Captain Kirk

Een kritieke kwetsbaarheid in Microsoft Outlook waardoor aanvallers de wachtwoordhash van gebruikers kunnen stelen zonder ook maar enige interactie van slachtoffers is zeker sinds april 2022 misbruikt, zo laat Microsoft weten. Het techbedrijf kwam op 14 maart van dit jaar met een beveiligingsupdate voor het zerodaylek. De aanvallen laten volgens het techbedrijf weinig sporen achter. Daarom heeft het vanavond meer informatie gegeven waarmee organisaties kunnen controleren of ze slachtoffer zijn geworden. Het beveiligingslek, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. De kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het gaat hier om een "Elevation of Privilege" kwetsbaarheid. Dergelijke beveiligingslekken worden meestal niet als kritiek bestempeld, maar dit is bij CVE-2023-23397 wel het geval. Door het versturen van een malafide e-mail kan de aanvaller het slachtoffer op zijn server laten inloggen, waarbij diens Net-NTLMv2-hash wordt verstuurd. De aanvaller kan vervolgens deze hash gebruiken om zich bij andere diensten als het slachtoffer te authenticeren. De aanval vereist geen enkele interactie van het slachtoffer. Alleen het hebben gestart van Outlook is voldoende. Daarbij maakt het niet uit of het slachtoffer bijvoorbeeld het laden van remote images heeft uitgeschakeld. Volgens Microsoft laat misbruik van CVE-2023-23397 weinig forensische sporen achter die bij traditionele "endpoint forensic analysis" zijn te vinden. Om organisaties te helpen hoe ze misbruik van het beveiligingslek in het verleden en heden is het techbedrijf met meer informatie gekomen. Verder wordt organisaties aangeraden om Outlook te updaten en uitgaand verkeer naar tcp-poort 445/SMB te blokkeren. Dit moet voorkomen dat bij misbruik van het Outlook-lek de inlogpoging van het slachtoffer naar de server van de aanvaller wordt verstuurd. bron: https://www.security.nl

Ontwikkelaarsplatform GitHub heeft de eigen private ssh-key geroteerd nadat het die per ongeluk via GitHub.com openbaar maakte. Dit moet voorkomen dat een aanvaller zich als GitHub kan voordoen of Git-operaties via ssh kan afluisteren, zo laat het populaire ontwikkelaarsplatform in een blogposting weten. Deze week ontdekte GitHub dat de RSA SSH private key voor GitHub.com tijdelijk via een publieke GitHub- repository toegankelijk was. Hierop werd een onderzoek ingesteld. Volgens GitHub is het lekken van de sleutel veroorzaakt door het onbedoeld publiceren van private informatie. Verdere details zijn niet gegeven, behalve dat er volgens GitHub geen aanwijzingen zijn dat er misbruik van de key is gemaakt. Toch is uit voorzorg besloten de key, die wordt gebruikt voor het beveiligen van Git-operaties op GitHub.com, te roteren. De key geeft geen toegang tot de infrastructuur van GitHub, dat door tal van softwareontwikkelaars en organisaties wordt gebruikt voor het ontwikkelen van software, of gegevens van klanten. "De aanpassing raakt alleen Git-operaties over ssh waarbij van RSA gebruik wordt gemaakt", aldus een verklaring. Vanwege de vervangen key kunnen gebruikers die via ssh verbinding met GitHub.com maken een melding te zien krijgen. In dit geval moeten ze de oude key vervangen en de nieuwe key toevoegen. bron: https://www.security.nl

Exchange Online gaat e-mails van permanent kwetsbare Exchange-servers blokkeren, zo heeft Microsoft aangekondigd. Dit moet beheerders aansporen om naar een wel ondersteunde Exchange-versie te migreren. In eerste instantie wordt er begonnen met e-mails die vanaf mailservers met Exchange Server 2007 worden verstuurd, maar later gaat dit ook gelden voor Exchange 2010 en Exchange 2013. Microsoft wil naar eigen zeggen op deze manier het handhavingssysteem testen en aanpassen. Zodra een permanent kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het "throttelen" van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen. Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Microsoft stelt dat het de maatregel niet invoert om klanten naar de cloud te krijgen, maar die te waarschuwen voor de risico's van het draaien van een niet meer ondersteunde Exchange-server. bron: https://www.security.nl

