Captain Kirk

Aanvallers zijn erin geslaagd om via een phishingaanval interne gegevens van gameontwikkelaar Activision te stelen, zo heeft het bedrijf bevestigd. Het zou gaan om gegevens van medewerkers en informatie over nog uit te brengen games en content. De phishingaanval vond afgelopen december plaats, waarbij medewerkers een sms-bericht ontvingen. Het bericht linkte naar een phishingsite. Een medewerker vulde zijn gegevens op de site in, waarna de aanvallers om de 2FA-code vroegen, die de werknemer ook verschafte. Dat blijkt uit screenshots die door het Twitteraccount VX-Underground zijn gedeeld. Dat stelt ook dat meerdere werknemers de phishing-sms ontvingen, maar hier niet op reageerden. Deze medewerkers zouden de aanval echter ook niet hebben gerapporteerd. Volgens Insider Gaming werkt de medewerker die wel in het bericht trapte voor de HR-afdeling. Met de gegevens van de werknemer wisten de aanvallers onder andere toegang tot namen, e-mailadressen, telefoonnummers, salarisgegevens en werklocaties te krijgen, alsmede informatie over nog te verschijnen games en content. Gegevens van spelers en broncode zijn volgens Activision niet buitgemaakt. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om honderden servers waarop de R1Soft Server Backup Manager draait te voorzien van een backdoor en via de software verbonden clients aan te vallen. Dat stelt securitybedrijf Fox-IT op basis van eigen onderzoek. Server Backup Manager is een oplossing waarmee organisaties back-ups van werkstations en andere systemen binnen hun netwerk kunnen maken. Hiervoor wordt er een "agent" op de systemen geïnstalleerd die met verhoogde rechten draait en voor de connectie met de back-upserver zorgt. Vorig jaar mei verscheen er een beveiligingsupdate voor een kwetsbaarheid in het ZK Java Framework (CVE-2022-36537). De R1Soft Server Backup Manager blijkt van het ZK Framework gebruik te maken en onderzoekers demonstreerden afgelopen oktober hoe de kwetsbaarheid is te gebruiken om de authenticatie te omzeilen en vervolgens willekeurige code uit te voeren op de server en alle verbonden agents. Fox-IT deed naar eigen zeggen onderzoek bij een organisatie waar de aanvallers via een kwetsbare back-upserver waren binnengedrongen en vervolgens toegang tot verbonden systemen hadden gekregen. Verder onderzoek wees uit dat de aanvallers al op 29 november misbruik van de kwetsbaarheid hadden gemaakt. Op 9 december verschenen er proof-of-concept exploits voor het beveiligingslek. Op kwetsbare back-upservers installeerden aanvallers een malafide driver die als backdoor fungeert. Onderzoekers ontdekten vorige maand 286 R1Soft-servers die van de backdoor waren voorzien. Het grootste deel daarvan werd in de Verenigde Staten, Zuid-Korea en het Verenigd Koninkrijk aangetroffen. Fox-IT waarschuwde het Nationaal Cyber Security Centrum (NCSC), dat vervolgens nationale Computer Emergency Response Teams informeerde, zodat die weer de getroffen organisaties konden inlichten. Hierdoor is het aantal back-upservers met een backdoor inmiddels naar 146 gedaald. bron: https://www.security.nl

