Captain Kirk

De kwetsbaarheid in libvpx, die als zeroday is gebruikt om gebruikers van Google Chrome met spyware te infecteren, is nu ook verholpen in Microsoft Edge en Thunderbird. Libvpx is een door Google en de Alliance for Open Media ontwikkelde videocodec-library. Bij het verwerken van een malafide VP8-mediastream kan er een heap buffer overflow ontstaan waardoor een aanvaller code binnen de browser of e-mailclient kan uitvoeren. Om te worden aangevallen zou een slachtoffer een malafide of gecompromitteerde website moeten bezoeken. Google kwam op 27 september met een update voor Chrome en liet weten dat de kwetsbaarheid door een niet nader genoemde commerciële spywareleverancier was ingezet. Libvpx wordt ook door allerlei andere software gebruikt. Op 28 september volgde Mozilla met updates voor verschillende Firefox-versies. Nu is de kwetsbaarheid (CVE-2023-5217) ook verholpen in Edge en Thunderbird (115.3.1). Updaten zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

In de populaire e-mailserversoftware Exim bevindt zich een kritieke kwetsbaarheid die remote code execution mogelijk maakt, waardoor een ongeauthenticeerde aanvaller de server kan overnemen, en een beveiligingsupdate is nog niet beschikbaar. Dat stelt securitybedrijf ZDI, dat Exim naar eigen zeggen vorig jaar juni over het probleem inlichtte. De kwetsbaarheid, aangeduid als CVE-2023-42115, bevindt zich in de smtp-service en wordt veroorzaakt door onvoldoende validatie van gebruikersinvoer. Een aanvaller kan hierdoor een 'out-of-bounds write' veroorzaken die het uitvoeren van willekeurige code mogelijk maakt. De impact van het beveligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Verdere details zijn niet door het ZDI gegeven. De onderzoekers van het bedrijf stellen dat ze Exim vorig jaar juni over de kwetsbaarheid informeerden. Op 25 april van dit jaar vroegen de onderzoekers om een update, waarop Exim vroeg om de bugmelding opnieuw op te sturen, wat op 10 mei werd gedaan. Op 25 september vroeg het ZDI wederom of er al een update beschikbaar was en het van plan was om de kwetsbaarheid openbaar te maken. Gisteren werd het bestaan van het beveiligingslek openbaar gemaakt, hoewel het ZDI geen technische details of een proof-of-concept exploit heeft gegeven waarmee misbruik mogelijk is. Aangezien er geen beveiligingsupdate beschikbaar is adviseert het securitybedrijf om de 'interactie met de applicatie' te beperken. In het verleden zijn kwetsbaarheden in Exim regelmatig gebruikt om mailservers mee aan te vallen. bron: https://www.security.nl

Mozilla heeft een noodpatch uitgebracht voor een actief aangevallen zerodaylek in libvpx, waar ook Firefox gebruik van maakt. De kwetsbaarheid is actief gebruikt voor het infecteren van Google Chrome-gebruikers met spyware, zo maakte Google gisteren bekend. Het techbedrijf kwam woensdag met een update voor Chrome. Libvpx, een door Google en de Alliance for Open Media ontwikkelde videocodec-library. Bij het verwerken van een malafide VP8-mediastream kan er een heap buffer overflow ontstaan waardoor een aanvaller code binnen de browser kan uitvoeren. Om te worden aangevallen zou een slachtoffer een malafide of gecompromitteerde website moeten bezoeken. Naast Chrome maakt ook Firefox gebruik van libvpx. In het geval van Google Chrome was de kwetsbaarheid als 'high' aangemerkt, waardoor alleen het uitvoeren van code binnen de browser mogelijk is. In het geval van Mozilla gaat het om een kritieke kwetsbaarheid waardoor een aanvaller code op het onderliggende systeem kan uitvoeren. Om de kwetsbaarheid te verhelpen zijn nu Mozilla Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus for Android 118.1 en Firefox for Android 118.1 verschenen. bron: https://www.security.nl

Er zitten weinig verschillen in virusscanners voor Windows 10, zo blijkt uit de nieuwste test van het Duitse AV-Test Institute. Van de zestien geteste antivirusprogramma's voor eindgebruikers worden er twaalf als 'top product' bestempeld, waaronder de ingebouwde virusscanner Microsoft Defender en de gratis versie van Avast. Voor de nieuwste test, die in juli en augustus plaatsvond, werden antiviruspakketten beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 306 "zero-day" malware-exemplaren en ruim 16.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,3 procent gehaald. De test met de ruim 18.500 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Avast, AVG, Bitdefender, F-Secure, Kaspersky, McAfee, Norton, PC Matic en Trend Micro weten voor beide detectietests 100 procent te scoren. Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. Microworld en Protected.net zetten met 5 punten de laagste score op dit onderdeel neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Tien pakketten halen hier de maximale zes punten, de overige pakketten komen op 5,5 punten uit. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden 1,1 miljoen schone websites en bestanden gebruikt. Op dit onderdeel scoort PC Matic vier punten, de overige pakketten halen de maximale zes punten. Van de zestien virusscanners worden er uiteindelijk twaalf als "Top Product" bestempeld. Deze pakketten weten 17,5 of de maximale 18 punten te scoren. Het gaat onder andere om de gratis antiviruspakketten Avast Free Antivirus en Microsoft Defender Antivirus. De laatste is standaard onderdeel van Windows 10. Malwarebytes, Microworld, PC Matic en Protected.net zijn de vier pakketten die niet als top worden beoordeeld. bron: https://www.security.nl

