Captain Kirk

Een kritieke kwetsbaarheid in Microsoft Exchange maakt het mogelijk om NTLM relay-aanvallen uit te voeren en zo toegang tot e-mailaccounts van gebruikers te krijgen, zo waarschuwt Microsoft dat beveiligingsupdates beschikbaar heeft gemaakt. De impact van de kwetsbaarheid, aangeduid als CVE-2024-21410, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts, waarbij gebruik wordt gemaakt van wachtwoordhashes. In het geval van een relay-aanval kan een aanvaller met de onderschepte hash van het slachtoffer inloggen op de Exchange-server. Een aanvaller zou hiervoor wel eerst de hash van de gebruiker moeten zien te krijgen, bijvoorbeeld door misbruik te maken van een kwetsbaarheid in Outlook, zo legt Microsoft uit. Microsoft merkt verder op dat voor het verschijnen van de Exchange Server 2019 Cumulative Update 14 (CU14) update, Exchange Server standaard geen bescherming tegen relay-aanvallen had ingeschakeld. De gisteren uitgebrachte CU14-update zorgt ervoor dat de Extended Protection for Authentication (EPA) wel standaard wordt ingeschakeld. Meer details over het installeren van de updates geeft Microsoft in deze blogposting. bron: https://www.security.nl

Beurshandelaren zijn zeker sinds januari van dit jaar aangevallen via een zerodaylek in Microsoft Defender Smartscreen, waarmee criminelen de beveiligingsmaatregel konden omzeilen om slachtoffers op een geraffineerde wijze met malware te infecteren. Dat laat antivirusbedrijf Trend Micro weten. Microsoft heeft beveiligingsupdates voor Windows uitgebracht waarin het probleem is verholpen. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. De afgelopen jaren zijn meerdere kwetsbaarheden in de beveiligingsmaatregel gevonden en gebruikt bij aanvallen. Het nieuwste zerodaylek (CVE-2024-21412) blijkt een eerder uitgebrachte update van Microsoft voor een andere kwetsbaarheid (CVE-2023-36025) te omzeilen. Bij de door Trend Micro waargenomen aanvallen waren beurshandelaren op forex-handelsforums en Telegram-kanalen het doelwit. De aanvallers plaatsten berichten waarin ze om advies vroegen of gaven, of zogenaamde financiële tools deelden. In alle berichten werd gelinkt naar een zogenaamde aandelengrafiek die op een gecompromitteerde Russische handels- en cryptosite werd gehost. In werkelijkheid wees de link naar een WebDAV share die gebruikers vroeg om Windowsverkenner te openen. Via WebDAV is het mogelijk om bestanden op servers te bekijken en delen. De aanvallers hadden de malafide WebDAV share zo vormgegeven dat die op de lokale downloadmap van slachtoffers leek en er een JPG-bestand in stond. Het weergegeven bestand 'photo_2023-12-29.jpg.url' is in werkelijkheid een ini-configuratiebestand, meldt Trend Micro. Dit bestand wijst weer naar een andere url die naar de malware wijst. Windows laat standaard geen extensies zien, waardoor slachtoffers zouden kunnen denken dat het getoonde bestand een afbeelding is. Zodra slachtoffers de 'afbeelding' in de WebDAV share openen wordt in de achtergrond de malware gedownload, zonder dat hierbij de SmartScreen-waarschuwing verschijnt. Om slachtoffers niets te laten vermoeden wordt er na de infectie een echte afbeelding getoond. Via de malware krijgen de aanvallers controle over het systeem van het slachtoffer. bron: https://www.security.nl

Gebruikers van Roundcube Webmail zijn het doelwit van cross-site-scripting (XSS)-aanvallen, waarbij aanvallers misbruik van een bekende kwetsbaarheid in de software maken om informatie van gebruikers te stelen, zo waarschuwt de Amerikaanse overheid. Roundcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. Een kwetsbaarheid in de software, aangeduid als CVE-2023-43770, maakt via speciaal geprepareerde links in e-mailberichten XSS mogelijk. Het probleem wordt veroorzaakt door het verwerken van linkrefs in plaintext berichten. Een aanvaller kan zo informatie van gebruikers buitmaken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 6.1. Eind september vorig jaar verscheen er een beveiligingsupdate voor de kwetsbaarheid. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat er nu misbruik van het beveiligingslek wordt gemaakt en heeft overheidsinstanties die met Roundcube werken opgedragen om de update voor 4 maart uit te rollen, mocht dat nog niet zijn gedaan. Details over de aanvallen zijn niet gegeven. Vorig jaar werd bekend dat een ander XSS-lek in Roundcube bij zeroday-aanvallen werd gebruikt voor het stelen van e-mail van gebruikers. bron: https://www.security.nl

