Captain Kirk

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Adobe Acrobat en Reader waardoor systemen in het ergste geval via een malafide pdf-bestand zijn over te nemen. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het beveiligingslek, aangeduid als CVE-2023-21608, werd op 10 januari van dit jaar door Adobe verholpen. Op dat moment werd er geen misbruik van de kwetsbaarheid gemaakt. Via de kritieke kwetsbaarheid kan een aanvaller door middel van een malafide pdf-bestand een use-after-free veroorzaken waardoor het uitvoeren van willekeurige code met rechten van de ingelogde gebruiker mogelijk is. In maart verscheen er vervolgens exploitcode voor het probleem online. Inmiddels wordt het beveiligingslek actief bij aanvallen ingezet, aldus het CISA. Details over de aanvallen zijn niet gegeven. Het CISA heeft Amerikaanse overheidsinstanties opgedragen om de updates van Adobe voor 17 november te installeren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Citrix NetScalers maakt het mogelijk voor ongeauthenticeerde aanvallers om gevoelige informatie te stelen. Citrix heeft beveiligingsupdates beschikbaar gemaakt en roept organisaties op om die zo snel mogelijk te installeren. Volgens de softwareleverancier is CVE-2023-4966 een 'buffer-gerelateerde' kwetsbaarheid waardoor het mogelijk is om gevoelige informatie van NetScaler ADC en NetScaler Gateway te achterhalen. Verdere details over het soort informatie worden niet gegeven. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. bron: https://www.security.nl

Een brede coalitie van beveiligings- en privacyexperts die werkzaam zijn voor securitybedrijven, antivirusleveranciers en burgerrechtenbewegingen, maken zich zorgen over de voorgestelde Europese Cyber Resilience Act (CRA), die softwareleveranciers verplicht om actief aangevallen zerodaylekken binnen 24 uur na ontdekking bij overheidsinstanties te melden. Die zouden deze informatie voor surveillance en inlichtingendoeleinden kunnen misbruiken. De CRA moet voor veiligere soft- en hardware zorgen. Artikel 11 van het wetsvoorstel introduceert een meldplicht voor zerodays, die bij de autoriteiten moeten worden gerapporteerd. De experts zijn bang dat dit allerlei risico's met zich meebrengt, omdat de betreffende kwetsbaarheden dan nog niet zijn verholpen. "Dit houdt in dat tientallen overheidsinstanties toegang krijgen tot een database met software die ongepatchte kwetsbaarheden bevat", aldus de experts in een open brief (pdf). Dit brengt allerlei risico's met zich mee, zoals het gebruik van deze zerodays door overheden voor surveillance en het verkrijgen van inlichtingen. Daarnaast wordt de database een doelwit voor aanvallers. Verder vrezen de experts dat het voortijdig openbaar maken van kwetsbaarheden de samenwerking tussen beveiligingsonderzoekers en softwareleveranciers verstoort en er zelfs voor kan zorgen dat onderzoekers geen kwetsbaarheden meer zullen melden. De experts die de open brief ondertekenden vinden dat artikel 11 volledig moet worden verwijderd, of dat die zo wordt aangepast dat overheidsinstanties gerapporteerde zerodays niet voor inlichtingen, surveillance of andere offensieve doeleinden mogen gebruiken. Verder moeten de kwetsbaarheden alleen worden gemeld als er updates beschikbaar zijn. Daarnaast moet de meldplicht niet gaan gelden voor beveiligingslekken die door onderzoekers in het kader van 'good faith security research' zijn gemeld. De brief is onder andere ondertekend door medewerkers van ESET, Rapid7, Bitdefender, Electronic Frontier Foundation, Trend Micro, Google, Citizen Lab, TomTom, HackerOne, Panasonic, KU Leuven, Black Hat en DEF CON en het Stanford University Cyber Policy Center. bron: https://www.security.nl

