Captain Kirk

Begin deze maand lanceerde Google verschillende nieuwe top level domains (TLD's) waaronder .zip. Criminelen maken nu gebruik van .zip-domeinen voor het uitvoeren van phishingaanvallen, zo meldt internetbedrijf Netcraft. Organisaties wordt onder andere geadviseerd om .zip-domeinen op hun netwerk te blokkeren, terwijl Mozilla werd verzocht om het TLD van de "public suffix" lijst te verwijderen. Die bevat een overzicht van bekende top level domains. Beveiligingsexperts waarschuwden dat de .zip-TLD zich uitermate leent voor phishing en andere aanvallen. Inmiddels zijn verschillende van dergelijke aanvallen waargenomen, aldus Netcraft en securitybedrijf Silent Push. Organisaties krijgen van securitybedrijf Arctic Wolf het advies om het .zip-TLD op hun netwerk te blokkeren. Google stelt in een reactie tegenover The Register dat het risico op verwarring tussen domeinnamen en bestandsnamen niet nieuw is en het de ontwikkelingen rond het top level domain in de gaten zal houden. bron: https://www.security.nl

Mozilla heeft een nieuwe API voor het filteren van verkeer voor alle Firefox-extensies beschikbaar gemaakt die volgens de Firefox-ontwikkelaar meer privacy biedt dan de huidige gebruikte application programming interface (API). Adblockers in Firefox maken op dit moment vooral gebruik van de webRequest API voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API voorgesteld genaamd declarativeNetRequest (DNR). Die beperkt de mogelijkheden van adblockers door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Google gaat de webRequest API uitfaseren en vervangen door DNR. Mozilla liet eerder al weten een andere richting te kiezen. De Firefox-ontwikkelaar blijft de webRequest API ondersteunen, alsmede een compatibele versie van DNR. Volgens Mozilla biedt de webRequest API meer flexibiliteit dan DNR, waar adblockers en andere privacy- en security-extensies op creatieve wijze gebruik van kunnen maken. DNR heeft echter ook voordelen, stelt Mozillas Rob Wu. Zo biedt het meer privacy, omdat het netwerk requests naar bijvoorbeeld advertenties of trackers zonder host permissions kan blokkeren en er geen toegang tot de details van de requests meer wordt gegeven. DNR is vanaf Firefox 113 voor alle extensies beschikbaar. Mozilla laat wel aan extensie-ontwikkelaars weten dat de DNR-implementatie binnnen Firefox nog in ontwikkeling is. bron: https://www.security.nl

De afgelopen dagen zijn duizenden WordPress-sites besmet geraakt via een wachtwoordreset-lek in een populaire Elementor-plug-in, zo meldt securitybedrijf Sucuri. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn ook weer allerlei plug-ins beschikbaar, waaronder Essential Addons for Elementor. Deze uitbreiding voorziet Elementor van allerlei nieuwe onderdelen. Meer dan één miljoen WordPress-sites maken er gebruik van. De wachtwoordresetfunctie van de plug-in bevat een kwetsbaarheid. De functie controleert namelijk niet of een door de gebruiker opgegeven key voor het uitvoeren van een wachtwoordreset wel geldig is en wijzigt vervolgens direct het wachtwoord van de opgegeven gebruiker. Een aanvaller kan zo het wachtwoord van de beheerder wijzigen en de website overnemen. Het probleem is aanwezig in versie 5.4.0 tot en met 5.7.1. Vorige week verscheen versie 5.7.2 waarin de kwetsbaarheid is verholpen, maar dit is niet duidelijk vermeld. Wel is duidelijk dat veel WordPress-sites de update niet hebben geïnstalleerd. Sucuri meldt dat het al meer dan zesduizend besmette WordPress-sites heeft gedetecteerd. Vervolgens installeren de aanvallers backdoors en een plug-in die malafide code bevat. Daarmee worden onder andere bezoekers naar andere websites doorgestuurd. Beheerders van websites waarop de plug-in draait worden dan ook opgeroepen om die te updaten mocht dat nog niet zijn gedaan. bron: https://www.security.nl

