeeld. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De overige kwetsbaarheden die nu zijn verholpen hebben een lagere impact. De meeste van de beveiligingslekken werden door externe onderzoekers gerapporteerd. Voor één van de kwetsbaarheden betaalde Google de betreffende bugmelder een beloning van 30.000 dollar. De update naar Chrome 116.0.5845.96 voor Linux en macOS en Chrome 116.0.5845.96/.97 voor Windows zal op de meeste systemen automatisch worden geïnstalleerd. In het geval van kwetsbaarheden met een "high" impact kan dit echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Microsoft heeft beveiligingsupdates voor Exchange Server opnieuw uitgebracht, nadat de eerste versie voor problemen op servers met een niet-Engelstalig besturingssysteem zorgde. Deze versie verscheen op 8 augustus en verhielp meerdere kwetsbaarheden, waaronder een beveiligingslek dat het mogelijk maakt voor een ongeauthenticeerde aanvaller om als een andere gebruiker in te loggen. Door een probleem op servers met een niet-Engelstalig OS kon de installatie van de patch niet worden afgerond en stopten Exchange-services met werken. Het "localization issue" is nu door Microsoft verholpen, waarop versie 2 van de updates is uitgebracht. Voor systemen waar versie 1 zonder problemen handmatig is geïnstalleerd is geen verdere actie vereist. In het geval de eerste versie via Microsoft / Windows Update is geïnstalleerd zal de installatie van versie twee automatisch plaatsvinden. Beheerders van een Exchange-server met een niet-Engelstalig OS die versie 1 via een door Microsoft gegeven workaround konden installeren moeten deze versie eerst verwijderen voordat versie 2 wordt geïnstalleerd. Om beheerders te helpen heeft Microsoft ook een tabel met uit te voeren acties gemaakt. Het techbedrijf roept beheerders op om de nieuwe versie van de updates zo snel mogelijk te installeren. bron: https://www.security.nl

Aanvallers hebben ruim 1800 Citrix NetScalers via een beveiligingslek voorzien van een backdoor. Zo'n 1250 van de apparaten hebben inmiddels een beveiligingsupdate voor de kwetsbaarheid ontvangen, maar waren voor de installatie van de patch al gecompromitteerd en zijn dat nog steeds. Zo stellen securitybedrijf Fox-IT en het Dutch Institute of Vulnerability Disclosure (DIVD) op basis van eigen onderzoek. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt. Via het beveiligingslek installeren de aanvallers een webshell, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Volgens de onderzoekers waren op het moment van de aanvallen 31.000 Citrix NetScalers kwetsbaar voor CVE-2023-3519. Gisteren bleek dat van de NetScalers er 1828 met een webshell zijn besmet. Daarvan hebben er 1248 inmiddels de beveiligingsupdate voor de kwetsbaarheid ontvangen. Organisaties zouden daardoor kunnen denken dat ze veilig zijn, terwijl in werkelijkheid aanvallers nog steeds toegang tot de server hebben. Vooral in Duitsland zijn veel getroffen NetScalers aangetroffen. In Nederland gaat het om meer dan honderd machines. Zowel Fox-IT als securitybedrijf Mandiant hebben scanners uitgebracht waarmee organisaties kunnen kijken of hun NetScalers zijn gecompromitteerd. Het DIVD is op 10 augustus begonnen met het informeren van gecompromitteerde organisaties. bron: https://www.security.nl