Google waarschuwt gebruikers van Chrome voor een kritieke kwetsbaarheid in een beveiligingsmaatregel van de browser waardoor aanvallers in het ergste geval het systeem van gebruikers kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website is voldoende. Er is geen verdere interactie van gebruikers vereist. Google heeft updates uitgebracht om het probleem te verhelpen. Het beveiligingslek (CVE-2023-5218) bevindt zich in Site Isolation, een onderdeel van de browser dat ervoor zorgt dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. Dit zorgt voor een betere afscherming tussen websites dan de bestaande Chrome-sandbox kan bieden, aldus Google. Ook helpt het bij het tegengaan van Spectre-achtige aanvallen. Doordat dat van andere websites over het algemeen niet in hetzelfde proces worden geladen zou er veel minder data voor de aanvaller beschikbaar zijn. De kwetsbaarheid in Site Isolation kan tot een use-after-free leiden waardoor een aanvaller code op het systeem kan uitvoeren. Google geeft geen verdere details over het beveiligingslek. Het probleem werd door een externe onderzoeker gerapporteerd. De beloning die Google hiervoor zal uitkeren is ook nog niet bekendgemaakt. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 118.0.5993.70/.71 is beschikbaar voor Windows. Voor macOS en Linux verscheen versie 118.0.5993.70. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Microsoft gaat VBScript in Windows volledig verwijderen, zo heeft het techbedrijf aangekondigd. Een reden wordt niet gegeven, maar een aantal jaren geleden liet Microsoft nog weten dat veel aanvallen op gebruikers plaatsvinden door middel van VBScript. VBScript is een scriptingtaal waar websites en webapplicaties gebruik van kunnen maken. Aanvallers maken er echter ook op grote schaal gebruik van door malafide VBScript-bestanden te versturen die de uiteindelijke malware op het systeem downloaden. Vanwege dergelijke aanvallen besloot Microsoft eerder al om de scriptingtaal in Internet Explorer 11 uit te schakelen, wat voor een "veiligere ervaring" moest zorgen. Nu meldt het techbedrijf dat het van plan is om VBScript volledig in Windows uit te faseren. Daarbij zal de scriptingtaal eerst nog als 'feature on demand' beschikbaar zijn, zodat organisaties zich op het einde verdwijnen ervan kunnen voorbereiden. In welke Windowsversies VBScript zal verdwijnen en op welke termijn is nog niet bekend. bron: https://www.security.nl

Tijdens de patchdinsdag van oktober heeft Microsoft 103 kwetsbaarheden in de eigen producten verholpen, waaronder twee actief aangevallen zerodaylekken in WordPad en Skype for Business. Via de kwetsbaarheid in WordPad (CVE-2023-36563) kan een aanvaller NTLM-hashes van gebruikersaccounts stelen, waarmee het systeem vervolgens kan worden overgenomen. Microsoft beschrijft hiervoor twee manieren. De eerste methode is dat een aanvaller al toegang tot een systeem heeft, om vervolgens misbruik van de kwetsbaarheid te maken en daarna volledige controle over het systeem te krijgen. De twee manier is de gebruiker een malafide bestand laten openen. Details over de aanvallen worden niet door Microsoft gegeven, behalve dat het techbedrijf de aanvallen zelf ontdekte. De tweede zeroday (CVE-2023-41763) bevindt zich in Skype for Business en maakt het mogelijk voor een aanvaller om gevoelige informatie te achterhalen waarmee er toegang tot interne netwerken kan worden verkregen. Hiervoor zou de aanvaller een speciaal geprepareerde netwerk call naar een Skype for Business-server moeten maken, die dan ip-adressen of poortnummers aan de aanvaller verstrekt. "In sommige gevallen kan de achterhaalde gevoelige informatie toegang tot interne netwerken geven", aldus Microsoft. Computerworm Daarnaast is er een kwetsbaarheid in Microsoft Message Queuing (CVE-2023-35349) verholpen waardoor een ongeauthenticeerde aanvaller op afstand code op systemen kan uitvoeren. Interactie van gebruikers is niet vereist, wat inhoudt dat een computerworm zich hierdoor zou kunnen verspreiden. Om systemen aan te vallen moet wel de Windows message queuing service ingeschakeld zijn, wat standaard niet het geval is. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een andere kwetsbaarheid (CVE-2023-36434) met een impactscore van 9.8 waarvoor Microsoft een update uitbracht is aanwezig in Windows IIS Server en maakt het mogelijk voor aanvallers om door middel van een bruteforce-aanval toegang tot het systeem te krijgen. De beveiligingsupdates van deze maand zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Een zerodaylek in het HTTP/2-protocol is afgelopen augustus gebruikt voor het uitvoeren van een record ddos-aanval van 398 miljoen requests per seconde (rps), zo hebben Amazon Web Services, Cloudflare en Google vandaag. bekendgemaakt. De aanval die door Google werd gestopt was 7,5 keer groter dan de recordaanval die het eind vorig jaar blokkeerde. De zeroday-aanvallen waar de drie genoemde partijen mee te maken kregen maakten misbruik van een feature van het HTTP/2-protocol. Dit protocol is essentieel voor de werking van het internet en websites. Een van de features die het biedt betreft de mogelijkheid voor clients om door middel van een RST_STREAM frame aan een webserver door te geven dat een vorige stream moet worden geannuleerd. Er is hiervoor geen coördinatie tussen de server en client vereist. De client kan dit eenzijdig doen. Bij de "Rapid Reset" aanval, zoals de aanval wordt genoemd, stuurt de aanvaller een request frame naar de server, en reset dan het verzoek. Het verzoek wordt geannuleerd, maar de HTTP/2-verbinding blijft openstaan. Het aangevallen systeem zal elk verzoek verwerken, en voor deze verzoeken, die dan worden gereset of geannuleerd door de aanvaller, logs genereren. Een aanvaller kan hier misbruik van maken door op grote schaal HTTP/2-requests te versturen, die te annuleren, om vervolgens weer opnieuw te versturen. Dit kan worden gedaan door een vrij klein botnet van zo'n 20.000 machines, die zo de aangevallen webserver volledig kunnen overbelasten. Volgens de drie techbedrijven kunnen alle webapplicaties, services en API's op een server of proxy die via HTTP/2 communiceren kwetsbaar zijn. Na het stoppen van de aanval deelde Google informatie over de gebruikte kwetsbaarheid (CVE-2023-44487) met andere cloudproviders en softwarepartijen die de HTTP/2-protocol stack implementeren. Dat leidde tot verdere mitigaties en patches. "Alle providers die over HTTP/2-services beschikken moeten controleren of ze kwetsbaar zijn", aldus Google. bron: https://www.security.nl

