Captain Kirk

Verschillende beveiligingsexperts hebben uitgehaald naar de nieuwe manier waarop Google Chrome gerichte advertenties aan gebruikers laat zien en de manier waarop het techbedrijf dit aankondigt. Programmeur en investeerder Paul Graham, één van de oprichters van Y Combinator, spreekt van spyware en ook Matthew Green, universitair docent cryptografie aan de Johns Hopkins Universiteit, uit de nodige kritiek op X. Trackingcookies spelen een belangrijke rol bij het volgen van gebruikers op internet en tonen van gerichte advertenties. Vanwege privacyzorgen worden dergelijke cookies door meerdere browsers inmiddels geblokkeerd. Om gebruikers zonder het gebruik van third-party cookies toch gerichte advertenties te kunnen blijven tonen bedacht Google de "Privacy Sandbox", een verzameling van technieken waarmee gepersonaliseerde reclame is te tonen. Bij Topics, zoals één van de trackingmethodes wordt genoemd, bepaalt de browser op basis van het browsegedrag van de gebruiker welke onderwerpen hij interessant vindt en stemt daar advertenties op af. Wanneer gebruikers een website bezoeken die Topics ondersteunt zal de technologie drie onderwerpen kiezen waar de gebruiker interesse in heeft en die met de website en diens advertentiepartners delen. Vervolgens kunnen websites en adverteerders op basis van deze onderwerpen advertenties tonen. Topics worden voor een periode van drie weken bewaard. Gebruikers kunnen de door de browser gekozen onderwerpen zien en die verwijderen. De feature zal standaard in Chrome worden ingeschakeld, maar het is mogelijk om die uit te schakelen. Sinds juli laat Google aan Chrome-gebruikers een pop-up zien met de tekst 'Enhanced ad privacy in Chrome', waarmee het gebruikers laat weten dat de feature staat ingeschakeld of toestemming vraagt dit te doen. "Het doet precies het tegenovergestelde van wat de titel zegt", stelt beveiligingsonderzoeker Will Dormann. Google blijkt verschillende versies van de pop-up te gebruiken, afhankelijk van waar de Chrome-gebruiker zich bevindt. Zo krijgen Europese gebruikers een uitnodiging om aan Topics mee te doen, zo laat Google tegenover The Register weten. Daarnaast kunnen alle Chrome-gebruikers de feature uitschakelen. bron: https://www.security.nl

Drie type routers van fabrikant Asus bevatten kritieke kwetsbaarheden waardoor de apparaten op afstand zijn over te nemen. De impact van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Asus kwam afgelopen mei, juli en augustus met firmware-updates voor de drie modellen. Het gaat om de Asus RT-AX55, RT-AX56U_V2 en RT-AC86U. De routers bevatten drie format string kwetsbaarheden (CVE-2023-39238, CVE-2023-39239 en CVE-2023-39240) die remote code execution mogelijk maken, aldus het Taiwan Computer Network Crisis Management and Coordination Center. Voor de RT-AX55 en RT-AX56U_V2 zijn de problemen verholpen in firmware-versie 3.0.0.4.386_51948. Voor gebruikers van de RT-AC86U is versie 3.0.0.4.386_51915 verschenen. bron: https://www.security.nl

Weggeefforum Freecycle.org heeft de gegevens van meer dan zeven miljoen gebruikers gelekt. Het gaat om gebruikersnamen, met MD5 gehashte wachtwoorden en e-mailadressen die sinds juni op internet te koop worden aangeboden. Freecycle.org is een wereldwijde online community waar gebruikers allerlei producten weggeven. Het forum telt meer dan vijfduizend stadsgroepen, waaronder ook in Nederland. De aanvaller die de data aanbiedt stelt dat het om meer dan zeven miljoen gebruikers gaat, terwijl Freecycle claimt meer dan negen miljoen gebruikers te hebben. Vorige week meldde Freecycle dat het slachtoffer van een datalek was geworden. Hoe de gegevens konden worden gestolen is niet bekendgemaakt. Wel worden gebruikers aangeraden hun wachtwoord te wijzigen en dat ook bij andere websites te doen als ze daar hetzelfde wachtwoord gebruiken. bron: https://www.security.nl

