Captain Kirk

Een tijdelijke uitzondering op de Europese ePrivacy-richtlijn, waardoor internetbedrijven privécommunicatie van hun gebruikers vrijwillig op misbruikmateriaal mogen controleren, wordt met twintig maanden verlengd. Dat zijn de Europese Commissie, het Europees Parlement en de Europese Raad overeengekomen, zo laat het kabinet aan de Tweede Kamer weten. De Europese privacytoezichthouder EDPS liet zich onlangs nog kritisch uit over het plan. Vier jaar geleden kwam de Europese Commissie met het voorstel om een tijdelijke uitzondering op de Europese ePrivacy-richtlijn te maken, waardoor communicatieproviders privécommunicatie van hun gebruikers vrijwillig op misbruikmateriaal mogen controleren. Dit is een ander voorstel dan het plan van de Europese Commissie om berichten van burgers door middel van client-side scanning te controleren, waarover de onderhandelingen nog lopen. Het voorstel van de Europese Commissie werd in 2021 door het Europees Parlement aangenomen. Het laat bedrijven op vrijwillige basis het verkeer van hun gebruikers controleren op bekend misbruikmateriaal. In augustus van dit jaar verloopt de tijdelijke uitzondering, maar afgelopen november kwam de Europese Commissie met een voorstel om de uitzondering te verlengen. Vervolgens kan er dan over langetermijnwetgeving worden onderhandeld, aldus Brussel. Kritiek De EDPS was al tegen het oorspronkelijke voorstel uit 2020 en stelt dat de zorgen nog steeds niet zijn weggenomen. Volgens de Europese privacytoezichthouder beperkt het voorstel de fundamentele rechten op privacy en persoonlijke data, waaronder hun recht op vertrouwelijkheid en communicatie. Zelfs wanneer communicatieproviders op vrijwillige basis detectie toepassen, ontslaat dit de Europese Commissie er niet van om met een uitgebreid juridisch raamwerk te komen dat aan de fundamentele rechten van de Europese Unie voldoet. De zorgen die de EDPS vier jaar geleden uitte zijn er nog steeds, zo bleek eind vorige maand. Zo bevat de voorgestelde uitzondering geen bescherming tegen algemene en ongerichte monitoring van privécommunicatie. Daarbij maakt de EDPS zich met name zorgen over de grote foutmarge van huidige detectietechnologie, met name voor het detecteren van nieuw materiaal en grooming. Een andere zorg is dat de technologie consensueel gemaakte en gedeelde beelden als misbruikmateriaal bestempelt, met alle gevolgen van dien voor de betrokken personen, ook al houden die zich niet met CSAM bezig. Akkoord Demissionair minister Weerwind voor Rechtsbescherming en demissionair minister Yesilgöz van Justitie en Veiligheid laten aan de Tweede Kamer weten dat de onderhandelingen zijn afgerond om de uitzondering op de ePrivacy-Richtlijn voor het detecteren van misbruikmateriaal door de internetsector mogelijk te maken. "De bestaande derogatie zal worden verlengd met 20 maanden." Volgens de bewindslieden is het verlengen van de uitzondering een resultaat van het vastlopen van de onderhandelingen over het plan van de Europese Commissie om alle chatberichten van Europese burgers door middel van client-side scanning te inspecteren. Het Europees Parlement is tegen dit plan en ook binnen de Europese Raad kon geen akkoord worden bereikt. Volgende maand komt de Raad Justitie en Binnenlandse Zaken (JBZ) bijeen en zullen ministers van EU-lidstaten onder andere over de bestrijding van misbruikmateriaal en vastgelopen onderhandelingen spreken. "Naar verwachting zal het Voorzitterschap tijdens de Raad ook de contouren willen schetsen hoe zij de discussie over de CSAM-verordening verder willen brengen. Hierbij is geen besluitvorming voorzien", aldus de bewindslieden (pdf). Melding Onlangs liet het Openbaar Ministerie weten dat een misbruikverdachte uit Huizen dankzij meldingen van Facebook en Google kon worden aangehouden. De man zou materiaal via Facebook Messenger en YouTube hebben gedeeld en geüpload en kon zo, vanwege het e-mailadres dat aan het account was gekoppeld, worden opgespoord. bron: https://www.security.nl

