Captain Kirk

Het populaire chatplatform Discord heeft een onbekend aantal gebruikers gewaarschuwd voor een datalek nadat een aanvaller toegang kreeg tot de supporttickets van een helpdeskmedewerker. Daarbij kunnen e-mailadres, inhoud van het supportticket en eventueel uitgewisselde bijlagen zijn gelekt. Discord geeft in de melding, die via Reddit werd gedeeld, weinig details over het incident. Volgens het platform betrof het een helpdeskmedewerker van een extern bedrijf. Hoe de aanvaller toegang tot de supporttickets van deze medewerker kon krijgen laat Discord niet precies weten. Wel wordt er gesproken over een gecompromitteerd account en dat er op de getroffen computer op malware is gescand. Verder zegt Discord dat het met het niet nader genoemde externe helpdeskbedrijf samenwerkt om soortgelijke incidenten in de toekomst te voorkomen. bron: https://www.security.nl

Googles online virusscandienst VirusTotal geeft bij meer scripttalen een leesbare malware-samenvatting, die door een generatieve AI is gegenereerd. Vorige maand introduceerde VirusTotal een nieuwe feature genaamd "VirusTotal Code Insight", die analisten en professionals meer inzicht moet geven in wat het betreffende malware-exemplaar precies doet. Hiervoor wordt gebruikgemaakt van generatieve AI, een type van kunstmatige intelligentie dat op basis van invoer onder andere tekst of afbeeldingen kan genereren. Een bekend voorbeeld van generatieve AI is ChatGPT. Via VirusTotal is het mogelijk om verdachte bestanden door tientallen virusscanners te laten scannen. Naast een overzicht van wat antivirusprogramma's van het bestand vinden, geeft VirusTotal ook allerlei andere informatie weer. Door middel van "Code Insight" is er voortaan ook een leesbare samenvatting van wat de malware precies doet. In eerste instantie werd dit alleen gedaan bij PowerShell-bestanden, maar dat is inmiddels uitgebreid naar meer scripttalen, waaronder Shell scripts (SH) en VBScript (VBS). Verder is het nu ook mogelijk om bij grotere bestanden een leesbare samenvatting te krijgen en is de gebruikersinterface aangepast, waarbij alleen de eerste regels van het rapport worden getoond. VirusTotal stelt dat Code Insight niet ontwikkeld is om menselijke analisten te vervangen, maar als hulp moet worden gezien. Voor de toekomst is het de bedoeling dat Code Insight meer bestandstypen en grotere bestanden gaat ondersteunen, alsmede binary en executable bestanden kan analyseren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in een populaire plug-in voor WordPress maakt het mogelijk voor een ongeauthenticeerde aanvaller om websites over te nemen. De enige vereiste is dat de aanvaller de gebruikersnaam weet van het account dat hij wil kapen, zo meldt securitybedrijf Patchstack. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn ook weer allerlei plug-ins beschikbaar, waaronder Essential Addons for Elementor. Deze uitbreiding voorziet Elementor van allerlei nieuwe onderdelen. Meer dan één miljoen WordPress-sites maken er gebruik van. De wachtwoordresetfunctie van de plug-in bevat een kwetsbaarheid. De functie controleert namelijk niet of een door de gebruiker opgegeven key voor het uitvoeren van een wachtwoordreset wel geldig is en wijzigt vervolgens direct het wachtwoord van de opgegeven gebruiker. Een aanvaller kan zo het wachtwoord van de beheerder wijzigen en de website overnemen. Het probleem is aanwezig in versie 5.4.0 tot en met 5.7.1. Gisteren verscheen versie 5.7.2 waarin de kwetsbaarheid is verholpen, maar dit is niet duidelijk vermeld. Er staat in de beschrijving alleen "Improved: EA Login/Register Form for Security Enhancement" en "Few minor bug fixes & improvements." Hoeveel websites met Essential Addons for Elementor kwetsbaar zijn is onbekend, aangezien het probleem alleen bij bepaalde versies speelt. Wel hebben gisteren 358.000 sites de update ontvangen. bron: https://www.security.nl