Google heeft besloten om passkeys de standaard inlogmethode voor persoonlijke Google-accounts te maken, zo heeft het techbedrijf aangekondigd. De volgende keer dat gebruikers op hun Google-account inloggen verschijnt er een melding om passkeys aan te gaan maken en gebruiken. Google wil hiermee naar eigen zeggen het wachtwoord overbodig maken. Gebruikers krijgen wel de optie om passkeys uit te schakelen en nog met een wachtwoord in te loggen. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. Critici van passkeys waarschuwen al lange tijd voor het risico van vendor lock-in, waarbij gebruikers zijn gebonden aan het platform waarop de passkey wordt gegenereerd. bron: https://www.security.nl

Een kwetsbaarheid in een library voor het verwerken van cue sheets maakt het mogelijk voor een aanvaller om willekeurige code op Linux-desktops uit te voeren. Daarvoor waarschuwt het GitHub Security Lab, dat het beveiligingslek ontdekte. Het probleem is aanwezig in libcue, een library voor het verwerken van cue sheets. Cue sheets bevatten informatie over de tracks op een cd. Ze worden vaak in combinatie met het Flac-bestandsformaat gebruikt. Verschillende programma's maken gebruik van de library, waaronder tracker-miners, een applicatie die standaard onderdeel van Gnome is, de standaard desktopomgeving voor veel Linux-distributies. Tracker-miners indexeert bestanden in de home directory, zodat ze eenvoudig te vinden en doorzoeken zijn. De index wordt automatisch bijgewerkt als er een bestand wordt toegevoegd of aangepast, bijvoorbeeld in de downloads directory. Daardoor kunnen Linux-gebruikers door het klikken op een verkeerde link gecompromitteerd worden, aldus Kevin Backhouse van GitHub. Wanneer een Gnome-gebruiker een cue sheet downloadt, wordt die standaard in de downloads directory geplaatst. Vervolgens wordt het gedownloade bestand automatisch door tracker-miners gescand. Omdat het om een cue sheet gaat gebruikt tracker-miners libcue om het bestand te verwerken. De malafide cue sheet bevat een exploit die vervolgens de kwetsbaarheid in libcue gebruikt om code op het systeem van de gebruiker uit te voeren. Backhouse omschrijft het dan ook als '1-click remote code execution'. "Soms kan een kwetsbaarheid in een ogenschijnlijk onbeduidende library een grote impact hebben. Vanwege de manier waarop het wordt gebruikt door tracker-miners is deze kwetsbaarheid in libcue een 1-click remote code execution. Als je van Gnome gebruikmaakt installeer dan vandaag nog de update!", laat Backhouse verder weten. GitHub heeft nog geen proof-of-concept exploit beschikbaar gemaakt, zodat gebruikers de tijd hebben om hun distributies te updaten. De kwetsbaarheid wordt aangeduid als CVE-2023-43641 en heeft op een schaal van 1 tot en met 10 een impactscore van 8.8. bron: https://www.security.nl

