Captain Kirk

Vpn-provider Proton VPN heeft vandaag een aparte zakelijke vpn-dienst voor bedrijven aangekondigd. Proton VPN for Business is een volledig beheerde vpn-dienst die via aparte servers en ip-adressen een gateway voor bedrijven biedt. Elke gateway is alleen benaderbaar voor medewerkers van het betreffende bedrijf. Op basis van de gateway kan vervolgens worden bepaald tot welke middelen personeel toegang heeft. De servers en ip-adressen die voor de private gateway worden gebruikt kunnen uit meer dan 65 locaties worden gekozen. Proton VPN benadrukt dat het een volledig beheerde dienst is en bedrijven niet over "in-house experts" hoeven te beschikken om van de vpn-dienst gebruik te maken. Ook is er geen aparte hardware of installatie vereist. Verder kan de vpn-dienst advertenties en trackers blokkeren. Volgens Proton VPN gebruikt de zakelijk vpn-dienst een deel van de technologie die ook voor de consumenten vpn-dienst wordt gebruikt, maar is het fundamenteel een ander product. bron: https://www.security.nl

Een aanvaller kan door middel van kwetsbaarheden in een slimme ledlamp van fabrikant TP-Link het wifi-wachtwoord van gebruikers stelen, zo hebben onderzoekers van de Universita di Catania en Royal Holloway University of London aangetoond (pdf). TP-Link heeft inmiddels updates voor de firmware van de lamp en bijbehorende app uitgebracht. De problemen zijn aangetoond in de TP-Link Tapo L530E. Gebruikers kunnen de lamp, die toegang moet hebben tot het wifi-netwerk van de gebruiker, via een bijbehorende app bedienen. Vier kwetsbaarheden, met betrekking tot de authenticatie en vertrouwelijkheid, maken het mogelijk om verschillende soorten aanvallen uit te voeren. Zo is er een gebrek aan authenticatie van de lamp bij de Tapo-app. Daardoor kan een aanvaller zich bij de app authenticeren en als lamp voordoen. Verder wordt er tussen de lamp en app gebruikgemaakt van een hard-coded secret. Dit secret is echter kort en wordt gelekt door zowel de app als de lamp. De onderzoekers stellen dat de vier kwetsbaarheden vijf aanvallen mogelijk maken. Bij één van die aanvallen kan de aanvaller een wifi deauthenticatie-aanval uitvoeren, waardoor de lamp de verbinding met het wifi-netwerk van de gebruiker verliest. De gebruiker zal dan de lamp resetten. De aanvaller plaatst zich vervolgens tussen de gebruiker en de lamp en kan zo het wifi-wachtwoord van de gebruiker achterhalen, alsmede de inloggegevens die het slachtoffer gebruikt om zich bij de Tapo-app aan te melden. TP-Link werd op 25 februari over de kwetsbaarheden geïnformeerd en liet op 16 juni weten dat de problemen waren verholpen door middel van updates voor de lamp en app. bron: https://www.security.nl

De maker van de populaire adblocker uBlock Origin heeft een 'lite' versie voor Firefox beschikbaar gemaakt die standaard minder goed presteert dan het origineel. Aanleiding zijn nieuwe regels van Google die voor browser-extensies gaan gelden. De manier waarop extensies binnen Chrome en andere browsers mogen werken staat beschreven in een manifest. Google zal versie drie (V3) van het manifest voor extensies gaan verplichten. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API in Manifest V3 voorgesteld genaamd declarativeNetRequest (DNR). DNR beperkt de mogelijkheden van adblockers door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Voor statische regels hanteert Chrome in Manifest V3 een limiet van 30.000 regels per extensie en een totale limiet van 330.000 regels voor alle geïnstalleerde extensies bij elkaar. In het geval de limiet wordt overschreden zal Chrome ingrijpen en bepaalde regels, waarin staat welke url's van adverteerders en trackers te filteren, aanpassen. In het ergste geval kan zelfs het standaardfilter worden uitgeschakeld omdat het meer dan 30.000 regels bevat. Voor dynamische regels, waarmee de gebruiker zijn eigen regels en filters kan toevoegen, geldt een limiet van vijfduizend. Wanneer deze limiet wordt overschreden zal de adblocker alleen de eerste vijfduizend regels toepassen en blijft de rest uitgeschakeld. Raymond Hill, ontwikkelaar van uBlock Origin, uitte eerder al kritiek op Manifest V3. Vanwege de nieuwe regels besloot hij een lite-versie van zijn adblocker te ontwikkelen die minder permissies vereist. Zo heeft de adblocker geen permissies nodig om data van websites te lezen of aan te passen. Daardoor heeft de adblocker wel minder mogelijkheden, aldus Hill. Firefox gaat ook gebruikmaken van Manifest V3, maar Mozilla liet al weten dat het niet van plan is om adblockers te gaan beperken zoals Google doet. Desondanks is uBlock Origin Lite nu ook voor Firefox beschikbaar gekomen. Standaard is ook de lite-versie voor Firefox minder effectief dan het origineel, maar biedt gebruikers wel de mogelijkheid om permissies voor specifieke sites uit te breiden, zodat de adblocker op die sites beter kan filteren. Hill voegt toe dat de lite-versie nog wel een 'work in progress' is. Voor Chrome-gebruikers was de lite-versie al al beschikbaar. bron: https://www.security.nl