De makers van Brave hebben twee nieuwe privacyfeatures aan de browser toegevoegd die bounce tracking en first-party heridentificatie moeten tegengaan. De eerste feature, "Forgetful Browsing" genaamd, zal wanneer gebruikers een website sluiten alle cookies en andere opgeslagen data van de betreffende site verwijderen. Dit moet first-party heridentificatie tegengaan. Volgens Brave hebben de privacyproblemen op het web een gezamenlijke hoofdoorzaak, namelijk dat browsers sites toestaan om gebruikers oneindig te heridentificeren. Voor gebruikers is het echter bij slechts een klein deel van de sites handig om opnieuw te worden geïdentificeerd. Door heridentificatie kunnen websites zien dat dezelfde gebruiker hen bezoekt, ook al is die tussen de bezoeken uitgelogd. Dit komt volgens Brave doordat niet alle first-party storage wordt verwijderd en browsers geen goede bescherming hebben tegen websites die opzettelijk gebruikers tussen het inloggen opnieuw proberen te identificeren. Er zijn wel opties, zoals private browsing en het verwijderen van alle opgeslagen browsingdata, maar die werken onvoldoende of zijn ongeschikt, claimt Brave. Zo kunnen gebruikers wel alle browsingdata verwijderen, maar dit biedt geen oplossing voor mensen die hun browser langere tijd open hebben, aldus de browserontwikkelaar. Forgetful Browsing voorkomt heridentificatie zonder dat de browser moet worden gesloten. Alleen het sluiten van de site is voldoende, staat in de uitleg. De browser zal dan alle opgeslagen data, zoals cookies, localStorage (indexedDB) en zaken als HTTP- en DNS-cache verwijderen. Unlinkable bouncing De tweede nieuwe privacyfeature is Unlinkable bouncing en moet bescherming tegen bounce tracking bieden. Bounce tracking is een trackingmethode waarbij een gebruiker op een link klinkt en vervolgens via een trackingpagina bij de uiteindelijke bestemming komt. Een gebruiker zit op de website rabbits.example en klikt op een link naar turtles.example. De tracker wijzigt op het laatste moment de link naar tracker.example. De trackingsite stuurt de gebruiker vervolgens door naar turtles.example, maar weet wel dat de gebruiker interesse in konijnen en schildpadden heeft. Wanneer tracker.example zichzelf maar vaak genoeg bij het browsen van de gebruiker weet te injecteren, kan er een uitgebreid profiel van hem worden gemaakt. Brave had al verschillende beveiligingsmaatregelen tegen bounce tracking toegevoegd. Unlinkable bouncing zorgt ervoor dat de geïnjecteerde tracker nog steeds ziet dat er iemand van rabbits.example naar turtles.example gaat, maar niet weet dat het dezelfde persoon is die de website gisteren ook bezocht. Brave controleert hiervoor alle nieuw geopende links en kijkt of die bekendstaan om bounce tracking. Is dat het geval, dan maakt de browser een nieuwe tijdelijke browser storage voor de bestemming aan. Zodra de gebruiker de trackingpagina verlaat wordt de tijdelijke storage verwijderd en moet heridentificatie worden voorkomen als de gebruiker de volgende keer via de trackingpagina op een website terechtkomt. bron: https://www.security.nl

Microsoft zal de beveiligingsupdate voor een actief aangevallen zerodaylek in Secure Boot die het gisterenavond uitbracht in het eerste kwartaal van volgend jaar op alle Windowssystemen inschakelen. Op dit moment moeten gebruikers en beheerders dit zelf doen. Het beveiligingslek (CVE-2023-24932) maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om Secure Boot te omzeilen. De BlackLotus-bootkit blijkt misbruik van deze kwetsbaarheid te maken om eigen code op UEFI-niveau uit te voeren, terwijl Secure Boot is ingeschakeld. De beveiligingsmaatregel zou dit juist moeten voorkomen. Microsoft kwam gisteren met een patch, maar die staat standaard uitgeschakeld en gebruikers zijn zodoende niet beschermd. Gebruikers die beschermd willen zijn moeten zelf verschillende acties uitvoeren. Op 11 juli van dit jaar kom Microsoft met een tweede release van de update die aanvullende opties biedt, die het inschakelen van de bescherming eenvoudiger zouden moeten maken. Op een nog nader te bepalen datum in het eerste kwartaal van 2024 wordt de beveiligingsupdate op alle Windowssystemen ingeschakeld, hoewel Microsoft zegt naar een eerdere uitrol te kijken. Het techbedrijf claimt deze gefaseerde aanpak te hanteren om te voorkomen dat systemen straks niet meer kunnen opstarten. Secure Boot bepaalt welk bootmedia mag worden geladen bij het initialiseren van het besturingssysteem. Als de beveiligingsupdate niet op de juiste manier wordt ingeschakeld is er een kans dat het systeem niet meer opstart. Als onderdeel van de oplossing voor de Secure Boot bypass (CVE-2023-24932) trekt Microsoft namelijk verschillende bootmanagers in. Dit heeft verschillende gevolgen. Zo zijn back-ups van Windows die voor de installatie van de beveiligingsupdates van 9 mei zijn gemaakt niet direct te gebruiken voor het herstellen van een Windows-installatie nadat de revocations op de betreffende computer zijn ingeschakeld. Gebruikers moeten dan ook hun bootable media en volledige back-ups van Windows updaten. Nadat de revocations zijn toegepast zal bootable media die niet is geüpdatet niet meer goed werken. bron: https://www.security.nl

