Captain Kirk

Onderzoekers hebben opnieuw Google-advertenties voor populaire software aangetroffen die malware verspreiden. Begin dit jaar waarschuwden onderzoekers al herhaaldelijk voor criminelen die advertenties bij de zoekresultaten van Google gebruikten voor de verspreiding van malware. Recentelijk ontdekten onderzoekers van securitybedrijf Secureworks advertenties voor Zoom, Cisco AnyConnect, ChatGPT en Citrix Workspace die naar besmette versies linkten. De advertenties wezen naar gecompromitteerde WordPress-sites, waarvandaan slachtoffers werden doorgestuurd naar een zogenaamde officiële downloadpagina. De aangeboden installers waren echter voorzien van de Bumblebee-malware. Deze malware fungeert als een "downloader" en kan aanvullende malware op het systeem downloaden, zoals ransomware. Verschillende ransomware-aanvallen zouden via de Bumblee-malware zijn begonnen. Volgens Secureworks is het dan ook belangrijk dat organisaties het downloaden en uitvoeren van third-party software door personeel dan ook beperken. bron: https://www.security.nl

Bij de aanval op harde schijffabrikant Western Digital is tien terabyte aan data buitgemaakt, waaronder grote hoeveelheden gegevens van klanten, zo claimen de verantwoordelijke criminelen tegenover TechCrunch. Vanwege de aanval besloot WD allerlei diensten offline te halen, waaronder de My Cloud-opslagdienst, maar die zijn sinds woensdag weer online. Klanten konden er tien dagen lang geen gebruik van maken. Daarnaast moeten klanten vrezen dat hun gegevens in handen van de aanvallers zijn gekomen. Om wat voor soort gegevens het zou gaan is onbekend. De criminelen lieten tegenover TechCrunch zien dat ze over het certificaat en de key beschikken om bestanden als Western Digital te signeren en gegevens van het bestuur in handen hebben. Om te voorkomen dat de gestolen data wordt gepubliceerd eisen de criminelen een bedrag van acht cijfers. Hoe ze toegang tot de systemen konden krijgen is niet bekend. WD wilde niet op de claims van de aanvallers reageren. bron: https://www.security.nl

De Europese privacytoezichthouders, verenigd in de EDPB, hebben een ChatGPT-taskforce gelanceerd om zo de samenwerking te bevorderen en informatie over mogelijke acties tegen de chatbot uit te wisselen. Aanleiding is de beslissing van de Italiaanse privacytoezichthouder om de chatbot te verbieden wegens het illegaal verzamelen van persoonlijke gegevens voor het trainen van de algoritmes en het niet controleren van de leeftijd van minderjarigen. Het Europees Comité voor gegevensbescherming (EDPB) is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de AVG. Vandaag hadden de toezichthouders in Brussel overleg, waarbij ook het optreden van de Italiaanse toezichthouder tegen ChatGPT werd besproken. Daarop besloot de EDPB om een aparte taskforce op te richten voor het coördineren en uitwisselen van informatie over mogelijke handhavingsacties die de toezichthouders tegen de chatbot gaan nemen. Verdere informatie over de taskforce is niet gegeven. bron: https://www.security.nl

De Kodi Foundation, ontwikkelaar van de gelijknamige mediaspeler, heeft na een datalek waarbij de gegevens van vierhonderdduizend forumgebruikers werden gestolen, de e-mailadressen van slachtoffers met datalekzoekmachine Have I Been Pwned gedeeld. Het komt zelden voor dat een website na een datalek e-mailadressen van slachtoffers met de zoekmachine deelt. Via Have I Been Pwned is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. De zoekmachine bevat 12,5 miljard gecompromitteerde accounts, afkomstig van 668 websites en datasets. In slechts vijftien van deze gevallen besloot de gecompromitteerde website zelf om e-mailadressen van slachtoffers bij Have I Been Pwned te rapporteren. Vorige week meldde de Kodi Foundation dat de gegevens van vierhonderdduizend forumgebruikers waren gestolen en op internet te koop werden aangeboden. Het gaat om browser user-agent, geboortedatum, e-mailadres, ip-adres, wachtwoordhashes ( MyBB salted hashes), privéberichten en gebruikersnamen. Het datalek vond plaats via het account van een inactieve forumbeheerder. De aanvaller wist via dit account een back-up van de forumdatabase te maken. Na ontdekking van het datalek is het gebruikte account uitgeschakeld. Het forum van Kodi is nog altijd offline. De stichting zegt nog te onderzoeken hoe het slachtoffers straks kan inlichten en uitleggen hoe ze hun wachtwoord moeten resetten zodra het forum weer online is. In de tussentijd kunnen gebruikers via Have I Been Pwned zien of hun account is gecompromitteerd. Van de vierhonderdduizend gestolen e-mailadressen was 86 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Microsoft heeft een kwetsbaarheid in SQL Server waardoor remote code execution mogelijk is alsnog bekendgemaakt. Het techbedrijf kwam afgelopen februari met een beveiligingsupdate voor de kwetsbaarheid in SQL Server 2008, 2014, 2016, 2017, 2019 en 2022, maar was naar eigen zeggen "per ongeluk" vergeten om het bestaan van het lek destijds ook te melden. Volgens securitybedrijf ZDI is er sprake van een "stille patch". Het beveiligingslek, aangeduid als CVE-2023-23384, betreft een out of bounds kwetsbaarheid in de SQLcmd tool. Een ongeauthenticeerde aanvaller kan hierdoor op afstand code met verhoogde rechten uitvoeren. Volgens Microsoft is het uitvoeren van willekeurige code lastig, aangezien een aanvaller slechts een paar geheugenbytes kan overschrijven. Een aanval zal dan ook eerder leiden tot een crash van de server, aldus Microsoft. Het techbedrijf stelt dat het in februari het bestaan van de kwetsbaarheid "per ongeluk" was vergeten te melden. Securitybedrijf ZDI spreekt over een stille patch en dat dit geen goede ontwikkeling is. Microsoft geeft geen verdere reden hoe het kan dat de kwetsbaarheid destijds is vergeten. De afgelopen jaren is het een paar keer eerder voorgekomen dat Microsoft het bestaan van een beveiligingslek pas na het uitkomen van de update bekendmaakte. bron: https://www.security.nl

