Captain Kirk

Al een aantal dagen vindt er een grootschalige aanval plaats tegen WordPress-sites, waarbij aanvallers via een XSS-kwetsbaarheid in een cookiebanner-plug-in kwaadaardige code proberen te injecteren, zo meldt securitybedrijf Wordfence. Het beveiligingslek bevindt zich in de Beautiful Cookie Consent Banner, een plug-in die op meer dan veertigduizend WordPress-sites is geïnstalleerd. Via de banner kunnen websites toestemming vragen voor het plaatsen van cookies. "De plug-in zorgt ervoor dat je website klaar is voor allerlei cookiewetgeving", aldus de ontwikkelaar, die daarbij onder andere de AVG noemt. De plug-in is echter kwetsbaar voor stored cross-site scripting (XSS), waardoor een aanvaller kwaadaardige JavaScript in de website kan injecteren, die vervolgens in de browser van bezoekers wordt uitgevoerd. Zo is het mogelijk voor aanvallers om bezoekers van de WordPress-site naar malafide websites door te sturen of een beheerdersaccount toe te voegen, aldus Wordfence. Details over de waargenomen aanvallen zijn niet gegeven, maar via stored XSS kunnen cookies van ingelogde gebruikers worden gestolen. De XSS-kwetsbaarheid werd in januari van dit jaar verholpen. Wordfence heeft sinds 23 mei naar eigen zeggen aanvallen tegen meer dan 1,5 miljoen WordPress-sites waargenomen, waarbij werd geprobeerd om via het lek in de cookiebanner-plug-in code te injecteren. De aanvallen waren van bijna veertienduizend ip-adressen afkomstig. Beheerders wordt opgeroepen om de update te installeren mocht dat nog niet zijn gedaan. Uit cijfers van WordPress blijkt dat 54 procent de meest recente versie van de plug-in draait. bron: https://www.security.nl

De FBI en de Amerikaanse geheime dienst NSA hebben een vernieuwde handleiding gepubliceerd om ransomware te stoppen (pdf). De oorspronkelijke handleiding verscheen in 2020, maar volgens de overheidsdiensten hebben aanvallers sindsdien hun tactieken en technieken verder ontwikkeld. De aangepaste handleiding bevat onder andere geleerde lessen van de afgelopen jaren en aanvullende aanbevelingen om de impact van ransomware beperken. De handleiding beschrijft verschillende stappen die bij het voorkomen van ransomware of beperken van de impact belangrijk zijn, zoals het voorbereid zijn op een aanval door het maken van back-ups, het opstellen en onderhouden van een cyber incident response plan en het implementeren van een zero trust-architectuur. Ook wordt er ingegaan op het voorkomen van infecties waarbij aanvallers gebruikmaken van kwetsbaarheden en misconfiguraties. Zo wordt aangeraden om Server Message Block (SMB) v1 en v2 uit te schakelen, het gebruik van het remote desktop protocol (RDP) te beperken, wachtwoorden van minimaal vijftien karakters te gebruiken en dagelijkse werkzaamheden niet via accounts met roottoegang uit te voeren. Tevens moet personeel tijdens de jaarlijkse securitytraining op wachtwoordveiligheid worden gewezen en is het nodig om veelgebruikte bestandstypes door malware via een e-mailfilter te stoppen. Ook moeten macro's in Microsoft Office-bestanden die via e-mail zijn verstuurd worden uitgeschakeld, wat ook geldt voor de Windows Script Host (WSH). De handleiding geeft verder ook "best practices" advies om systemen te hardenen. Het tweede deel van de handleiding bevat adviezen wat organisaties moeten doen als hun systemen door ransomware zijn getroffen. Het gaat dan bijvoorbeeld om het isoleren van systemen of het uitschakelen daarvan als ze niet uit het netwerk zijn te verwijderen, maar ook het opschonen van systemen en herstel. De aanpassingen ten opzichte van de eerste versie gaan vooral over infectievectoren, waaronder gecompromitteerde inloggegevens en geavanceerde vormen van social engineering en een uitgebreidere ransomware response checklist, met tips voor 'threat hunting' en detectie. bron: https://www.security.nl

MikroTik heeft een kwetsbaarheid verholpen waardoor routers van het bedrijf door een ongeauthenticeerde aanvaller zijn over te nemen. Het beveiligingslek werd vijf maanden geleden al gedemonstreerd tijdens de Pwn2Own-wedstrijd in Toronto en volgens de organisatie meteen gemeld bij MikroTik, maar de routerfabrikant ontkent dit. Via het beveiligingslek kan een aanvaller die zich in hetzelfde netwerk als de router bevindt willekeurige code op het apparaat uitvoeren. Pwn2Own is een jaarlijks terugkerende wedstrijd georganiseerd door het Zero Day Initiative (ZDI), waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in allerlei producten. De betreffende fabrikant wordt vervolgens over het probleem ingelicht. Het ZDI stelt dat het MikroTik op 9 december 2022 heeft ingelicht over het beveiligingslek, aangeduid als CVE-2023-32154.MikroTik zegt dat het de bugmelding nooit heeft ontvangen. Normaliter maakt het ZDI gerapporteerde kwetsbaarheden na een bepaalde tijd openbaar, ook al heeft de betreffende fabrikant nog geen patches beschikbaar gemaakt. Het bedrijf vroeg MikroTik op 9 mei om een update over de stand van zaken en stuurde een dag later op verzoek van de routerfabrikant de bugmelding nogmaals op. Tevens stelde het ZDI dat het de details van de kwetsbaarheid op 17 mei openbaar zou maken. In een blogposting stelt MikroTik dat het probleem alleen speelt in MikroTik RouterOS versie 6.xx en 7.xx en zich alleen voordoet als de IPv6 advertisement receiver functionaliteit is ingeschakeld. Volgens MikroTik wordt de kwetsbare instelling zelden gebruikt. Als oplossing kunnen IPv6 advertisements worden uitgeschakeld of kan er worden geüpdatet naar een nieuwere versie van RouterOS, het besturingssysteem dat op MikroTik-routers draait. bron: https://www.security.nl