Duizenden webwinkels zijn door een kritieke kwetsbaarheid in WooCommerce Payments over te nemen. De ontwikkelaar heeft inmiddels een beveiligingsupdate uitgebracht, die bij webshops gehost via WordPress.com automatisch wordt geïnstalleerd. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder WooCommerce Payments. Deze plug-in maakt het mogelijk om verschillende soorten betalingen in webwinkels te faciliteren. Meer dan vijfhonderdduizend webshops maken er gebruik van. Een kritieke kwetsbaarheid in versie 5.6.1 en eerder maakt het mogelijk voor een ongeauthenticeerde aanvaller om volledige toegang tot het beheerdersaccount te krijgen en zo de website over te nemen. Dat meldt securitybedrijf Wordfence. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Gisteren verscheen versie 5.6.2 waarin het probleem is verholpen. In de beschrijving wordt alleen gesproken over "security update". Ook Wordfence wil vanwege de impact nog geen details geven. Uit de versiecijfers van WooCommerce Payments blijkt echter dat een groot aantal webshops een kwetsbare versie draait. Beheerders wordt dan ook met klem aangeraden naar de nieuwste versie te updaten. Update De update wordt op alle websites die WooCommerce Payments 4.8.0 tot en met 5.6.1 draaien en op WordPress.com worden gehost automatisch geïnstalleerd, zo meldt de ontwikkelaar. Voor websites die ergens anders worden gehost moet de betreffende beheerder de patch installeren. bron: https://www.security.nl

Microsoft heeft een oplossing ontwikkeld voor het probleem waardoor gevoelige informatie kan lekken via PNG-screenshots die door de snipping tool van Windows 11 zijn verkleind of bewerkt. Dat meldt onderzoeker David Buchanan die eerder deze week het bestaan van het probleem in de snipping tool via Twitter bekendmaakte. Wanneer gebruikers een screenshot bewerken en informatie wegknippen of de afbeelding verkleinen is dat gedeelte niet meer zichtbaar, maar blijft de door de snipping tool weggeknipte informatie in het bestand staan als dat vervolgens wordt opgeslagen en daarmee het origineel overschrijft. Deze informatie is daardoor te herstellen, waardoor het weggeknipte gedeelte weer zichtbaar kan worden gemaakt. Dat blijkt ook uit het feit dat een bewerkt of verkleind screenshot dezelfde grootte heeft als het origineel. Microsoft heeft nu een nieuwe versie van de snipping tool voor testers uitgebracht waarin weggeknipte informatie echt weg is. Het gaat om versie 1.2302.20.0 die via het canary channel verkrijgbaar is. Wanneer de oplossing voor standaardgebruikers beschikbaar komt is nog niet bekend. Microsoft heeft zelf nog geen verdere details over het probleem gegeven. bron: https://www.security.nl

Onderzoekers hebben tijdens de jaarlijks Pwn2Own-wedstrijd verschillende zerodaylekken in Microsoft SharePoint en een Tesla Model 3 gedemonstreerd. Ook macOS, Adobe Reader, Oracle VirtualBox, Ubuntu Desktop en Windows 11 moesten eraan geloven. Details over de getoonde kwetsbaarheden zijn nog niet openbaar. De betreffende leveranciers zijn ingelicht zodat ze beveiligingsupdates kunnen ontwikkelen. Pwn2Own is een jaarlijks terugkerende wedstrijd waarbij onderzoekers worden beloond voor het laten zien van onbekende kwetsbaarheden in veelgebruikte software. Dit jaar zijn er weer verschillende categorieën, namelijk virtualisatiesoftware, webbrowsers, zakelijke applicaties (Adobe Reader en Office 365), serversoftware, zakelijke communicatiesoftware (Zoom en Teams) en de Tesla Model 3 en Model S. De hoogste beloning is weggelegd voor onderzoekers die de Tesla op afstand weten te compromitteren. Het gaat dan om een aanval die begint via bluetooth, wifi, tuner of modem en via het infotainmentsysteem de autopiloot of VCSEC (Vehicle Controller Secondary) gateway kan compromitteren. Onderzoekers van Synacktiv wisten de gateway van de Tesla via ethernet te compromitteren, wat hen een beloning van 100.000 dollar en de Tesla opleverde. Voor het op afstand compromitteren van de gehele Tesla is een beloning van 600.000 dollar uitgeloofd. Onderzoekers van STAR Labs verdienden ook 100.000 dollar, alleen dan met een aanval op Microsoft SharePoint. Via de getoonde exploit is remote code execution mogelijk en kan een aanvaller kwetsbare SharePoint-servers op afstand overnemen. Vandaag vindt de tweede dag van het evenement plaats, waarbij wederom wordt geprobeerd een subsysteem van een Tesla te compromitteren. Vrijdag is de laatste dag van Pwn2Own. bron: https://www.security.nl