Microsoft waarschuwt organisaties voor aanvallen met de BlackLotus UEFI-bootkit en heeft advies uitgebracht om besmette systemen te vinden en herstellen. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Iets wat ook Microsoft stelt. "UEFI-bootkits zijn met name gevaarlijk, omdat ze tijdens het opstarten van de computer draaien, voordat het besturingssysteem wordt geladen, en kunnen daardoor verschillende beveiligingsmechanismes zoals BitLocker, hypervisor-protected code integrity (HVCI) en Microsoft Defender Antivirus uitschakelen." Onlangs rapporteerde antivirusbedrijf ESET over de BlackLotus UEFI-bootkit die op internet te koop wordt aangeboden. De bootkit maakt gebruik van een kwetsbaarheid in Windows (CVE-2022-21894) voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de bootkit onder andere BitLocker en Microsoft Defender uitschakelen. Microsoft kwam vorig jaar januari met een beveiligingsupdate voor de kwetsbaarheid. Misbruik is volgens ESET nog steeds mogelijk omdat de kwetsbare Windows-bestanden die worden gebruikt voor het omzeilen van Secure Boot niet op de UEFI Revocation List zijn geplaatst. Deze lijst bevat een overzicht van eerdere, goedgekeurde en gesigneerde firmware en software gebruikt voor het opstarten van systemen waarop Secure Boot staat ingeschakeld. In een nieuw document over de BlackLotus-bootkit laat Microsoft zien hoe besmette systemen zijn te identificeren. Mochten systemen inderdaad zijn besmet, adviseert het techbedrijf om de geïnfecteerde computer uit het netwerk te verwijderen en zowel de OS-partitie als EFI-partitie te formatteren of vanuit een schone back-up te herstellen bron: https://www.security.nl

Op de systemen van 3CX, dat wereldwijd software voor voip-oplossingen levert en slachtoffer van een supplychain-aanval werd, hebben onderzoekers malware gevonden. Zowel macOS- als Windowssystemen van de softwareleverancier bleken besmet te zijn, zo laat 3CX in een update over de aanval weten. Hoe de infecties zich konden voordoen is nog altijd niet bekendgemaakt. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben. De desktopapplicatie van 3CX maakt het mogelijk om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Aanvallers wisten op nog altijd onbekende wijze verschillende versies van de software voor macOS en Windows van malware te voorzien. Nu blijkt dat de aanvallers door middel van malware toegang tot de systemen van 3CX hadden. Daarbij werden verschillende malware-exemplaren gebruikt die met legitiem lijkende domeinen verbinding maakten. Het onderzoek naar de aanval wordt uitgevoerd door securitybedrijf Mandiant, dat vermoedt dat een Noord-Koreaanse groep verantwoordelijk is. Eerder meldde antivirusbedrijf Kaspersky dat de aanvallers het op cryptobedrijven hadden voorzien. Veel details over de aanval ontbreken nog altijd. bron: https://www.security.nl