De ontwikkelaar van wachtwoordmanager KeePass heeft een beveiligingsupdate aangekondigd voor een kwetsbaarheid (CVE-2023-32784) waardoor een aanvaller die toegang tot een systeem heeft het master password, op het eerste karakter na, in plain text uit het geheugen kan halen. Onlangs verscheen er op GitHub een tool genaamd "KeePass 2.X Master Password Dumper" waarmee de aanval is uit te voeren. "Het maakt niet uit waar het geheugen vandaan komt, het kan de process dump, swap file, hibernation file of RAM dump van het gehele systeem zijn. Het maakt niet uit of de workspace vergrendeld is. Het is ook mogelijk om het wachtwoord uit het RAM te halen nadat KeePass niet meer draait, hoewel de kans dat dit werkt afneemt naarmate het programma langer is gesloten", aldus de ontwikkelaar van de dumptool. Wanneer gebruikers het master password invoeren, blijft voor elk getypt karakter een string in het geheugen achter. Eenmaal gecreëerd zijn die lastig te verwijderen, zo stelt de ontwikkelaar. Wanneer bijvoorbeeld "Password" wordt getypt, blijven de strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d achter. De tool zoekt in de geheugendump naar deze patronen en toont voor elke positie in het wachtwoord het waarschijnlijke wachtwoordkarakter. De aanval werkt alleen tegen KeePass versie 2, de eerste versie van de wachtwoordmanager is niet kwetsbaar. Dominik Reichl, de ontwikkelaar van KeePass, heeft echter een oplossing in versie 2.54 verwerkt die begin juni zou moeten verschijnen. Gebruikers van KeePass stellen dat de impact van de kwetsbaarheid beperkt is, aangezien een aanvaller al toegang tot het systeem moet hebben en dan ook allerlei andere aanvallen kan uitvoeren. bron: https://www.security.nl

Verschillende switches van Cisco bevatten kritieke kwetsbaarheden waardoor een ongeauthenticeerde aanvaller de apparaten op afstand volledig kan overnemen. Proof-of-concept exploitcode waarmee er misbruik van de beveiligingslekken kan worden gemaakt is volgens Cisco al op internet te vinden. De in totaal vier kritieke kwetsbaarheden zijn aanwezig in de "Small Business Series Switches" van de netwerkfabrikant en bevinden zich in de webinterface van de apparaten. De webinterface blijkt requests niet goed te valideren. Een aanvaller kan door het versturen van een speciaal geprepareerd request naar de webinterface in het ergste geval willekeurige code als root op de apparaten uitvoeren en zo volledige controle over de switch krijgen. De impact van de vier beveiligingslekken (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 en CVE-2023-20189) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Cisco heeft firmware-updates beschikbaar gesteld om de problemen te verhelpen. bron: https://www.security.nl

Het op privacygerichte besturingssysteem Tails maakt voortaan gebruik van LUKS2 voor het versleutelen van volumes, omdat dit volgens de ontwikkelaars betere bescherming biedt dan LUKS1, wat hiervoor werd gebruikt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. Wanneer Tails wordt uitgeschakeld zal alles wat de gebruiker heeft gedaan verdwijnen. Het is echter mogelijk om sommige bestanden, zoals documenten en bookmarks, en de configuratie, zoals wifi-wachtwoorden, in een versleutelde Persistent Storage op de Tails usb-stick op te slaan. Hiervoor maakt het besturingssysteem gebruik van de Linux Unified Key Setup (LUKS). Met de lancering van Tails 5.13 wordt nu standaard LUKS2 voor alle nieuwe Persistent Storage toegepast. Voor gebruikers van wie de Persistent Storage met LUKS1 is versleuteld zal met het verschijnen van Tails 5.14 begin juni ook een migratieplan beschikbaar komen voor het migreren naar LUKS2. Gebruikers kunnen zowel handmatig als via de automatische updatefunctie naar Tails versie 5.13 updaten. bron: https://www.security.nl

Google heeft een kritieke kwetsbaarheid in Chrome verholpen waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Een gebruiker hoeft hiervoor alleen een gecompromitteerde of besmette website te bezoeken of een geïnfecteerde advertentie te zien krijgen. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel drive-by downloads genoemd. Het komt zelden voor dat Google een kritiek lek in Chrome verhelpt. Dit jaar werd één keer eerder een kritieke kwetsbaarheid in Chrome verholpen. Dat gebeurde eind februari. Het nu verholpen beveiligingsprobleem, aangeduid als CVE-2023-2721, bevindt zich in het "Navigation" onderdeel van de browser. De kwetsbaarheid kan leiden tot een use after free waardoor remote code execution mogelijk is. Het beveiligingslek werd gevonden en gerapporteerd door onderzoeker Guang Gong van securitybedrijf Qihoo 360. Gong ontdekte in het verleden vaker kritieke kwetsbaarheden in Chrome. Welke beloning de onderzoeker voor zijn bugmelding krijgt is nog niet bekend. Google Chrome 113.0.5672.126/.127 is beschikbaar voor Windows, voor Linux en macOS is versie 113.0.5672.126 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Het aantal populaire websites in Frankrijk dat trackingcookies plaatst is de afgelopen jaren gedaald, alsmede het aantal trackingcookies dat nog wel wordt geplaatst, zo stelt de Franse privacytoezichthouder CNIL, dat zich al enige tijd met de aanpak van online tracking bezighoudt. Toch blijkt uit onderzoek dat een meerderheid van de Fransen nog altijd akkoord geeft voor het plaatsen van cookies. CNIL ontwikkelde een tool genaamd CookieViz om het gebruik van trackingcookies op de duizend populairste websites in Frankrijk te monitoren. Daaruit blijkt dat het aantal websites dat zes of meer third-party cookies plaatst daalde van 24 procent in 2021 naar 12 procent in 2022. Verder daalde het aantal websites dat helemaal geen cookies van derden plaatst van 29 procent naar 20 procent. Ook het gemiddeld aantal trackingcookies dat websites plaatsen nam af. Op basis van de cijfers die via CookieViz werden verzameld controleerde de Franse privacytoezichthouder of websites zich wel aan de privacywetgeving houden. Dat bleek niet altijd het geval, want CNIL verstuurde 94 formele waarschuwingen. Daarnaast legde de toezichthouder in totaal 421 miljoen euro aan boetes op aan bedrijven die zonder toestemming cookies plaatsten, bezoekers hier onvoldoende over informeerden of geen optie gaven om cookies te weigeren. CookieViz is nu ook als browserplug-in voor eindgebruikers beschikbaar. bron: https://www.security.nl