Windows 11 krijgt binnenkort ingebouwde ondersteuning voor archiefbestandstypes zoals 7-Zip, RAR en GZ, zo heeft heeft Microsoft aangekondigd. Hiervoor wordt gebruikgemaakt van libarchive, een opensourceproject. Windows ondersteunt al lange tijd .zip-bestanden, maar voor andere archiefformaten moest een apart programma worden geïnstalleerd. Vorig jaar stelden securitybedrijven nog dat aanvallers steeds vaker van archiefbestandstypes zoals RAR en ISO gebruikmaken om malware te verspreiden, aangezien Microsoft besloot om macro's in Office 365 standaard te blokkeren. Het Internet Storm Center waarschuwde vorige week nog voor een toename van malafide RAR SFX-bestanden die malware bevatten. De support voor 7-Zip, RAR en GZ wordt deze week als eerste onder Windows Insiders uitgerold. bron: https://www.security.nl

De Spaanse overheid wil dat het voor EU-gebaseerde aanbieders wordt verboden om end-to-end encryptie aan hun gebruikers aan te bieden, zo meldt Wired op basis van een gelekt document (pdf). Daarnaast zijn vijftien Europese landen in meer of mindere mate voorstander van het omstreden scanplan van de Europese Commissie om alle chatberichten en ander verkeer van Europese burgers te controleren. Het gelekte document heeft als onderwerp regels om kindermisbruik tegen te gaan en vraagt twintig landen naar hun mening over het scannen van versleuteld materiaal. Spanje laat daarop weten dat het voorstander is van wetgeving die het EU-gebaseerde serviceproviders verbiedt om end-to-end encryptie te implementeren. Ook vindt de Spaanse overheid dat opsporingsdiensten toegang tot data moeten hebben om hun taken uit te voeren. Nederland stelt in de reactie dat het heeft gepleit voor een toevoeging aan het voorstel dat end-to-end encryptie niet onmogelijk mag worden gemaakt. Aan de andere kant wordt ook gewezen naar de eigen technische experts die stellen dat het inspecteren van de inhoud van chatberichten en ander verkeer op het apparaat van de gebruiker de enige vorm van detectie is waarbij end-to-end encryptie niet wordt gecompromitteerd. Critici stellen dat ook bij inspecties op het toestel end-to-end encryptie wordt ondermijnd. Bij deze vorm van versleuteling is de inhoud namelijk alleen voor de afzender en ontvanger beschikbaar en wanneer een derde partij de inhoud kan controleren is dat niet meer het geval. Naast Nederland lieten ook Duitsland en Estland weten dat encryptie niet mag worden verzwakt. Roemenië stelt in het gelekte document dat end-to-end encryptie geen "schuilplaats" voor kwaadwillenden mag worden en vindt daarom naar eigen zeggen het beschermen van kinderen belangrijker. Eerder meldde The Guardian dat België, Bulgarije, Cyprus, Hongarije, Ierland, Italië, Letland, Litouwen, Roemenië en Spanje het scanplan van Brussel steunen. bron: https://www.security.nl