Een kwetsbaarheid in de XMPP-serversoftware Openfire wordt actief gebruikt om servers te versleutelen en cryptominers te installeren, zo meldt antivirusbedrijf Doctor Web. Het beveiligingslek, aangeduid als CVE-2023-32315, zou al zeker sinds juni bij aanvallen worden misbruikt. Openfire is een XMPP-server voor chats en groepschats. De kwetsbaarheid maakt path traversal mogelijk, waarbij een aanvaller toegang tot de beheerdersinterface kan krijgen om vervolgens een nieuwe gebruiker met beheerdersrechten toe te voegen. Bij de aanvallen die Doctor Web waarnam gebruiken de aanvallers hun toegang om bestanden te versleutelen en cryptominers te installeren, die de rekenkracht van de server gebruiken voor het delven van cryptovaluta. De kwetsbaarheid is verholpen in versies 4.6.8 en 4.7.5. Beheerders worden dan ook opgeroepen om de beveiligingsupdate te installeren en toegang tot poorten 9090 en 9091 te blokkeren. Eind augustus bleek dat er nog duizenden kwetsbare servers op internet te vinden waren. bron: https://www.security.nl

Mozilla heeft vandaag Firefox 118 gelanceerd die websites en andere webcontent lokaal kan vertalen, waarbij de vertaalde tekst op de computer blijft en niet naar de cloud gaat, zoals bij andere browsers het geval is. Dat laat Mozilla in de release notes van de nieuwe Firefox-versie weten. Het is mogelijk om talen naar het Bulgaars, Nederlands, Engels, Frans, Duits, Italiaans, Pools, Portugees en Spaans te vertalen. Met de ingebouwde vertaling hoeven gebruikers ook geen browser-extensie meer te gebruiken, zoals eerder het geval was. Verder maakt Web Audio in Firefox nu gebruik van een wiskundige library om de Fingerprint Protection te verbeteren en zo tracking van gebruikers te voorkomen. Daarnaast zijn er negen kwetsbaarheden verholpen waarvan Mozilla vermoedt dat ze met voldoende moeite zijn te misbruiken om willekeurige code op de systemen van gebruikers uit te voeren. Updaten naar de nieuwe Firefox-versie kan via de automatische updatefunctie of Mozilla.org. bron: https://www.security.nl

Recent verholpen zerodaylekken in Google Chrome en iOS zijn gebruikt voor het infecteren van de smartphone van een voormalig Egyptisch parlementslid met de Predator-spyware, zo stellen onderzoekers van Citizen Lab en Google. De aanval vond plaats via een Man-in-the-Middle (MitM) aanval en linkjes die via sms werden verstuurd. Deze week kwam Apple met beveiligingsupdates voor drie actief aangevallen zerodaylekken die het mogelijk maken om een toestel volledig over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is hiervoor voldoende. Er is geen verdere interactie van gebruikers vereist. Om de iPhone van parlementslid Ahmed Eltantawy met de Predator-spyware te infecteren stuurden de aanvallers linkjes in sms-berichten die zogenaamd van WhatsApp afkomstig leken. Daarnaast werd er een MitM-aanval toegepast wanneer Eltantawy HTTP-sites bezocht. Het voormalige parlementslid werd dan stilletjes naar een malafide website doorgestuurd die de aanval op zijn iPhone uitvoerde. Volgens Google beschikten de aanvallers ook over een zerodaylek in Chrome om de Predator-spyware op Androidtelefoons in Egypte te installeren. Deze kwetsbaarheid is inmiddels door Google verholpen. Volgens het techbedrijf laten de aanvallen het belang van HTTPS zien, dat netwerkinjectie via een MitM-aanval moet voorkomen. Hiervoor biedt Chrome de “HTTPS-First Mode”, waarbij websites altijd over HTTPS worden geladen en er een waarschuwing verschijnt als er wordt teruggevallen op HTTP. De Predator-spyware geeft aanvallers vergaande controle over de telefoon van slachtoffers, die zo zijn te bespioneren. De malware wordt aangeboden door het bedrijf Cytrox. Citizen Lab en Google stellen dat de spyware-aanval weer een voorbeeld is van misbruik door het groeiende aantal commerciële spywareleveranciers. bron: https://www.security.nl

