Captain Kirk

Google laat gebruikers voortaan ook met een passkey inloggen op hun Google-account, zo heeft het techbedrijf vandaag bekendgemaakt. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. "In tegenstelling tot wachtwoorden, kunnen passkeys alleen op jouw apparaat bestaan. Ze kunnen niet worden opgeschreven of per ongeluk worden verstrekt aan een aanvaller. Wanneer je met een passkey inlogt op je Google-account, bewijst het aan Google dat je toegang tot je apparaat hebt en het kan ontgrendelen", zegt Googles Arnar Birgisson. In het geval een gebruiker het apparaat verliest waarop een passkey voor zijn Google-account staat is het mogelijk om die passkey in te trekken. Gebruikers wordt ook aangeraden om geen passkey te maken op een apparaat dat met anderen wordt gedeeld. bron: https://www.security.nl

Microsoft zal naar verwachting volgend jaar beginnen met het blokkeren van e-mail die vanaf kwetsbare Exchange 2016/2019-servers naar Exchange Online wordt gestuurd. Eind maart liet Microsoft weten dat Exchange Online e-mails van permanent kwetsbare Exchange-servers gaat blokkeren. Dit moet beheerders aansporen om naar een wel ondersteunde Exchange-versie te migreren. Zodra een permanent kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het "throttelen" van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen. Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Er is besloten om als eerste met Exchange Server 2007 te beginnen, aangezien dit de oudste Exchange-versie is waarbij er naar Exchange Online kan worden gemigreerd en deze servers volgens Microsoft worden beheerd door klanten die het kent. Vervolgens zullen Exchange Server 2010 en 2013 volgen. Exchange 2016 en 2019 worden nog wel door Microsoft met beveiligingsupdates ondersteund. Toch zal het ook mail van deze servers, als ze ernstig achterlopen met patches, gaan blokkeren. Dat zal echter pas waarschijnlijk volgend jaar gebeuren, aldus Microsofts Scott Schnoll. bron: https://www.security.nl

Google gaat het slot-icoon dat in Chrome wordt gebruikt bij HTTPS-websites vervangen door een "tune" icoon, om zo aan te geven dat websites met een versleutelde verbinding niet standaard zijn te vertrouwen. Dat heeft techbedrijf aangekondigd. Het slot-icoon wordt al jaren gebruikt om gebruikers te laten zien dat verkeer van en naar de website versleuteld is. Het zegt echter niet of een website betrouwbaar of veilig is. Al jaren geleden voerde Google onderzoek uit waaruit bleek dat veel eindgebruikers niet begrepen waar het slot-icoon voor staat. Daarop werd in 2016 een nieuw icoon geïntroduceerd. Dat bleek echter niet te helpen, want onderzoek uit 2021 toonde aan dat slechts elf procent van de deelnemers wist wat het slot-icoon inhoudt. Dit misverstand is niet zonder gevolgen, aldus Google, omdat bijna alle phishingsites van HTTPS gebruikmaken en zodoende ook een slot-icoon in de adresbalk weergeven. Inmiddels geven tal van organisaties ook het advies dat een slot-icoon niets zegt over de veiligheid of betrouwbaarheid van de website in kwestie. Daarom zal later dit jaar in Chrome een nieuw "tune" icoon worden gebruikt. Deze neutrale indicator moet aangeven dat security de standaard staat is en websites met dit icoon niet standaard zijn te vertrouwen. Google gaat het nieuwe icoon begin september met de release van Chrome 117 doorvoeren. Op hetzelfde moment zal het slot-icoon ook in Android worden vervangen. Op iOS is het slot-icoon niet "tappable" en zal daar volledig worden verwijderd. Google zal op alle platforms blijven aangeven dat HTTP-sites onveilig zijn. In Chrome Canary, een vroege testversie van de browser, is het al mogelijk voor gebruikers om het slot-icoon zelf in te schakelen via de flag chrome://flags#chrome-refresh-2023. bron: https://www.security.nl

Mozilla heeft Fakespot overgenomen, een dienst die zich bezighoudt met het detecteren van nepreviews op internet, zo is vandaag bekendgemaakt. Fakespot blijft beschikbaar voor verschillende browsers en smartphones, maar er zal in de toekomst een "unieke" integratie met Firefox plaatsvinden. Hierdoor zouden Firefox-gebruikers beter in staat moeten zijn om echte van neprecensies te onderscheiden, zo claimt Mozilla. Fakespot maakt naar eigen zeggen gebruik van kunstmatige intelligentie en machine learning om patronen en overeenkomsten tussen reviews te herkennen, om zo vermeende misleidende recensies te kunnen detecteren. Volgens Fakespot-oprichter Saoud Khalifah is het eenvoudiger dan ooit tevoren om neprecensies te maken en is de browser de eerste plek waar deze content binnenkomt. Daardoor zou de browser ook het beste zijn uitgerust om nepreviews tegen te gaan. bron: https://www.security.nl