Aanvallers maken actief misbruik van kritieke kwetsbaarheden in IBM Aspera Faspex en Mitel MiVoice Connect voor het aanvallen van organisaties, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het zou onder andere om ransomware-aanvallen gaan. IBM Aspera Faspex is een webapplicatie voor het uitwisselen van bestanden en draait op een Aspera-server. Op 26 januari kwam IBM met een beveiligingsupdate voor een kritieke kwetsbaarheid in Aspera Faspex, aangeduid als CVE-2022-47986. Door een speciaal geprepareerde API-call te versturen kan een aanvaller willekeurige code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 13 februari meldde de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, dat aanvallers misbruik van de kwetsbaarheid maken. De eerste gedetecteerde aanvalspogingen bleken van 3 februari te dateren, een week na het uitkomen van de beveiligingsupdate. Volgens beveiligingsonderzoeker Raphael Mendonca wordt CVE-2022-47986 gebruikt voor ransomware-aanvallen op kwetsbare servers. Ook het CISA meldt nu misbruik van het Aspera-lek. Tevens stelt de Amerikaanse overheidsinstantie dat aanvallers ook misbruik maken van twee kwetsbaarheden in Mitel MiVoice Connect. Het gaat om CVE-2022-41223 en CVE-2022-40765. Mitel MiVoice Connect is een voip-platform voor organisaties dat communicatie- en collaboration tools via één interface aanbiedt. Het draait zowel op fysieke als virtuele hardware. Via de beveiligingslekken kan een geauthenticeerde aanvaller willekeurige code of commando's op het systeem uitvoeren. Details over de aanvallen zijn niet gegeven. In het verleden is een andere kwetsbaarheid in Mitel MiVoice Connect gebruikt bij ransomware-aanvallen, zo ontdekte securitybedrijf CrowdStrike destijds. De twee Mitel-beveiligingslekken waar het CISA nu voor waarschuwt zijn ook door CrowdStrike gevonden. Het CISA heeft Amerikaanse overheidsinstanties opgedragen om de updates voor Aspera en Mitel voor 14 maart te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Nederland is een voorbeeld als het gaat om beleid voor het melden van kwetsbaarheden, zo stelt het Europees Agentschap voor cyberbeveiliging (ENISA), dat in een nieuw rapport pleit voor een geharmoniseerde aanpak. Via Coordinated Vulnerability Disclosure (CVD) worden regels afgesproken voor het melden van kwetsbaarheden. De Nederlandse overheid maakt al jaren gebruik van de 'Leidraad Coordinated Vulnerability Disclosure'. Zo weten beveiligingsonderzoekers waar ze aan moeten voldoen voor het melden van kwetsbaarheden en hoe de verdere communicatie verloopt. De betreffende organisatie zal dan geen aangifte van strafrechtelijk handelen doen. Als onderdeel van de Europese beveiligingsrichtlijn NIS2 moeten alle EU-landen uiterlijk 17 oktober 2024 over CVD-beleid beschikken. Op dit moment zijn er slechts vier EU-landen die over CVD-beleid beschikken, aldus ENISA. Het gaat om Nederland, België, Frankrijk en Litouwen. Volgens ENISA kan nationaal CVD-beleid een belangrijk voorbeeld voor de industrie zijn om vulnerability management en security practices prioriteit te maken. Het huidige CVD-ecosysteem is echter gefragmenteerd. Het is dan ook belangrijk om tot een geharmoniseerd, heterogeen CVD-beleid te komen, gaat het Europese agentschap verder. ENISA stelt ook dat onderwijs en bewustzijn prioriteit moeten krijgen. "Hoewel kwetsbaarheden en vulnerability management in cybersecurity al decennia bestaan, wordt een 'security-by-default' aanpak voor productontwikkeling nog zelden gezien bij ontwikkelaars en fabrikanten. Er zijn nog steeds voorbeelden van professionals die geen volledig begrip hebben van actuele problemen en beschikbare oplossingen." bron: https://www.security.nl

Gebruikers van Firefox kunnen in de toekomst zonder beperkingen van adblockers gebruik blijven maken, in tegenstelling tot gebruikers van Google Chrome, zo stelt adblocker-ontwikkelaar AdGuard, dat spreekt over de "Chromapocalypse". De manier waarop extensies binnen Chrome en andere Chromium-gebaseerde browsers mogen werken worden door Google vastgesteld in een Manifest. Het techbedrijf is bezig met de uitrol van Manifest V3. Deze versie stelt allerlei beperkingen aan adblockers, waardoor die minder effectief worden. Zo wordt onder andere de webRequest API uitgefaseerd. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Daarnaast beperkt Manifest V3 het aantal ingebouwde en door gebruikers toe te voegen rules. AdBlockers maken gebruik van filterregels om advertenties en trackers te blokkeren. Chrome stelt een limiet van 30.000 statische, ingebouwde rules per extensie en een totale limiet van 330.000 rules. Het aantal rules dat gebruikers kunnen toevoegen is beperkt tot 5.000. De door Google opgelegde beperkingen kunnen dan ook echt een probleem worden, aldus AdGuard. Verder wil Google dat de filterregels waar adblockers gebruik van maken al tijdens de installatie aanwezig zijn. Daardoor is het niet meer mogelijk voor ontwikkelaars om op het moment dat het nodig is in real-time nieuwe regels uit te brengen, waardoor adblockers trager op aanpassingen van advertentiebedrijven kunnen reageren. Een ontwikkelaar zal voor elke aanpassing namelijk eerst een compleet nieuwe versie van de extensie moeten uploaden. Die versie moet vervolgens worden goedgekeurd, wat volgens AdGuard ook geen snel proces is. Mozilla maakt ook gebruik van de Manifest-regels, zodat extensie-ontwikkelaars geen aparte extensie voor Firefox en de Chromium-gebaseerde browsers hoeven te ontwikkelen. De Firefox-ontwikkelaar heeft echter voor een implementatie van Manifest V3 gekozen waardoor adblockers nog steeds onbeperkt in de browser kunnen werken, tot grote tevredenheid van AdGuard. "In vergelijking met Firefox-gebruikers, die van de volledige functionaliteit van adblockers kunnen blijven profiteren, zullen de drie miljard gebruikers van Chrome zich binnenkort op achterstand bevinden als het om adblockers gaat. Op de lange termijn kan dit voor sommige Chrome-gebruikers reden zijn om naar Firefox over te stappen", zo stelt de adblocker-ontwikkelaar. bron: https://www.security.nl