Een datalek bij de Amerikaanse saas-aanbieder Brightly Software raakt drie miljoen gebruikers, zo heeft het bedrijf bekendgemaakt. Brightly Software is een dochteronderneming van Siemens en levert "intelligent asset management solutions" voor het beheer van gebouwen en onderhoud. Daarnaast biedt het ook een online cloudplatform voor onderwijsinstellingen genaamd SchoolDude. Dat wordt onder andere gebruikt voor beheer, gebouwautomatisering, inventarismanagement, alarmautomatisering en andere zaken. Onlangs wist een aanvaller toegang tot de gegevens van SchoolDude-gebruikers te krijgen. Het gaat om naam, e-mailadres, accountwachtwoord, telefoonnummer en naam van schooldistrict. Uit een datalekmelding die bij de procureur-genaal van de Amerikaanse staat Maine werd gedaan blijkt dat van in totaal drie miljoen gebruikers de gegevens zijn gestolen. Hoe de aanval kon plaatsvinden laat Brightly Software niet weten. Vanwege het datalek heeft het bedrijf besloten om van alle gebruikers het wachtwoord te resetten. bron: https://www.security.nl

Antivirusbedrijf Doctor Web blokkeert alle licenties die door online webshop AvirKey.com zijn verkocht, zo heeft het bedrijf aangekondigd. Volgens de virusbestrijder maakt de Russische webwinkel gebruik van illegale methodes voor het aanbieden van licenties tegen een gereduceerde prijs. Naast Doctor Web zijn er ook licenties voor de producten van andere antivirusleveranciers te vinden. Welke illegale wijze AvirKey.com toepast laat Doctor Web niet weten. Het antivirusbedrijf merkt op dat de webwinkel geen officiële partner is en roept mensen op om licenties alleen via de officiële webshop of gecertificeerde partners aan te schaffen. Verschillende antivirusbedrijven, waaronder ESET, waarschuwen gebruikers voor licenties die met hoge korting worden aangeboden, aangezien het hier om piraterij kan gaan. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de WordPress Advanced Custom Fields plug-in waardoor cross-site scripting (XSS) mogelijk is en aanvallers gegevens van ingelogde gebruikers kunnen stelen, zoals de beheerder, of code toevoegen die bezoekers naar andere websites doorstuurt. Dat laat internetbedrijf Akamai weten. Advanced Custom Fields is een plug-in voor WordPress die de mogelijkheden van het contentmanagementplatform verder uitbreidt, zodat gebruikers allerlei velden en andere onderdelen kunnen aanpassen. Op 5 mei berichtte securitybedrijf Patchstack dat er een XSS-kwetsbaarheid in de plug-in zit waardoor een ongeauthenticeerde aanvaller "gevoelige informatie" van ingelogde gebruikers zoals de beheerder kan stelen. Daarmee kan een aanvaller vergaande toegang tot de website krijgen. Voorwaarde is wel dat een aanvaller een ingelogde gebruiker van de website een speciaal geprepareerde url op de website laat bezoeken. Het kan dan bijvoorbeeld gaan om een reactie of een andere plek waar het mogelijk is voor een bezoeker om code in te voeren. Patchstack had het probleem op 2 mei aan de ontwikkelaars van de plug-in gemeld, die op 4 mei met een beveiligingsupdate kwamen. Vervolgens kwam Patchstack op 5 mei met een blogposting waarin het de details bekendmaakte en proof-of-concept exploitcode publiceerde. Nog geen 24 uur na het verschijnen van de details en code vonden de eerste aanvallen op kwetsbare websites plaats, aldus Akamai. Daarbij maken de aanvallers gebruik van de proof-of-concept exploit van Patchstack. Hoewel er inmiddels updates voor het probleem zijn verschenen, blijkt uit cijfers van WordPress dat een aanzienlijk aantal websites nog een kwetsbare versie van de plug-in draait. bron: https://www.security.nl

