Captain Kirk

Wachtwoordmanager 1Password heeft te maken gekregen met een beveiligingsincident nadat criminelen eerder bij authenticatieplatform Okta wisten in te breken. Dat laat het bedrijf in een rapport weten (pdf). Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Een aanvaller wist in te breken op het supportsysteem van Okta en kon zo gevoelige gegevens stelen die klanten met supportmedewerkers delen. Met de gestolen klantgegevens wist de aanvaller vervolgens in te loggen op de Okta-omgeving van 1Password. Het it-team van de wachtwoordmanager ontdekte dit toen het op 29 september een e-mailbericht ontving dat ze bij Okta een overzicht van admins hadden opgevraagd. Daarop werd een onderzoek ingesteld, waaruit bleek dat een aanvaller met adminrechten op de Okta-omgeving had ingelogd. Volgens 1Password heeft de aanvaller geen toegang gekregen tot systemen buiten Okta en lijkt het erop dat er gegevens werden verzameld voor een volgende aanval. De aanvaller kon op de Okta-omgeving van 1Password inloggen omdat een it-medewerker van de wachtwoordmanager op verzoek van de helpdesk van Okta een bestand met gevoelige informatie deelde, waaronder sessiecookies. De aanvaller kon dit bestand stelen en zo toegang tot de Okta-omgeving van 1Password krijgen. Vervolgens probeerde de aanvaller toegang tot het dashboard van de it-medewerker te krijgen, maar dat werd geblokkeerd door Okta. Daarop besloot de aanvaller een identiteitsprovider waar 1Password gebruik van maakt te updaten en activeren, om daar op een later moment mee te kunnen inloggen. Toen de aanvaller als laatste een overzicht van beheerders opvroeg ging er een e-mail naar het it-team van 1Password en werd de aanval opgemerkt. De wachtwoordmanager heeft inmiddels een aantal aanpassingen aan de Okta-configuratie doorgevoerd, waaronder het blokkeren van inlogpogingen afkomstig van andere identiteitsproviders dan Okta, het verkorten van de sessieduur voor beheerders, strengere regels voor multifactorauthenticatie voor beheerders en het verminderen van het aantal 'super administrators'. Okta werd vorig jaar ook al het slachtoffer van een aanval. bron: https://www.security.nl

QNAP heeft vorige week een server offline laten halen die werd gebruikt voor het uitvoeren van bruteforce-aanvallen op NAS-systemen. De NAS-fabrikant stelt dat het onlangs een 'golf van zwakke wachtwoordaanvallen' waarnam gericht tegen NAS-systemen die vanaf internet benaderbaar zijn. De aanval was afkomstig van een botnet dat uit honderden ip-adressen bestaat. Daarop besloot QNAP eerst een update voor de QuFirewall uit te brengen om deze ip-adressen te blokkeren. Binnen 48 uur werd vervolgens de command & control-server gevonden. In samenwerking met hostingprovider Digital Ocean werd de server offline gehaald. QNAP roept eigenaren van NAS-systemen op om het standaard admin-account van de NAS uit te schakelen, sterke wachtwoorden voor alle accounts te gebruiken, de firmware te updaten en de QuFirewall te installeren. bron: https://www.security.nl

TikTok heeft gebruikers tot anderhalve week geleden geen inzage gegeven in de data die het van hen op andere websites verzamelde, zo meldt BNR. Via een trackingpixel kan de populaire video-app gebruikers buiten de eigen app volgen. Websites plaatsen de code van de trackingpixel, waarna informatie over bezoekers naar TikTok gaat. Het bedrijf kan zo gerichte advertenties tonen aan gebruikers binnen de app. Onder de AVG heeft iedereen een recht op inzage en kan zo opvragen welke persoonsgegevens een organisatie over hem of haar heeft. De organisatie moet die vervolgens binnen een bepaalde tijd verstrekken. TikTok-gebruikers die inzage in de verzamelde gegevens vroegen kregen te horen dat ze niet bestonden. "Als je een verzoek doet, moet TikTok een volledig overzicht geven van de persoonsgegevens die ze over jou hebben", laat Gerrit-Jan Zwenne weten, hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden. BNR vroeg TikTok begin september voor het eerst om opheldering over de 'heimelijke dataverzameling', maar kreeg geen inhoudelijke reactie. Sinds anderhalve week kunnen gebruikers met terugwerkende kracht alsnog bij TikTok opvragen welke gegevens de video-app over hen heeft opgeslagen. Dan blijkt dat TikTok zeker sinds mei vorig jaar al gegevens registreert en mogelijk nog langer. "Dit onderzoek laat namelijk weer zien dat ze bij TikTok maar doen wat ze willen", zegt GroenLinks-Europarlementariër Kim van Sparrentak. "Ik wil heel graag dat er een grote toezichthouder voor de big tech-bedrijven in Europa komt." bron: https://www.security.nl