Honderdduizenden WordPress-sites zijn door een beveiligingslek in de plug-in Limit Login Attempts kwetsbaar voor aanvallen. Er is inmiddels een beveiligingsupdate uitgebracht, maar zo'n half miljoen websites hebben die nog niet geïnstalleerd. Limit Login Attempts moet bruteforce-aanvallen op WordPress-sites bemoeilijken. De plug-in zorgt ervoor dat ip-adressen na een aantal mislukte inlogpogingen op een blacklist worden geplaatst en niet meer mogen inloggen. Limit Login Attempts is op meer dan 600.000 WordPress-sites actief. Een cross-site scripting-kwetsbaarheid in de plug-in, aangeduid als CVE-2023-1912, maakt het mogelijk voor aanvallers om de website over te nemen. Het beveiligingslek maakt het namelijk mogelijk om malafide JavaScript aan de database van de plug-in toe te voegen, die automatisch wordt uitgevoerd wanneer de beheerder de loggingpagina bekijkt, zo meldt securitybedrijf Wordfence. Vorige week verscheen versie 1.7.2, waarin het probleem is verholpen. In de beschrijving van deze versie wordt alleen gesproken over "security fixes". Sinds de update uitkwam is Limit Login Attempts zo'n honderdduizend keer gedownload, wat inhoudt dat nog zo'n vijfhonderdduizend websites de update missen. bron: https://www.security.nl

Vooral als het gaat om kritieke infrastructuren, zoals telecommunicatie en energienetwerken. Dat stelt de Rijksinspectie Digitale Infrastructuur (RDI), voorheen bekend als het Agentschap Telecom, bij de lancering van de Trendradar vandaag. De Trendradar is een visualisatie van de RDI die inzicht biedt in de digitale ontwikkelingen die de samenleving op korte en langere termijn kunnen raken. De toezichthouder gaat via de Trendradar bepalen op welke ontwikkelingen het extra gaat inzetten en welke onderzoeken het gaat uitvoeren. Volgens de RDI zijn er op dit moment verschillende trends waar de komende jaren rekening mee moet worden gehouden. Het gaat dan om de komst van quantumcomputers en de toenemende digitalisering in de energietransitie. "Digitalisering levert namelijk een onmisbare bijdrage aan het versnellen van de energietransitie, maar brengt ook een verhoogd risico op het gebied van cybersecurity met zich mee", aldus de Rijksinspectie. Die maakt zich ook zorgen over de sterke groei van het aantal IoT-apparaten die vaak onvoldoende zijn beveiligd. Verder maakt de RDI zich ook zorgen over Amerikaanse cloudproviders. "Veel applicaties ‘draaien in de cloud’. De cloud-infrastructuur is niet altijd afkomstig uit Europa. Dat vormt een risico voor de digitale soevereiniteit van Europa en Nederland. Vooral als het gaat om kritieke infrastructuren, zoals telecommunicatie en energienetwerken." Volgens de RDI neemt het besef binnen Nederland en Europa toe dat afhankelijkheid van buitenlandse marktspelers ook risico’s meebrengt, bijvoorbeeld als het gaat om het houden van regie en controle over de digitale infrastructuur. bron: https://www.security.nl

Tijdens de patchdinsdag van april heeft Microsoft een zerodaylek in Windows verholpen die bij ransomware-aanvallen is ingezet. De kwetsbaarheid bevindt zich in de Windows Common Log File System (CLFS) Driver, waar in een jaar tijd al drie andere zerodaylekken werden aangetroffen en verholpen. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Via het beveiligingslek, aangeduid als CVE-2023-28252, kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen. De kwetsbaarheid alleen is niet voldoende om een systeem over te nemen en moet dan ook worden gecombineerd met een ander beveiligingslek of kan worden gebruikt door malware die bijvoorbeeld via een e-mailbijlage of macro op het systeem wordt uitgevoerd. De kwetsbaarheid wordt al zeker sinds februari bij ransomware-aanvallen gebruikt, zo meldt antivirusbedrijf Kaspersky dat het lek ontdekte en aan Microsoft rapporteerde. Worden de meeste zerodays door statelijke actoren ingezet, dit beveiligingslek is gebruikt door criminelen die er de Nokoyawa-ransomware mee installeren, aldus Kaspersky. De virusbestrijder merkt op dat de kwetsbaarheid eenvoudig gevonden had kunnen worden door middel van fuzzing. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. In de CLFS-driver zijn in het verleden zoals gezegd meerdere beveiligingslekken aangetroffen. Dat CVE-2023-28252 toch niet werd opgemerkt is volgens Kaspersky mogelijk te verklaren doordat fuzzers het probleem wel vonden en er zich een "exception" voordeed, maar dat er geen crash plaatsvond en het lek zo onopgemerkt bleef. De update die het probleem verhelpt wordt op de meeste Windowscomputers automatisch geïnstalleerd. bron: https://www.security.nl

De FBI heeft via Twitter gewaarschuwd voor openbare ubs-laadstations die spyware en malware verspreiden. In de tweet wordt opgeroepen om gratis usb-oplaadstations op vliegvelden, hotels en winkelcentra te vermijden. Aanvallers hebben volgens de Amerikaanse opsporingsdienst namelijk manieren gevonden om via deze apparaten spyware en malware op telefoons te krijgen. Daarom doen mensen er verstandig aan hun eigen opladers mee te nemen en een stopcontact te gebruiken. Concrete details of voorbeelden van waargenomen aanvallen worden niet door de FBI gegeven. De waarschuwing in kwestie is ook op de website van de FBI te vinden. Het openbaar ministerie van Los Angeles County waarschuwde al een aantal jaren geleden voor "juice jacking". Daarbij wordt een apparaat op een kwaadaardige oplader aangesloten. Het kan dan bijvoorbeeld om een usb-oplaadstation gaan. Ook de Amerikaanse toezichthouder FCC heeft hierover een waarschuwing op de eigen website staan. bron: https://www.security.nl