Eigenaren van een QNAP NAS-systeem die hun apparaat via myQNAPcloud Link vanaf het internet benaderen moeten een aantal updates doorvoeren, anders kunnen ze vanaf 29 februari de dienst niet meer gebruiken, zo waarschuwt de NAS-fabrikant. MyQNAPcloud Link zorgt ervoor dat het NAS-systeem via een unieke domeinnaam vanaf het internet benaderbaar is. QNAP meldt dat het "architecturale aanpassingen' en 'beveiligingsverbeteringen' aan myQNAPcloud heeft doorgevoerd. Dit zou voor betere en veiligere verbindingen moeten zorgen. Om hiervan gebruik te maken moeten gebruikers myQNAPcloud Link op hun NAS, de QNAP-app op hun telefoon en het QTS-besturingssysteem upgraden. Gebruikers die dit niet doen kunnen vanaf 29 februari niet meer via de mobiele app verbinding met hun NAS-systeem maken. Voor wie niet kan updaten is er nog een oplossing door port forwarding op de router in te stellen, aldus QNAP. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kritieke kwetsbaarheid in ConnectWise ScreenConnect, software om systemen op afstand mee te beheren en monitoren, zo stelt securitybedrijf Mandiant. ConnectWise kwam op 19 februari met een beveiligingsupdate voor het beveiligingslek (CVE-2024-1708), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 10.0. Het gaat om een authenticatie bypass, waardoor het mogelijk is om kwetsbare servers op afstand, zonder authenticatie volledig over te nemen. Het probleem zit al sinds de eerste versie in de software. Daarnaast gaat het ook om CVE-2024-1709. Een path traversal-kwetsbaarheid waarmee het mogelijk is om malware op kwetsbare servers te installeren. Nadat de server is gecompromitteerd kan een aanvaller alle systemen die via de server worden beheerd en gemonitord aanvallen. Elke ScreenConnect-server kan 150.000 apparaten beheren. Naast Mandiant meldt ook securitybedrijf WithSecure dat er inmiddels sprake is van "mass exploitation". Het gaat onder andere om ransomware-aanvallen. Volgens cijfers van Shadowserver Foundation zijn er nog duizenden kwetsbare ScreenConnect-servers op internet te vinden, waaronder zo'n dertig in Nederland. bron: https://www.security.nl

Burgerrechtenbeweging Bits of Freedom heeft bij de Europese Commissie een klacht ingediend over LinkedIn. Het zakelijke sociale netwerk zou mogelijk in strijd met de Digital Services Act (DSA) gevoelige gegevens gebruiken voor het tonen van advertenties. Zo mogen bijvoorbeeld seksuele geaardheid, politieke opvattingen en etnische afkomst niet voor advertenties worden gebruikt. "Op basis van ons onderzoek, vermoeden we echter dat LinkedIn dit verbod overtreedt", zegt Lotje Beek van Bits of Freedom. "Daarom hebben we een klacht ingediend bij de Europese Commissie over dit platform. Hiermee hopen we bij te dragen aan effectieve handhaving en de Digital Services Act tot een succes te brengen. Aangezien de klacht op dit moment in behandeling gaat, kunnen we er inhoudelijk nog niet teveel over kwijt. Uiteraard houden we je op de hoogte van de voortgang." De klacht werd samen ingediend met burgerrechtenbewegingen EDRi, Global Witness en Gesellschaft für Freiheitsrechte. Die stellen dat het verbod om gevoelige gegevens voor advertenties te gebruiken een belangrijk wapenfeit van de DSA is. "Aangezien het erkent dat de meest gevoelige data nooit mag worden gebruikt om mensen online te targetten." De Europese Commissie heeft LinkedIn onder de DSA aangemerkt als een Very Large Online Platform (VLOP), waardoor er extra eisen aan het platform worden gesteld. bron: https://www.security.nl

De criminelen achter de LockBit-ransomware hebben een nieuwe website op het Tor-netwerk gelanceerd waar ze namen van hun slachtoffers kunnen publiceren. Daarnaast vermoedt de groep dat de recente politieoperatie mogelijk was via een kwetsbaarheid in PHP. Vorige week wisten politiediensten tijdens een internationale operatie de website van de ransomwaregroep in beslag te nemen, alsmede tientallen servers. Daarbij werden ook de decryptiesleutels van meer dan duizend slachtoffers aangetroffen. De LockBit-website werd gehost op het Tor-netwerk, dat standaard het ip-adres afschermt. Dat moet het lastiger maken om de locatie van de webserver te achterhalen. "Vanwege mijn persoonlijke nalatigheid en onverantwoordelijkheid heb ik verzaakt en PHP niet op tijd geüpdatet. De servers draaiden PHP 8.1.2, en zijn vermoedelijk via CVE-2023-3824 gecompromitteerd", aldus een beheerder van de groep. Het gaat om een kritieke kwetsbaarheid in PHP die tot een buffer overflow kan leiden en al sinds augustus vorig jaar bekend is. De beheerder stelt dat de politiediensten zo toegang tot de twee primaire servers hebben kregen. Er wordt niet uitgesloten dat er een zerodaylek in PHP is gebruikt, maar aangezien er al een kwetsbare versie geïnstalleerd was is dit volgens de beheerder de meest waarschijnlijke methode. De nieuwe servers die de criminelen voor hun website gebruiken draaien PHP 8.3.3. "Als iemand een kwetsbaarheid in deze versie vindt, laat me het dan weten en je ontvangt een beloning", zo stelt de beheerder in een uitleg die door VX-underground werd gedeeld. De beheerder waarschuwt dat iedereen met een kwetsbare PHP-versie risico loopt en met een gecompromitteerde server te maken kan krijgen. "Ik weet zeker dat veel concurrenten op dezelfde manier via PHP zijn gehackt." De groep zegt dat het met de aanvallen zal blijven doorgaan en heeft op de nieuw gelanceerde site een logo van de FBI geplaatst. bron: https://www.security.nl