De AVG is deze week vijf jaar van kracht, maar Europese toezichthouders laten na om de privacywetgeving goed te handhaven, zo stelt noyb, de organisatie van privacyactivist Max Schrems. Met name de Autoriteit Persoonsgegevens heeft nog tientallen klachten van noyb op de plank liggen. Een klacht die noyb bij de Ierse privacytoezichthouder indiende leidde tot een boete van 1,2 miljard euro voor Meta, maar volgens de privacyorganisatie is dit juist een voorbeeld van niet-werkende handhaving. De Ierse privacytoezichthouder DPC had namelijk meer dan tien jaar nodig om tot een eerste beslissing te komen, waar Meta nu tegen in beroep gaat. Daarnaast moest Schrems ook drie verschillende zaken tegen de DPC aanspannen zodat die zijn werk deed, aldus noyb. De kosten hiervan bedragen naar schatting meer dan tien miljoen euro. Ook stelt noyb dat de beslissing van de Ierse toezichthouder om met de boete van 1,2 miljard euro te komen strategisch was vertraagd tot het vijfjarig jubileum van de AVG. Het is niet alleen de Ierse privacytoezichthouder die ervan langs krijgt. Noyb heeft een kaart gemaakt met Europese privacytoezichthouders waar bepaalde problematiek speelt. Ook de Autoriteit Persoonsgegevens (AP) staat op deze kaart vermeld. Volgens noyb zijn klachten die het jaren geleden bij de Nederlandse privacytoezichthouder indiende nog altijd niet behandeld. De afgelopen jaren diende noyb meer dan achthonderd klachten bij Europese privacytoezichthouders in. 85 procent daarvan wacht nog altijd op een beslissing en 470 klachten liggen al meer dan anderhalf jaar op de plank. Zestig van deze privacyklachten werden bij de AP ingediend. De Nederlandse privacytoezichthouder is daarmee koploper. Geen enkel ander land heeft meer privacyklachten van noyb op de plank liggen. "De AVG had sterke politiek steun. Vijf jaar verder zien we veel weerstand bij toezichthouders en rechtbanken om de wet te handhaven. De wetgever heeft gesproken, maar nationale rechtbanken en autoriteiten vinden continu nieuwe manieren om niet te luisteren", aldus Schrems. "Het voelt vaak dat er meer energie wordt gestoken in het ondermijnen van de AVG dan die te volgen." De privacyactivist hoopt dan ook dat toezichthouders hun houding veranderen en op een "serieuze handhavingscultuur" overstappen. bron: https://www.security.nl

Microsoft gaat e-mail die vanaf kwetsbare Exchange 2016/2019-servers naar Exchange Online wordt verstuurd vanaf volgend jaar mei blokkeren. Exchange 2007 is al in augustus aan de beurt, gevolgd door Exchange Server 2010 en 2013 in respectievelijk november en februari. Dat heeft Microsoft bekendgemaakt. Volgens het techbedrijf wordt de maatregel genomen om het "Exchange-ecosysteem" te beschermen en is het geen manier om klanten naar de cloud te krijgen. Exchange Server 2007, 2010 en 2013 zijn inmiddels end-of-life en ontvangen geen beveiligingsupdates meer. Exchange 2016 en 2019 worden nog wel door Microsoft ondersteund, maar alleen als die een bepaalde Cumulative Update (CU) hebben geïnstalleerd. Wanneer een Exchange 2016/2019-server geen up-to-date CU-versie draait, beschouwt Microsoft die als kwetsbaar. Om het aantal kwetsbare Exchange-servers terug te dringen kondigde Microsoft begin dit jaar het plan aan om mail afkomstig van deze servers en bedoeld voor Exchange Online te blokkeren. Zodra een kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het "throttelen" van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen. Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Microsoft was oorspronkelijk van plan om eind mei met het waarschuwen van Exchange 2007-beheerders te beginnen, maar heeft nu besloten om hier een maand mee te wachten. Daardoor is de hele tijdlijn met een maand verschoven. bron: https://www.security.nl

Begin deze maand lanceerde Google verschillende nieuwe top level domains (TLD's) waaronder .zip. Criminelen maken nu gebruik van .zip-domeinen voor het uitvoeren van phishingaanvallen, zo meldt internetbedrijf Netcraft. Organisaties wordt onder andere geadviseerd om .zip-domeinen op hun netwerk te blokkeren, terwijl Mozilla werd verzocht om het TLD van de "public suffix" lijst te verwijderen. Die bevat een overzicht van bekende top level domains. Beveiligingsexperts waarschuwden dat de .zip-TLD zich uitermate leent voor phishing en andere aanvallen. Inmiddels zijn verschillende van dergelijke aanvallen waargenomen, aldus Netcraft en securitybedrijf Silent Push. Organisaties krijgen van securitybedrijf Arctic Wolf het advies om het .zip-TLD op hun netwerk te blokkeren. Google stelt in een reactie tegenover The Register dat het risico op verwarring tussen domeinnamen en bestandsnamen niet nieuw is en het de ontwikkelingen rond het top level domain in de gaten zal houden. bron: https://www.security.nl

Mozilla heeft een nieuwe API voor het filteren van verkeer voor alle Firefox-extensies beschikbaar gemaakt die volgens de Firefox-ontwikkelaar meer privacy biedt dan de huidige gebruikte application programming interface (API). Adblockers in Firefox maken op dit moment vooral gebruik van de webRequest API voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API voorgesteld genaamd declarativeNetRequest (DNR). Die beperkt de mogelijkheden van adblockers door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Google gaat de webRequest API uitfaseren en vervangen door DNR. Mozilla liet eerder al weten een andere richting te kiezen. De Firefox-ontwikkelaar blijft de webRequest API ondersteunen, alsmede een compatibele versie van DNR. Volgens Mozilla biedt de webRequest API meer flexibiliteit dan DNR, waar adblockers en andere privacy- en security-extensies op creatieve wijze gebruik van kunnen maken. DNR heeft echter ook voordelen, stelt Mozillas Rob Wu. Zo biedt het meer privacy, omdat het netwerk requests naar bijvoorbeeld advertenties of trackers zonder host permissions kan blokkeren en er geen toegang tot de details van de requests meer wordt gegeven. DNR is vanaf Firefox 113 voor alle extensies beschikbaar. Mozilla laat wel aan extensie-ontwikkelaars weten dat de DNR-implementatie binnnen Firefox nog in ontwikkeling is. bron: https://www.security.nl

