Captain Kirk

Microsoft gaat deze maand beginnen met het waarschuwen van beheerders van Exchange 2007-servers dat die straks geen e-mails meer naar Exchange Online kunnen sturen, omdat die dan worden geblokkeerd. Volgens het techbedrijf wordt de maatregel genomen om het "Exchange-ecosysteem" te beschermen en is het geen manier om klanten naar de cloud te krijgen. Na Exchange Server 2007 zullen ook andere versies van de mailserversoftware volgen. Zodra een kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het "throttelen" van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen. Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Later deze maand zal de "eerste golf" van beheerders van mailservers waarop Exchange Server 2007 draait een "report" van Microsoft ontvangen met de waarschuwing dat ze naar een up-to-date versie van Exchange moeten migreren, of anders geen mail meer naar Exchange Online kunnen sturen. Microsoft zegt dat het klanten op deze manier niet naar de cloud wil dwingen, maar bij de uitleg stelt het techbedrijf dat het als eerste met Exchange Server 2007 begint, aangezien dit de oudste Exchange-versie is waarbij er naar Exchange Online kan worden gemigreerd en deze servers volgens Microsoft worden beheerd door klanten die het kent. bron: https://www.security.nl

Intel doet onderzoek naar de diefstal van Intel BootGuard private keys bij MSI, zo heeft het in een reactie op eerdere berichtgeving laten weten. Daarnaast is een bij MSI buitgemaakte Intel OEM platform key op apparaten van HP, Lenovo en andere fabrikanten aangetroffen, aldus de onderzoekers van securitybedrijf Binarly, die als eerste over het lek berichtten. MSI zelf heeft nog altijd geen verdere reactie gegeven. MSI liet vorige maand weten dat het slachtoffer van een aanval was geworden en adviseerde gebruikers om alleen firmware- en bios-updates van de officiële website te downloaden. Nu blijkt dat bij de aanval private keys voor het signeren van MSI-firmware en Intel BootGuard private keys zijn gestolen. De aanvallers eisten vier miljoen dollar losgeld, anders zouden ze de data openbaar maken. MSI heeft niet bekendgemaakt of er wel of niet is betaald. Wel is een deel van de gestolen data nu online verschenen. Intel BootGuard zorgt ervoor dat er alleen geverifieerde programma's voor het opstarten van het besturingssysteem worden geladen. Met de keys kunnen aanvallers hun kwaadaardige firmware en code signeren en zo het beveiligingssysteem en andere controles omzeilen. Intel stelt dat het met de berichtgeving bekend is en onderzoek doet. Daarbij voegt de chipfabrikant toe dat Intel BootGuard OEM keys door de betreffende computerfabrikant zelf worden gegenereerd en geen Intel signing keys zijn. Ondertussen laat securitybedrijf Binarly weten dat één van de gelekte keys de Intel OEM platform key is die te maken heeft met een onderdeel genaamd "Intel Orange" of "OEM Unlocked", waarmee het mogelijk is aanvullende debug-mogelijkheden in te schakelen. Binarly zegt later met meer informatie te komen. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) houdt de situatie rond het lekken van de private keys van Intel BootGuard in de gaten, zo heeft het zelf bekendgemaakt. De overheidsinstantie zegt over informatie te beschikken dat het lekken van de keys niet alleen impact heeft op de producten van MSI, maar ook diverse andere hard- en softwareleveranciers. "Het ligt daarom in de lijn der verwachting dat er de komende dagen nog meer kwetsbare producten gevonden zullen worden." Intel BootGuard moet de vertrouwelijkheid en integriteit van het opstartproces van een systeem waarborgen door alleen geverifieerde programma's voor het opstarten van het besturingssysteem te laden. "Een kwaadwillende kan een gelekte private key gebruiken om malafide firmware-, BIOS- en software-updates te ondertekenen en zo beveiligingsmaatregelen omzeilen. Hiervoor dient een gebruiker met toegang tot het systeem de malafide update te installeren", aldus het NCSC. Een aanvaller zou dan ook eerst het systeem moeten compromitteren om vervolgens de malafide firmware-update uit te voeren. De overheidsinstantie zegt op dit moment niet met misbruik bekend te zijn, maar houdt de situatie naar eigen zeggen nauwlettend in de gaten. MSI meldde vorige maand dat het slachtoffer van een aanval was geworden en adviseerde gebruikers om alleen firmware- en bios-updates van de officiële website te downloaden. Criminelen achter de Money Message-ransomware claimden verantwoordelijkheid voor de aanval en eisten vier miljoen dollar losgeld. Of MSI op de eisen van de aanvaller is ingegaan, is onbekend. Wel zijn de keys inmiddels gepubliceerd, zo liet securitybedrijf Binarly vorige week weten. bron: https://www.security.nl