De helpdesks van organisaties die klant zijn van authenticatieplatform Okta zijn de afgelopen weken het doelwit geweest van social engineering-aanvallen, waarbij de aanvallers probeerden om de multifactorauthenticatie (MFA) van 'highly privileged users' te resetten. Vervolgens gebruiken de aanvallers hun toegang tot Okta super admin-accounts om zich als andere gebruikers binnen de aangevallen organisatie voor te doen. Dat meldt Okta in een blogposting. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Het bedrijf werd vorig jaar zelf ook het slachtoffer van een aanval. Bij de aanvallen waarover Okta nu bericht waren de helpdesks van klanten het doelwit. De aanvallers weten de helpdeskmedewerkers zover te krijgen dat ze de MFA van accounts met hogere rechten verwijderen. Het ging de aanvallers vooral om gebruikers met super administrator rechten. Volgens Okta lijkt het erop dat de aanvallers voordat de social engineering-aanval plaatsvindt over de wachtwoorden van de privileged user accounts beschikten of de authenticatie via Active Directory manipuleerden. Zodra een super admin-account was gecompromitteerd werd het account gebruikt om andere accounts hogere rechten te geven en/of authenticators van bestaande admin-accounts te resetten. In sommige gevallen besloten de aanvallers de 2FA-vereiste uit het authenticatiebeleid te verwijderen. Bij de volgende stap van de aanval maakten de aanvallers gebruik van een eigen tweede identiteitsprovider, die als "impersonation app" werd ingesteld. Daarmee kregen de aanvallers in naam van andere gebruikers toegang tot applicaties binnen de aangevallen organisaties. Dit is mogelijk vanwege 'inbound federation'. Daarmee is het mogelijk om toegang tot applicaties van een 'target' identiteitsprovider te krijgen als de gebruiker zich eerst bij een 'source' identiteitsprovider heeft ingelogd. Bij hun eigen 'source' identiteitsprovider wijzigden de aanvallers de gebruikersnaam voor de aangevallen gebruiker, zodat de naam overeenkwam met een echte gebruiker bij de 'target' identiteitsprovider. Volgens Okta is inbound federation vooral populair bij grote organisaties die met overnames en fusies te maken hebben. Gebruikers van de verschillende organisaties, met elk hun eigen identiteitsproviders, kunnen zo toch toegang tot de relevante applicaties krijgen. Hoeveel organisaties precies zijn getroffen laat Okta niet weten. De aanvallen deden zich voor tussen 29 juli en 19 augustus. bron: https://www.security.nl

VMware waarschuwt organisaties voor een kritieke kwetsbaarheid in Aria Operations for Networks, waardoor een aanvaller de SSH-authenticatie kan omzeilen en toegang tot de command-line interface (CLI) van het systeem kan krijgen. De impact van de kwetsbaarheid (CVE-2023-34039) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. VMware Aria Operations for Networks, dat eerder bekendstond als vRealize Network Insight, is een tool voor het monitoren van netwerken. Door het niet genereren van unieke cryptografische keys kan een aanvaller met toegang tot het systeem de SSH-authenticatie omzeilen en toegang tot de command-line interface krijgen. VMware heeft een update uitgebracht om het probleem te verhelpen. Afgelopen juni bleek dat aanvallers actief misbruik maakten van een andere kwetsbaarheid (CVE-2023-20887) in Aria Operations for Networks. Iets meer dan een week na het uitkomen voor de patch voor deze kwetsbaarheid werden de eerste aanvallen gemeld. Organisaties worden dan ook opgeroepen om de update voor CVE-2023-34039 te installeren. bron: https://www.security.nl