Opnieuw maken aanvallers misbruik van een kritieke kwetsbaarheid in Adobe Coldfusion voor het aanvallen van systemen, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Adobe kwam afgelopen maart met een beveiligingsupdate voor het beveiligingslek, dat een aanvaller willekeurige code op systemen laat uitvoeren. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. De laatste update voor een actief aangevallen kwetsbaarheid verscheen begin 2019. Begin dit jaar waarschuwde Adobe echter voor een actief misbruikt zerodaylek in de software. Vervolgens volgde in juli een update voor een andere zeroday en bleken aanvallers in juli ook actief misbruik te maken van twee kwetsbaarheden waarvoor Adobe een week eerder updates had uitgebracht. Nu laat het CISA weten dat aanvallers ook actief misbruik maken van een andere kwetsbaarheid, aangeduid als CVE-2023-26359. Het gaat om een 'deserialization of untrusted data' kwetsbaarheid. Hierbij gebruikt de applicatie data en maakt daar een object van. Wanneer de applicatie niet goed omgaat met data die door een aanvaller wordt ingevoerd kan dit leiden tot het uitvoeren van code. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Organisaties wordt aangeraden om naar de nieuwste versie van ColdFusion te updaten. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt voor een actief aangevallen zerodaylek in MobileIron Sentry. Het is de derde zeroday in korte tijd waar het bedrijf melding van maakt. MobileIron is een oplossing voor mobile device management, waar organisaties de mobiele apparaten van hun medewerkers op afstand mee kunnen beheren. Sentry is een onderdeel waarmee kan worden ingesteld welke apparaten toegang tot de Exchange-mailserver van de organisatie hebben. Een kritieke kwetsbaarheid in de beheerdersinterface van Ivanti MobileIron Sentry maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en vervolgens toegang tot het systeem te krijgen. Vervolgens is het mogelijk om de configuratie aan te passen, systeemcommando's uit te voeren of bestanden naar het systeem te schrijven. De impact van het beveiligingslek, aangeduid als CVE-2023-38035, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een beveiligingsupdate is inmiddels beschikbaar, maar een "beperkt aantal" klanten is al voor het uitkomen van de patch aangevallen. Om hoeveel organisaties het precies gaat laat Ivanti niet weten. Naast het installeren van de update adviseert het softwarebedrijf om de beheerdersinterface niet vanaf het internet toegankelijk te maken. Onlangs bleek dat aanvallers twee zerodaylekken in een ander product van Ivanti, met de naam Endpoint Manager Mobile, maandenlang hebben gebruikt bij aanvallen op de Noorse overheid en organisaties. bron: https://www.security.nl

Een bij vpn-provider Ivacy gestolen private key voor het signeren van software is door aanvallers gebruikt voor het signeren van malware, zo meldt securitybedrijf SentinelOne. Het certificaat is inmiddels door certificaatautoriteit DigiCert ingetrokken. Eind mei maakten onderzoekers op X al melding dat er malware was gesigneerd met een certificaat van Ivacy. Softwareontwikkelaars kunnen hun software signeren, zodat die bijvoorbeeld door het besturingssysteem of beveiligingssoftware wordt vertrouwd. In het geval van ongesigneerde software kan het besturingssysteem een waarschuwing laten zien of vereisen dat er extra stappen voor de installatie zijn vereist. Een code signing certificaat bestaat uit een private en public key. Volgens onderzoeker Aleksandar Milenkoski is het waarschijnlijk dat de private key van Ivacy, die vereist is om de eigen software te signeren, op een gegeven moment is gestolen. Het komt vaker voor dat aanvallers signing keys stelen. In het geval van Ivacy is de key in handen gekomen van een groep aanvallers met de naam 'Bronze Starlight'. Deze groep heeft spionage als primair doel, waarbij het ransomware-aanvallen als afleidingsmanoeuvre gebruikt, stelt Milenkoski. Volgens de onderzoeker is malware gesigneerd met het Ivacy-certificaat ingezet tegen gokbedrijven in Zuidoost-Azië. Hoe de key en certificaat bij Ivacy konden worden gestolen is niet bekend. "Vpn-providers zijn een belangrijk doelwit, aangezien ze aanvallers toegang tot gevoelige data en communicatie van gebruikers kunnen geven", aldus Milenkoski. bron: https://www.security.nl

Een beveiligingslek in de populaire archiveringssoftware WinRAR maakt het mogelijk voor aanvallers om willekeurige code op het systeem van gebruikers uit te voeren als die een malafide pagina bezoeken of een malafide bestand openen. WinRAR heeft een nieuwe versie uitgebracht waarin het probleem is verholpen. De kwetsbaarheid, een out of bounds write aangeduid als CVE-2023-40477, werd op 8 juni door het Zero Day Initiative aan ontwikkelaar Rarlab gerapporteerd en wordt veroorzaakt doordat de software niet goed omgaat met door gebruikers verstrekte data. Op 2 augustus verscheen WinRAR versie 6.23, waarin het probleem is verholpen. Het Zero Day Initiave (ZDI) beloont onderzoekers voor het rapporteren van kwetsbaarheden in allerlei software en licht vervolgens de betreffende ontwikkelaar in zodat die met een update kan komen. Vorige week maakt het ZDI de details van de kwetsbaarheid bekend. Naast de bovengenoemde kwetsbaarheid verhelpt WinRAR 6.23 ook een bug waardoor WinRAR een verkeerd bestand kon starten wanneer gebruikers een bestand in een speciaal geprepareerd archiefbestand aanklikten. De nieuwste versie van WinRAR is te downloaden via Rarlab.com. Beveiligingslekken in WinRAR zijn in het verleden actief misbruikt voor het aanvallen van gebruikers.

