Captain Kirk

In de Chrome Web Store zijn achttien malafide extensies gevonden die bij elkaar 55 miljoen gebruikers hebben en JavaScript op elke bezochte website injecteren. Dat laat Wladimir Palant weten, beveiligingsonderzoeker en ontwikkelaar van de bekende adblocker Adblock Plus. Gebruikers van de extensies lieten al bijna twee jaar geleden weten dat er iets mis was. Zo zorgde de malafide code ervoor dat deze gebruikers naar andere websites werden doorverwezen, bijvoorbeeld als ze een bepaalde zoekmachine wilden gebruiken. Of dat nog steeds het geval is, is onduidelijk, merkt Palant op. Twee weken geleden publiceerde de onderzoeker al een artikel over de aanwezigheid van de malafide code in de PDF Toolbox-extensie. Palant waarschuwde Google, maar de extensie is nog steeds in de Chrome Web Store te vinden en kreeg na de publicatie van zijn bevindingen aanzienlijk meer gebruikers. Ook de andere malafide extensies zijn niet verwijderd. "Alleen omdat de extensies twee jaar geleden geld verdienden met het redirecten van zoekpagina's, wil niet zeggen dat dit nog steeds het geval is. Er zijn veel gevaarlijkere dingen die je kunt doen met de mogelijkheid om JavaScript in elke website te injecteren", zo waarschuwt de onderzoeker. Het gaat onder andere om de extensies Autoskip for Youtube, Crystal Ad block, Brisk VPN, Clipboard Helper, Maxi Refresher, Quick Translation, Easyview Reader view en Zoom Plus. bron: https://www.security.nl

Mozilla stopt volgend jaar september met de ondersteuning van Firefox op Windows 7, zo heeft de softwareontwikkelaar aangekondigd. Ook de support van meerdere macOS-versies wordt gestopt. Terwijl andere browsers, zoals Google Chrome en Microsoft Edge, al niet meer op de oude Windowsversie worden ondersteund, besloot Mozilla om Firefox-gebruikers op Windows 7 wel van beveiligingsupdates te voorzien. Nu is bekendgemaakt dat ook deze support zal stoppen. Firefox versie 115 is de laatste ondersteunde versie voor gebruikers van Windows 7, Windows 8 en Windows 8.1. De ESR-versie van Firefox 115 wordt tot en met september 2024 van beveiligingsupdates voorzien. Daarna zullen er geen patches meer verschijnen en adviseert Mozilla om naar een nog wel ondersteunde Windowsversie te migreren. Ook voor macOS 10.12, 10.13 en 10.14 zal Firefox 115 ESR de laatste ondersteunde versie zijn. Volgens cijfers van Mozilla draait 13 procent van de Firefox-gebruikers nog op Windows 7. bron: https://www.security.nl

In een groot aantal moederborden van fabrikant Gigabyte is een backdoor aanwezig waardoor het mogelijk is om systemen met malware te infecteren, zo claimt securitybedrijf Eclypsium. Firmware-updates van Gigabyte om het probleem te verhelpen zijn nog niet beschikbaar. Het probleem is in meer dan 250 modellen moederborden van Gigabyte aanwezig, aldus de onderzoekers. De UEFI-firmware die op de moederborden draait bevat een Windows executable die bij het opstarten van het systeem naar de schijf van de computer wordt geschreven. Een techniek die vaak door UEFI-malware en backdoors wordt toegepast, aldus Eclypsium. Het gaat om een .NET-applicatie die vervolgens aanvullende code downloadt. Afhankelijk van de configuratie gebeurt dat via het onversleutelde HTTP. Een aanvaller kan via een man-in-the-middle (MITM) aanval zo andere bestanden naar de gebruiker sturen. Een dergelijke aanval is ook bij HTTPS mogelijk, aangezien de controle van het servercertificaat niet goed is geïmplementeerd, waardoor ook hier een MITM-aanval mogelijk is. Verder blijkt de firmware de digitale handtekening van bestanden niet te controleren of andere validatie toe te passen. "Als je zo'n moederbord hebt moet je je zorgen maken over het feit dat er zonder je betrokkenheid iets op onveilige wijze van het internet wordt gedownload", zegt John Loucaides van Eclypsium tegenover Wired. "De meeste mensen vinden het niet fijn als ze worden gepasseerd en hun machine overgenomen." Eclypsium stelt dat het Gigabyte heeft gewaarschuwd en de moederbordfabrikant aan een oplossing werkt. In de tussentijd krijgen gebruikers het advies om de “APP Center Download & Install" feature in de UEFI/BIOS uit te schakelen, een BIOS-wachtwoord in te stellen zodat de feature niet is in te schakelen, verschillende domeinen te blokkeren en te controleren of er nieuwe firmware-updates beschikbaar zijn. bron: https://www.security.nl