De populaire adblocker Adblock Plus moet het aantal filterlijsten dat het standaard meelevert en door gebruikers is in te schakelen wegens nieuwe regels van Google beperken, zo laten de ontwikkelaars weten. Adblockers maken gebruik van filters en blocklists om trackers en advertenties te blokkeren. In een reactie op adblockers passen trackers en advertentiebedrijven steeds hun code, scripts en domeinen aan, om zo toch internetgebruikers te kunnen blijven volgen, advertenties te tonen en adblockers te blokkeren. Google verplicht dit jaar nieuwe regels voor browser-extensies, die staan beschreven in een Manifest. Over een aantal maanden wordt Manifest V3 verplicht. De nieuwe regels beperken adblockers op verschillende manieren. Zo zal Adblock Plus straks nog maximaal honderd vooraf geïnstalleerde filterlijsten meeleveren waarvan gebruikers er vijftig tegelijkertijd kunnen inschakelen. Daarnaast zal het in eerste instantie niet mogelijk voor gebruikers zijn om zich op andere filterlijsten die buiten de extensie worden aangeboden te abonneren. Updates Manifest V3 stelt ook eisen aan de manier waarop extensies kunnen worden geüpdatet. Op dit moment kunnen adblockers updates voor hun filters en blocklists zelf uitrollen, waardoor er snel op aanpassingen van trackers en advertentiebedrijven kan worden gereageerd. Manifest V3 staat "remotely hosted code" niet meer toe. Alle updates, zelfs die voor filterlijsten, zullen via volledige extensie-updates via de Chrome Web Store moeten lopen. Google controleert alle extensies en updates die in de Chrome Web Store verschijnen, waardoor ze met de nodige vertraging pas beschikbaar voor gebruikers komen. Adblock Plus zegt dat er een oplossing hiervoor is gevonden in de vorm van 'differential filter list updates', waardoor het mogelijk is om filterlijsten buiten de officiele release om te updaten. "Gebruikers zullen waarschijnlijk geen verschil merken in de kwaliteit van het adblocken", aldus Adblock Plus. De Manifest V3-versie van Adblock Plus zal voor juni van dit jaar verschijnen, aangezien extensie-ontwikkelaars dan van Google hun migratie naar het nieuwe manifest moeten hebben afgerond. De nieuwe regels gaan niet gelden voor Mozilla Firefox. bron: https://www.security.nl

Skiff, een bedrijf dat end-to-end versleutelde e-mail, cloudopslag, workspace en kalender biedt, stopt met het aanbieden van diensten nu het is overgenomen door 'connected workspace' aanbieder Notion, tot grote onvrede van gebruikers. Die hebben nu nog zes maanden de tijd om e-mails, bestanden, contacten, kalenders en andere data te exporteren of migreren. Tevens is het mogelijk om in te stellen dat e-mail naar een andere provider wordt doorgestuurd. Gebruikers reageren woedend op Reddit over het stopzetten van de dienstverlening en vragen vooral om advies over hoe en waar ze naar toe moeten overstappen. Skiff werd in 2020 gelanceerd en omschreef zichzelf als een bedrijf dat privacy op de eerste plek zette. Details over de overname zijn niet bekendgemaakt. bron: https://www.security.nl

Vpn-provider ExpressVPN heeft jarenlang sommige dns-verzoeken van gebruikers gelekt, zo heeft het bedrijf bekendgemaakt. Het probleem doet zich voor bij de Windowsapplicatie van ExpressVPN wanneer de feature 'split tunneling' is ingeschakeld. Wanneer ExpressVPN actief is gaat al het verkeer via de vpn-app. Via split tunneling kunnen gebruikers aangeven welke apps via de vpn-tunnel gaan en welke apps direct met een open netwerk verbinding maken. "Wanneer je via split tunneling instelt dat bepaalt verkeer niet via de bescherming van je vpn gaat, kan je internetprovider of een derde partij toegang totdat verkeer krijgen", waarschuwt ExpressVPN op de eigen website. Een bug in de feature zorgt ervoor dat dns-verzoeken die naar een ExpressVPN-server hadden moeten gaan naar een server van een derde gaat, bijvoorbeeld die van de internetprovider. Die kan zo zien welke websites de gebruiker bezoekt. Vanwege de fout heeft ExpressVPN een update voor versie 12 van de Windowsapplicatie uitgebracht waarin split tunneling volledig is uitgeschakeld. Er wordt nu onderzocht wat de exacte oorzaak is. ExpressVPN stelt dat het de situatie alleen in bepaalde gevallen bij bepaalde apps kon repliceren. Wanneer de oorzaak van het probleem, dat sinds 19 mei 2022 in de software aanwezig is, is achterhaald en verholpen, zal split tunneling via een update weer beschikbaar in de vpn-app komen. bron: https://www.security.nl