Onderzoekers hebben veertig miljoen e-mailadressen die het doelwit van een phishingaanval zijn geworden gedeeld met datalekzoekmachine Have I Been Pwned (HIBP). Het is de eerste keer dat e-mailadressen die bij onderzoek naar een phishingaanval zijn aangetroffen met HIBP zijn gedeeld. De aanval richtte zich met name op Mexicaanse internetgebruikers en probeerde toegang tot bankrekeningen te krijgen. Doelwitten ontvingen e-mails over een onbetaalde factuur. Als bijlage was een zip-bestand meegestuurd dat een url-bestand bevat, dat weer een JavaScript-bestand downloadt en uitvoert. Via dit bestand wordt de uiteindelijke malware geïnstalleerd die inloggegevens uit Outlook en Google Chrome steelt. Ook worden sessietokens gestolen wanneer slachtoffers bij verschillende Mexicaanse banken inloggen. Deze tokens worden naar de aanvaller gestuurd, die zo toegang tot de rekening van het slachtoffer krijgt. Volgens onderzoekers van securitybedrijf Perception Point waren de aanvallers erg slordig met hun operationele security, waardoor er allerlei informatie over de phishingaanval kon worden achterhaald, zoals het aantal gemaakte slachtoffers en mogelijk gestolen bedrag. Daarbij wordt een bedrag van 55 miljoen dollar genoemd. Daarnaast werd een dataset met e-mailadressen van potentiële slachtoffers gevonden. Hoe de aanvallers deze e-mailadressen in handen kregen is niet bekend. Perception Point deelde de e-mailadressen met Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de veertig miljoen gedeelde e-mailadressen was 37 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Discord.io, dat niet geaffilieerd is met het Discord-chatplatform, heeft bevestigd dat gegevens van 760.000 gebruikers zijn gestolen en op internet worden aangeboden. Vanwege het datalek heeft de dienst alle activiteiten voor de nabije toekomst opgeschort. Via Discord.io konden beheerders van een Discord-server hun eigen invites voor hun Discord-kanalen maken. De gestolen gegevens bestaan uit e-mailadres, factuuradres, gesalte en gehashte wachtwoorden van gebruikers van voor 2018, gebruikersnaam, Discord ID, API-key, informatie over de avatar en interne user ID. Nadat Discord.io over de datadiefstal was ingelicht besloot het alle activiteiten op te schorten. De website laat op dit moment alleen de datalekmelding zien. Discord laat tegenover Stack Diary weten dat het niets met Discord.io te maken heeft en ook geen gebruikersinformatie met de dienst deelt. Ook heeft het geen toegang tot de gegevens waarover Discord.io bezit. Wel heeft Discord de oauth tokens van alle gebruikers die van Discord.io gebruik hebben gemaakt ingetrokken, zodat de app niet langer acties in naam van deze gebruikers kan uitvoeren totdat die zich opnieuw authenticeren. bron: https://www.security.nl

Criminelen maken gebruik van zogenaamde TripAdvisor-klachten om onder andere restaurants met ransomware te infecteren. Dat laat beveiligingsonderzoeker Felix Weyne van antivirusbedrijf Sophos via X weten. De e-mail met de vermeende klacht bevat een zip-bestand genaamd TripAdvisorComplaint.zip waarin het bestand 'TripAdvisor Complaint - Possible Suspension.exe' zit. Deze e-mails worden onder andere naar restaurants gestuurd. Volgens de e-mail zijn er zorgen over de kwaliteit van de aangeboden producten en hygiëne bij de betreffende locatie. De ontvanger wordt opgeroepen de meegestuurde 'klacht' te lezen en binnen 24 uur met een reactie te komen. Wanneer gebruikers dit bestand openen raakt het systeem met de 'Knight' ransomware besmet. Naast het gebruik van een zip-bestand wordt er ook gebruikgemaakt van HTM-bestanden die naar een malafide bestand wijzen. De ransomware stond eerder nog bekend als de Cyclops maar werd eind juni naar 'Knight-ransomware' hernoemd. Voordat de ransomware allerlei bestanden op het systeem versleutelt worden eerst allerlei inloggegevens gestolen. De Knight-ransomware is namelijk een combinatie van ransomware en een 'infostealer'. De malware steelt inloggegevens uit ftp- en e-mailclients, alsmede browsers op het systeem. Die worden in een met wachtwoord beveiligd zip-bestand opgeslagen en naar de aanvaller gestuurd. "Het onderwijzen en bevorderen van bewustzijn bij gebruikers is cruciaal in het voorkomen van aanvallen", stelt securitybedrijf Uptycs dat onlangs een analyse van de ransomware maakte. "Gebruikers moeten voorzichtig zijn met e-mailbijlagen, het bezoeken van verdachte websites of het downloaden van bestanden van onbetrouwbare bronnen." bron: https://www.security.nl