De afgelopen dagen zijn honderden VMware ESXi-servers besmet geraakt met ransomware, waaronder zo'n dertig in Nederland. Dat meldt securitybedrijf Censys op basis van eigen onderzoek. Hoe de aanvallers toegang weten te krijgen is nog altijd onbekend. De afgelopen weken werd vaak gesteld dat de aanvallers gebruikmaakten van een kwetsbaarheid aangeduid als CVE-2021-21974, maar dat is volgens VMware niet bevestigd. In totaal detecteerde Censys de afgelopen dagen vijfhonderd nieuw besmette ESXi-servers. "De plotselinge toename van aanvallen is met name interessant, omdat de meeste van deze nieuw besmette hosts zich bevinden in Frankrijk, Duitsland, Nederland en het Verenigd Koninkrijk", aldus Censys. In Nederland gaat het om 28 machines. Het securitybedrijf stelt verder aanwijzingen te hebben gevonden dat de huidige ransomware-aanvallen zijn vooraf gegaan door een eerdere aanval in oktober vorig jaar. Het is nog altijd onduidelijk hoe de aanvallers weten toe te slaan. Eerder liet VMware weten dat de aanvallers geen gebruik van een onbekende kwetsbaarheid maken. Welk beveiligingslek dan wel kan het bedrijf niet zeggen. VMware krijgt bijval van securitybedrijf GreyNoise, dat ook stelt dat de aanvalsvector op dit moment nog onbekend is en er mogelijk meerdere kandidaten zijn. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Begin februari werden ESXi-servers wereldwijd het doelwit van een ransomware-aanval. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. bron: https://www.security.nl

Ruim 77.000 Nederlandse domeinnamen maken inmiddels gebruik van security.txt, een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Dat laat het Digital Trust Center (DTC) van het ministerie van Economische Zaken vandaag weten. Vorige week meldde Security.NL dat het Forum Standaardisatie adviseert om het gebruik van security.txt te verplichten voor Nederlandse overheden, zoals het Rijk, provincies, gemeenten en waterschappen en instellingen uit de publieke sector. Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld. Vorig jaar oktober heeft het DTC samen met een groot aantal ambassadeurs een oproep aan bedrijven en it-dienstverleners gedaan om security.txt te gaan gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 77.000, aldus het DTC. Hoewel het Forum Standaardisatie pleit om security.txt voor overheden te verplichten, ziet het Digital Trust Center graag dat ook de private sector dit voorbeeld volgt. Via Internetconsultatie.nl kan er tot 12 maart op het advies van het Forum Standaardisatie worden gereageerd. "Experts stellen vast dat er voldoende ervaring en draagvlag is binnen de Nederlandse overheid voor security.txt. De standaard heeft een lage drempel voor de (technische) implementatie ervan. Er is ondersteuning beschikbaar (kennis en tools) vanuit de Nederlandse overheid die wordt voortgezet na verplichting van security.txt aan overheden", aldus een uitleg bij de consultatie. bron: https://www.security.nl

De makers van de gratis opensource-virusscanner ClamAV hebben een belangrijke beveiligingsupdate uitgebracht die onder andere een kritieke kwetsbaarheid verhelpt waardoor remote code execution mogelijk is. Een aanvaller zou zo via de antivirussoftware het systeem kunnen overnemen. Het probleem is aanwezig in de HFS+ parser van de virusscanner. Door ClamAV een speciaal geprepareerde HFS+ partitie te laten scannen kan een heap buffer overflow write ontstaan en kan een aanvaller willekeurige code met rechten van de ClamAV-scanner op het systeem uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2023-20032, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het beveiligingslek is aanwezig in ClamAV 1.0.0 en eerder, versie 0.105.1 en eerder en versie 0.103.7. Gebruikers wordt aangeraden om te updaten naar ClamAV 0.103.8, 0.105.2 of 1.0.1. bron: https://www.security.nl