De afgelopen weken zijn duizenden WordPress-sites gecompromitteerd via een kwetsbaarheid in de tagDiv-plug-in waar de websites gebruik van maken, zo stelt securitybedrijf Sucuri. De plug-in wordt gebruikt in combinatie met het Newspaper theme van tagDiv waarmee beheerders eenvoudig artikelen en blogpostings op hun websites kunnen publiceren. TagDiv claimt dat het Newspaper theme door 135.000 sites wordt gebruikt. Halverwege september werden details openbaar gemaakt van een kwetsbaarheid in de plug-in (CVE-2023-3169) waardoor ongeauthenticeerde stored cross-site scripting mogelijk is. Een aanvaller kan daardoor malafide scripts aan kwetsbare WordPress-sites toevoegen waarmee de cookies van de sitebeheerder worden gestolen. Met deze cookies kunnen de aanvallers vervolgens op de website inloggen. De aanvallers gebruiken hun toegang vaak om verdere malafide code aan de gecompromitteerde WordPress-site toe te voegen die bezoekers naar allerlei scamsites doorstuurt. Deze malafide code werd vorige maand op zeventienduizend WordPress-sites aangetroffen. Meer dan negenduizend van deze sites waren via het lek in de tagDiv-plug-in gecompromitteerd, aldus Sucuri. WordPress-sites die van de plug-in gebruikmaken wordt aangeraden om te updaten naar versie 4.2 waarin het probleem is verholpen. bron: https://www.security.nl

Criminelen maken gebruik van een kwetsbaarheid in Citrix NetScalers om een script op de apparaten te installeren waarmee ze inloggegevens van gebruikers kunnen stelen, zo waarschuwt IBM Security X-Force, dat stelt dat honderden NetScalers getroffen zijn. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de Citrix ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt. Via het beveiligingslek installeren de aanvallers een webshell, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Volgens onderzoekers waren op het moment van de aanvallen 31.000 Citrix NetScalers kwetsbaar voor CVE-2023-3519. In augustus werd gemeld dat ruim 1800 NetScalers nog met een webshell besmet waren. In september ontdekte X-Force een campagne waarbij aanvallers het beveiligingslek misbruiken om een script op de inlogpagina van kwetsbare apparaten te installeren dat de inloggegevens van gebruikers steelt. De onderzoekers van IBM wisten de command & control-server van de aanvallers te identificeren. Aan de hand daarvan werden bijna zeshonderd ip-adressen van getroffen NetScalers gevonden waarvan de inlogpagina was aangepast. Het gaat vooral om NetScalers in Europa en de Verenigde Staten. De eerste aangepaste inlogpagina's dateren van 11 augustus. bron: https://www.security.nl