Criminelen proberen routers van fabrikant Zyxel via een zes jaar oude kwetsbaarheid met malware te infecteren en zo onderdeel van een botnet te maken dat ddos-aanvallen uitvoert. Het gaat om de Zyxel P660HN-T1A, een router die sinds 2016 end-of-life is en geen beveiligingsupdates meer ontvangt. Een kwetsbaarheid in de router (CVE-2017-18368) maakt het mogelijk voor ongeauthenticeerde aanvallers om commando's op het apparaat uit te voeren. Hoewel de router sinds 2016 niet meer wordt ondersteund blijkt de laatste firmware die Zyxel uitbracht het beveiligingslek te verhelpen. Aanvallers proberen echter al jaren kwetsbare routers met de Gafgyt-malware te infecteren. Zyxel kwam hier zelf in 2019 met een waarschuwing voor. Eerder deze week meldde securitybedrijf Fortinet dat het nog steeds aanvallen ziet die misbruik van het beveiligingslek maken. Daarop kwam het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security met een waarschuwing, waarin het federale overheidsinstanties opriep om firmware versie 3.40(BYF.11) te installeren. Naar aanleiding van de melding van het CISA kwam Zyxel weer met een bericht aan gebruikers dat de P660HN-T1A een legacy product is dat niet meer wordt ondersteund en door nieuwe apparatuur vervangen zou moeten worden. bron: https://www.security.nl

Het Duitse AV-Test Institute heeft zestien virusscanners voor eindgebruikers op Windows 10 vergeleken en maar liefst dertien pakketten als 'Top Product' beoordeeld, waaronder de virusscanner die standaard in Windows 10 zit en de gratis oplossing van Avast. Voor de nieuwste test, die in mei en juni plaatsvond, werden antiviruspakketten beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 277 "zero-day" malware-exemplaren en ruim 16.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,6 procent gehaald. De test met de ruim 16.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. AhnLab, Avast, AVG, Avira, Bitdefender, F-Secure, McAfee, Norton, PC Matic en Trend Micro weten voor beide detectietests 100 procent te scoren. Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. K7 Computer zet met 5 punten de laagste score neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. AhnLab en Microworld halen hier 5,5 punten, de overige pakketten weten met zes punten maximaal te scoren. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden 1,3 miljoen schone websites en bestanden gebruikt. PC Matic en Microworld eindigen op dit onderdeel met 4,5 en 5 punten onderaan. De overige pakketten scoren 5,5 of 6 punten. Van de zestien virusscanners worden er uiteindelijk dertien als "Top Product" bestempeld. Deze pakketten weten 17,5 of de maximale 18 punten te scoren. Het gaat onder andere om de gratis antiviruspakketten Avast Free Antivirus en Microsoft Defender Antivirus. De laatste is standaard onderdeel van Windows 10. Microworld en PC Matic eindigen elk met 16,5 punten onderaan. bron: https://www.security.nl