OpenSSH krijgt bescherming tegen keystroke timing-aanvallen en zal als onderdeel hiervan nep-toetsaanslagen gaan versturen. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren. In 2001 kwamen onderzoekers met een paper genaamd 'Timing Analysis of Keystrokes and Timing Attacks on SSH' (pdf), waarin ze stelden dat een aanvaller de toetsaanslagen van SSH-gebruikers kan achterhalen. In de interactive mode van SSH zal voor elke toetsaanslag van de gebruiker een apart IP-packet worden verstuurd. Zo kan 'interkeystroke timing information' van de gebruiker worden gelekt aan een aanvaller die toegang tot het netwerkverkeer heeft. Deze informatie is te gebruiken voor het achterhalen van het wachtwoord van de gebruiker en andere informatie die in de SSH-sessie wordt getypt. Gebruikers hebben in het verleden geregeld gevraagd wat er tegen dergelijke timing-aanvallen wordt gedaan. OpenSSH-ontwikkelaar Damien Miller heeft nu ondersteuning voor 'keystroke timing obfuscation' aan OpenSSH toegevoegd. Deze maatregel moet inter-keystroke timings verbergen door op vaste intervallen, wanneer er weinig data wordt verstuurd, interactief verkeer te versturen. Ook zorgt deze feature ervoor dat na de laatste echte toetsaanslag van de gebruiker er voor een willekeurige periode nep-toetsaanslagen worden verstuurd. De feature komt beschikbaar in de volgende release van OpenBSD, dat OpenSSH ontwikkelt, gevolgd door andere platforms. bron: https://www.security.nl

Microsoft heeft support voor HTTP Strict Transport Security (HSTS) toegevoegd aan Exchange Server 2016 en 2019, zo heeft het techbedrijf aangekondigd. "HSTS is een manier die websites tegen man-in-the-middle-aanvallen moet beschermen, zoals protocol downgrade-aanvallen en het kapen van cookies", aldus de uitleg van Microsoft. Webservers kunnen door middel van HSTS aangeven dat er alleen via HTTPS verbinding met de website mag worden gemaakt. Via de Strict-Transport-Security (STS) header laat de server aan de browser weten dat HSTS moet worden nageleefd. HSTS voorkomt ook dat gebruikers waarschuwingen voor ongeldige certificaten, bijvoorbeeld omdat ze verlopen, niet worden vertrouwd of ongeldig zijn, kunnen negeren. Wanneer een aanvaller een downgrade of man-in-the-middle-aanval probeert uit te voeren, zal de browser dit detecteren en de verbinding niet opzetten, legt Microsoft verder uit. Volgens het techbedrijf was ondersteuning van HSTS een veelgevraagde feature door klanten. HSTS staat niet standaard ingeschakeld. Microsoft adviseert systeembeheerders die de feature willen inschakelen om de documentatie goed te lezen, omdat anders de Exchange-server onbereikbaar kan worden. bron: https://www.security.nl

Mozilla gaat Firefox Relay, een dienst waarmee gebruikers een e-mailalias kunnen genereren om zich bijvoorbeeld op websites te registreren, verder binnen Firefox integreren en onder miljoenen gebruikers uitrollen. Daardoor kan Firefox straks bij elke online registratie een e-mailalias genereren en voorstellen, zodat de gebruiker nooit zijn echte e-mailadres hoeft op te geven. Deze 'e-mail masks' werden begin dit jaar onder een beperkt aantal gebruikers getest. De feature komt de komende weken voor miljoenen gebruikers met een Firefox Account beschikbaar. Gebruikers maken via Firefox Relay een alias aan. E-mails worden via de aangemaakte alias, eindigend op het domein mozmail.com, naar het echte e-mailadres van de gebruiker doorgestuurd. Zodoende komt het echte e-mailadres nooit in handen van de betreffende website. De gratis versie van Firefox Relay biedt gebruikers vijf aliassen. Gebruikers die een dollar per maand betalen kunnen een onbeperkt aantal 'masks' genereren. Het gebruik van Firefox Relay vereist het aanmaken van een Firefox Account. bron: https://www.security.nl