Malafide advertenties op Facebook worden gebruikt voor het verspreiden van malware die onder andere wachtwoorden uit wachtwoordmanagers, crypto en documenten van besmette systemen steelt, zo laat securitybedrijf Trustwave weten (pdf). De advertenties doen voorkomen dat er vacatures zijn voor posities zoals accountmanager. Voor meer informatie wordt er naar een extern bestand gelinkt. Dit is een malafide bestand dat, wanneer geopend door de gebruiker, de uiteindelijke malware downloadt. Eenmaal actief kan de Ov3r_Stealer, zoals de malware door Trustwave wordt genoemd, allerlei informatie van systemen stelen. Het gaat dan om cryptowallets, wachtwoorden uit een groot aantal wachtwoordmanagers waaronder Dashlane, Bitwarden, KeePass, LastPass en KeePassXC, alsmede authenticator-apps zoals Google Authenticator, Microsoft Authenticator, Duo Mobile, Authy en FreeOTP. Verder steelt de malware ook tekst-, Excel- en Word-bestanden uit de Documenten-map, inloggegevens uit ftp-client FileZilla en gebruikersgegevens uit Google Chrome. Het gaat dan om cookies, creditcardgegevens en andere ingevulde gegevens. De gestolen data wordt vervolgens naar een Telegram-kanaal gestuurd dat door de aanvallers wordt gemonitord. bron: https://www.security.nl

Fortinet waarschuwt organisaties voor een nieuwe kritieke kwetsbaarheid in FortiOS, waardoor het mogelijk is om kwetsbare firewalls, vpn-systemen en andere netwerkapparaten zonder authenticatie op afstand over te nemen. Mogelijk wordt er al misbruik van het lek gemaakt. De Australische overheid roept op om de beschikbaar gestelde beveiligingsupdate te installeren en de SSL VPN-functionaliteit uit te schakelen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. Een nieuwe kwetsbaarheid aangeduid als CVE-2024-21762 maakt het mogelijk voor aanvallers om zonder authenticatie op afstand code en commando's op kwetsbare apparatuur uit te voeren. De enige vereiste is de mogelijkheid om een HTTP-request naar het apparaat te sturen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. In het beveiligingsbulletin stelt Fortinet dat er mogelijk al misbruik van de kwetsbaarheid wordt gemaakt, maar verdere details zijn niet gegeven. Naast het installeren van de beschikbaar gestelde update kunnen organisaties als workaround ook de SSL VPN-functionaliteit in FortiOS uitschakelen. Het Australische Cyber Security Centre (ACSC) adviseert zowel het installeren van de update als het uitschakelen van de VPN-functie. bron: https://www.security.nl

Ivanti roept beheerders op om een nieuwe kwetsbaarheid in Connect Secure en Policy Secure meteen te patchen. De afgelopen weken zijn andere kwetsbaarheden in Connect Secure actief gebruikt om organisaties aan te vallen. De nieuwste kwetsbaarheid (CVE-2024-22024) maakt het mogelijk voor een aanvaller om zonder authenticatie bepaalde afgeschermde 'resources' te benaderen. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 8.3. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Volgens Ivanti heeft het geen aanwijzingen dat er actief misbruik van de kwetsbaarheid wordt gemaakt. "Het is echter belangrijk dat je meteen actie onderneemt om ervoor te zorgen dat je volledig beschermd bent", aldus het bedrijf. Ivanti kwam op 31 januari al met een mitigatie die ook bescherming tegen de nieuwe kwetsbaarheid biedt. Daarnaast zijn er nu ook patches beschikbaar gesteld. Afhankelijk van eerder genomen maatregelen kan het nodig zijn om ook een fabrieksreset van het apparaat uit te voeren. Sinds 10 januari zijn er in totaal vijf beveiligingslekken in Ivanti Connect Secure aan het licht gekomen, waarvan er zeker drie actief worden misbruikt. bron: https://www.security.nl

Microsoft heeft een testversie van een nieuwe tool genaamd Face Check gelanceerd, waarbij een selfie van gebruikers met een foto van hun identiteitsbewijs wordt vergeleken. Daarbij benadrukt het techbedrijf dat er geen sprake van gezichtsherkenning is. Microsoft omschrijft Face Check als een 'privacy-respecting facial matching feature' van Microsoft Entra Verified ID. Entra ID stond eerder nog bekend als Azure Active Directory. Face Check maakt gebruik van 'Azure AI services' waarbij een real-time selfie van een gebruiker met de foto op zijn paspoort, identiteitsbewijs of rijbewijs wordt vergeleken. "Door alleen de matchresultaten te delen en geen gevoelige identiteitsgegevens, verbetert Face Check de privacy van gebruikers terwijl organisaties zeker kunnen zijn dat de persoon die een identiteit claimt te zijn dit ook echt is." Daarbij stelt Microsoft dat Face Check in allerlei situaties is te gebruiken waarbij bijvoorbeeld personeel of klanten moeten worden geverifieerd. 'Controversiële gezichtsherkenning' In een uitleg over Face Check laat Microsoft weten dat er een groot verschil is tussen gezichtsverificatie en 'controversiële gezichtsherkenning'. Bij gezichtsverificatie is er volgens het techbedrijf sprake van een op toestemming gebaseerd proces, waarbij een persoon kan aantonen dat hij is wie hij zegt te zijn. "Gezichtsherkenningstools zijn controversieel en worden, buiten medeweten van een persoon om, door overheidsinstanties gebruikt voor surveillance en onderzoeken", aldus Microsoft. bron: https://www.security.nl