Twitter zou vanaf morgen over end-to-end versleutelde privéberichten moeten beschikken, zo heeft eigenaar Elon Musk aangekondigd. Op dit moment past Twitter geen end-to-end encryptie toe voor de privéberichten van gebruikers, waardoor derden die zouden kunnen lezen. Eerder stelde de Amerikaanse burgerrechtenbeweging EFF dat Twitter de privéberichten die gebruikers onderling versturen end-to-end zou moeten versleutelen. "Het versleutelen van privéberichten zou veel doen voor het verbeteren van de veiligheid van gebruikers, en kan de redelijke angst wegnemen dat wie bij Twitter werkt, in de raad van bestuur zit of aandelen bezit, de berichten van gebruikers kan bespioneren", aldus de EFF. "Wanneer gebruikers meer controle hebben, maakt het minder uit wie eraan het hoofd staat, en dat is goed voor iedereen." Vorig jaar mei liet Musk weten dat privéberichten die via Twitter worden verstuurd, net zoals bij Signal, end-to-end versleuteld zouden moeten zijn. Vandaag meldt Musk dat end-to-end versleutelde direct messages vanaf morgen op Twitter beschikbaar zouden moeten zijn. "Zelfs met een pistool tegen mijn hoofd zou ik je privéberichten niet kunnen zien." bron: https://www.security.nl

De FBI heeft met toestemming van een Amerikaanse rechter de beruchte Snake-malware via een commando op afstand op de besmette systemen van slachtoffers uitgeschakeld. De Snake-malware is volgens de Amerikaanse opsporingsdienst al twee decennia lang door de Russische inlichtingendienst voor spionage en het stelen van vertrouwelijke documenten in meer dan vijftig landen ingezet. De Amerikaanse autoriteiten noemen Snake zelfs de meest geraffineerde spionagemalware van de Russische inlichtingendienst FSB. Eenmaal actief op een systeem probeert Snake zo min mogelijk op te vallen, terwijl het de operators in staat stelt om naar allerlei gevoelige informatie te zoeken. De communicatie van en naar besmette systemen is versleuteld. De FSB gebruikte echter te korte encryptiesleutels voor de versleutelde communicatie, waardoor de FBI die kon kraken en lezen. Daarnaast bleek dat de operators bij hun aanvallen de Snake binary achterlieten. Daardoor konden onderzoekers allerlei functienamen, cleartext strings en opmerkingen van ontwikkelaars vinden. Zo bleek dat de Snake-operators verschillende commando's gebruikten waarmee ze de Snake-malware allerlei opdrachten gaven, onder andere om de malware te stoppen. FBI ontwikkelde vervolgens een tool om met de malware te communiceren waardoor het een commando naar met Snake besmette systemen kon sturen waardoor de malware de eigen onderdelen overschreef en zo werd uitgeschakeld. Dit gebeurde alleen op systemen die in Verenigde Staten werden gelokaliseerd en waarvoor de opsporingsdienst een gerechtelijk bevel kreeg. Als onderdeel van het bevel moest de FBI slachtoffers na de operatie informeren. Slachtoffers zijn daarmee niet klaar, aldus de Amerikaanse autoriteiten. De Snake-malware mag dan zijn verwijderd, dat geldt niet voor andere malware die via Snake op systemen is geïnstalleerd. En ook eventuele kwetsbaarheden waarmee de malware is geïnstalleerd zijn nog steeds aanwezig. Daarnaast werd er via de Snake-malware vaak een keylogger geïnstalleerd om inloggegevens te stelen. Slachtoffers moeten dan ook hun wachtwoorden wijzigen. De autoriteiten hebben een uitgebreid document gepubliceerd met details over de werking van de Snake-malware en hoe die is te vinden, verwijderen en voorkomen. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die meerdere kwetsbaarheden verhelpt, maar er ook voor zorgt dat de ingebouwde wachtwoordgenerator voortaan speciale tekens gebruikt bij het genereren van wachtwoorden. Dit moet volgens Mozilla voor veiligere wachtwoorden zorgen. Firefox biedt gebruikers de mogelijkheid om automatisch wachtwoorden voor accounts op websites te genereren, die vervolgens in de Password Manager van de browser zijn op te slaan. Voorheen maakte de wachtwoordgenerator geen gebruik van speciale tekens bij het genereren van wachtwoorden. Dat is met de lancering van Firefox 113 veranderd, zo laat Mozilla weten. Verder zijn er met deze versie twaalf kwetsbaarheden verholpen waardoor onder andere denial of service, spoofing en vermoedelijk ook het uitvoeren van willekeurige code mogelijk is, waarbij alleen het bezoeken van een malafide of gecompromitteerde website volstaat. Updaten naar Firefox 113 kan via de automatisch updatefunctie of Mozilla.org. bron: https://www.security.nl