Uit nieuwsgierigheid ben ik ook eens even voor je op onderzoek gegaan. Ik heb zelf geen DJ-drone. Dus heb nu wat ik heb ontdekt puur van het internet. Je probleem kom je best veel tegen met diverse oplossingen. De oorzaak zou liggen in de DNS van je ISP. De ISP zou bepaalde sites filteren of tegenhouden vanwege bepaalde rechten(?). Er worden oplossingen gegeven van het inderdaad anders instellen van je DNS naar de Google-settings. Maar in jouw situatie zou ik mij daar niet aan wagen. Er worden ook nog over een tweetal andere oplossingen gesproken. Eén melder heeft het probleem kunnen oplossen door de DS=NS een update te geven. De tweede, die je meer tegen komt, spreekt van mensen die van hun telefoon een hotspot hebben gemaakt en zo wel de update van de DJM en RC hebben kunnen uitvoeren. Dit laatste zou ik zelf als eerste eens proberen.

Microsoft heeft een nieuwe Cumulative Update voor Exchange Server 2019 uitgebracht die onder andere OAuth 2.0-gebaseerde authenticatie, ook wel modern authentication genoemd, voor Outlook toevoegt. Modern authentication ondersteunt authenticatie-features zoals multifactorauthenticatie, smartcards, certificaatgebaseerde authenticatie en third-party identiteitsproviders. Traditioneel gebruikte Exchange Server basic authentication, ook bekend als legacy authentication, waarbij er alleen via een gebruikersnaam en wachtwoord wordt ingelogd. Dit is volgens Microsoft een veiligheidsrisico. Het techbedrijf is dan ook al enige tijd bezig om basic authentication uit te faseren. Voor klanten die hun eigen Exchange-server hosten was er volgens Microsoft geen kant-en-klare oplossing om modern authentication te gebruiken. Vorig jaar liet Microsoft al weten dat het stapsgewijs modern authentication voor "on-premise" Exchange-servers beschikbaar gaat maken. Met de release van 2023 H1 Cumulative Update voor Exchange Server 2019 (ook bekend als CU13), is support van modern authentication voor Outlook op Windows toegevoegd. Support voor Outlook-clients op macOS, Android en iOS volgt later dit jaar. Outlook on the web ondersteunt met Active Directory Federation Services (ADFS) claims-gebaseerde authenticatie, wat een vorm van modern authentication is. Microsoft ondersteunt alleen bepaalde CU-versies van Exchange Server met beveiligingsupdates. Met de release van 2023 H1 CU voor Exchange Server 2019 worden alleen nog CU12 en CU13 ondersteund. Microsoft merkt verder op dat het mogelijk is om modern authentication op gebruikersniveau in en uit te schakelen. bron: https://www.security.nl

Google laat gebruikers voortaan ook met een passkey inloggen op hun Google-account, zo heeft het techbedrijf vandaag bekendgemaakt. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. "In tegenstelling tot wachtwoorden, kunnen passkeys alleen op jouw apparaat bestaan. Ze kunnen niet worden opgeschreven of per ongeluk worden verstrekt aan een aanvaller. Wanneer je met een passkey inlogt op je Google-account, bewijst het aan Google dat je toegang tot je apparaat hebt en het kan ontgrendelen", zegt Googles Arnar Birgisson. In het geval een gebruiker het apparaat verliest waarop een passkey voor zijn Google-account staat is het mogelijk om die passkey in te trekken. Gebruikers wordt ook aangeraden om geen passkey te maken op een apparaat dat met anderen wordt gedeeld. bron: https://www.security.nl

Microsoft zal naar verwachting volgend jaar beginnen met het blokkeren van e-mail die vanaf kwetsbare Exchange 2016/2019-servers naar Exchange Online wordt gestuurd. Eind maart liet Microsoft weten dat Exchange Online e-mails van permanent kwetsbare Exchange-servers gaat blokkeren. Dit moet beheerders aansporen om naar een wel ondersteunde Exchange-versie te migreren. Zodra een permanent kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het "throttelen" van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen. Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Er is besloten om als eerste met Exchange Server 2007 te beginnen, aangezien dit de oudste Exchange-versie is waarbij er naar Exchange Online kan worden gemigreerd en deze servers volgens Microsoft worden beheerd door klanten die het kent. Vervolgens zullen Exchange Server 2010 en 2013 volgen. Exchange 2016 en 2019 worden nog wel door Microsoft met beveiligingsupdates ondersteund. Toch zal het ook mail van deze servers, als ze ernstig achterlopen met patches, gaan blokkeren. Dat zal echter pas waarschijnlijk volgend jaar gebeuren, aldus Microsofts Scott Schnoll. bron: https://www.security.nl

