Captain Kirk

Google gaat beveiligingsupdates voor Chrome voortaan wekelijks uitbrengen. Op deze manier zouden kwetsbaarheden in de browser sneller moeten worden verholpen en de 'patch gap' worden verkort. Er is sprake van een patch gap wanneer een kwetsbaarheid in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken. Chrome is gebaseerd op de open source Chromium-browser. De code is open source en kan door iedereen worden bekeken, waaronder verholpen kwetsbaarheden. Naast de standaardversie van de browser zijn er ook vroege testversies aangeduid als Canary en Beta. Nieuwe versies van Chrome en Chromium verschijnen eerst als testversie. Aanvallers kunnen de code van deze testversies bekijken en zo kwetsbaarheden ontdekken waar de standaardversie nog geen update voor heeft gekregen. Sinds 2020 verschijnen er elke twee weken updates voor Chrome, waardoor de patch gap afnam van 35 dagen naar 15 dagen. Door nu wekelijks updates uit te brengen wil Google de patch gap voor Chrome-gebruikers verder verkorten. In het geval van actief aangevallen zerodaylekken zal Google buiten de planning om met updates komen om gebruikers te beschermen, maar het techbedrijf verwacht dat door de wekelijkse patchcyclus het aantal ongeplande updates zal afnemen. bron: https://www.security.nl

Een kwetsbaarheid in processors van AMD maakt het mogelijk voor aanvallers om gevoelige data van systemen te stelen zoals encryptiesleutels, zo hebben drie onderzoekers van ETH Zürich ontdekt, waaronder de Nederlandse masterstudent Daniël Trujillo. Via een nieuwe side-channel-aanval genaamd Inception kan een aanvaller informatie van systemen stelen. AMD, dat stelt dat de kwetsbaarheid alleen lokaal is te misbruiken, heeft updates uitgebracht. De Inception-aanval die de onderzoekers ontwikkelden is vergelijkbaar met andere side-channel-aanvallen zoals Spectrev2 en Branch Type Confusion (BTC)/RetBleed en maakt misbruik van de speculatieve uitvoering die processors toepassen. Daarbij raden processors welke operatie moet worden uitgevoerd voordat een vorige is afgerond. Deze aanpak zorgt voor betere prestaties, maar kan er ook voor zorgen dat vertrouwelijke informatie kan lekken. Voor hun aanval combineerden de onderzoekers twee fenomenen waardoor een ongeauthenticeerde aanvaller op alle moderne AMD-processors data kan lekken, namelijk 'phantom speculation' en 'training in transient execution' (TTE). Hierdoor is het mogelijk om een verkeerde voorspelling te injecteren die uiteindelijk tot speculatieve uitvoering kan leiden waarbij er informatie wordt gestuurd naar een register waar de aanvaller controle over heeft. Op deze manier is het mogelijk om data van systemen te stelen. "Om de impact van TTE te demonstreren ontwikkelden we een end-to-end exploit genaamd Inception die voor een oneindige transient loop in hardware zorgt om de return stack buffer te trainen met een door de aanvaller gecontroleerd doelwit in alle bestaande AMD Zen-processors", aldus de onderzoekers in hun onderzoeksrapport (pdf). Ze vernoemden hun aanval naar de film Inception. "Net als in de film met dezelfde naam, plant Inception een 'idee' in de processor terwijl die in zekere zin aan het 'dromen' is, om het zo verkeerde acties te laten nemen gebaseerd op zogenaamd zelfbedachte ervaringen." Herbert Bos, hoogleraar systeem- en netwerkbeveiliging aan de VU en niet betrokken bij het onderzoek, laat tegenover de Volkskrant weten dat de aanval ook gevolgen heeft voor cloudomgevingen. "Op deze manier zouden hackers zelfs bij de data kunnen komen die bedrijven op cloud-computers hebben staan." AMD stelt dat de aanval alleen lokaal is uit te voeren, bijvoorbeeld door malware die zich op het systeem bevindt. Voor verschillende processors zijn updates uitgebracht of die zullen op een later moment verschijnen. bron: https://www.security.nl