Bij de aanval op AnyDesk zijn ook twee Europese relay-servers getroffen, waardoor in theorie inloggegevens van gebruikers konden worden gestolen, zo heeft het softwarebedrijf laten weten. Dat stelt dat de 'situatie onder controle' is en AnyDesk veilig kan worden gebruikt. AnyDesk is software waarmee het mogelijk is om computers op afstand over te nemen, bijvoorbeeld voor helpdeskdoeleinden. AnyDesk meldde vorige week dat het getroffen was door een inbraak op de eigen productiesystemen. Uit voorzorg werd onder andere besloten om alle wachtwoorden voor de webportaal my.anydesk.com te vervangen. AnyDesk heeft nu iets meer details over de aanval gegeven. Hoe die kon plaatsvinden is nog niet bekendgemaakt. Wel meldt het bedrijf dat twee van de Europese relay-servers zijn getroffen. Europese AnyDesk-gebruikers gebruiken deze servers om op hun AnyDesk-account in te loggen. Volgens AnyDesk is er een theoretisch risico dat de aanvallers via deze gecompromitteerde servers inloggegevens van gebruikers hebben kunnen stelen. Het gaat dan om gebruikers die hun gebruikersnaam en wachtwoord handmatig invoerden en gebruikers zover wisten te krijgen om een malafide versie te installeren. "Dit lijkt onwaarschijnlijk, maar is niet onmogelijk", aldus de uitleg. AnyDesk zegt dat het geen aanwijzingen heeft dat er gecompromitteerde versies van de software in omloop zijn. Ook is er geen bewijs volgens het bedrijf dat klantgegevens zijn buitgemaakt of systemen van gebruikers gecompromitteerd. Wel worden gebruikers aangeraden om naar de laatste versie van de software te updaten. Tevens is AnyDesk bezig om de certificaten gebruikt voor het signeren van software te vervangen en zijn alle security-gerelateerde certificaten al ingetrokken. bron: https://www.security.nl

Aanvallers maken misbruik van een kwetsbaarheid in Google Chrome waarvoor afgelopen september een beveiligingsupdate verscheen, zo meldt de Amerikaanse overheid. Google laat in de beveiligingsbulletins altijd weten of het bekend is met misbruik van een kwetsbaarheid, maar dat was in het geval van CVE-2023-4762 niet zo. Het beveiligingslek bevindt zich in V8, de JavaScript-engine van Chrome waarin de afgelopen jaren meerdere kwetsbaarheden zijn gevonden, die ook bij aanvallen zijn gebruikt. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security geeft geen details over de aanvallen. Chrome beschikt over een automatische updatefunctie, waardoor bekende kwetsbaarheden over het algemeen slechts korte tijd zijn te misbruiken. bron: https://www.security.nl

Een kritieke kwetsbaarheid in TeamCity maakt het mogelijk om servers van softwareontwikkelaars op afstand over te nemen, wat vergaande gevolgen kan hebben. De Amerikaanse autoriteiten lieten eind vorig jaar weten dat een soortgelijk beveiligingslek maandenlang door de Russische geheime dienst werd misbruikt. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software. Het nieuwste beveiligingslek in TeamCity waarvoor JetBrains in een blogposting waarschuwt wordt aangeduid als CVE-2024-23917. Het betreft een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller met toegang tot een TeamCity-server de authenticatie kan omzeilen en beheerderscontrole over de server kan krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in alle versies van 2017.1 tot en met 2023.11.2. Organisaties en gebruikers worden opgeroepen om te updaten naar versie 2023.11.3 waarin het probleem is verholpen. De kwetsbaarheid werd op 19 januari door een externe onderzoeker aan JetBrains gerapporteerd. Zowel de on-premise als bij JetBrains gehoste cloudversies bleken kwetsbaar. Het beveiligingslek is al in de cloudversie verholpen en JetBrains stelt dat er geen aanwijzingen van misbruik op de cloudservers is aangetroffen. Organisaties die hun TeamCity-server niet op korte termijn kunnen patchen worden aangeraden die offline te halen als die vanaf het internet toegankelijk is. bron: https://www.security.nl