De Duitse en Zuid-Koreaanse inlichtingendiensten hebben een gezamenlijke waarschuwing gegeven voor malafide Google Chrome-extensies die bij spionageaanvallen worden ingezet. De aanvallers sturen slachtoffers e-mails waarin ze worden gevraagd een Chrome-extensie te installeren. Het gaat hier echter om een malafide extensie die de inhoud van het Gmail-account steelt zodra het slachtoffer hierop inlogt. Op deze manier wordt een eventueel aanwezige tweefactorauthenticatie omzeild. Daarnaast maken de aanvallers ook misbruik van malafide Android-apps die zonder mede weten op de telefoon van slachtoffers wordt geïnstalleerd. Ook deze aanval begint met een phishingmail waarmee de aanvaller de inloggegevens van het Google-account van het slachtoffer probeert te stelen. De aanvaller heeft inmiddels ook een malafide app naar de Google Play Console geüpload. Dit is een appstore voor apps die in ontwikkeling zijn en intern getest moeten worden. De aanvallers registreert het account van het slachtoffer als testdeelnemer. Vervolgens logt de aanvaller in op het Google-account van het slachtoffer en verzoekt de installatie van de malafide app. Die wordt vervolgens via de synchronisatiefeature van de Google Play Store automatisch en zonder interactie van de gebruiker geïnstalleerd. Volgens de Duitse en Zuid-Koreaanse inlichtingendiensten zijn de aanvallen gericht op experts met kennis over Noord-Koreaanse zaken. Aangezien de aanvallen plaatsvinden via e-mail adviseren de diensten gebruikers om op te letten op berichten die ze ontvangen (pdf). bron: https://www.security.nl

De snipping tool in Windows 11 en de Snip & Sketch tool in Windows 10, in het Nederlands bekend als het knipprogramma, kunnen gevoelige informatie lekken die gebruikers uit screenshots hebben weggeknipt. Eerder werd een dergelijk probleem bij de Markup-tool van Google Pixel-telefoons aangetroffen. Google kwam deze maand met een beveiligingsupdate (CVE-2023-21036) voor Pixel-telefoons. Nu blijkt het probleem ook aanwezig te zijn in twee tools van Windows 10 en 11, zo melden beveiligingsonderzoekers David Buchanan en Chris Blume op Twitter. Wanneer gebruikers een screenshot bewerken en informatie wegknippen of de afbeelding verkleinen is dat gedeelte niet meer zichtbaar, maar blijft de weggeknipte informatie in het bestand staan als dat vervolgens wordt opgeslagen en daarmee het origineel overschrijft. Deze informatie is daardoor te herstellen, waardoor het weggeknipte gedeelte weer zichtbaar kan worden gemaakt. Iets wat ook zichtbaar is via de bestandseigenschappen, aangezien het aangepaste bestand even groot is als het onbewerkte bestand, meldt onderzoeker Will Dormann. Het probleem doet zich alleen voor bij png-bestanden. Microsoft heeft aangegeven op de hoogte van het probleem te zijn en zal volgens een woordvoerder indien nodig maatregelen nemen. bron: https://www.security.nl

De meeste zerodaylekken die vorig jaar werden gevonden bevonden zich in de software van Apple, Google en Microsoft, zo stelt securitybedrijf Mandiant. Het aantal zerodays in 2022 lag echter lager dan in 2021. Security.NL kwam eind vorig jaar al met een zelfde analyse over de zerodaylekken die dat jaar waren gebruikt bij aanvallen. In totaal telde Mandiant 55 zerodays vorig jaar, waarvan achttien in de software van Microsoft, tien in de software van Google en negen in de software van Apple. Besturingssystemen en browsers waren bij elkaar goed voor dertig van de zerodaylekken. Het gaat hier om kwetsbaarheden waar aanvallers actief misbruik van maken voordat de leverancier een beveiligingsupdate beschikbaar heeft gemaakt. Voor zover mogelijk stelt Mandiant dat de meeste zerodaylekken bij spionageaanvallen werden ingezet. Vier van de kwetsbaarheden hadden voor zover bekend een financieel motief. Naast statelijke actoren die voor de spionageaanvallen verantwoordelijk worden gehouden waren er ook verschillende bedrijven die zerodaylekken te koop aanbieden of producten die hiervan gebruikmaken. Wat betreft de keuze voor Apple, Google en Microsoft laat Mandiant weten dat aanvallers zich vooral op veelgebruikte producten richten omdat een zerodaylek in deze gevallen de meeste toegang oplevert. Aan de andere kant waren ook verschillende nicheproducten doelwit, wat volgens het securitybedrijf aantoont dat aanvallers zich ook richten op de systemen of software waar een specifiek doelwit gebruik van maakt. bron: https://www.security.nl

Ik zie dat je de camera ook met een app op je telefoon kunt bedienen. Misschien zit hier een functie verstopt zodat je het videoformat kunt aanpassen. Verder zie ik ook dat de camera in hoge resolutie opneemt. Ik weet met mijn GoPro dat in de hoogte stand ik de beelden in mijn videobewerkingsprogramma ook niet kan openen. wel als ik in iets lagere resolutie film. De iets lagere resolutie is voor de opnamen nog steeds prima. (zie linkje in mijn handtekening)