De Belgische overheid heeft twaalf miljoen euro uitgetrokken om de cyberveiligheid van mkb-bedrijven te versterken. Daarnaast is er een campagne gestart en kunnen ondernemers een "cyberscan" doen. "‘De gevolgen van een aanval kunnen een grote impact hebben. Dit geldt op financieel vlak, maar ook voor het vertrouwen van de klanten dat verloren gaat", zegt de Belgische minister van Telecom Petra De Sutter. Volgens De Stutter beschikken mkb-bedrijven niet altijd over voldoende middelen en kennis om hun systemen en gegevens te beveiligen. "Het is daarom onze rol om hen te informeren en te ondersteunen." Vorig jaar juli deed de Belgische overheid een oproep voor het aanmelden van projecten die de cyberweerbaarheid van mkb'ers vergroten. In totaal zijn er twaalf projecten gekozen (pdf). De projecten moeten technische en organisatorische tools aanreiken om de cyberveiligheid van mkb-ondernemingen te verhogen en hen hierin zo goed mogelijk begeleiden. Het gaat onder andere om het gebruik van software voor netwerkisolatie, het opdoen van vaardigheden en het uitvoeren van audits. "De voordelen van digitalisering zijn enorm, maar we moeten ook de risico’s voor de economische actoren in het land ervan inperken. Deze projectoproepen dragen daar gegarandeerd aan bij", besluit De Sutter. bron: https://www.security.nl

Een zerodaylek in de Barracuda Email Security Gateway is zeker sinds oktober 2022 misbruikt voor het stelen van data bij organisaties, zo heeft de netwerkbeveiliger zelf bekendgemaakt. Die waarschuwt klanten om gecompromitteerde gateways niet te gebruiken en met de klantensupport contact op te nemen voor een nieuwe gateway. Vorige week kwam Barrucada met een beveiligingsupdate voor de kwetsbaarheid, die via malafide .tar-bestanden is te misbruiken. De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Het beveiligingslek (CVE-2023-2868) bevindt zich in een module die bijlagen van inkomende e-mail scant. Een aanvaller kan door het versturen van een speciaal geprepareerd .tar-bestand systeemcommando's op de gateway uitvoeren en zo een backdoor installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. In een update over het zerodaylek laat Barracuda weten dat het de kwetsbaarheid op 19 mei ontdekte, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Verder onderzoek wees uit dat er sinds oktober 2022 misbruik van het lek is gemaakt om toegang tot gateways van klanten te krijgen. Daar installeerden de aanvallers allerlei malware om e-mailverkeer te monitoren en toegang te behouden. Het gaat onder andere om een getrojaniseerde module, die door Barracuda Saltwater wordt genoemd, en als een backdoor fungeert waardoor het voor aanvallers mogelijk is om willekeurige bestanden te up- en downloaden, commando's uit te voeren of de gateway als proxy te gebruiken. Daarnaast installeerden de aanvallers ook een andere backdoor genaamd SeaSpy die zich als legitieme Barracuda Networks service voordoet en verkeer op poort 25 (SMTP) kan monitoren. Een tweede malafide module die de aanvallers installeerden, met de naam SeaSide, monitort SMTP-commando's en is te gebruiken voor het opzettten van een reverse shell. Barracuda adviseert klanten om gecompromitteerde gateways niet meer te gebruiken en alle inloggegevens voor de gateway te vervangen, wat ook geldt voor private TLS-certificaten. Tevens moeten klanten hun logbestanden op Indicators of Compromise controleren. bron: https://www.security.nl

WordPress.org heeft besloten om een beveiligingsupdate voor de Jetpack-plug-in wegens een kritieke kwetsbaarheid op vijf miljoen websites te installeren. Jetpack is een door Automattic ontwikkelde plug-in voor het maken en terugzetten van back-ups, blokkeren van spam, scannen op malware, monitoren van up- en downtime, beschermen tegen bruteforce-aanvallen en het inschakelen van tweefactorauthenticatie. Via de kwetsbaarheid, die al sinds 2012 in de code van de plug-in aanwezig is, kan een aanvaller elk bestand van een WordPress-installatie aanpassen. Automattic is ook het bedrijf achter WordPress.com, waar tegen betaling WordPress-sites zijn te hosten. WordPress.org is de organisatie achter de opensourceversie van WordPress, het gelijknamige contentplatform dat volgens W3Techs voor 43,1 procent van alle websites op internet wordt gebruikt. Automattic heeft in overleg met het WordPress.org Security Team besloten om de update voor de kwetsbaarheid in Jetpack automatisch uit te rollen. De plug-in is op meer dan vijf miljoen websites geinstalleerd. Inmiddels hebben meer dan 4,3 miljoen websites de update ook ontvangen, zo blijkt uit cijfers van WordPress.org. Automattic zegt dat het niet bekend is met misbruik van het beveiligingslek, maar stelt dat nu de patch is verschenen aanvallen kunnen gaan plaatsvinden. WordPress.org heeft sinds WordPress versie 3.7 de mogelijkheid om beveiligingsupdates voor plug-ins geforceerd te installeren. In 2021 werd op deze manier ook al een update voor Jetpack uitgerold. Eerder stelde een ontwikkelaar van het WordPress Team dat het geforceerd installeren van updates al meerdere keren wegens kwetsbaarheden was toegepast. Iets wat in het verleden voor kritiek van gebruikers zorgde, die het automatisch updaten van hun plug-ins niet hadden ingeschakeld. bron: https://www.security.nl