Google Chrome gaat gebruikers binnenkort waarschuwen wanneer ze extensies hebben geïnstalleerd die malware bevatten of de regels van de Chrome Web Store hebben overtreden en daarom door Google uit de Web Store zijn verwijderd. Dat heeft het techbedrijf in een blogposting bekendgemaakt. Vanaf Chrome 117 krijgen gebruikers te zien als er iets mis is met geïnstalleerde extensies. Naast extensies die zijn aangemerkt als malware en in strijd zijn met de Chrome Web Store policy gaat het ook om extensies die door de ontwikkelaar zelf uit de Web Store zijn verwijderd. Via de Web Store kunnen Chrome-gebruikers extensies voor de browser downloaden. "We hebben deze aanpassing bedacht om het ecosysteem veilig voor gebruikers te houden en tegelijkertijd de kans te verkleinen dat dit legitieme extensies raakt", zegt Oliver Dunk van Google. Wanneer het probleem met de extensie is verholpen zal de melding binnen de browser verdwijnen. Gebruikers kunnen via de melding ervoor kiezen om de extensie zelf te verwijderen of de waarschuwing te verbergen. In het geval van besmette extensies worden die altijd automatisch door Google verwijderd, iets wat nu ook al het geval is. Chrome 117 verschijnt op 6 september. bron: https://www.security.nl

ProtonMail werkte vorig jaar mee aan bijna zesduizend verzoeken van overheden om gebruikersdata te overhandigen. Dat zijn er duizend meer dan in 2021. Het recordcijfer is opvallend omdat ProtonMail zich wil onderscheiden met duidelijke privacy waarborgen en strenge Zwitserse wetgeving. De cijfers zijn terug te vinden in het jaarlijkse transparantierapport van Proton. In 2022 ontving ProtonMail bijna zevenduizend officiële overheidsverzoeken om gebruikersdata (metadata) af te staan. Ruim duizend verzoeken werden afgewezen, de andere 5957 werden ingewilligd. In 2021 kreeg ProtonMail ruim zesduizend verzoeken, waarvan er 4920 werden ingewilligd. In 2020 ging het respectievelijk om ruim 3700 ingediende en 3000 gehonoreerde verzoeken. Proton laat in een reactie aan Restoreprivacy weten dat de stijging in het aantal ingediende en ingewilligde verzoeken ‘niet verrassend’ is omdat de dienst steeds meer gebruikers verwelkomt. Meer dan honderd miljoen mensen maken nu gebruik van één of meerdere Proton-diensten. Zij kiezen doorgaans voor Proton vanwege de focus op anonimiteit en strikte Zwitserse wetgeving. Overheidsverzoeken om gebruikersdata af te staan, moeten ook via de Zwitserse juridische kanalen lopen. Als de Zwitserse wet geschonden is, moet Proton gebruikersgegevens aan de Zwitserse overheid afstaan. Die kan de ontvangen informatie doorgeven aan de overheid die het verzoek heeft ingediend. Proton kan alleen metadata afgeven, want de inhoud van e-mails, bijlagen en andere informatie is altijd versleuteld en daarom niet te lezen. Ook niet door Proton, benadrukt het bedrijf. De Amerikaanse FBI is één van de overheidsinstanties die Proton om gebruikersdata heeft gevraagd – en kreeg. Met hulp van metadata kon de FBI een Amerikaanse ProtonMail-gebruiker opsporen die onderzocht werd vanwege het bedreigen van een medewerker die betrokken was bij de presidentsverkiezingen. Dat meldt Forbes in een reconstructie, die ook aangeeft dat er geen overheidsaanklacht tegen de ProtonMail-gebruiker in kwestie is ingediend. bron: https://www.security.nl

Een aanhoudende phishingcampagne probeert bij organisaties over de hele wereld inloggegevens voor Zimbra Collaboration e-mail-servers te stelen. De phishingcampagne werd voor het eerst opgemerkt in april. Wie achter de campagne zit, is nog steeds niet duidelijk. De phishing-e-mails zijn gericht aan organisaties in Latijns-Amerika, Rusland, Europa en Azië. Er lijkt geen specifieke focus te zijn op een sector of bepaalde organisaties, schrijft Bleepingcomputer op basis van een rapport van beveiligingsfirma ESET. De campagne start met een phishing-e-mail die zich voordoet als een e-mail van de organisatie. In de e-mail staat dat de gebruiker een HTML-bestand moet openen om meer te weten te komen over een server upgrade en om deactivatie van zijn account te voorkomen. Dat HTML-bestand toont eenmaal geopend een nagemaakt Zimbra-inlogscherm, compleet met het logo en de naam van de organisatie. De gebruikersnaam is ook alvast ingevuld. De gebruiker hoeft alleen nog zijn wachtwoord in te vullen. Een ingevuld wachtwoord belandt via een HTTPS POST-verzoek bij de kwaadwillende. ESET noemt de mate van verspreiding en het aantal geslaagde phishingpogingen ‘indrukwekkend’ en waarschuwt Zimbra-gebruikers. Zimbra is een populair doelwit van kwaadwillenden. Zo waarschuwde Google vorige maand nog voor een actief aangevallen zerodaylek in Zimbra-mailservers. Zimbra bracht later die maand een beveiligingsupdate uit om het probleem te verhelpen. bron: https://www.security.nl