Proton, het bedrijf achter ProtonMail en ProtonVPN, heeft vandaag een zelfontwikkelde CAPTCHA geïntroduceerd die bestand tegen censuur zou moeten zijn en volledig aan de AVG voldoet. De Proton CAPTCHA is volgens het bedrijf met een 'privacy-first' aanpak ontwikkeld die volledig aan de AVG voldoet, is mobiel vriendelijk en maakt geen gebruik van third-party services. Verder beschikt de CAPTCHA-oplossing over verschillende beschermingsmaatregelen om misbruik te voorkomen, zoals proof of work, visuele puzzels en privacyvriendelijke botdetectie. Zo moeten gebruikers bijvoorbeeld een puzzelstuk op de juiste plek leggen om de captcha op te lossen. "Ons doel is het bieden van een CAPTCHA die toegankelijk, bruikbaar, privacyvriendelijk en bestand is tegen zelfs de meest geavanceerde dreigingen", zegt Eamonn Maguire van Proton. Op dit moment maakt alleen Proton gebruik van de CAPTCHA, maar het bedrijf overweegt om die via een API toegankelijk te maken voor derde partijen die privacy belangrijk vinden. bron: https://www.security.nl

Google zal Chromebooks voortaan tien jaar lang van beveiligingsupdates voorzien en dit zal ook voor eerder uitgebrachte modellen gaan gelden. Vanaf volgend jaar zullen alle Chromebooks die vanaf 2021 zijn uitgebracht automatisch tien jaar lang updates blijven ontvangen. Voor Chromebooks die voor 2021 zijn uitgekomen hebben gebruikers en beheerders ook de optie om tien jaar aan updates te ontvangen, maar dit moet via een opt-in worden geregeld. Eerder ontvingen de apparaten nog acht jaar lang patches. Afgelopen juli vroegen Amerikaanse onderwijsinstellingen, docenten, ouders en milieuorganisaties via een open brief aan Google om Chromebooks langer te blijven ondersteunen. Veel van de Chromebooks waar scholen mee werken bereiken de Automatic Update Expiration datum, of hebben die al bereikt, en zullen dan geen beveiligingsupdates, fixes en technische ondersteuning meer ontvangen. Volgens de briefschrijvers zorgt dit voor onnodige verspilling en vervuiling en lopen gebruikers door het ontbreken van patches risico. bron: https://www.security.nl

Mediaserverplatform Plex gaat alle servers van hostingbedrijf Hetzner blokkeren, zo heeft het aan gebruikers bekendgemaakt. Plex biedt mediaserversoftware waarmee gebruikers media vanaf hun server kunnen streamen. Deze servers kunnen zowel bij gebruikers thuis staan, of zich op het internet bevinden. Volgens Plex host Hetzner een groot aantal mediaservers die in strijd met de algemene voorwaarden van het bedrijf zijn. Daarom zal Plex vanaf 12 oktober alle bij Hetzner gehoste mediaservers gaan blokkeren. Gebruikers worden dan ook opgeroepen om actie te ondernemen, anders kunnen ze vanaf deze datum tegen problemen aanlopen als ze via de Plex-software hun media willen streamen en beheren. "Om deze problemen te voorkomen adviseren we alternatieve hostingopties te overwegen, waaronder het zelf thuis hosten." Volgens berichten op Reddit en Hacker News heeft de maatregel te maken met het feit dat mensen mediaservers bij Plex hosten en die van films en series voorzien, om vervolgens de toegang tot deze servers aan andere personen te verhuren. Gebruikers zijn zeer ontstemd over de maatregel, zo blijkt uit reacties op het Plex-forum, en vrezen dat het een precedent schept waarbij straks ook andere hostingproviders worden geblokkeerd. bron: https://www.security.nl

Duizenden organisaties, onder andere in de satelliet-, farmaceutische en defensiesector, zijn sinds februari het doelwit van password spraying-aanvallen, zo stelt Microsoft. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Zodra het de aanvallers lukt om op een account in te loggen, maken ze gebruik van zowel publiek beschikbare als zelfontwikkelde tools om het netwerk van de organisatie verder te verkennen, daar toegang toe te behouden en zich lateraal naar andere machines te bewegen. Bij een klein deel van de aanvallen maakten de aanvallers ook gegevens buit, aldus Microsoft. Naast het gebruik van password spraying proberen de aanvallers ook door middel van bekende kwetsbaarheden in Zoho ManageEngine-producten (CVE-2022-47966) en Confluence Server en Data Center (CVE-2022-26134) bij organisaties binnen te dringen. Volgens Microsoft zijn de aanvallen het werk van een groep met de naam 'Peach Sandstorm', die vanuit Iran opereert. Daarbij lijken de aanvallers zich netjes aan kantooruren te houden, aangezien de aanvallen voornamelijk tussen 9.00 en 17.00 uur Iraanse tijd worden uitgevoerd. Om de aanvallen tegen te gaan adviseert Microsoft onder andere het instellen van multifactorauthenticatie (MFA). bron: https://www.security.nl