Cisco heeft de eerste update beschikbaar gemaakt voor actief aangevallen zerodays in IOS XE. De patch is er alleen voor versie 17.9 van het besturingssysteem. Wanneer de updates voor versies 17.6, 17.3 en 16.12 verschijnen wordt nog bekendgemaakt. Via de kwetsbaarheden (CVE-2023-20273 en CVE-2023-20198) kan een aanvaller op afstand volledige controle over een systeem krijgen. IOS XE draait op de switches en routers van Cisco. Vervolgens kan een aanvaller verdere aanvallen uitvoeren of verkeer onderscheppen. Volgens securitybedrijven Onyphe en Censys waren er op het hoogtepunt van de aanvallen respectievelijk 53.000 en 42.000 systemen door aanvallers van een backdoor voorzien. Inmiddels is dat aantal gedaald naar respectievelijk 5000 en 1200. Volgens Orange Cyberdefense zijn de aanvallers echter bezig om de toegevoegde backdoor te verbergen. Het is daardoor nog onduidelijk hoeveel systeem erop dit moment nog zijn gecompromitteerd. bron: https://www.security.nl

IPv4 is niet langer het standaard Internet Protocol maar IPv6, zo stelt de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert. "Bij de nieuwbouw en opwaardering van computernetwerken moet IPv6 nu leidend zijn en wordt de ontsluiting van IPv4-only systemen verzorgd door een dienst boven op die IPv6-basis." SIDN wijst onder andere naar cijfers van Google. Die laten zien dat 45 procent van de gebruikers die verbinding met de diensten van het techbedrijf maakt dit via IPv6 doet. In Nederland blijft de IPv6-adoptie echter achter, met nog geen 22 procent. In de Europese Unie is Frankrijk koploper met meer dan 74 procent, gevolgd door Duitsland dat de 72 procent nadert. Volgens SIDN wordt de IPv6-adoptie in Duitsland vooral gestimuleerd door de federale overheid, die strategisch ingezet op IPv6 als fundament onder de digitalisering van overheidsdiensten. Vanwege de ontwikkeling stelt de stichting dat oude mechanismen om IPv4 te blijven gebruiken, als dual-stack met NAT en CGNAT, nu moeten plaatsmaken voor nieuwere mechanismen gebaseerd op NAT64, DNS64 en 464XLAT. "Vanaf een bepaald kantelpunt is het dus om zowel economische redenen als vanwege de complexiteit van alle IPv4-lapmiddelen verstandiger om te kiezen voor een IPv6-netwerk met daarop een aparte faciliteit voor toegang tot IPv4-only systemen", zegt SIDN, dat toevoegt dat IPv6 fundamenteel niet anders of ingewikkelder is dan IPv4. "Zeker als je daarbij ook alle lapmiddelen voor IPv4 in ogenschouw neemt. Maar de transitie van IPv4 naar IPv6 is een apart onderwerp en vraagt aandacht op netwerk-strategisch niveau." bron: https://www.security.nl

Aanvallers maken misbruik van een twee jaar oude kwetsbaarheid in IOS XE waardoor het mogelijk is om rootrechten op gecompromitteerde systemen te krijgen. Het gaat hier om een andere kwetsbaarheid dan het zerodaylek waardoor al 42.000 IOS XE-systemen van een backdoor zijn voorzien. Cisco IOS XE is het besturingssysteem dat op de switches en routers van het netwerkbedrijf draait. In maart 2021 kwam Cisco met een beveiligingsupdate voor een kwetsbaarheid aangeduid als CVE-2021-1435. Via dit beveiligingslek kan een geauthenticeerde aanvaller op afstand willekeurige commando's injecteren die als root worden uitgevoerd. Op het moment dat Cisco met de update kwam werd er nog geen misbruik van het beveiligingslek gemaakt. Dat is inmiddels wel het geval, zo laat het netwerkbedrijf in een update van het beveiligingsbulletin weten. Details over de aanvallen zijn niet door Cisco gegeven. De melding valt echter samen met actief misbruik van een zerodaylek in Cisco IOS XE (CVE-2023-20198) waarvoor nog geen update beschikbaar is. De Amerikaanse overheid heeft federale instanties opgedragen om de patch voor CVE-2021-1435 voor 9 november geïnstalleerd te hebben. bron: https://www.security.nl