De afgelopen dagen zijn duizenden WordPress-sites besmet geraakt via een wachtwoordreset-lek in een populaire Elementor-plug-in, zo meldt securitybedrijf Sucuri. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn ook weer allerlei plug-ins beschikbaar, waaronder Essential Addons for Elementor. Deze uitbreiding voorziet Elementor van allerlei nieuwe onderdelen. Meer dan één miljoen WordPress-sites maken er gebruik van. De wachtwoordresetfunctie van de plug-in bevat een kwetsbaarheid. De functie controleert namelijk niet of een door de gebruiker opgegeven key voor het uitvoeren van een wachtwoordreset wel geldig is en wijzigt vervolgens direct het wachtwoord van de opgegeven gebruiker. Een aanvaller kan zo het wachtwoord van de beheerder wijzigen en de website overnemen. Het probleem is aanwezig in versie 5.4.0 tot en met 5.7.1. Vorige week verscheen versie 5.7.2 waarin de kwetsbaarheid is verholpen, maar dit is niet duidelijk vermeld. Wel is duidelijk dat veel WordPress-sites de update niet hebben geïnstalleerd. Sucuri meldt dat het al meer dan zesduizend besmette WordPress-sites heeft gedetecteerd. Vervolgens installeren de aanvallers backdoors en een plug-in die malafide code bevat. Daarmee worden onder andere bezoekers naar andere websites doorgestuurd. Beheerders van websites waarop de plug-in draait worden dan ook opgeroepen om die te updaten mocht dat nog niet zijn gedaan. bron: https://www.security.nl

De ontwikkelaar van wachtwoordmanager KeePass heeft een beveiligingsupdate aangekondigd voor een kwetsbaarheid (CVE-2023-32784) waardoor een aanvaller die toegang tot een systeem heeft het master password, op het eerste karakter na, in plain text uit het geheugen kan halen. Onlangs verscheen er op GitHub een tool genaamd "KeePass 2.X Master Password Dumper" waarmee de aanval is uit te voeren. "Het maakt niet uit waar het geheugen vandaan komt, het kan de process dump, swap file, hibernation file of RAM dump van het gehele systeem zijn. Het maakt niet uit of de workspace vergrendeld is. Het is ook mogelijk om het wachtwoord uit het RAM te halen nadat KeePass niet meer draait, hoewel de kans dat dit werkt afneemt naarmate het programma langer is gesloten", aldus de ontwikkelaar van de dumptool. Wanneer gebruikers het master password invoeren, blijft voor elk getypt karakter een string in het geheugen achter. Eenmaal gecreëerd zijn die lastig te verwijderen, zo stelt de ontwikkelaar. Wanneer bijvoorbeeld "Password" wordt getypt, blijven de strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d achter. De tool zoekt in de geheugendump naar deze patronen en toont voor elke positie in het wachtwoord het waarschijnlijke wachtwoordkarakter. De aanval werkt alleen tegen KeePass versie 2, de eerste versie van de wachtwoordmanager is niet kwetsbaar. Dominik Reichl, de ontwikkelaar van KeePass, heeft echter een oplossing in versie 2.54 verwerkt die begin juni zou moeten verschijnen. Gebruikers van KeePass stellen dat de impact van de kwetsbaarheid beperkt is, aangezien een aanvaller al toegang tot het systeem moet hebben en dan ook allerlei andere aanvallen kan uitvoeren. bron: https://www.security.nl

Verschillende switches van Cisco bevatten kritieke kwetsbaarheden waardoor een ongeauthenticeerde aanvaller de apparaten op afstand volledig kan overnemen. Proof-of-concept exploitcode waarmee er misbruik van de beveiligingslekken kan worden gemaakt is volgens Cisco al op internet te vinden. De in totaal vier kritieke kwetsbaarheden zijn aanwezig in de "Small Business Series Switches" van de netwerkfabrikant en bevinden zich in de webinterface van de apparaten. De webinterface blijkt requests niet goed te valideren. Een aanvaller kan door het versturen van een speciaal geprepareerd request naar de webinterface in het ergste geval willekeurige code als root op de apparaten uitvoeren en zo volledige controle over de switch krijgen. De impact van de vier beveiligingslekken (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 en CVE-2023-20189) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Cisco heeft firmware-updates beschikbaar gesteld om de problemen te verhelpen. bron: https://www.security.nl