Interpol heeft samen met securitybedrijven en internationale opsporingsdiensten het phishing-as-a-service-platform 16shop offline gehaald. Volgens Interpol werden via het platform tools verkocht waarmee meer dan 70.000 mensen in 43 landen werden gecompromitteerd. Tijdens de operatie werden in Indonesië en Japan drie verdachten aangehouden die achter het platform zouden zitten. 16shop verkocht phishingkits gebruikt voor het uitvoeren van phishingaanvallen. "Phishing wordt gezien als de grootste cyberdreiging in de wereld en er wordt geschat dat tot negentig procent van alle aanvallen verband houdt met succesvolle phishingaanvallen, waardoor het een grote oorzaak van gestolen inloggegevens en informatie is", aldus Interpol. Aan de operatie namen ook opsporingsdiensten uit Indonesië, Japan en de Verenigde Staten deel, alsmede securitybedrijven Cyber Defense Institute, Group-IB, Palo Alto Networks Unit 42 en Trend Micro. Door informatie van de securitybedrijven kwam de vermeende beheerder van het platform in beeld, die zich in Indonesië bevond. De servers van 16shop stonden in de Verenigde Staten. Informatie van de servers werd door de FBI veiliggesteld en gedeeld met de Indonesische autoriteiten, waardoor uiteindelijk twee andere verdachten in Indonesië en Japan konden worden gehouden. bron: https://www.security.nl

Tijdens de patchdinsdag van augustus heeft Microsoft een Office-update uitgebracht om zeroday-aanvallen te stoppen. Vorige maand waarschuwde Microsoft dat Europese overheden en bedrijven zijn aangevallen via een kwetsbaarheid in Office, die wordt aangeduid als CVE-2023-36884. Alleen het openen van een malafide document is voldoende om met malware besmet te raken. Via het beveiligingslek is remote code execution met rechten van de ingelogde gebruiker mogelijk. Volgens Microsoft wordt via de malafide documenten, die zijn ingezet bij een phishingcampagne die de NAVO-top in Vilnius als onderwerp had, een backdoor geïnstalleerd waarmee de aanvallers inloggegevens stelen die bij latere aanvallen worden gebruikt. Gisteren liet het techbedrijf weten dat de kwetsbaarheid niet in Office aanwezig is, maar in Windows Search. Via het lek kan een aanvaller het Mark of the Web (MOTW) van Windows omzeilen. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Voor de kwetsbaarheid in Windows Search is een update beschikbaar. Daarnaast is er een "Microsoft Office Defense in Depth Update" verschenen die de "attack chain" stopt waardoor een aanvaller via malafide documenten code op systemen van gebruikers kan uitvoeren. bron: https://www.security.nl

Zo'n 450.000 MikroTik-routers missen een beveiligingsupdate voor een kwetsbaarheid waardoor een aanvaller super-admin op het apparaat kan worden, zo stelt securitybedrijf Censys. MikroTik kwam vorig jaar oktober en afgelopen juni met updates, maar die zijn op een groot aantal routers nog niet geïnstalleerd. Ook niet nadat er eind juli over het beveiligingslek werd bericht. In de week na de berichtgeving bleef het aantal kwetsbare routers nagenoeg gelijk, aldus cijfers die Censys gisteren openbaar maakte. Via het beveiligingslek, aangeduid als CVE-2023-30799, kan een aanvaller met admin-toegang tot de router super-admin worden. De vereiste dat een aanvaller als admin moet kunnen inloggen maakt de kwetsbaarheid niet minder gevaarlijk, aldus onderzoeker Jacob Baines. RouterOS, het besturingssysteem dat op MikroTik-routers draait, wordt standaard geleverd met een "admin" gebruiker. Het standaard wachtwoord voor deze gebruiker is een lege string en pas vanaf RouterOS 6.49 die in oktober 2021 verscheen wordt beheerders gevraagd om het lege wachtwoord te vervangen door een nieuw wachtwoord. RouterOS maakt geen gebruik van wachtwoordregels, waardoor beheerders elk wachtwoord kunnen kiezen, hoe eenvoudig ook. Op 27 juli kwam MikroTik nog met een blogposting waarin het beheerders opriep om updates te installeren. Censys voegt toe dat daarnaast een sterk wachtwoord moet worden ingesteld en de beheerdersinterface niet direct vanaf het internet toegankelijk moet zijn. "Ervoor zorgen dat de beheerdersinterface van apparaten niet onnodig is blootgesteld aan het publieke internet zal het aanvalsoppervlak van je organisatie aanzienlijk verkleinen en tegen eventuele exploits bescherming bieden." bron: https://www.security.nl