Tijdens de patchdinsdag van mei heeft Microsoft 38 kwetsbaarheden verholpen, waaronder twee actief aangevallen zerodaylekken. Het gaat om beveiligingslekken in de Windows-kernel en Secure Boot. De kwetsbaarheid in de kernel maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om zijn rechten te verhogen en code met systeemrechten uit te voeren. Daardoor is het mogelijk om volledige controle over het systeem te krijgen. Het beveiligingslek, aangeduid als CVE-2023-29336, is op zichzelf niet voldoende om een systeem op afstand over te nemen en zou met een andere kwetsbaarheid of malware op het systeem moeten worden gecombineerd. Microsoft geeft geen verdere details over de aanvallen. De zeroday was gevonden en gerapporteerd door antivirusbedrijf Avast. Ook het tweede zerodaylek, in de Secure Boot-beveiligingsfeature, was gevonden door een antivirusbedrijf. Dit beveiligingslek, aangeduid als CVE-2023-24932, maakt het mogelijk om Secure Boot te omzeilen en wordt gebruikt door de BlackLotus-bootkit, zo ontdekten onderzoekers van virusbestrijder ESET en SentinelOne. Om dit beveiligingslek te kunnen misbruiken moet een aanvaller fysieke toegang tot de computer of hierop adminrechten hebben. De Secure Boot-kwetsbaarheid raakt fysieke systemen en sommige virtual machines en cloudgebaseerde apparaten, alsmede Linux. Microsoft heeft met Linux-distributies samengewerkt zodat die ook een update beschikbaar kunnen stellen. Daarnaast wordt de update niet automatisch ingeschakeld, aldus Microsoft. Gebruikers moeten dit zelf doen. Vanwege de aanpassingen voor de kwetsbaarheid moeten verschillende revocations worden toegepast, omdat computer anders niet door middel van recovery of installatiemedia zijn op te starten, tenzij deze media met de beveiligingsupdate voor het Secure Boot-lek zijn geüpdatet. Het gaat dan ook om opstartbare media zoals usb-sticks, externe schijven, network boot recovery en restore images. De update moet dan ook eerst worden toegepast en daarna pas de revocations, aldus de uitleg van Microsoft. De overige beveiligingsupdates worden deze maand wel automatisch geïnstalleerd en ingeschakeld. bron: https://www.security.nl

De Amerikaanse overheid heeft dertien domeinnamen van ddos-diensten in beslag genomen. Tien van deze domeinnamen waren van ddos-diensten waarvan een eerdere domeinnaam vorig jaar december al in handen van de Amerikaanse autoriteiten kwam. Via ddos-diensten zijn tegen betaling ddos-aanvallen op websites uit te voeren. Zo zouden onder andere websites van onderwijsinstellingen, overheidsinstanties en gamingplatforms en systemen van eindgebruikers zijn aangevallen. Afgelopen december besloten internationale politiediensten, waaronder de FBI en Nederlandse politie, 48 domeinnamen van ddos-diensten offline te halen. Het zou gaan om de "grootste DDoS-for-hire websites" ter wereld. Al gauw werd bekend dat de ddos-diensten in kwestie via nieuwe domeinnamen weer online waren gekomen. Zo ging cyberstress.us, dat in december in beslag werd genomen, verder via cyberstress.org. Ook deze domeinnaam is nu offline. Verder melden de Amerikaanse autoriteiten dat vier personen die vorig jaar op verdenking van het aanbieden van ddos-diensten werden aangehouden schuld hebben bekend en deze zomer hun strafmaat krijgen te horen. Naar aanleiding van de operatie tegen de ddos-sites kwam de Nederlandse politie met een advertentiecampagne, die mensen die op ddos en gerelateerde termen zoeken waarschuwt voor de risico's van het gebruik van dergelijke diensten. bron: https://www.security.nl

Microsoft gaat deze maand beginnen met het waarschuwen van beheerders van Exchange 2007-servers dat die straks geen e-mails meer naar Exchange Online kunnen sturen, omdat die dan worden geblokkeerd. Volgens het techbedrijf wordt de maatregel genomen om het "Exchange-ecosysteem" te beschermen en is het geen manier om klanten naar de cloud te krijgen. Na Exchange Server 2007 zullen ook andere versies van de mailserversoftware volgen. Zodra een kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het "throttelen" van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen. Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Later deze maand zal de "eerste golf" van beheerders van mailservers waarop Exchange Server 2007 draait een "report" van Microsoft ontvangen met de waarschuwing dat ze naar een up-to-date versie van Exchange moeten migreren, of anders geen mail meer naar Exchange Online kunnen sturen. Microsoft zegt dat het klanten op deze manier niet naar de cloud wil dwingen, maar bij de uitleg stelt het techbedrijf dat het als eerste met Exchange Server 2007 begint, aangezien dit de oudste Exchange-versie is waarbij er naar Exchange Online kan worden gemigreerd en deze servers volgens Microsoft worden beheerd door klanten die het kent. bron: https://www.security.nl

