Captain Kirk

Spelers van het populaire spel Dota 2 waren maandenlang het doelwit van een aanval die misbruik maakte van een bekende kwetsbaarheid in de V8 JavaScript-engine. Dota 2 is een multiplayer online battle arena (MOBA) videogame van gameontwikkelaar Valve. Afgelopen november had nog een miljoen gelijktijdige spelers. Het spel maakt gebruik van V8, een engine voor het uitvoeren van JavaScript. De JavaScript-engine wordt nog door veel meer projecten gebruikt, waaronder Google Chrome. Google kwam op 28 oktober 2021 met een beveiligingsupdate voor een actief aangevallen zerodaylek in V8, aangeduid als CVE-2021-38003. De kwetsbaarheid werd gebruikt bij zeroday-aanvallen tegen Samsung-telefoons. Waar Google een update voor V8 uitrolde, werd dit niet gedaan door Valve. De V8-versie waarvan Dota 2 gebruikmaakte dateerde van december 2018. Het spel biedt de mogelijkheid om "custom game modes" te ontwikkelen. Spelers die hiervan gebruik willen maken moeten deze game modes dan wel downloaden via het Steam-platform. Een aanvaller heeft vier custom game modes voorzien van een exploit die misbruik maakt van de kwetsbaarheid in de V8-implementatie van Dota 2. Hoewel Steam de game modes die door de community zijn ontwikkeld controleert werd de exploit niet ontdekt. Zodra spelers de malafide game modes installeerden kon de aanvaller willekeurige code op hun systeem uitvoeren. Antivirusbedrijf Avast ontdekte de aanval. Vermoedelijk zijn de vier game modes in maart 2022 van de exploit voorzien. Na te zijn ingelicht door de virusbestrijder kwam Valve op 12 januari van dit jaar met een upgrade voor de kwetsbare V8-versie in Dota 2. Daarnaast werden de malafide game modes van het Steam-platform verwijderd, spelers gewaarschuwd en werden er nieuwe maatregelen aangekondigd om het aanvalsoppervlak van het spel te verkleinen. bron: https://www.security.nl

Onderzoekers hebben een Internet of Things-botnet ontdekt dat naast bruteforce- en ddos-aanvallen ook wordt gebruikt voor de verspreiding van ransomware. Door een fout in de implementatie krijgen slachtoffers pas nadat al hun bestanden zijn vernietigd de instructies en losgeldeisen te zien. Dat laat securitybedrijf Cyble weten. Het botnet in kwestie is een variant van de bekende Mirai-malware. Deze malware infecteert routers, ip-camera's en IoT-apparaten en gebruikt die voor allerlei aanvallen. Vaak gaat het dan om ddos-aanvallen. Het Mirai-botnet dat de onderzoekers ontdekten heeft het voorzien op Linux-systemen. Zodra er via een bruteforce-aanval toegang is verkregen wordt een malware-exemplaar genaamd Medusa uitgevoerd. Deze malware verzamelt informatie over het systeem, zoals gebruikersnaam en platform. Medusa kan het besmette systeem ook voor ddos-aanvallen en bruteforce-aanvallen op andere systemen inzetten. Wat het botnet doet opvallen is de ransomware-functionaliteit. Eenmaal actief kan Medusa allerlei bestanden op het systeem versleutelen. Nadat de bestanden zijn versleuteld gaat de malware 24 uur in slaapmodus, waarna het alle bestanden op de schijf verwijdert. Nadat de bestanden zijn vernietigd worden pas de instructies getoond waarin staat hoe het slachtoffer zijn data kan terugkrijgen en welk losgeldbedrag daarvoor betaald moet worden. Volgens Cyble is er dan ook sprake van een foute implementatie. bron: https://www.security.nl

Een kwetsbaarheid in OpenSSL maakt het mogelijk om de geheugeninhoud van systemen uit te lezen of een denial of service te veroorzaken. De ontwikkelaars hebben gisteren een beveiligingsupdate voor het probleem uitgebracht. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Gisteren verschenen nieuwe versies van OpenSSL die in totaal acht kwetsbaarheden verhelpen. De impact van zeven van de acht beveiligingslekken is beoordeeld als "moderate". De resterende kwetsbaarheid, CVE-2023-0286, kreeg het stempel "high" en doet zich voor bij de verwerking van een X509-certificaat. Wanneer het gebruik van een certificate revocation list (CRL) staat ingeschakeld is het mogelijk voor een aanvaller om de inhoud van het geheugen uit te lezen of een denial of service te veroorzaken. Om de aanval mogelijk te maken moet daarnaast een aanvaller zowel de 'certificate chain' als de CRL aanbieden. Die hoeven echter niet van een geldige signature te zijn voorzien. CRL's zijn lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Als een aanvaller over slechts één van de twee controle heeft, moet de andere input al een X.400-adres als CRL distribution point hebben. Dat komt volgens het OpenSSL-ontwikkelteam niet zoveel voor. De kwetsbaarheid zou dan ook waarschijnlijk alleen applicaties raken die hun eigen functionaliteit hebben geïmplementeerd voor het ophalen van CRL's over een netwerk. Aangezien de voorwaarden voor een succesvolle aanval alleen in bepaalde gevallen zich kunnen voordoen is de impact van het beveiligingslek als 'high' beoordeeld en niet als 'critical'. Gebruikers van OpenSSL wordt aangeraden om te updaten naar OpenSSL 1.1.1t of OpenSSL 3.0.8. Voor organisaties die nog een betaald onderhoudscontract voor versie 1.0.2 hebben is update 1.0.2zg verschenen. bron: https://www.security.nl