Er is nog altijd veel mis met de privacy en security van geestelijke gezondheidsapps, zo stelt Mozilla op basis van eigen onderzoek. Vorig jaar besloot de Firefox-ontwikkelaar naar 32 apps te kijken die onder andere hulp bieden bij posttraumatische stress-stoornis en het voorkomen van zelfmoord. Bij 28 van de 32 apps is de privacy van gebruikers niet gewaarborgd. Deze apps kregen het label "Privacy Not Included" van Mozilla. Zo stelden meerdere apps dat ze informatie met "betrouwbare partners" delen, maar wordt niet duidelijk wie dat zijn. Andere apps melden weer dat ze data van derde partijen kunnen kopen, zoals datahandelaren, om aan het al gemaakte profiel van gebruikers toe te voegen, zoals geslacht, leeftijd, geloofsovertuiging, etniciteit, gezinsgrootte en inkomen en politieke voorkeur. Vervolgens wordt deze data gebruikt voor gerichte advertenties en gedeeld met andere partijen. Dit jaar herhaalde Mozilla het onderzoek, waarbij de apps opnieuw werden bekeken. Sommige apps hadden verbeteringen doorgevoerd, maar de meeste waren juist erger geworden, aldus de onderzoekers. Het gaat onder andere om Betterhelp dat gevoelige gezondheidsinformatie voor advertentiedoeleinden gebruikte. Ook de Talkspace-app blijkt gevoelige informatie van gebruikers voor marketingzaken te kunnen gebruiken, waaronder gerichte advertenties. Van alle onderzochte apps kregen er slechts twee een "duimpje omhoog" van Mozilla. Het gaat om PTSD Coach en Wysa die volgens de onderzoekers op verantwoorde wijze met de gegevens van gebruikers omgaan. Een app die op alle vlakken een onvoldoende scoort is "Replika: My AI Friend", die ook het label "super creepy" krijgt. De app stelt in de voorwaarden dat het berichten van gebruikers voor allerlei doeleinden kan gebruiken. Volgens Mozilla laat het onderzoek zien dat het nog altijd niet goed gesteld is met geestelijke gezondheidsapps. Gebruikers wordt dan ook aangeraden om hun socialmedia-accounts niet aan dergelijke apps te koppelen of daarmee in te loggen. Tevens wordt aangeraden om de permissies van de apps, bijvoorbeeld voor camera, microfoon, foto en locatie, tenzij strikt noodzakelijk, te beperken. Ook wordt aangeraden om "ad tracking" te beperken en gerichte advertenties bij Google uit te schakelen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een vijf jaar oude kwetsbaarheid in digitale videorecorders zodat ze met de videobeelden van aangesloten camera's kunnen meekijken, zo waarschuwt securitybedrijf Fortinet. Een firmware-update is niet beschikbaar. De kwetsbaarheid, aangeduid als CVE-2018-9995, bevindt zich in digitale videorecorders van TBK Vision met typenummer DVR4104 en DVR4216. Deze apparaten worden echter ook onder andere merken aangeboden, zoals Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login en MDVR. Het beveiligingslek maakt het mogelijk voor aanvallers om de authenticatie te omzeilen en als beheerder toegang te krijgen. Vervolgens is toegang tot de videofeed van aangesloten camera's mogelijk. De kwetsbaarheid is sinds april 2018 bekend, maar de fabrikant heeft nooit updates uitgebracht om het probleem te verhelpen. TBK Vision claimt dat meer dan zeshonderdduizend camera's en vijftigduizend cctv-recorders van het bedrijf in omloop zijn. Fortinet zegt dat het onlangs een piek in het aanvallen heeft waargenomen waarbij werd geprobeerd om misbruik van CVE-2018-9995 te maken. Volgens het securitybedrijf laat dit zien dat dergelijke apparaten een aantrekkelijk doelwit voor aanvallers zijn. Toezichthouder tegen verplicht gebruik Europe bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Oracle WebLogic Server, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Oracle kwam afgelopen januari met beveiligingsupdates voor de kwetsbaarheid, die wordt aangeduid als CVE-2023-21839. Het gaat om een "ongespecificeerd" beveiligingslek waardoor een ongeautoriseerde aanvaller op afstand via het T3- of IIOP-protocol servers kan compromitteren. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. In het verleden zijn kwetsbaarheden in de software vaker het doelwit van aanvallen geweest. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. Het CISA geeft geen details over de aanvallen. Wat opvalt aan de kwetsbaarheid is dat die door acht verschillende beveiligingsonderzoekers aan Oracle werd gerapporteerd. In februari verschenen al verschillende proof-of-concept exploits voor het beveiligingslek online. In tegenstelling tot veel andere softwarebedrijven, zoals Adobe en Microsoft die maandelijks met patches komen, brengt Oracle vier keer per jaar beveiligingsupdates uit. De volgende patchronde staat gepland voor 18 juli. Volgens het softwarebedrijf blijft het meldingen ontvangen van organisaties die succesvol zijn aangevallen omdat ze hadden nagelaten beschikbare updates te installeren. Het CISA heeft Amerikaanse federale overheidsinstanties opgedragen de update voor 22 mei te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