Intel doet onderzoek naar de diefstal van Intel BootGuard private keys bij MSI, zo heeft het in een reactie op eerdere berichtgeving laten weten. Daarnaast is een bij MSI buitgemaakte Intel OEM platform key op apparaten van HP, Lenovo en andere fabrikanten aangetroffen, aldus de onderzoekers van securitybedrijf Binarly, die als eerste over het lek berichtten. MSI zelf heeft nog altijd geen verdere reactie gegeven. MSI liet vorige maand weten dat het slachtoffer van een aanval was geworden en adviseerde gebruikers om alleen firmware- en bios-updates van de officiële website te downloaden. Nu blijkt dat bij de aanval private keys voor het signeren van MSI-firmware en Intel BootGuard private keys zijn gestolen. De aanvallers eisten vier miljoen dollar losgeld, anders zouden ze de data openbaar maken. MSI heeft niet bekendgemaakt of er wel of niet is betaald. Wel is een deel van de gestolen data nu online verschenen. Intel BootGuard zorgt ervoor dat er alleen geverifieerde programma's voor het opstarten van het besturingssysteem worden geladen. Met de keys kunnen aanvallers hun kwaadaardige firmware en code signeren en zo het beveiligingssysteem en andere controles omzeilen. Intel stelt dat het met de berichtgeving bekend is en onderzoek doet. Daarbij voegt de chipfabrikant toe dat Intel BootGuard OEM keys door de betreffende computerfabrikant zelf worden gegenereerd en geen Intel signing keys zijn. Ondertussen laat securitybedrijf Binarly weten dat één van de gelekte keys de Intel OEM platform key is die te maken heeft met een onderdeel genaamd "Intel Orange" of "OEM Unlocked", waarmee het mogelijk is aanvullende debug-mogelijkheden in te schakelen. Binarly zegt later met meer informatie te komen. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) houdt de situatie rond het lekken van de private keys van Intel BootGuard in de gaten, zo heeft het zelf bekendgemaakt. De overheidsinstantie zegt over informatie te beschikken dat het lekken van de keys niet alleen impact heeft op de producten van MSI, maar ook diverse andere hard- en softwareleveranciers. "Het ligt daarom in de lijn der verwachting dat er de komende dagen nog meer kwetsbare producten gevonden zullen worden." Intel BootGuard moet de vertrouwelijkheid en integriteit van het opstartproces van een systeem waarborgen door alleen geverifieerde programma's voor het opstarten van het besturingssysteem te laden. "Een kwaadwillende kan een gelekte private key gebruiken om malafide firmware-, BIOS- en software-updates te ondertekenen en zo beveiligingsmaatregelen omzeilen. Hiervoor dient een gebruiker met toegang tot het systeem de malafide update te installeren", aldus het NCSC. Een aanvaller zou dan ook eerst het systeem moeten compromitteren om vervolgens de malafide firmware-update uit te voeren. De overheidsinstantie zegt op dit moment niet met misbruik bekend te zijn, maar houdt de situatie naar eigen zeggen nauwlettend in de gaten. MSI meldde vorige maand dat het slachtoffer van een aanval was geworden en adviseerde gebruikers om alleen firmware- en bios-updates van de officiële website te downloaden. Criminelen achter de Money Message-ransomware claimden verantwoordelijkheid voor de aanval en eisten vier miljoen dollar losgeld. Of MSI op de eisen van de aanvaller is ingegaan, is onbekend. Wel zijn de keys inmiddels gepubliceerd, zo liet securitybedrijf Binarly vorige week weten. bron: https://www.security.nl

Uit nieuwsgierigheid ben ik ook eens even voor je op onderzoek gegaan. Ik heb zelf geen DJ-drone. Dus heb nu wat ik heb ontdekt puur van het internet. Je probleem kom je best veel tegen met diverse oplossingen. De oorzaak zou liggen in de DNS van je ISP. De ISP zou bepaalde sites filteren of tegenhouden vanwege bepaalde rechten(?). Er worden oplossingen gegeven van het inderdaad anders instellen van je DNS naar de Google-settings. Maar in jouw situatie zou ik mij daar niet aan wagen. Er worden ook nog over een tweetal andere oplossingen gesproken. Eén melder heeft het probleem kunnen oplossen door de DS=NS een update te geven. De tweede, die je meer tegen komt, spreekt van mensen die van hun telefoon een hotspot hebben gemaakt en zo wel de update van de DJM en RC hebben kunnen uitvoeren. Dit laatste zou ik zelf als eerste eens proberen.

Microsoft heeft een nieuwe Cumulative Update voor Exchange Server 2019 uitgebracht die onder andere OAuth 2.0-gebaseerde authenticatie, ook wel modern authentication genoemd, voor Outlook toevoegt. Modern authentication ondersteunt authenticatie-features zoals multifactorauthenticatie, smartcards, certificaatgebaseerde authenticatie en third-party identiteitsproviders. Traditioneel gebruikte Exchange Server basic authentication, ook bekend als legacy authentication, waarbij er alleen via een gebruikersnaam en wachtwoord wordt ingelogd. Dit is volgens Microsoft een veiligheidsrisico. Het techbedrijf is dan ook al enige tijd bezig om basic authentication uit te faseren. Voor klanten die hun eigen Exchange-server hosten was er volgens Microsoft geen kant-en-klare oplossing om modern authentication te gebruiken. Vorig jaar liet Microsoft al weten dat het stapsgewijs modern authentication voor "on-premise" Exchange-servers beschikbaar gaat maken. Met de release van 2023 H1 Cumulative Update voor Exchange Server 2019 (ook bekend als CU13), is support van modern authentication voor Outlook op Windows toegevoegd. Support voor Outlook-clients op macOS, Android en iOS volgt later dit jaar. Outlook on the web ondersteunt met Active Directory Federation Services (ADFS) claims-gebaseerde authenticatie, wat een vorm van modern authentication is. Microsoft ondersteunt alleen bepaalde CU-versies van Exchange Server met beveiligingsupdates. Met de release van 2023 H1 CU voor Exchange Server 2019 worden alleen nog CU12 en CU13 ondersteund. Microsoft merkt verder op dat het mogelijk is om modern authentication op gebruikersniveau in en uit te schakelen. bron: https://www.security.nl