Nog twee jaar en dan stopt Microsoft de ondersteuning van Windows 10 Home en Pro. Het besturingssysteem zal vanaf 14 oktober 2025 geen beveiligingsupdates meer ontvangen. Organisaties zullen dan op Windows 11 moeten overstappen. Hoewel deze versie al beschikbaar is, is Windows 10 in veel bedrijfsomgevingen nog altijd heer en meester, zo stelt it-bedrijf Lansweeper op basis van onderzoek onder 33 miljoen Windowscomputers. Meer dan tachtig procent van de onderzochte systemen draait Windows 10, op afstand gevolgd door Windows Server en Windows 11 met respectievelijk 9,1 en 8,3 procent. Gebruikers van Windows 10 Home en Pro kunnen kosteloos naar Windows 11 upgraden als hun computer dit ondersteunt. Windows 11 stelt namelijk verschillende systeemeisen. Van de systemen die Lansweeper analyseerde bleek 67,5 procent over de minimaal vereiste processor te beschikken. Driekwart voldoet aan de eis voor een trusted platform module (TPM) 2.0. Bij de vorige meting in september 2022 draaide 5,7 procent van de Windowscomputers nog op Windows 11. Dat is nu gestegen naar 8,3 procent. "Dit is het eerste jaar dat we een aanzienlijke groei in de Windows 11-adoptie hebben gezien", aldus het it-bedrijf. De voornaamste reden hiervoor is dat nieuwe computers van Windows 11 zijn voorzien. Daarnaast is Windows 11 nu twee jaar beschikbaar, waardoor de overstap als minder riskant wordt ervaren, zo stelt Lansweeper. "Microsoft staat de komende twee jaar een grote uitdaging te wachten: het overtuigen van de enorme groep gebruikers om hun geliefde Windows 10 te verlaten en over te stappen op Windows 11", stelde Windowsvolger Ed Bott eerder dit jaar. Hij sluit niet uit dat Microsoft de deadline voor het besturingssysteem verlengt. Marktvorser IDC liet eind september weten dat het voor volgend jaar verwacht dat bedrijven met de migratie naar Windows 11 zullen beginnen. bron: https://www.security.nl

Ubuntu heeft beveiligingsupdates uitgebracht voor dertien kwetsbaarheden in teksteditor Vim waardoor een aanvaller in het ergste geval willekeurige code op het systeem van gebruikers kan uitvoeren of een denial of service veroorzaken. Vim wordt omschreven als een 'verbeterde kloon' van de populaire teksteditor vi. Het programma bevat meerdere kwetsbaarheden (CVE-2022-3235, CVE-2022-3278, CVE-2022-3297, CVE-2022-3491, CVE-2022-3352 en CVE-2022-4292) waardoor een aanvaller willekeurige code op het systeem van de gebruiker kan uitvoeren als die een speciaal geprepareerd bestand via Vim opent. Het probleem wordt veroorzaakt doordat Vim bij het openen van deze bestanden niet goed omgaat met geheugen. Ubuntu adviseert gebruikers om te updaten naar versies 22.04, 20.04, 18.04 en 14.04. bron: https://www.security.nl

Soms kan de oorzaak ook minder diep gezocht worden. Is je netwerkkabel nog wel ok. Een brak stekkertje kan ook voor dit soort problemen zorgen.

Chipgigant Qualcomm waarschuwt eigenaren van smartphones voor drie actief aangevallen zerodaylekken die door onderzoekers van Google zijn ontdekt. De beveiligingslekken zijn aangeduid als CVE-2023-33107, CVE-2022-22071 en CVE-2023-33063. Verdere details zijn nog niet openbaar gemaakt, behalve dat patches voor de kwetsbaarheden in de Adreno GPU- en Compute DSP-drivers aan fabrikanten zijn aangeboden. Tevens heeft Qualcomm smartphonefabrikanten aangeraden om de beveiligingsupdates zo snel mogelijk onder hun gebruikers uit te rollen. Details over de zerodays worden in december bekendgemaakt. De kwetsbaarheden werden gevonden door onderzoekers van Google Project Zero en Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. De onderzoekers vonden ook nog een vierde actief aangevallen kwetsbaarheid in de software van ARM, aangeduid als CVE-2022-22071. Voor dit beveiligingslek verscheen vorig jaar mei al een update. bron: https://www.security.nl

Vanaf februari volgend jaar gaan er nieuwe eisen gelden voor partijen die bulkmail naar Gmail-gebruikers sturen. Zo moeten 'bulk senders' vanaf deze datum hun e-mail authenticeren door gebruik te maken van e-mailstandaarden SPF of DKIM. Daarnaast moeten de bulkmails zijn voorzien van een afmeldlink waarmee gebruikers zich via één klik voor verdere e-mails van deze afzender kunnen afmelden. Deze afmeldverzoeken moeten binnen twee dagen zijn verwerkt. Als derde maatregel zal Gmail een bepaald spamniveau gaan hanteren. Bulk senders moeten onder dit niveau blijven, anders zullen hun berichten als spam worden aangemerkt. Naast Google gaat ook Yahoo strengere eisen aan bulkmail stellen. Bulk senders zijn in de definitie van Google partijen die meer dan vijfduizend berichten in één dag naar Gmail-gebruikers sturen. bron: https://www.security.nl