De ransomwaregroep die de aanval op Western Digital opeiste heeft interne e-mails en een videoconferentie van de harde schijffabrikant gepubliceerd waarin de aanval en respons worden besproken. Dat suggereert dat de aanvallers ook nadat WD de aanval ontdekte nog steeds toegang tot systemen hadden en zo konden meelezen met de respons van het bedrijf. Beveiligingsonderzoeker Dominic Alvieri publiceerde verschillende screenshots die Alphv-ransomwaregroep, ook bekend als BlackCat, op de eigen website heeft geplaatst en waaruit dit blijkt. Begin vorige maand meldde WD dat het met een security-incident te maken had gekregen waarbij er gegevens waren buitgemaakt. Naar aanleiding van het incident haalde Western Digital meerdere diensten en systemen offline. Daardoor konden klanten dagenlang geen gebruikmaken van My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi en de SanDisk Ixpand Wireless Charger service. Op de eigen website hebben de aanvallers nu allerlei interne screenshots van e-mails, documenten en een videoconferentie geplaatst waarin WD de aanval bespreekt. Tevens claimen de aanvallers dat ze een back-up van de volledig "SAP backoffice" hebben bemachtigd, alsmede persoonsgegevens van klanten en een key/certificaat voor het signeren van code als WD hebben. Na de verklaring van WD op 2 april heeft het bedrijf geen verdere details gegeven. bron: https://www.security.nl

De makers van sudo hebben besloten om de waarschuwing "This incident will be reported", die aan gebruikers werd getoond die een sudo-commando wilden uitvoeren terwijl ze hiervoor geen rechten hadden, te verwijderen. Sudo is een programma voor Unix-gebaseerde besturingssystemen en maakt het mogelijk om programma's uit te voeren met de rechten van een andere gebruiker, wat standaard de superuser is. In het geval een gebruiker sudo probeerde uit te voeren en niet in de sudoers file stond kreeg de systeembeheerder voorheen hiervan altijd een e-mail. Het is inmiddels echter mogelijk om in te stellen of sudo wel of geen e-mail verstuurt, waardoor de melding aan gebruikers niet altijd meer juist is. Daarnaast zorgde de waarschuwing "This incident will be reported" volgens de sudo-ontwikkelaars voor verwarring bij gebruikers. Zo was onduidelijk aan wie het incident werd gerapporteerd. Daarom zal er voortaan alleen een melding verschijnen als er daadwerkelijk een e-mail aan de beheerder is verstuurd. Tevens is de melding aan gebruikers aangepast. Die krijgen voortaan het bericht "This incident has been reported to the administrator" te zien. bron: https://www.security.nl