Google laat gebruikers voortaan ook met een passkey inloggen op hun Google-account, zo heeft het techbedrijf vandaag bekendgemaakt. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. "In tegenstelling tot wachtwoorden, kunnen passkeys alleen op jouw apparaat bestaan. Ze kunnen niet worden opgeschreven of per ongeluk worden verstrekt aan een aanvaller. Wanneer je met een passkey inlogt op je Google-account, bewijst het aan Google dat je toegang tot je apparaat hebt en het kan ontgrendelen", zegt Googles Arnar Birgisson. In het geval een gebruiker het apparaat verliest waarop een passkey voor zijn Google-account staat is het mogelijk om die passkey in te trekken. Gebruikers wordt ook aangeraden om geen passkey te maken op een apparaat dat met anderen wordt gedeeld. bron: https://www.security.nl

Microsoft zal naar verwachting volgend jaar beginnen met het blokkeren van e-mail die vanaf kwetsbare Exchange 2016/2019-servers naar Exchange Online wordt gestuurd. Eind maart liet Microsoft weten dat Exchange Online e-mails van permanent kwetsbare Exchange-servers gaat blokkeren. Dit moet beheerders aansporen om naar een wel ondersteunde Exchange-versie te migreren. Zodra een permanent kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het "throttelen" van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen. Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Er is besloten om als eerste met Exchange Server 2007 te beginnen, aangezien dit de oudste Exchange-versie is waarbij er naar Exchange Online kan worden gemigreerd en deze servers volgens Microsoft worden beheerd door klanten die het kent. Vervolgens zullen Exchange Server 2010 en 2013 volgen. Exchange 2016 en 2019 worden nog wel door Microsoft met beveiligingsupdates ondersteund. Toch zal het ook mail van deze servers, als ze ernstig achterlopen met patches, gaan blokkeren. Dat zal echter pas waarschijnlijk volgend jaar gebeuren, aldus Microsofts Scott Schnoll. bron: https://www.security.nl

Google gaat het slot-icoon dat in Chrome wordt gebruikt bij HTTPS-websites vervangen door een "tune" icoon, om zo aan te geven dat websites met een versleutelde verbinding niet standaard zijn te vertrouwen. Dat heeft techbedrijf aangekondigd. Het slot-icoon wordt al jaren gebruikt om gebruikers te laten zien dat verkeer van en naar de website versleuteld is. Het zegt echter niet of een website betrouwbaar of veilig is. Al jaren geleden voerde Google onderzoek uit waaruit bleek dat veel eindgebruikers niet begrepen waar het slot-icoon voor staat. Daarop werd in 2016 een nieuw icoon geïntroduceerd. Dat bleek echter niet te helpen, want onderzoek uit 2021 toonde aan dat slechts elf procent van de deelnemers wist wat het slot-icoon inhoudt. Dit misverstand is niet zonder gevolgen, aldus Google, omdat bijna alle phishingsites van HTTPS gebruikmaken en zodoende ook een slot-icoon in de adresbalk weergeven. Inmiddels geven tal van organisaties ook het advies dat een slot-icoon niets zegt over de veiligheid of betrouwbaarheid van de website in kwestie. Daarom zal later dit jaar in Chrome een nieuw "tune" icoon worden gebruikt. Deze neutrale indicator moet aangeven dat security de standaard staat is en websites met dit icoon niet standaard zijn te vertrouwen. Google gaat het nieuwe icoon begin september met de release van Chrome 117 doorvoeren. Op hetzelfde moment zal het slot-icoon ook in Android worden vervangen. Op iOS is het slot-icoon niet "tappable" en zal daar volledig worden verwijderd. Google zal op alle platforms blijven aangeven dat HTTP-sites onveilig zijn. In Chrome Canary, een vroege testversie van de browser, is het al mogelijk voor gebruikers om het slot-icoon zelf in te schakelen via de flag chrome://flags#chrome-refresh-2023. bron: https://www.security.nl