Mozilla is begonnen om Encrypted Client Hello (ECH) onder Firefox-gebruikers uit te rollen, dat de TLS-handshake van gebruikers versleutelt en zo voor een betere privacybescherming moet zorgen. De meeste websites maken tegenwoordig gebruik van een versleutelde verbinding om het verkeer van en naar bezoekers te beveiligen. Er is echter een probleem, en dat is dat het eerste 'hello' bericht of de TLS-handshake onversleuteld plaatsvindt en zo informatie prijsgeeft over bijvoorbeeld de website die wordt bezocht. ECH zorgt ervoor dat het eerste hello-bericht naar een webserver wordt versleuteld. Dit maakt het volgens Mozilla lastiger voor derde partijen om te identificeren welke websites iemand bezoekt. Om dit te doen maakt ECH gebruik van DNS over HTTPS (DoH), waarbij het public key ophaalt die voor het versleutelen van het bericht wordt gebruikt en ervoor zorgt dat de webserver de enige is die het bericht kan ontsleutelen. Volgens Mozilla worden gebruiker zo dubbel beschermd. DoH versleutelt de DNS-verzoeken, terwijl ECH de eerste communicatie tussen gebruiker en website beschermt. bron: https://www.security.nl

Na anderhalf jaar is er een nieuwe versie van de encryptiesoftware VeraCrypt verschenen, die Windows XP, 7 en 8.1 niet meer ondersteunt, geen TrueCrypt-containers meer kan mounten en ook support voor verschillende oude encryptiealgoritmes heeft laten vallen. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. VeraCrypt versie 1.25.9 is de laatste versie van de software en dateert van vorig jaar februari. De software wordt door Mounir Idrassi ontwikkeld die dit naast een betaalde baan erbij doet. Idrassi heeft nu VeraCrypt 1.26.7 gelanceerd. Met name de Windowsversie bevat een groot aantal bugfixes en aanpassingen, onder andere voor Windows 11. Daarnaast is Windows 10 nu de minimum ondersteunde Windowsversie. Verder ondersteunt VeraCrypt nu ook EMV banking smart cards als keyfiles voor non-system volumes. bron: https://www.security.nl

De criminelen achter de LockBit-ransomware, die eerder de KNVB succesvol afpersten, claimen de aanval op wellnesscentrum Thermae 2000 in het Limburgse Valkenburg. Het bedrijf werd naar eigen zeggen op 5 september slachtoffer van een 'geavanceerde ransomware-aanval'. Daarop werden systemen uitgeschakeld en uiteindelijk gecontroleerde back-ups teruggeplaatst. "Op dit moment is het nog niet duidelijk tot welke gegevens de aanvallers toegang hebben gehad. Wij kunnen dan ook niet uitsluiten dat uw persoonsgegevens inzichtelijk zijn geweest. We hebben daarom melding gemaakt van dit incident bij de Autoriteit Persoonsgegevens en contact opgenomen met de politie", zo laat het wellnesscentrum weten. De criminelen achter de LockBit-ransomware hebben nu de naam van Thermae 2000 op hun eigen website geplaatst en dreigen gestolen gegevens openbaar te maken als er geen losgeld wordt betaald. Om wat voor gegevens het gaat is onbekend. LockBit, waarvan de eerste versie begin 2020 verscheen, wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Naast het versleutelen van gegevens voor losgeld wordt er bij LockBit-aanvallen vaak ook data gestolen. De groep dreigt deze data op de eigen website openbaar te maken als slachtoffers niet betalen. Om slachtoffers onder druk te zetten wordt eerst de naam vermeld, gecombineerd met een aflopende timer. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in WS_FTP voor het overnemen van kwetsbare servers, zo waarschuwt securitybedrijf Rapid7. Het WinSock File Transfer Protocol (WS_FTP) is een protocol voor het veilig uitwisselen van bestanden. Het bestaat uit een ftp-client en een ftp-server en zou wereldwijd meer dan veertig miljoen gebruikers hebben. Een kritieke .NET deserialization kwetsbaarheid in de Ad Hoc Transfer-module van de ftp-server maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige commando's op de ftp-server uit te voeren. De impact van dit beveiligingslek, aangeduid als CVE-2023-40044, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Op 27 september kwam softwareontwikkelaar Progress met beveiligingsupdates voor de kwetsbaarheid, die was gevonden door onderzoekers van Assetnote. Op 1 oktober maakte Assetnote details over het beveiligingslek openbaar. Op 30 september zag Rapid7 echter al de eerste aanvallen bij klanten plaatsvinden. Iets wat het vervolgens ook op X meldde. Organisaties die de updates nog niet hebben geïnstalleerd worden aangeraden dit alsnog te doen. bron: https://www.security.nl