De EU-Raad wil dat Internet of Things (IoT) apparaten standaard automatisch beveiligingsupdates ontvangen. Daarnaast moeten producten met digitale elementen langer dan vijf jaar met patches worden ondersteund. Dat blijkt uit een nieuwe tekst van de Europese Cyber Resilience Act (CRA), zo stelt Euractiv. De Europese Commissie presenteerde afgelopen september de CRA, die voor veiligere hardware en software moet zorgen. Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates. Oorspronkelijk werd hiervoor een maximale termijn van vijf jaar gehanteerd, maar in de nieuwe tekst is die termijn nu komen te vervallen. Verder is er in de nieuw tekst opgenomen dat IoT-apparaten en andere "connected devices" standaard automatisch beveiligingsupdates moeten ontvangen. Fabrikanten moeten wel een duidelijk en eenvoudig opt-out-mechanisme aanbieden. De nieuwe tekst maakt ook duidelijk dat de CRA niet voor alle opensourcesoftware geldt. Iets waar eerder nog onduidelijk over was. Nu is duidelijk gemaakt dat de CRA alleen van toepassing is op connected producten die op de Europese markt zijn uitgebracht om geld mee te verdienen. De voorwaarden waaronder het product is ontwikkeld spelen daarbij geen rol. Daardoor blijft de CRA wel geld voor opensourcesoftware zoals Android, aldus Euractiv. Deze week vond er overleg plaats over het voorstel. Daar kleven volgens critici ook allerlei bezwaren aan. "Ondanks de kritiek gaan de ambtenaren nu verder met de volgende fase en alles wijst erop dat men niet van plan is het voorstel aan te passen", zegt beveiligingsexpert Bert Hubert tegenover Binnenlands Bestuur. "Het probleem is dat wetgevers die regels en documenten opstellen voor de veiligheid van staafmixers, nu ook opeens denken regels op te kunnen stellen voor hoe je veilige software schrijft. Ze hebben geen verstand van software en geven dat ook toe." Doordat het wetsvoorstel breed en vaag is geformuleerd en op overtredingen hoge boetes staan, zorgt dit volgens Hubert voor onzekerheid bij bedrijven. bron: https://www.security.nl

De "nieuwste" versie van de Lockbit-ransomware infecteert geen systemen met een bepaalde taalinstelling. Het gaat onder andere om het Russisch, Oekraïens en Syrisch. Dat melden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De Amerikaanse overheidsdiensten waarschuwen instanties geregeld voor specifieke ransomware-exemplaren, waarbij ze informatie over de werkwijze van ransomwaregroep delen, alsmede andere details. Met de gedeelde tactieken, technieken en procedures (TTP's) en indicators of compromise (IOC's) kunnen organisaties zich dan tegen de ransomware beschermen. De nieuwste waarschuwing richt zich op Lockbit 3.0, die vorig jaar juni voor het eerst werd opgemerkt. Net als de vorige versies wordt ook LockBit 3.0 aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Lockbit 3.0 infecteert geen systemen met een bepaalde taalinstelling. Het gaat onder andere om Russisch, Oekraïens en Syrisch. Wanneer de ransomware een dergelijke taalinstelling detecteert stopt de ransomware zichzelf en zal het systeem niet infecteren. Dit zouden de ransomware-ontwikkelaars, waarvan wordt vermoed dat ze vanuit deze regio's opereren, opzettelijk doen om vervolging door de autoriteiten daar te ontlopen. Zolang er geen "lokale" slachtoffers worden gemaakt kunnen de ransomwaregroepen dan met hun activiteiten doorgaan is het idee. In het verleden hebben experts weleens gesteld dat het wijzigen van de taalinstelling ransomware kan voorkomen. Verder bevat de waarschuwing van de FBI en het CISA informatie over de tools die partners/afnemers van de ransomware gebruiken. Het gaat dan om software zoals FileZilla, MegaSync, PuTTY Link, rclone, Splashtop en WinSCP. Daarnaast maken Lockbit-partners vaak gebruik van publieke file sharing websites voor het uploaden van data voordat ze die versleutelen. Dit wordt gedaan om slachtoffers extra af te persen. Wanneer er niet wordt betaald dreigen de aanvallers de data openbaar te maken. Om aanvallen met ransomware te voorkomen doen de Amerikaanse overheidsdiensten allerlei aanbevelingen, maar met drie zaken moeten organisaties vandaag nog beginnen, zo laat de waarschuwing weten. Het gaat dan om het verhelpen van bekende, aangevallen kwetsbaarheden, het trainen van personeel om phishingaanvallen te herkennen en te melden en het implementeren van phishingbestendige multifactorauthenticatie. bron: https://www.security.nl