Microsoft heeft aan een testversie van Windows 11 een nieuwe feature toegevoegd waardoor de ingebouwde SMB-client NTLM voor remote, uitgaande verbindingen kan blokkeren om zo verschillende soorten aanvallen tegen te gaan. Dat heeft het techbedrijf bekendgemaakt. NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol waarmee gebruikers kunnen inloggen. Al jarenlang is NTLM het doelwit van aanvallen. Zo kwam Microsoft afgelopen dinsdag nog met een beveiligingsupdate voor een actief aangevallen zerodaylek in Word. Via een malafide document kan een aanvaller het slachtoffer op zijn server laten inloggen, waarbij de hash van het wachtwoord van de gebruiker wordt verstuurd, die vervolgens kan worden onderschept. De aanvaller kan daarna proberen de NTLM-hash te kraken of die te 'relayen' en zich zo als het slachtoffer bij andere diensten te authenticeren. De nieuwste Windows 11 Insider Preview Build beschikt over een feature genaamd 'SMB NTLM Blocking'. Daarmee kan een systeembeheerder instellen dat Windows 11 geen NTLM over SMB aanbiedt. Een aanvaller die een gebruiker of applicatie weet te misleiden om de NTLM challenge responses naar een malafide server te sturen zal geen NTLM-data meer ontvangen, en kan daardoor NTLM-hashes niet meer kraken of relayen. "Dit voegt een nieuw beveiligingsniveau voor bedrijven toe, zonder dat NTLM volledig in het besturingssysteem moet worden uitgeschakeld", zegt Amanda Langowski van Microsoft. bron: https://www.security.nl

De website van Free Download Manager, een gratis downloadmanager, wees gebruikers drie jaar lang naar Linux-malware. Dat melden onderzoekers van antivirusbedrijf Kaspersky. Van 2020 tot en met 2022 gebeurde het een onbekend aantal keren dat bij het downloaden van de Linux-versie van Free Download Manager er werd gewezen naar een bestand op een malafide domein. De besmette versie van Free Download Manager was voorzien van een backdoor en verzamelde allerlei gegevens van besmette systemen, zoals systeeminformatie, browsegeschiedenis, opgeslagen wachtwoorden, bestanden van cryptowallets en inloggegevens voor clouddiensten zoals AWS, Google Cloud, Oracle Cloud Infrastructure en Azure. De data werd vervolgens naar een server van de aanvallers gestuurd. De afgelopen jaren klaagden Linux-gebruikers op verschillende fora over problemen met de downloadtool. Ook is op verschillende YouTube-video's te zien hoe gebruikers de besmette versie van het malafide domein downloaden. Hoe het kan dat gebruikers naar het malafide domein werden doorgestuurd is onbekend. De redirects lijken eind 2022 te stoppen. Kaspersky waarschuwde de ontwikkelaars van Free Download Manager, maar kreeg naar eigen zeggen geen reactie. bron: https://www.security.nl

Mozilla heeft een zerodaylek waarmee gebruikers van Google Chrome zijn aangevallen ook in Firefox en Thunderbird verholpen. De kritieke kwetsbaarheid, aangeduid als CVE-2023-4863, bevindt zich in de WebP-library. WebP is een door Google ontwikkeld bestandsformaat dat de formaten JPEG, PNG en GIF zou moeten vervangen. Een kwetsbaarheid in de library, waar naast Chrome ook Firefox gebruik van maakt, laat een aanvaller willekeurige code op het systeem uitvoeren als er een malafide WebP-afbeelding wordt verwerkt. Om Firefox- en Thunderbird-gebruikers te beschermen heeft Mozilla Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 en Thunderbird 115.2.2 uitgebracht. Volgens de softwareontwikkelaar is er geen misbruik van WebP tegen Firefox en Thunderbird bekend, maar wel tegen andere producten. Het installeren van de nieuwe versies kan via de automatische updatefunctie of Mozilla.org. De kwetsbaarheid was gevonden door onderzoekers van Apple en Citizen Lab, die laatst ook twee andere zerodaylekken in iOS hadden gevonden. Deze twee kwetsbaarheden werden gebruikt voor het stilletjes infecteren van iPhones met de Pegasus-spyware. Of de zeroday in WebP hier verband mee houdt is onbekend, details over de aanvallen zijn niet gegeven. bron: https://www.security.nl