Amazon.com heeft de verkoop van de populaire geektool Flipper Zero verboden, waardoor het apparaatje niet meer via de Amerikaanse webwinkel te koop is. De tool is echter nog wel bij Amazon.nl te vinden. Verschillende gebruikers lieten via Twitter weten dat het product niet meer via Amazon.com werd aangeboden. Daarnaast stuurde het bedrijf een bericht naar een verkoper van de Flipper Zero dat het product niet meer mocht worden aangeboden. Volgens de Amerikaanse webshop is het namelijk een tool om betaalkaarten mee te skimmen. De Flipper Zero wordt door de ontwikkelaars omschreven als een multitool voor penetratietesters en geeks. Het apparaat ondersteunt verschillende radioprotocollen, NFC, RFID, Bluetooth en infrarood en kan voor allerlei tests en onderzoeken worden gebruikt. Onlangs werd bekend dat de Braziliaanse overheid zendingen van de Flipper One in beslag neemt. De afgelopen dagen maakten verschillende Twitteraccounts melding dat het apparaatje niet meer via Amazon werd aangeboden. Eén van de verkopers deelde vervolgens een bericht dat hij van Amazon had ontvangen met Bleeping Computer. Daarin staat dat het bedrijf de Flipper Zero als een "card skimming device" heeft bestempeld en het daarom niet meer via de webshop mag worden aangeboden. Hoe Amazon tot dit oordeel is gekomen laat het bericht niet weten. Uit een zoekopdracht van Security.NL bij Amazon.nl blijkt dat de Flipper Zero daar gewoon nog door allerlei externe verkopers wordt aangeboden. bron: https://www.security.nl

Afgelopen woensdag sloegen meerdere securitybedrijven alarm wegens een supplychain-aanval op 3CX, een wereldwijde aanbieder van telecomoplossingen met meer dan zeshonderdduizend klanten en twaalf miljoen gebruikers. Aanvallers hadden de desktopapplicatie van 3CX voor macOS en Windows van malware voorzien. Het bedrijf kwam gisteren met een nieuwe applicatie, maar die wordt inmiddels door Google Chrome geblokkeerd. Daarnaast blijkt dat sommige antivirusbedrijven alle software van 3CX tegenhouden. Volgens 3CX heeft Google het certificaat dat voor het signeren van de software is gebruikt ongeldig verklaard. Daardoor kan de nieuwe applicatie die het bedrijf gisteren uitbracht niet meer via Googles browser worden gedownload, meldt 3CX-ceo Nick Galea. Verschillende antiviruspakketten blokkeren inmiddels alle software met het betreffende certificaat. 3CX werkt nu aan compleet nieuwe installer die ook van een compleet nieuw certificaat gebruikmaakt. Deze versie wordt later vandaag verwacht. In de tussentijd blijft het bedrijf klanten adviseren om van de webapplicatie gebruik te maken. Er komt voorlopig nog geen nieuwe versie van de macOS-versie van de desktopapplicatie. De focus ligt nu op de Windows-app en het onderzoek naar de aanval. Het is nog altijd onbekend hoe de aanvallers malware aan de software van 3CX konden toevoegen. bron: https://www.security.nl

Om gebruikers tegen malware te beschermen gaat Microsoft OneNote honderdtwintig gevaarlijke bestandsextensies die aan een OneNote-bestand kunnen worden toegevoegd standaard blokkeren. Dat heeft Microsoft aangekondigd. OneNote is software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. OneNote-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts of embedded bestanden die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers zover te krijgen gebruiken aanvallers allerlei trucs, die ook werden toegepast om gebruikers macro's te laten inschakelen. Zodra gebruikers de waarschuwing negeren wordt er malware gedownload en uitgevoerd. Eerder deze maand kondigde Microsoft aan dat het extra maatregelen neemt om aanvallen met OneNote-bestanden te voorkomen. Het techbedrijf heeft hier nu meer details over gegeven. Het blokkeren van gevaarlijke bestandsextensies wordt doorgevoerd bij OneNote voor Microsoft 365, alsmede OneNote voor Office 2021, Office 2019 en Office 2016. Voor de lijst van gevaarlijke bestandsextensies hanteert Microsoft dezelfde lijst van extensies die het standaard binnen Outlook, Word, Excel en PowerPoint blokkeert. Op deze lijst staan in totaal honderdtwintig bestandsextensies, zoals .exe, .scr en .bat. Via een policy is het daarnaast mogelijk om nog andere extensies te blokkeren. bron: https://www.security.nl