Kun je nog even laten weten of het allemaal gelukt en opgelost is. Dan kunnen we het topic sluiten

We snappen de paniek. het gaat niet eens zozeer om de grote van het bedrag, maar dat een ander in jouw "leven" komt en er mee aan de haal gaat. Ook al geven enkele banken in Nederland het advies om niet de politie te bellen daar het toch niet veel zin heeft, is mijn advies het zeker wel te doen. Ieder aangifte is hierin belangrijk. En ja, de "hackers" zijn slim. Maar geen paniek. Met de adviezen hier komen we een heel eind. En wanneer je iets niet begrijpt, gewoon aangeven. Leggen we het gewoon op een andere manier uit.

Softwarebedrijf ConnectWise waarschuwt organisaties voor actief misbruik van een kritieke kwetsbaarheid in ScreenConnect, software om systemen op afstand mee te beheren en monitoren. Volgens de Shadowserver Foundation zijn er 3800 kwetsbare ScreenConnect-servers op internet te vinden, wat 93 procent van het totaal is. ConnectWise kwam op 19 februari met een beveiligingsupdate voor het beveiligingslek, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 10.0. Het gaat om een authenticatie bypass, waardoor het mogelijk is om kwetsbare servers op afstand, zonder authenticatie volledig over te nemen. Vervolgens kan een aanvaller alle systemen die via de server worden beheerd en gemonitord aanvallen. Verdere details zijn niet gegeven. Bij de publicatie van het beveiligingsbulletin meldde ConnectWise dat het geen aanwijzingen heeft van misbruik. Wel werden organisaties opgeroepen om de update meteen te installeren. Volgens securitybedrijven is misbruik van het beveiligingslek zeer eenvoudig en één securitybedrijf publiceerde proof-of-concept exploitcode. Een dag na de publicatie van de update laat ConnectWise weten dat er inmiddels aanvallen plaatsvinden. Vorig jaar waarschuwde de FBI nog voor misbruik van oplossingen zoals ScreenConnect. bron: https://www.security.nl

VMware roept organisaties op om de Enhanced Authentication Plug-in (EAP) van systemen te verwijderen, aangezien die een kritieke kwetsbaarheid (CVE-2024-22245) bevat en niet meer wordt ondersteund. De EAP-plug-in biedt geïntegreerde Windowsauthenticatie en Windowsgebaseerde smartcardfunctionaliteit. Door de plug-in op werkstations te installeren kunnen gebruikers op vSphere managementinterfaces en tools inloggen. VMware's vSphere is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Begin 2021 kondigde VMware aan dat het de support van de plug-in stopzette. Een onlangs gevonden 'authenticatie relay' kwetsbaarheid in de plug-in maakt het mogelijk voor aanvallers om gebruikers, die de plug-in geïnstalleerd hebben, servicetickets voor willekeurige Active Directory Service Principal Names (SPNs) te laten opvragen en relayen. Een aanvaller kan zo toegang tot elke willekeurige service krijgen die via een SPN toegankelijk is. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Omdat de plug-in niet meer wordt ondersteund moeten organisaties die verwijderen als oplossing voor het gevonden beveiligingslek, aldus VMware. bron: https://www.security.nl

WordPress-sites die gebruikmaken van Bricks Builder worden aangevallen via een kritieke kwetsbaarheid waarvoor vorige week een update verscheen, zo melden securitybedrijven. Bricks Builder is een "theme en page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Het gaat om een betaalde plug-in die op zo'n 25.000 WordPress-sites zou draaien. Een kritieke kwetsbaarheid in de software (CVE-2024-25600) maakt ongeauthenticeerde remote code execution mogelijk, waardoor een aanvaller op afstand willekeurige commando's kan uitvoeren en zo de website/server kan overnemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vorige week dinsdag 13 februari kwam Bricks Builder met een beveiligingsupdate en riep beheerders op om meteen te updaten naar versie 1.9.6.1. Op dat moment was er nog geen misbruik bekend, aldus het beveiligingsbulletin. Inmiddels is dat wel het geval, zo waarschuwen securitybedrijven Patchstack en Wordfence. Vanwege de aanvallen heeft Patchstack besloten om details over het beveiligingslek eerder dan gepland openbaar te maken. bron: https://www.security.nl