De aanvallers die een wereldwijde zeroday-aanval tegen Barracuda Email Security Gateways (ESG) uitvoerden hielden er rekening mee dat de aanval zou worden ontdekt, en installeerden na de bekendmaking nieuwe malware op getroffen apparaten om zo ook nieuwe en opgeschoonde gateways te kunnen infecteren, zo stelt securitybedrijf Mandiant. Verder zochten de aanvallers vooral naar e-mailaccounts van medewerkers met een politieke of strategische interesse voor de Chinese overheid, aldus de onderzoekers van het bedrijf. De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een e-mail met een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Barracuda ontdekte het zerodaylek op 19 mei van dit jaar, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Volgens Mandiant, dat onderzoek naar de aanvallen deed, wordt er al sinds 10 oktober vorig jaar misbruik van het lek gemaakt. Barracuda liet eerder al weten dat vijf procent van alle gateways wereldwijd is gecompromitteerd. Vooral in de Verenigde Staten en Canada blijken deze apparaten zich te bevinden. Dat kan volgens Mandiant ook te maken hebben met het klantenbestand, dat zich vooral in deze landen bevindt. Verder stelt het securitybedrijf in een vandaag verschenen analyse dat de aanvallers er rekening mee hielden dat de zeroday-aanval zou worden opgemerkt. Een week nadat Barracuda bekendmaakte dat er een zerodaylek in de gateway zat, rolden de aanvallers onder een select aantal slachtoffers aanvullende malware uit met de naam Submarine of Depthcharge. Het ging met name om overheidsinstanties en techbedrijven. Via deze malware konden de aanvallers opgeschoonde of nieuwe gateways opnieuw infecteren als getroffen organisaties een back-upconfiguratie van een eerder besmette gateway terugplaatsten. Onlangs liet de FBI nog weten dat de updates die Barracuda uitbracht om het zerodaylek te verhelpen onvoldoende waren en adviseerde om de gateways meteen uit het netwerk te verwijderen. bron: https://www.security.nl

Microsoft gaat dit najaar Extend Protection standaard op Exchange 2019-servers inschakelen, zo heeft het techbedrijf aangekondigd. Systeembeheerders kunnen de beveiligingsmaatregel, die bescherming tegen relay-aanvallen moet bieden, wel weer uitschakelen. Bij relay-aanvallen weet een aanvaller door middel van onderschepte communicatie zich als het slachtoffer bij de server aan te melden. Exchange ondersteunt Extend Protection al sinds vorig jaar augustus, maar beheerders moesten het wel zelf inschakelen. Dit najaar zal Microsoft via Cumulative Update 14 bij alle Exchange 2019-servers de beveiligingsmaatregel inschakelen. De feature wordt alleen bij Exchange Server 2019 ingeschakeld, aangezien dit de enige versie is die nog mainstream support ontvangt. Microsoft roept organisaties op om Extend Protection nu al in hun omgeving in te schakelen. De maatregel is sinds de 'August 2022 Security Update' beschikbaar. Servers die deze beveiligingsupdate missen zijn volgens Microsoft permanent kwetsbaar en zouden meteen moeten worden geüpdatet. Daarnaast zullen deze oudere servers niet kunnen communiceren met Exchange-servers die Extend Protection hebben ingeschakeld. bron: https://www.security.nl

Het ip-adres van mobiele Skype-gebruikers is alleen door het versturen van een malafide link te achterhalen. Behalve het openen van het bericht is geen verdere interactie vereist, zoals het klikken op de link zelf. Microsoft was eerst niet van plan om het probleem te verhelpen, maar heeft nu toch een update aangekondigd. Het probleem doet zich alleen voor bij de Skype-app. De desktopapplicatie is niet kwetsbaar. Dat meldt 404 Media, dat door een beveiligingsonderzoeker genaamd 'Yossi' werd ingelicht. Aangezien Skype nog steeds kwetsbaar is wil de publicatie niet vertellen hoe de kwetsbaarheid precies werkt, behalve dat alleen het openen van een bericht met een speciaal geprepareerde link voldoende is om het ip-adres te lekken. De onderzoeker stelt dat hij Microsoft op 12 augustus over het probleem informeerde, maar het techbedrijf het lekken van het ip-adres niet als een kwetsbaarheid beschouwt. In een verdere uitleg laat Microsoft weten dat het probleem niet ernstig genoeg is om meteen te worden verhelpen, maar het in de toekomst met een update komt om klanten te beschermen. bron: https://www.security.nl