De trackingpixel die Meta gebruikt voor het volgen van mensen op internet is in strijd met de AVG en de Schrems II-uitspraak van het Europees Hof van Justitie, zo heeft de Oostenrijkse privacytoezichthouder geoordeeld (pdf). Het Hof oordeelde in 2020 dat het Privacy Shield-verdrag tussen de Europese Unie en de Verenigde Staten voor het uitwisselen van persoonsgegevens naar de VS ongeldig is. Volgens de rechter zijn gegevens die onder het verdrag werden uitgewisseld niet goed beschermd in de Verenigde Staten. Door de uitspraak van het hof mogen bedrijven in de EU op grond van het Privacy Shield-verdrag geen persoonsgegevens meer aan de VS doorgeven. "Hoewel dit een grote schok voor de techindustrie was, hebben Amerikaanse providers en Europese data-uitwisselaars de uitspraak grotendeels genegeerd", stelt privacyorganisatie noyb. "Net zoals Microsoft, Google of Amazon, heeft Facebook op zogenoemde "modelcontracten" en "aanvullende maatregelen" vertrouwd om het uitwisselen van data door te laten gaan en Europese businesspartners gerust te stellen", laat de privacyorganisatie verder weten. Eind 2020 diende noyb meer dan honderd klachten bij Europese privacytoezichthouders in over websites die van Google Analytics en Facebook-trackingpixels gebruikmaken. Vorig jaar verklaarde de Oostenrijkse privacytoezichthouder Google Analytics in strijd met de AVG. Volgens noyb geldt deze beslissing ook voor "Facebook Login" en de "Meta Pixel". Bij het gebruik van deze tools wordt namelijk data naar de VS gestuurd. "Facebook heeft altijd voorgedaan dat commerciële klanten de technologie kunnen blijven gebruiken, ongeacht twee uitspraken van het Europees Hof van Justitie die het tegenovergestelde zeggen. Nu heeft de eerste toezichthouder een klant verteld dat het gebruik van Facebook-trackingtechnologie illegaal is", aldus Max Schrems, privacyactivist en oprichter van noyb. Schrems stelt dat de uitspraak voor bijna alle Europese websites relevant is. Veel websites maken namelijk van Facebooks trackingtechnologie gebruik om gebruikers te volgen en gepersonaliseerde advertenties te tonen. Wanneer websites echter van deze technologie gebruikmaken sturen ze ook gebruikersdata naar het Amerikaanse techbedrijf waarna het bij de NSA terechtkomt, laat noyb verder weten. De Europese Commissie werkt aan een nieuw privacyverdrag met de VS, maar dat is nog niet klaar en volgens noyb zal dit ook nog wel enige tijd duren, aangezien Amerikaanse wetgeving bulksurveillance toestaat. Het is onbekend of de Oostenrijkse privacytoezichthouder de website die van Meta's trackingtechnologie gebruikmaakt heeft beboet. bron: https://www.security.nl

Tijdens een internationale operatie hebben politiediensten cryptomixer ChipMixer offline gehaald. Daarbij zijn ook vier servers, 44 miljoen euro aan bitcoin en zeven terabyte aan data in beslag genomen. ChipMixer wordt verdacht van betrokkenheid bij het witwassen van geld. Cryptomixers beschermen de privacy van cryptotransacties. Gebruikers kunnen cryptovaluta van één wallet in een "pool" storten en met een andere wallet opnemen. Op deze manier is het bijvoorbeeld mogelijk om anoniem geld te doneren, maar kunnen mensen ook hun cryptovaluta beschermen. Volgens Europol heeft ChipMixer, dat sinds halverwege 2017 online was, mogelijk miljarden euro's witgewassen afkomstig van ransomware, gestolen cryptovaluta en andere criminele zaken. Zo hebben verschillende ransomwaregroepen, waaronder Zeppelin, SunCrypt, Mamba, Dharma en Lockbit, van ChipMixer gebruikgemaakt voor het witwassen van het losgeld van slachtoffer, zo claimt Europol. Bij de operatie tegen ChipMixer waren de Amerikaanse, Belgische, Duitse, Poolse en Zwitserse autoriteiten betrokken. Europol faciliteerde de uitwisseling van informatie en ondersteunde de coördinatie van de operatie. Vorig jaar werd in Nederland nog de ontwikkelaar van cryptomixer Tornado Cash aangehouden. bron: https://www.security.nl