Google gaat het slot-icoon dat in Chrome wordt gebruikt bij HTTPS-websites vervangen door een "tune" icoon, om zo aan te geven dat websites met een versleutelde verbinding niet standaard zijn te vertrouwen. Dat heeft techbedrijf aangekondigd. Het slot-icoon wordt al jaren gebruikt om gebruikers te laten zien dat verkeer van en naar de website versleuteld is. Het zegt echter niet of een website betrouwbaar of veilig is. Al jaren geleden voerde Google onderzoek uit waaruit bleek dat veel eindgebruikers niet begrepen waar het slot-icoon voor staat. Daarop werd in 2016 een nieuw icoon geïntroduceerd. Dat bleek echter niet te helpen, want onderzoek uit 2021 toonde aan dat slechts elf procent van de deelnemers wist wat het slot-icoon inhoudt. Dit misverstand is niet zonder gevolgen, aldus Google, omdat bijna alle phishingsites van HTTPS gebruikmaken en zodoende ook een slot-icoon in de adresbalk weergeven. Inmiddels geven tal van organisaties ook het advies dat een slot-icoon niets zegt over de veiligheid of betrouwbaarheid van de website in kwestie. Daarom zal later dit jaar in Chrome een nieuw "tune" icoon worden gebruikt. Deze neutrale indicator moet aangeven dat security de standaard staat is en websites met dit icoon niet standaard zijn te vertrouwen. Google gaat het nieuwe icoon begin september met de release van Chrome 117 doorvoeren. Op hetzelfde moment zal het slot-icoon ook in Android worden vervangen. Op iOS is het slot-icoon niet "tappable" en zal daar volledig worden verwijderd. Google zal op alle platforms blijven aangeven dat HTTP-sites onveilig zijn. In Chrome Canary, een vroege testversie van de browser, is het al mogelijk voor gebruikers om het slot-icoon zelf in te schakelen via de flag chrome://flags#chrome-refresh-2023. bron: https://www.security.nl

Mozilla heeft Fakespot overgenomen, een dienst die zich bezighoudt met het detecteren van nepreviews op internet, zo is vandaag bekendgemaakt. Fakespot blijft beschikbaar voor verschillende browsers en smartphones, maar er zal in de toekomst een "unieke" integratie met Firefox plaatsvinden. Hierdoor zouden Firefox-gebruikers beter in staat moeten zijn om echte van neprecensies te onderscheiden, zo claimt Mozilla. Fakespot maakt naar eigen zeggen gebruik van kunstmatige intelligentie en machine learning om patronen en overeenkomsten tussen reviews te herkennen, om zo vermeende misleidende recensies te kunnen detecteren. Volgens Fakespot-oprichter Saoud Khalifah is het eenvoudiger dan ooit tevoren om neprecensies te maken en is de browser de eerste plek waar deze content binnenkomt. Daardoor zou de browser ook het beste zijn uitgerust om nepreviews tegen te gaan. bron: https://www.security.nl