Tijdens de patchdinsdag van september heeft Microsoft 59 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek in Word waardoor een aanvaller NTLM-hashes kan stelen. Tevens werd een tweede zeroday gepatcht die een aanvaller met toegang tot het systeem zijn rechten laat verhogen. In maart kwam Microsoft ook al met een update voor een zeroday in Word waardoor het stelen van NTLM-hashes mogelijk is. Het nieuwste zerodaylek wordt aangeduid als CVE-2023-36761 en is te misbruiken via een malafide document. Daarbij hoeft een slachtoffer het document niet te openen, ook als het via de preview pane (voorbeeldvenster) wordt weergeven is misbruik mogelijk. Via het malafide document kan een aanvaller het slachtoffer op zijn server laten inloggen, waarbij de hash wordt verstuurd, die vervolgens kan worden onderschept. De aanvaller kan daarna proberen de NTLM-hash te kraken of die te 'relayen' en zich zo als het slachtoffer bij andere diensten te authenticeren. Details over de aanvallen worden niet door Microsoft gegeven, behalve dat details over de kwetsbaarheid inmiddels ook openbaar zijn. De tweede zeroday (CVE-2023-36802) waarvoor Microsoft een update uitbracht bevindt zich in de streaming proxy service van Windows en maakt het mogelijk voor een aanvaller die al toegang tot de computer heeft om SYSTEM-rechten te krijgen en het systeem zo volledig over te nemen. Deze kwetsbaarheid werd door Microsoft zelf gevonden, alsmede door onderzoekers van IBM X-Force en DBAPPSecurity WeBin Lab. Tevens kwam Microsoft met updates voor vijf kritieke kwetsbaarheden, waarvan drie in Visual Studio, één in Internet Connection Sharing (ICS) en één in Azure Kubernetes Service. De vier beveiligingslekken in Visual Studio en ICS maken remote code execution mogelijk. Het lek in Kubernetes laat een aanvaller zijn rechten op het systeem verhogen. Verder werd ook een kwetsbaarheid opgelost dat door de Nederlandse onderzoekers Thijs Alkemade, Khaled Nassar en Daan Keuper was gevonden. Het beveiligingslek in Windows Themes maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren als het slachtoffer een malafide Windows Themes-bestand opent. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Adobe heeft beveiligingsupdates uitgebracht voor een actief aangevallen zerodaylek in Acrobat en Reader waardoor een aanvaller door middel van een malafide pdf-bestand willekeurige code op het systeem kan uitvoeren. Het gaat om een kritiek beveiligingslek, aangeduid als CVE-2023-26369, dat tot een out-of-bounds write kan leiden en zo 'arbitrary code execution' mogelijk maakt. De kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Adobe geeft geen details over de aanvallen, behalve dat die op "beperkte" schaal plaatsvinden. Gebruikers krijgen het advies om "zo snel mogelijk" te updaten naar Acrobat DC of Acrobat Reader DC versie 23.006.20320 of Acrobat 2020 of Acrobat Reader 2020 versie 20.005.30524 voor Windows en macOS. Als voorbeeld noemt Adobe het installeren van de updates binnen 72 uur. bron: https://www.security.nl

Een zerodaylek in de de VPN-oplossing van Cisco is door verschillende ransomwaregroepen gebruikt voor het aanvallen van organisaties, zo laten het netwerkbedrijf en securitybedrijf Rapid7 weten. De kwetsbaarheid in de remote access VPN feature van Cisco Adaptive Security Appliance (ASA) en Cisco Firepower Threat Defense (FTD) maakt het voor een ongeauthenticeerde aanvaller mogelijk om een bruteforce-aanval uit te voeren en zo geldige combinaties van gebruikersnamen en wachtwoorden te achterhalen. Ook is het via de kwetsbaarheid mogelijk voor een ingelogde remote aanvaller om een clientless VPN-sessie met een ongeautoriseerde gebruiker op te zetten. Volgens Cisco wordt het probleem (CVE-2023-20269) veroorzaakt door een verkeerde scheiding van authenticatie, autorisatie en accounting tussen de remote access VPN feature en de HTTPS management en site-to-site VPN features. Eind augustus meldde Rapid7 dat Cisco VPN-oplossingen het doelwit waren van de criminelen achter de Akira- en LockBit-ransomware. Het bedrijf telde zeker elf klanten die tussen 30 maart en 24 augustus van dit jaar met Cisco ASA-gerelateerde aanvallen te maken hadden gekregen. Een deel van de aanvallen had met de nu verholpen kwetsbaarheid te maken, aldus het securitybedrijf. bron: https://www.security.nl