Horloge- en rekenmachinefabrikant Casio heeft van klanten in 149 landen de persoonlijke gegevens gelekt. Het gaat om naam, e-mailadres, land, bestelgegevens en gebruiksinformatie, zoals logdata en nicknames. Volgens Casio wisten aanvallers toegang te krijgen tot een database van de ontwikkelomgeving van ClassPad.net, een online wiskundetool. Uit onderzoek blijkt dat de datadiefstal mogelijk was doordat de netwerkbeveiliging van de ontwikkelomgeving als gevolg van een 'operationele fout' was uitgeschakeld. Casio heeft het datalek bij de Japanse privacytoezichthouder gerapporteerd en is bezig met onderzoek naar de hoofdoorzaak en het implementeren van maatregelen om herhaling te voorkomen. De horloge- en rekenmachinefabrikant stelt dat bijna 92.000 'items' van Japanse klanten zijn buitgemaakt, alsmede 1100 onderwijsinstellingen die klant zijn. Daarnaast zijn van klanten in 148 andere landen en regio's 35.000 items gestolen. Casio zal alle getroffen klanten via e-mail informeren. bron: https://www.security.nl

De privacy op internet heeft een 'heel eng' niveau bereikt, zo stelt Mozilla dat internetgebruikers hier via de nieuw gelanceerde 'Creep-O-Meter' voor wil waarschuwen. De meter is gebaseerd op de bekende Doomsday Clock en meet de dreiging die technologie voor de persoonlijke privacy van personen vormt. Op een schaal van 1 tot en met 100 heeft de meter 75.6 aangetikt. Om de score te berekenen heeft Mozilla gekeken naar vijf jaar aan data van de 'Privacy Not Included' gids. Via deze gids beoordeelt de Firefox-ontwikkelaar de privacy-impact van technologische producten zoals gadgets, apps en auto's. "We zijn in de 'Age of Creepy' aangekomen, gedefinieerd door een groeiend verlies aan privacy. Bedrijven weten nu meer over ons dan we zelf over ons weten en een gevoel dat hier niets aan te doen is", zegt Mozilla's Jen Caltrider. Volgens Caltrider hebben consumenten wel degelijk macht en is het belangrijker dan ooit tevoren dat mensen beter gedrag van bedrijven eisen en gekozen politici oproepen om betere wetgeving te maken. Mozilla ziet vooral dat bedrijven steeds meer persoonlijke data verzamelen voor het tonen van gerichte advertenties of het trainen van AI. Gebruikersgegevens worden 'als nooit tevoren' verzamelt, gedeeld en verkocht, zo claimt de Firefox-ontwikkelaar. Daarnaast zijn er ook steeds minder 'domme' apparaten. Veel producten hebben geen 'offline' mode meer en vereisen een internetverbinding, waardoor gebruikers zich niet voor de dataverzameling kunnen afmelden. bron: https://www.security.nl

De schade door phishing in België is vorig jaar met zestig procent gestegen naar veertig miljoen euro, zo meldt Febelfin, de koepelorganisatie van Belgische banken, die burgers oproept een browser-extensie van de overheid te installeren om zo malafide websites te herkennen. Volgens Febelfin is de toename vooral te verklaren door de enorme stijging van het aantal uitgestuurde phishingberichten. Zo heeft 69 procent van de Belgen de afgelopen zes maanden minstens één phishingbericht ontvangen, aldus Febelfin. Acht procent van de Belgen geeft aan slachtoffer te zijn geworden van phishing. Bij jongeren ligt dit percentage hoger, namelijk twaalf procent. Van de Belgen die slachtoffer werden van phishing wist 62 procent welke stappen ze moesten ondernemen. Daarnaast heeft acht procent van de Belgen nog nooit van phishing gehoord en is dit bij jongeren zelfs 23 procent, zo stelt de koepelorganisatie van Belgische banken. "Phishingberichten zijn een ware plaag. Ze blijven in grote aantallen circuleren en slachtoffers maken. Waarom krijgen we dat fenomeen de wereld niet uit? De mens is gemakkelijk nieuwsgierig of bang te maken. We kunnen niet weerstaan aan een aantrekkelijk aanbod", zegt Miguel De Bruycker van het Centrum voor Cybersecurity België. "Phishers spelen in op die typische eigenschappen van de mensen. Ze proberen via allerhande smoesjes hun slachtoffers te benaderen en te overtuigen." URL's begrijpen Volgens Febelfin blijft het voor veel mensen lastig om een URL goed te lezen en begrijpen. Daarom heeft de Belgische overheid een browser-extensie voor Google Chrome ontwikkeld die de betrouwbaarheid van websites beoordeelt. Dit niveau is gebaseerd op bekende factoren over het domein van de website, de eigenaar ervan en het certificatieniveau dat is verkregen bij een certificeringsautoriteit. De extensie heeft op het moment van schrijven meer dan tweeduizend gebruikers. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Citrix NetScaler waarvoor op 10 oktober een beveiligingsupdate verscheen wordt al sinds eind augustus misbruikt bij aanvallen, zo stelt securitybedrijf Mandiant. In een eerste versie van het beveiligingsbulletin werd niet door Citrix vermeld dat het om een actief aangevallen zerodaylek ging. Gisteren werd het bulletin van een update voorzien, waarin nu wel wordt gemeld dat aanvallen plaatsvinden. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Via een kwetsbaarheid in het product, aangeduid als CVE-2023-4966, kan een aanvaller gevoelige informatie van systemen achterhalen. Verdere details over het soort informatie werden niet door Citrix gegeven. Mandiant stelt dat aanvallen via de kwetsbaarheid al sinds eind augustus plaatsvinden. Via het beveiligingslek kan een aanvaller bestaande ingelogde sessies van gebruikers kapen, en zo de multifactorauthenticatie of andere inlogvereisten omzeilen. Deze gekaapte sessies kunnen ook na het installeren van de beveiligingsupdate voor CVE-2023-4966 bestaan of worden gebruikt. Mandiant zegt dat het aanvallen heeft gezien waarbij aanvallers sessiegegevens wisten te stelen voordat de patch werd geïnstalleerd, en de gegevens na de installatie van de update pas gebruikten. Afhankelijk van de gekaapte sessiegegevens kan de aanvaller vervolgens andere inloggegevens stelen en verdere toegang krijgen. Onder andere professionele dienstverleners, techbedrijven en overheidsinstellingen zijn via het zerodaylek aangevallen. bron: https://www.security.nl