Google Chrome krijgt meer functies om http-websites veiliger te bezoeken, waaronder het upgraden van http-verkeer naar https. Chrome-gebruikers krijgen ook een waarschuwingsmelding te zien voordat zij een bestand downloaden via een http-verbinding. De maatregelen zijn volgens Google nodig omdat – ondanks eerdere inspanningen om https te stimuleren – nog steeds vijf tot tien procent van het webverkeer in Chrome blijft steken op http. Webverkeer via http is eenvoudiger te onderscheppen door kwaadwillenden. Google toont Chrome-gebruikers al tijden een waarschuwingsmelding als zij een http-webpagina bezoeken, maar erkent in een blogpost dat veel gebruikers de melding niet doorhebben en dat de melding niet voorkomt dat kwaadwillenden de webpagina aanpassen. Om het verkeer via http verder te verminderen, gaat Google voortaan alle http://-navigaties upgraden naar https://. De techniek die Google hiervoor gebruikt, is vergelijkbaar met HSTS-upgrading. Volgens Google werkt de techniek in bijna alle situaties, alleen niet als https echt niet beschikbaar is. Google test de functie nu in Chrome 115 en verwacht de functie ‘binnenkort’ uit te rollen naar alle Chrome-gebruikers. Chrome krijgt ook een expliciete waarschuwings-pop-up als de gebruiker een bestand via een http-verbinding wil downloaden. De pop-up raadt de gebruiker aan om het bestand weg te gooien, maar laat de gebruiker het onveilige bestand ook downloaden. Deze pop-up verschijnt naar Google’s verwachting vanaf medio september in Chrome. Google breidt ook zijn HTTPS-First Mode-beveiligingsmaatregelen uit. In deze modus vraagt Chrome de gebruiker om expliciete toestemming voor het tonen van een http-webpagina. De modus is nu ook beschikbaar voor gebruikers in Google’s Advanced Protection Program die ingelogd zijn in Chrome. Volgens Google was dit een wens van gebruikers. De modus wordt binnenkort ook standaard geactiveerd in de incognitofunctie van Chrome. Google experimenteert ook met het automatisch inschakelen van de modus voor websites waarvan Chrome weet dat de gebruiker die normaliter bezoekt via https, en met het automatisch inschakelen van de modus voor gebruikers die vrijwel nooit http-webpagina’s bezoeken. Chrome-gebruikers die de https-upgrading al voor de brede uitrol willen testen, kunnen dat vanaf vandaag doen via chrome://flags. Daar zijn HTTPS Upgrades en Insecure download warnings te activeren. De HTTPS-First Mode is te activeren via de beveiligingsinstellingen van Chrome. bron: https://www.security.nl

Aanvallers hebben een grootschalige phishingaanval op Microsoft-gebruikers uitgevoerd, waarbij er gebruik werd gemaakt van e-mails met QR-afbeeldingen. Volgens de berichten moesten gebruikers 2FA/MFA voor hun account inschakelen of een "security authentication scan" uitvoeren, zo meldt securitybedrijf Cofense. De QR-codes wezen weer naar Bing URL's. Als onderdeel van advertentiecampagnes biedt Bing de mogelijkheid om een redirect naar een opgegeven website van de adverteerder uit te voeren. Bij het scannen van de QR-code ziet de gebruiker dan ook een link naar Bing.com, maar in werkelijkheid vindt er dan een redirect naar de phishingsite plaats. Door het combineren van QR-codes en een legitiem domein hopen de aanvallers dat de phishingmails niet door spamfilters worden gedetecteerd, alus Cofense. Desondanks stelt het securitybedrijf dat het gebruik van QR-codes voor phishingaanvallen mogelijk niet effectief is, omdat ze door een extern apparaat moeten worden gescand en de meeste smartphones tegenwoordig laten zien waar de code naar verwijst. Aangezien phishingmails niet altijd worden gedetecteerd zouden gebruikers dan ook moeten worden getraind om QR-codes die via mail worden ontvangen niet te scannen, zegt onderzoeker Nathaniel Raymond. bron: https://www.security.nl