Antivirusbedrijf Emsisoft waarschuwt klanten voor een fout die certificaatautoriteit GlobalSign heeft gemaakt bij het uitgeven van een certificaat, waardoor de beveiligingssoftware van het bedrijf op 22 september stopt met werken. Klanten moeten voor deze datum de virusscanner updaten en het systeem herstarten, anders zullen ze de beveiligingssoftware opnieuw moeten installeren. Het probleem raakt zowel eindgebruikers als zakelijke klanten. De beveiligingssoftware van Emsisoft is digitaal gesigneerd. Het hiervoor gebruikte certificaat moet elk jaar worden vernieuwd. Op 23 augustus had Emsisoft bij GlobalSign een nieuw certificaat aangevraagd, dat de certificaatautoriteit ook uitgaf. De virusbestrijder gebruikte het nieuwe certificaat voor het signeren van de eigen code en updates. GlobalSign bleek een fout te hebben gemaakt bij het certificaat, door een verkeerd bedrijfsnummer in te voeren. Het certificaat moet daarom worden ingetrokken. GlobalSign heeft inmiddels een nieuw certificaat voor Emsisoft uitgegeven, waarmee alle bestanden opnieuw zijn gesigneerd die eerder met het ingetrokken certificaat zijn gesigneerd. Het verkeerde certificaat wordt vandaag ingetrokken en Emsisoft verwacht dat de meeste klanten inmiddels de nieuwe versies van de betreffende bestanden hebben ontvangen. Er is echter een bijkomend probleem en dat is dat met het ingetrokken certificaat ook een driver is gesigneerd waar de beveiligingssoftware gebruik van maakt. Om een nieuwe versie van deze driver te kunnen installeren moet het systeem worden herstart. Als systemen niet voor 22 september worden geüpdatet en herstart zal de driver niet meer worden geladen, waardoor de software stopt met werken. Daarnaast kan de virusscanner geen updates meer downloaden. De enige oplossing is dan het opnieuw installeren van de antivirussoftware. Emsisoft merkt op dat het niets aan de situatie kon doen. De virusbestrijder vroeg GlobalSign om het certificaat op een later moment in te trekken, maar dat weigerde de certificaatautoriteit. "Het heeft geen toelichting nodig dat we allesbehalve blij zijn met de manier waarop GlobalSign deze zaak heeft afgehandeld", aldus Emsisoft. bron: https://www.security.nl

Google controleert voortaan in real-time of Chrome-gebruikers phishingsites bezoeken, zo laat het techbedrijf weten. Chrome maakt al lange tijd gebruik van Safe Browsing om gebruikers voor malafide en phishingsites te waarschuwen. De browser maakte hiervoor altijd gebruik van een lokaal opgeslagen lijst van bekende malafide sites, die elke dertig tot zestig minuten werd bijgewerkt. Volgens Google zijn phishingdomeinen tegenwoordig veel geraffineerder geworden en bestaat zestig procent van de phishingsites minder dan tien minuten, waardoor ze lastig te blokkeren zijn. Daarom controleert Google nu in real-time of Chrome-gebruikers een bekende malafide site bezoeken. Dit zou voor een "25 procent verbeterde bescherming" tegen malware en phishing moeten zorgen, zo beweert het techbedrijf. Chrome-gebruikers konden sinds 2020 bezochte websites al in real-time laten controleren, maar moesten hier zelf voor kiezen door Enhanced Safe Browsing in te schakelen. Google gaat deze feature nu de komende dagen bij alle Chrome-gebruikers inschakelen. De real-time controle zorgt er wel voor dat gebruikers meer data met het techbedrijf moeten delen. Zo worden alle geopende links naar Google gestuurd. Ook stuurt de browser een klein deel van de bezochte webpagina's en verdachte downloads naar Google om nieuwe dreigingen te ontdekken. bron: https://www.security.nl

Beveiligingsonderzoekers zijn opnieuw door een Noord-Koreaanse groep aangevallen via een zerodaylek in een niet nader genoemd programma, zo claimt Google. In welke software het beveiligingslek aanwezig is laat het techbedrijf niet weten. Een update voor de kwetsbaarheid wordt nog ontwikkeld. Daarnaast maakten de aanvallers gebruik van een op GitHub gehoste tool, om zo de systemen van onderzoekers te compromitteren. Twee jaar geleden meldde Google dat beveiligingsonderzoekers het doelwit van gerichte aanvallen waren. Die aanvallen werden door het techbedrijf ook toegeschreven aan een Noord-Koreaanse groep. Net als met die aanvallen zijn ook bij de nu waargenomen aanvallen onderzoekers via X en andere sociale media benaderd. Na het initiële contact proberen de aanvallers het contact voort te zetten via chatapps zoals Signal, WhatsApp en Wire. Vervolgens sturen de aanvallers een bestand dat 'minstens één zeroday in een populair softwarepakket' bevat, aldus Google. Het techbedrijf waarschuwde de betreffende softwareontwikkelaar, die bezig is met de ontwikkeling van een patch. De malware die via het zerodaylek wordt geïnstalleerd verzamelt informatie over het systeem en laat de aanvallers daarop commando's uitvoeren. Naast het gebruik van een zeroday publiceerden de aanvallers ook een tool voor het downloaden van 'debugging symbols' bij Microsoft, Google, Mozilla en Citrix. Symbols bevatten aanvullende informatie over bestanden, wat handig kan zijn voor het debuggen van problemen in software of uitvoeren van beveiligingsonderzoek. De tool bood de beloofde functionaliteit, maar voerde in de achtergrond ook willekeurige code van de aanvallers uit. Google roept iedereen op die de tool gedownload heeft om een herinstallatie van het systeem uit te voeren. Naast een beschrijving van de aanval heeft Google ook verschillende details over de aanvallers gegeven, zoals gebruikte ip-adressen, domeinen, accounts en hashes van bestanden. bron: https://www.security.nl