Mozilla heeft een feature aan de Windowsversie van Firefox toegevoegd waardoor gebruikers voortaan third-party dll injection kunnen blokkeren. Third-party software op Windows heeft verschillende manieren om hun code in andere, actieve processen te injecteren. Vaak wordt dit gedaan door antivirussoftware, maar het kan ook het gevolg zijn van hardware drivers, screenreaders, banksoftware en ook malware. Bij meer dan zeventig procent van alle Firefox-gebruikers vindt third-party dll injection plaats, waarbij een programma een dll-bestand in het Firefox-proces injecteert. Het gaat dan om dll-bestanden die niet digitaal door Mozilla of Microsoft zijn gesigneerd. Dit kan voor veiligheids- en stabiliteitsproblemen zorgen. Mozilla zou alle third-party dll's in Firefox standaard kunnen blokkeren, maar dit zou volgens de browserontwikkelaar ook gevolgen voor nuttige producten hebben, zoals screenreaders. Ook is het technisch lastig haalbaar en waarschijnlijk onmogelijk om alle hird-party dll's te blokkeren, zeker die van third-party software die met hogere rechten dan Firefox draait. Met Firefox 110 kunnen gebruikers door "about:third-party" in de adresbalk in te voeren een overzicht van geïnjecteerde third-party dll's zien, om die vervolgens te kunnen blokkeren. bron: https://www.security.nl

Privacyorganisatie noyb heeft Meta gedreigd met juridische stappen als het gebruikers op basis van een "gerechtvaardigd belang" gerichte advertenties gaat tonen. Begin dit jaar kreeg Meta van de Ierse privacytoezichthouder DPC een boete van 390 miljoen euro opgelegd wegens gerichte advertenties op Facebook en Instagram. Ook moet het Amerikaanse techbedrijf de manier veranderen waarop het toestemming vraagt voor gerichte advertenties. Gerichte advertenties mogen vanaf april niet zonder toestemming van de betreffende gebruikers worden getoond, aangezien hiervoor persoonlijke informatie wordt verwerkt. Toen de AVG in mei 2018 van kracht werd dacht Meta deze vereiste te kunnen omzeilen door een bepaling aan de algemene voorwaarden toe te voegen, waardoor gebruikers bij het accepteren van de voorwaarden ook automatisch akkoord gingen met gerichte advertenties. Daarop diende privacyorganisatie noyb een klacht in. Aangezien Meta, Facebook en Instagram hun Europees hoofdkantoor in Ierland hebben voerde de Ierse privacytoezichthouder DPC het onderzoek naar de klacht uit en stelde dat Meta onrechtmatig heeft gehandeld. In plaats van een opt-in, waarbij gebruikers zelf voor gerichte advertenties kiezen, stelt Meta nu dat het een "gerechtvaardigd belang" heeft om gebruikersgegevens te verwerken en dergelijke reclame te tonen, zonder dat gebruikers hier toestemming voor moeten geven. Verschillende techbedrijven hebben deze optie in het verleden geprobeerd, maar werden steeds door privacytoezichthouders teruggefloten. "Meta ruilt de ene illegale praktijk in voor de andere. Noyb zal meteen juridische stappen ondernemen om dit te stoppen, aangezien het duidelijk is dat de Ierse toezichthouder van Meta wederom niet optreedt", zegt privacyactivist en noyb-oprichter Max Schrems. "Dit is een absurde situatie en we zullen het zo snel mogelijk stoppen." Volgens Schrems moet Meta, net als alle andere bedrijven, gebruikers een duidelijk ja/nee-optie bieden. bron: https://www.security.nl

Verschillende securitybedrijven slaan alarm over malware die in de officiële desktopapplicatie van de populaire voipsoftware 3CX is aangetroffen. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben. 3CX biedt ook een Windowsapplicatie om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Een library die 3CX voor de Windowsapplicatie gebruikt is voorzien van malware, zo laat het bedrijf in een waarschuwing weten. Dat werkt inmiddels aan een nieuwe Windows-app. In de tussentijd wordt klanten aangeraden de webapplicatie te gebruiken. Hoe de malware kon worden toegevoegd is niet bekendgemaakt. 3CX zegt met een onderzoek bezig te zijn en later vandaag met meer informatie te komen. De malware die aan de desktopapplicatie is toegevoegd downloadt aanvullende malware die informatie van het besmette systeem steelt en aanvallers verdere toegang kan geven, zo waarschuwen securitybedrijven SentinelOne, Sophos en Crowdstrike. Deze laatste partij vermoedt dat de aanval het werk is van een statelijke actor. Update Het installatieprogramma van de macOS-versie van de desktopapplicatie is ook door de aanvallers voorzien van malware, zo melden beveiligingsonderzoeker Patrick Wardle en 3CX-ceo Nick Galea. bron: https://www.security.nl