Verschillende kritieke kwetsbaarheden in printers van fabrikant Canon maken de apparaten kwetsbaar voor remote code execution, waardoor een aanvaller willekeurige code kan uitvoeren. Het gaat in totaal om zeven buffer overflows die tot remote code execution of een denial-of-service kunnen leiden. Een aanvaller moet wel toegang tot de printer hebben, bijvoorbeeld wanneer die direct op internet is aangesloten, aldus Canon. De printerfabrikant adviseert klanten om een 'privaat ip-adres' voor de printer in te stellen en een firewall te gebruiken om zo netwerktoegang tot het apparaat te beperken. Ook zijn er firmware-updates uitgebracht. De problemen zijn aanwezig in verschillende modellen laserprinters en 'multifunction printers' (pdf). Het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC) heeft de impact van de kwetsbaarheden op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Tientallen landen en techbedrijven, waaronder Google, Meta en Microsoft, hebben vandaag een akkoord getekend over de aanpak van commerciële spyware. De verklaring werd ondertekend tijdens een door het Verenigd Koninkrijk en Frankrijk georganiseerde conferentie over commerciele spyware. Het gaat dan om spyware zoals Pegasus en Predator. In de verklaring wordt gesteld dat de zeer snel groeiende markt voor spyware zorgen met zich meebrengt over nationale veiligheid en mensenrechten, alsmede statelijke en niet-statelijke actoren toegang tot krachtige spionagetools geeft. De landen die de verklaring hebben ondertekend geven daarmee aan dat ze commerciële spyware op een juridische en verantwoorde manier zullen gebruiken, met precisie. Daarnaast komt er meer toezicht op spywareleveranciers. Door het niet strenger reguleren van commerciële spyware bestaat het risico dat kwaadwillenden spionage-activiteiten zullen uitvoeren, zo stellen de ondertekenaars, aldus persbureau Reuters. Er wordt dan gewezen naar groepen die voor 'commerciële klanten' spyware-aanvallen uitvoeren. Spywareleveranciers claimen dat hun producten alleen bedoeld zijn voor overheden voor het beschermen van de nationale veiligheid, maar in de praktijk wordt spyware geregeld aangetroffen op telefoons van mensenrechtenactivisten, journalisten, advocaten en politieke oppositie. bron: https://www.security.nl

Europol heeft alarm geslagen over actief misbruik van kwetsbaarheden in Ivanti Connect Secure VPN en roept organisaties op om advies van lokale cyberagentschappen of het Europees Agentschap voor cyberbeveiliging (ENISA) op te volgen, waaronder het uitvoeren van een fabrieksreset. Een derde zeroday in de VPN-oplossing wordt inmiddels op grote schaal aangevallen en de Amerikaanse overheid werd vorige week nog opgedragen om Ivanti-apparaten van het netwerk los te koppelen. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Op 10 januari meldde Ivanti dat het product twee kwetsbaarheden bevat, CVE-2023-46805 en CVE-2024-21887, waarvan aanvallers actief misbruik van maken om systemen over te nemen. Tijdens het onderzoek naar deze kwetsbaarheden en aanvallen werden twee nieuwe beveiligingslekken ontdekt, aangeduid als CVE-2024-21888 en CVE-2024-21893. Deze laatste kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om toegang tot bepaalde 'restricted resources' te krijgen en werd op het moment van de ontdekking al actief misbruikt. De Shadowserver Foundation meldde dit weekend dat er inmiddels grootschalig misbruik plaatsvindt. Ook de andere twee zerodays die Ivanti op 10 januari rapporteerde worden op grote schaal aangevallen, zo laat Europol weten. Volgens de opsporingsdienst is er sprake van een 'developing situation' en is het cruciaal dat organisaties hier gepast op reageren. Daarbij wordt aangeraden om advies van lokale cyberagentagentschappen in de gaten te houden en op te volgen. Het komt zelden voor dat Europol waarschuwt voor kwetsbaarheden. Zo wordt onder andere het uitvoeren van een fabrieksreset van het apparaat als maatregel genoemd. Ook Amerikaanse overheidsinstanties die van de VPN-oplossing gebruikmaken moeten dit doen. bron: https://www.security.nl