Tijdens de patchdinsdag van februari heeft Microsoft 75 kwetsbaarheden in meerdere producten verholpen, waaronder drie actief aangevallen zerodaylekken in Windows en Office. Het gaat om twee beveiligingslekken in Windows waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen. De derde zeroday bevindt zich in Office en wordt door Microsoft omschreven als een "Security Features Bypass" kwetsbaarheid. De zerodays in Windows bevinden zich in de Windows Common Log File System Driver (CVE-2023-23376) en het Windows Graphics Component (CVE-2023-21823). In de eerstgenoemde werden vorig jaar ook al twee zerodays verholpen. In het geval van de kwetsbaarheid in Office is het mogelijk om instellingen die het openen van macro's voorkomen te omzeilen. Een andere kwetsbaarheid (CVE-2023-21716) die deze maand de aandacht verdient bevindt zich in Microsoft Word. Het beveiligingslek maakt remote code execution mogelijk. De kwetsbaarheid is via de Preview Pane (voorbeeldvenster) van Outlook te misbruiken. Een aanvaller kan een e-mail met een speciaal geprepareerd RTF-bestand versturen en zo code op het systeem van de gebruiker uitvoeren. De updates van deze maand zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Nog minder dan zestig dagen en dan stopt Microsoft de ondersteuning van Exchange Server 2013, zo waarschuwt het techbedrijf. Vanaf 11 april zal de mailserversoftware geen beveiligingsupdates ontvangen, maar ook technische ondersteuning en bugfixes zullen dan niet meer beschikbaar zijn. Microsoft stelt dat de software gewoon zal blijven werken. Vanwege de risico's worden organisaties opgeroepen zo snel mogelijk naar Exchange Online of Exchange Server 2019 te upgraden. Ook het bedrijf een uitleg online geplaatst hoe de oude Exchange 2013-omgeving is uit te faseren. De Franse overheid stelde vorige week nog dat er vorig jaar veel misbruik is gemaakt van kwetsbaarheden in Exchange. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om via het SendGrid-account van registrar Namecheap phishingmails te versturen. Daarop besloot het bedrijf om tijdelijk geen e-mails meer te versturen, waaronder authenticatiecodes en wachtwoordresetmails, te stoppen. SendGrid is een marketingplatform voor e-mail. Tal van bedrijven gebruiken de dienst voor onder andere het versturen van marketingmails, nieuwsbrieven en andere communicatie. Dit weekend bleek dat aanvallers via het SendGrid-account van Namecheap phishingmails hadden verstuurd die van Metamask en DHL afkomstig leken. Namecheap heeft de phishingaanvallen via SendGrid bevestigd. De registrar stelt in een verklaring dat de eigen systemen niet zijn gecompromitteerd en producten, accounts en persoonlijke informatie van klanten veilig zijn. Hoe het SendGrid-account kon worden gekaapt laat het bedrijf niet weten. Naar aanleiding van de aanval besloot Namechap om tijdelijk te stoppen met het versturen e-mails, waaronder ook authenticatiecodes, wachtwoordresetmails en verificatie van 'trusted devices'. Vanochtend laat het bedrijf weten dat de 'mail delivery' is hersteld. Er is een onderzoek naar de aanval ingesteld en Namecheap zegt met meer informatie te komen zodra het bekend is. bron: https://www.security.nl

Microsoft heeft het einde van de Windows Support Diagnostic Tool (MSDT) aangekondigd. In 2025 zal het MSDT-platform volledig verdwijnen. Vorig jaar werden nog twee zerodaylekken in het programma gebruikt bij aanvallen op Windowsgebruikers. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. MSDT verzamelt gegevens van het systeem waarmee "technical support agents" op afstand het probleem kunnen vaststellen en mogelijk oplossen. Microsoft wil MSDT nu vervangen door het Get Help "troubleshooting platform". Ook via dit platform kunnen gebruikers in contact komen met een helpdeskmedewerker om het probleem op te lossen. Dit jaar zal Microsoft gebruikers van MSDT in bepaalde gevallen doorsturen naar het Get Help-platform. In 2024 zal dit in alle gevallen gebeuren en in 2025 wordt het MSDT-platform verwijderd. Microsoft geeft geen reden voor het uitfaseren van MSDT, maar website Neowin vermoedt dat het is bedoeld om toekomstige Windowsversies, zoals Windows 12, veiliger te maken. bron: https://www.security.nl

Bijna negentienduizend VMware ESXi-servers missen de beveiligingsupdate waar de huidige ransomware-aanvallen vermoedelijk actief misbruik van maken. Daarnaast hebben de aanvallers bij negenhonderd al besmette servers een nieuwe ransomware-versie geïnstalleerd waarvoor de eerdere herstelscripts niet werken. Dat melden securitybedrijf Rapid7 en Censys. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op kwetsbare servers code uitvoeren. De huidige ransomware-aanvallen zouden misbruik van deze kwetsbaarheid maken. Volgens Rapid7 zijn er op internet nog bijna negentienduizend ESXi-servers te vinden waar de beveiligingsupdate voor CVE-2021-21974 niet is geïnstalleerd. Dat stelt het securitybedrijf op basis van eigen onderzoek. Bij de aanvallen wordt de ESXiArgs-ransomware geïnstalleerd. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. Onderzoekers ontdekten een manier om de versleutelde configuratiebestanden op basis van een onversleuteld flat-bestand te herstellen. Vervolgens kwam de Amerikaanse overheid met een eigen herstelscript. In een reactie op deze ontdekking kwamen de aanvallers met een nieuwe ransomware-versie die deze kwetsbaarheid niet bevat en niet via het herstelscript is te herstellen. Securitybedrijf Censys laat weten dat de aanvallers deze ransomware op al besmette ESXi-servers uitrollen. Al meer dan negenhonderd gecompromitteerde servers hebben deze "upgrade" ontvangen. Daarnaast stellen de onderzoekers van het bedrijf dat de aanvallers geen gebruikmaken van een kwetsbaarheid in OpenSLP, zoals aanwezig in CVE-2021-21974. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Naar aanleiding van de aanvallen kregen beheerders het advies om OpenSLP op ESXi-servers uit te schakelen, maar verschillende slachtoffers van de ransomware laten weten dat dit bij hun al het geval was. Dat zou suggereren dat de aanvallers geen gebruik van CVE-2021-21974 maken, aldus Censys. Wat dan wel de gebruikte aanvalsvector is laat het bedrijf niet weten. bron: https://www.security.nl