Het populaire chatplatform Discord heeft een onbekend aantal gebruikers gewaarschuwd voor een datalek nadat een aanvaller toegang kreeg tot de supporttickets van een helpdeskmedewerker. Daarbij kunnen e-mailadres, inhoud van het supportticket en eventueel uitgewisselde bijlagen zijn gelekt. Discord geeft in de melding, die via Reddit werd gedeeld, weinig details over het incident. Volgens het platform betrof het een helpdeskmedewerker van een extern bedrijf. Hoe de aanvaller toegang tot de supporttickets van deze medewerker kon krijgen laat Discord niet precies weten. Wel wordt er gesproken over een gecompromitteerd account en dat er op de getroffen computer op malware is gescand. Verder zegt Discord dat het met het niet nader genoemde externe helpdeskbedrijf samenwerkt om soortgelijke incidenten in de toekomst te voorkomen. bron: https://www.security.nl

Googles online virusscandienst VirusTotal geeft bij meer scripttalen een leesbare malware-samenvatting, die door een generatieve AI is gegenereerd. Vorige maand introduceerde VirusTotal een nieuwe feature genaamd "VirusTotal Code Insight", die analisten en professionals meer inzicht moet geven in wat het betreffende malware-exemplaar precies doet. Hiervoor wordt gebruikgemaakt van generatieve AI, een type van kunstmatige intelligentie dat op basis van invoer onder andere tekst of afbeeldingen kan genereren. Een bekend voorbeeld van generatieve AI is ChatGPT. Via VirusTotal is het mogelijk om verdachte bestanden door tientallen virusscanners te laten scannen. Naast een overzicht van wat antivirusprogramma's van het bestand vinden, geeft VirusTotal ook allerlei andere informatie weer. Door middel van "Code Insight" is er voortaan ook een leesbare samenvatting van wat de malware precies doet. In eerste instantie werd dit alleen gedaan bij PowerShell-bestanden, maar dat is inmiddels uitgebreid naar meer scripttalen, waaronder Shell scripts (SH) en VBScript (VBS). Verder is het nu ook mogelijk om bij grotere bestanden een leesbare samenvatting te krijgen en is de gebruikersinterface aangepast, waarbij alleen de eerste regels van het rapport worden getoond. VirusTotal stelt dat Code Insight niet ontwikkeld is om menselijke analisten te vervangen, maar als hulp moet worden gezien. Voor de toekomst is het de bedoeling dat Code Insight meer bestandstypen en grotere bestanden gaat ondersteunen, alsmede binary en executable bestanden kan analyseren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in een populaire plug-in voor WordPress maakt het mogelijk voor een ongeauthenticeerde aanvaller om websites over te nemen. De enige vereiste is dat de aanvaller de gebruikersnaam weet van het account dat hij wil kapen, zo meldt securitybedrijf Patchstack. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn ook weer allerlei plug-ins beschikbaar, waaronder Essential Addons for Elementor. Deze uitbreiding voorziet Elementor van allerlei nieuwe onderdelen. Meer dan één miljoen WordPress-sites maken er gebruik van. De wachtwoordresetfunctie van de plug-in bevat een kwetsbaarheid. De functie controleert namelijk niet of een door de gebruiker opgegeven key voor het uitvoeren van een wachtwoordreset wel geldig is en wijzigt vervolgens direct het wachtwoord van de opgegeven gebruiker. Een aanvaller kan zo het wachtwoord van de beheerder wijzigen en de website overnemen. Het probleem is aanwezig in versie 5.4.0 tot en met 5.7.1. Gisteren verscheen versie 5.7.2 waarin de kwetsbaarheid is verholpen, maar dit is niet duidelijk vermeld. Er staat in de beschrijving alleen "Improved: EA Login/Register Form for Security Enhancement" en "Few minor bug fixes & improvements." Hoeveel websites met Essential Addons for Elementor kwetsbaar zijn is onbekend, aangezien het probleem alleen bij bepaalde versies speelt. Wel hebben gisteren 358.000 sites de update ontvangen. bron: https://www.security.nl