Software Freedom Conservancy (SFC), een non-profitorganisatie die mensen meer controle over hun computers wil geven en door Google en Mozilla wordt gesponsord, heeft ontwikkelaars van opensourcesoftware opgeroepen om te stoppen met het gebruik van videoconferentiesoftware Zoom. Aanleiding is dat het bedrijf afgelopen maart de algemene voorwaarden aanpaste, zodat het gegevens van gebruikers kon gebruiken voor het trainen van AI-modellen. Na felle kritiek besloot Zoom de voorwaarden meerdere keren aan te passen en de beslissing terug te draaien. Uit een analyse blijkt dat het lezen van de volledige algemene voorwaarden van Zoom tot dertig minuten kan duren. Het volledig begrijpen ervan zou tussen de vijftig en honderd uur duren. Daarnaast kan het bedrijf de voorwaarden op elk moment aanpassen en is het aan gebruikers om te kijken of de voorwaarden zijn gewijzigd, aldus de SFC. "Zoom heeft zijn naam misbruikt om eraan te verdienen, wetende dat gebruikers de aanpassingen van de voorwaarden niet begrijpen of geen keuze hebben andere software te gebruiken." Volgens de non-profitorganisatie komt het pesten van gebruikers door Big Tech maar al te vaak voor. In plaats van Zoom pleit de SFC voor het gebruik van BigBlueButton (BBB). Een opensource-alternatief voor Zoom. De komende maanden zal Software Freedom Conservancy met handleidingen komen waarin het ontwikkelaars uitlegt hoe ze hun eigen BBB-server kunnen opzetten. "We beseffen dat dit een kleine stap is in het tegengaan van de schade die Zoom heeft aangericht en aanricht. De klassieke strategie van Big Tech, die teruggaat naar de jaren 1970, is het vastzetten van gebruikers in een bepaalde technologische workflow en software stack, en dan de voorwaarden aanpassen", aldus de SFC. "Gebruikers worden slachtoffers van Big Techs controle over hun apparaten en technologische behoeftes." De organisatie maakt zich vooral zorgen over artsen en vertrouwelijke steungroepen die met Zoom werken en zo gedwongen worden de nieuwe voorwaarden te accepteren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Ivanti Avalanche maakt remote code execution mogelijk. Het bedrijf heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. Ivanti Avalanche is een mobile device management system voor het beheer van mobiele apparaten. Organisaties kunnen zo op beheerde telefoons apps installeren en verwijderen, maar ook informatie opvragen, zoals locatie. Een ongeauthenticeerde aanvaller kan door het versturen van een speciaal geprepareerd bericht naar het systeem een buffer overflow veroorzaken waardoor een aanvaller op afstand zijn code kan uitvoeren. Het beveiligingslek, aangeduid als CVE-2023-32560, werd op 4 april door securitybedrijf Tenable aan Ivanti gerapporteerd. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Tenable gaf Ivanti negentig dagen de tijd om het probleem te verhelpen, waarna het de details openbaar zou maken. Ivanti liet weten dat het meer tijd nodig had, waarop Tenable de deadline verschoof. Een beveiligingsupdate werd begin deze maand beschikbaar gemaakt, waarop Tenable nu de details openbaar heeft gemaakt. Onlangs bleek dat aanvallers twee zerodaylekken in een ander product van Ivanti, met de naam Endpoint Manager Mobile, maandenlang hebben gebruikt bij aanvallen op de Noorse overheid en organisaties. bron: https://www.security.nl

Google is een nieuw patchbeleid voor Chrome gestart, waardoor de browser nu wekelijks beveiligingsupdates ontvangt. Dit moet gebruikers beter beschermen tegen kwetsbaarheden die in opensource-onderdelen van de browser aanwezig zijn. Het is meerdere keren voorgekomen dat een beveiligingslek in een dergelijk onderdeel door de betreffende ontwikkelaar werd gepatcht, maar dat Google de update nog niet binnen Chrome had verwerkt en onder gebruikers uitgerold. Die lopen zo risico op aanvallen. Om deze 'patch gap' te verkorten wordt met de release van Chrome 116 een wekelijks patchbeleid gehanteerd. Met Chrome 116 heeft Google in totaal 26 kwetsbaarheden in de browser verholpen. De impact van acht van deze beveiligingslekken is als 'high' beoordeeld. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De overige kwetsbaarheden die nu zijn verholpen hebben een lagere impact. De meeste van de beveiligingslekken werden door externe onderzoekers gerapporteerd. Voor één van de kwetsbaarheden betaalde Google de betreffende bugmelder een beloning van 30.000 dollar. De update naar Chrome 116.0.5845.96 voor Linux en macOS en Chrome 116.0.5845.96/.97 voor Windows zal op de meeste systemen automatisch worden geïnstalleerd. In het geval van kwetsbaarheden met een "high" impact kan dit echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Microsoft heeft beveiligingsupdates voor Exchange Server opnieuw uitgebracht, nadat de eerste versie voor problemen op servers met een niet-Engelstalig besturingssysteem zorgde. Deze versie verscheen op 8 augustus en verhielp meerdere kwetsbaarheden, waaronder een beveiligingslek dat het mogelijk maakt voor een ongeauthenticeerde aanvaller om als een andere gebruiker in te loggen. Door een probleem op servers met een niet-Engelstalig OS kon de installatie van de patch niet worden afgerond en stopten Exchange-services met werken. Het "localization issue" is nu door Microsoft verholpen, waarop versie 2 van de updates is uitgebracht. Voor systemen waar versie 1 zonder problemen handmatig is geïnstalleerd is geen verdere actie vereist. In het geval de eerste versie via Microsoft / Windows Update is geïnstalleerd zal de installatie van versie twee automatisch plaatsvinden. Beheerders van een Exchange-server met een niet-Engelstalig OS die versie 1 via een door Microsoft gegeven workaround konden installeren moeten deze versie eerst verwijderen voordat versie 2 wordt geïnstalleerd. Om beheerders te helpen heeft Microsoft ook een tabel met uit te voeren acties gemaakt. Het techbedrijf roept beheerders op om de nieuwe versie van de updates zo snel mogelijk te installeren. bron: https://www.security.nl