Een kwetsbaarheid in de printserversoftware van PaperCut wordt al sinds 13 april bij ransomware-aanvallen gebruikt, zo stelt Microsoft. PaperCut levert onder andere een printmanagementserver waarmee organisaties allerlei printgerelateerde zaken kunnen beheren, zoals het inzien van het aantal geprinte pagina's, beheer van print queues, toevoegen van watermerken en access control. Een kwetsbaarheid in de software, aangeduid als CVE-2023–27350, maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand code met systeemrechten op de server uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 8 maart van dit jaar kwam PaperCut met een beveiligingsupdate (versies 20.1.7, 21.2.11 en 22.0.9) voor de kwetsbaarheid, die door securitybedrijf Trend Micro was gerapporteerd. Een week na het verschijnen van de patch publiceerde Trend Micro meer details over het beveiligingslek. Vorige week meldde PaperCut dat aanvallers sinds 18 april actief misbruik van CVE-2023–27350 maakten voor het aanvallen van kwetsbare, nog niet gepatchte servers. Klanten zouden echter al sinds 13 april hebben waargenomen, wat nu door Microsoft is bevestigd. Eerder stelde securitybedrijf dat van de duizend PaperCut-servers die het bij klanten ziet, er negenhonderd nog niet waren gepatcht. Volgens Microsoft zijn de aanvallen het werk van een partner van de Cl0p-ransomwaregroep. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de firewalls van Zyxel maakt het mogelijk voor een ongeauthenticeerde aanvaller om de apparaten op afstand over te nemen. Zyxel heeft updates uitgebracht en roept klanten op om die te installeren. Het beveiligingslek, aangeduid als CVE-2023-28771, maakt het voor een ongeauthenticeerde aanvaller mogelijk om door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in de Zyxel ATP, USG FLEX, VPN en ZyWALL/USG. Voor deze producten is een update beschikbaar. Vorig jaar waarschuwde de Amerikaanse geheime dienst NSA nog voor actief misbruik van een andere kritieke kwetsbaarheid in de firewalls van Zyxel. Dit probleem werd vier dagen na het verschijnen van de update aangevallen. bron: https://www.security.nl

Google heeft van een Amerikaanse rechtbank een bevel gekregen waarmee het domeinen van de CryptBot-malware offline kan halen. Volgens het techbedrijf raakten het afgelopen jaar zo'n 670.000 computers met de malware besmet, die onder andere gegevens van Chrome-gebruikers steelt. Het gaat dan om inloggegevens voor onder andere cryptowallets en social media. De malware wordt verspreid via malafide websites die besmette versies van onder andere Google Earth en Google Chrome aanbieden. In werkelijkheid gaat het om malware die allerlei informatie van het systeem steelt en terugstuurt naar de aanvallers, die het vervolgens verkopen. Volgens Google zijn recente versies van CryptBot specifiek ontworpen om data van Chrome-gebruikers te stelen, waarop het techbedrijf in actie kwam. Door het gerechtelijk bevel kan Google huidige en toekomstige domeinen van de malware offline halen, wat nieuwe infecties moet voorkomen. Daarnaast roept Google gebruikers op om alleen software van de officiële website van de leverancier te downloaden. bron: https://www.security.nl

Mozilla gaat over een aantal weken de stekker trekken uit Firefox Private Network, een betaalde proxydienst voor Amerikaanse Firefox-gebruikers. Firefox Private Network werd in 2019 als bètatest in de Verenigde Staten uitgerold. In 2020 maakte Mozilla er een betaalde dienst van, waarvoor drie dollar per maand moest worden betaald. Het plan was om de dienst ook in andere landen uit te rollen, maar daar is het nooit van gekomen. Firefox Private Network was geen volledige vpn-dienst, waarbij al het verkeer van browsers en apps op het systeem via de vpn-verbinding lopen. Bij het inschakelen van de Private Network-extensie in Firefox ging verkeer van gebruikers eerst naar een server van internetbedrijf Cloudflare en daarvandaan naar de opgevraagde website. De proxydienst werkte dan ook alleen voor Firefox. Mozilla biedt inmiddels in samenwerking met vpn-provider Mullvad al enige tijd een betaalde vpn-dienst. Nu blijkt dat Mozilla op 15 juni van dit jaar stopt met het aanbieden van Firefox Private Network. Gebruikers van Firefox Private Network kunnen dan overstappen op Mozillas vpn-dienst, maar die kost tien dollar per maand. bron: https://www.security.nl

Windows 10 versie 22H2 is de laatste versie van het besturingssysteem die Microsoft heeft uitgebracht en het met beveiligingsupdates zal ondersteunen. Gebruikers van Windows 10 Home en Pro moeten vanaf juni dit jaar op deze versie overstappen als ze nog maandelijkse securitypatches willen blijven ontvangen. Microsoft zal Windows 10 tot en met oktober 2025 van beveiligingsupdates blijven voorzien. Gisteren kwam Microsoft met een "Windows client roadmap update", waarin wordt aangekondigd dat er na Windows 10 versie 22H2 geen grote updates meer komen. In eerste instantie bracht Microsoft twee keer per jaar een grote feature-update uit voor Windows 10, die in het geval van de Home- en Pro-edities achttien maandenlang met beveiligingsupdates werden ondersteund. Sinds de lancering van Windows 10 versie 21H2 (Windows 10 November 2021 Update) kondigde Microsoft aan dat het nog maar één keer per jaar een grote feature-update zou uitbrengen, die ook achttien maanden op patches kan rekenen. Na Windows 10 versie 21H2 verscheen afgelopen oktober versie 22H2. Microsoft roept Windows 10-gebruikers op om naar Windows 11 te upgraden, aangezien er geen feature-updates meer voor Windows 10 verschijnen. Volgens StatCounter draait bijna 74 procent van de Windowsgebruikers Windows 10, tegenover Windows 11 met 21 procent. In Nederland heeft Windows 10 een marktaandeel van 71 procent, op afstand gevolgd door Windows 11 met bijna 26 procent. bron: https://www.security.nl