De makers van Brave hebben twee nieuwe privacyfeatures aan de browser toegevoegd die bounce tracking en first-party heridentificatie moeten tegengaan. De eerste feature, "Forgetful Browsing" genaamd, zal wanneer gebruikers een website sluiten alle cookies en andere opgeslagen data van de betreffende site verwijderen. Dit moet first-party heridentificatie tegengaan. Volgens Brave hebben de privacyproblemen op het web een gezamenlijke hoofdoorzaak, namelijk dat browsers sites toestaan om gebruikers oneindig te heridentificeren. Voor gebruikers is het echter bij slechts een klein deel van de sites handig om opnieuw te worden geïdentificeerd. Door heridentificatie kunnen websites zien dat dezelfde gebruiker hen bezoekt, ook al is die tussen de bezoeken uitgelogd. Dit komt volgens Brave doordat niet alle first-party storage wordt verwijderd en browsers geen goede bescherming hebben tegen websites die opzettelijk gebruikers tussen het inloggen opnieuw proberen te identificeren. Er zijn wel opties, zoals private browsing en het verwijderen van alle opgeslagen browsingdata, maar die werken onvoldoende of zijn ongeschikt, claimt Brave. Zo kunnen gebruikers wel alle browsingdata verwijderen, maar dit biedt geen oplossing voor mensen die hun browser langere tijd open hebben, aldus de browserontwikkelaar. Forgetful Browsing voorkomt heridentificatie zonder dat de browser moet worden gesloten. Alleen het sluiten van de site is voldoende, staat in de uitleg. De browser zal dan alle opgeslagen data, zoals cookies, localStorage (indexedDB) en zaken als HTTP- en DNS-cache verwijderen. Unlinkable bouncing De tweede nieuwe privacyfeature is Unlinkable bouncing en moet bescherming tegen bounce tracking bieden. Bounce tracking is een trackingmethode waarbij een gebruiker op een link klinkt en vervolgens via een trackingpagina bij de uiteindelijke bestemming komt. Een gebruiker zit op de website rabbits.example en klikt op een link naar turtles.example. De tracker wijzigt op het laatste moment de link naar tracker.example. De trackingsite stuurt de gebruiker vervolgens door naar turtles.example, maar weet wel dat de gebruiker interesse in konijnen en schildpadden heeft. Wanneer tracker.example zichzelf maar vaak genoeg bij het browsen van de gebruiker weet te injecteren, kan er een uitgebreid profiel van hem worden gemaakt. Brave had al verschillende beveiligingsmaatregelen tegen bounce tracking toegevoegd. Unlinkable bouncing zorgt ervoor dat de geïnjecteerde tracker nog steeds ziet dat er iemand van rabbits.example naar turtles.example gaat, maar niet weet dat het dezelfde persoon is die de website gisteren ook bezocht. Brave controleert hiervoor alle nieuw geopende links en kijkt of die bekendstaan om bounce tracking. Is dat het geval, dan maakt de browser een nieuwe tijdelijke browser storage voor de bestemming aan. Zodra de gebruiker de trackingpagina verlaat wordt de tijdelijke storage verwijderd en moet heridentificatie worden voorkomen als de gebruiker de volgende keer via de trackingpagina op een website terechtkomt. bron: https://www.security.nl

Microsoft zal de beveiligingsupdate voor een actief aangevallen zerodaylek in Secure Boot die het gisterenavond uitbracht in het eerste kwartaal van volgend jaar op alle Windowssystemen inschakelen. Op dit moment moeten gebruikers en beheerders dit zelf doen. Het beveiligingslek (CVE-2023-24932) maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om Secure Boot te omzeilen. De BlackLotus-bootkit blijkt misbruik van deze kwetsbaarheid te maken om eigen code op UEFI-niveau uit te voeren, terwijl Secure Boot is ingeschakeld. De beveiligingsmaatregel zou dit juist moeten voorkomen. Microsoft kwam gisteren met een patch, maar die staat standaard uitgeschakeld en gebruikers zijn zodoende niet beschermd. Gebruikers die beschermd willen zijn moeten zelf verschillende acties uitvoeren. Op 11 juli van dit jaar kom Microsoft met een tweede release van de update die aanvullende opties biedt, die het inschakelen van de bescherming eenvoudiger zouden moeten maken. Op een nog nader te bepalen datum in het eerste kwartaal van 2024 wordt de beveiligingsupdate op alle Windowssystemen ingeschakeld, hoewel Microsoft zegt naar een eerdere uitrol te kijken. Het techbedrijf claimt deze gefaseerde aanpak te hanteren om te voorkomen dat systemen straks niet meer kunnen opstarten. Secure Boot bepaalt welk bootmedia mag worden geladen bij het initialiseren van het besturingssysteem. Als de beveiligingsupdate niet op de juiste manier wordt ingeschakeld is er een kans dat het systeem niet meer opstart. Als onderdeel van de oplossing voor de Secure Boot bypass (CVE-2023-24932) trekt Microsoft namelijk verschillende bootmanagers in. Dit heeft verschillende gevolgen. Zo zijn back-ups van Windows die voor de installatie van de beveiligingsupdates van 9 mei zijn gemaakt niet direct te gebruiken voor het herstellen van een Windows-installatie nadat de revocations op de betreffende computer zijn ingeschakeld. Gebruikers moeten dan ook hun bootable media en volledige back-ups van Windows updaten. Nadat de revocations zijn toegepast zal bootable media die niet is geüpdatet niet meer goed werken. bron: https://www.security.nl