Er is nog altijd veel mis met de privacy en security van geestelijke gezondheidsapps, zo stelt Mozilla op basis van eigen onderzoek. Vorig jaar besloot de Firefox-ontwikkelaar naar 32 apps te kijken die onder andere hulp bieden bij posttraumatische stress-stoornis en het voorkomen van zelfmoord. Bij 28 van de 32 apps is de privacy van gebruikers niet gewaarborgd. Deze apps kregen het label "Privacy Not Included" van Mozilla. Zo stelden meerdere apps dat ze informatie met "betrouwbare partners" delen, maar wordt niet duidelijk wie dat zijn. Andere apps melden weer dat ze data van derde partijen kunnen kopen, zoals datahandelaren, om aan het al gemaakte profiel van gebruikers toe te voegen, zoals geslacht, leeftijd, geloofsovertuiging, etniciteit, gezinsgrootte en inkomen en politieke voorkeur. Vervolgens wordt deze data gebruikt voor gerichte advertenties en gedeeld met andere partijen. Dit jaar herhaalde Mozilla het onderzoek, waarbij de apps opnieuw werden bekeken. Sommige apps hadden verbeteringen doorgevoerd, maar de meeste waren juist erger geworden, aldus de onderzoekers. Het gaat onder andere om Betterhelp dat gevoelige gezondheidsinformatie voor advertentiedoeleinden gebruikte. Ook de Talkspace-app blijkt gevoelige informatie van gebruikers voor marketingzaken te kunnen gebruiken, waaronder gerichte advertenties. Van alle onderzochte apps kregen er slechts twee een "duimpje omhoog" van Mozilla. Het gaat om PTSD Coach en Wysa die volgens de onderzoekers op verantwoorde wijze met de gegevens van gebruikers omgaan. Een app die op alle vlakken een onvoldoende scoort is "Replika: My AI Friend", die ook het label "super creepy" krijgt. De app stelt in de voorwaarden dat het berichten van gebruikers voor allerlei doeleinden kan gebruiken. Volgens Mozilla laat het onderzoek zien dat het nog altijd niet goed gesteld is met geestelijke gezondheidsapps. Gebruikers wordt dan ook aangeraden om hun socialmedia-accounts niet aan dergelijke apps te koppelen of daarmee in te loggen. Tevens wordt aangeraden om de permissies van de apps, bijvoorbeeld voor camera, microfoon, foto en locatie, tenzij strikt noodzakelijk, te beperken. Ook wordt aangeraden om "ad tracking" te beperken en gerichte advertenties bij Google uit te schakelen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een vijf jaar oude kwetsbaarheid in digitale videorecorders zodat ze met de videobeelden van aangesloten camera's kunnen meekijken, zo waarschuwt securitybedrijf Fortinet. Een firmware-update is niet beschikbaar. De kwetsbaarheid, aangeduid als CVE-2018-9995, bevindt zich in digitale videorecorders van TBK Vision met typenummer DVR4104 en DVR4216. Deze apparaten worden echter ook onder andere merken aangeboden, zoals Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login en MDVR. Het beveiligingslek maakt het mogelijk voor aanvallers om de authenticatie te omzeilen en als beheerder toegang te krijgen. Vervolgens is toegang tot de videofeed van aangesloten camera's mogelijk. De kwetsbaarheid is sinds april 2018 bekend, maar de fabrikant heeft nooit updates uitgebracht om het probleem te verhelpen. TBK Vision claimt dat meer dan zeshonderdduizend camera's en vijftigduizend cctv-recorders van het bedrijf in omloop zijn. Fortinet zegt dat het onlangs een piek in het aanvallen heeft waargenomen waarbij werd geprobeerd om misbruik van CVE-2018-9995 te maken. Volgens het securitybedrijf laat dit zien dat dergelijke apparaten een aantrekkelijk doelwit voor aanvallers zijn. Toezichthouder tegen verplicht gebruik Europe bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Oracle WebLogic Server, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Oracle kwam afgelopen januari met beveiligingsupdates voor de kwetsbaarheid, die wordt aangeduid als CVE-2023-21839. Het gaat om een "ongespecificeerd" beveiligingslek waardoor een ongeautoriseerde aanvaller op afstand via het T3- of IIOP-protocol servers kan compromitteren. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. In het verleden zijn kwetsbaarheden in de software vaker het doelwit van aanvallen geweest. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. Het CISA geeft geen details over de aanvallen. Wat opvalt aan de kwetsbaarheid is dat die door acht verschillende beveiligingsonderzoekers aan Oracle werd gerapporteerd. In februari verschenen al verschillende proof-of-concept exploits voor het beveiligingslek online. In tegenstelling tot veel andere softwarebedrijven, zoals Adobe en Microsoft die maandelijks met patches komen, brengt Oracle vier keer per jaar beveiligingsupdates uit. De volgende patchronde staat gepland voor 18 juli. Volgens het softwarebedrijf blijft het meldingen ontvangen van organisaties die succesvol zijn aangevallen omdat ze hadden nagelaten beschikbare updates te installeren. Het CISA heeft Amerikaanse federale overheidsinstanties opgedragen de update voor 22 mei te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

De ransomwaregroep die de aanval op Western Digital opeiste heeft interne e-mails en een videoconferentie van de harde schijffabrikant gepubliceerd waarin de aanval en respons worden besproken. Dat suggereert dat de aanvallers ook nadat WD de aanval ontdekte nog steeds toegang tot systemen hadden en zo konden meelezen met de respons van het bedrijf. Beveiligingsonderzoeker Dominic Alvieri publiceerde verschillende screenshots die Alphv-ransomwaregroep, ook bekend als BlackCat, op de eigen website heeft geplaatst en waaruit dit blijkt. Begin vorige maand meldde WD dat het met een security-incident te maken had gekregen waarbij er gegevens waren buitgemaakt. Naar aanleiding van het incident haalde Western Digital meerdere diensten en systemen offline. Daardoor konden klanten dagenlang geen gebruikmaken van My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi en de SanDisk Ixpand Wireless Charger service. Op de eigen website hebben de aanvallers nu allerlei interne screenshots van e-mails, documenten en een videoconferentie geplaatst waarin WD de aanval bespreekt. Tevens claimen de aanvallers dat ze een back-up van de volledig "SAP backoffice" hebben bemachtigd, alsmede persoonsgegevens van klanten en een key/certificaat voor het signeren van code als WD hebben. Na de verklaring van WD op 2 april heeft het bedrijf geen verdere details gegeven. bron: https://www.security.nl