Het op privacygerichte besturingssysteem Tails maakt voortaan gebruik van LUKS2 voor het versleutelen van volumes, omdat dit volgens de ontwikkelaars betere bescherming biedt dan LUKS1, wat hiervoor werd gebruikt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. Wanneer Tails wordt uitgeschakeld zal alles wat de gebruiker heeft gedaan verdwijnen. Het is echter mogelijk om sommige bestanden, zoals documenten en bookmarks, en de configuratie, zoals wifi-wachtwoorden, in een versleutelde Persistent Storage op de Tails usb-stick op te slaan. Hiervoor maakt het besturingssysteem gebruik van de Linux Unified Key Setup (LUKS). Met de lancering van Tails 5.13 wordt nu standaard LUKS2 voor alle nieuwe Persistent Storage toegepast. Voor gebruikers van wie de Persistent Storage met LUKS1 is versleuteld zal met het verschijnen van Tails 5.14 begin juni ook een migratieplan beschikbaar komen voor het migreren naar LUKS2. Gebruikers kunnen zowel handmatig als via de automatische updatefunctie naar Tails versie 5.13 updaten. bron: https://www.security.nl

Google heeft een kritieke kwetsbaarheid in Chrome verholpen waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Een gebruiker hoeft hiervoor alleen een gecompromitteerde of besmette website te bezoeken of een geïnfecteerde advertentie te zien krijgen. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel drive-by downloads genoemd. Het komt zelden voor dat Google een kritiek lek in Chrome verhelpt. Dit jaar werd één keer eerder een kritieke kwetsbaarheid in Chrome verholpen. Dat gebeurde eind februari. Het nu verholpen beveiligingsprobleem, aangeduid als CVE-2023-2721, bevindt zich in het "Navigation" onderdeel van de browser. De kwetsbaarheid kan leiden tot een use after free waardoor remote code execution mogelijk is. Het beveiligingslek werd gevonden en gerapporteerd door onderzoeker Guang Gong van securitybedrijf Qihoo 360. Gong ontdekte in het verleden vaker kritieke kwetsbaarheden in Chrome. Welke beloning de onderzoeker voor zijn bugmelding krijgt is nog niet bekend. Google Chrome 113.0.5672.126/.127 is beschikbaar voor Windows, voor Linux en macOS is versie 113.0.5672.126 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Het aantal populaire websites in Frankrijk dat trackingcookies plaatst is de afgelopen jaren gedaald, alsmede het aantal trackingcookies dat nog wel wordt geplaatst, zo stelt de Franse privacytoezichthouder CNIL, dat zich al enige tijd met de aanpak van online tracking bezighoudt. Toch blijkt uit onderzoek dat een meerderheid van de Fransen nog altijd akkoord geeft voor het plaatsen van cookies. CNIL ontwikkelde een tool genaamd CookieViz om het gebruik van trackingcookies op de duizend populairste websites in Frankrijk te monitoren. Daaruit blijkt dat het aantal websites dat zes of meer third-party cookies plaatst daalde van 24 procent in 2021 naar 12 procent in 2022. Verder daalde het aantal websites dat helemaal geen cookies van derden plaatst van 29 procent naar 20 procent. Ook het gemiddeld aantal trackingcookies dat websites plaatsen nam af. Op basis van de cijfers die via CookieViz werden verzameld controleerde de Franse privacytoezichthouder of websites zich wel aan de privacywetgeving houden. Dat bleek niet altijd het geval, want CNIL verstuurde 94 formele waarschuwingen. Daarnaast legde de toezichthouder in totaal 421 miljoen euro aan boetes op aan bedrijven die zonder toestemming cookies plaatsten, bezoekers hier onvoldoende over informeerden of geen optie gaven om cookies te weigeren. CookieViz is nu ook als browserplug-in voor eindgebruikers beschikbaar. bron: https://www.security.nl

Een datalek bij de Amerikaanse saas-aanbieder Brightly Software raakt drie miljoen gebruikers, zo heeft het bedrijf bekendgemaakt. Brightly Software is een dochteronderneming van Siemens en levert "intelligent asset management solutions" voor het beheer van gebouwen en onderhoud. Daarnaast biedt het ook een online cloudplatform voor onderwijsinstellingen genaamd SchoolDude. Dat wordt onder andere gebruikt voor beheer, gebouwautomatisering, inventarismanagement, alarmautomatisering en andere zaken. Onlangs wist een aanvaller toegang tot de gegevens van SchoolDude-gebruikers te krijgen. Het gaat om naam, e-mailadres, accountwachtwoord, telefoonnummer en naam van schooldistrict. Uit een datalekmelding die bij de procureur-genaal van de Amerikaanse staat Maine werd gedaan blijkt dat van in totaal drie miljoen gebruikers de gegevens zijn gestolen. Hoe de aanval kon plaatsvinden laat Brightly Software niet weten. Vanwege het datalek heeft het bedrijf besloten om van alle gebruikers het wachtwoord te resetten. bron: https://www.security.nl