Gebruikers van Google Authenticator die hun one-time codes als back-up in hun Google-account opslaan moeten er rekening mee houden dat hierbij geen end-to-end encryptie wordt gebruikt, wat inhoudt dat Google toegang tot deze informatie heeft, zo stellen beveiligingsonderzoekers van softwarebedrijf Mysk op basis van uitgewisseld netwerkverkeer. De onderzoekers adviseren dan ook om de nieuwe synchronisatiefeature niet te gebruiken. Deze week kondigde Google een nieuwe feature voor de Google Authenticator aan. Een applicatie voor het genereren van 2FA-codes waarmee gebruikers op een account kunnen inloggen. De codes in Authenticator waren echter alleen op de telefoon van de gebruiker opgeslagen. Bij verlies van de telefoon kon de gebruiker dan niet meer inloggen op accounts waar hij via Authenticator tweefactorauthenticatie (2FA) voor had ingesteld, aldus Google. Voorheen moesten gebruikers bij de overstap naar een nieuwe telefoon de codes handmatig van het ene toestel naar het andere toestel overzetten of eerst 2FA uitschakelen om vervolgens weer op de nieuwe telefoon in te schakelen. De nieuwe synchronisatiefeature zorgt ervoor dat gegenereerde codes ook in het Google-account van de gebruiker kunnen worden opgeslagen. Deze codes zijn vervolgens toegankelijk vanaf elke toestel waarop de gebruiker Google Authenticator installeert. Op basis van het netwerkverkeer stellen de onderzoekers dat het verkeer niet end-to-end versleuteld is, wat inhoudt dat Google opgeslagen codes kan bekijken. "Er is geen optie om een passphrase toe te voegen om de codes te beschermen, zodat ze alleen toegankelijk voor de gebruiker zijn", aldus de onderzoekers. Die merken op dat elke 2FA qr-code een seed bevat die wordt gebruikt voor het genereren van de one-time codes. Wanneer iemand het secret weet, kunnen ze dezelfde one-time codes genereren en de 2FA-beveiliging van accounts omzeilen. Mocht een aanvaller toegang tot het Google-account van de gebruiker krijgen, zijn al zijn 2FA-secrets gecompromitteerd. Daarnaast bevatten 2FA qr-codes vaak andere informatie, zoals gebruikersnaam en de naam van de betreffende dienst, zoals Twitter of Amazon. Aangezien Google al deze data kan zien, weet het bij welke online diensten de gebruiker actie is en kan in theorie deze informatie voor gepersonaliseerde advertenties gebruiken, zo stellen de onderzoekers, die gebruikers adviseren de synchronisatiefeature vooralsnog niet te gebruiken. bron: https://www.security.nl