Het Duitse testlab AV-TEST Institute gaat virusscanners vaker op Windows 11 testen, zo laat oprichter en ceo Andreas Marx aan Security.NL weten. Vandaag verscheen pas de tweede test waarbij de nieuwste Windowstelg als testplatform is gebruikt. De eerste test vond vorig jaar augustus plaats. Windows 10 is volgens StatCounter met een marktaandeel van 71 procent de populairste Windowsversie, gevolgd door Windows 11 op 23 procent. Voor de nieuwste test, die in maart en april plaatsvond, koos AV-Test om Windows 11 te gebruiken. "Windows 11 wordt steeds vaker gebruikt, dus de tijd is gekomen om van tijd tot tijd van Windows 10 naar Windows 11 te gaan en weer terug." Voor de test vergeleek het testlab in totaal zestien antiviruspakketten voor eindgebruikers. Daarbij werd gekeken naar de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 326 "zero-day" malware-exemplaren en bijna 16.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,4 procent gehaald. De test met de ongeveer 16.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Avast, AVG, Bitdefender, F-Secure, Kaspersky, McAfee, Microsoft, Norton en PC Matic weten voor beide detectietests 100 procent te scoren. Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. Protected.net, Microwold en Malwarebytes zetten met 5 punten de laagste score neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Elf pakketten halen de maximale score van zes punten, gevolgd door de overige virusscanners met 5,5 punten. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden 1,2 miljoen schone websites en bestanden gebruikt. Alleen PC Matic gaat op dit onderdeel met vier punten onderuit, de overige pakketten scoren 5,5 of 6 punten. Van de zestien virusscanners worden er tien als "Top product" bestempeld. Het gaat onder andere om de gratis antiviruspakketten Avast Free Antivirus en Microsoft Defender Antivirus. De laatste is standaard onderdeel van Windows 11. PC Matic eindigt met zestien punten onderaan. Volgens Marx werken virusscanners zowel goed op Windows 10 als Windows 11, maar waren erbij de test op Windows 10 een paar meer pakketten met het label "Top product". bron: https://www.security.nl

Tijdens de afgelopen Pwn2Own-wedstrijd lieten verschillende onderzoekers zien hoe ze de Sonos One Speaker op afstand konden overnemen. Details zijn nu openbaar gemaakt, waaruit blijkt dat twee van de kwetsbaarheden het uitvoeren van code als root mogelijk maken. Pwn2Own is een jaarlijkse wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte software en hardware. Afgelopen december vond het evenement in Toronto plaats en was de Sonos One Speaker één van de doelwitten. In totaal besloten drie onderzoeksteams de smart speaker aan te vallen. Al de aanvallen vonden plaats vanuit het netwerk waar de Sonos onderdeel van is. Als eerste blijkt dat alle drie de teams een kwetsbaarheid gebruiken voor het verkrijgen van informatie. Twee van de teams maken hierbij gebruik van de SMB-functionaliteit van de Sonos. Vervolgens blijkt het met de verkregen informatie mogelijk om via een speciaal geprepareerd SMB directory query commando willekeurige code als root op de smart speaker uit te voeren. De onderzoekers van DEVCORE Team kiezen een andere aanpak, waarbij ze voor het verkrijgen van de benodigde informatie zich eerst als een "rogue" Sonos-speaker voordoen. De verkregen informatie wordt daarna gebruikt voor het versturen van een speciaal geprepareerd .ts-audiobestand, waarmee het de onderzoekers via een kwetsbaarheid in de MPEG-TS parser ook lukt om willekeurige code als root uit te voeren. De impact van de twee kwetsbaarheden die code execution mogelijk maken is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. De drie teams kregen bij elkaar een beloning van 105.000 dollar voor de aanvallen op de Sonos-speaker. De gebruikte kwetsbaarheden zijn verholpen in versie 15.2 van de S2-app en versie 117.1 van de S1-app. bron: https://www.security.nl