De makers van sudo hebben besloten om de waarschuwing "This incident will be reported", die aan gebruikers werd getoond die een sudo-commando wilden uitvoeren terwijl ze hiervoor geen rechten hadden, te verwijderen. Sudo is een programma voor Unix-gebaseerde besturingssystemen en maakt het mogelijk om programma's uit te voeren met de rechten van een andere gebruiker, wat standaard de superuser is. In het geval een gebruiker sudo probeerde uit te voeren en niet in de sudoers file stond kreeg de systeembeheerder voorheen hiervan altijd een e-mail. Het is inmiddels echter mogelijk om in te stellen of sudo wel of geen e-mail verstuurt, waardoor de melding aan gebruikers niet altijd meer juist is. Daarnaast zorgde de waarschuwing "This incident will be reported" volgens de sudo-ontwikkelaars voor verwarring bij gebruikers. Zo was onduidelijk aan wie het incident werd gerapporteerd. Daarom zal er voortaan alleen een melding verschijnen als er daadwerkelijk een e-mail aan de beheerder is verstuurd. Tevens is de melding aan gebruikers aangepast. Die krijgen voortaan het bericht "This incident has been reported to the administrator" te zien. bron: https://www.security.nl

Een kwetsbaarheid in de printserversoftware van PaperCut wordt al sinds 13 april bij ransomware-aanvallen gebruikt, zo stelt Microsoft. PaperCut levert onder andere een printmanagementserver waarmee organisaties allerlei printgerelateerde zaken kunnen beheren, zoals het inzien van het aantal geprinte pagina's, beheer van print queues, toevoegen van watermerken en access control. Een kwetsbaarheid in de software, aangeduid als CVE-2023–27350, maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand code met systeemrechten op de server uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 8 maart van dit jaar kwam PaperCut met een beveiligingsupdate (versies 20.1.7, 21.2.11 en 22.0.9) voor de kwetsbaarheid, die door securitybedrijf Trend Micro was gerapporteerd. Een week na het verschijnen van de patch publiceerde Trend Micro meer details over het beveiligingslek. Vorige week meldde PaperCut dat aanvallers sinds 18 april actief misbruik van CVE-2023–27350 maakten voor het aanvallen van kwetsbare, nog niet gepatchte servers. Klanten zouden echter al sinds 13 april hebben waargenomen, wat nu door Microsoft is bevestigd. Eerder stelde securitybedrijf dat van de duizend PaperCut-servers die het bij klanten ziet, er negenhonderd nog niet waren gepatcht. Volgens Microsoft zijn de aanvallen het werk van een partner van de Cl0p-ransomwaregroep. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de firewalls van Zyxel maakt het mogelijk voor een ongeauthenticeerde aanvaller om de apparaten op afstand over te nemen. Zyxel heeft updates uitgebracht en roept klanten op om die te installeren. Het beveiligingslek, aangeduid als CVE-2023-28771, maakt het voor een ongeauthenticeerde aanvaller mogelijk om door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in de Zyxel ATP, USG FLEX, VPN en ZyWALL/USG. Voor deze producten is een update beschikbaar. Vorig jaar waarschuwde de Amerikaanse geheime dienst NSA nog voor actief misbruik van een andere kritieke kwetsbaarheid in de firewalls van Zyxel. Dit probleem werd vier dagen na het verschijnen van de update aangevallen. bron: https://www.security.nl

Google heeft van een Amerikaanse rechtbank een bevel gekregen waarmee het domeinen van de CryptBot-malware offline kan halen. Volgens het techbedrijf raakten het afgelopen jaar zo'n 670.000 computers met de malware besmet, die onder andere gegevens van Chrome-gebruikers steelt. Het gaat dan om inloggegevens voor onder andere cryptowallets en social media. De malware wordt verspreid via malafide websites die besmette versies van onder andere Google Earth en Google Chrome aanbieden. In werkelijkheid gaat het om malware die allerlei informatie van het systeem steelt en terugstuurt naar de aanvallers, die het vervolgens verkopen. Volgens Google zijn recente versies van CryptBot specifiek ontworpen om data van Chrome-gebruikers te stelen, waarop het techbedrijf in actie kwam. Door het gerechtelijk bevel kan Google huidige en toekomstige domeinen van de malware offline halen, wat nieuwe infecties moet voorkomen. Daarnaast roept Google gebruikers op om alleen software van de officiële website van de leverancier te downloaden. bron: https://www.security.nl