Een kwetsbaarheid in het Service Location Protocol (SLP) maakt het mogelijk om dos-aanvallen met een factor 2200 te versterken, zo waarschuwen onderzoekers van Bitsight en Curesec. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties op om kennis van de kwetsbaarheid te nemen, die wordt aangeduid als CVE-2023-29552. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. De onderzoekers die het probleem ontdekten claimen dat er meer dan 54.000 kwetsbare SLP-instances op internet zijn te vinden, die eigendom van meer dan tweeduizend organisaties zijn. Het gaat onder andere om VMware ESXi Hypervisor, Konica Minolta-printers, Planex-routers, IBM Integrated Management Module (IMM), SMC IPMI en andere systemen die kwetsbaar zijn. Het uit 1997 stammende SLP-protocol biedt een dynamisch configuratiemechanisme voor het configureren van applicaties in lokale netwerken. SLP maakt het mogelijk voor systemen op een netwerken om elkaar te vinden en met elkaar te communiceren. Hiervoor gebruikt het een directory van beschikbare services, zoals printers, file servers en andere netwerkvoorzieningen. Systemen kunnen zichzelf via een directory agent registreren, waarna de services van dit systeem voor andere systemen op het netwerk beschikbaar worden. SLP was niet ontwikkeld om vanaf het internet toegankelijk te zijn. Het protocol is echter in allerlei instances aangetroffen die wel vanaf het internet zijn te bereiken. Onderzoekers van Bitsight en Curesec ontdekten dat het via SLP mogelijk is om een "denial of service amplification" aanval uit te voeren. Een ongeauthenticeerde aanvaller kan willekeurige nieuwe services registreren. Hierbij spooft de aanvaller zijn ip-adres en geeft het ip-adres van het slachtoffer op waar hij de dos-aanval op wil uitvoeren. Met een request van slechts 29 bytes kan een aanvaller via SLP een response van 65.000 bytes genereren. Deze data wordt vervolgens naar het gespoofte ip-adres gestuurd. De onderzoekers vonden allerlei systemen en producten waar SLP actief in is en aanvallers hier misbruik van kunnen maken. In de top tien van landen met de meeste kwetsbare SLP-instances komt ook Nederland voor. VMware heeft inmiddels een advisory voor de kwetsbaarheid uitgebracht en adviseert om SLP uit te schakelen. Ook de onderzoekers adviseren dit. In het geval dit niet mogelijk is wordt aangeraden om via firewalling verkeer op UDP- en TCP-poort 427 te filteren, aangezien dit voorkomt dat externe aanvallers toegang tot de SLP-service kunnen krijgen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in VMware Workstation en VMware Fusion maakt het mogelijk voor een aanvaller om vanuit een virtual machine code op het onderliggende host-systeem uit te voeren. VMware heeft beveiligingsupdates uitgebracht om het probleem, aangeduid als CVE-2023-20869, te verhelpen. De kwetsbaarheid werd afgelopen maart tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver gedemonstreerd. Het beveiligingslek bevindt zich in de functionaliteit waarmee het host-systeem Bluetooth-apparaten met de virtual machine kan delen. Een aanvaller die binnen de virtual machine beheerdersrechten heeft kan via de functie een stack-based buffer-overflow veroorzaken en vervolgens code op het host-systeem uitvoeren. Dit gebeurt dan met de rechten van het VMX-proces van de virtual machine. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Tijdens de Pwn2Own-wedstrijd koppelden onderzoekers van STAR Labs CVE-2023-20869 met een andere kwetsbaarheid waardoor het mogelijk is om vertrouwelijke informatie uit het hypervisor-geheugen te lezen. Dit beveiligingslek bevindt zich ook in de functionaliteit voor het delen van Bluetooth-apparaten en heeft een impactscore van 7.1. Door beide kwetsbaarheden te koppelen lieten de onderzoekers zien hoe ze vanuit een virtual machine de Windows-calculator op het host-systeem met VMware Workstation konden uitvoeren. bron: https://www.security.nl

Klanten van T-Mobile, Tele2 en Ben en spelers van de populaire videogame Roblox zijn het doelwit van de FluBot-malware geworden, die Androidtelefoons kan infecteren. Dat blijkt uit berichtgeving van T-Mobile, Ben en de NOS. Klanten van de telecomproviders ontvingen een sms-bericht over een voicemail, gemiste oproep of openstaande factuur. In werkelijkheid wijst de link naar een pagina waarop een malafide APK-bestand wordt aangeboden, wat de FluBot-malware is. Aangezien Android het installeren van apps uit onbekende bronnen standaard blokkeert bevat de pagina waarop de app is te downloaden informatie over het uitschakelen van deze beveiligingsoptie. Eenmaal geïnstalleerd door de gebruiker kan FluBot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt hiervoor welke applicaties erop het toestel geïnstalleerd staan. In het geval van bankapplicaties zal FluBot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst FluBot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen. De NOS laat vandaag weten dat kinderen via WhatsApp berichten met linkjes ontvangen die naar enquêtes wijzen waarmee ze virtueel geld voor het spel Roblox zouden kunnen verdienen. In werkelijkheid gaat het om een scam en proberen de websites waarop de vragenlijsten staan ook de FluBot-malware te verspreiden. Eenmaal geïnstalleerd blijkt de malware via de besmette telefoon allerlei sms-berichten naar een buitenlands nummer te versturen. Een van de getroffen kinderen laat weten dat ze op deze manier ongeveer zeventig euro verloor. bron: https://www.security.nl