Een aanvaller heeft via een phishingaanval toegang tot interne systemen en data van Reddit gekregen, zo heeft het populaire internetplatform bekendgemaakt. De aanval werd op 5 februari opgemerkt. Verschillende medewerkers ontvingen een phishingbericht dat naar een phishingsite leidde. Volgens Reddit had de aanvaller de intranet gateway van het platform nagemaakt. Eén medewerker logde uiteindelijk op de phishingsite in. Via de gegevens van deze medewerker kreeg de aanvaller toegang tot interne documenten, code, interne dashboards en zakelijke systemen. Er zijn volgens Reddit geen aanwijzingen dat de primaire productiesystemen zijn getroffen. Op deze systemen draait Reddit en is het grootste deel van de data opgeslagen. De medewerker die op de phishingsite inlogde rapporteerde dit zelf aan het securityteam van Reddit, waarna de toegang van de aanvaller ongedaan werd gemaakt en een onderzoek ingesteld. Reddit heeft voor alle medewerkers het gebruik van tweefactorauthenticatie verplicht en adviseert gebruikers dit ook in te stellen. bron: https://www.security.nl

Criminelen hebben wereldwijd 3800 VMware ESXi-servers met ransomware weten te infecteren, zo stellen de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). In Nederland zou het om zo'n 140 servers gaan, aldus securitybedrijf Censys. Inmiddels maken de aanvallers gebruik van aangepaste ransomware die niet via eerder beschikbaar gestelde scripts is te herstellen. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Bij de nu waargenomen ransomware-aanvallen maken de aanvallers waarschijnlijk gebruik van bekende kwetsbaarheden, zo stellen de FBI en het CISA. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. Onderzoekers ontdekten een manier om de versleutelde configuratiebestanden op basis van een onversleuteld flat-bestand te herstellen. Vervolgens kwam het CISA met een eigen herstelscript en heeft ook een uitgebreidere uitleg gepubliceerd hoe getroffen systemen zijn te herstellen. Naar aanleiding van de herstelmogelijkheden maken de aanvallers nu gebruik van een versie die veel meer data versleutelt, waardoor herstel niet meer via de huidige opties mogelijk is, zo meldt Bleeping Computer. De FBI en het CISA roepen organisaties op om hun ESXi-software te updaten, de Service Location Protocol (SLP) service uit te schakelen en ervoor te zorgen dat de ESXi-hypervisor niet toegankelijk vanaf het internet is. Verder adviseren de Amerikaanse overheidsinstanties om het losgeld dat de aanvallers vragen niet te betalen. bron: https://www.security.nl

Spelers van het populaire spel Dota 2 waren maandenlang het doelwit van een aanval die misbruik maakte van een bekende kwetsbaarheid in de V8 JavaScript-engine. Dota 2 is een multiplayer online battle arena (MOBA) videogame van gameontwikkelaar Valve. Afgelopen november had nog een miljoen gelijktijdige spelers. Het spel maakt gebruik van V8, een engine voor het uitvoeren van JavaScript. De JavaScript-engine wordt nog door veel meer projecten gebruikt, waaronder Google Chrome. Google kwam op 28 oktober 2021 met een beveiligingsupdate voor een actief aangevallen zerodaylek in V8, aangeduid als CVE-2021-38003. De kwetsbaarheid werd gebruikt bij zeroday-aanvallen tegen Samsung-telefoons. Waar Google een update voor V8 uitrolde, werd dit niet gedaan door Valve. De V8-versie waarvan Dota 2 gebruikmaakte dateerde van december 2018. Het spel biedt de mogelijkheid om "custom game modes" te ontwikkelen. Spelers die hiervan gebruik willen maken moeten deze game modes dan wel downloaden via het Steam-platform. Een aanvaller heeft vier custom game modes voorzien van een exploit die misbruik maakt van de kwetsbaarheid in de V8-implementatie van Dota 2. Hoewel Steam de game modes die door de community zijn ontwikkeld controleert werd de exploit niet ontdekt. Zodra spelers de malafide game modes installeerden kon de aanvaller willekeurige code op hun systeem uitvoeren. Antivirusbedrijf Avast ontdekte de aanval. Vermoedelijk zijn de vier game modes in maart 2022 van de exploit voorzien. Na te zijn ingelicht door de virusbestrijder kwam Valve op 12 januari van dit jaar met een upgrade voor de kwetsbare V8-versie in Dota 2. Daarnaast werden de malafide game modes van het Steam-platform verwijderd, spelers gewaarschuwd en werden er nieuwe maatregelen aangekondigd om het aanvalsoppervlak van het spel te verkleinen. bron: https://www.security.nl