De zeer populaire Chinese keyboard-app Sogou heeft lange tijd de toetsaanslagen van miljoenen gebruikers niet goed beveiligd, waardoor die eenvoudig waren af te luisteren. Via de app, die 450 miljoen maandelijkse actieve gebruikers telt, is het eenvoudig om Chinese karakters op een smartphone of computer in te voeren. De ontwikkelaars hadden echter hun eigen encryptie bedacht, waarin onderzoekers van Citizen Lab verschillende kwetsbaarheden vonden. Deze beveiligingslekken maken het mogelijk voor aanvallers op het netwerk om alle toetsaanslagen van gebruikers in plaintext te achterhalen. Inmiddels zijn er voor zowel Android, iOS als Windows nieuwe versies van de app verschenen. Wanneer gebruikers de app gebruiken en een Chinees karakter op het scherm tekenen, zal een cloudgebaseerde service suggesties voor een karakter doen als er geen suggesties in de lokale database zijn gevonden. Voor het beveiligen van het verkeer hebben de ontwikkelaars hun eigen encryptiesysteem bedacht. Onderzoekers van Citizen Lab ontdekten dat deze methode kwetsbaar is voor een CBC padding oracle-aanval. Daardoor kan een aanvaller de plaintext van versleuteld netwerkverkeer achterhalen en zo zien wat de gebruiker heeft getypt. In het geval van de Androidversie lukte het de onderzoekers ook om de tweede helft van de symmetrische sleutels te achterhalen die de app gebruikt voor het versleutelen van verkeer. Onderzoekers van Citizen Lab waarschuwden internetgigant en ontwikkelaar Tencent op 31 mei voor de gevonden problemen. Er volgde geen reactie, waarop het probleem op 16 juni nogmaals werd gemeld. Op 25 juni ontvingen de onderzoekers een reactie dat de kwetsbaarheden eigenlijk geen probleem waren. Achttien uur later kwam Tencent daarop terug en liet weten dat de beoordeling verkeerd was. Het bedrijf was bezig met de kwetsbaarheid en riep de onderzoekers op het probleem niet openbaar te maken. Eind vorige maand verschenen er updates voor de app. Volgens Citizen Lab laat het onderzoek zien dat het belangrijk is dat ontwikkelaars bekende encryptiesystemen gebruiken en niet hun eigen crypto gaan bedenken. bron: https://www.security.nl

De Belgische beveiligingsonderzoeker Mathy Vanhoef, bekend van zijn KRACK-aanval tegen WPA en WPA2, heeft een nieuwe aanval ontwikkeld waarmee het mogelijk is om het verkeer van vpn-gebruikers buiten de vpn-tunnel te laten lekken. De aanval, TunnelCrack, maakt misbruik van twee kwetsbaarheden in vpn-oplossingen. Met name vpn's op iOS en macOS zijn kwetsbaar, gevolgd door Windows. Vpn-apps voor Android zijn het veiligst, waarbij ongeveer een kwart kwetsbaar voor TunnelCrack is. De twee onderliggende aanvallen die TunnelCrack mogelijk maken noemt Vanhoef LocalNet- en ServerIP-aanvallen. Beide zijn te misbruiken wanneer een vpn-gebruiker verbinding met een onbetrouwbaar wifi-netwerk maakt. De ServerIP-aanval is ook door malafide internetproviders te misbruiken. De aanvallen manipuleren de routeringstabel van het doelwit, waardoor het slachtoffer verkeer buiten de beveiligde vpn-tunnel stuurt en een aanvaller dit verkeer kan lezen en onderscheppen. Wanneer een doelwit met het malafide wifi-netwerk verbinding maakt kan de aanvaller hem een publiek ip-adres en subnet toekennen. De aanvaller wil bijvoorbeeld verkeer naar target.com onderscheppen, dat het ip-adres 1.2.3.4 heeft. De aanvaller vertelt het slachtoffer dat het lokale netwerk gebruikmaakt van subnet 1.2.3.0/24. Zo wordt het slachtoffer verteld dat ip-adressen in de reeks 1.2.3.1-254 direct benaderbaar zijn in het lokale netwerk. Wanneer het slachtoffer nu target.com bezoekt, zal een webrequest naar ip-adres 1.2.3.4 worden gestuurd. Omdat de meeste vpn's directe toegang tot het lokale netwerk toestaan, zal het webrequest buiten de vpn-tunnel om worden verstuurd. Vanhoef noemt dit de LocalNet-aanval. Voor het onderzoek werden meer dan 66 vpn's op vijf platforms onderzocht. Alle vpn-apps op iOS zijn kwetsbaar. Op één na zijn ook alle vpn's voor macOS kwetsbaar. Bij de ServerIP-aanval wordt er misbruik gemaakt van het feit dat vpn's verkeer naar het ip-adres van de vpn-server niet versleutelen. Dit wordt gedaan om re-encryption van pakketten te voorkomen. Een aanvaller kan hier misbruik van maken door een dns-reply voor de vpn-server te spoofen. Vervolgens kan hij zo het slachtoffer een routeringsregel met een gespooft ip-adres laten toevoegen, waardoor. verkeer naar dit adres buiten de tunnel om wordt gestuurd. Vpn-gebruikers die zich willen beschermen tegen de LocalNet-aanval moeten lokaal verkeer uitschakelen, maar niet alle vpn-clients bieden deze optie. Een nadeel is dat het legitiem gebruik van het lokale netwerk, bijvoorbeeld voor het gebruik van een printer of het streamen van video's naar een tv, niet langer werken als de vpn wordt gebruikt. De ServerIP-aanval is te voorkomen door middel van policy-based routing, waarbij de routering niet alleen is gebaseerd op het doel ip-adres, maar ook andere factoren. Om gebruikers te beschermen zijn vpn-providers van tevoren ingelicht en hebben de tijd gekregen om updates te ontwikkelen. Onder andere Mozilla VPN, Surfshark, Malwarebytes, Windscribe en Cloudflare's WARP hebben patches ontvangen. Voor gebruikers van vpn-apps waarvoor geen patch beschikbaar is wordt aangeraden om lokale netwerktoegang uit te schakelen en van websites gebruik te maken die via HTTPS worden aangeboden. Cisco heeft een advisory uitgebracht omdat verschillende van de vpn-producten kwetsbaar zijn. bron: https://www.security.nl