Googles online virusscanner VirusTotal is van een nieuwe feature voorzien waardoor het voortaan leesbare samenvattingen van malware kan geven. Dit moet securityprofessionals en analisten meer inzicht geven in wat de malware in kwestie precies doet. Hiervoor wordt gebruikgemaakt van generatieve AI, een type van kunstmatige intelligentie dat op basis van invoer onder andere tekst of afbeeldingen kan genereren. Een bekend voorbeeld van generatieve AI is ChatGPT. Via VirusTotal is het mogelijk om verdachte bestanden door tientallen virusscanners te laten scannen. Naast een overzicht van wat antivirusprogramma's van het bestand vinden, geeft VirusTotal ook allerlei andere informatie weer. Door middel van "Code Insight", zoals de nieuwe feature wordt genoemd, is er voortaan ook een leesbare samenvatting van wat de malware precies doet. Op dit moment zijn de samenvattingen alleen te vinden bij bepaalde PowerShell-bestanden die naar VirusTotal worden geüpload. De komende dagen zullen echter meer bestandsformaten aan de lijst van ondersteunde bestanden worden toegevoegd. Daarnaast is het mogelijk om de gegenereerde samenvattingen te doorzoeken. bron: https://www.security.nl

Verschillende Microsoft-scripts voor Exchange Server worden door een probleem met een updatefunctie niet meer automatisch bijgewerkt, zo heeft het techbedrijf bekendgemaakt. Beheerders die van de scripts gebruikmaken moeten handmatig een nieuwe versie installeren, aangezien de oude versies geen automatische updates meer kunnen ontvangen. Microsoft biedt verschillende scripts voor Exchange Server die bijvoorbeeld bij de installatie kunnen helpen of veelvoorkomende configuratieproblemen detecteren. Een van de getroffen scripts maakt het mogelijk om misbruik van een kritieke Outlook-kwetsbaarheid te detecteren (CVE-2023-23397). Met name de Exchange Server HealthChecker wordt volgens Microsoft veel gebruikt. Bij het gebruik van de in totaal negen getroffen scripts tussen 6 april en 18 april van dit jaar zal de automatische update van de scripts niet meer werken. Microsoft heeft nu nieuwe versies van de betreffende scripts uitgebracht, maar beheerders moeten die wel handmatig installeren. bron: https://www.security.nl

Google heeft een update voor de eigen Google Authenticator uitgebracht waardoor gebruikers one-time codes in hun Google-account kunnen opslaan als back-up. Dit moet het eenvoudiger voor gebruikers maken als die bijvoorbeeld hun huidige telefoon zijn verloren of een nieuwe telefoon hebben en eenvoudig toegang tot hun accounts willen krijgen. De Google Authenticator genereert one-time codes, ook wel one-time passwords genoemd, waarmee gebruikers op een account kunnen inloggen. De one-time codes in Authenticator waren echter alleen op de telefoon van de gebruiker opgeslagen. Bij verlies van de telefoon kon de gebruiker dan niet meer inloggen op accounts waar hij via Authenticator tweefactorauthenticatie (2FA) voor had ingesteld, aldus Google. Voorheen moesten gebruikers bij de overstap naar een nieuwe telefoon de codes handmatig van het ene toestel naar het andere toestel overzetten of eerst 2FA uitschakelen om vervolgens weer op de nieuwe telefoon in te schakelen. De nieuwe update zorgt ervoor dat gegenereerde codes ook in het Google-account van de gebruiker kunnen worden opgeslagen. Deze codes zijn vervolgens toegankelijk vanaf elke toestel waarop de gebruiker Google Authenticator installeert. bron: https://www.security.nl

APC waarschuwt voor kritieke kwetsbaarheden in de software waarmee gebruikers en organisaties online hun UPS-systemen kunnen beheren en monitoren (pdf). Het gaat om de APC Easy UPS On-Line UPS Monitoring Software en de Schneider Electric Easy UPS Online Monitoring Software. APC is een dochteronderneming van Schneider en fabrikant van UPS-systemen, die in het geval van stroomuitval servers en andere apparaten van stroom voorzien. De beheer- en monitoringsoftware bevat twee kritieke kwetsbaarheden waardoor remote code execution mogelijk is. De eerste kwetsbaarheid, aangeduid als CVE-2023-29411, maakt het mogelijk voor een ongeauthenticeerde aanvaller om de inloggegevens van beheerders aan te passen, wat tot het uitvoeren van willekeurige code via de Java RMI-interface kan leiden. In het geval van CVE-2023-29412 is remote code execution door middel van de Java RMI-interface ook mogelijk. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een derde kwetsbaarheid in de software maakt een denial of service mogelijk. Dit beveiligingslek kreeg een impactscore van 7.5. APC heeft beveiligingsupdates beschikbaar gemaakt en roept gebruikers op om die te installeren. Vorig jaar lieten onderzoekers nog weten dat ze in verschillende APC Smart-UPS-modellen kritieke kwetsbaarheden had ontdekt waardoor het mogelijk is om de noodstroomvoorziening uit te schakelen, de stroomtoevoer te manipuleren of de apparaten zelfs te vernietigen. bron: https://www.security.nl