Aanvallers hebben ruim 1800 Citrix NetScalers via een beveiligingslek voorzien van een backdoor. Zo'n 1250 van de apparaten hebben inmiddels een beveiligingsupdate voor de kwetsbaarheid ontvangen, maar waren voor de installatie van de patch al gecompromitteerd en zijn dat nog steeds. Zo stellen securitybedrijf Fox-IT en het Dutch Institute of Vulnerability Disclosure (DIVD) op basis van eigen onderzoek. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt. Via het beveiligingslek installeren de aanvallers een webshell, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Volgens de onderzoekers waren op het moment van de aanvallen 31.000 Citrix NetScalers kwetsbaar voor CVE-2023-3519. Gisteren bleek dat van de NetScalers er 1828 met een webshell zijn besmet. Daarvan hebben er 1248 inmiddels de beveiligingsupdate voor de kwetsbaarheid ontvangen. Organisaties zouden daardoor kunnen denken dat ze veilig zijn, terwijl in werkelijkheid aanvallers nog steeds toegang tot de server hebben. Vooral in Duitsland zijn veel getroffen NetScalers aangetroffen. In Nederland gaat het om meer dan honderd machines. Zowel Fox-IT als securitybedrijf Mandiant hebben scanners uitgebracht waarmee organisaties kunnen kijken of hun NetScalers zijn gecompromitteerd. Het DIVD is op 10 augustus begonnen met het informeren van gecompromitteerde organisaties. bron: https://www.security.nl

Onderzoekers hebben veertig miljoen e-mailadressen die het doelwit van een phishingaanval zijn geworden gedeeld met datalekzoekmachine Have I Been Pwned (HIBP). Het is de eerste keer dat e-mailadressen die bij onderzoek naar een phishingaanval zijn aangetroffen met HIBP zijn gedeeld. De aanval richtte zich met name op Mexicaanse internetgebruikers en probeerde toegang tot bankrekeningen te krijgen. Doelwitten ontvingen e-mails over een onbetaalde factuur. Als bijlage was een zip-bestand meegestuurd dat een url-bestand bevat, dat weer een JavaScript-bestand downloadt en uitvoert. Via dit bestand wordt de uiteindelijke malware geïnstalleerd die inloggegevens uit Outlook en Google Chrome steelt. Ook worden sessietokens gestolen wanneer slachtoffers bij verschillende Mexicaanse banken inloggen. Deze tokens worden naar de aanvaller gestuurd, die zo toegang tot de rekening van het slachtoffer krijgt. Volgens onderzoekers van securitybedrijf Perception Point waren de aanvallers erg slordig met hun operationele security, waardoor er allerlei informatie over de phishingaanval kon worden achterhaald, zoals het aantal gemaakte slachtoffers en mogelijk gestolen bedrag. Daarbij wordt een bedrag van 55 miljoen dollar genoemd. Daarnaast werd een dataset met e-mailadressen van potentiële slachtoffers gevonden. Hoe de aanvallers deze e-mailadressen in handen kregen is niet bekend. Perception Point deelde de e-mailadressen met Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de veertig miljoen gedeelde e-mailadressen was 37 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Discord.io, dat niet geaffilieerd is met het Discord-chatplatform, heeft bevestigd dat gegevens van 760.000 gebruikers zijn gestolen en op internet worden aangeboden. Vanwege het datalek heeft de dienst alle activiteiten voor de nabije toekomst opgeschort. Via Discord.io konden beheerders van een Discord-server hun eigen invites voor hun Discord-kanalen maken. De gestolen gegevens bestaan uit e-mailadres, factuuradres, gesalte en gehashte wachtwoorden van gebruikers van voor 2018, gebruikersnaam, Discord ID, API-key, informatie over de avatar en interne user ID. Nadat Discord.io over de datadiefstal was ingelicht besloot het alle activiteiten op te schorten. De website laat op dit moment alleen de datalekmelding zien. Discord laat tegenover Stack Diary weten dat het niets met Discord.io te maken heeft en ook geen gebruikersinformatie met de dienst deelt. Ook heeft het geen toegang tot de gegevens waarover Discord.io bezit. Wel heeft Discord de oauth tokens van alle gebruikers die van Discord.io gebruik hebben gemaakt ingetrokken, zodat de app niet langer acties in naam van deze gebruikers kan uitvoeren totdat die zich opnieuw authenticeren. bron: https://www.security.nl

Criminelen maken gebruik van zogenaamde TripAdvisor-klachten om onder andere restaurants met ransomware te infecteren. Dat laat beveiligingsonderzoeker Felix Weyne van antivirusbedrijf Sophos via X weten. De e-mail met de vermeende klacht bevat een zip-bestand genaamd TripAdvisorComplaint.zip waarin het bestand 'TripAdvisor Complaint - Possible Suspension.exe' zit. Deze e-mails worden onder andere naar restaurants gestuurd. Volgens de e-mail zijn er zorgen over de kwaliteit van de aangeboden producten en hygiëne bij de betreffende locatie. De ontvanger wordt opgeroepen de meegestuurde 'klacht' te lezen en binnen 24 uur met een reactie te komen. Wanneer gebruikers dit bestand openen raakt het systeem met de 'Knight' ransomware besmet. Naast het gebruik van een zip-bestand wordt er ook gebruikgemaakt van HTM-bestanden die naar een malafide bestand wijzen. De ransomware stond eerder nog bekend als de Cyclops maar werd eind juni naar 'Knight-ransomware' hernoemd. Voordat de ransomware allerlei bestanden op het systeem versleutelt worden eerst allerlei inloggegevens gestolen. De Knight-ransomware is namelijk een combinatie van ransomware en een 'infostealer'. De malware steelt inloggegevens uit ftp- en e-mailclients, alsmede browsers op het systeem. Die worden in een met wachtwoord beveiligd zip-bestand opgeslagen en naar de aanvaller gestuurd. "Het onderwijzen en bevorderen van bewustzijn bij gebruikers is cruciaal in het voorkomen van aanvallen", stelt securitybedrijf Uptycs dat onlangs een analyse van de ransomware maakte. "Gebruikers moeten voorzichtig zijn met e-mailbijlagen, het bezoeken van verdachte websites of het downloaden van bestanden van onbetrouwbare bronnen." bron: https://www.security.nl