Aanvallers hebben bij securitybedrijf Rubrik gegevens weten te stelen door misbruik te maken van een zerodaylek in GoAnywhere. Dit is een door softwarebedrijf Fortra ontwikkelde oplossing voor het uitwisselen van bestanden. Via een kwetsbaarheid, aangeduid als CVE-2023-0669, is het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code op het systeem uit te voeren. Voor het uitvoeren van de aanval moet een aanvaller wel eerst toegang tot de beheerdersconsole hebben. De console zou normaliter alleen toegankelijk vanaf het bedrijfsnetwerken, via een vpn of een select aantal ip-adressen moeten zijn. Onderzoekers ontdekten echter dat bij veel organisaties de console voor iedereen gewoon toegankelijk vanaf het internet is. Het beveiligingslek werd al voor dat Fortra een update uitbracht misbruikt. Eén van de getroffen organisaties is securitybedrijf Rubrik, zo heeft het zelf bekendgemaakt. De aanvallers wisten vervolgens gegevens van het bedrijf te stelen, waaronder interne verkoopinformatie met gegevens van klanten, alsmede bestellingen van Rubrik-leveranciers. Hoe de aanvallers toegang tot de beheerdersconsole van de GoAnywhere-installatie konden krijgen heeft het securitybedrijf niet laten weten. bron: https://www.security.nl

Een zerodaylek in Microsoft SmartScreen is zeker sinds januari gebruikt bij aanvallen met de Magniber-ransomware, zo heeft Google ontdekt. Gisterenavond kwam Microsoft met een patch voor de kwetsbaarheid. Een soortgelijk beveiligingslek werd eerder al door de ransomwaregroep gebruikt. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het zerodaylek (CVE-2023-24880) zorgt ervoor dat de waarschuwing niet verschijnt. De aanvallers doen dit door het bestand van een speciaal geprepareerde, ongeldige digitale handtekening is te voorzien. Deze handtekening zorgt voor een fout binnen SmartScreen, waardoor het waarschuwingsvenster niet verschijnt. Een gebruiker moet nog wel zelf het malafide bestand openen. Google meldde de kwetsbaarheid op 15 februari aan Microsoft, dat zoals gezegd gisteren met een update kwam. Volgens Google heeft de Magniber-ransomware zeker sinds januari misbruik van het beveiligingslek gemaakt en zijn de malafide bestanden sindsdien meer dan honderdduizend keer gedownload. De Magniber-ransomware richtte zich in het verleden vaak op Zuid-Korea, maar meer dan tachtigduizend van de honderdduizend downloads sinds januari vonden plaats in Europa. Google stelt verder dat Microsoft de oorspronkelijke oorzaak niet heeft verholpen. Daardoor konden de aanvallers de update voor de eerdere, soortgelijke kwetsbaarheid omzeilen en gebruikers opnieuw aanvallen. "Omdat de hoofdoorzaak achter de SmartScreen security bypass niet werd opgelost, konden de aanvaller snel een variant van de oorspronkelijke bug vinden", aldus Google, dat spreekt over een trend waarbij softwareleveranciers beperkte patches uitbrengen waardoor aanvallers de kans krijgen nieuwe varianten te vinden. bron: https://www.security.nl

Adobe waarschuwt voor een actief misbruikt zerodaylek in ColdFusion en roept organisaties op om de kwetsbaarheid zo snel mogelijk te patchen. Gisteren bracht het softwarebedrijf een update voor het beveiligingslek uit, dat wordt aangeduid als CVE-2023-26360. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. Details over de huidige aanvallen zijn niet door Adobe gegeven, behalve dat het om "zeer beperkte" aanvallen gaat. Het beveiligingslek is aanwezig in ColdFusion 2018 Update 15 en eerder en ColdFusion2021 Update 5 en eerder. Organisaties wordt aangeraden te updaten naar Update 16 en Update 6. Daarbij adviseert Adobe dit zo snel mogelijk te doen, waarbij als voorbeeld binnen 72 uur wordt gegeven. bron: https://www.security.nl