Een misconfiguratie van een applicatie van Microsofts Bing.com maakte het mogelijk om zoekresultaten van de zoekmachine aan te passen of kwaadaardige code toe te voegen waarmee de Office 365-tokens van gebruikers waren te stelen, om zo toegang tot privé e-mails en bestanden te krijgen. Dat laat Wiz Research weten, dat het probleem ontdekte en aan Microsoft rapporteerde, dat maatregelen nam en ontwikkelaars oproept om toegang tot hun applicaties goed te configureren. De kwetsbaarheid lag in een verkeerd geconfigureerde Azure Active Directory (AAD), waardoor het mogelijk was om toegang tot verschillende applicaties van Microsoft te krijgen, waaronder het contentmanagementsysteem (cms) van Bing.com. AAD is een cloudgebaseerde identity and access management service waarmee kan worden ingelogd op apps die in Azure App Services of Azure Functions zijn gemaakt. Het gaat hierbij niet alleen om apps die Microsoft zelf heeft ontwikkeld, maar ook de apps van andere organisaties. Azure Active Directory biedt verschillende soorten accounttoegang, waaronder multi-tenant. Hierbij kan elke gebruiker die onderdeel van een Azure tenant is op de betreffende app inloggen. In deze situatie is het belangrijk dat de ontwikkelaar van de app de juiste toegang configureert, omdat anders elke willekeurige Azure-gebruiker op de app kan inloggen. De onderzoekers van Wiz ontdekten tal van multi-tenant apps waar deze toegang niet goed was geconfigureerd. Het ging onder andere om een door Microsoft ontwikkelde applicatie genaamd "Bing Trivia". Door de misconfiguratie konden de onderzoekers met hun eigen Azure-gebruiker op de app inloggen. Vervolgens vonden ze het cms dat voor Bing.com wordt gebruikt. Via dit cms was het mogelijk om de zoekresultaten van Microsofts zoekmachine aan te passen. Daarnaast bleek het mogelijk om malafide code aan de zoekmachine toe te voegen die de Office 365-tokens van gebruikers kan stelen. Met deze tokens is het vervolgens mogelijk om toegang tot e-mails van Outlook.com te krijgen, alsmede kalenders, Teams-berichten, SharePoint-documenten en OneDrive-bestanden. Bing en Office 365 zijn namelijk geïntegreerd. Zo heeft Bing een onderdeel dat gebruikers hun Office 365-data laat doorzoeken. Hiervoor communiceert Bing namens de ingelogde gebruiker met Office 365. Via deze feature bleek het mogelijk om, door het toevoegen van cross-site scripting (XSS) code op Bing.com, het Office 365-token te stelen. Microsoft stelt dat de misconfiguratie een "klein aantal" van de eigen, interne apps raakte. De problemen zijn volgens het techbedrijf verholpen en er is geen misbruik van gemaakt, aldus een uitleg. Verder roept Microsoft beheerders en applicatieontwikkelaars van andere organisaties op om de instellingen van hun multi-tenant applicaties die van Azure Active Directory gebruikmaken te controleren. bron: https://www.security.nl

Het populaire gamingplatform Steam zal vanaf 1 januari 2024 niet meer werken op Windows 7, Windows 8 of Windows 8.1. Dat heeft ontwikkelaar Valve aangekondigd. Om van Steam en de games die via het platform zijn gekocht gebruik te kunnen maken moeten gebruikers naar een nieuwere versie van Windows upgraden. Veel softwareontwikkelaars zijn inmiddels de support van Windows 7 gestopt, maar de software blijft dan vaak nog wel werken, zij het met beveiligingsrisico's. In het geval van de Steam-client is dat niet het geval en zal die vanaf 1 januari 2024 niet meer op de drie genoemde Windows-versies werken. Dit komt omdat belangrijke onderdelen van Steam afhankelijk zijn vanaf een embedded versie van Google Chrome, die niet langer meer op oudere Windows-versies werkt. Daarnaast zullen toekomstige Steam-versies Windows-beveiligingsupdates vereisen die alleen in Windows 10 en nieuwer aanwezig zijn. Valve roept gebruikers dan ook om te upgraden naar een nieuwere Windows-versie. Volgens cijfers van Steam draait ruim 94 procent van de gebruikers Windows 10 of Windows 11. Windows 7 wordt door slechts 1,5 procent gebruikt. Begin dit jaar zette Steam een nieuw record neer met 32 miljoen mensen die op hetzelfde moment via het platform aan het gamen waren. bron: https://www.security.nl