Antivirusbedrijf Doctor Web blokkeert alle licenties die door online webshop AvirKey.com zijn verkocht, zo heeft het bedrijf aangekondigd. Volgens de virusbestrijder maakt de Russische webwinkel gebruik van illegale methodes voor het aanbieden van licenties tegen een gereduceerde prijs. Naast Doctor Web zijn er ook licenties voor de producten van andere antivirusleveranciers te vinden. Welke illegale wijze AvirKey.com toepast laat Doctor Web niet weten. Het antivirusbedrijf merkt op dat de webwinkel geen officiële partner is en roept mensen op om licenties alleen via de officiële webshop of gecertificeerde partners aan te schaffen. Verschillende antivirusbedrijven, waaronder ESET, waarschuwen gebruikers voor licenties die met hoge korting worden aangeboden, aangezien het hier om piraterij kan gaan. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de WordPress Advanced Custom Fields plug-in waardoor cross-site scripting (XSS) mogelijk is en aanvallers gegevens van ingelogde gebruikers kunnen stelen, zoals de beheerder, of code toevoegen die bezoekers naar andere websites doorstuurt. Dat laat internetbedrijf Akamai weten. Advanced Custom Fields is een plug-in voor WordPress die de mogelijkheden van het contentmanagementplatform verder uitbreidt, zodat gebruikers allerlei velden en andere onderdelen kunnen aanpassen. Op 5 mei berichtte securitybedrijf Patchstack dat er een XSS-kwetsbaarheid in de plug-in zit waardoor een ongeauthenticeerde aanvaller "gevoelige informatie" van ingelogde gebruikers zoals de beheerder kan stelen. Daarmee kan een aanvaller vergaande toegang tot de website krijgen. Voorwaarde is wel dat een aanvaller een ingelogde gebruiker van de website een speciaal geprepareerde url op de website laat bezoeken. Het kan dan bijvoorbeeld gaan om een reactie of een andere plek waar het mogelijk is voor een bezoeker om code in te voeren. Patchstack had het probleem op 2 mei aan de ontwikkelaars van de plug-in gemeld, die op 4 mei met een beveiligingsupdate kwamen. Vervolgens kwam Patchstack op 5 mei met een blogposting waarin het de details bekendmaakte en proof-of-concept exploitcode publiceerde. Nog geen 24 uur na het verschijnen van de details en code vonden de eerste aanvallen op kwetsbare websites plaats, aldus Akamai. Daarbij maken de aanvallers gebruik van de proof-of-concept exploit van Patchstack. Hoewel er inmiddels updates voor het probleem zijn verschenen, blijkt uit cijfers van WordPress dat een aanzienlijk aantal websites nog een kwetsbare versie van de plug-in draait. bron: https://www.security.nl

Het populaire chatplatform Discord heeft een onbekend aantal gebruikers gewaarschuwd voor een datalek nadat een aanvaller toegang kreeg tot de supporttickets van een helpdeskmedewerker. Daarbij kunnen e-mailadres, inhoud van het supportticket en eventueel uitgewisselde bijlagen zijn gelekt. Discord geeft in de melding, die via Reddit werd gedeeld, weinig details over het incident. Volgens het platform betrof het een helpdeskmedewerker van een extern bedrijf. Hoe de aanvaller toegang tot de supporttickets van deze medewerker kon krijgen laat Discord niet precies weten. Wel wordt er gesproken over een gecompromitteerd account en dat er op de getroffen computer op malware is gescand. Verder zegt Discord dat het met het niet nader genoemde externe helpdeskbedrijf samenwerkt om soortgelijke incidenten in de toekomst te voorkomen. bron: https://www.security.nl

Googles online virusscandienst VirusTotal geeft bij meer scripttalen een leesbare malware-samenvatting, die door een generatieve AI is gegenereerd. Vorige maand introduceerde VirusTotal een nieuwe feature genaamd "VirusTotal Code Insight", die analisten en professionals meer inzicht moet geven in wat het betreffende malware-exemplaar precies doet. Hiervoor wordt gebruikgemaakt van generatieve AI, een type van kunstmatige intelligentie dat op basis van invoer onder andere tekst of afbeeldingen kan genereren. Een bekend voorbeeld van generatieve AI is ChatGPT. Via VirusTotal is het mogelijk om verdachte bestanden door tientallen virusscanners te laten scannen. Naast een overzicht van wat antivirusprogramma's van het bestand vinden, geeft VirusTotal ook allerlei andere informatie weer. Door middel van "Code Insight" is er voortaan ook een leesbare samenvatting van wat de malware precies doet. In eerste instantie werd dit alleen gedaan bij PowerShell-bestanden, maar dat is inmiddels uitgebreid naar meer scripttalen, waaronder Shell scripts (SH) en VBScript (VBS). Verder is het nu ook mogelijk om bij grotere bestanden een leesbare samenvatting te krijgen en is de gebruikersinterface aangepast, waarbij alleen de eerste regels van het rapport worden getoond. VirusTotal stelt dat Code Insight niet ontwikkeld is om menselijke analisten te vervangen, maar als hulp moet worden gezien. Voor de toekomst is het de bedoeling dat Code Insight meer bestandstypen en grotere bestanden gaat ondersteunen, alsmede binary en executable bestanden kan analyseren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in een populaire plug-in voor WordPress maakt het mogelijk voor een ongeauthenticeerde aanvaller om websites over te nemen. De enige vereiste is dat de aanvaller de gebruikersnaam weet van het account dat hij wil kapen, zo meldt securitybedrijf Patchstack. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn ook weer allerlei plug-ins beschikbaar, waaronder Essential Addons for Elementor. Deze uitbreiding voorziet Elementor van allerlei nieuwe onderdelen. Meer dan één miljoen WordPress-sites maken er gebruik van. De wachtwoordresetfunctie van de plug-in bevat een kwetsbaarheid. De functie controleert namelijk niet of een door de gebruiker opgegeven key voor het uitvoeren van een wachtwoordreset wel geldig is en wijzigt vervolgens direct het wachtwoord van de opgegeven gebruiker. Een aanvaller kan zo het wachtwoord van de beheerder wijzigen en de website overnemen. Het probleem is aanwezig in versie 5.4.0 tot en met 5.7.1. Gisteren verscheen versie 5.7.2 waarin de kwetsbaarheid is verholpen, maar dit is niet duidelijk vermeld. Er staat in de beschrijving alleen "Improved: EA Login/Register Form for Security Enhancement" en "Few minor bug fixes & improvements." Hoeveel websites met Essential Addons for Elementor kwetsbaar zijn is onbekend, aangezien het probleem alleen bij bepaalde versies speelt. Wel hebben gisteren 358.000 sites de update ontvangen. bron: https://www.security.nl