Cisco VPN's zonder multifactorauthenticatie (MFA) zijn het doelwit van ransomware-aanvallen, zo heeft het netwerkbedrijf bekendgemaakt. Het gaat om aanvallen door criminelen achter de Akira-ransomware, die het voorzien hebben op organisaties die geen MFA voor hun VPN-gebruikers hebben ingeschakeld. De Akira-groep zou sinds afgelopen maart actief zijn. Begin deze maand meldde een beveiligingsonderzoeker op X dat Cisco VPN's zonder MFA door de criminelen werden aangevallen. Volgens Cisco hebben de aanvallers vermoedelijk gebruikgemaakt van bruteforce-aanvallen om toegang tot de VPN-server te krijgen of is er gebruik van gestolen inloggegevens gemaakt, die bijvoorbeeld via online fora zijn aangeschaft. Cisco weet dit echter niet met zekerheid, omdat bij de aangevallen Cisco VPN-servers geen logging was ingeschakeld. "Dit maakt het lastig om te bepalen hoe de Akira-groep toegang tot de VPN's heeft gekregen", zegt Omar Santos van Cisco. Volgens Santos laten de ransomware-aanvallen het belang van MFA zien. "Door MFA te implementeren kunnen organisaties de kans van ongeautoriseerde toegang, waaronder potentiële ransomware-infecties, aanzienlijk verkleinen. Als een aanvaller ongeautoriseerde toegang krijgt tot de VPN-inloggegevens van een gebruiker, bijvoorbeeld via een bruteforce-aanval, biedt MFA een aanvullende beveiligingslaag om te voorkomen dat de aanvaller toegang tot de VPN krijgt." bron: https://www.security.nl

De criminelen achter de Clop-ransomware hebben via een kwetsbaarheid in MOVEit Transfer de gegevens van zestig miljoen personen gestolen. Duizend organisaties werden via het beveiligingslek aangevallen, zo stelt securitybedrijf Emsisoft op basis van datalekmeldingen aan privacytoezichthouders, persberichten, meldingen bij de Amerikaanse beurswaakhond SEC en de website van de criminelen zelf. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van inmiddels duizend organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties. Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren. Emsisoft stelt dat inmiddels van duizend organisaties bekend is dat ze slachtoffer zijn geworden en dat aantal kan nog verder groeien. De grootste datadiefstal via het MOVEit-lek vond plaats bij de Amerikaanse dienstverlener Maximus, waarbij de gegevens van elf miljoen personen werden gestolen. Op de tweede plaats staat het Franse centrum voor werkgelegenheid Pôle emploi. Daar kregen de aanvallers de gegevens van tien miljoen mensen in handen, zo werd vorige week bekend. De meeste getroffen organisaties, 84 procent, bevinden zich in de Verenigde Staten, Duitsland volgt met 3,6 procent op de tweede plek, gevolgd door Canada (2,6 procent) en het Verenigd Koninkrijk (2,1 procent). Financiële en professionele dienstverleners en onderwijsinstellingen maken bij elkaar vijftig procent van de getroffen organisaties uit. bron: https://www.security.nl

Een Europese backbone-provider is via een kwetsbare versie van ManageEngine Servicedesk besmet met malware, zo stelt Cisco. De niet nader genoemde "internet backbone infrastructure provider" had nagelaten een beschikbare beveiligingsupdate te installeren. Servicedesk is software waarmee helpdesks allerlei taken kunnen uitvoeren, zoals incidentmanagement, het beheer van supporttickets en het genereren van rapportages. Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. In januari van dit jaar werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt. Vijf dagen na de publicatie maken aanvallers actief misbruik van de kwetsbaarheid. De aanval op de backbone-provider is volgens Cisco het werk van de Lazarus Group, die volgens het netwerkbedrijf wordt gesponsord door de Noord-Koreaanse overheid. Lazarus wordt door onderzoekers aangemerkt als een financieel gemotiveerde groep en richt zich vaak op cryptogerelateerde bedrijven. Wat het precies met de aanval op de backbone-provider wilde bereiken is niet bekend. De malware die de groep bij de aanvallen inzet maakt gebruik van het QT framework. Dat vergroot volgens Cisco de complexiteit van de code, wat analyse door onderzoekers lastiger maakt in vergelijking met malware gemaakt met eenvoudigere programmeertalen. bron: https://www.security.nl

Dus toch een instelling. Soms kan een simpele instelling best irritant zijn. Fijn dat het verholpen lijkt te zijn. Is het OK dat we het topic sluiten?