Microsoft heeft deze maand meerdere kwetsbaarheden in Exchange Server verholpen, maar voor één van de beveiligingslekken is een extra handeling van beheerders vereist. Dat laat het techbedrijf in een blogposting en het betreffende beveiligingsbulletin werken. De kwetsbaarheid in kwestie, aangeduid als CVE-2023-21709, maakt het mogelijk voor een ongeauthenticeerde aanvaller om als een andere gebruiker in te loggen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Toch gaat het volgens Microsoft niet om een kritieke kwetsbaarheid, maar één die het label "important" heeft. Het techbedrijf stelt dat bruteforce-aanvallen meestal niet slagen tegen gebruikers met sterke wachtwoorden, maar dat het impactscoremodel geen rekening met dergelijke nuances houdt. "Ik zou deze kwetsbaarheid als kritiek beschouwen en daarnaar handelen", zegt Dustin Childs van het Zero Day Initiative. Voor het verhelpen van de kwetsbaarheid moeten beheerders niet alleen de beschikbaar gestelde beveiligingsupdate installeren, maar ook een apart script uitvoeren. Daarbij adviseert Microsoft eerst de installatie van de patch en dan het uitvoeren van het script. bron: https://www.security.nl

Google gaat beveiligingsupdates voor Chrome voortaan wekelijks uitbrengen. Op deze manier zouden kwetsbaarheden in de browser sneller moeten worden verholpen en de 'patch gap' worden verkort. Er is sprake van een patch gap wanneer een kwetsbaarheid in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken. Chrome is gebaseerd op de open source Chromium-browser. De code is open source en kan door iedereen worden bekeken, waaronder verholpen kwetsbaarheden. Naast de standaardversie van de browser zijn er ook vroege testversies aangeduid als Canary en Beta. Nieuwe versies van Chrome en Chromium verschijnen eerst als testversie. Aanvallers kunnen de code van deze testversies bekijken en zo kwetsbaarheden ontdekken waar de standaardversie nog geen update voor heeft gekregen. Sinds 2020 verschijnen er elke twee weken updates voor Chrome, waardoor de patch gap afnam van 35 dagen naar 15 dagen. Door nu wekelijks updates uit te brengen wil Google de patch gap voor Chrome-gebruikers verder verkorten. In het geval van actief aangevallen zerodaylekken zal Google buiten de planning om met updates komen om gebruikers te beschermen, maar het techbedrijf verwacht dat door de wekelijkse patchcyclus het aantal ongeplande updates zal afnemen. bron: https://www.security.nl