Twitter zou vanaf morgen over end-to-end versleutelde privéberichten moeten beschikken, zo heeft eigenaar Elon Musk aangekondigd. Op dit moment past Twitter geen end-to-end encryptie toe voor de privéberichten van gebruikers, waardoor derden die zouden kunnen lezen. Eerder stelde de Amerikaanse burgerrechtenbeweging EFF dat Twitter de privéberichten die gebruikers onderling versturen end-to-end zou moeten versleutelen. "Het versleutelen van privéberichten zou veel doen voor het verbeteren van de veiligheid van gebruikers, en kan de redelijke angst wegnemen dat wie bij Twitter werkt, in de raad van bestuur zit of aandelen bezit, de berichten van gebruikers kan bespioneren", aldus de EFF. "Wanneer gebruikers meer controle hebben, maakt het minder uit wie eraan het hoofd staat, en dat is goed voor iedereen." Vorig jaar mei liet Musk weten dat privéberichten die via Twitter worden verstuurd, net zoals bij Signal, end-to-end versleuteld zouden moeten zijn. Vandaag meldt Musk dat end-to-end versleutelde direct messages vanaf morgen op Twitter beschikbaar zouden moeten zijn. "Zelfs met een pistool tegen mijn hoofd zou ik je privéberichten niet kunnen zien." bron: https://www.security.nl

De FBI heeft met toestemming van een Amerikaanse rechter de beruchte Snake-malware via een commando op afstand op de besmette systemen van slachtoffers uitgeschakeld. De Snake-malware is volgens de Amerikaanse opsporingsdienst al twee decennia lang door de Russische inlichtingendienst voor spionage en het stelen van vertrouwelijke documenten in meer dan vijftig landen ingezet. De Amerikaanse autoriteiten noemen Snake zelfs de meest geraffineerde spionagemalware van de Russische inlichtingendienst FSB. Eenmaal actief op een systeem probeert Snake zo min mogelijk op te vallen, terwijl het de operators in staat stelt om naar allerlei gevoelige informatie te zoeken. De communicatie van en naar besmette systemen is versleuteld. De FSB gebruikte echter te korte encryptiesleutels voor de versleutelde communicatie, waardoor de FBI die kon kraken en lezen. Daarnaast bleek dat de operators bij hun aanvallen de Snake binary achterlieten. Daardoor konden onderzoekers allerlei functienamen, cleartext strings en opmerkingen van ontwikkelaars vinden. Zo bleek dat de Snake-operators verschillende commando's gebruikten waarmee ze de Snake-malware allerlei opdrachten gaven, onder andere om de malware te stoppen. FBI ontwikkelde vervolgens een tool om met de malware te communiceren waardoor het een commando naar met Snake besmette systemen kon sturen waardoor de malware de eigen onderdelen overschreef en zo werd uitgeschakeld. Dit gebeurde alleen op systemen die in Verenigde Staten werden gelokaliseerd en waarvoor de opsporingsdienst een gerechtelijk bevel kreeg. Als onderdeel van het bevel moest de FBI slachtoffers na de operatie informeren. Slachtoffers zijn daarmee niet klaar, aldus de Amerikaanse autoriteiten. De Snake-malware mag dan zijn verwijderd, dat geldt niet voor andere malware die via Snake op systemen is geïnstalleerd. En ook eventuele kwetsbaarheden waarmee de malware is geïnstalleerd zijn nog steeds aanwezig. Daarnaast werd er via de Snake-malware vaak een keylogger geïnstalleerd om inloggegevens te stelen. Slachtoffers moeten dan ook hun wachtwoorden wijzigen. De autoriteiten hebben een uitgebreid document gepubliceerd met details over de werking van de Snake-malware en hoe die is te vinden, verwijderen en voorkomen. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die meerdere kwetsbaarheden verhelpt, maar er ook voor zorgt dat de ingebouwde wachtwoordgenerator voortaan speciale tekens gebruikt bij het genereren van wachtwoorden. Dit moet volgens Mozilla voor veiligere wachtwoorden zorgen. Firefox biedt gebruikers de mogelijkheid om automatisch wachtwoorden voor accounts op websites te genereren, die vervolgens in de Password Manager van de browser zijn op te slaan. Voorheen maakte de wachtwoordgenerator geen gebruik van speciale tekens bij het genereren van wachtwoorden. Dat is met de lancering van Firefox 113 veranderd, zo laat Mozilla weten. Verder zijn er met deze versie twaalf kwetsbaarheden verholpen waardoor onder andere denial of service, spoofing en vermoedelijk ook het uitvoeren van willekeurige code mogelijk is, waarbij alleen het bezoeken van een malafide of gecompromitteerde website volstaat. Updaten naar Firefox 113 kan via de automatisch updatefunctie of Mozilla.org. bron: https://www.security.nl