Amazon en WhatsApp hebben ondersteuning voor passkeys toegevoegd, waardoor gebruikers zonder wachtwoord kunnen inloggen. De implementatie van Amazon laat echter te wensen over, zo stelt authenticatie-expert Vincent Delitz. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. <>/p> Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. WhatsApp maakte de support voor passkeys via X bekend. De inlogmethode is vooralsnog alleen beschikbaar op Androidtelefoons met Android 9 of nieuwer. Daarnaast moet een Google-account zijn gekoppeld, schermvergrendeling zijn ingesteld en de nieuwste versie van de Google Play Store zijn geïnstalleerd. Wanneer passkeys voor iOS-gebruikers beschikbaar komt is niet bekend. De feature wordt de komende weken en maanden onder Androidgebruikers van de chatapp uitgerold. Naast WhatsApp ondersteunt ook Amazon inloggen via passkeys. Er is echter sprake van een matige implementatie, aldus Vincent Delitz, authenticatie-expert en medeoprichter van de Duitse tech start-up Corbado. De webwinkel vereist namelijk voor elk Amazon-domein, zoals Amazon.com of Amazon.de, een aparte passkey. Daarnaast ontbreekt support voor 'Passkey Autofill', wat het juist eenvoudiger voor gebruikers moet maken. Verder zijn er problemen met de detectie van passkeys op verschillende apparaten, ondersteunt de Amazon-app geen passkeys en moeten ook gebruikers die tweestapsverificatie hebben ingesteld een one-time code invullen, wat volgens Delitz overbodig is, aangezien passkeys standaard al als tweede factor fungeren. Amazon laat tegenover TechCrunch weten dat het nog in de beginfase is van het toevoegen van passkeys aan Amazon.com. bron: https://www.security.nl

Netwerkfabrikant D-Link heeft bevestigd dat aanvallers gegevens een systeem hebben gestolen nadat een medewerker slachtoffer van een phishingaanval werd. Op zondag 1 oktober verscheen op een forum een bericht van iemand die claimde bij D-Link miljoenen regels aan klantgegevens te hebben buitgemaakt, alsmede broncode van de D-View netwerkbeheersoftware. In een reactie bevestigt D-Link het datalek, maar stelt dat het om oude registratiegegevens van een oud D-View 6-systeem gaat, dat sinds begin 2015 end-of-life is. De gestolen gegevens bestaan uit naam, e-mailadres, adresgegevens, bedrijfsnaam, telefoonnummer, registratiedatum en laatste inlogdatum. Volgens D-Link is het incident veroorzaakt door een medewerker die in een phishingaanval trapte, waardoor er toegang tot de 'al lang niet meer en verouderde' data werd verkregen. In totaal gaat het om zevenhonderd records van gebruikers die 'vermoedelijk' niet meer actief zijn. Verder stelt D-Link dat de aanbieder van de gestolen data de laatste inlogdatum opzettelijk heeft aangepast, om de oude data zo recent te laten lijken. De gegevens werden door D-Link in een 'testlabomgeving' gebruikt. Deze omgeving is inmiddels van het bedrijfsnetwerk afgesloten, wat ook voor de betreffende servers geldt. Waarom D-Link een al acht jaar niet meer ondersteund systeem gebruikte laat het bedrijf niet weten. bron: https://www.security.nl