Ruim 28.000 Exchange-servers zijn kwetsbaar voor een actief aangevallen beveiligingslek, zo meldt de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. Het aantal kwetsbare servers ligt mogelijk nog veel hoger. Van de kwetsbare en mogelijk kwetsbare servers bevinden zich er 3500 in Nederland. Vorige week dinsdag kwam Microsoft met een beveiligingsupdate voor Exchange Server, aangeduid als CVE-2024-21410. Via de kwetsbaarheid is het mogelijk om NTLM relay-aanvallen op Exchange-servers uit te voeren en zo toegang tot e-mailaccounts van gebruikers te krijgen. In eerste instantie meldde Microsoft dat er geen misbruik van de kwetsbaarheid werd gemaakt, maar een dag na de publicatie van de updates kwam het bedrijf daarop terug en liet weten dat het om een zerodaylek ging. De Shadowserver Foundation scant geregeld op kwetsbare systemen op internet en besloot nu te kijken naar kwetsbare Exchange-servers. Het vond 28.500 Exchange-servers die de update voor CVE-2024-21410 niet hebben geïnstalleerd. Daarnaast werden 68.500 servers gevonden die mogelijk kwetsbaar zijn. Of de servers kwetsbaar zijn kon niet met zekerheid worden gezegd, omdat die de update missen, maar mogelijk wel de mitigatie hebben doorgevoerd die bescherming tegen aanvallen biedt. Van de 97.000 gevonden servers bevinden zich er 3500 in Nederland. Duitsland staat met bijna 26.000 servers bovenaan. bron: https://www.security.nl

Zeker tachtig organisaties, waaronder de Iraanse ambassade in Nederland, zijn vorig jaar aangevallen via een zerodaylek in Roundcube Webmail. Dat stelt securitybedrijf Recorded Future op basis van eigen onderzoek. Het gebruik van de kwetsbaarheid werd vorig jaar oktober al door antivirusbedrijf ESET gemeld. Recorded Future heeft nu meer details over de waargenomen aanvallen gegeven. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De kwetsbaarheid waarvan de aanvallers misbruik maakten (CVE-2023-5631) maakt stored cross-site scripting (XSS) mogelijk. Door het versturen van een malafide e-mail kan een aanvaller zo JavaScript in de browser van het slachtoffer uitvoeren en vervolgens alle e-mails in zijn of haar e-mailaccount stelen. In een analyse stelt Recorded Future dat zeker tachtig organisaties via het beveiligingslek zijn aangevallen. Het grootste deel daarvan bevindt zich in Oekraïne, Georgië en Polen. België staat in het overzicht op de vierde plek. De aanvallers hadden het daarbij vooral voorzien op overheden en overheidsinstanties, militaire organisaties en onderzoeksinstellingen/academici. De aanvallen worden toegeschreven aan een aan Rusland gelieerde groep. Het beveiligingslek in RoundCube werd in oktober al gepatcht. Onlangs werd gewaarschuwd voor een andere zeroday in de software, maar daar zijn nog geen details over bekend. bron: https://www.security.nl