Mozilla heeft Fakespot overgenomen, een dienst die zich bezighoudt met het detecteren van nepreviews op internet, zo is vandaag bekendgemaakt. Fakespot blijft beschikbaar voor verschillende browsers en smartphones, maar er zal in de toekomst een "unieke" integratie met Firefox plaatsvinden. Hierdoor zouden Firefox-gebruikers beter in staat moeten zijn om echte van neprecensies te onderscheiden, zo claimt Mozilla. Fakespot maakt naar eigen zeggen gebruik van kunstmatige intelligentie en machine learning om patronen en overeenkomsten tussen reviews te herkennen, om zo vermeende misleidende recensies te kunnen detecteren. Volgens Fakespot-oprichter Saoud Khalifah is het eenvoudiger dan ooit tevoren om neprecensies te maken en is de browser de eerste plek waar deze content binnenkomt. Daardoor zou de browser ook het beste zijn uitgerust om nepreviews tegen te gaan. bron: https://www.security.nl

Er is nog altijd veel mis met de privacy en security van geestelijke gezondheidsapps, zo stelt Mozilla op basis van eigen onderzoek. Vorig jaar besloot de Firefox-ontwikkelaar naar 32 apps te kijken die onder andere hulp bieden bij posttraumatische stress-stoornis en het voorkomen van zelfmoord. Bij 28 van de 32 apps is de privacy van gebruikers niet gewaarborgd. Deze apps kregen het label "Privacy Not Included" van Mozilla. Zo stelden meerdere apps dat ze informatie met "betrouwbare partners" delen, maar wordt niet duidelijk wie dat zijn. Andere apps melden weer dat ze data van derde partijen kunnen kopen, zoals datahandelaren, om aan het al gemaakte profiel van gebruikers toe te voegen, zoals geslacht, leeftijd, geloofsovertuiging, etniciteit, gezinsgrootte en inkomen en politieke voorkeur. Vervolgens wordt deze data gebruikt voor gerichte advertenties en gedeeld met andere partijen. Dit jaar herhaalde Mozilla het onderzoek, waarbij de apps opnieuw werden bekeken. Sommige apps hadden verbeteringen doorgevoerd, maar de meeste waren juist erger geworden, aldus de onderzoekers. Het gaat onder andere om Betterhelp dat gevoelige gezondheidsinformatie voor advertentiedoeleinden gebruikte. Ook de Talkspace-app blijkt gevoelige informatie van gebruikers voor marketingzaken te kunnen gebruiken, waaronder gerichte advertenties. Van alle onderzochte apps kregen er slechts twee een "duimpje omhoog" van Mozilla. Het gaat om PTSD Coach en Wysa die volgens de onderzoekers op verantwoorde wijze met de gegevens van gebruikers omgaan. Een app die op alle vlakken een onvoldoende scoort is "Replika: My AI Friend", die ook het label "super creepy" krijgt. De app stelt in de voorwaarden dat het berichten van gebruikers voor allerlei doeleinden kan gebruiken. Volgens Mozilla laat het onderzoek zien dat het nog altijd niet goed gesteld is met geestelijke gezondheidsapps. Gebruikers wordt dan ook aangeraden om hun socialmedia-accounts niet aan dergelijke apps te koppelen of daarmee in te loggen. Tevens wordt aangeraden om de permissies van de apps, bijvoorbeeld voor camera, microfoon, foto en locatie, tenzij strikt noodzakelijk, te beperken. Ook wordt aangeraden om "ad tracking" te beperken en gerichte advertenties bij Google uit te schakelen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een vijf jaar oude kwetsbaarheid in digitale videorecorders zodat ze met de videobeelden van aangesloten camera's kunnen meekijken, zo waarschuwt securitybedrijf Fortinet. Een firmware-update is niet beschikbaar. De kwetsbaarheid, aangeduid als CVE-2018-9995, bevindt zich in digitale videorecorders van TBK Vision met typenummer DVR4104 en DVR4216. Deze apparaten worden echter ook onder andere merken aangeboden, zoals Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login en MDVR. Het beveiligingslek maakt het mogelijk voor aanvallers om de authenticatie te omzeilen en als beheerder toegang te krijgen. Vervolgens is toegang tot de videofeed van aangesloten camera's mogelijk. De kwetsbaarheid is sinds april 2018 bekend, maar de fabrikant heeft nooit updates uitgebracht om het probleem te verhelpen. TBK Vision claimt dat meer dan zeshonderdduizend camera's en vijftigduizend cctv-recorders van het bedrijf in omloop zijn. Fortinet zegt dat het onlangs een piek in het aanvallen heeft waargenomen waarbij werd geprobeerd om misbruik van CVE-2018-9995 te maken. Volgens het securitybedrijf laat dit zien dat dergelijke apparaten een aantrekkelijk doelwit voor aanvallers zijn. Toezichthouder tegen verplicht gebruik Europe bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Oracle WebLogic Server, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Oracle kwam afgelopen januari met beveiligingsupdates voor de kwetsbaarheid, die wordt aangeduid als CVE-2023-21839. Het gaat om een "ongespecificeerd" beveiligingslek waardoor een ongeautoriseerde aanvaller op afstand via het T3- of IIOP-protocol servers kan compromitteren. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. In het verleden zijn kwetsbaarheden in de software vaker het doelwit van aanvallen geweest. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. Het CISA geeft geen details over de aanvallen. Wat opvalt aan de kwetsbaarheid is dat die door acht verschillende beveiligingsonderzoekers aan Oracle werd gerapporteerd. In februari verschenen al verschillende proof-of-concept exploits voor het beveiligingslek online. In tegenstelling tot veel andere softwarebedrijven, zoals Adobe en Microsoft die maandelijks met patches komen, brengt Oracle vier keer per jaar beveiligingsupdates uit. De volgende patchronde staat gepland voor 18 juli. Volgens het softwarebedrijf blijft het meldingen ontvangen van organisaties die succesvol zijn aangevallen omdat ze hadden nagelaten beschikbare updates te installeren. Het CISA heeft Amerikaanse federale overheidsinstanties opgedragen de update voor 22 mei te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