Een kwetsbaarheid in processors van AMD maakt het mogelijk voor aanvallers om gevoelige data van systemen te stelen zoals encryptiesleutels, zo hebben drie onderzoekers van ETH Zürich ontdekt, waaronder de Nederlandse masterstudent Daniël Trujillo. Via een nieuwe side-channel-aanval genaamd Inception kan een aanvaller informatie van systemen stelen. AMD, dat stelt dat de kwetsbaarheid alleen lokaal is te misbruiken, heeft updates uitgebracht. De Inception-aanval die de onderzoekers ontwikkelden is vergelijkbaar met andere side-channel-aanvallen zoals Spectrev2 en Branch Type Confusion (BTC)/RetBleed en maakt misbruik van de speculatieve uitvoering die processors toepassen. Daarbij raden processors welke operatie moet worden uitgevoerd voordat een vorige is afgerond. Deze aanpak zorgt voor betere prestaties, maar kan er ook voor zorgen dat vertrouwelijke informatie kan lekken. Voor hun aanval combineerden de onderzoekers twee fenomenen waardoor een ongeauthenticeerde aanvaller op alle moderne AMD-processors data kan lekken, namelijk 'phantom speculation' en 'training in transient execution' (TTE). Hierdoor is het mogelijk om een verkeerde voorspelling te injecteren die uiteindelijk tot speculatieve uitvoering kan leiden waarbij er informatie wordt gestuurd naar een register waar de aanvaller controle over heeft. Op deze manier is het mogelijk om data van systemen te stelen. "Om de impact van TTE te demonstreren ontwikkelden we een end-to-end exploit genaamd Inception die voor een oneindige transient loop in hardware zorgt om de return stack buffer te trainen met een door de aanvaller gecontroleerd doelwit in alle bestaande AMD Zen-processors", aldus de onderzoekers in hun onderzoeksrapport (pdf). Ze vernoemden hun aanval naar de film Inception. "Net als in de film met dezelfde naam, plant Inception een 'idee' in de processor terwijl die in zekere zin aan het 'dromen' is, om het zo verkeerde acties te laten nemen gebaseerd op zogenaamd zelfbedachte ervaringen." Herbert Bos, hoogleraar systeem- en netwerkbeveiliging aan de VU en niet betrokken bij het onderzoek, laat tegenover de Volkskrant weten dat de aanval ook gevolgen heeft voor cloudomgevingen. "Op deze manier zouden hackers zelfs bij de data kunnen komen die bedrijven op cloud-computers hebben staan." AMD stelt dat de aanval alleen lokaal is uit te voeren, bijvoorbeeld door malware die zich op het systeem bevindt. Voor verschillende processors zijn updates uitgebracht of die zullen op een later moment verschijnen. bron: https://www.security.nl

Interpol heeft samen met securitybedrijven en internationale opsporingsdiensten het phishing-as-a-service-platform 16shop offline gehaald. Volgens Interpol werden via het platform tools verkocht waarmee meer dan 70.000 mensen in 43 landen werden gecompromitteerd. Tijdens de operatie werden in Indonesië en Japan drie verdachten aangehouden die achter het platform zouden zitten. 16shop verkocht phishingkits gebruikt voor het uitvoeren van phishingaanvallen. "Phishing wordt gezien als de grootste cyberdreiging in de wereld en er wordt geschat dat tot negentig procent van alle aanvallen verband houdt met succesvolle phishingaanvallen, waardoor het een grote oorzaak van gestolen inloggegevens en informatie is", aldus Interpol. Aan de operatie namen ook opsporingsdiensten uit Indonesië, Japan en de Verenigde Staten deel, alsmede securitybedrijven Cyber Defense Institute, Group-IB, Palo Alto Networks Unit 42 en Trend Micro. Door informatie van de securitybedrijven kwam de vermeende beheerder van het platform in beeld, die zich in Indonesië bevond. De servers van 16shop stonden in de Verenigde Staten. Informatie van de servers werd door de FBI veiliggesteld en gedeeld met de Indonesische autoriteiten, waardoor uiteindelijk twee andere verdachten in Indonesië en Japan konden worden gehouden. bron: https://www.security.nl