Dit jaar zijn er al 2500 kwetsbaarheden in plug-ins voor WordPress gerapporteerd, maar voor honderden van deze beveiligingslekken zijn nog geen updates beschikbaar gemaakt. Dat meldt securitybedrijf Wordfence. Volgens cijfers van W3Techs draait 43,2 procent van alle websites op WordPress. Voor het platform is een groot aantal plug-ins en themes beschikbaar die door externe ontwikkelaars worden ontwikkeld. Veel van de kwetsbaarheden waar WordPress-sites mee te maken hebben bevinden zich in deze plug-ins. Zo werden dit jaar pas zes kwetsbaarheden in WordPress zelf gerapporteerd, tegenover 2500 in de verschillende plug-ins voor het platform. In de meeste gevallen gaat het om cross-site scripting waarmee een aanvaller in het ergste geval cookies van de beheerder kan stelen om zo de website over te nemen. Verder blijkt uit de cijfers van Wordfence dat de meeste kwetsbaarheden, zo'n tweeduizend, een medium impact hebben. Wat niet meevalt is het aantal beveiligingslekken dat nog op een update wacht. Van de 2500 gerapporteerde kwetsbaarheden in plug-ins zijn er 678 niet door de ontwikkelaar verholpen. Dat komt neer op meer dan een kwart van de bekende beveiligingslekken. Het gaat in dit geval om plug-ins die niet of nauwelijks meer worden ondersteund door de ontwikkelaar. WordPress verwijdert deze plug-ins vaak uit de eigen repository, zodat die niet meer door andere websites zijn te downloaden. Daarmee wordt echter niet het probleem verholpen voor websites die de betreffende plug-ins al hebben geïnstalleerd. Wordfence adviseert beheerders dan ook om dergelijke plug-ins te verwijderen voordat aanvallers er misbruik van maken. bron: https://www.security.nl

Microsoft heeft vorig jaar 13,8 miljoen dollar uitgekeerd aan externe beveiligingsonderzoekers die kwetsbaarheden in producten van het techbedrijf rapporteerden. Er kwamen bijna 1200 bugmeldingen binnen, afkomstig van 345 onderzoekers, waarvoor Microsoft een bedrag betaalde. De hoogste bug bounty bedroeg 200.000 dollar. Tal van tecbbedrijven hebben tegenwoordig bugbountyprogramma's waar onderzoekers beveiligingslekken kunnen melden. Google liet eerder dit jaar weten dat het vorig jaar meer dan 12 miljoen dollar aan beloningen uitkeerde. In totaal ontvingen zevenhonderd onderzoekers een beloning, waarbij de hoogste bug bounty 600.000 dollar bedroeg. Het ging om een reeks kritieke kwetsbaarheden in Android. Volgens Google heeft het vorig jaar dankzij de bugmeldingen meer dan 2900 beveiligingslekken kunnen verhelpen. bron: https://www.security.nl

Intel heeft een nieuwe driver voor de eigen Arc-videokaarten uitgebracht die standaard informatie van gebruikers verzamelt, zoals het soort bezochte website, de manier waarop de computer wordt gebruikt, systeemeigenschappen en informatie over andere apparatuur. Deze gegevens kan Intel met "partners" delen en door serviceproviders laten verwerken. TechPowerUP meldt dat de nieuwste bètaversie van de Intel Arc-driver standaard het "Compute Improvement Program" (CIP) installeert. Via deze software worden de telemetriegegevens verzameld. Gebruikers kunnen ervoor kiezen om de software niet te installeren of die na de installatie weer te verwijderen, maar standaard zal de installatie plaatsvinden. Intel claimt op een website over CIP dat het de verzamelde gegevens gebruikt om producten beter voor gebruikers te maken. Andere fabrikanten van videokaarten zoals AMD en NVIDIA verzamelen ook telemetriegegevens. In het geval van NVIDIA wordt de betreffende software standaard met de grafische drivers geïnstalleerd en kunnen gebruikers niet voor een opt-out kiezen. AMD vraagt gebruikers nadrukkelijk om toestemming voor het verzamelen van gegevens. In het geval van Intel is het opt-out-proces niet zo duidelijk, stelt de website Videocardz. bron: https://www.security.nl

Spywareleverancier LetMeSpy is gestopt nadat een aanvaller eind juni de database wist te stelen en vervolgens verwijderde. Het bedrijf bood een Android-app waarmee het mogelijk is om allerlei informatie te verzamelen van de telefoon waarop de spyware is geïnstalleerd. Gebruikers van de app installeren die zelf op de telefoon van het slachtoffer en krijgen vervolgens allerlei informatie doorgestuurd. Het gaat dan om de inhoud van sms-berichten en de gespreksgeschiedenis van slachtoffers. Gebruikers weten zo met wie het slachtoffer op welke datum heeft gebeld. Bij de aanval eind juni kreeg de aanvaller gegevens van gebruikers en slachtoffers in handen. Daarnaast werd de database gewist. Inmiddels biedt LetMeSpy de spyware niet meer aan en kunnen gebruikers niet meer inloggen op de pagina waar verzamelde informatie van slachtoffers is te bekijken. Verder blijkt de spyware-app ook niet meer te functioneren, zo meldt TechCrunch op basis van netwerkanalyse. In een verklaring op de eigen website bevestigt de spywareleverancier dat bij de aanval de database is gekopieerd en verwijderd en er sprake is van een datalek. Inmiddels zou er ook melding zijn gemaakt bij de Poolse toezichthouder. LetMeSpy opereerde vanuit Polen. Hoe de aanvaller toegang tot de database kon krijgen is niet bekendgemaakt. De spywareleverancier claimt technische, juridische en organisatorische maatregelen te hebben genomen om soortgelijke incidenten te voorkomen. bron: https://www.security.nl