Mozilla gaat over een aantal weken de stekker trekken uit Firefox Private Network, een betaalde proxydienst voor Amerikaanse Firefox-gebruikers. Firefox Private Network werd in 2019 als bètatest in de Verenigde Staten uitgerold. In 2020 maakte Mozilla er een betaalde dienst van, waarvoor drie dollar per maand moest worden betaald. Het plan was om de dienst ook in andere landen uit te rollen, maar daar is het nooit van gekomen. Firefox Private Network was geen volledige vpn-dienst, waarbij al het verkeer van browsers en apps op het systeem via de vpn-verbinding lopen. Bij het inschakelen van de Private Network-extensie in Firefox ging verkeer van gebruikers eerst naar een server van internetbedrijf Cloudflare en daarvandaan naar de opgevraagde website. De proxydienst werkte dan ook alleen voor Firefox. Mozilla biedt inmiddels in samenwerking met vpn-provider Mullvad al enige tijd een betaalde vpn-dienst. Nu blijkt dat Mozilla op 15 juni van dit jaar stopt met het aanbieden van Firefox Private Network. Gebruikers van Firefox Private Network kunnen dan overstappen op Mozillas vpn-dienst, maar die kost tien dollar per maand. bron: https://www.security.nl

Windows 10 versie 22H2 is de laatste versie van het besturingssysteem die Microsoft heeft uitgebracht en het met beveiligingsupdates zal ondersteunen. Gebruikers van Windows 10 Home en Pro moeten vanaf juni dit jaar op deze versie overstappen als ze nog maandelijkse securitypatches willen blijven ontvangen. Microsoft zal Windows 10 tot en met oktober 2025 van beveiligingsupdates blijven voorzien. Gisteren kwam Microsoft met een "Windows client roadmap update", waarin wordt aangekondigd dat er na Windows 10 versie 22H2 geen grote updates meer komen. In eerste instantie bracht Microsoft twee keer per jaar een grote feature-update uit voor Windows 10, die in het geval van de Home- en Pro-edities achttien maandenlang met beveiligingsupdates werden ondersteund. Sinds de lancering van Windows 10 versie 21H2 (Windows 10 November 2021 Update) kondigde Microsoft aan dat het nog maar één keer per jaar een grote feature-update zou uitbrengen, die ook achttien maanden op patches kan rekenen. Na Windows 10 versie 21H2 verscheen afgelopen oktober versie 22H2. Microsoft roept Windows 10-gebruikers op om naar Windows 11 te upgraden, aangezien er geen feature-updates meer voor Windows 10 verschijnen. Volgens StatCounter draait bijna 74 procent van de Windowsgebruikers Windows 10, tegenover Windows 11 met 21 procent. In Nederland heeft Windows 10 een marktaandeel van 71 procent, op afstand gevolgd door Windows 11 met bijna 26 procent. bron: https://www.security.nl