Een kwetsbaarheid in de Archer AX21 (AX1800) wifi-router van fabrikant TP-Link wordt actief door criminelen gebruikt om kwetsbare apparaten onderdeel van een botnet te maken, zo stelt securitybedrijf ZDI. De kwetsbaarheid die de aanvallers hiervoor gebruiken werd tijdens de Pwn2Own-wedstrijd van het ZDI, die afgelopen december plaatsvond, gedemonstreerd. Via het beveiligingslek, aangeduid als CVE-2023-1389, kan een ongeauthenticeerde aanvaller via de webinterface willekeurige code op de router uitvoeren. De kwetsbaarheid is vanaf de WAN-kant van de router te misbruiken. Vaak zijn dergelijke beveiligingslekken in de webinterface alleen vanaf de LAN-kant toegankelijk. Onderzoekers ontdekten echter dat het door een race condition bij het verwerken van iptables kortstondig ook via de WAN-kant mogelijk is. TP-Link kwam op 17 maart met een firmware-update die verschillende "security issues" verhelpt. Verdere details werden echter niet gegeven. Een van de verholpen problemen is CVE-2023-1389. Op 11 april zag ZDI dat aanvallers actief misbruik van het lek maken om kwetsbare routers aan een Mirai-botnet toe te voegen. De besmette routers zijn vervolgens voor het uitvoeren van ddos-aanvallen te gebruiken. Volgens de onderzoekers laat de snelheid waarmee criminelen misbruik van de kwetsbaarheid maken zien hoe belangrijk is dat fabrikanten beveiligingslekken snel verhelpen en gebruikers snel beschikbare patches uitrollen. bron: https://www.security.nl

Bijna veertig landen deden vorige week mee aan de jaarlijkse NAVO-cyberoefening Locked Shields, waarbij verschillende soorten digitale aanvallen worden gesimuleerd. Tijdens het evenement moesten 24 blue teams hun vitale systemen tegen een aanvallend red team beschermen. Het doel van de oefening is om te oefenen met cyberaanvallen, het maken van managementbeslissingen in een crisissituatie en ervoor zorgen dat gemaakte beslissingen weloverwogen zijn. Locked Shields wordt al sinds 2010 in de Estse hoofdstad Tallinn door het NATO Cooperative Cyber Defense Center of Excellence (CCDCOE) georganiseerd. Aan de editie van dit jaar deden drieduizend mensen uit 38 landen deel. "Locked Shields richt zich niet alleen op cyberverdediging, maar ook op strategy games, juridische vraagstukken en crisiscommunicatie. In het geval van een grote cyberaanval is snelle samenwerking essentieel om de escalatie van een veiligheidscrisis te voorkomen", zegt NATO CCDCOE-directeur Mart Noorma. bron: https://www.security.nl

Softwarebedrijf PaperCut waarschuwt organisaties voor een kritieke kwetsbaarheid in de printsoftware die het levert en waar aanvallers op dit moment actief misbruik van maken voor het overnemen van kwetsbare servers. De Amerikaanse overheid heeft federale overheidsinstanties opgedragen het beveiligingslek voor 12 mei te patchen. PaperCut levert onder andere een printmanagementserver waarmee organisaties allerlei printgerelateerde zaken kunnen beheren, zoals het inzien van het aantal geprinte pagina's, beheer van print queues, toevoegen van watermerken en access control. Een kwetsbaarheid in de software, aangeduid als CVE-2023–27350, maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand code met systeemrechten op de server uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 8 maart van dit jaar kwam PaperCut met een beveiligingsupdate (versies 20.1.7, 21.2.11 en 22.0.9) voor de kwetsbaarheid die door securitybedrijf Trend Micro was gerapporteerd. Een week na het verschijnen van de patch publiceerde Trend Micro meer details over het beveiligingslek. Vorige week bleek dat aanvallers actief misbruik van CVE-2023–27350 maakten voor het aanvallen van kwetsbare, nog niet gepatchte servers. Organisaties die vermoeden dat hun PaperCut-server is gecompromitteerd wordt aangeraden om de server volledig te wissen en aan de hand van veilige back-ups te herstellen. Vanwege het actieve misbruik heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security federale Amerikaanse overheidsinstanties opgedragen om de update voor het PaperCut-lek voor 12 mei te installeren, mocht dat nog niet zijn gedaan. Securitybedrijf Huntress laat weten dat van de meer dan duizend PaperCut-servers die het bij klanten waarneemt, zo'n negentig procent niet up-to-date is en kwetsbaar is voor aanvallen. bron: https://www.security.nl