Onderzoekers hebben een akoestische aanval ontwikkeld waarmee het mogelijk is om, aan de hand van het geluid dat mensen maken bij het tikken op een toetsenbord, toetsaanslagen met 95 procent nauwkeurigheid op afstand af te luisteren (pdf). Het afluisteren van toetsaanslagen tijdens een Zoom-gesprek levert een succesratio van 93 procent op, zo stellen de onderzoekers van de Durham University, University of Surrey en Royal Holloway University of London. "Mensen zullen bij het typen van een wachtwoord vaak hun scherm verbergen, maar weinig doen om het geluid van hun toetsenbord te verbergen", zo stellen de onderzoekers. Het gebrek aan 'zorgen over de toetsenbordakoestiek' komt volgens hen mogelijk door een gebrek aan kennis over het onderwerp. De onderzoekers bedachten verschillende scenario's om het risico van een akoestische aanval te demonstreren, namelijk het gebruik van een smartphone en videoconferentiesoftware Zoom. Een aanvaller zou bijvoorbeeld een smartphone kunnen compromitteren, om vervolgens via de microfoon het slachtoffer af te luisteren. Hierbij moet de aanvaller eerst het gebruikte algoritme zien te trainen met toetsaanslagen van het slachtoffer. Op deze manier kan de aanvaller een model maken van het geluid van aangeslagen toetsen. Voor het onderzoek werden 36 toetsen van een MacBook elk 25 keer achter elkaar ingedrukt en het geluid opgenomen. In het geval van de aanval via Zoom en Skype zou een aanvaller verbanden kunnen leggen tussen berichten van het slachtoffer en het gemaakte geluid. Zodra het model is gemaakt kunnen toetsaanslagen van gebruikers met hoge nauwkeurigheid worden afgeluisterd, waarbij de smartphone met 95 procent het meest nauwkeurig is, gevolgd door Zoom (93 procent). Een goede verdediging tegen de aanvallen is het afspelen van het geluid van willekeurige gegenereerde toetsaanslagen en een andere manier van typen (touch typing). bron: https://www.security.nl

De criminelen achter de Clop-ransomware verspreiden gegevens van slachtoffers voortaan ook via torrents, zo melden onderzoekers. De Clop-groep zat achter de recente zeroday-aanval op MOVEit Transfer, waarbij de gegevens van zeshonderd organisaties en veertig miljoen mensen zijn gestolen, aldus securitybedrijf Emsisoft. Slachtoffers moeten vervolgens losgeld betalen, anders dreigt de groep de gestolen gegevens via de eigen website openbaar te maken. Een aantal dagen geleden besloot de groep om de buitgemaakte data ook via torrent-bestanden te verspreiden. Inmiddels zijn op deze manier de gegevens van twaalf getroffen organisaties te downloaden. De afgelopen tijd experimenteerde de Clop-groep ook met aanbieden van gestolen data via "clearnet" websites. Waarom de groep nu voor torrent-bestanden kiest laat het niet weten. De website van de ransomwaregroep draait op het Tor-netwerk, waardoor die lastig uit de lucht is te halen. bron: https://www.security.nl

Hou er dan wel rekening mee wanneer je in je Office 365-omgeving wilt inloggen, ook hier je nieuwe wachtwoord moet gaan gebruiken.

Beste Johnnyboy, Voer de volgende stappen uit: Video: het wachtwoord voor Microsoft 365 voor bedrijven wijzigen Meld u met uw werk- of schoolaccount aan op office.com/signin. Ga naar Instellingen > Wachtwoord. Voer uw vorige wachtwoord in. Bedenk een nieuw wachtwoord en bevestig het. Selecteer Indienen om de procedure te voltooien en het wachtwoord te wijzigen. Hieronder een van de vidoefilmpjes die op Youtube te vinden zijn. Vind je deze niet duidelijk, dan zijn er nog enkele andere te vinden. Youtube: wachtwoord Office 365 veranderen