Kwaadwillenden buiten een zerodaylek (CVE-2023-20198) in Cisco IOS XE-systemen op grote schaal uit. Duizenden systemen zijn inmiddels van malware voorzien. Hiervoor waarschuwt VulnCheck, dat een internetscan uitvoerde. CVE-2023-20198 is een kwetsbaarheid die aanvallers de mogelijkheid geeft Cisco IOS XE volledig over te nemen. Het besturingssysteem draait op switches en routers van het bedrijf. Het beveiligingslek zit in de webinterface van IOS XE. Aanvallers kunnen via het lek een account met 'privilege 15' aanmaken en zo de controle over het systeem overnemen. Dit maakt het mogelijk een implant te installeren, die communicatie met het gecompromitteerde systeem mogelijk maakt. "Dit is een slechte situatie, aangezien verhoogde toegang op IOS XE de aanvallers waarschijnlijk toestaat om netwerkverkeer te monitoren, of naar beschermde netwerken te springen, en allerlei man-in-the-middle-aanvallen uit te voeren", zegt Jacob Baines van VulnCheck Het securitybedrijf heeft een scanner beschikbaar gemaakt waarmee beheerders van Cisco IOS XE-systemen kunnen controleren of hun apparaten zijn voorzien van een implant. Het bedrijf noemt het van groot belang vast te stellen of systemen gecompromitteerd zijn en actie te ondernemen indien een implant is ontdekt. Een beveiligingsupdate van Cisco voor het probleem is nog altijd niet voorhanden, wel een mitigerende maatregel die systemen kan beschermen. De Amerikaanse overheid heeft federale instanties in het land verplicht om deze maatregel uiterlijk 20 oktober te hebben doorgevoerd. bron: https://www.security.nl

Verschillende websites van de Belgische overheid zijn de afgelopen dagen getroffen door cyberaanvallen. Onder meer de website van de Belgische belastingdienst, premier en Koningshuis waren doelwit. zo meldt het Centrum voor Cybersecurity Belgium (CCB). Het is voor de derde keer in korte tijd dat websites van de Belgische overheid op de korrel worden genomen. De eerste reeks DDoS-aanvallen vond donderdag plaats. Het ging toen onder meer om de website van de Belgische Senaat, het Koningshuis en de premier. Zondagavond waren diverse websites opnieuw doelwit van aanvallen. Katrien Eggers, woordvoerster van het CCB, meldt aan Data News dat diverse websites die zondagavond doelwit waren, maandag opnieuw zijn getroffen door aanvallen. De aanvallen op donderdag zijn opgeëist door een pro-Russische groepering die zich 'Noname' noemt. De groep stelt de aanvallen te hebben uitgevoerd in reactie op de Belgische steun aan Oekraïne en de aankondiging dat België F16's gaat leveren aan Oekraïne. bron: https://www.security.nl

Microsoft heeft tijdens de BlueHat-conferentie het Microsoft AI Bounty Program geïntroduceerd. Onderzoekers kunnen via dit programma op verantwoorde wijze beveiligingsproblemen die zij ontdekken in de AI-functionaliteiten in Bing melden bij de Amerikaanse techgigant. Zij kunnen hiervoor een beloning ontvangen die kan oplopen tot 15.000 dollar. Het bugbountyprogramma is gericht op kwetsbaarheden in een viertal producten: AI-gedreven Bing ervaringen op bing.com via webbrowser (alle grote leveranciers en inclusief Bing Chat, Bing Chat for Enterprise en Bing Image Creator) AI-gedreven Bing integratie in Microsoft Edge op het Windows platform, inclusief Bing Chat for Enterprise AI-gedreven Bing integratie in de Microsoft Start Application op iOS en Android AI-gedreven Bing integratie in de mobiele app van Skype op iOS en Android Kwetsbaarheden in Bing-gerelateerde online diensten van Microsoft vallen niet onder het programma. Onderzoekers kunnen deze beveiligingsproblemen melden via het M365 Bounty Program. Microsoft benadrukt dat indien kwetsbaarheden bij het verkeerde programma worden aangemeld, het deze meldingen automatisch doorzet naar het juiste programma. Hogere beloningen zijn mogelijk Wie via het nieuwe bugbountyprogramma een kwetsbaarheid meldt kan indien deze wordt goedgekeurd hiervoor een beloning ontvangen. De beloningen die Microsoft via het programma uitlooft variëren van 2.000 tot 15.000 dollar, en zijn afhankelijk van de aard van het lek. Indien een zeer ernstige kwetsbaarheid met grote impact gemeld wordt kan Microsoft besluiten hiervan af te wijken en een hogere beloning toe te kennen. Alleen kwetsbaarheden die niet eerder zijn gemeld komen in aanmerking voor een beloning. Ook moet het gaan om een kritieke of ernstige kwetsbaarheid, zoals gedefinieerd via het Microsoft Vulnerability Severity Classification for AI Systems. Het lek moet daarnaast reproduceerbaar zijn op een up-to-date versie van het getroffen product of dienst. Ook moeten onderzoekers hun melding voorzien van duidelijke en reproduceerbare stappen, die zij in zowel tekst als video kunnen aanleveren. bron: https://www.security.nl