Onderzoekers hebben een Internet of Things-botnet ontdekt dat naast bruteforce- en ddos-aanvallen ook wordt gebruikt voor de verspreiding van ransomware. Door een fout in de implementatie krijgen slachtoffers pas nadat al hun bestanden zijn vernietigd de instructies en losgeldeisen te zien. Dat laat securitybedrijf Cyble weten. Het botnet in kwestie is een variant van de bekende Mirai-malware. Deze malware infecteert routers, ip-camera's en IoT-apparaten en gebruikt die voor allerlei aanvallen. Vaak gaat het dan om ddos-aanvallen. Het Mirai-botnet dat de onderzoekers ontdekten heeft het voorzien op Linux-systemen. Zodra er via een bruteforce-aanval toegang is verkregen wordt een malware-exemplaar genaamd Medusa uitgevoerd. Deze malware verzamelt informatie over het systeem, zoals gebruikersnaam en platform. Medusa kan het besmette systeem ook voor ddos-aanvallen en bruteforce-aanvallen op andere systemen inzetten. Wat het botnet doet opvallen is de ransomware-functionaliteit. Eenmaal actief kan Medusa allerlei bestanden op het systeem versleutelen. Nadat de bestanden zijn versleuteld gaat de malware 24 uur in slaapmodus, waarna het alle bestanden op de schijf verwijdert. Nadat de bestanden zijn vernietigd worden pas de instructies getoond waarin staat hoe het slachtoffer zijn data kan terugkrijgen en welk losgeldbedrag daarvoor betaald moet worden. Volgens Cyble is er dan ook sprake van een foute implementatie. bron: https://www.security.nl

Een kwetsbaarheid in OpenSSL maakt het mogelijk om de geheugeninhoud van systemen uit te lezen of een denial of service te veroorzaken. De ontwikkelaars hebben gisteren een beveiligingsupdate voor het probleem uitgebracht. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Gisteren verschenen nieuwe versies van OpenSSL die in totaal acht kwetsbaarheden verhelpen. De impact van zeven van de acht beveiligingslekken is beoordeeld als "moderate". De resterende kwetsbaarheid, CVE-2023-0286, kreeg het stempel "high" en doet zich voor bij de verwerking van een X509-certificaat. Wanneer het gebruik van een certificate revocation list (CRL) staat ingeschakeld is het mogelijk voor een aanvaller om de inhoud van het geheugen uit te lezen of een denial of service te veroorzaken. Om de aanval mogelijk te maken moet daarnaast een aanvaller zowel de 'certificate chain' als de CRL aanbieden. Die hoeven echter niet van een geldige signature te zijn voorzien. CRL's zijn lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Als een aanvaller over slechts één van de twee controle heeft, moet de andere input al een X.400-adres als CRL distribution point hebben. Dat komt volgens het OpenSSL-ontwikkelteam niet zoveel voor. De kwetsbaarheid zou dan ook waarschijnlijk alleen applicaties raken die hun eigen functionaliteit hebben geïmplementeerd voor het ophalen van CRL's over een netwerk. Aangezien de voorwaarden voor een succesvolle aanval alleen in bepaalde gevallen zich kunnen voordoen is de impact van het beveiligingslek als 'high' beoordeeld en niet als 'critical'. Gebruikers van OpenSSL wordt aangeraden om te updaten naar OpenSSL 1.1.1t of OpenSSL 3.0.8. Voor organisaties die nog een betaald onderhoudscontract voor versie 1.0.2 hebben is update 1.0.2zg verschenen. bron: https://www.security.nl

Het Tor-netwerk, dat dagelijks meer dan twee miljoen mensen gebruiken om hun privacy te beschermen, heeft al maanden met dos-aanvallen te maken die grote gevolgen voor de snelheid van het netwerk hebben. Dat laat Isabela Bagueros vandaag weten, directeur van het Tor Project, de organisatie achter het Tor-netwerk. Volgens Bagueros is het netwerk al zeven maanden lang doelwit van dos-aanvallen. Soms is de invloed van deze aanvallen zo groot dat een groot aantal gebruikers geen websites via het Tor-netwerk kan bezoeken. Het Tor Project zegt bezig te zijn met het verhelpen van de aanvallen, maar de methodes die de aanvallers toepassen veranderen steeds, aldus Bagueros. Het is op dit moment ook onduidelijk wie erachter de aanvallen zit en wat hun bedoeling is. Vanwege de aanvallen zegt Bagueros dat er verdere maatregelen zullen worden getroffen. Ook zal het netwerkteam van het Tor Project met twee personen worden uitgebreid, die zich alleen zullen bezighouden met de ontwikkeling van onion-services, websites die alleen vanaf het Tor-netwerk toegankelijk zijn. Mensen die een Tor-server hebben draaien worden opgeroepen om zich op de Tor relays-mailinglist te abonneren, aangezien het Tor Project via dit kanaal best practices deelt om de aanvallen te stoppen. bron: https://www.security.nl