De directeur van securitybedrijf Tenable heeft hard uitgehaald naar Microsoft wegens een kwetsbaarheid in het Power Platform van het techbedrijf, waardoor gevoelige data beheerd via Azure AD was te stelen. Volgens Tenable-ceo Amit Yoran, eerder nog de National Cybersecurity Director van het Amerikaanse ministerie van Homeland Security, zorgt Microsofts gebrek aan transparantie over datalekken, onverantwoorde security practices en kwetsbaarheden dat klanten bewust over risico's in het donker worden gehouden. Microsofts Power Platform is een 'low-code platform' voor onder andere het ontwikkelen van apps en automatiseringsoplossingen. In maart ontdekten onderzoekers van Tenable een kwetsbaarheid in het platform waardoor een ongeauthenticeerde aanvaller toegang tot gevoelige data van Azure-klanten kon krijgen. Zo wisten de onderzoekers 'authentication secrets' van een niet nader genoemde bank te vinden. De onderzoekers waarschuwden Microsoft op 30 maart. Het techbedrijf liet op 6 juli weten dat het probleem was verholpen, maar dat bleek niet het geval, zo ontdekten de onderzoekers die Microsoft opnieuw informeerden. Daarop vroeg Microsoft aan Tenable om te wachten met de publicatie van details over de kwetsbaarheid. Het securitybedrijf reageerde dat het in de publicatie geen technische details zou geven. Microsoft gaf aan dat het op 28 september pas met een volledige update zou komen. Vervolgens publiceerde Tenable op 31 juli een beperkte uitleg van het probleem, waarna Microsoft op 3 augustus met een volledige fix kwam. "Werd het probleem, dat kon leiden tot aanvallen op de netwerken en diensten van meerdere klanten, snel door Microsoft verholpen? Natuurlijk niet. Ze namen meer dan negentig dagen de tijd om met een gedeeltelijke update te komen - en alleen voor nieuwe applicaties die op het platform geladen worden", stelt Yoran in een fel bericht op LinkedIn. "Wat je hoort van Microsoft is 'vertrouw ons gewoon', maar wat je terugkrijgt is zeer weinig transparantie en een cultuur van giftige obfuscatie. Hoe kan een CISO, raad van bestuur of directie geloven dat Microsoft het juiste doet gegeven de patronen en huidig gedrag? Microsofts track record brengt ons allemaal in gevaar en het is nog veel erger dan gedacht." Microsoft laat in een reactie over de kwetsbaarheid weten dat het beschermen van klanten en transparant zijn de hoogste prioriteit heeft. Het techbedrijf ligt de laatste tijd geregeld onder vuur. Zo haalde de Amerikaanse overheid naar Microsoft uit omdat het de beveiliging van UEFI-updates niet op orde heeft, was er kritiek van beveiligingsonderzoekers omdat het bedrijf klanten extra liet betalen voor log-inzage bij Exchange Online en beschuldigde een Amerikaanse senator Microsoft van nalatigheid bij de beveiliging e-mail. Aanvallers wisten een key van Microsoft te stelen waarmee ze toegang tot "honderdduizenden overheidsmails" kregen. Hoe dit kon gebeuren is nog altijd niet bekendgemaakt. bron: https://www.security.nl

De zoekmachine van browserontwikkelaar Brave biedt gebruikers voortaan de mogelijkheid om naar afbeeldingen en video's te zoeken zonder dat er uit Bing of Google moet worden gekozen. Brave biedt met Brave Search naar eigen zeggen een op privacygerichte zoekmachine. Hiervoor maakte de zoekmachine echter gebruik van Microsofts Bing-zoekmachine. Brave besloot eerder dit jaar geen gebruik meer van Bing te maken. Daardoor krijgen gebruikers van Brave Search alleen nog zoekresultaten te zien die van de Brave Index afkomstig zijn. De Index bevatte echter nog niet voldoende resultaten voor foto's en video's. Daarop besloot Brave geen video's en foto's meer vanuit de eigen index te tonen, maar gebruikers de optie te bieden om via Bing en Google te zoeken. "We beseffen dat de redirect-optie niet erg populair bij sommige van onze gebruikers was", stelt Brave. Sinds april werden meer video's en foto's door de Brave Index geïndexeerd en die worden vanaf nu door de zoekmachine aangeboden. Daardoor hoeven gebruikers niet meer tussen Bing of Google te kiezen en kunnen ze binnen Brave Search blijven voor het zoeken naar afbeeldingen en video's. Brave Search is de standaard zoekmachine binnen Brave-browser en ook via seach.brave.com beschikbaar. bron: https://www.security.nl

Google gaat gedownloade bestanden in Chrome uitgebreider scannen, zo heeft het techbedrijf laten weten. Downloads worden al gecontroleerd door de browser, bijvoorbeeld door naar de downloadsite of hash van het bestand te kijken. Het downloadvenster in Chrome is in de nieuwste versie van de browser aangepast, wat het eenvoudiger voor gebruikers zou moeten maken om met hun downloads aan de slag te gaan, aldus Joshua Cruz van Google. De extra ruimte van het nieuwe downloadvenster maakt het ook mogelijk om gebruikers meer context over geblokkeerde potentieel malafide bestanden te geven, merkt Cruz op. "En het stelt ons in staat om geavanceerde deep scan opties te maken die eerder niet mogelijk waren." Om wat voor scanopties het precies gaat laat Cruz niet weten, maar hij merkt op dat Google binnenkort met meer details komt. bron: https://www.security.nl