Aanvallers hebben een kritiek zerodaylek in Microsoft Outlook gebruikt voor het stelen van wachtwoordhashes, zonder dat hier enige interactie van gebruikers voor is vereist. Alleen het versturen van een e-mail is voldoende. Het malafide bericht hoeft ook niet in het voorbeeldvenster te worden geladen, zodra de e-mail door de Outlook-client wordt verwerkt is diefstal van de Net-NTLMv2-hash mogelijk. Vervolgens kan de aanvaller deze hash gebruiken om zich bij andere diensten als het slachtoffer te authenticeren. Het probleem, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. Microsoft heeft gisteren beveiligingsupdates voor de kritieke kwetsbaarheid uitgebracht, die op een schaal van 1 tot en met 10 beoordeeld is met een 9.8. Het gaat hier om een "Elevation of Privilege" kwetsbaarheid. Dergelijke beveiligingslekken worden meestal niet als kritiek bestempeld, maar dit is nu wel het geval. Door de malafide e-mail kan de aanvaller het slachtoffer bij zijn server laten inloggen, waarbij de hash wordt verstuurd, die vervolgens kan worden onderschept. Daarbij maakt het niet uit of het slachtoffer bijvoorbeeld het laden van remote images heeft uitgeschakeld. De kwetsbaarheid werd ontdekt door het Computer Emergency Response Team van Oekraïne, Microsoft Incident Response en Microsoft Threat Intelligence. Volgens Microsoft is de kwetsbaarheid door een vanuit Rusland opererende groep gebruikt. Microsoft heeft een script beschikbaar gemaakt waarmee beheerders kunnen controleren of ze via de kwetsbaarheid zijn aangevallen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om op het netwerk van een DLP-leverancier in te breken en de software van malware te voorzien, waardoor klanten van het bedrijf besmet raakten. Dat meldt antivirusbedrijf ESET. Data loss prevention (DLP) software moet het lekken van gevoelige gegevens voorkomen. Hiervoor monitort het bijvoorbeeld systemen en netwerkverkeer en zal wanneer het gevoelige data detecteert het versturen hiervan blokkeren. De DLP-leverancier in kwestie wordt niet door ESET bij naam genoemd. Ook is onbekend hoe de aanvallers toegang tot het softwarebedrijf kregen. Zodra de aanvallers toegang hadden werden de interne updateservers gebruikt om de ontwikkelomgeving met malware te infecteren. Daarnaast werd ook de installatiesoftware van malware voorzien, zodat klanten van het bedrijf besmet raakten. De aanval op de DLP-leverancier vond vermoedelijk al in maart 2021 plaats. Vorig jaar februari en juni werden door ESET bij klanten van het bedrijf besmette installatieprogramma's aangetroffen. Gezien de getroffen klanten vermoeden de onderzoekers van het antivirusbedrijf dat het de aanvallers om cyberspionage was te doen. De aanvallen worden toegeschreven aan een advanced persistent threat (APT) groep genaamd Tick. Het zou om een vanuit China opererende groep gaan die onder andere verantwoordelijk wordt gehouden voor een aanval op Mitsubishi Electric. bron: https://www.security.nl

De makers van de populaire offensieve Linux-distributie Kali hebben een speciale "purple" versie gelanceerd die zich op defensive security richt. Kali Linux is ontwikkeld voor digital forensics en penetratietests. Het wordt beheerd en gefinancierd door securitybedrijf Offensive Security. De distributie beschikt over honderden tools voor het uitvoeren van penetratietests, security audits en digitaal forensisch onderzoek. Kali bestaat inmiddels tien jaar en richtte zich altijd op offensive security. De ontwikkelaars hebben nu besloten een nieuwe weg in te slaan, namelijk defensive security. Daarvoor is Kali Purple ontwikkeld. Deze distributie bevat meer dan honderd defensieve tools, zoals CyberChef, intrusion detection system Suricata en vulnerability scanner GVM, allerlei scripts voor blue teaming oefeningen, een referentiearchitectuur voor een "SOC In-A-Box", een hub voor het delen van pcap-bestanden om mee te oefenen en nog veel meer. Het gaat hier vooralsnog om een proof-of-concept versie, maar volgens de ontwikkelaars moet Kali Purple op de lange termijn "enterprise grade security" voor iedereen toegankelijk maken. bron: https://www.security.nl

De Brave-browser heeft de eigen vpn-dienst die eerder al verscheen voor smartphones ook beschikbaar gemaakt voor desktops. De vpn-dienst is beschikbaar in versie 1.49 van de browser en wordt de komende dagen onder gebruikers uitgerold. De destop-vpn biedt daarnaast "cross-device support", waardoor gebruikers één abonnement op meerdere platforms kunnen gebruiken. Volgens Brave voorkomt de dienst ook ongeautoriseerde tracking en blokkeert advertenties. Al het verkeer van gebruikers wordt namelijk naar vpn-servers van ontwikkelaar van beveiligingssoftware Guardian gestuurd, die trackingverkeer blokkeren. Brave zegt geen logbestanden op te slaan en geen cookies te gebruiken. "We kunnen je verbindings- en browsegegevens niet opslaan, omdat we die in de eerste plaats niet verzamelen", aldus de browserontwikkelaar. De vpn-dienst kost tien dollar per maand. bron: https://www.security.nl

Een vorige week verholpen kwetsbaarheid in Fortinet FortiOS is al voor het uitkomen van de beveiligingsupdate gebruikt bij zeroday-aanvallen op overheden, zo heeft Fortinet zelf bekendgemaakt. De kwetsbaarheid, aangeduid als CVE-2022-41328, maakt path traversal in execute command mogelijk. Hierdoor kan een aanvaller via command line commando's willekeurige bestanden lezen en schrijven. Fortinet ontdekte het probleem nadat meerdere systemen bij een klant niet meer konden opstarten. Verder onderzoek wees uit dat een aanvaller de firmware-image van het Fortinet-apparaat had aangepast. Via de aanpassing is permanente toegang en controle mogelijk. De apparatuur controleert, wanneer de Federal Information Processing Standards (FIPS staat ingeschakeld, tijdens het opstarten de integriteit van de firmware. Wanneer de integriteitscontrole niet slaagt zal het systeem niet opstarten, wat tot het onderzoek van Fortinet leidde. Op basis van de logbestanden bleek dat de aanvaller misbruik van path traversal maakte. Via de gebruikte exploit was het mogelijk om via een TFTP-server willekeurige bestanden naar het FortiGate-apparaat te uploaden en die vervolgens uit te voeren. Fortinet stelt dat de gebruikte exploit een uitgebreide kennis van FortiOS en de onderliggende hardware suggereert. Daarnaast toont de gebruikte malware dat de aanvaller geavanceerde mogelijkheden heeft, waaronder het reverse engineeren van verschillende onderdelen van FortiOS, zo laat Fortinet verder weten. Het netwerkbedrijf stelt daarnaast dat het om een zeer gerichte aanval tegen specifieke overheden ging. Verdere details over de doelwitten zijn niet gegeven. bron: https://www.security.nl