Ruim 47.000 routers van fabrikant DrayTek met een Nederlands ip-adres zijn vanaf het internet toegankelijk via HTTP of SSH, zo stelt securitybedrijf Censys op basis van een scan. Ook vijfhonderd Zyxel-routers met een Nederlands ip-adres zijn op deze manier vanaf het internet te benaderen. Wereldwijd werden 510.000 "soho-routers" met een publiek toegankelijke HTTP-managementpoort of SSH-service aangetroffen. Aanleiding voor het onderzoek was berichtgeving van Microsoft en de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse autoriteiten over een groep aanvallers die het op Amerikaanse organisaties in de vitale infrastructuur heeft voorzien. De aanvallers weten volgens Microsoft op een nog onbekende manier via Fortinet FortiGuard-apparaten toegang tot de netwerken van hun slachtoffers te krijgen. De groep maakt daarnaast gebruik van gecompromitteerde routers en andere "SOHO network edge devices" waarvan de beheerdersinterface via HTTP of SSH vanaf internet toegankelijk is om het eigen verkeer te proxyen. Het gaat om apparaten van fabrikanten Asus, Cisco RV, Draytek Vigor, FatPipe IPVPN/MPVPN/WARP, Fortinet Fortigate, Netgear Prosafe en Zyxel USG-apparaten. Hoe de routers worden gecompromitteerd is ook onbekend, maar het toegankelijk maken van de beheerdersinterface vergroot het aanvalsoppervlak, aldus Censys. Het bedrijf besloot te kijken hoeveel van de genoemde apparaten vanaf internet via HTTP of SSH te bereiken zijn. Het grootste aantal apparaten betreft routers van fabrikant DrayTek. Van deze routers bevinden zich er 47.666 in Nederland. Censys roept beheerders van deze apparaten op om ervoor te zorgen dat de beheerdersinterface niet vanaf het publieke internet toegankelijk is. bron: https://www.security.nl

De makers van de Brave-browser hebben een nieuwe feature gelanceerd die het browsegedrag van gebruikers voor anderen die toegang tot de smartphone of computer hebben moet afschermen. Via Request Off the Record kunnen websites aangeven dat de inhoud "gevoelig" is. Vervolgens zal Brave de gebruiker vragen of de betreffende site in de Request Off the Record-mode moet worden geladen. Daarbij wordt er niets over het bezoek aan de website op de harde schijf opgeslagen. Alle andere bezochte websites worden wel gewoon behandeld, waardoor er voor anderen niet zichtbaar is dat er een bepaalde website is bezocht. Als voorbeeld voor het gebruik van de feature noemt Brave onder andere mensen die met huiselijk geweld te maken hebben. De feature is wel afhankelijk van websites. Die moeten een specifieke header meesturen of zich voor de preload-list van Brave aanmelden. Brave hoopt dan ook dat Request Off the Record een standaard kan worden zodat ook andere browsers er gebruik van kunnen maken en dat meer websites de feature zullen omarmen. bron: https://www.security.nl

De commerciële Predator-spyware die aan overheden wordt geleverd blijkt slachtoffers op allerlei manieren af te luisteren, zo hebben onderzoekers van Cisco ontdekt. De Predator-spyware is te vergelijken met de beruchte Pegasus-spyware en werd eind 2021 voor het eerst ontdekt door onderzoekers van Citizen Lab. Vorig jaar meldde Google dat de spyware vijf verschillende zerodaylekken gebruikte om Androidtelefoons te infecteren. De spyware is echter ook beschikbaar voor iOS. Details over de werking van de spyware waren niet beschikbaar, maar Cisco heeft nu een analyse gepubliceerd. Daaruit blijkt dat Predator gesprekken die via de microfoon, oordopjes en voip worden gevoerd kan afluisteren. Ook kan de spyware eigen certificaten voor certificaatautoriteiten aan de certificaatstore toevoegen, waardoor het mogelijk is om TLS-verkeer binnen de browser te ontsleutelen. Verder kan Predator willekeurige code op het systeem uitvoeren, bepaalde applicaties verbergen of voorkomen dat die bij een herstart van de telefoon worden geladen. Tevens verzamelt Predator allerlei informatie over de besmette telefoon, zoals adresboek en gespreksgeschiedenis. De onderzoekers van Cisco denken dat de spyware ook in staat is om de camera in te schakelen, geolocatiegegevens te verzamelen en het kan doen lijken alsof de telefoon is uitgeschakeld, terwijl die in werkelijkheid nog actief is. De functionaliteit zou mogelijk in een module aanwezig zijn waar de onderzoekers niet de beschikking over hebben, maar waar wel in de onderzochte code naar werd verwezen. Google stelde eerder dat de aanpak van commerciële surveillancebedrijven een robuuste en gemeenschappelijke inzet van inlichtingenteams, netwerkbeveiligers, academische onderzoekers en techplatformen vereist. Citizen Lab waarschuwde dat het ontbreken van internationale en binnenlandse wetgeving en waarborgen ervoor zorgt dat journalisten, mensenrechtenactivisten en oppositiegroepen in de nabije toekomst slachtoffer van dergelijke spyware zullen blijven. bron: https://www.security.nl