Honderden Citrix-servers, waaronder een dozijn in Nederland, zijn via een kritieke kwetsbaarheid geïnfecteerd met webshells, zo stelt de Shadowserver Foundation op basis van eigen onderzoek. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt. De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, telde op 21 juli vijftienduizend kwetsbare Citrix-servers die geen patch voor CVE-2023-3519 geïnstalleerd hebben. Het ging 331 machines in Nederland. Naast het tellen van kwetsbare servers onderzocht de Shadowserver Foundation ook het aantal gecompromitteerde servers. Het gaat om servers waarop aanvallers via CVE-2023-3519 een webshell installeerden. Dit is een programma waarmee de aanvallers toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Met name in Duitsland werden veel besmette servers aangetroffen. Van de 581 gecompromitteerde machines staan er 115 bij de oosterburen. In Nederland werden twaalf servers geteld. bron: https://www.security.nl

Een groep aanvallers maakt gebruik van Microsoft Teams voor het uitvoeren van social engineering-aanvallen, waarbij het doel is om multifactorauthenticatie (MFA) van de accounts van doelwitten te omzeilen. Tientallen organisaties zijn door de aanvallen getroffen, aldus Microsoft. Volgens het techbedrijf zit een vanuit Rusland opererende groep achter de aanvallen. Voor het uitvoeren van de social engineering-aanval maken de aanvallers gebruik van de Microsoft 365-omgevingen van mkb-bedrijven die ze eerder hebben gecompromitteerd. De aanvallers wijzigen de naam van de gecompromitteerde omgeving, voegen een nieuw onmicrosoft.com subdomein toe, en voegen vervolgens een nieuwe gebruiker toe die aan dat domein is gekoppeld voor het versturen van het bericht naar het doelwit. De aanvallers noemen de gecompromitteerde omgeving bijvoorbeeld "Microsoft Identity Protection" en gebruiken "teamsprotection.onmicrosoft.com" als afzender van het bericht. Daardoor kan het voor het doelwit lijken alsof het bericht van Microsoft afkomstig is. Bij de aanvallen beschikken de aanvallers al over de inloggegevens van het doelwit, maar kunnen vanwege MFA niet inloggen. Ook hebben de aanvallers het voorzien op gebruikers met wachtwoordloze authenticatie, waarbij gebruikers alleen een code moeten invoeren die via de Microsoft Authenticator-app op hun telefoon is gegenereerd. Nadat de aanvaller op een account inlogt waarvoor MFA is vereist, krijgt die een code te zien die de gebruiker van het account in zijn authenticator-app moet invoeren. Zodra de aanvaller inlogt ontvangt de gebruiker op zijn telefoon een prompt die om deze code vraagt. De aanvaller stuurt het doelwit nu via Teams een bericht waarin wordt gevraagd om de meegestuurde code op de telefoon in te voeren. Als het doelwit de code van de aanvaller op zijn telefoon invoert ontvangt de aanvaller waarmee hij als de gebruiker kan inloggen. Microsoft adviseert organisaties onder andere om phishingbestendige authenticatiemethodes uit te rollen. Ook moeten organisaties personeel onderwijzen om geen MFA-codes in te voeren die via ongevraagde berichten zijn verstuurd. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt voor een kritieke kwetsbaarheid in MobileIron Core waardoor een ongeauthenticeerde aanvaller toegang tot de server kan krijgen. Het beveiligingslek is aanwezig in versie 11.2 van de software, die sinds vorig jaar maart end-of-life is. Ivanti zal dan ook geen beveiligingsupdate voor de kwetsbaarheid uitbrengen. In versie 11.3 van MobileIron Core is het beveiligingslek 'onbedoeld' verholpen bij het oplossen van een andere bug. MobileIron Core is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Via het beveiligingslek, aangeduid als CVE-2023-35082, in MobileIron Core 11.2 kan een ongeauthenticeerde aanvaller toegang tot de MobileIron-server krijgen. Vervolgens is het mogelijk om aanpassingen aan de server door te voeren en toegang tot persoonlijke informatie van gebruikers te krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Organisaties die nog met de niet meer ondersteunde versie werken wordt opgeroepen om te upgraden naar Ivanti Endpoint Manager Mobile (EPMM), zoals de oplossing nu wordt genoemd. "Dat is de beste manier om je omgeving tegen dreigingen te beschermen", aldus Ivanti. Twee zerodaylekken in EPMM blijken sinds april te zijn gebruikt bij aanvallen tegen de Noorse overheid en organisaties. bron: https://www.security.nl