Ik heb hier ook zo even geen verklaring voor. Maar zou het kunne zijn dat er binnen Photoshop bij de instellingen iets staat aangegeven dat Photoshop dit zelf doet? Het is meedenken, oorzaak en oplossing weet ik zo even niet. Sorry

Een Europese backbone-provider is via een kwetsbare versie van ManageEngine Servicedesk besmet met malware, zo stelt Cisco. De niet nader genoemde "internet backbone infrastructure provider" had nagelaten een beschikbare beveiligingsupdate te installeren. Servicedesk is software waarmee helpdesks allerlei taken kunnen uitvoeren, zoals incidentmanagement, het beheer van supporttickets en het genereren van rapportages. Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. In januari van dit jaar werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt. Vijf dagen na de publicatie maken aanvallers actief misbruik van de kwetsbaarheid. De aanval op de backbone-provider is volgens Cisco het werk van de Lazarus Group, die volgens het netwerkbedrijf wordt gesponsord door de Noord-Koreaanse overheid. Lazarus wordt door onderzoekers aangemerkt als een financieel gemotiveerde groep en richt zich vaak op cryptogerelateerde bedrijven. Wat het precies met de aanval op de backbone-provider wilde bereiken is niet bekend. De malware die de groep bij de aanvallen inzet maakt gebruik van het QT framework. Dat vergroot volgens Cisco de complexiteit van de code, wat analyse door onderzoekers lastiger maakt in vergelijking met malware gemaakt met eenvoudigere programmeertalen. bron: https://www.security.nl

Twee kwetsbaarheden in de populaire WordPress-plugin Jupiter X Core geven hackers de mogelijkheid om de website in kwestie over te nemen en zonder authenticatie bestanden te uploaden. Jupiter X Core is een visuele editor die als plugin onderdeel uitmaakt van het Jupiter X-thema. Ruim 172 duizend WordPress-websites gebruiken dit 59 dollar kostende thema, schrijft Bleepingcomputer op basis van de verkooppagina op Themeforest. De twee kwetsbaarheden zijn ontdekt door WordPress-beveiligingsfirma Patchstack en gerapporteerd aan de ontwikkelaar van het thema. Die heeft onlangs een beveiligingsupdate uitgebracht die de kwetsbaarheden verhelpt. Gebruikers van Jupiter X Core met versie 3.3.8 en lager zijn kwetsbaar en dienen de plugin te updaten naar versie 3.4.3. De ene kwetsbaarheid (CVE-2023-38388) stelt een kwaadwillende in staat om zonder authenticatie bestanden te uploaden, inclusief potentieel het uitvoeren van willekeurige code op de server. Om die reden heeft het lek een score van 9.0 gekregen. De tweede kwetsbaarheid is met een score van 9.8 nog gevaarlijker en draagt de naam CVE-2023-38389. Een kwaadwillende die het e-mailadres van de gebruiker weet, kan dat WordPress-account in kwestie overnemen door een bug in de authenticatiemethode. Onduidelijk is of één of beide kwetsbaarheden in het wild misbruikt zijn. Bleepingcomputer kon hier geen bewijs voor vinden. Patchstack laat zich niet uit over eventueel misbruik. bron: https://www.security.nl

Onderzoekers hebben malware ontdekt die vanaf besmette pc's naar wifi-routers in de buurt zoekt, om zo de locatie van de geïnfecteerde computer te achterhalen. Dat laat securitybedrijf Secureworksin een analyse weten. De malware, met de naam 'Whiffy Recon', wordt geïnstalleerd door andere malware. Eenmaal actief kijkt Whiffy Recon eerst of de computer over wifi beschikt. Vervolgens vindt de wifi-scan plaats, waarbij naar wifi-routers in de buurt wordt gezocht. De scanresultaten worden dan naar de Google Geolocation API gestuurd. Deze dienst bepaalt aan de hand van wifi access points en zendmasten de locatie van systemen. Het resultaat van de Google API gaat daarna naar de aanvallers. "Omdat de wifi-scanning elke zestig seconden plaatsvindt en wordt verrijkt met geolocatiegegevens, kunnen de aanvallers daarmee het besmette systeem volgen. Het is onduidelijk hoe de aanvallers deze data gebruiken", aldus Secureworks. Het securitybedrijf heeft verschillende indicators of compromise gegeven die organisaties kunnen gebruiken om verkeer naar de server van de aanvallers te blokkeren. bron: https://www.security.nl