Bijna zeventig zerodaylekken in software van Adobe, Apple, Google, Microsoft en Mozilla, die sinds 2016 zijn ontdekt en gebruikt voor het aanvallen van gebruikers zijn het werk van commerciële spywareleveranciers, zo stelt Google in een nieuw rapport (pdf). Het techbedrijf vindt dat er meer internationale inzet nodig is om het 'spyware-ecosysteem' te verstoren en gebruikers te beschermen. De spywareleveranciers leveren spyware waarmee het mogelijk is om volledige toegang tot smartphones of systemen van slachtoffers te krijgen en hen zo te bespioneren. Om de spyware op de telefoon te krijgen maken de bedrijven, die vaak voor overheden werken, gebruik van zerodaylekken, waar op het moment van de aanval nog geen update voor beschikbaar is. De spywareleveranciers zoeken zelf naar deze zerodays of betalen onderzoekers voor het melden hiervan. De kwetsbaarheden worden echter niet gemeld bij de betreffende softwareleverancier, waardoor er ook geen update voor wordt ontwikkeld en gebruikers kwetsbaar blijven. Google stelt dat er sinds 2016 zeker 67 van dergelijke zerodays door commerciële spywareleveranciers zijn gebruikt om systemen te infecteren. Veel van de aangevallen kwetsbaarheden bevinden zich in Android, Google Chrome, en iOS. Sinds halverwege 2014 zijn er volgens Google 72 verschillende zerodaylekken gebruikt om gebruikers van Android, Google Chrome en andere Google-producten aan te vallen. Volgens Google zijn zeker 35 van deze kwetsbaarheden door commerciële spywareleveranciers ingezet. Daarbij stelt het techbedrijf dat dit een lage ondergrens is en het werkelijke aantal zeer waarschijnlijk veel hoger is. Dat geldt zowel voor het totaal aantal geregistreerde zerodaylekken, als de zerodays die zijn ingezet om Google-gebruikers mee aan te vallen. In het rapport over commerciële spyware laat Google weten dat de tijd voor overheden, industrie en maatschappij is gekomen om de beloningsstructuur waardoor spyware zich kan verspreiden te veranderen. Zo is Google voorstander van het reguleren van commerciële spyware. "De schade die deze industrie veroorzaakt is meer dan duidelijk op dit moment, en we vinden dat dit zwaarder weegt dan enig voordeel om er gebruik van te blijven maken", aldus Google. bron: https://www.security.nl

De Belgische overheid waarschuwt burgers voor phishing via qr-codes. Volgens het Belgische ministerie van Economie is 'quishing' een nieuwe vorm van phishing. Het gebruik van qr-codes bij phishingaanvallen komt echter al jaren voor. In 2021 waarschuwde de Nederlandse politie hier nog voor. De malafide qr-codes worden via e-mail en WhatsApp verspreid en lijken van officiële instanties te komen en verzoeken slachtoffers om een (fictieve) boete of rekening te betalen. "Wanneer slachtoffers de qr-code scannen, belanden ze op phishingwebsites of moeten ze een betaling uitvoeren. Ook worden qr-codes gebruikt om schadelijke software te installeren bij slachtoffers. Die software bevat vaak malware, gericht op het stelen van persoonlijke gegevens zoals inloggegevens voor internetbankieren", aldus de uitleg van het ministerie. Afname slachtoffers phishing Ondanks het gebruik van 'quishing' is het aantal geregistreerde slachtoffers van phishing in België vorig jaar afgenomen. In 2022 maakten 1100 slachtoffers melding bij het Belgische meldpunt tegenover zeshonderd vorig jaar. Ook de schade nam af, van gemiddeld 4700 euro in 2022 naar 4100 euro in 2023. Volgens het ministerie heeft de daling verschillende redenen. "Allereerst zijn burgers waakzamer geworden dankzij sensibiliseringscampagnes van de FOD Economie en andere overheidsinstanties. Maar ook de gerichte aanpak van de Economische Inspectie van de FOD Economie in de bestrijding van phishing werpt zijn vruchten af. Ze probeert via gerichte acties de houders van de bankrekeningen waarnaar de gelden werden overgemaakt te identificeren bij de respectievelijke banken, die ook op de hoogte worden gebracht." bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor vier kritieke kwetsbaarheden in Ivanti Connect Secure (voorheen Pulse Connect Secure) en Policy Secure. In een schematisch overzicht geeft het centrum de geïdentificeerde kwetsbaarheden en beschikbare update weer. Kwaadwillenden kunnen de kwetsbaarheden in Ivanti Connect Secure en Policy Secure uitbuiten om authentificatie te omzeilen en op afstand willekeurige code uit te voeren met root-rechten. Ook een SSRF-kwetsbaarheid aangetroffen in Ivanti. Sommige kwetsbaarheden zijn door Ivanti gedicht met behulp van een beveiligingsupdate. In andere gevallen adviseert het bedrijf mitigerende maatregelen toe te passen. Het NCSC adviseert partijen met kwetsbare Ivanti Connect Secure- en Policy Secure-implementaties de volgende stappen te doorlopen: Voer een factory reset uit Installeer patches Wijzig credentials of pas mitigerende maatregelen toe Onderrzoek misbruik, implementeer monitoring en blijft alert bron: https://www.security.nl