Onderzoekers van Cisco hebben de afgelopen jaren bijna driehonderd kwetsbaarheden gevonden in populaire routers voor eindgebruikers en mkb-bedrijven. Veel van de beveiligingslekken kunnen een aanvaller toegang tot het apparaat geven en zo verdere aanvallen laten uitvoeren. Volgens Cisco worden de beveiligingsproblemen veroorzaakt doordat fabrikanten of gebruikers basale beveiligingsmaatregelen niet doorvoeren. Het onderzoek naar de routers volgt na de ontdekking van de VPNFilter-malware in 2018. Deze malware is in staat om apparaten van Linksys, MikroTik, Netgear, QNAP, Asus, D-Link, Ubiquiti, Upvel, Huawei en ZTE te infecteren. Vanwege de positie van routers in het netwerk en de grote schaal waarop ze worden gebruikt zijn de apparaten een aantrekkelijk doelwit voor aanvallers, aldus Cisco. Volgens de netwerkfabrikant is de beveiliging van routers de afgelopen jaren wel verbeterd, maar is het nog steeds belangrijk om bepaalde maatregelen door te voeren. Het gaat dan om het uitschakelen van features en services tenzij ze strikt noodzakelijk zijn, moet de router standaard niet vanaf het internet zijn te beheren, moet gebruikersinvoer niet worden vertrouwd, moeten fabrikanten de third-party code die ze gebruiken up-to-date houden en niet vertrouwen op ongedocumenteerde en obscure diagnostische features en credentials. "Elk van de ontdekte kwetsbaarheden valt in één van deze categorieen", aldus Cisco. bron: https://www.security.nl

Een nieuw voorstel van Google neemt de macht van gebruikers en geeft die aan grote websites en adverteerders, zo waarschuwen de makers van de Brave-browser. Eerder sloegen ook de makers van de Vivaldi-browser alarm over het "Web Environment Integrity" (WEI) voorstel van vier Google-engineers. WEI biedt websites een API waarmee ze kunnen vertellen dat de browser en platform van bezoekers worden vertrouwd door een derde partij, de "attester". Volgens de Google-engineers moet op deze manier fraude worden voorkomen. Zo kunnen websites controleren dat bezoekers mensen zijn en geen bots. Een van de grootste kritiekpunten is dat de attester bepaalt welke omgevingen zijn te vertrouwen. Zo zou Google Play een attester op Android zijn en kunnen bepalen welke browsers en extensies zijn toegestaan. Volgens Peter Snyder van Brave neemt WEI de macht die gebruikers hebben en geeft die aan grote websites en adverteerders. "Googles WEI-voorstel is frustrerend, maar niet verrassend. WEI is gewoon de nieuwste poging van Google om te voorkomen dat browsergebruikers controle hebben over hoe ze het web gebruiken", aldus Snyder. Sommige critici zijn bang dat WEI voor een verborgen introductie van Digital Rights Management (DRM) op webpagina's kan zorgen, waardoor adblocking zo goed als onmogelijk wordt gemaakt. "Het is belangrijk dat gebruikers de controle houden over hoe ze het web gebruiken, en het web niet wordt teruggebracht tot een aantal 'take it or leave it' black boxes die gebruikers niet kunnen inspecteren, begrijpen of aanpassen. Googles WEI-voorstel (net als veel andere Google voorstellen) neemt opzettelijk de macht van gebruikers en geeft die aan grote websites en adverteerders", stelt Snyder. Brave zal het voorstel dan ook niet implementeren. Afsluitend merkt Synder op dat WEI de laatste stap is in een "verschrikkelijke richting" waar Google het web naar toe duwt. "Webgebruikers verdienden een browser die hen niet behandelt als de vijand die moet worden beperkt en gecontroleerd." bron: https://www.security.nl