Alle gebruikers van Messenger zouden voor het einde van dit jaar standaard end-to-end versleuteld moeten communiceren, zo heeft Meta aangekondigd. De beveiligingsmaatregel is inmiddels bij nog meer gebruikers ingeschakeld. Vorig jaar augustus werd end-to-end encryptie bij "sommige" gebruikers uitgerold. Gebruikers van Messenger hebben al de mogelijkheid om end-to-end versleuteld te communiceren, maar moeten dit zelf inschakelen. Meta liet eerder al weten dat het chats standaard end-to-end wil versleutelen en test dat stapsgewijs. Sinds dinsdag is end-to-end encryptie bij "miljoenen" meer gebruikers ingeschakeld en stelt Meta dat het op koers ligt om end-to-end encryptie voor het einde van dit jaar standaard voor alle één-op-één en 'family chats' in te schakelen. Volgens het techbedrijf is het een ongekend complexe en uitdagende puzzel om de overstap naar standaard end-to-end encryptie te maken. Zo moest de volledige code base voor het versturen van berichten en bellen bijna volledig opnieuw worden geschreven. Daarom wordt ook voor een gefaseerde uitrol gekozen. Eerder dit jaar werd Meta nog door politiediensten opgeroepen om de encryptieplannen te heroverwegen en end-to-end encryptie alleen door te voeren als er ook "robuuste veiligheidssystemen" zijn om de veiligheid van kinderen te beschermen. bron: https://www.security.nl

Google heeft de eerste wekelijkse beveiligingsupdates voor Chrome uitgebracht. Het techbedrijf liet onlangs weten dat het elke week patches voor de browser zal uitbrengen om zo gebruikers beter te beschermen. Met de nieuwste versie van de browser zijn in totaal vijf kwetsbaarheden verholpen. Chrome is gebaseerd op de open source Chromium-browser. De code is open source en kan door iedereen worden bekeken, waaronder verholpen kwetsbaarheden. Het is al meerdere keren voorgekomen dat kwetsbaarheden in Chromium of andere opensource-onderdelen van Chrome door de ontwikkelaars van deze onderdelen waren gepatcht, maar deze updates nog niet door Google binnen Chrome waren doorgevoerd. Gebruikers konden daardoor worden aangevallen. Om deze 'patch gap' te verkorten is met de lancering van Chrome 116 voor een wekelijke patchcyclus gekozen. De eerste update voor Chrome 116 verhelpt in totaal vijf beveiligingslekken, waarvan de maximale impact als 'high' is beoordeeld. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De update naar Chrome 116.0.5845.110 voor Linux en macOS en Chrome 116.0.5845.110/.111 voor Windows zal op de meeste systemen automatisch worden geïnstalleerd. In het geval van kwetsbaarheden met een "high" impact kan dit echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Microsoft heeft een zakelijke versie van Edge gelanceerd, die zich richt op security, privacy en beheer, zo claimt het techbedrijf. Edge for Business is geen nieuwe browser, maar een versie die productiviteit en security moet verbeteren, zo staat in de uitleg vermeld. Naast de kleine visuele aanpassingen is het bij de zakelijke versie ook mogelijk voor organisaties om volledige controle over policies, features en configuraties te hebben, in tegenstelling tot de normale versie waarbij dit veel beperkter is. Microsoft stelt verder dat Edge for Business het oppervlak voor cyberaanvallen kan verkleinen en de 'security posture' van een organisatie kan verbeteren. Verder biedt het voor eindgebruikers die op zowel werk als persoonlijke profielen zijn ingelogd de optie om automatisch te switchen, wat security- en privacyvoordelen zou hebben. Alle gebruikers die inloggen met Entra ID (voorheen Azure Active Directory) zullen Edge for Business automatisch ontvangen. Er is geen aparte download vereist. Wachtwoorden, favorieten en data gekoppeld aan het werkprofiel van de gebruiker zullen ook in Edge for Business beschikbaar zijn. Data, favorieten en wachtwoorden worden niet gedeeld tussen werk en persoonlijke browservensters. Door middel van een apart Edge-icoon kunnen gebruikers zien dat ze de 'werkbrowser' gebruiken. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Veeam voor het aanvallen van back-upservers. Het gaat onder andere om de criminelen achter de Cuba-ransomware, zo melden BlackBerry en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2023-27532, is sinds 7 maart van dit jaar beschikbaar. Veeam biedt oplossingen voor het maken en restoren van back-ups en repliceren van software. Via de kwetsbaarheid in Veeam Backup & Replication en Veeam Cloud Connect kan een ongeauthenticeerde aanvaller versleutelde inloggegevens uit de configuratiedatabase stelen, en zo toegang tot de back-upserver krijgen. Voorwaarde is wel dat de aanvaller toegang tot de 'backup infrastructure network perimeter' moet hebben om de aanval uit te kunnen voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. In april meldde securitybedrijf WithSecure dat een 'financieel gemotiveerde cybercrimegroep' genaamd FIN7 misbruik van de kwetsbaarheid maakte. Vorige week liet BlackBerry weten dat dit ook werd gedaan door de criminelen achter de Cuba-ransomware. Gisterenavond kwam het CISA vervolgens met de melding dat er actief misbruik van het lek werd gemaakt en heeft nu federale Amerikaanse overheidsinstanties verplicht om de Veeam-update voor 12 september te installeren. bron: https://www.security.nl