Tijdens de patchdinsdag van augustus heeft Microsoft een Office-update uitgebracht om zeroday-aanvallen te stoppen. Vorige maand waarschuwde Microsoft dat Europese overheden en bedrijven zijn aangevallen via een kwetsbaarheid in Office, die wordt aangeduid als CVE-2023-36884. Alleen het openen van een malafide document is voldoende om met malware besmet te raken. Via het beveiligingslek is remote code execution met rechten van de ingelogde gebruiker mogelijk. Volgens Microsoft wordt via de malafide documenten, die zijn ingezet bij een phishingcampagne die de NAVO-top in Vilnius als onderwerp had, een backdoor geïnstalleerd waarmee de aanvallers inloggegevens stelen die bij latere aanvallen worden gebruikt. Gisteren liet het techbedrijf weten dat de kwetsbaarheid niet in Office aanwezig is, maar in Windows Search. Via het lek kan een aanvaller het Mark of the Web (MOTW) van Windows omzeilen. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Voor de kwetsbaarheid in Windows Search is een update beschikbaar. Daarnaast is er een "Microsoft Office Defense in Depth Update" verschenen die de "attack chain" stopt waardoor een aanvaller via malafide documenten code op systemen van gebruikers kan uitvoeren. bron: https://www.security.nl

Zo'n 450.000 MikroTik-routers missen een beveiligingsupdate voor een kwetsbaarheid waardoor een aanvaller super-admin op het apparaat kan worden, zo stelt securitybedrijf Censys. MikroTik kwam vorig jaar oktober en afgelopen juni met updates, maar die zijn op een groot aantal routers nog niet geïnstalleerd. Ook niet nadat er eind juli over het beveiligingslek werd bericht. In de week na de berichtgeving bleef het aantal kwetsbare routers nagenoeg gelijk, aldus cijfers die Censys gisteren openbaar maakte. Via het beveiligingslek, aangeduid als CVE-2023-30799, kan een aanvaller met admin-toegang tot de router super-admin worden. De vereiste dat een aanvaller als admin moet kunnen inloggen maakt de kwetsbaarheid niet minder gevaarlijk, aldus onderzoeker Jacob Baines. RouterOS, het besturingssysteem dat op MikroTik-routers draait, wordt standaard geleverd met een "admin" gebruiker. Het standaard wachtwoord voor deze gebruiker is een lege string en pas vanaf RouterOS 6.49 die in oktober 2021 verscheen wordt beheerders gevraagd om het lege wachtwoord te vervangen door een nieuw wachtwoord. RouterOS maakt geen gebruik van wachtwoordregels, waardoor beheerders elk wachtwoord kunnen kiezen, hoe eenvoudig ook. Op 27 juli kwam MikroTik nog met een blogposting waarin het beheerders opriep om updates te installeren. Censys voegt toe dat daarnaast een sterk wachtwoord moet worden ingesteld en de beheerdersinterface niet direct vanaf het internet toegankelijk moet zijn. "Ervoor zorgen dat de beheerdersinterface van apparaten niet onnodig is blootgesteld aan het publieke internet zal het aanvalsoppervlak van je organisatie aanzienlijk verkleinen en tegen eventuele exploits bescherming bieden." bron: https://www.security.nl