Bij aanvallen op verschillende industriële organisaties in Oost-Europa die vorig jaar plaatsvonden is gebruikgemaakt van usb-malware om data van air-gapped systemen te stelen, zo stelt antivirusbedrijf Kaspersky. De aanvallers weten eerst systemen te infecteren die wel met internet zijn verbonden. De initiële malware geeft de aanvallers toegang tot de besmette systemen en verzamelt allerlei informatie. Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Bij de aanvallen waarover Kaspersky schrijft worden op de besmette computer aangesloten usb-sticks ook geïnfecteerd. Wanneer deze usb-sticks op niet-besmette machines worden aangesloten kunnen ook die geïnfecteerd worden. Om ervoor te zorgen dat de malware de niet-besmette computer besmet worden bestanden of mappen in de root directory van de usb-stick vervangen door een gelijknamig lnk-bestand, terwijl het originele bestand onzichtbaar wordt gemaakt of in de recycle bin geplaatst. Wanneer de besmette usb-stick op een niet-besmette computer wordt aangesloten en de gebruiker het lnk-bestand opent raaktook die machine besmet. Vervolgens wordt er allerlei data van de net besmette computer verzameld en naar de usb-stick gekopieerd. Wanneer de besmette usb-stick op de eerste besmette computer wordt aangesloten, die wel met internet verbonden is, wordt alle gestolen data naar de aanvallers gestuurd. "Het stelen van data van air-gapped netwerken is een veelgebruikte routine voor veel advanced persistent threats en cyberspionagecampagnes. Ondanks de grote verscheidenheid aan exfiltratiemethodes kiezen aanvallers voor technieken, tactieken en procedures gebaseerd op het besmetten van usb-sticks", stelt onderzoeker Kirill Kruglov. Volgens Kaspersky zijn de aanvallen het werk van een groep genaamd APT31, die ook bekendstaat als Judgment Panda en Zirconium, en vanuit China zou opereren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in twee oplossingen van securitybedrijf BeyondTrust kan een ongeauthenticeerde aanvaller op afstand toegang tot het systeem geven. Het beveiligingslek is aanwezig in Remote Support en Privileged Remote Access waarmee organisaties de systemen en telefoons van hun medewerkers kunnen beheren. Het versturen van een speciaal geprepareerde HTTP-request laat een ongeauthenticeerde aanvaller op afstand commando's op het onderliggende systeem uitvoeren waarop de software draait. De kwetsbaarheid heeft nog geen CVE-nummer, maar de impact is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Versies 23.2.1 en 23.2.2 van Remote Support en Privileged Remote Access zijn kwetsbaar. BeyondTrust zal het probleem in versie 23.2.3 verhelpen, maar die is nog niet beschikbaar. In de tussentijd is een patch beschikbaar gemaakt. Het beveiligingsbulletin met informatie is alleen via de klantenportaal beschikbaar. It-journalist Brian Krebs besloot de informatie via Mastodon te delen. bron: https://www.security.nl

Encryptiesoftware VeraCrypt stopt de ondersteuning van TrueCrypt-volumes waardoor de huidige versie de laatste versie is waar binnen TrueCrypt-volumes te gebruiken zijn. Dat heeft ontwikkelaar Mounir Idrassi aangekondigd. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Met VeraCrypt versie 1.0f werd ondersteuning voor TrueCrypt toegevoegd, waardoor het mogelijk was om TrueCrypt-containers en niet-systeempartities naar het VeraCrypt-formaat om te zetten. Na anderhalf jaar verschijnt er binnenkort een nieuwe versie van VeraCrypt waarin de support van verschillende legacy algortimes is verwijderd. Daardoor is het volgens Idrassi ook logisch geworden om de support van TrueCrypt-volumes te verwijderen. VeraCrypt versie 1.25.9 is dan ook de laatste versie die TrueCrypt-volumes ondersteunt. Gebruikers zouden dan ook hun TrueCrypt-volumes moeten omzetten naar VeraCrypt om de data binnen de nieuwe versie te kunnen gebruiken. Wanneer VeraCrypt versie 1.26 precies verschijnt is nog onbekend maar het zou in de komende twee maanden moeten zijn. bron: https://www.security.nl

Google kan vanaf 1 december inactieve accounts gaan verwijderen, zo heeft het techbedrijf vorige week nogmaals aan gebruikers laten weten. Eerder dit jaar maakte Google bekend dat het accounts waar gebruikers twee jaar lang niet op hebben ingelogd kan verwijderen. Volgens het techbedrijf maken "onbeheerde accounts" vaak gebruik van oude of hergebruikte wachtwoorden die mogelijk zijn gecompromitteerd. Tevens claimt Google dat dergelijke accounts vaak geen gebruikmaken van tweefactorauthenticatie (2FA). Op basis van intern onderzoek blijkt dat inactieve accounts minstens tien keer minder vaak 2FA hebben ingesteld dan actieve accounts. Daardoor zouden verlaten accounts een groter risico lopen, aldus Google. Door een aanpassing van het "inactiviteitsbeleid" kan Google accounts die al twee jaar inactief zijn gaan verwijderen, waaronder de inhoud. Het gaat dan bijvoorbeeld om Gmail, Google Workspace en Google Photos waar volgens Google naast het account ook de inhoud van wordt verwijderd. Daarbij noemt Google 1 december als eerste datum waar vanaf het verwijderen kan plaatsvinden. Voordat een account daadwerkelijk wordt verwijderd zullen gebruikers gedurende een periode van verschillende maanden meerdere waarschuwingen ontvangen. Die worden zowel naar het Google-adres als hersteladres gestuurd als dat is ingesteld. Om gebruikers hierop te wijzen stuurde Google vorige week aan gebruikers een e-mail. bron: https://www.security.nl