De makers van Thunderbird waarschuwen voor ransomware die zich als de e-mailclient voordoet en via online advertenties wordt verspreid. Het gaat om de criminelen achter de Snatch-ransomware die hiervoor betaalde advertenties op Google.com gebruiken. De advertenties lijken te wijzen naar populaire software zoals Microsoft Teams, Adobe Reader, Thunderbird en Discord. In werkelijkheid gaat het om ransomware. Mozilla zegt dat het bezig is om de websites die de malware aanbieden offline te halen. "Maar aangezien ze in Rusland worden gehost zijn takedowns lastig en vaak niet effectief. Wat je in de tussentijd kunt doen is Thunderbird via een vertrouwde locatie zoals Thunderbird.net downloaden of via de software store van je Linux-distributie", aldus de ontwikkelaars. Die wijzen ook naar deze uitleg hoe gebruikers hun downloads van Thunderbird kunnen verifiëren. bron: https://www.security.nl

De makers van e-mailserversoftware Exim hebben beveiligingsupdates uitgebracht voor verschillende kwetsbaarheden die vorig jaar al werden gerapporteerd en het mogelijk maken om in het ergste geval kwetsbare mailservers op afstand over te nemen en toegang tot gevoelige gegevens maken, zo waarschuwt onder andere het Nationaal Cyber Security Centrum (NCSC). Meer dan 253.000 mailservers maken gebruik van Exim. Een kritieke kwetsbaarheid (CVE-2023-42115) die zich in de smtp-service van Exim bevindt en wordt veroorzaakt door onvoldoende validatie van gebruikersinvoer maakt het mogelijk voor een aanvaller om willekeurige code op de server uit te voeren. CVE-2023-42115 is onderdeel van in totaal zes kwetsbaarheden die vorig jaar door het Zero Day Initiative (ZDI) aan de Exim-ontwikkelaars werden gerapporteerd. Na het vorige week openbaar maken van de kwetsbaarheden reageerden de Exim-ontwikkelaars dat ZDI geen werkbare informatie had gegeven, wat weer tot een reactie van het securitybedrijf leidde. Drie van de zes gerapporteerde kwetsbaarheden zijn nu verholpen in Exim 4.96.1 en 4.97. Versie 4.96.1 is te downloaden via de ftp-server van Exim. bron: https://www.security.nl

Criminelen maken actief misbruik van een kritieke kwetsbaarheid in TeamCity-servers voor het uitvoeren van ransomware-aanvallen. Een update is sinds 21 september beschikbaar, maar op internet zijn nog zeker dertienhonderd kwetsbare servers te vinden, waaronder meer dan zestig in Nederland. Dat laat de Shadowserver Foundation weten. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Organisaties kunnen het platform op een eigen server hosten of hiervoor een in de cloud gehoste oplossing gebruiken. Volgens zoekmachine Shodan zijn meer dan drieduizend on-premise TeamCity-servers op internet te vinden. Een kwetsbaarheid in TeamCity, aangeduid als CVE-2023-42793, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige code op de server uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Omdat deze kwetsbaarheid geen geldig account op de aangevallen server vereist en eenvoudig is te misbruiken, is het waarschijnlijk dat dit beveiligingslek actief zal worden misbruikt", zo waarschuwde Stefan Schiller van securitybedrijf Sonar Source eind september. Sonar Source ontdekte het beveiligingslek en rapporteerde dit aan JetBrains. Misbruik vindt inmiddels plaats, zo laten verschillende partijen onder andere via X weten. Zo meldt securitybedrijf Prodaft dat veel bekende ransomwaregroepen CVE-2023-42793 inmiddels in hun 'workflow' toepassen. Organisaties worden dan ook opgeroepen om hun servers te patchen. bron: https://www.security.nl