De makers van Brave hebben twee nieuwe privacyfeatures aan de browser toegevoegd die bounce tracking en first-party heridentificatie moeten tegengaan. De eerste feature, "Forgetful Browsing" genaamd, zal wanneer gebruikers een website sluiten alle cookies en andere opgeslagen data van de betreffende site verwijderen. Dit moet first-party heridentificatie tegengaan. Volgens Brave hebben de privacyproblemen op het web een gezamenlijke hoofdoorzaak, namelijk dat browsers sites toestaan om gebruikers oneindig te heridentificeren. Voor gebruikers is het echter bij slechts een klein deel van de sites handig om opnieuw te worden geïdentificeerd. Door heridentificatie kunnen websites zien dat dezelfde gebruiker hen bezoekt, ook al is die tussen de bezoeken uitgelogd. Dit komt volgens Brave doordat niet alle first-party storage wordt verwijderd en browsers geen goede bescherming hebben tegen websites die opzettelijk gebruikers tussen het inloggen opnieuw proberen te identificeren. Er zijn wel opties, zoals private browsing en het verwijderen van alle opgeslagen browsingdata, maar die werken onvoldoende of zijn ongeschikt, claimt Brave. Zo kunnen gebruikers wel alle browsingdata verwijderen, maar dit biedt geen oplossing voor mensen die hun browser langere tijd open hebben, aldus de browserontwikkelaar. Forgetful Browsing voorkomt heridentificatie zonder dat de browser moet worden gesloten. Alleen het sluiten van de site is voldoende, staat in de uitleg. De browser zal dan alle opgeslagen data, zoals cookies, localStorage (indexedDB) en zaken als HTTP- en DNS-cache verwijderen. Unlinkable bouncing De tweede nieuwe privacyfeature is Unlinkable bouncing en moet bescherming tegen bounce tracking bieden. Bounce tracking is een trackingmethode waarbij een gebruiker op een link klinkt en vervolgens via een trackingpagina bij de uiteindelijke bestemming komt. Een gebruiker zit op de website rabbits.example en klikt op een link naar turtles.example. De tracker wijzigt op het laatste moment de link naar tracker.example. De trackingsite stuurt de gebruiker vervolgens door naar turtles.example, maar weet wel dat de gebruiker interesse in konijnen en schildpadden heeft. Wanneer tracker.example zichzelf maar vaak genoeg bij het browsen van de gebruiker weet te injecteren, kan er een uitgebreid profiel van hem worden gemaakt. Brave had al verschillende beveiligingsmaatregelen tegen bounce tracking toegevoegd. Unlinkable bouncing zorgt ervoor dat de geïnjecteerde tracker nog steeds ziet dat er iemand van rabbits.example naar turtles.example gaat, maar niet weet dat het dezelfde persoon is die de website gisteren ook bezocht. Brave controleert hiervoor alle nieuw geopende links en kijkt of die bekendstaan om bounce tracking. Is dat het geval, dan maakt de browser een nieuwe tijdelijke browser storage voor de bestemming aan. Zodra de gebruiker de trackingpagina verlaat wordt de tijdelijke storage verwijderd en moet heridentificatie worden voorkomen als de gebruiker de volgende keer via de trackingpagina op een website terechtkomt. bron: https://www.security.nl