Nog minder dan een maand en dan stopt Microsoft de ondersteuning van Exchange Server 2013. Er zullen dan geen beveiligingsupdates voor gevonden kwetsbaarheden meer uitkomen, zo heeft Microsoft opnieuw aangekondigd. De mailserversoftware verscheen op 9 januari 2013 en introduceerde een compleet nieuw "servicingmodel", waarbij er geen gebruik meer werd gemaakt van Service Packs en Update Rollups, maar werd gewerkt met Cumulative Updates. Het afgelopen jaar heeft Microsoft herhaaldelijk gewaarschuwd dat het na 11 april geen patches en bugfixes meer uitbrengt voor Exchange Server 2013, alsmede geen technische support biedt of tijdzone-updates. Sommige schattingen stellen dat er driehonderdduizend Exchange-servers op internet zijn. Volgens de Shadowserver Foundation bevatten meer dan 71.000 servers daarvan een bekende kwetsbaarheid. Organisaties die nog met Exchange Server 2013 werken worden door Microsoft opgeroepen om zo snel mogelijk over te stappen op Exchange Server 2019 of Exchange Server Online. Vorige maand liet de Franse overheid nog weten dat bij veel aanvallen die het onderzocht misbruik was gemaakt van kwetsbaarheden in de mailserversoftware. bron: https://www.security.nl

Microsoft neemt extra maatregelen tegen aanvallen met OneNote-bestanden, aangezien er de afgelopen maanden hier een toename van is. OneNote is software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers zover te krijgen gebruiken aanvallers allerlei trucs, die ook werden toegepast om gebruikers macro's te laten inschakelen. Zodra gebruikers de waarschuwing negeren wordt er malware gedownload en uitgevoerd. Om OneNote-gebruikers beter tegen dergelijke aanvallen te beschermen is de beveiliging tegen risicovolle bestandstypes volgens Microsoft verbeterd. Wanneer gebruikers een embedded bestand in OneNote openen of downloaden dat als gevaarlijk wordt beschouwd, toont het programma een uitgebreidere waarschuwing. De nieuwe notificatie zou volgende maand onder OneNote-gebruikers worden uitgerold. bron: https://www.security.nl

Vpn-provider Mullvad is een publiekscampagne gestart tegen het scanplan van de Europese Commissie. Brussel wil chatberichten en andere communicatie van Europese burgers controleren. Iets wat volgens Mullvad vergaande gevolgen voor de toekomst kan hebben. "Wanneer de wet van kracht wordt, zal de communicatie van alle EU-burgers worden gemonitord en geaudit. Er wordt beweerd dat het doel van deze wet is om ernstige misdrijven te detecteren. Wanneer een dergelijk gigantisch systeem gebouwd is, kunnen de machthebbers dat op elk moment voor iets anders aanpassen", aldus Mullvad. Wanneer mensen zich gemonitord voelen en geen recht op privécommunicatie hebben, vallen samenlevingen uit elkaar en veranderen democratieën in totalitaire staten, zo waarschuwt de vpn-provider. Die is nu op allerlei openbare plekken in Zweden een campagne gestart waarmee het waarschuwt voor het scanplan van Brussel en Europese politici oproept om het te stoppen. Zweden is de eerste helft van dit jaar voorzitter van de Europese Unie. Op één van de posters die Mullvad heeft gemaakt is te zien hoe een ouder een foto van zijn kinderen wil versturen en door het scansysteem als crimineel wordt bestempeld, dat tevens de politie inlicht en de toegang tot zijn online diensten blokkeert. Vorig jaar overkwam dit een Amerikaanse man die foto's van zijn kind naar een arts stuurde. De algoritmes en een medewerker van Google vonden ten onrechte dat het om kindermisbruikmateriaal ging, wat grote gevolgen voor de vader had. Zo besloot de Amerikaanse politie een onderzoek naar hem te starten en raakte hij zijn Google-account met allerlei waardevolle informatie kwijt. bron: https://www.security.nl