De makers van e-mailserversoftware Exim en het Zero Day Initiative (ZDI) ruziën over het oppakken en oplossen van gevonden kwetsbaarheden. Exim is an open source mail transfer agent waar 253.000 servers op internet gebruik van maken. Vorige week maakte het ZDI verschillende kwetsbaarheden in de software openbaar waardoor een aanvaller in het ergste geval de server kan overnemen. Updates zijn echter nog niet beschikbaar. Het ZDI is onderdeel van antivirusbedrijf Trend Micro en beloont onderzoekers van het melden van onbekende kwetsbaarheden en doet hier ook zelf onderzoek naar. Vervolgens wordt bescherming tegen het beveiligingslek toegevoegd aan de producten van Trend Micro en de betreffende softwareontwikkelaar en leverancier gewaarschuwd, zodat die updates kan ontwikkelen. Voor het ontwikkelen van de patches stelt het ZDI een deadline. Afhankelijk van de impact moeten de updates binnen een bepaalde tijd zijn ontwikkeld, anders maakt het securitybedrijf de details openbaar. Vorige week maakte het ZDI in totaal zes kwetsbaarheden in Exim openbaar waarvoor nog geen update beschikbaar is, wat Security.NL afgelopen vrijdag al meldde. Het gaat onder andere om een kritieke kwetsbaarheid waardoor remote code execution op Exim-mailservers mogelijk is. Het ZDI liet weten dat het probleem vorig jaar juni al was gemeld. Op 25 april van dit jaar vroegen de onderzoekers om een update, waarop Exim vroeg om de bugmelding opnieuw op te sturen, wat op 10 mei werd gedaan. Op 25 september vroeg het ZDI wederom of er al een update beschikbaar was en het van plan was om de kwetsbaarheid openbaar te maken, wat vorige week ook gebeurde. Op de oss-sec mailinglist bevestigt Exim-maintainer Heiko Schlittermann dat het ZDI vorig jaar juni de bugmeldingen indiende. "We vroegen om details, maar kregen geen antwoorden waar we iets mee konden", voegt hij toe. Nadat het ZDI afgelopen mei contact opnam werd er een bugtracker voor drie van de zes problemen gestart. Inmiddels zijn drie van de beveiligingslekken verholpen, maar zijn de updates voor deze problemen nog niet openbaar gemaakt. Wat de drie overige problemen betreft zijn die volgens Schlittermann discutabel of ontbreekt de informatie om de kwetsbaarheid te verhelpen. In een reactie op het verwijt van de Exim-maintainer stelt het ZDI dat het de ontwikkelaars meerdere keren over de bugmeldingen heeft benaderd, zonder dat er nauwelijks enige vordering bleek te zijn gemaakt. "Nadat onze deadline met meerdere maanden was overschreden hebben we de maintainer ingelicht met de intentie om deze kwetsbaarheden openbaar te maken, waarbij we kregen te horen dat we moesten doen wat we niet konden laten", aldus het ZDI. Op het moment van schrijven is Exim versie 4.96 de meest recente versie, maar updates zouden elk moment kunnen verschijnen. bron: https://www.security.nl

Microsoft Defender, de in Windows ingebouwde gratis virusscanner, beschouwt Tor Browser als een Trojaans paard waardoor gebruikers geen verbinding met het anonimiseringsnetwerk kunnen maken. Volgens Microsofts antivirusprogramma gaat het om een malware-exemplaar genaamd 'Win32/Malgent!MTB'. Vanwege deze detectie wordt het bestand Tor.exe in quarantaine geplaatst en kan de browser niet meer worden gestart, zo melden gebruikers op Reddit. Gebruikers stellen als oplossing om de executable van een oudere versie terug te plaatsen. Daarin bevinden zich echter kritieke beveiligingslekken. De nieuwste versie van Tor Browser verscheen op 29 september. Sindsdien hebben gebruikers met de waarschuwing van de virusscanner te maken. Het Tor Project laat op de eigen website weten dat sommige antivirussoftware waarschuwingen geeft als Tor Browser wordt gestart en dat dit false positives zijn waar gebruikers zich geen zorgen over hoeven te maken. bron: https://www.security.nl