OWASP ModSecurity V2 en V3 bevatten beide een vergelijkbare bug die beide de mogelijkheid bieden een Web Application Firewall (WAF) te omzeilen. De bug in ModSecurity V3 (CVE-2024-1019) is inmiddels verholpen. De kwetsbaarheid in V2 is echter nog altijd niet gepatcht. Hiervoor waarschuwt Andrea Menin, Application Security Business Unit Manager bij het Italiaanse beveiligingsbedrijf SicuraNext. ModSecurity is op 25 januari 2024 door OWASP overgenomen van Trustave, en heet sindsdien OWASP ModSecurity. ModSecurity maakt al langer gebruik van de OWASP ModSecurity Core Rule Set. Het onderliggende probleem dat de WAF nu kwetsbaar maakt zit in de manier waarop de opensource-firewall voor webtoepassingen URL's decodeert voordat het bepaalde variabelen toevoegt. Menin stelt dat deze functie niet alleen ongewenst gedrag oplevert, maar daarnaast ook ongedocumenteerd is. ModSecurity geeft gebruikers diverse variabelen die zij kunnen gebruiken voor het ontwikkelen en inspecteren van regels. Een hiervan is 'REQUEST_FILENAME', wat het onder meer mogelijk maakt een opgevraagde URL te controleren op kwetsbaarheden als SQL-injecties of Cross-Site Scripting (XSS). Menin waarschuwt dat deze variabele niet goed in ModSecurity is geïmplementeerd, wat het mogelijk maakt de functie uit te buiten en zo de WAF te omzeilen. Bij het decoderen van een URL identificeert ModSecurity V3 onder meer de query string. Om dit mogelijk te maken decodeert de firewall de URL, en zet daarbij %3f - de hexadecimale weergave van het vraagteken - om in een vraagteken. Alles wat na het vraagteken in de URL is opgenomen, ziet ModSecurity als query string. "Dus in de basis, door %3f toe te voegen voor een willekeurige payload interpreteert ModSecurity wat volgt als een query string, en sluit deze uit van de REQUEST_FILENAME variabel waardoor alle regels dit volledig negeren", schrijft Menin. De kwetsbaarheid is niet aanwezig in ModSecurity V2, al omvat deze versie wel een vergelijkbaar probleem dat eveneens het omzeilen van de WAF mogelijk maakt. Menin wijst erop dat een gebruiker al in maart 2022 op het forum van ModSecurity melding maakte van de bug. Op basis van deze melding hadden kwaadwillenden de WAF-bypass kunnen ontdekken. Het lek is volgens de Application Security Business Unit Manager dan ook sinds 2022 openbaar. bron: https://www.security.nl

Het Amerikaanse techbedrijf stelt dat de cache niet langer nodig is nu de betrouwbaarheid van het internet sterk is verbeterd, en de kans dat een webpagina niet laadt aanzienlijk is afgenomen. Dit bevestigt Danny Sullivan, Search Liaison bij Google. Sullivan meldt dat het om een van de oudste functionaliteiten van de zoekmachine gaat. De functie was bedoeld om mensen toegang te geven tot webpagina's, ook op het moment dat de achterliggende server niet beschikbaar was. Sullivan zegt zelf te hopen dat Google op termijn links naar het Internet Archive gaat toevoegen op de plek waar voorheen de cache link werd weergegeven. Sullivan benadrukt dat dit niet zeker is en doet hierover dan ook geen beloftes, maar zegt wel toe dit intern te zullen bespreken. bron: https://www.security.nl

Twee weken na de vorige waarschuwing waarschuwt GitLab opnieuw voor een kritieke kwetsbaarheid en roept organisaties en gebruikers op om zo snel mogelijk de beschikbaar gestelde updates te installeren. GitLab is een populaire online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Organisaties kunnen GitLab op hun eigen server of servers installeren of door GitLab laten beheren. Een beveiligingslek in het platform, aangeduid als CVE-2024-0402, maakt het mogelijk voor een geauthenticeerde aanvaller om bij het aanmaken van een workspace bestanden naar willekeurige locaties op de GitLab-server te schrijven. Volgens GitLab gaat het om een kritieke kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.9. Het beveiligingslek is verholpen in GitLab 16.6.6, 16.7.4 en 16.8.1. Daarnaast is de fix ook gebackport naar versie 16.5.8. GitLab adviseert met klem om de update zo snel mogelijk te installeren. bron: https://www.security.nl