Gebruikers van Google Authenticator die hun one-time codes als back-up in hun Google-account opslaan moeten er rekening mee houden dat hierbij geen end-to-end encryptie wordt gebruikt, wat inhoudt dat Google toegang tot deze informatie heeft, zo stellen beveiligingsonderzoekers van softwarebedrijf Mysk op basis van uitgewisseld netwerkverkeer. De onderzoekers adviseren dan ook om de nieuwe synchronisatiefeature niet te gebruiken. Deze week kondigde Google een nieuwe feature voor de Google Authenticator aan. Een applicatie voor het genereren van 2FA-codes waarmee gebruikers op een account kunnen inloggen. De codes in Authenticator waren echter alleen op de telefoon van de gebruiker opgeslagen. Bij verlies van de telefoon kon de gebruiker dan niet meer inloggen op accounts waar hij via Authenticator tweefactorauthenticatie (2FA) voor had ingesteld, aldus Google. Voorheen moesten gebruikers bij de overstap naar een nieuwe telefoon de codes handmatig van het ene toestel naar het andere toestel overzetten of eerst 2FA uitschakelen om vervolgens weer op de nieuwe telefoon in te schakelen. De nieuwe synchronisatiefeature zorgt ervoor dat gegenereerde codes ook in het Google-account van de gebruiker kunnen worden opgeslagen. Deze codes zijn vervolgens toegankelijk vanaf elke toestel waarop de gebruiker Google Authenticator installeert. Op basis van het netwerkverkeer stellen de onderzoekers dat het verkeer niet end-to-end versleuteld is, wat inhoudt dat Google opgeslagen codes kan bekijken. "Er is geen optie om een passphrase toe te voegen om de codes te beschermen, zodat ze alleen toegankelijk voor de gebruiker zijn", aldus de onderzoekers. Die merken op dat elke 2FA qr-code een seed bevat die wordt gebruikt voor het genereren van de one-time codes. Wanneer iemand het secret weet, kunnen ze dezelfde one-time codes genereren en de 2FA-beveiliging van accounts omzeilen. Mocht een aanvaller toegang tot het Google-account van de gebruiker krijgen, zijn al zijn 2FA-secrets gecompromitteerd. Daarnaast bevatten 2FA qr-codes vaak andere informatie, zoals gebruikersnaam en de naam van de betreffende dienst, zoals Twitter of Amazon. Aangezien Google al deze data kan zien, weet het bij welke online diensten de gebruiker actie is en kan in theorie deze informatie voor gepersonaliseerde advertenties gebruiken, zo stellen de onderzoekers, die gebruikers adviseren de synchronisatiefeature vooralsnog niet te gebruiken. bron: https://www.security.nl

Een kwetsbaarheid in het Service Location Protocol (SLP) maakt het mogelijk om dos-aanvallen met een factor 2200 te versterken, zo waarschuwen onderzoekers van Bitsight en Curesec. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties op om kennis van de kwetsbaarheid te nemen, die wordt aangeduid als CVE-2023-29552. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. De onderzoekers die het probleem ontdekten claimen dat er meer dan 54.000 kwetsbare SLP-instances op internet zijn te vinden, die eigendom van meer dan tweeduizend organisaties zijn. Het gaat onder andere om VMware ESXi Hypervisor, Konica Minolta-printers, Planex-routers, IBM Integrated Management Module (IMM), SMC IPMI en andere systemen die kwetsbaar zijn. Het uit 1997 stammende SLP-protocol biedt een dynamisch configuratiemechanisme voor het configureren van applicaties in lokale netwerken. SLP maakt het mogelijk voor systemen op een netwerken om elkaar te vinden en met elkaar te communiceren. Hiervoor gebruikt het een directory van beschikbare services, zoals printers, file servers en andere netwerkvoorzieningen. Systemen kunnen zichzelf via een directory agent registreren, waarna de services van dit systeem voor andere systemen op het netwerk beschikbaar worden. SLP was niet ontwikkeld om vanaf het internet toegankelijk te zijn. Het protocol is echter in allerlei instances aangetroffen die wel vanaf het internet zijn te bereiken. Onderzoekers van Bitsight en Curesec ontdekten dat het via SLP mogelijk is om een "denial of service amplification" aanval uit te voeren. Een ongeauthenticeerde aanvaller kan willekeurige nieuwe services registreren. Hierbij spooft de aanvaller zijn ip-adres en geeft het ip-adres van het slachtoffer op waar hij de dos-aanval op wil uitvoeren. Met een request van slechts 29 bytes kan een aanvaller via SLP een response van 65.000 bytes genereren. Deze data wordt vervolgens naar het gespoofte ip-adres gestuurd. De onderzoekers vonden allerlei systemen en producten waar SLP actief in is en aanvallers hier misbruik van kunnen maken. In de top tien van landen met de meeste kwetsbare SLP-instances komt ook Nederland voor. VMware heeft inmiddels een advisory voor de kwetsbaarheid uitgebracht en adviseert om SLP uit te schakelen. Ook de onderzoekers adviseren dit. In het geval dit niet mogelijk is wordt aangeraden om via firewalling verkeer op UDP- en TCP-poort 427 te filteren, aangezien dit voorkomt dat externe aanvallers toegang tot de SLP-service kunnen krijgen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in VMware Workstation en VMware Fusion maakt het mogelijk voor een aanvaller om vanuit een virtual machine code op het onderliggende host-systeem uit te voeren. VMware heeft beveiligingsupdates uitgebracht om het probleem, aangeduid als CVE-2023-20869, te verhelpen. De kwetsbaarheid werd afgelopen maart tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver gedemonstreerd. Het beveiligingslek bevindt zich in de functionaliteit waarmee het host-systeem Bluetooth-apparaten met de virtual machine kan delen. Een aanvaller die binnen de virtual machine beheerdersrechten heeft kan via de functie een stack-based buffer-overflow veroorzaken en vervolgens code op het host-systeem uitvoeren. Dit gebeurt dan met de rechten van het VMX-proces van de virtual machine. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Tijdens de Pwn2Own-wedstrijd koppelden onderzoekers van STAR Labs CVE-2023-20869 met een andere kwetsbaarheid waardoor het mogelijk is om vertrouwelijke informatie uit het hypervisor-geheugen te lezen. Dit beveiligingslek bevindt zich ook in de functionaliteit voor het delen van Bluetooth-apparaten en heeft een impactscore van 7.1. Door beide kwetsbaarheden te koppelen lieten de onderzoekers zien hoe ze vanuit een virtual machine de Windows-calculator op het host-systeem met VMware Workstation konden uitvoeren. bron: https://www.security.nl