Een kritieke kwetsbaarheid in voip-platform Cisco BroadWorks maakt het mogelijk voor een ongeauthenticeerde aanvaller om volledige controle over het systeem te krijgen en belfraude te plegen. De impact van het beveiligingslek (CVE-2023-20238) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Cisco Broadworks wordt omschreven als een 'cloud business communication platform' waar meer dan 26 miljoen mensen gebruik van zouden maken. Het biedt gebruikers onder andere de mogelijkheid om te bellen. Het platform blijkt SSO tokens niet goed te valideren, waardoor een aanvaller zich met vervalste inloggegevens kan aanmelden, onder andere als beheerder. In het geval de aanvaller zich als beheerder aanmeldt is het mogelijk om vertrouwelijke informatie in te zien en instellingen aan te passen. Een andere mogelijkheid waar Cisco voor waarschuwt is belfraude. Aanvallers gebruiken het systeem dan om allerlei premium telefoonnummers te bellen, waarvoor de getroffen organisatie moet opdraaien. Cisco heeft updates beschikbaar gemaakt om het probleem te verhelpen. bron: https://www.security.nl

De signing key van Microsoft waarmee aanvallers toegang kregen tot de e-mails van overheden en andere klanten die bij het techbedrijf werden gehost is uit een crash dump gestolen, zo stelt Microsoft in een analyse. Afgelopen juli maakte het techbedrijf bekend dat aanvallers toegang hadden gekregen tot de e-mailaccounts van zo'n 25 organisaties, waaronder overheden in West-Europa, en een niet nader genoemd aantal eindgebruikers. Slachtoffers hadden hun e-mail bij Outlook.com en Outlook Web Access (OWA) in Exchange Online ondergebracht. Een maand lang hadden aanvallen naar verluidt toegang tot honderdduizenden e-mails. De Amerikaanse senator Ron Wyden vond dat Microsoft nalatig was bij het beveiligen van de e-mail en de Amerikaanse overheid kondigde een onderzoek naar de e-maildiefstal aan. Sinds de aankondiging van de aanval had Microsoft geen idee hoe de signing key kon worden gestolen. Om toegang tot de accounts van klanten te krijgen maakten de aanvallers gebruik van vervalste tokens die door middel van een Microsoft account (MSA) consumer signing key waren gemaakt. In een blogposting stelt Microsoft nu dat in april 2021 zich een crash in een geïsoleerd productienetwerk voordeed waarbij de crash dump de signing key bevatte. Dit had volgens het techbedrijf niet mogen gebeuren, maar door een race condition was dit toch het geval. De aanwezigheid van de signing key in de crash dump werd daarnaast niet door de systemen van Microsoft ontdekt. De crash dump ging vervolgens van het geïsoleerde netwerk naar de debugging omgeving op het met internet verbonden bedrijfsnetwerk van Microsoft. Nadat de crash dump was verplaatst wisten de aanvallers het bedrijfsaccount van een Microsoft-engineer te compromitteren. Deze engineer had toegang tot de debugging omgeving waar de crash dump met de key stond. Microsoft zegt dat het geen logs heeft waaruit blijkt dat de crash dump door de betreffende aanvaller is gestolen, maar stelt dat dit de meest voor de hand liggende verklaring is hoe de aanvaller de key in handen heeft gekregen. bron: https://www.security.nl