Criminelen maken steeds vaker gebruik van Microsoft OneNote-bestanden om systemen met malware te infecteren, zo stellen meerdere antivirusbedrijven. Werden in december nog een handvol campagnes waargenomen waarbij het .one bestandstype werd ingezet, vorige maand was dat gestegen naar meer dan vijftig, aldus securitybedrijf Proofpoint. Volgens het bedrijf is het gebruik van .one-bestanden een reactie op het standaard blokkeren van macro's in Microsoft 365. Het versturen van documenten met malafide macro's was altijd een populaire methode van aanvallers. Microsoft OneNote is software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers zover te krijgen gebruiken aanvallers allerlei trucs, die ook werden toegepast om gebruikers macro's te laten inschakelen. Zodra gebruikers de waarschuwing negeren wordt er malware gedownload en uitgevoerd. Het gaat om remote access trojans en malware die inloggegevens steelt. "Het is belangrijk om op te merken dat een aanval alleen slaagt wanneer de ontvanger ermee aan de slag gaat, specifiek door het klikken op het embedded bestand en het negeren van de waarschuwing die OneNote laat zien", zegt onderzoeker Tommy Madjar van Proofpoint. Hij stelt dat organisaties hun personeel over deze aanvalsmethode moeten onderwijzen en aanmoedigen om verdachte e-mail en bijlages te rapporteren. bron: https://www.security.nl

De Franse non-profitorganisatie dns0 heeft vandaag een Europese publieke dns-dienst gelanceerd die volgens de oprichters EU-burgers en organisaties moet beschermen. Daarnaast biedt dns0 een "kindvriendelijk" internet zonder advertenties, pornografie, dating, piraterij en volwassen YouTube-video's. Dns0 is opgericht door Romain Cointepas en Olivier Poitrey, medeoprichters van dns-provider NextDNS. De provider is een partner van dns0.eu, alsmede partijen zoals malwarebestrijder Abuse.ch en registrar Gandi.net. Op dit moment zijn er twee versies van dns0.eu: de standaardversie en een versie speciaal voor kinderen. De standaardversie is volgens de ontwikkelaars speciaal ontwikkeld voor het blokkeren van malafide domeinen, bijvoorbeeld gebruikt voor typosquatting en cryptojacking. Ook blokkeert de dns-dienst risicovolle top-level domains, domeinen gegenereerd door Domain Generation Algorithms van malware en domeinen die van Internationalized Domain Names (IDN) gebruikmaken om gebruikers te misleiden. De kinderversie blokkeert piraterij-,8+ inhoud- en goksites, past voor alle zoekmachines een filter toe om expliciete zoekresultaten te blokkeren, blokkeert video's bedoeld voor volwassenen op YouTube. Ook datingdiensten en -apps worden door de dns-dienst tegengehouden, alsmede advertenties. Verder zijn "mixed-content" websites zoals Twitter en Reddit niet via de kinderversie van dns0 te bezoeken. bron: https://www.security.nl

Een fout in de Clop-ransomware voor Linux maakt het mogelijk om versleutelde bestanden te ontsleutelen, zo hebben onderzoekers van securitybedrijf SentinelOne ontdekt. De Linux-versie van de Clop-ransomware werd eind december voor het eerst aangetroffen en gebruikt dezelfde encryptiemethode als de Windowsversie voor het versleutelen van bestanden, aldus de onderzoekers. Er is echter een verschil bij de keys die de ransomware gebruikt voor het versleutelen van bestanden. De Linux-versie maakt namelijk gebruik van een hardcoded "master key" voor het genereren en versleutelen van de keys die worden gebruikt voor het versleutelen van de bestanden. Deze "master key" wordt lokaal opgeslagen. Daarnaast wordt de RC4-key niet gevalideerd, wat wel het geval is bij de Windows-versie. De onderzoekers spreken van een fout in de encryptielogica waardoor het mogelijk is om bestanden te ontsleutelen. Daardoor konden ze een script maken dat bestanden op getroffen systemen kan ontsleutelen. Volgens de onderzoekers is de Linux-versie van de Clop-ransomware nog in ontwikkeling en mist die dan ook de functionaliteit van de Windows-versie. "Hoewel de Linux-versie zich nog in de kinderschoenen bevindt, suggereert de ontwikkeling en het wijdverbreid gebruik van Linux voor servers en cloudtoepassingen dat verdedigers in de toekomst met meer Linux-ransomware rekening moeten houden", aldus onderzoeker Antonis Terefos. bron: https://www.security.nl