Ondanks de beschikbaarheid van generatieve AI zoals ChatGPT en andere oplossingen zijn typefouten nog steeds relevant voor het herkennen van phishingmails, zo stelt Jan Kopriva, handler bij het Internet Storm Center (ISC). Het is een algemeen gegeven beveiligingsadvies dat phishingmails onder andere aan typfouten zijn te herkennen. "Veel phishingmails bevatten taal- en/of typfouten, maar soms zijn de opmaak en het taalgebruik lastig van een echte mail te onderscheiden", zo laat de Consumentenbond weten. Volgens sommige experts worden deze typfouten opzettelijk toegevoegd, om zo beter potentiële slachtoffers te vinden. Ook Kopriva merkt op dat typfouten een bewuste actie van de aanvaller kunnen zijn. Onlangs ontving het ISC verschillende phishingmails met typo's. "Ze laten zien dat we nog steeds niet op een punt zijn gekomen waarbij typo's volledig irrelevant zijn geworden voor het herkennen van potentiële phishingberichten", aldus de ISC-handler. Volgens Kopriva is de aanwezigheid van typfouten misschien niet meer zo bruikbaar als het eerst was, maar kan het gebruikers wel de juiste kant op wijzen. bron: https://www.security.nl

Cisco waarschuwt organisaties voor een actief aangevallen zerodaylek in IOS XE waardoor een ongeauthenticeerde aanvaller systemen op afstand volledig kan overnemen. De impact van het beveiligingslek (CVE-2023-20198) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Het probleem raakt zowel fysieke als virtuele devices die IOS XE draaien en ook de HTTP of HTTPS Server feature hebben ingeschakeld. De eerste aanwijzingen van misbruik dateren van 18 september. Cisco IOS XE is een besturingssysteem dat op switches en routers van het netwerkbedrijf kan draaien en wordt omschreven als een 'nieuwe en verbeterde' versie van Cisco's IOS-besturingssysteem. Een kwetsbaarheid in de web UI feature van IOS XE maakt het mogelijk voor een ongeauthenticeerde aanvaller om een account met 'privilege 15' aan te maken. Via dit account kan de aanvaller controle over het systeem krijgen. De Web Management User Interface is een systeembeheertool voor het uitrollen en beheer van het systeem en het 'verbeteren van de gebruikerservaring'. Via de web UI is het ook mogelijk om configuraties te maken en het systeem te monitoren en troubleshooten, zonder dat er ervaring met de command-line interface vereist is. Cisco merkt op dat de web UI niet vanaf het internet of onbetrouwbare netwerken toegankelijk zou moeten zijn. Via de kwetsbaarheid installeren de aanvallers een implant waarmee ze met het systeem kunnen communiceren. Deze implant kan een reboot van het systeem niet overleven. Dat geldt echter niet voor de lokale gebruikersaccounts die de aanvallers aanmaken. Naast de waarschuwing voor de kwetsbaarheid heeft Cisco ook Indicators of Compromise gegeven waarmee kan worden gecontroleerd of een systeem is gecompromitteerd. Er is nog geen update beschikbaar om het probleem te verhelpen. Cisco adviseert als mitigatie om de HTTP Server feature op alle systemen die vanaf het internet toegankelijk zijn uit te schakelen. Het netwerkbedrijf ontdekte de kwetsbaarheid en misbruik tijdens meerdere supportzaken. bron: https://www.security.nl

Techreuzen zoals Amazon, Facebook en Google hebben een vijandige overname van het internet gedaan en er is nog tot 2029 de tijd om hier weerstand tegen te bieden, daarna kan het onmogelijk worden, zo stelt Martin Andree, auteur van het boek Big Tech muss weg! en docent digitale media aan de Universiteit van Keulen. "Als we niet snel iets doen kan het de ondergang van onze democratie betekenen!", aldus Andree tegenover DW. De meeste online activiteit speelt zich af op een handvol websites, die zeventig procent van het internetverkeer ontvangen, zo voegt hij toe. De media-expert doet al vijftien jaar onderzoek naar de dominantie van Big Tech. Bedrijven zoals Amazon, Facebook en Google hebben deze positie weten te bemachtigen door misbruik te maken van de mazen in de wet en daarbij overheidsinstanties te misleiden, laat Andree weten. Dit leidt tot een 'feodalistisch systeem' van regelgeving, waarbij Big Tech de regels bepaalt voor handel op hun platforms of welke gebruikersgegevens ze kunnen verzamelen. Ook spelen de techreuzen door middel van 'strategische lobbytactieken' al jaren een kat-en-muisspel met de autoriteiten. Door hun marktmacht weet Big Tech gebruikers en adverteerders te trekken, wat weer voor allerlei geldstromen zorgt, waardoor ze concurrenten kunnen overnemen. De situatie kan nog wel worden veranderd, maar er is wel haast bij aldus Andree, die als uiterste datum 2029 noemt. Hij maakte een 'blauwdruk voor het bevrijden van het internet', waarbij onder andere wordt ingezet op open standaarden, aanpassen van wet- en regelgeving en ervoor zorgen dat techreuzen eerlijk belasting betalen. bron: https://www.security.nl