De groep aanvallers die op systemen van Microsoft wist in te breken en daarbij e-mail en bijlagen buitmaakte deed dit via malafide OAuth-applicaties, zo laat het techbedrijf in een update over het incident weten. Microsoft stelt verder dat meerdere organisaties door de groep zijn aangevallen en het begonnen is om deze organisaties te informeren. Eerder meldde Hewlet Packard Enterprise (HPE) al dat het slachtoffer van de groep was geworden, die bekendstaat als Cozy Bear en Midnight Blizzard. Eerder maakten de Amerikaanse en Britse autoriteiten bekend dat deze groep onderdeel van de Russische geheime dienst SVR is. De groep had wekenlang toegang tot e-mailaccounts van Microsoft, waarbij er vooral werd gezocht naar wat het techbedrijf over de groep wist, aldus een verklaring van Microsoft zelf. Het bedrijf stelt dat het de aanvallen uiteindelijk opmerkte door loggegevens van Exchange Web Services (EWS) activiteiten en audit logging features te gebruiken. In een nieuwe blogposting over de aanval geeft Microsoft meer details over de werkwijze van Cozy Bear en wat organisaties kunnen doen om zichzelf te beschermen. Cozy Bear maakt vooral gebruik van password spraying om toegang tot accounts en systemen te krijgen. Dit is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Malafide OAuth-applicaties Via de password spraying-aanval kregen de aanvallers toegang tot een Microsoft 'test tenant account'. Vervolgens wisten de aanvallers via dit account een legacy OAuth-applicatie gebruikt voor testdoeleinden te vinden en benaderen. Deze OAuth-applicatie had verhoogde rechten tot de zakelijke Microsoft-omgeving. De aanvallers creëerden vervolgens meerdere malafide OAuth-applicaties en een nieuw gebruikersaccount. Dit account gaf vervolgens toestemming dat de malafide OAuth-applicaties toegang tot de Microsoft-omgeving hadden. Via de applicaties kregen de aanvallers vervolgens toegang tot mailboxes in Office 365 Exchange Online. De aanvallers gebruikten bij hun aanval ook residentiële proxy-netwerken, waarbij het verkeer liep via ip-adressen van gecompromitteerde gebruikers. Via deze ip-adressen werd de gecompromitteerde tenant gebruikt en ingelogd op Exchange Online. Microsoft stelt dat dit geen nieuwe techniek is, maar dat het gebruik van residentiële proxies om verbindingen te verbergen detectie via traditionele Indicators of Compromise (IoC's), vanwege het grote aantal ip-adressen dat verandert, onpraktisch maakt. Om de aanvallen te voorkomen adviseert Microsoft onder andere om maatregelen tegen password spraying te nemen en op malaifde OAuth-applicaties te monitoren. bron: https://www.security.nl

Gebruikers van chatsoftware Tencent QQ, de Chinese keyboard-app Sogou en WPS Office zijn via een man-in-the-middle (MitM) aanval besmet geraakt met malware, zo laat antivirusbedrijf ESET weten. Volgens de virusbestrijder zijn Chinese en Japanse bedrijven, alsmede personen in China, Japan en het Verenigd Koninkrijk het doelwit van gerichte aanvallen geworden waarbij ze via de MitM-aanval met een backdoor besmet raakten. De drie genoemde programma's, die bij elkaar honderden miljoenen gebruikers hebben, downloaden updates via het onbeveiligde HTTP-protocol. De aanvallers weten dit proces te onderscheppen en sturen vervolgens malafide updates naar aangevallen gebruikers van de software. Hoe de MitM-aanval wordt uitgevoerd is onbekend. De onderzoekers van ESET denken dat de aanvallers mogelijk misbruik maken van gecompromitteerde netwerkapparaten van het slachtoffer, zoals routers en gateways. Via de malafide updates wordt een backdoor op het systeem geïnstalleerd die applicaties zoals Skype, Telegram, Tencent QQ en WeChat kan afluisteren. Verder is de backdoor in staat om zichzelf in verschillende Chinese antimalware-oplossingen te nestelen, kan toetsaanslagen opslaan, screenshots maken en gebruikers afluisteren door alle audiostreams van het systeem op te slaan. Volgens ESET houdt de verantwoordelijke groep, die het Blackwood noemt, zich vooral bezig met cyberspionage. bron: https://www.security.nl

Ruim vijfduizend GitLab-installaties zijn kwetsbaar voor een aanval waarbij het mogelijk is om accounts van gebruikers via een wachtwoordreset over te nemen, zo stelt de Shadowserver Foundation. De organisatie telde 155 kwetsbare installaties in Nederland. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Een kritieke kwetsbaarheid in het platform maakt het mogelijk om e-mails voor het resetten van het accountwachtwoord op een ongeverifieerd e-mailadres te laten afleveren. Zo kan een aanvaller het wachtwoord van elk willekeurig account resetten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. In het geval gebruikers voor hun account tweefactorauthenticatie (2FA) hebben ingeschakeld is het nog steeds mogelijk voor een aanvaller om het wachtwoord te resetten, maar niet om het account over te nemen, aangezien er nog een tweede factor is vereist om in te loggen. GitLab zegt niet bekend te zijn met misbruik van de kwetsbaarheid (CVE-2023-7028) en roept organisaties op die het platform zelf hosten om hun eigen logbestanden te controleren. Op 11 januari kwam GitLab met updates voor het probleem. Twee weken later blijkt dat zo'n 5400 GitLab-installaties nog altijd ongepatcht zijn. Het grootste deel daarvan bevindt zich in de Verenigde Staten, Rusland en Duitsland, aldus de Shadowserver Foundation. Dit is een in Nederland en de VS geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. Hiervoor scant het geregeld op internet naar kwetsbaarheden. bron: https://www.security.nl