Dertienduizend gebruikers van Wyze-beveiligingscamera's hebben vorige week camerabeelden ontvangen die bij andere gebruikers waren gemaakt, zo heeft het bedrijf vandaag bekendgemaakt. Vorige week meldde Wyze al dat door een storing gebruikers beelden van andere gebruikers te zien kregen. Vandaag blijkt dat dertienduizend gebruikers thumbnails van camera's ontvingen die niet van henzelf waren. Van die groep hebben meer dan vijftienhonderd gebruikers op de thumbnails geklikt om de grotere afbeelding te bekijken. In sommige gevallen werd echter ook een 'Event Video' getoond. Wyze zegt dat het alle gebruikers heeft gewaarschuwd. Volgens de camerafabrikant is het probleem veroorzaakt door een niet nader genoemde hird-party caching client library die onlangs aan de Wyze-systemen was toegevoegd. Deze library kreeg te maken met een ongekende belasting door camera's die vanwege een storing bij Amazon Web Services allemaal tegelijkertijd online kwamen. Dit zorgde ervoor dat de library apparaat-ID en gebruikers-ID door elkaar haalde en data aan de verkeerde accounts koppelde. Wyze stelt dat het maatregelen heeft genomen om herhaling te voorkomen. Vorig jaar kwam het ook al voor dat gebruikers met de beelden van anderen konden meekijken. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Microsoft Outlook waar vorige week dinsdag een beveiligingsupdate voor verscheen is toch niet als een zerodaylek misbruikt, zo laat Microsoft in een nieuwe aanvulling op het beveiligingsbulletin weten. In eerste instantie meldde Microsoft dat het niet bekend was met misbruik van de kwetsbaarheid. Een dag later werd het bulletin aangepast en stelde het techbedrijf dat aanvallers al actief misbruik van het lek hadden gemaakt. Microsoft heeft deze aanpassing nu teruggedraaid. Het bedrijf stelt dat het abusievelijk had vermeld dat er misbruik van de kwetsbaarheid had plaatsgevonden, terwijl dit niet het geval is. Zerodaylekken krijgen over het algemeen een hogere prioriteit om te patchen dan kwetsbaarheden waar nog geen misbruik van bekend is. Het beveiligingslek in Outlook (CVE-2024-21413) maakt remote code execution mogelijk, waarbij een aanvaller de Office Protected View-beveiliging kan omzeilen. Daardoor wordt het malafide document in de 'editing mode' geopend in plaats van de beveiligde mode. Om via de kwetsbaarheid te worden aangevallen is het niet nodig dat een slachtoffer het document opent. Ook als het document via de preview pane (voorbeeldvenster) wordt weergegeven is misbruik mogelijk. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Centrum en de Australische overheid hebben apart voor de kwetsbaarheid gewaarschuwd. Het NCSC laat daarbij weten dat er proof-of-concept exploitcode voor het lek beschikbaar is, wat de kans vergroot dat aanvallers er uiteindelijk misbruik van zullen maken. bron: https://www.security.nl

Nog anderhalf jaar en dan stopt Microsoft de ondersteuning van Windows 10. Bedrijven die niet naar Windows 11 kunnen of willen upgraden of niet voor Windows 10-beveiligingsupdates willen betalen, kunnen overstappen op ChromeOS Flex, zo stelt Google. Ondanks het naderende einde van de standaard support wordt Windows 10 nog op grote schaal gebruikt. "Traditioneel is het upgraden naar het laatste beschikbare besturingssysteem een geschikte manier om de kans op een aanval te verkleinen, maar met honderden miljoenen Windows 10-apparaten die binnenkort geen ondersteuning meer krijgen omdat ze niet in aanmerking voor de nieuwste Windowsversie komen, zou het vinden van een manier om deze pc's te beschermen en onderhouden een topprioriteit moeten zijn", aldus Naveen Viswanatha van Google. Het techbedrijf stelt dat ChromeOS Flex in deze gevallen een oplossing kan zijn, omdat bedrijven het besturingssysteem op hun bestaande Windowscomputer kunnen installeren. "Dit moderniseert apparaten, verlengt hun levensduur en voorkomt dat ze op de vuilnisbelt belanden, verkleint het aanvalsoppervlak en bespaart op hardwarekosten", gaat Viswanatha verder. Volgens Google is ChromeOS Flex met security als uitgangspunt ontwikkeld. "Niet achteraf", merkt Viswanatha. Daarnaast heeft het besturingssysteem nog nooit met een succesvolle ransomware-aanval te maken gekregen, gaat hij verder. Het marktaandeel van ChromeOS Flex is echter zeer klein. Een ander punt waar gebruikers rekening mee moeten houden is dat ChromeOS Flex alleen met webapplicaties werkt. Gebruikers kunnen geen applicaties installeren. Wel is het mogelijk om Windows-applicaties en andere software te streamen, laat Google daarover weten. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Microsoft Outlook waarvoor dinsdagavond een patch verscheen is al voor het uitkomen van de update actief gebruikt voor het aanvallen van gebruikers. Dit heeft Microsoft alsnog gemeld in een update van het beveiligingsbulletin, dat hetzelfde ook al deed bij een kritieke kwetsbaarheid in Exchange Server. Onderzoekers vragen zich af wat er aan de hand is bij Microsoft omdat het twee keer achter elkaar vergeet te melden dat er sprake is van zerodaylekken. Het beveiligingslek in Outlook (CVE-2024-21413) maakt remote code execution mogelijk, waarbij een aanvaller de Office Protected View-beveiliging kan omzeilen. Daardoor wordt het malafide document in de 'editing mode' geopend in plaats van de beveiligde mode. Om via de kwetsbaarheid te worden aangevallen is het niet nodig dat een slachtoffer het document opent. Ook als het document via de preview pane (voorbeeldvenster) wordt weergegeven is misbruik mogelijk. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft komt elke tweede dinsdag van de maand met beveiligingsupdates. Daarbij meldt het bedrijf of het weet dat er sprake is van zerodaylekken, oftewel kwetsbaarheden waar voor het uitkomen van de updates misbruik van is gemaakt. Afgelopen dinsdag stelde Microsoft dat dit het geval was bij twee kwetsbaarheden in Windows (CVE-2024-21412 en CVE-2024-21351). Het ging om zogeheten security bypasses. Zerodaylekken krijgen altijd de hoogste prioriteit, omdat er actief misbruik van wordt gemaakt en het daarom nodig is die meteen te patchen. Nu blijkt dat ook kwetsbaarheden in Exchange Server en Outlook als zeroday zijn gebruikt. Onderzoekers vragen zich dan ook af waarom Microsoft de twee zerodays in eerste instantie niet heeft gemeld. Microsoft heeft hierover geen details gegeven. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Exchange Server waarvoor Microsoft dinsdagavond beveiligingsupdates uitbracht is actief bij zeroday-aanvallen gebruikt, zo laat Microsoft weten. In eerste instantie meldde het bedrijf dat dit niet het geval was. Via de kwetsbaarheid is het mogelijk om NTLM relay-aanvallen op Exchange-servers uit te voeren en zo toegang tot e-mailaccounts van gebruikers te krijgen. In het geval van een relay-aanval kan een aanvaller met de onderschepte wachtwoordhash van een slachtoffer inloggen op de Exchange-server en zo toegang krijgen tot het e-mailaccount van het slachtoffer. Een aanvaller zou hiervoor wel eerst de hash van de gebruiker moeten zien te bemachtigen, bijvoorbeeld door misbruik te maken van een kwetsbaarheid in Outlook, zo legt Microsoft uit. De impact van de kwetsbaarheid, aangeduid als CVE-2024-21410, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft geeft geen details over de waargenomen zeroday-aanvallen en waarom het niet in eerste instantie meldde dat het om een zerodaylek ging. bron: https://www.security.nl

Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, wat kan leiden tot het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving, zo heeft het Europees Hof van de Rechten van de Mens geoordeeld. Volgens Patrick Breyer, Europarlementariër van de Piratenpartij, zorgt de uitspraak ervoor dat client-side scanning zoals de Europese Commissie wil invoeren illegaal is. Het Hof deed uitspraak in een zaak die een Russische burger tegen de Russische overheid had aangespannen. Het ging over een wet die communicatieproviders verplicht om alle communicatiedata voor een periode van een jaar op te slaan, en de inhoud van de berichten voor een periode van zes maanden. Tevens moeten providers de autoriteiten de informatie verstrekken om versleutelde berichten te ontsleutelen. Volgens het Hof speelt encryptie een belangrijke rol in het beschermen van het recht op een privéleven en de privacy van online communicatie. Om berichten van end-to-end versleutelde chatapps te ontsleutelen moet de encryptie voor alle gebruikers worden verzwakt, ook die geen onderdeel van een onderzoek zijn. Daarnaast zorgt het verzwakken van encryptie ervoor dat burgers aan allerlei risico's worden blootgesteld. Een wettelijke verplichting om end-to-end encryptie te kunnen ontsleutelen zorgt er eigenlijk voor dat chatproviders worden verplicht om de encryptie voor alle gebruikers te verzwakken, wat niet proportioneel is ten opzichte van het beoogde doel, aldus het Hof. De betreffende wetgeving, waarbij alle online communicatie van alle gebruikers moet worden opgeslagen, de veiligheidsdiensten meteen toegang tot opgeslagen data hebben zonder waarborgen tegen misbruik en de vereiste om end-to-end versleutelde communicatie te ontsleutelen, is in een democratische samenleving niet als noodzakelijk te beschouwen, concludeert het Hof. Dat stelt verder dat de wetgeving in strijd met Artikel 8 van het Europees Verdrag voor de Rechten van de Mens is. Piratenpartij-Europarlementariër Patrick Breyer noemt de uitspraak een mijlpaal en stelt dat hierdoor ook het plan van de Europese Commissie, om alle berichten van Europese burgers door middel van client-side scanning te inspecteren, 'duidelijk illegaal' is. "Het zou de bescherming van iedereen vernietigen in plaats van verdachten te onderzoeken." Volgens Breyer is er nu geen andere mogelijkheid dan het plan voor de 'vernietiging' van end-to-end encryptie uit het voorstel te halen. bron: https://www.security.nl

DuckDuckGo heeft de eigen browser van een nieuwe feature voorzien waardoor gebruikers hun wachtwoorden en bookmarks op end-to-end versleutelde manier over meerdere apparaten kunnen synchroniseren. Om de feature te gebruiken is er geen account vereist en DuckDuckGo claimt dat het bookmarks en wachtwoorden van gebruikers nooit ziet. "Onze private sync is end-to-end versleuteld. Wanneer je van private sync gebruikmaakt blijft je data tijdens het synchronisatieproces veilig versleuteld, omdat de unieke sleutel om het te ontsleutelen alleen op jouw apparaten blijft. Je wachtwoorden zijn voor niemand behalve jou toegankelijk. Dat geldt ook voor DuckDuckGo, dat op geen enkel moment toegang tot je data heeft." Om bookmarks en wachtwoorden met een ander apparaat te synchroniseren kan er gebruik worden gemaakt van een qr-code of alfanumerieke code. bron: https://www.security.nl