Firewalls van fabrikant Zyxel worden op grote schaal gecompromitteerd door een Mirai-botnet, zo stelt beveiligingsonderzoeker Kevin Beaumont. De aanvallers maken misbruik van een kritieke kwetsbaarheid waarvoor Zyxel eind april beveiligingsupdates uitbracht. Destijds werden klanten door de fabrikant opgeroepen om de patch ook te installeren. Via de kwetsbaarheid, aangeduid als CVE-2023-28771, kan een ongeauthenticeerde aanvaller door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. Onlangs publiceerde securitybedrijf Rapid7 een proof-of-concept exploit op internet en waarschuwde dat er nog geen aanvallen waren waargenomen, maar dat dit waarschijnlijk slechts een kwestie van tijd was. Rapid7 detecteerde 42.000 Zyxel-firewalls waarvan de webinterface vanaf het internet toegankelijk is en mogelijk risico lopen, hoewel er ook grotere aantallen zijn genoemd. Volgens Beaumont is een Mirai-botnet nu begonnen om kwetsbare firewalls aan te vallen en die onderdeel van het botnet te maken. Door Mirai besmette apparaten worden onder andere voor het uitvoeren van ddos-aanvallen gebruikt. Deze week waarschuwde Zyxel ook voor twee andere kritieke kwetsbaarheden waardoor firewalls zijn over te nemen. bron: https://www.security.nl

Inderdaad, ik ben ook bang dat je accu hier minder origineel is dan aangegeven. De laptop en accu werken niet goed samen, accu is opeens op maar systeem en dus ook jij zelf krijgt geen waarschuwing.

PCH alweer 17 waarvan ik er geloof ik ook al 15 van mee mag maken...Gefeliciteerd!

Firewalls van Zyxel bevatten twee kritieke kwetsbaarheden waardoor een ongeauthenticeerde aanvaller de apparaten op afstand kan overnemen. De netwerkfabrikant heeft patches uitgebracht om de problemen (CVE-2023-33009 en CVE-2023-33010) te verhelpen. Het gaat in beide gevallen om buffer overflows waardoor een denial of service of remote code execution mogelijk is. Een aanvaller hoeft hiervoor niet eerst over inloggegevens te beschikken, wat de impact van beide beveiligingslekken vergroot. Updates zijn beschikbaar gemaakt voor de Zyxel ATP, USG FLEX, USG FLEX50(W) / USG20(W)-VPN, VPN en ZyWALL/USG. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vorig jaar waarschuwde de Amerikaanse geheime dienst NSA nog voor actief misbruik van een andere kritieke kwetsbaarheid in de firewalls van Zyxel. Dit probleem werd vier dagen na het verschijnen van de update misbruikt. bron: https://www.security.nl

Bedrijven en organisaties die gebruikmaken van de Barracuda Email Security Gateway zijn het doelwit geworden van een zeroday-aanval met een .tar-bestand, waarmee aanvallers toegang tot de gateway kregen, zo heeft de netwerkbeveiliger bekendgemaakt. Barracuda ontdekte op 19 mei een kwetsbaarheid in de Email Security Gateway waarvoor het op 20 en 21 mei beveiligingsupdates uitbracht. Al voor het uitkomen van de patches maakten aanvallers misbruik van het beveiligingslek, dat wordt aangeduid als CVE-2023-2868. De kwetsbaarheid zorgt ervoor dat een aanvaller door het versturen van een speciaal geprepareerd .tar-bestand naar de e-mail gateway systeemcommando's op het apparaat kan uitvoeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Barracuda heeft de patches automatisch onder klanten uitgerold en zegt getroffen klanten te hebben geïnformeerd. Details over de aanvallen, het aantal getroffen klanten en in welke sectoren en regio's die zich bevinden zijn niet gegeven. bron: https://www.security.nl

GitLab roept organisaties op om een kritieke path traversal-kwetsbaarheid, waardoor een ongeauthenticeerde aanvaller willekeurige bestanden op de server kan lezen, zo snel mogelijk te patchen. De impact van het beveiligingslek, aangeduid als CVE-2023-2825, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Organisaties kunnen GitLab op hun eigen server of servers installeren. Het probleem is aanwezig in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE) versie 16.0.0. Eerdere versies zijn niet kwetsbaar. Via het lek kan een ongeauthenticeerde gebruiker via path traversal willekeurige bestanden op de server lezen als een bijlage in een publiek project aanwezig dat in minstens vijf groepen is ingebed. Bij path traversal is het mogelijk voor een aanvaller om toegang tot mappen en bestanden te krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. GitLab geeft echter geen verdere details over de kwetsbaarheid. Wel raadt het organisaties ten sterkste aan om versie 16.0.1 zo snel mogelijk te installeren. bron: https://www.security.nl