Onderzoekers hebben kritieke kwetsbaarheden in de webmail van de op privacy gericht mailproviders Proton Mail, Skiff en Tutanota gevonden waardoor het mogelijk was om e-mails van gebruikers te stelen en zich als slachtoffers voor te doen. In het geval van Skiff en Tutanota Desktop was het zelfs mogelijk om willekeurige code op de computers van slachtoffers uit te voeren als die een malafide mail openden. Dat meldt securitybedrijf Sonar dat de problemen ontdekte en rapporteerde. In een eerste artikel over de kwetsbaarheden gaat het om cross-site scripting in Proton Mail, waardoor een aanvaller onversleutelde e-mail van slachtoffers kon stelen en zich als hen kon voordoen. Een aanvaller zou in dit geval twee e-mails hebben moeten versturen die het slachtoffer moest openen. Proton Mail gebruikt de HTML sanitizer DOMPurify om cross-site scripting tijdens het weergeven van e-mails te voorkomen en heeft ook verdere maatregelen genomen in het geval de sanitizer zijn werk niet doet. De onderzoekers ontdekten een manier om de sanitizer te omzeilen en willekeurige elementen in verstuurde e-mails te gebruiken. Proton Mail blijkt daarnaast willekeurige content types en content voor inline bijlagen toe te staan. Dit maakt het mogelijk voor een aanvaller om een JavaScript-bijlage te versturen en daar via een img element naar te verwijzen. De e-maildienst gebruikt zogeheten blob URL's voor het weergeven van inline bijlagen, zoals afbeeldingen. Een aanvaller zou hier misbruik van kunnen maken door als eerste een e-mail met malafide JavaScript te versturen. Via deze mail zou het daarnaast mogelijk zijn om de blob URL te achterhalen. Vervolgens zou de aanvaller een tweede mail sturen waarbij de sanitizer wordt omzeild en via een script-element de eerder verstuurde JavaScript wordt uitgevoerd. Daarmee zijn e-mails van het slachtoffer te stelen en is het mogelijk om mail als het slachtoffer te versturen. Proton Mail werd op 3 juni ingelicht. Op 6 juli werd de update om het probleem te verhelpen uitgerold. De onderzoekers ontvingen voor hun bugmelding een bedrag van 750 dollar. bron: https://www.security.nl

Criminelen hebben bij LastPass gestolen wachtwoordkluizen gekraakt en vervolgens voor miljoenen aan crypto gestolen, zo denken beveiligingsonderzoekers op basis van onderzoek. Vorig jaar wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Taylor Monahan, oprichter en ceo van cryptowallet MetaMask, deed het afgelopen jaar onderzoek naar mensen die het slachtoffer van cryptodfiefstal waren geworden en stond deze slachtoffers ook bij. Meer dan honderdvijftig mensen werden voor meer dan 35 miljoen dollar aan crypto bestolen. Het gaat daarbij om ervaren crypto-investeerders en 'security-minded' individuen, aldus Monahan tegenover it-journalist Brian Krebs. De aanvallers wisten met seeds/keys van de slachtoffers het geld te stelen. Volgens Monahan werden in de meeste gevallen deze gegevens uit LastPass-wachtwoordkluizen gestolen. LastPass kwam eind vorig jaar onder vuur te liggen van beveiligingsonderzoeker en Adblock Plus-ontwikkelaar Wladimir Palant. Sinds 2018 verplicht LastPass een wachtwoord van minimaal twaalf karakters om toegang tot de wachtwoordmanager in de cloud te krijgen. Voor al bestaande gebruikers met een korter wachtwoord werd dit echter niet verplicht gesteld. Daarnaast zou het aantal iteraties bij bestaande klanten, dat tegen bruteforce-aanvallen bescherming moet beiden, niet naar hogere aantallen zijn aangepast. Sinds 2013 past LastPass standaard vijfduizend iteraties toe. Dat werd in 2018 verhoogd naar 100.100 en recentelijk naar 600.000. Bij sommige, al bestaande klanten staat het nog steeds op vijfduizend, aldus Palant. Monahan erkent dat ze met haar onderzoek niet honderd procent kan bewijzen dat de datadiefstal bij LastPass tot de gestolen crypto heeft geleid. Dat geldt ook voor onderzoeker Nick Bax, die tot een zelfde conclusie komt. LastPass wil niet op de bevindingen reageren, omdat de zaak onder de rechter is en het onderzoek van opsporingsdiensten nog steeds gaande is. bron: https://www.security.nl

Een kwetsbaarheid in de Linux-client van vpn-dienst AtlasVPN maakt het mogelijk voor malafide websites om het werkelijke ip-adres van gebruikers te achterhalen. Een beveiligingsupdate om het probleem te verhelpen is nog niet beschikbaar. Een gebruiker op Reddit maakte de kwetsbaarheid openbaar, nadat de vpn-provider volgens hem niet op zijn melding reageerde. De Linx-client bestaat uit twee delen: een daemon die de verbindingen beheert en een client waarmee de gebruiker de verbinding kan opzetten en verbreken. Deze client maakt geen verbinding via een local socket, maar opent een API op localhost poort 8076, zonder enige authenticatie. Deze poort is door elk programma op de computer te bereiken, waaronder de browser. Malafide JavaScript die door de browser wordt uitgevoerd kan een request naar de poort sturen en de VPN-verbinding verbreken. Wanneer er dan een volgend request wordt gedaan, zal het echte ip-adres naar de malafide website worden gestuurd. AtlasVPN stelt in een reactie op Reddit dat het niet goed op de bugmelding heeft gereageerd en de processen gaat aanpassen zodat het sneller op beveiligingsproblemen kan acteren. Daarnaast wordt er "zo snel mogelijk" een beveiligingsupdate uitgerold en zegt AtlasVPN alle Linux-gebruikers te zullen waarschuwen. bron: https://www.security.nl