Statelijke actoren, spionagegroepen en cybercriminelen maken op allerlei manieren gebruik van ChatGPT, zoals het verzamelen van informatie en genereren van phishingmails, zo claimen Microsoft en Open AI. In een vandaag gepubliceerde blogposting geeft Microsoft verschillende voorbeelden van hoe Advanced Persistent Threats (APT's) en statelijke actoren de chatbot bij aanvallen hebben ingezet. Volgens Microsoft heeft de vanuit Rusland opererende groep genaamd Fancy Bear, die aan de Russische inlichtingendienst GRU gelieerd zou zijn, ChatGPT gebruikt voor het verzamelen van informatie over programmeren en de werking van satellieten. Een vanuit Noord-Korea opererende groep gebruikte de chatbot om de werking achter een kwetsbaarheid in de Microsoft Support Diagnostic Tool (MSDT) te weten te komen, aldus Microsoft. Tevens blijkt dat ChatGPT door meerdere groepen is ingezet voor het genereren van phishingmails, opvragen van informatie, verbeteren van scripts en vertalen van termen en technische papers. Microsoft zegt nog geen nieuwe of unieke AI-gebaseerde aanvallen te hebben gezien of misbruik van technieken waarbij AI is gebruikt. "We blijven het landschap echter nauwlettend volgen." bron: https://www.security.nl

Antivirusbedrijf Avast heeft een beveiligingslek in de Rhysida-ransomware maandenlang stilletjes gebruikt om slachtoffers te helpen bij het terugkrijgen van hun bestanden. Nu onderzoekers vorige week een rapport over de kwetsbaarheid publiceerden (pdf) heeft de virusbestrijder de gebruikte decryptietool openbaar gemaakt. Rhysida wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Voor de verspreiding wordt gebruikgemaakt van phishingmails. Vorig jaar waarschuwde het Amerikaanse ministerie van Volksgezondheid zorginstellingen in de VS voor aanvallen met de Rhysida-ransomware. De ransomware maakt gebruik van een secure random number generator om de encryptiesleutel te genereren en daarmee data op besmette systemen te versleutelen. Een implementatiefout in de ransomware maakt het mogelijk om de gebruikte encryptiesleutel opnieuw te genereren en zo de versleutelde data te ontsleutelen. Zuid-Koreaanse onderzoekers publiceerden vorige week hun onderzoek waarin ze de implementatiefout beschrijven. Antivirusbedrijf Avast was naar eigen zeggen al veel langer van de kwetsbaarheid op de hoogte en heeft slachtoffers sinds augustus vorig jaar stilletjes voorzien van een decryptietool voor het ontsleutelen van data. Dankzij samenwerking met opsporingsdiensten konden zo meerdere getroffen organisaties worden geholpen. Nu de implementatiefout bekend is gemaakt, heeft Avast dit ook gedaan voor de decryptietool, die via de website van het antivirusbedrijf is te downloaden. bron: https://www.security.nl

Chatbot ChatGPT gaat informatie uit gesprekken met gebruikers standaard 'onthouden' en gebruiken bij toekomstige gesprekken, zo heeft ontwikkelaar Open AI aangekondigd. De verzamelde informatie wordt ook gebruikt voor het trainen van de chatbot. Gebruikers krijgen wel de mogelijkheid om de 'Memory' optie uit te schakelen of bepaalde onthouden zaken te verwijderen. Open AI zegt dat gezondheidsgerelateerde zaken niet standaard worden opgeslagen. Volgens Open AI moet Memory ervoor zorgen dat gebruikers geen eerder gegeven informatie hoeven te herhalen. De chatbot kan details zelf onthouden, maar gebruikers kunnen ook specifieke opdrachten hiervoor geven. Het is mogelijk om deze verzamelde 'memories' te bekijken of te verwijderen. Gebruikers kunnen de Memory-optie ook uitschakelen, maar dit zorgt er niet voor dat eerder verzamelde informatie wordt verwijderd. Dit moeten gebruikers via een andere instelling doen. bron: https://www.security.nl