Al een aantal dagen vindt er een grootschalige aanval plaats tegen WordPress-sites, waarbij aanvallers via een XSS-kwetsbaarheid in een cookiebanner-plug-in kwaadaardige code proberen te injecteren, zo meldt securitybedrijf Wordfence. Het beveiligingslek bevindt zich in de Beautiful Cookie Consent Banner, een plug-in die op meer dan veertigduizend WordPress-sites is geïnstalleerd. Via de banner kunnen websites toestemming vragen voor het plaatsen van cookies. "De plug-in zorgt ervoor dat je website klaar is voor allerlei cookiewetgeving", aldus de ontwikkelaar, die daarbij onder andere de AVG noemt. De plug-in is echter kwetsbaar voor stored cross-site scripting (XSS), waardoor een aanvaller kwaadaardige JavaScript in de website kan injecteren, die vervolgens in de browser van bezoekers wordt uitgevoerd. Zo is het mogelijk voor aanvallers om bezoekers van de WordPress-site naar malafide websites door te sturen of een beheerdersaccount toe te voegen, aldus Wordfence. Details over de waargenomen aanvallen zijn niet gegeven, maar via stored XSS kunnen cookies van ingelogde gebruikers worden gestolen. De XSS-kwetsbaarheid werd in januari van dit jaar verholpen. Wordfence heeft sinds 23 mei naar eigen zeggen aanvallen tegen meer dan 1,5 miljoen WordPress-sites waargenomen, waarbij werd geprobeerd om via het lek in de cookiebanner-plug-in code te injecteren. De aanvallen waren van bijna veertienduizend ip-adressen afkomstig. Beheerders wordt opgeroepen om de update te installeren mocht dat nog niet zijn gedaan. Uit cijfers van WordPress blijkt dat 54 procent de meest recente versie van de plug-in draait. bron: https://www.security.nl

De FBI en de Amerikaanse geheime dienst NSA hebben een vernieuwde handleiding gepubliceerd om ransomware te stoppen (pdf). De oorspronkelijke handleiding verscheen in 2020, maar volgens de overheidsdiensten hebben aanvallers sindsdien hun tactieken en technieken verder ontwikkeld. De aangepaste handleiding bevat onder andere geleerde lessen van de afgelopen jaren en aanvullende aanbevelingen om de impact van ransomware beperken. De handleiding beschrijft verschillende stappen die bij het voorkomen van ransomware of beperken van de impact belangrijk zijn, zoals het voorbereid zijn op een aanval door het maken van back-ups, het opstellen en onderhouden van een cyber incident response plan en het implementeren van een zero trust-architectuur. Ook wordt er ingegaan op het voorkomen van infecties waarbij aanvallers gebruikmaken van kwetsbaarheden en misconfiguraties. Zo wordt aangeraden om Server Message Block (SMB) v1 en v2 uit te schakelen, het gebruik van het remote desktop protocol (RDP) te beperken, wachtwoorden van minimaal vijftien karakters te gebruiken en dagelijkse werkzaamheden niet via accounts met roottoegang uit te voeren. Tevens moet personeel tijdens de jaarlijkse securitytraining op wachtwoordveiligheid worden gewezen en is het nodig om veelgebruikte bestandstypes door malware via een e-mailfilter te stoppen. Ook moeten macro's in Microsoft Office-bestanden die via e-mail zijn verstuurd worden uitgeschakeld, wat ook geldt voor de Windows Script Host (WSH). De handleiding geeft verder ook "best practices" advies om systemen te hardenen. Het tweede deel van de handleiding bevat adviezen wat organisaties moeten doen als hun systemen door ransomware zijn getroffen. Het gaat dan bijvoorbeeld om het isoleren van systemen of het uitschakelen daarvan als ze niet uit het netwerk zijn te verwijderen, maar ook het opschonen van systemen en herstel. De aanpassingen ten opzichte van de eerste versie gaan vooral over infectievectoren, waaronder gecompromitteerde inloggegevens en geavanceerde vormen van social engineering en een uitgebreidere ransomware response checklist, met tips voor 'threat hunting' en detectie. bron: https://www.security.nl