De ransomwaregroep die de aanval op Western Digital opeiste heeft interne e-mails en een videoconferentie van de harde schijffabrikant gepubliceerd waarin de aanval en respons worden besproken. Dat suggereert dat de aanvallers ook nadat WD de aanval ontdekte nog steeds toegang tot systemen hadden en zo konden meelezen met de respons van het bedrijf. Beveiligingsonderzoeker Dominic Alvieri publiceerde verschillende screenshots die Alphv-ransomwaregroep, ook bekend als BlackCat, op de eigen website heeft geplaatst en waaruit dit blijkt. Begin vorige maand meldde WD dat het met een security-incident te maken had gekregen waarbij er gegevens waren buitgemaakt. Naar aanleiding van het incident haalde Western Digital meerdere diensten en systemen offline. Daardoor konden klanten dagenlang geen gebruikmaken van My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi en de SanDisk Ixpand Wireless Charger service. Op de eigen website hebben de aanvallers nu allerlei interne screenshots van e-mails, documenten en een videoconferentie geplaatst waarin WD de aanval bespreekt. Tevens claimen de aanvallers dat ze een back-up van de volledig "SAP backoffice" hebben bemachtigd, alsmede persoonsgegevens van klanten en een key/certificaat voor het signeren van code als WD hebben. Na de verklaring van WD op 2 april heeft het bedrijf geen verdere details gegeven. bron: https://www.security.nl

De makers van sudo hebben besloten om de waarschuwing "This incident will be reported", die aan gebruikers werd getoond die een sudo-commando wilden uitvoeren terwijl ze hiervoor geen rechten hadden, te verwijderen. Sudo is een programma voor Unix-gebaseerde besturingssystemen en maakt het mogelijk om programma's uit te voeren met de rechten van een andere gebruiker, wat standaard de superuser is. In het geval een gebruiker sudo probeerde uit te voeren en niet in de sudoers file stond kreeg de systeembeheerder voorheen hiervan altijd een e-mail. Het is inmiddels echter mogelijk om in te stellen of sudo wel of geen e-mail verstuurt, waardoor de melding aan gebruikers niet altijd meer juist is. Daarnaast zorgde de waarschuwing "This incident will be reported" volgens de sudo-ontwikkelaars voor verwarring bij gebruikers. Zo was onduidelijk aan wie het incident werd gerapporteerd. Daarom zal er voortaan alleen een melding verschijnen als er daadwerkelijk een e-mail aan de beheerder is verstuurd. Tevens is de melding aan gebruikers aangepast. Die krijgen voortaan het bericht "This incident has been reported to the administrator" te zien. bron: https://www.security.nl

Een kwetsbaarheid in de printserversoftware van PaperCut wordt al sinds 13 april bij ransomware-aanvallen gebruikt, zo stelt Microsoft. PaperCut levert onder andere een printmanagementserver waarmee organisaties allerlei printgerelateerde zaken kunnen beheren, zoals het inzien van het aantal geprinte pagina's, beheer van print queues, toevoegen van watermerken en access control. Een kwetsbaarheid in de software, aangeduid als CVE-2023–27350, maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand code met systeemrechten op de server uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 8 maart van dit jaar kwam PaperCut met een beveiligingsupdate (versies 20.1.7, 21.2.11 en 22.0.9) voor de kwetsbaarheid, die door securitybedrijf Trend Micro was gerapporteerd. Een week na het verschijnen van de patch publiceerde Trend Micro meer details over het beveiligingslek. Vorige week meldde PaperCut dat aanvallers sinds 18 april actief misbruik van CVE-2023–27350 maakten voor het aanvallen van kwetsbare, nog niet gepatchte servers. Klanten zouden echter al sinds 13 april hebben waargenomen, wat nu door Microsoft is bevestigd. Eerder stelde securitybedrijf dat van de duizend PaperCut-servers die het bij klanten ziet, er negenhonderd nog niet waren gepatcht. Volgens Microsoft zijn de aanvallen het werk van een partner van de Cl0p-ransomwaregroep. bron: https://www.security.nl