Een actief misbruikt zerodaylek in Fortra GoAnywhere zorgt op dit moment voor een explosie aan datalekken. Tal van grote organisaties melden dat er gegevens bij hen zijn gestolen. Het gaat onder andere om Procter & Gamble, Hitachi Energy, Investissement Québec, Saks Fifth Avenue, Pluralsight, Rio Tinto, US Wellness, securitybedrijf Rubrik, de grote Amerikaanse zorgorganisatie Community Health Systems (CHS), gokbedrijf Crown Resorts, de Hatch Bank, het Britse Pension Protection Fund, de stad Toronto en zorgverlener Brightline. Deze laatste partij levert therapie aan kinderen en de vrees is dat de gevoelige data van tienduizenden kinderen is buitgemaakt. De aanvallers achter deze aanvallen claimen dat ze bij meer dan honderddertig organisaties hebben toegeslagen. GoAnywhere is een door softwarebedrijf Fortra ontwikkelde oplossing voor het uitwisselen van bestanden. Via een kwetsbaarheid, aangeduid als CVE-2023-0669, is het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code op het systeem uit te voeren. Voor het uitvoeren van de aanval moet een aanvaller wel eerst toegang tot de beheerdersconsole hebben. De console zou normaliter alleen toegankelijk vanaf het bedrijfsnetwerken, via een vpn of een select aantal ip-adressen moeten zijn. Onderzoekers ontdekten echter dat bij veel organisaties de console voor iedereen gewoon toegankelijk vanaf het internet is. Het beveiligingslek werd al voor dat Fortra een update uitbracht misbruikt. TechCrunch meldt op basis van twee getroffen organisaties dat Fortra klanten vertelde dat hun gegevens niet door de aanvallers waren buitgemaakt. Pas nadat de aanvallers deze getroffen organisaties benaderden ontdekten die dat dit wel het geval was. De aanvallen zijn het werk van de criminelen achter de Clop-ransomware. Die hebben nog niet alle slachtoffers op hun eigen website vermeld. Het is dan ook de verwachting dat de komende dagen nog veel meer organisaties bekend zullen worden. bron: https://www.security.nl

De ontwikkelaars van OpenSSL waarschuwen iedereen die van versie 1.1.1 gebruikmaakt, want nog minder dan zes maanden en dan zal deze versie geen beveiligingsupdates meer ontvangen. Vanaf 11 september is de software namelijk end of life. Gebruikers wordt aangeraden om te upgraden naar OpenSSL 3.0 of OpenSSL 3.1. Deze versies worden respectievelijk tot 7 september 2026 en 14 maart 2025 ondersteund. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Naast de normale releases werkt OpenSSL ook met Long Term Support (LTS) releases. Die kunnen vijf jaar lang op beveiligingsupdates rekenen. OpenSSL 1.1.1 was een LTS-release die op 11 september 2018 verscheen. Op 11 september 2023 stopt de ondersteuning. OpenSSL 3.0 is ook een LTS-release en wordt daardoor langer ondersteund dan versie 3.1. Een andere optie is het afsluiten van een betaald onderhoudscontract. Daarbij krijgen organisaties ook na de end of life datum van OpenSSL 1.1.1 nog beveiligingsupdates voor deze versie. Het is echter onbekend hoelang OpenSSL deze updates blijft aanbieden. Het ontwikkelteam zegt dit te blijven doen zolang het commercieel houdbaar is. bron: https://www.security.nl

Gezichtsherkenningsbedrijf Clearview heeft inmiddels dertig miljard afbeeldingen afkomstig van Facebook en andere platformen gescrapet, zonder toestemming van gebruikers, en de Amerikaanse politie heeft hier al een miljoen keer gebruik van gemaakt. Dat meldt de BBC op basis van een gesprek met Clearview-ceo Hoan Ton-That. Clearview beschikt over een systeem met miljarden afbeeldingen van gezichten. Daarmee kunnen politiediensten onbekende verdachten herkennen. Meer dan zeshonderd Amerikaanse politie- en opsporingsdiensten zouden van Clearview gebruik hebben gemaakt. Het bedrijf wil de database uitbreiden naar honderd miljard gezichtsafbeeldingen, wat neerkomt op veertien foto's voor elk persoon op aarde. Inmiddels staat de teller op dertig miljard afbeeldingen en hebben Amerikaanse politiediensten volgens Ton-That het systeem één miljoen keer gebruikt. Dit aantal is niet door externe partijen bevestigd, maar de politie van Miami liet de BBC weten dat het de gezichtsherkenningssysteem bij het onderzoek naar bijna alle misdrijven inzet. Privacyboetes Vorig jaar kreeg Clearview voor het overtreden van de AVG van de Franse, Italiaanse en Griekse privacytoezichthouders drie boetes van bij elkaar zestig miljoen euro. Volgens de privacytoezichthouder wordt persoonlijke data onrechtmatig door Clearview verwerkt, aangezien er geen juridische basis is voor het verzamelen en gebruiken van de biometrische data. Daarnaast wordt er onvoldoende rekening met de rechten van individuen gehouden, zoals het recht op inzage. Clearview heeft geen vestiging in Europa, waardoor elke Europese privacytoezichthouder voor zijn eigen gebied onderzoek deed. Naast de boetes van in totaal zestig miljoen euro werd het bedrijf door de drie toezichthouders opgedragen om data van burgers uit de betreffende landen niet meer te verzamelen en verwerken en al verzamelde data te verwijderen. bron: https://www.security.nl