Microsoft zal de beveiligingsupdate voor een actief aangevallen zerodaylek in Secure Boot die het gisterenavond uitbracht in het eerste kwartaal van volgend jaar op alle Windowssystemen inschakelen. Op dit moment moeten gebruikers en beheerders dit zelf doen. Het beveiligingslek (CVE-2023-24932) maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om Secure Boot te omzeilen. De BlackLotus-bootkit blijkt misbruik van deze kwetsbaarheid te maken om eigen code op UEFI-niveau uit te voeren, terwijl Secure Boot is ingeschakeld. De beveiligingsmaatregel zou dit juist moeten voorkomen. Microsoft kwam gisteren met een patch, maar die staat standaard uitgeschakeld en gebruikers zijn zodoende niet beschermd. Gebruikers die beschermd willen zijn moeten zelf verschillende acties uitvoeren. Op 11 juli van dit jaar kom Microsoft met een tweede release van de update die aanvullende opties biedt, die het inschakelen van de bescherming eenvoudiger zouden moeten maken. Op een nog nader te bepalen datum in het eerste kwartaal van 2024 wordt de beveiligingsupdate op alle Windowssystemen ingeschakeld, hoewel Microsoft zegt naar een eerdere uitrol te kijken. Het techbedrijf claimt deze gefaseerde aanpak te hanteren om te voorkomen dat systemen straks niet meer kunnen opstarten. Secure Boot bepaalt welk bootmedia mag worden geladen bij het initialiseren van het besturingssysteem. Als de beveiligingsupdate niet op de juiste manier wordt ingeschakeld is er een kans dat het systeem niet meer opstart. Als onderdeel van de oplossing voor de Secure Boot bypass (CVE-2023-24932) trekt Microsoft namelijk verschillende bootmanagers in. Dit heeft verschillende gevolgen. Zo zijn back-ups van Windows die voor de installatie van de beveiligingsupdates van 9 mei zijn gemaakt niet direct te gebruiken voor het herstellen van een Windows-installatie nadat de revocations op de betreffende computer zijn ingeschakeld. Gebruikers moeten dan ook hun bootable media en volledige back-ups van Windows updaten. Nadat de revocations zijn toegepast zal bootable media die niet is geüpdatet niet meer goed werken. bron: https://www.security.nl

Twitter zou vanaf morgen over end-to-end versleutelde privéberichten moeten beschikken, zo heeft eigenaar Elon Musk aangekondigd. Op dit moment past Twitter geen end-to-end encryptie toe voor de privéberichten van gebruikers, waardoor derden die zouden kunnen lezen. Eerder stelde de Amerikaanse burgerrechtenbeweging EFF dat Twitter de privéberichten die gebruikers onderling versturen end-to-end zou moeten versleutelen. "Het versleutelen van privéberichten zou veel doen voor het verbeteren van de veiligheid van gebruikers, en kan de redelijke angst wegnemen dat wie bij Twitter werkt, in de raad van bestuur zit of aandelen bezit, de berichten van gebruikers kan bespioneren", aldus de EFF. "Wanneer gebruikers meer controle hebben, maakt het minder uit wie eraan het hoofd staat, en dat is goed voor iedereen." Vorig jaar mei liet Musk weten dat privéberichten die via Twitter worden verstuurd, net zoals bij Signal, end-to-end versleuteld zouden moeten zijn. Vandaag meldt Musk dat end-to-end versleutelde direct messages vanaf morgen op Twitter beschikbaar zouden moeten zijn. "Zelfs met een pistool tegen mijn hoofd zou ik je privéberichten niet kunnen zien." bron: https://www.security.nl

De FBI heeft met toestemming van een Amerikaanse rechter de beruchte Snake-malware via een commando op afstand op de besmette systemen van slachtoffers uitgeschakeld. De Snake-malware is volgens de Amerikaanse opsporingsdienst al twee decennia lang door de Russische inlichtingendienst voor spionage en het stelen van vertrouwelijke documenten in meer dan vijftig landen ingezet. De Amerikaanse autoriteiten noemen Snake zelfs de meest geraffineerde spionagemalware van de Russische inlichtingendienst FSB. Eenmaal actief op een systeem probeert Snake zo min mogelijk op te vallen, terwijl het de operators in staat stelt om naar allerlei gevoelige informatie te zoeken. De communicatie van en naar besmette systemen is versleuteld. De FSB gebruikte echter te korte encryptiesleutels voor de versleutelde communicatie, waardoor de FBI die kon kraken en lezen. Daarnaast bleek dat de operators bij hun aanvallen de Snake binary achterlieten. Daardoor konden onderzoekers allerlei functienamen, cleartext strings en opmerkingen van ontwikkelaars vinden. Zo bleek dat de Snake-operators verschillende commando's gebruikten waarmee ze de Snake-malware allerlei opdrachten gaven, onder andere om de malware te stoppen. FBI ontwikkelde vervolgens een tool om met de malware te communiceren waardoor het een commando naar met Snake besmette systemen kon sturen waardoor de malware de eigen onderdelen overschreef en zo werd uitgeschakeld. Dit gebeurde alleen op systemen die in Verenigde Staten werden gelokaliseerd en waarvoor de opsporingsdienst een gerechtelijk bevel kreeg. Als onderdeel van het bevel moest de FBI slachtoffers na de operatie informeren. Slachtoffers zijn daarmee niet klaar, aldus de Amerikaanse autoriteiten. De Snake-malware mag dan zijn verwijderd, dat geldt niet voor andere malware die via Snake op systemen is geïnstalleerd. En ook eventuele kwetsbaarheden waarmee de malware is geïnstalleerd zijn nog steeds aanwezig. Daarnaast werd er via de Snake-malware vaak een keylogger geïnstalleerd om inloggegevens te stelen. Slachtoffers moeten dan ook hun wachtwoorden wijzigen. De autoriteiten hebben een uitgebreid document gepubliceerd met details over de werking van de Snake-malware en hoe die is te vinden, verwijderen en voorkomen. bron: https://www.security.nl