Aanvallers maken gebruik van gekaapte Teams- en Skype-accounts om malware te verspreiden, zo meldt antivirusbedrijf Trend Micro. Zodra de aanvallers toegang tot een account hebben gekregen liften ze mee op een bestaand gesprek om de andere partij een zogenaamde overeenkomst in pdf-formaat te sturen. In werkelijkheid gaat het om een VBS-script dat malware installeert. Om het slachtoffer te misleiden maken de aanvallers gebruik van een bestandsnaam die begint met 'naam.pdf' gevolgd door een aantal spaties en daarna 'www.skype.vbs'. Het doelwit zou daardoor kunnen denken dat het om een pdf-bestand gaat, maar het bestand in kwestie eindigt op .vbs. In het geval van de aanvallen via Teams wordt er gebruikgemaakt van een dubbele extensie die met .lnk begint, zoals 'Position_Guidelines.pdf.lnk'. Ook in dit geval wordt er via het lnk-bestand malware geïnstalleerd. De malware in kwestie, met de naam DarkGate, kan remote access software zoals AnyDesk installeren, het systeem voor cryptomining gebruiken, toetsaanslagen opslaan en informatie uit browsers stelen. Hoe de initieel gebruikte Teams- en Skype-accounts worden gekaapt is onbekend. Mogelijk is dit gedaan via gestolen inloggegevens die op internet te koop worden aangeboden of bij een eerdere aanval op de betreffende organisatie zijn buitgemaakt. bron: https://www.security.nl

Het klinkt raar, maar soms je router een paar centimeter verplaatsen kan soms ook wonderen verrichten. Hoe goed je modem ook is, er kunnen altijd zogenaamde "deathspots" zijn. Dit zijn delen in je huis waar je wifi niet goed werkt. Bedraad lost niet alleen dit probleem op, maar zorgt er ook voor dat je optimaal van je totale internetsnelheid kunt profiteren. Aan de andere kant is bedraad niet altijd mogelijk. Probeer het eens met je router iets anders neer te zetten of te verplaatsen. En anders is een Powerline een goede optie.

Nog twee jaar en dan stopt Microsoft de ondersteuning van Windows 10 Home en Pro. Het besturingssysteem zal vanaf 14 oktober 2025 geen beveiligingsupdates meer ontvangen. Organisaties zullen dan op Windows 11 moeten overstappen. Hoewel deze versie al beschikbaar is, is Windows 10 in veel bedrijfsomgevingen nog altijd heer en meester, zo stelt it-bedrijf Lansweeper op basis van onderzoek onder 33 miljoen Windowscomputers. Meer dan tachtig procent van de onderzochte systemen draait Windows 10, op afstand gevolgd door Windows Server en Windows 11 met respectievelijk 9,1 en 8,3 procent. Gebruikers van Windows 10 Home en Pro kunnen kosteloos naar Windows 11 upgraden als hun computer dit ondersteunt. Windows 11 stelt namelijk verschillende systeemeisen. Van de systemen die Lansweeper analyseerde bleek 67,5 procent over de minimaal vereiste processor te beschikken. Driekwart voldoet aan de eis voor een trusted platform module (TPM) 2.0. Bij de vorige meting in september 2022 draaide 5,7 procent van de Windowscomputers nog op Windows 11. Dat is nu gestegen naar 8,3 procent. "Dit is het eerste jaar dat we een aanzienlijke groei in de Windows 11-adoptie hebben gezien", aldus het it-bedrijf. De voornaamste reden hiervoor is dat nieuwe computers van Windows 11 zijn voorzien. Daarnaast is Windows 11 nu twee jaar beschikbaar, waardoor de overstap als minder riskant wordt ervaren, zo stelt Lansweeper. "Microsoft staat de komende twee jaar een grote uitdaging te wachten: het overtuigen van de enorme groep gebruikers om hun geliefde Windows 10 te verlaten en over te stappen op Windows 11", stelde Windowsvolger Ed Bott eerder dit jaar. Hij sluit niet uit dat Microsoft de deadline voor het besturingssysteem verlengt. Marktvorser IDC liet eind september weten dat het voor volgend jaar verwacht dat bedrijven met de migratie naar Windows 11 zullen beginnen. bron: https://www.security.nl