Drie onderzoekers, waaronder de Belgische onderzoeker Mathy Vanhoef die eerder verschillende aanvallen op WPA2 en WPA3 ontwikkelde, hebben een nieuwe aanval gedemonstreerd waarbij ze gebruikmaken van de slaapstand van apparaten om de wifi-encryptie van routers te omzeilen en informatie te stelen die voor andere apparaten is bedoeld. Dat laten de onderzoekers zien in hun onderzoek "Framing Frames: Bypassing Wi-Fi Encryption by Manipulating Transmit Queues" (pdf). Wifi-routers kunnen pakketjes bedoeld voor mobiele telefoons en laptops in een queue plaatsen, bijvoorbeeld als het apparaat in kwestie in de slaapstand staat. Wanneer de client in de slaapstand staat, om zo energie te besparen, zal de router de gebufferde frames later versturen. Onderzoekers Domien Schepers en Aanjhan Ranganathan van de Northeastern University en Mathy Vanhoef van de KU Leuven hebben nu een aanval ontwikkeld waarbij ze wifi-routers kunnen misleiden om de frames die nog in de queue staan in plaintext te laten lekken, of in versleutelde vorm, maar dan met een all-zero key, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is. Volgens de onderzoekers wordt het probleem veroorzaakt door onvoldoende richtlijnen over de beveiliging van gebufferde frames zoals die in de 802.11 wifi-standaarden is opgenomen. Zo is de power-save bit in de header van een frame niet beveiligd, wat deze en andere aanvallen mogelijk maakt. De onderzoekers laten ook zien hoe ze via deze "fundamentele ontwerpfout" een dos-aanval kunnen veroorzaken, waardoor bijvoorbeeld een verbonden smartphone de verbinding met de wifi-router verliest. Tevens is het mogelijk om de securitycontext van frames te controleren en overschrijven, waardoor frames die nog in de queue moeten worden geplaatst worden versleuteld met een door de aanvaller gekozen key. Op deze manier wordt de wifi-encryptie in zijn geheel omzeild. De onderzoekers roepen dan ook op tot een betere beveiliging ronden het queuen van frames door wifi-apparaten. Cisco is inmiddels met een beveiligingsbulletin over het onderzoek gekomen. Daarin laat het netwerkbedrijf weten dat het om een "opportunistische aanval" gaat en de informatie die een aanvaller in een beveiligd geconfigureerde netwerk hierbij kan verkrijgen van minimale waarde is. bron: https://www.security.nl

Microsoft heeft buiten de maandelijkse patchcyclus om een beveiligingsupdate voor een informatielek in de Snipping Tool van Windows 11 en Snip & Sketch voor Windows 10. Via de kwetsbaarheid is het mogelijk om informatie die in een afbeelding door de gebruiker is verwijderd weer terug te halen. Volgens Microsoft is de impact van de kwetsbaarheid, waardoor gevoelige informatie uit bewerkte screenshots of foto's kan lekken, klein. "Omdat succesvol misbruik ongebruikelijke gebruikersinteractie vereist en verschillende factoren die buiten de controle van de aanvaller liggen", aldus Microsoft. Zo moet een afbeelding waarbij het probleem zich voordoet onder "specifieke omstandigheden" zijn gemaakt. Een gebruiker moet bijvoorbeeld een screenshot maken, deze aanpassen en dan het originele bestand overschrijven met de aangepaste versie. Toch vond Microsoft het nodig om met een noodpatch voor het probleem te komen en niet te wachten op de patchcyclus van april, die op 11 april plaatsvindt. bron: https://www.security.nl

Een deel van de broncode van Twitter was maandenlang voor het publiek beschikbaar op GitHub, zo stelt The New York Times op basis van gerechtelijke documenten. Twitter verstuurde afgelopen vrijdag een bericht naar GitHub dat er sprake was van een copyrightschending en de broncode offline moest. Dat is inmiddels ook door GitHub gedaan. Daarnaast diende het platform van Elon Musk een verzoek bij de rechter in om GitHub te dwingen de persoon die de broncode deelde bekend te maken, alsmede personen die de code hebben gedownload. Twitter is inmiddels ook een onderzoek naar het lekken van de broncode gestart. Het platform vermoedt dat een persoon die vorig jaar bij Twitter vertrok verantwoordelijk is voor het lek, aldus twee bronnen die over het interne onderzoek zijn ingelicht, zo stelt The New York Times. Er zijn zorgen dat de gelekte broncode kan worden gebruikt voor het vinden van kwetsbaarheden in het platform of manieren biedt voor het verzamelen van gebruikersgegevens of aanvallen van de website. bron: https://www.security.nl