Microsoft gaat de eigen certificaten gebruikt voor Secure Boot vervangen omdat die in 2026 verlopen en adviseert gebruikers van encryptiesoftware BitLocker om een back-up van hun keys te maken. Secure Boot is een beveiligingsmaatregel in de Unified Extensible Firmware Interface (UEFI) die ervoor moet zorgen dat er tijdens het opstarten van het systeem alleen vertrouwde software draait. Hiervoor maakt Secure Boot gebruik van digitale handtekeningen die worden vergeleken met vertrouwde digitale sleutels opgeslagen in de UEFI. Secure Boot maakt gebruik van een 'certificate management system' waarbij certificaatautoriteiten worden gebruikt voor de opslag van digitale certificaten. Deze certificaatautoriteiten, die bestaan uit fabrikanten (OEM's) en Microsoft, genereren sleutelparen die de 'root of trust' van een systeem vormen. De door Secure Boot gebruikte Microsoft-certificaten verlopen in 2026. Microsoft is daarom nu al begonnen met het vervangen van de certificaten, wat gefaseerd plaatsvindt. Een eerste update die hiervoor zorgt is nu beschikbaar gesteld. Het gaat hier om een optionele update. Vanaf april is Microsoft van plan om die onder alle Windowsgebruikers uit te rollen. Microsoft stelt dat het vaker Secure Boot-databases heeft geüpdatet, maar het de eerste keer is dat dit op een dergelijke grote schaal gebeurt. Voor organisaties en gebruikers die de update nu al willen uitrollen en met BitLocker werken adviseert Microsoft om eerst een back-up van de BitLocker keys te maken. Mocht het apparaat na de Secure Boot-update niet meer werken, is in ieder geval de harde schijf nog te ontsleutelen. bron: https://www.security.nl

Softwarebedrijf Twilio stopt maanden eerder dan aangekondigd met de support van tweefactorauthenticatie (2fa)-app Authy Desktop, zo laat het in een bericht aan gebruikers weten. Oorspronkelijk had Twilio aangekondigd dat de apps voor Linux, macOS en Windows vanaf 19 augustus dit jaar end-of-life zouden worden en zo geen ondersteuning meer kregen. Nu meldt Twilio dat de support al op 19 maart stopt, vijf maanden eerder dan oorspronkelijk gepland. De smartphone-apps voor Android en iOS zullen wel ondersteuning blijven ontvangen. Twilio zegt dat het de beslissing heeft genomen om meer middelen beschikbaar te hebben voor de mobiele versies, die meer in trek zijn dan de desktopversies. Authy is een applicatie voor het genereren van tweefactorauthenticatie (2FA) codes. Gebruikers van de desktopversie die niet voor 19 maart actie ondernemen kunnen hun Authy-gebaseerde accounttokens dan niet meer gebruiken, benaderen of migreren. bron: https://www.security.nl

Google gaat binnenkort aanpassingen in Chrome doorvoeren waardoor websites worden geladen en getoond voordat de Safe Browsing-controle van de site is afgerond. Via Safe Browsing waarschuwt Chrome voor phishingsites en andere malafide pagina's. Op dit moment moet de controle zijn afgerond voordat Chrome de website in kwestie toont. Dit kan ervoor zorgen dat het even duurt voordat gebruikers sites te zien krijgen. Met de lancering van Chrome versie 122 zal de browser een 'asynchroon mechanisme' gebruiken, waarbij websites meteen worden geladen, ook al is de Safe Browsing-controle nog niet afgerond. Mocht na de controle blijken dat het om een malafide pagina gaat, krijgt de gebruiker alsnog een waarschuwing te zien. Google stelt dat het op deze manier met AI- en machine learning-gebaseerde algoritmes kan experimenteren om meer phishing- en social engineering-aanvallen te blokkeren. Iets wat voorheen lastig was vanwege de vertraging voor gebruikers. Wat betreft de risico's dat Chrome-gebruikers straks vaker slachtoffer van malafide websites worden stelt Google dat de kans zeer klein is dat een gebruiker bijvoorbeeld al zijn wachtwoord heeft ingevoerd voordat de alsnog getoonde waarschuwing verschijnt. Tevens hanteert de browser een lokale lijst met websites waarvan bekend is dat ze gebruikmaken van Chrome-exploits om zo gebruikers te infecteren. Controle PDF-downloads Een andere aanpassing die Google doorvoert betreft de controle van gedownloade PDF-bestanden. Volgens het techbedrijf werden PDF-bestanden in het verleden op grote schaal gebruikt voor het aanvallen van gebruikers. Het gebruik van PDF-exploits is echter sterk afgenomen. "Zelfs wanneer we malafide PDF's in het wild tegenkomen, bevatten ze links die gebruikers terug naar Chrome redirecten wat ons nog een kans geeft om gebruikers te beschermen", aldus Google. Het bedrijf heeft dan ook besloten om het aantal PDF-controles sterk te verminderen, wat miljarden Safe Browsing-checks per week scheelt. bron: https://www.security.nl