Google Chome krijgt een optie waardoor gebruikers eenvoudig hun browsegeschiedenis van de laatste vijftien minuten kunnen wissen, zo heeft Google aangekondigd. Gebruikers die nu hun geschiedenis willen wissen moeten hiervoor meerdere handelingen verrichten. Straks wordt het mogelijk om direct vanuit het hamburgermenu de optie 'clear browsing data' te kiezen. Standaard staat de laatste vijftien minuten geselecteerd, maar het lijkt erop dat er meer opties gekozen kunnen worden. Tevens zal Google het 'dark web report' aan het accountmenu van de Google App toevoegen. Via het dark web report laat Google weten wanneer het e-mailadres van de gebruiker op het 'dark web' is waargenomen en welke maatregelen er verder kunnen worden genomen. De feature is nu te vinden in de Androidversie van de Google App, iOS volgt binnenkort. Het dark web report was eerst alleen beschikbaar voor gebruikers met een Google One-abonnement en biedt de mogelijkheid om op allerlei data te scannen en te worden gewaarschuwd wanneer nieuwe resultaten beschikbaar zijn. De gratis versie, die ook in Nederland wordt aangeboden, controleert alleen op één e-mailadres. bron: https://www.security.nl

Onderzoekers van Cisco hebben in een mobiele M2M-router van Yifan meerdere kritieke kwetsbaarheden gevonden waardoor het apparaat op afstand is over te nemen, maar de fabrikant heeft nadat het drie maanden geleden werd ingelicht nog altijd geen beveiligingsupdates uitgebracht. Daarop heeft Cisco nu de details van de beveiligingslekken openbaar gemaakt. De YF325 is een machine-2-machine (M2M) mobiele router voorzien van wifi en simkaart. Volgens Yifan wordt het apparaat voor allerlei M2M-toepassingen gebruikt, zoals kassasystemen, watervoorziening, weermetingen, smart grid, industriële automatisering alsmede het Internet of Things (IoT). De router blijkt dertien kwetsbaarheden te bevatten. Het gaat onder andere om CVE-2023-24479, waardoor een aanvaller de inloggegevens van de beheerder kan aanpassen en vervolgens rootrechten kan krijgen. Daarnaast hebben de ontwikkelaars van de router debugcode achtergelaten met daarin inloggegevens waardoor het ook mogelijk is om als admin in te loggen. De impact van de meeste kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Yifan werd begin juli over de problemen ingelicht, maar heeft nog altijd nagelaten updates uit te brengen. bron: https://www.security.nl

Het populaire gamingplatform Steam verplicht vanaf 24 oktober tweefactorauthenticatie (2FA) voor ontwikkelaars die updates voor hun games willen uitbrengen. Aanleiding is dat recentelijk verschillende accounts van ontwikkelaars werden gekaapt en gebruikt voor het verspreiden van malware. Steam-ontwikkelaar Valve stelt dat minder dan honderd Steam-gebruikers de betreffende games hadden geïnstalleerd toen de malware werd toegevoegd en dat ze allemaal zijn gewaarschuwd. Als onderdeel van een beveiligingsupdate gaat Valve nu verplichten dat ontwikkelaars die updates voor hun games willen uitbrengen een telefoonnummer aan hun account toevoegen. Wanneer deze ontwikkelaars updates willen uitrollen moeten ze eerst een via sms ontvangen code invoeren. Daarnaast zal de 2FA-vereiste in de toekomst ook voor andere 'backend actions' gaan gelden, zo meldt PC Gamer. Volgens Valve is de beveiligingsmaatregel nodig om Steam-gebruikers te beschermen en ontwikkelaars voor gecompromitteerde accounts te kunnen waarschuwen. Het recente incident zou niet de enige poging zijn, waarbij ontwikkelaars het doelwit waren. Valve spreekt van een 'toename van geraffineerde aanvallen' gericht tegen ontwikkelaccounts. Wat de aanvallen geraffineerd maakt laat het bedrijf niet weten. bron: https://www.security.nl

De Belgische overheid heeft een extensie voor Google Chrome ontwikkeld die burgers voor phishing waarschuwt. Volgende week lanceert het Centrum voor Cybersecurity België (CCB) een nieuwe bewustzijnscampagne met de titel 'Phishing, ‘t zit in de details' die aandacht vraagt voor phishing en burgers oproept om de extensie te installeren (pdf). Vorig jaar wisten criminelen in België door middel van phishing veertig miljoen euro te stelen. Een jaar eerder ging het nog om een bedrag van 25 miljoen euro. De nieuwe publiekscampagne roept burgers op om altijd de url van een website te controleren voordat ze op een link klikken. Daarnaast wordt aangeraden om de Safeonweb browser-extensie via safeonweb.be te installeren. De extensie wordt aangeboden via de Chrome Web Store en bevindt zich nog in de bètafase. De Safeonweb-extensie beoordeelt websites op basis van verschillende factoren, zoals eigenaar en certificaatautoriteit. "Installeer de Safeonweb extensie in je browser. Deze zal je waarschuwen als je een onveilige website bezoekt en wanneer het gevaarlijk is om je gegevens in te voeren", zo laat Safeonweb weten. Of er ook nog een extensie voor Mozilla Firefox komt is onbekend. bron: https://www.security.nl