Criminelen proberen routers van fabrikant Zyxel via een zes jaar oude kwetsbaarheid met malware te infecteren en zo onderdeel van een botnet te maken dat ddos-aanvallen uitvoert. Het gaat om de Zyxel P660HN-T1A, een router die sinds 2016 end-of-life is en geen beveiligingsupdates meer ontvangt. Een kwetsbaarheid in de router (CVE-2017-18368) maakt het mogelijk voor ongeauthenticeerde aanvallers om commando's op het apparaat uit te voeren. Hoewel de router sinds 2016 niet meer wordt ondersteund blijkt de laatste firmware die Zyxel uitbracht het beveiligingslek te verhelpen. Aanvallers proberen echter al jaren kwetsbare routers met de Gafgyt-malware te infecteren. Zyxel kwam hier zelf in 2019 met een waarschuwing voor. Eerder deze week meldde securitybedrijf Fortinet dat het nog steeds aanvallen ziet die misbruik van het beveiligingslek maken. Daarop kwam het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security met een waarschuwing, waarin het federale overheidsinstanties opriep om firmware versie 3.40(BYF.11) te installeren. Naar aanleiding van de melding van het CISA kwam Zyxel weer met een bericht aan gebruikers dat de P660HN-T1A een legacy product is dat niet meer wordt ondersteund en door nieuwe apparatuur vervangen zou moeten worden. bron: https://www.security.nl

Het Duitse AV-Test Institute heeft zestien virusscanners voor eindgebruikers op Windows 10 vergeleken en maar liefst dertien pakketten als 'Top Product' beoordeeld, waaronder de virusscanner die standaard in Windows 10 zit en de gratis oplossing van Avast. Voor de nieuwste test, die in mei en juni plaatsvond, werden antiviruspakketten beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 277 "zero-day" malware-exemplaren en ruim 16.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,6 procent gehaald. De test met de ruim 16.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. AhnLab, Avast, AVG, Avira, Bitdefender, F-Secure, McAfee, Norton, PC Matic en Trend Micro weten voor beide detectietests 100 procent te scoren. Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. K7 Computer zet met 5 punten de laagste score neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. AhnLab en Microworld halen hier 5,5 punten, de overige pakketten weten met zes punten maximaal te scoren. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden 1,3 miljoen schone websites en bestanden gebruikt. PC Matic en Microworld eindigen op dit onderdeel met 4,5 en 5 punten onderaan. De overige pakketten scoren 5,5 of 6 punten. Van de zestien virusscanners worden er uiteindelijk dertien als "Top Product" bestempeld. Deze pakketten weten 17,5 of de maximale 18 punten te scoren. Het gaat onder andere om de gratis antiviruspakketten Avast Free Antivirus en Microsoft Defender Antivirus. De laatste is standaard onderdeel van Windows 10. Microworld en PC Matic eindigen elk met 16,5 punten onderaan. bron: https://www.security.nl

De zeer populaire Chinese keyboard-app Sogou heeft lange tijd de toetsaanslagen van miljoenen gebruikers niet goed beveiligd, waardoor die eenvoudig waren af te luisteren. Via de app, die 450 miljoen maandelijkse actieve gebruikers telt, is het eenvoudig om Chinese karakters op een smartphone of computer in te voeren. De ontwikkelaars hadden echter hun eigen encryptie bedacht, waarin onderzoekers van Citizen Lab verschillende kwetsbaarheden vonden. Deze beveiligingslekken maken het mogelijk voor aanvallers op het netwerk om alle toetsaanslagen van gebruikers in plaintext te achterhalen. Inmiddels zijn er voor zowel Android, iOS als Windows nieuwe versies van de app verschenen. Wanneer gebruikers de app gebruiken en een Chinees karakter op het scherm tekenen, zal een cloudgebaseerde service suggesties voor een karakter doen als er geen suggesties in de lokale database zijn gevonden. Voor het beveiligen van het verkeer hebben de ontwikkelaars hun eigen encryptiesysteem bedacht. Onderzoekers van Citizen Lab ontdekten dat deze methode kwetsbaar is voor een CBC padding oracle-aanval. Daardoor kan een aanvaller de plaintext van versleuteld netwerkverkeer achterhalen en zo zien wat de gebruiker heeft getypt. In het geval van de Androidversie lukte het de onderzoekers ook om de tweede helft van de symmetrische sleutels te achterhalen die de app gebruikt voor het versleutelen van verkeer. Onderzoekers van Citizen Lab waarschuwden internetgigant en ontwikkelaar Tencent op 31 mei voor de gevonden problemen. Er volgde geen reactie, waarop het probleem op 16 juni nogmaals werd gemeld. Op 25 juni ontvingen de onderzoekers een reactie dat de kwetsbaarheden eigenlijk geen probleem waren. Achttien uur later kwam Tencent daarop terug en liet weten dat de beoordeling verkeerd was. Het bedrijf was bezig met de kwetsbaarheid en riep de onderzoekers op het probleem niet openbaar te maken. Eind vorige maand verschenen er updates voor de app. Volgens Citizen Lab laat het onderzoek zien dat het belangrijk is dat ontwikkelaars bekende encryptiesystemen gebruiken en niet hun eigen crypto gaan bedenken. bron: https://www.security.nl