Tijdens de patchdinsdag van mei heeft Microsoft 38 kwetsbaarheden verholpen, waaronder twee actief aangevallen zerodaylekken. Het gaat om beveiligingslekken in de Windows-kernel en Secure Boot. De kwetsbaarheid in de kernel maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om zijn rechten te verhogen en code met systeemrechten uit te voeren. Daardoor is het mogelijk om volledige controle over het systeem te krijgen. Het beveiligingslek, aangeduid als CVE-2023-29336, is op zichzelf niet voldoende om een systeem op afstand over te nemen en zou met een andere kwetsbaarheid of malware op het systeem moeten worden gecombineerd. Microsoft geeft geen verdere details over de aanvallen. De zeroday was gevonden en gerapporteerd door antivirusbedrijf Avast. Ook het tweede zerodaylek, in de Secure Boot-beveiligingsfeature, was gevonden door een antivirusbedrijf. Dit beveiligingslek, aangeduid als CVE-2023-24932, maakt het mogelijk om Secure Boot te omzeilen en wordt gebruikt door de BlackLotus-bootkit, zo ontdekten onderzoekers van virusbestrijder ESET en SentinelOne. Om dit beveiligingslek te kunnen misbruiken moet een aanvaller fysieke toegang tot de computer of hierop adminrechten hebben. De Secure Boot-kwetsbaarheid raakt fysieke systemen en sommige virtual machines en cloudgebaseerde apparaten, alsmede Linux. Microsoft heeft met Linux-distributies samengewerkt zodat die ook een update beschikbaar kunnen stellen. Daarnaast wordt de update niet automatisch ingeschakeld, aldus Microsoft. Gebruikers moeten dit zelf doen. Vanwege de aanpassingen voor de kwetsbaarheid moeten verschillende revocations worden toegepast, omdat computer anders niet door middel van recovery of installatiemedia zijn op te starten, tenzij deze media met de beveiligingsupdate voor het Secure Boot-lek zijn geüpdatet. Het gaat dan ook om opstartbare media zoals usb-sticks, externe schijven, network boot recovery en restore images. De update moet dan ook eerst worden toegepast en daarna pas de revocations, aldus de uitleg van Microsoft. De overige beveiligingsupdates worden deze maand wel automatisch geïnstalleerd en ingeschakeld. bron: https://www.security.nl

De Amerikaanse overheid heeft dertien domeinnamen van ddos-diensten in beslag genomen. Tien van deze domeinnamen waren van ddos-diensten waarvan een eerdere domeinnaam vorig jaar december al in handen van de Amerikaanse autoriteiten kwam. Via ddos-diensten zijn tegen betaling ddos-aanvallen op websites uit te voeren. Zo zouden onder andere websites van onderwijsinstellingen, overheidsinstanties en gamingplatforms en systemen van eindgebruikers zijn aangevallen. Afgelopen december besloten internationale politiediensten, waaronder de FBI en Nederlandse politie, 48 domeinnamen van ddos-diensten offline te halen. Het zou gaan om de "grootste DDoS-for-hire websites" ter wereld. Al gauw werd bekend dat de ddos-diensten in kwestie via nieuwe domeinnamen weer online waren gekomen. Zo ging cyberstress.us, dat in december in beslag werd genomen, verder via cyberstress.org. Ook deze domeinnaam is nu offline. Verder melden de Amerikaanse autoriteiten dat vier personen die vorig jaar op verdenking van het aanbieden van ddos-diensten werden aangehouden schuld hebben bekend en deze zomer hun strafmaat krijgen te horen. Naar aanleiding van de operatie tegen de ddos-sites kwam de Nederlandse politie met een advertentiecampagne, die mensen die op ddos en gerelateerde termen zoeken waarschuwt voor de risico's van het gebruik van dergelijke diensten. bron: https://www.security.nl

Microsoft gaat deze maand beginnen met het waarschuwen van beheerders van Exchange 2007-servers dat die straks geen e-mails meer naar Exchange Online kunnen sturen, omdat die dan worden geblokkeerd. Volgens het techbedrijf wordt de maatregel genomen om het "Exchange-ecosysteem" te beschermen en is het geen manier om klanten naar de cloud te krijgen. Na Exchange Server 2007 zullen ook andere versies van de mailserversoftware volgen. Zodra een kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het "throttelen" van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen. Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Later deze maand zal de "eerste golf" van beheerders van mailservers waarop Exchange Server 2007 draait een "report" van Microsoft ontvangen met de waarschuwing dat ze naar een up-to-date versie van Exchange moeten migreren, of anders geen mail meer naar Exchange Online kunnen sturen. Microsoft zegt dat het klanten op deze manier niet naar de cloud wil dwingen, maar bij de uitleg stelt het techbedrijf dat het als eerste met Exchange Server 2007 begint, aangezien dit de oudste Exchange-versie is waarbij er naar Exchange Online kan worden gemigreerd en deze servers volgens Microsoft worden beheerd door klanten die het kent. bron: https://www.security.nl