Klanten van T-Mobile, Tele2 en Ben en spelers van de populaire videogame Roblox zijn het doelwit van de FluBot-malware geworden, die Androidtelefoons kan infecteren. Dat blijkt uit berichtgeving van T-Mobile, Ben en de NOS. Klanten van de telecomproviders ontvingen een sms-bericht over een voicemail, gemiste oproep of openstaande factuur. In werkelijkheid wijst de link naar een pagina waarop een malafide APK-bestand wordt aangeboden, wat de FluBot-malware is. Aangezien Android het installeren van apps uit onbekende bronnen standaard blokkeert bevat de pagina waarop de app is te downloaden informatie over het uitschakelen van deze beveiligingsoptie. Eenmaal geïnstalleerd door de gebruiker kan FluBot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt hiervoor welke applicaties erop het toestel geïnstalleerd staan. In het geval van bankapplicaties zal FluBot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst FluBot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen. De NOS laat vandaag weten dat kinderen via WhatsApp berichten met linkjes ontvangen die naar enquêtes wijzen waarmee ze virtueel geld voor het spel Roblox zouden kunnen verdienen. In werkelijkheid gaat het om een scam en proberen de websites waarop de vragenlijsten staan ook de FluBot-malware te verspreiden. Eenmaal geïnstalleerd blijkt de malware via de besmette telefoon allerlei sms-berichten naar een buitenlands nummer te versturen. Een van de getroffen kinderen laat weten dat ze op deze manier ongeveer zeventig euro verloor. bron: https://www.security.nl

Googles online virusscanner VirusTotal is van een nieuwe feature voorzien waardoor het voortaan leesbare samenvattingen van malware kan geven. Dit moet securityprofessionals en analisten meer inzicht geven in wat de malware in kwestie precies doet. Hiervoor wordt gebruikgemaakt van generatieve AI, een type van kunstmatige intelligentie dat op basis van invoer onder andere tekst of afbeeldingen kan genereren. Een bekend voorbeeld van generatieve AI is ChatGPT. Via VirusTotal is het mogelijk om verdachte bestanden door tientallen virusscanners te laten scannen. Naast een overzicht van wat antivirusprogramma's van het bestand vinden, geeft VirusTotal ook allerlei andere informatie weer. Door middel van "Code Insight", zoals de nieuwe feature wordt genoemd, is er voortaan ook een leesbare samenvatting van wat de malware precies doet. Op dit moment zijn de samenvattingen alleen te vinden bij bepaalde PowerShell-bestanden die naar VirusTotal worden geüpload. De komende dagen zullen echter meer bestandsformaten aan de lijst van ondersteunde bestanden worden toegevoegd. Daarnaast is het mogelijk om de gegenereerde samenvattingen te doorzoeken. bron: https://www.security.nl

Verschillende Microsoft-scripts voor Exchange Server worden door een probleem met een updatefunctie niet meer automatisch bijgewerkt, zo heeft het techbedrijf bekendgemaakt. Beheerders die van de scripts gebruikmaken moeten handmatig een nieuwe versie installeren, aangezien de oude versies geen automatische updates meer kunnen ontvangen. Microsoft biedt verschillende scripts voor Exchange Server die bijvoorbeeld bij de installatie kunnen helpen of veelvoorkomende configuratieproblemen detecteren. Een van de getroffen scripts maakt het mogelijk om misbruik van een kritieke Outlook-kwetsbaarheid te detecteren (CVE-2023-23397). Met name de Exchange Server HealthChecker wordt volgens Microsoft veel gebruikt. Bij het gebruik van de in totaal negen getroffen scripts tussen 6 april en 18 april van dit jaar zal de automatische update van de scripts niet meer werken. Microsoft heeft nu nieuwe versies van de betreffende scripts uitgebracht, maar beheerders moeten die wel handmatig installeren. bron: https://www.security.nl