MikroTik heeft een kwetsbaarheid verholpen waardoor routers van het bedrijf door een ongeauthenticeerde aanvaller zijn over te nemen. Het beveiligingslek werd vijf maanden geleden al gedemonstreerd tijdens de Pwn2Own-wedstrijd in Toronto en volgens de organisatie meteen gemeld bij MikroTik, maar de routerfabrikant ontkent dit. Via het beveiligingslek kan een aanvaller die zich in hetzelfde netwerk als de router bevindt willekeurige code op het apparaat uitvoeren. Pwn2Own is een jaarlijks terugkerende wedstrijd georganiseerd door het Zero Day Initiative (ZDI), waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in allerlei producten. De betreffende fabrikant wordt vervolgens over het probleem ingelicht. Het ZDI stelt dat het MikroTik op 9 december 2022 heeft ingelicht over het beveiligingslek, aangeduid als CVE-2023-32154.MikroTik zegt dat het de bugmelding nooit heeft ontvangen. Normaliter maakt het ZDI gerapporteerde kwetsbaarheden na een bepaalde tijd openbaar, ook al heeft de betreffende fabrikant nog geen patches beschikbaar gemaakt. Het bedrijf vroeg MikroTik op 9 mei om een update over de stand van zaken en stuurde een dag later op verzoek van de routerfabrikant de bugmelding nogmaals op. Tevens stelde het ZDI dat het de details van de kwetsbaarheid op 17 mei openbaar zou maken. In een blogposting stelt MikroTik dat het probleem alleen speelt in MikroTik RouterOS versie 6.xx en 7.xx en zich alleen voordoet als de IPv6 advertisement receiver functionaliteit is ingeschakeld. Volgens MikroTik wordt de kwetsbare instelling zelden gebruikt. Als oplossing kunnen IPv6 advertisements worden uitgeschakeld of kan er worden geüpdatet naar een nieuwere versie van RouterOS, het besturingssysteem dat op MikroTik-routers draait. bron: https://www.security.nl

Windows 11 krijgt binnenkort ingebouwde ondersteuning voor archiefbestandstypes zoals 7-Zip, RAR en GZ, zo heeft heeft Microsoft aangekondigd. Hiervoor wordt gebruikgemaakt van libarchive, een opensourceproject. Windows ondersteunt al lange tijd .zip-bestanden, maar voor andere archiefformaten moest een apart programma worden geïnstalleerd. Vorig jaar stelden securitybedrijven nog dat aanvallers steeds vaker van archiefbestandstypes zoals RAR en ISO gebruikmaken om malware te verspreiden, aangezien Microsoft besloot om macro's in Office 365 standaard te blokkeren. Het Internet Storm Center waarschuwde vorige week nog voor een toename van malafide RAR SFX-bestanden die malware bevatten. De support voor 7-Zip, RAR en GZ wordt deze week als eerste onder Windows Insiders uitgerold. bron: https://www.security.nl

De Spaanse overheid wil dat het voor EU-gebaseerde aanbieders wordt verboden om end-to-end encryptie aan hun gebruikers aan te bieden, zo meldt Wired op basis van een gelekt document (pdf). Daarnaast zijn vijftien Europese landen in meer of mindere mate voorstander van het omstreden scanplan van de Europese Commissie om alle chatberichten en ander verkeer van Europese burgers te controleren. Het gelekte document heeft als onderwerp regels om kindermisbruik tegen te gaan en vraagt twintig landen naar hun mening over het scannen van versleuteld materiaal. Spanje laat daarop weten dat het voorstander is van wetgeving die het EU-gebaseerde serviceproviders verbiedt om end-to-end encryptie te implementeren. Ook vindt de Spaanse overheid dat opsporingsdiensten toegang tot data moeten hebben om hun taken uit te voeren. Nederland stelt in de reactie dat het heeft gepleit voor een toevoeging aan het voorstel dat end-to-end encryptie niet onmogelijk mag worden gemaakt. Aan de andere kant wordt ook gewezen naar de eigen technische experts die stellen dat het inspecteren van de inhoud van chatberichten en ander verkeer op het apparaat van de gebruiker de enige vorm van detectie is waarbij end-to-end encryptie niet wordt gecompromitteerd. Critici stellen dat ook bij inspecties op het toestel end-to-end encryptie wordt ondermijnd. Bij deze vorm van versleuteling is de inhoud namelijk alleen voor de afzender en ontvanger beschikbaar en wanneer een derde partij de inhoud kan controleren is dat niet meer het geval. Naast Nederland lieten ook Duitsland en Estland weten dat encryptie niet mag worden verzwakt. Roemenië stelt in het gelekte document dat end-to-end encryptie geen "schuilplaats" voor kwaadwillenden mag worden en vindt daarom naar eigen zeggen het beschermen van kinderen belangrijker. Eerder meldde The Guardian dat België, Bulgarije, Cyprus, Hongarije, Ierland, Italië, Letland, Litouwen, Roemenië en Spanje het scanplan van Brussel steunen. bron: https://www.security.nl