Google en MailChimp zijn de meest actieve trackers op internet, zo stelt antivirusbedrijf Kaspersky op basis van onderzoek onder gebruikers van de eigen antivirussoftware. Het gaat dan om tracking op websites en in e-mail. Gebruikers van Kaspersky hebben de optie om via Do Not Track (DNT) trackers op websites te blokkeren. Daarnaast kunnen gebruikers ervoor kiezen om gegevens met het antivirusbedrijf te delen. Op basis van deze informatie blijkt dat Google voor ruim 32 procent van de gedetecteerde webtrackers verantwoordelijk is, gevolgd door Microsoft (22 procent) en Amazon (13 procent). Via dergelijke trackers kan allerlei informatie over het online gedrag van gebruikers worden verzameld, dat bijvoorbeeld voor online profilering en gerichte advertenties is te gebruiken. Naast webtrackers keek Kaspersky ook naar de aanwezigheid van trackers in e-mail. Het gaat dan voornamelijk om 'trackingpixels' en andere code waarmee kan worden gekeken wanneer iemand de e-mail opende en zaken als ip-adres, e-mailclient en besturingssysteem zijn te verzamelen. Als het gaat om e-mailtracking blijkt dat de top uit compleet andere spelers bestaat. Zo zijn MailChimp en SendGrid bij elkaar verantwoordelijk voor bijna 42 procent van alle waargenomen mailtrackers. Beide bedrijven bieden platformen waarvandaan bedrijven en organisaties marketingmails en nieuwsbrieven kunnen versturen. "Bedrijven proberen zoveel data als mogelijk over hun gebruikers te verzamelen, zodat ze zoveel mogelijk detail aan elk gebruikersprofiel als mogelijk kunnen toevoegen", stelt Anna Larkina van Kaspersky. Veel bedrijven maken gebruik van web- en mailtracking zonder dit aan gebruikers te laten weten, gaat Larkina verder. Kaspersky adviseert gebruikers dan ook het gebruik van bepaalde browserextensies om online trackers te blokkeren of de privacyinstellingen van de browser aan te passen. bron: https://www.security.nl

VMware adviseert organisaties om de OpenSLP-service op ESXi-servers uit te schakelen en beschikbare beveiligingsupdates te installeren. Aanleiding is de recente ransomware-aanval op ESXi-servers. De aanvallen maken misbruik van een kwetsbaarheid in de OpenSLP-implementatie van VMware binnen ESXi. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Een kwetsbaarheid in de implementatie van VMware, aangeduid als CVE-2021-21974, maakt het mogelijk voor een aanvaller om willekeurige code op kwetsbare ESXi-servers uit te voeren. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Volgens VMware wordt er bij de aanvallen geen misbruik gemaakt van een onbekende kwetsbaarheid. Daarnaast zouden vooral ESXi-versies zijn getroffen waarvan de algemene supportperiode is afgelopen of die al lang geen updates meer hebben ontvangen. VMware adviseert dan ook om systemen te updaten en OpenSLP uit te schakelen. Iets wat standaard door VMware wordt gedaan sinds de lancering van ESXi 7.0 U2c in 2021. Volgens cijfers van securitybedrijf Censys zijn bij de aanval 2400 ESXi-servers versleuteld. bron: https://www.security.nl

Vpn-provider LimeVPN heeft eind 2020 de privégegevens van meer dan 23.000 gebruikers gelekt. Het bedrijf zelf claimde dat slechts achthonderd gebruikers waren getroffen. Het datalek kwam in juli 2021 in het nieuws, toen gegevens van getroffen gebruikers op internet werden aangeboden. De omvang van het datalek was echter onduidelijk. Zo stelde LimVPN dat het om achthonderd gebruikers ging en dat de data van een facturatieserver was gestolen, maar werden op internet getallen van 10.000 en 69.000 getroffen gebruikers genoemd. Nu blijkt dat het om meer dan 23.000 gebruikers gaat, aldus beveiligingsonderzoeker Troy Hunt, oprichter van datalekzoekmachine Have I Been Pwned. De gestolen data bestaat uit e-mailadressen, ip-adressen, namen, telefoonnummers, adresgegevens, aankopen en met het zwakke MD5-algoritme gehashte wachtwoorden. MD5-wachtwoordhashes zijn vaak eenvoudig te kraken. De e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de ruim 23.000 bij LimeVPN buitgemaakte e-mailadressen was 65 procent al via een ander datalek bij de zoekmachine bekend. Have I Been Pwned bevat inmiddels meer dan 12,4 miljard gecompromitteerde accounts. bron: https://www.security.nl