De Belgische beveiligingsonderzoeker Mathy Vanhoef, bekend van zijn KRACK-aanval tegen WPA en WPA2, heeft een nieuwe aanval ontwikkeld waarmee het mogelijk is om het verkeer van vpn-gebruikers buiten de vpn-tunnel te laten lekken. De aanval, TunnelCrack, maakt misbruik van twee kwetsbaarheden in vpn-oplossingen. Met name vpn's op iOS en macOS zijn kwetsbaar, gevolgd door Windows. Vpn-apps voor Android zijn het veiligst, waarbij ongeveer een kwart kwetsbaar voor TunnelCrack is. De twee onderliggende aanvallen die TunnelCrack mogelijk maken noemt Vanhoef LocalNet- en ServerIP-aanvallen. Beide zijn te misbruiken wanneer een vpn-gebruiker verbinding met een onbetrouwbaar wifi-netwerk maakt. De ServerIP-aanval is ook door malafide internetproviders te misbruiken. De aanvallen manipuleren de routeringstabel van het doelwit, waardoor het slachtoffer verkeer buiten de beveiligde vpn-tunnel stuurt en een aanvaller dit verkeer kan lezen en onderscheppen. Wanneer een doelwit met het malafide wifi-netwerk verbinding maakt kan de aanvaller hem een publiek ip-adres en subnet toekennen. De aanvaller wil bijvoorbeeld verkeer naar target.com onderscheppen, dat het ip-adres 1.2.3.4 heeft. De aanvaller vertelt het slachtoffer dat het lokale netwerk gebruikmaakt van subnet 1.2.3.0/24. Zo wordt het slachtoffer verteld dat ip-adressen in de reeks 1.2.3.1-254 direct benaderbaar zijn in het lokale netwerk. Wanneer het slachtoffer nu target.com bezoekt, zal een webrequest naar ip-adres 1.2.3.4 worden gestuurd. Omdat de meeste vpn's directe toegang tot het lokale netwerk toestaan, zal het webrequest buiten de vpn-tunnel om worden verstuurd. Vanhoef noemt dit de LocalNet-aanval. Voor het onderzoek werden meer dan 66 vpn's op vijf platforms onderzocht. Alle vpn-apps op iOS zijn kwetsbaar. Op één na zijn ook alle vpn's voor macOS kwetsbaar. Bij de ServerIP-aanval wordt er misbruik gemaakt van het feit dat vpn's verkeer naar het ip-adres van de vpn-server niet versleutelen. Dit wordt gedaan om re-encryption van pakketten te voorkomen. Een aanvaller kan hier misbruik van maken door een dns-reply voor de vpn-server te spoofen. Vervolgens kan hij zo het slachtoffer een routeringsregel met een gespooft ip-adres laten toevoegen, waardoor. verkeer naar dit adres buiten de tunnel om wordt gestuurd. Vpn-gebruikers die zich willen beschermen tegen de LocalNet-aanval moeten lokaal verkeer uitschakelen, maar niet alle vpn-clients bieden deze optie. Een nadeel is dat het legitiem gebruik van het lokale netwerk, bijvoorbeeld voor het gebruik van een printer of het streamen van video's naar een tv, niet langer werken als de vpn wordt gebruikt. De ServerIP-aanval is te voorkomen door middel van policy-based routing, waarbij de routering niet alleen is gebaseerd op het doel ip-adres, maar ook andere factoren. Om gebruikers te beschermen zijn vpn-providers van tevoren ingelicht en hebben de tijd gekregen om updates te ontwikkelen. Onder andere Mozilla VPN, Surfshark, Malwarebytes, Windscribe en Cloudflare's WARP hebben patches ontvangen. Voor gebruikers van vpn-apps waarvoor geen patch beschikbaar is wordt aangeraden om lokale netwerktoegang uit te schakelen en van websites gebruik te maken die via HTTPS worden aangeboden. Cisco heeft een advisory uitgebracht omdat verschillende van de vpn-producten kwetsbaar zijn. bron: https://www.security.nl

Microsoft heeft deze maand meerdere kwetsbaarheden in Exchange Server verholpen, maar voor één van de beveiligingslekken is een extra handeling van beheerders vereist. Dat laat het techbedrijf in een blogposting en het betreffende beveiligingsbulletin werken. De kwetsbaarheid in kwestie, aangeduid als CVE-2023-21709, maakt het mogelijk voor een ongeauthenticeerde aanvaller om als een andere gebruiker in te loggen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Toch gaat het volgens Microsoft niet om een kritieke kwetsbaarheid, maar één die het label "important" heeft. Het techbedrijf stelt dat bruteforce-aanvallen meestal niet slagen tegen gebruikers met sterke wachtwoorden, maar dat het impactscoremodel geen rekening met dergelijke nuances houdt. "Ik zou deze kwetsbaarheid als kritiek beschouwen en daarnaar handelen", zegt Dustin Childs van het Zero Day Initiative. Voor het verhelpen van de kwetsbaarheid moeten beheerders niet alleen de beschikbaar gestelde beveiligingsupdate installeren, maar ook een apart script uitvoeren. Daarbij adviseert Microsoft eerst de installatie van de patch en dan het uitvoeren van het script. bron: https://www.security.nl