De AVG is deze week vijf jaar van kracht, maar Europese toezichthouders laten na om de privacywetgeving goed te handhaven, zo stelt noyb, de organisatie van privacyactivist Max Schrems. Met name de Autoriteit Persoonsgegevens heeft nog tientallen klachten van noyb op de plank liggen. Een klacht die noyb bij de Ierse privacytoezichthouder indiende leidde tot een boete van 1,2 miljard euro voor Meta, maar volgens de privacyorganisatie is dit juist een voorbeeld van niet-werkende handhaving. De Ierse privacytoezichthouder DPC had namelijk meer dan tien jaar nodig om tot een eerste beslissing te komen, waar Meta nu tegen in beroep gaat. Daarnaast moest Schrems ook drie verschillende zaken tegen de DPC aanspannen zodat die zijn werk deed, aldus noyb. De kosten hiervan bedragen naar schatting meer dan tien miljoen euro. Ook stelt noyb dat de beslissing van de Ierse toezichthouder om met de boete van 1,2 miljard euro te komen strategisch was vertraagd tot het vijfjarig jubileum van de AVG. Het is niet alleen de Ierse privacytoezichthouder die ervan langs krijgt. Noyb heeft een kaart gemaakt met Europese privacytoezichthouders waar bepaalde problematiek speelt. Ook de Autoriteit Persoonsgegevens (AP) staat op deze kaart vermeld. Volgens noyb zijn klachten die het jaren geleden bij de Nederlandse privacytoezichthouder indiende nog altijd niet behandeld. De afgelopen jaren diende noyb meer dan achthonderd klachten bij Europese privacytoezichthouders in. 85 procent daarvan wacht nog altijd op een beslissing en 470 klachten liggen al meer dan anderhalf jaar op de plank. Zestig van deze privacyklachten werden bij de AP ingediend. De Nederlandse privacytoezichthouder is daarmee koploper. Geen enkel ander land heeft meer privacyklachten van noyb op de plank liggen. "De AVG had sterke politiek steun. Vijf jaar verder zien we veel weerstand bij toezichthouders en rechtbanken om de wet te handhaven. De wetgever heeft gesproken, maar nationale rechtbanken en autoriteiten vinden continu nieuwe manieren om niet te luisteren", aldus Schrems. "Het voelt vaak dat er meer energie wordt gestoken in het ondermijnen van de AVG dan die te volgen." De privacyactivist hoopt dan ook dat toezichthouders hun houding veranderen en op een "serieuze handhavingscultuur" overstappen. bron: https://www.security.nl

Microsoft gaat e-mail die vanaf kwetsbare Exchange 2016/2019-servers naar Exchange Online wordt verstuurd vanaf volgend jaar mei blokkeren. Exchange 2007 is al in augustus aan de beurt, gevolgd door Exchange Server 2010 en 2013 in respectievelijk november en februari. Dat heeft Microsoft bekendgemaakt. Volgens het techbedrijf wordt de maatregel genomen om het "Exchange-ecosysteem" te beschermen en is het geen manier om klanten naar de cloud te krijgen. Exchange Server 2007, 2010 en 2013 zijn inmiddels end-of-life en ontvangen geen beveiligingsupdates meer. Exchange 2016 en 2019 worden nog wel door Microsoft ondersteund, maar alleen als die een bepaalde Cumulative Update (CU) hebben geïnstalleerd. Wanneer een Exchange 2016/2019-server geen up-to-date CU-versie draait, beschouwt Microsoft die als kwetsbaar. Om het aantal kwetsbare Exchange-servers terug te dringen kondigde Microsoft begin dit jaar het plan aan om mail afkomstig van deze servers en bedoeld voor Exchange Online te blokkeren. Zodra een kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het "throttelen" van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen. Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Microsoft was oorspronkelijk van plan om eind mei met het waarschuwen van Exchange 2007-beheerders te beginnen, maar heeft nu besloten om hier een maand mee te wachten. Daardoor is de hele tijdlijn met een maand verschoven. bron: https://www.security.nl

Begin deze maand lanceerde Google verschillende nieuwe top level domains (TLD's) waaronder .zip. Criminelen maken nu gebruik van .zip-domeinen voor het uitvoeren van phishingaanvallen, zo meldt internetbedrijf Netcraft. Organisaties wordt onder andere geadviseerd om .zip-domeinen op hun netwerk te blokkeren, terwijl Mozilla werd verzocht om het TLD van de "public suffix" lijst te verwijderen. Die bevat een overzicht van bekende top level domains. Beveiligingsexperts waarschuwden dat de .zip-TLD zich uitermate leent voor phishing en andere aanvallen. Inmiddels zijn verschillende van dergelijke aanvallen waargenomen, aldus Netcraft en securitybedrijf Silent Push. Organisaties krijgen van securitybedrijf Arctic Wolf het advies om het .zip-TLD op hun netwerk te blokkeren. Google stelt in een reactie tegenover The Register dat het risico op verwarring tussen domeinnamen en bestandsnamen niet nieuw is en het de ontwikkelingen rond het top level domain in de gaten zal houden. bron: https://www.security.nl