Gegevens van 2,6 miljoen gebruikers van het online taalplatform Duolingo worden via een online forum verspreid. Het gaat onder andere om e-mailadressen, namen, gesproken talen, gebruikersnamen en talen die gebruikers aan het leren zijn. De data kon door middel van scraping worden verkregen, waarbij aanvallers gebruikmaakten van een kwetsbare programmeerinterface (API). Via Duolingo is het mogelijk om allerlei talen te leren. Het platform had vorig jaar 50 miljoen actieve gebruikers per maand. "De gegevens zijn door middel van scraping van publieke profielinformatie verkregen", aldus een woordvoerder afgelopen januari, toen de gegevens op internet te koop werden aangeboden. Inmiddels wordt de data via een "populair hackingforum" verspreid, stelt beveiligingsonderzoeker Troy Hunt. "Hoewel sommige data-attributen opzettelijk openbaar zijn, vormt de mogelijkheid om private e-mailadressen aan ze te koppelen een risico voor de privacy van gebruikers", aldus de onderzoeker, die tevens oprichter van datalekzoekmachine Have I Been Pwned is. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Hunt heeft de 2,6 miljoen gelekte e-mailadressen nu toegevoegd. Daarvan was maar liefst 100 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om het updatekanaal van Cobra DocGuard te kapen en te gebruiken voor de verspreiding van een backdoor die door Microsoft was gesigneerd, zo meldt securitybedrijf Symantec in een analyse. De meeste slachtoffers van de supply chain-aanval bevinden zich in in Hong Kong. Cobra DocGuard is een programma voor het beveiligen, versleutelen en ontsleutelen van software, ontwikkeld door het Chinese EsafeNet. Vorig jaar september meldde antivirusbedrijf ESET dat een update voor de software was gebruikt voor het infecteren van een gokbedrijf in Hong Kong. In april bleek dat er opnieuw besmette updates onder gebruikers van de software waren verspreid. De afgelopen maanden zijn erop deze manier verschillende malware-exemplaren "uitgerold". Een van de malware-exemplaren was gesigneerd door Microsoft en downloadde de Korplug-backdoor op systemen. Deze backdoor kan aanvallers commando's op besmette systemen laten uitvoeren, bestanden stelen, toetsaanslagen opslaan en firewall-poorten openzetten. De malafide downloader beschikte over een certificaat van Microsoft. Vanaf Windows 10 moeten alle drivers via het Windows Hardware Developer Center Dashboard portal gesigneerd zijn. Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die als alles goed is signeren. Verschillende malafide partijen hebben het Windows Hardware Developer Program misbruikt om hun malafide drivers door Microsoft gesigneerd te krijgen, zo liet het techbedrijf afgelopen juli weten. Zo'n honderd systemen raakten besmet via de malafide updates voor Cobra DocGuard. Het programma draait op zo'n tweeduizend systemen, aldus de onderzoekers. Dit zou suggereren dat de aanvallers de malware selectief onder bepaalde slachtoffers verspreiden. Hoe de aanvallers erin zijn geslaagd het updatekanaal van DocGuard te compromitteren wordt niet door Symantec gemeld. bron: https://www.security.nl