Dit jaar zijn er al 2500 kwetsbaarheden in plug-ins voor WordPress gerapporteerd, maar voor honderden van deze beveiligingslekken zijn nog geen updates beschikbaar gemaakt. Dat meldt securitybedrijf Wordfence. Volgens cijfers van W3Techs draait 43,2 procent van alle websites op WordPress. Voor het platform is een groot aantal plug-ins en themes beschikbaar die door externe ontwikkelaars worden ontwikkeld. Veel van de kwetsbaarheden waar WordPress-sites mee te maken hebben bevinden zich in deze plug-ins. Zo werden dit jaar pas zes kwetsbaarheden in WordPress zelf gerapporteerd, tegenover 2500 in de verschillende plug-ins voor het platform. In de meeste gevallen gaat het om cross-site scripting waarmee een aanvaller in het ergste geval cookies van de beheerder kan stelen om zo de website over te nemen. Verder blijkt uit de cijfers van Wordfence dat de meeste kwetsbaarheden, zo'n tweeduizend, een medium impact hebben. Wat niet meevalt is het aantal beveiligingslekken dat nog op een update wacht. Van de 2500 gerapporteerde kwetsbaarheden in plug-ins zijn er 678 niet door de ontwikkelaar verholpen. Dat komt neer op meer dan een kwart van de bekende beveiligingslekken. Het gaat in dit geval om plug-ins die niet of nauwelijks meer worden ondersteund door de ontwikkelaar. WordPress verwijdert deze plug-ins vaak uit de eigen repository, zodat die niet meer door andere websites zijn te downloaden. Daarmee wordt echter niet het probleem verholpen voor websites die de betreffende plug-ins al hebben geïnstalleerd. Wordfence adviseert beheerders dan ook om dergelijke plug-ins te verwijderen voordat aanvallers er misbruik van maken. bron: https://www.security.nl

Microsoft heeft vorig jaar 13,8 miljoen dollar uitgekeerd aan externe beveiligingsonderzoekers die kwetsbaarheden in producten van het techbedrijf rapporteerden. Er kwamen bijna 1200 bugmeldingen binnen, afkomstig van 345 onderzoekers, waarvoor Microsoft een bedrag betaalde. De hoogste bug bounty bedroeg 200.000 dollar. Tal van tecbbedrijven hebben tegenwoordig bugbountyprogramma's waar onderzoekers beveiligingslekken kunnen melden. Google liet eerder dit jaar weten dat het vorig jaar meer dan 12 miljoen dollar aan beloningen uitkeerde. In totaal ontvingen zevenhonderd onderzoekers een beloning, waarbij de hoogste bug bounty 600.000 dollar bedroeg. Het ging om een reeks kritieke kwetsbaarheden in Android. Volgens Google heeft het vorig jaar dankzij de bugmeldingen meer dan 2900 beveiligingslekken kunnen verhelpen. bron: https://www.security.nl

Intel heeft een nieuwe driver voor de eigen Arc-videokaarten uitgebracht die standaard informatie van gebruikers verzamelt, zoals het soort bezochte website, de manier waarop de computer wordt gebruikt, systeemeigenschappen en informatie over andere apparatuur. Deze gegevens kan Intel met "partners" delen en door serviceproviders laten verwerken. TechPowerUP meldt dat de nieuwste bètaversie van de Intel Arc-driver standaard het "Compute Improvement Program" (CIP) installeert. Via deze software worden de telemetriegegevens verzameld. Gebruikers kunnen ervoor kiezen om de software niet te installeren of die na de installatie weer te verwijderen, maar standaard zal de installatie plaatsvinden. Intel claimt op een website over CIP dat het de verzamelde gegevens gebruikt om producten beter voor gebruikers te maken. Andere fabrikanten van videokaarten zoals AMD en NVIDIA verzamelen ook telemetriegegevens. In het geval van NVIDIA wordt de betreffende software standaard met de grafische drivers geïnstalleerd en kunnen gebruikers niet voor een opt-out kiezen. AMD vraagt gebruikers nadrukkelijk om toestemming voor het verzamelen van gegevens. In het geval van Intel is het opt-out-proces niet zo duidelijk, stelt de website Videocardz. bron: https://www.security.nl