Intel doet onderzoek naar de diefstal van Intel BootGuard private keys bij MSI, zo heeft het in een reactie op eerdere berichtgeving laten weten. Daarnaast is een bij MSI buitgemaakte Intel OEM platform key op apparaten van HP, Lenovo en andere fabrikanten aangetroffen, aldus de onderzoekers van securitybedrijf Binarly, die als eerste over het lek berichtten. MSI zelf heeft nog altijd geen verdere reactie gegeven. MSI liet vorige maand weten dat het slachtoffer van een aanval was geworden en adviseerde gebruikers om alleen firmware- en bios-updates van de officiële website te downloaden. Nu blijkt dat bij de aanval private keys voor het signeren van MSI-firmware en Intel BootGuard private keys zijn gestolen. De aanvallers eisten vier miljoen dollar losgeld, anders zouden ze de data openbaar maken. MSI heeft niet bekendgemaakt of er wel of niet is betaald. Wel is een deel van de gestolen data nu online verschenen. Intel BootGuard zorgt ervoor dat er alleen geverifieerde programma's voor het opstarten van het besturingssysteem worden geladen. Met de keys kunnen aanvallers hun kwaadaardige firmware en code signeren en zo het beveiligingssysteem en andere controles omzeilen. Intel stelt dat het met de berichtgeving bekend is en onderzoek doet. Daarbij voegt de chipfabrikant toe dat Intel BootGuard OEM keys door de betreffende computerfabrikant zelf worden gegenereerd en geen Intel signing keys zijn. Ondertussen laat securitybedrijf Binarly weten dat één van de gelekte keys de Intel OEM platform key is die te maken heeft met een onderdeel genaamd "Intel Orange" of "OEM Unlocked", waarmee het mogelijk is aanvullende debug-mogelijkheden in te schakelen. Binarly zegt later met meer informatie te komen. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) houdt de situatie rond het lekken van de private keys van Intel BootGuard in de gaten, zo heeft het zelf bekendgemaakt. De overheidsinstantie zegt over informatie te beschikken dat het lekken van de keys niet alleen impact heeft op de producten van MSI, maar ook diverse andere hard- en softwareleveranciers. "Het ligt daarom in de lijn der verwachting dat er de komende dagen nog meer kwetsbare producten gevonden zullen worden." Intel BootGuard moet de vertrouwelijkheid en integriteit van het opstartproces van een systeem waarborgen door alleen geverifieerde programma's voor het opstarten van het besturingssysteem te laden. "Een kwaadwillende kan een gelekte private key gebruiken om malafide firmware-, BIOS- en software-updates te ondertekenen en zo beveiligingsmaatregelen omzeilen. Hiervoor dient een gebruiker met toegang tot het systeem de malafide update te installeren", aldus het NCSC. Een aanvaller zou dan ook eerst het systeem moeten compromitteren om vervolgens de malafide firmware-update uit te voeren. De overheidsinstantie zegt op dit moment niet met misbruik bekend te zijn, maar houdt de situatie naar eigen zeggen nauwlettend in de gaten. MSI meldde vorige maand dat het slachtoffer van een aanval was geworden en adviseerde gebruikers om alleen firmware- en bios-updates van de officiële website te downloaden. Criminelen achter de Money Message-ransomware claimden verantwoordelijkheid voor de aanval en eisten vier miljoen dollar losgeld. Of MSI op de eisen van de aanvaller is ingegaan, is onbekend. Wel zijn de keys inmiddels gepubliceerd, zo liet securitybedrijf Binarly vorige week weten. bron: https://www.security.nl

Uit nieuwsgierigheid ben ik ook eens even voor je op onderzoek gegaan. Ik heb zelf geen DJ-drone. Dus heb nu wat ik heb ontdekt puur van het internet. Je probleem kom je best veel tegen met diverse oplossingen. De oorzaak zou liggen in de DNS van je ISP. De ISP zou bepaalde sites filteren of tegenhouden vanwege bepaalde rechten(?). Er worden oplossingen gegeven van het inderdaad anders instellen van je DNS naar de Google-settings. Maar in jouw situatie zou ik mij daar niet aan wagen. Er worden ook nog over een tweetal andere oplossingen gesproken. Eén melder heeft het probleem kunnen oplossen door de DS=NS een update te geven. De tweede, die je meer tegen komt, spreekt van mensen die van hun telefoon een hotspot hebben gemaakt en zo wel de update van de DJM en RC hebben kunnen uitvoeren. Dit laatste zou ik zelf als eerste eens proberen.