Het Tor-netwerk, dat dagelijks meer dan twee miljoen mensen gebruiken om hun privacy te beschermen, heeft al maanden met dos-aanvallen te maken die grote gevolgen voor de snelheid van het netwerk hebben. Dat laat Isabela Bagueros vandaag weten, directeur van het Tor Project, de organisatie achter het Tor-netwerk. Volgens Bagueros is het netwerk al zeven maanden lang doelwit van dos-aanvallen. Soms is de invloed van deze aanvallen zo groot dat een groot aantal gebruikers geen websites via het Tor-netwerk kan bezoeken. Het Tor Project zegt bezig te zijn met het verhelpen van de aanvallen, maar de methodes die de aanvallers toepassen veranderen steeds, aldus Bagueros. Het is op dit moment ook onduidelijk wie erachter de aanvallen zit en wat hun bedoeling is. Vanwege de aanvallen zegt Bagueros dat er verdere maatregelen zullen worden getroffen. Ook zal het netwerkteam van het Tor Project met twee personen worden uitgebreid, die zich alleen zullen bezighouden met de ontwikkeling van onion-services, websites die alleen vanaf het Tor-netwerk toegankelijk zijn. Mensen die een Tor-server hebben draaien worden opgeroepen om zich op de Tor relays-mailinglist te abonneren, aangezien het Tor Project via dit kanaal best practices deelt om de aanvallen te stoppen. bron: https://www.security.nl

Criminelen maken steeds vaker gebruik van Microsoft OneNote-bestanden om systemen met malware te infecteren, zo stellen meerdere antivirusbedrijven. Werden in december nog een handvol campagnes waargenomen waarbij het .one bestandstype werd ingezet, vorige maand was dat gestegen naar meer dan vijftig, aldus securitybedrijf Proofpoint. Volgens het bedrijf is het gebruik van .one-bestanden een reactie op het standaard blokkeren van macro's in Microsoft 365. Het versturen van documenten met malafide macro's was altijd een populaire methode van aanvallers. Microsoft OneNote is software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers zover te krijgen gebruiken aanvallers allerlei trucs, die ook werden toegepast om gebruikers macro's te laten inschakelen. Zodra gebruikers de waarschuwing negeren wordt er malware gedownload en uitgevoerd. Het gaat om remote access trojans en malware die inloggegevens steelt. "Het is belangrijk om op te merken dat een aanval alleen slaagt wanneer de ontvanger ermee aan de slag gaat, specifiek door het klikken op het embedded bestand en het negeren van de waarschuwing die OneNote laat zien", zegt onderzoeker Tommy Madjar van Proofpoint. Hij stelt dat organisaties hun personeel over deze aanvalsmethode moeten onderwijzen en aanmoedigen om verdachte e-mail en bijlages te rapporteren. bron: https://www.security.nl

De Franse non-profitorganisatie dns0 heeft vandaag een Europese publieke dns-dienst gelanceerd die volgens de oprichters EU-burgers en organisaties moet beschermen. Daarnaast biedt dns0 een "kindvriendelijk" internet zonder advertenties, pornografie, dating, piraterij en volwassen YouTube-video's. Dns0 is opgericht door Romain Cointepas en Olivier Poitrey, medeoprichters van dns-provider NextDNS. De provider is een partner van dns0.eu, alsmede partijen zoals malwarebestrijder Abuse.ch en registrar Gandi.net. Op dit moment zijn er twee versies van dns0.eu: de standaardversie en een versie speciaal voor kinderen. De standaardversie is volgens de ontwikkelaars speciaal ontwikkeld voor het blokkeren van malafide domeinen, bijvoorbeeld gebruikt voor typosquatting en cryptojacking. Ook blokkeert de dns-dienst risicovolle top-level domains, domeinen gegenereerd door Domain Generation Algorithms van malware en domeinen die van Internationalized Domain Names (IDN) gebruikmaken om gebruikers te misleiden. De kinderversie blokkeert piraterij-,8+ inhoud- en goksites, past voor alle zoekmachines een filter toe om expliciete zoekresultaten te blokkeren, blokkeert video's bedoeld voor volwassenen op YouTube. Ook datingdiensten en -apps worden door de dns-dienst tegengehouden, alsmede advertenties. Verder zijn "mixed-content" websites zoals Twitter en Reddit niet via de kinderversie van dns0 te bezoeken. bron: https://www.security.nl

Een fout in de Clop-ransomware voor Linux maakt het mogelijk om versleutelde bestanden te ontsleutelen, zo hebben onderzoekers van securitybedrijf SentinelOne ontdekt. De Linux-versie van de Clop-ransomware werd eind december voor het eerst aangetroffen en gebruikt dezelfde encryptiemethode als de Windowsversie voor het versleutelen van bestanden, aldus de onderzoekers. Er is echter een verschil bij de keys die de ransomware gebruikt voor het versleutelen van bestanden. De Linux-versie maakt namelijk gebruik van een hardcoded "master key" voor het genereren en versleutelen van de keys die worden gebruikt voor het versleutelen van de bestanden. Deze "master key" wordt lokaal opgeslagen. Daarnaast wordt de RC4-key niet gevalideerd, wat wel het geval is bij de Windows-versie. De onderzoekers spreken van een fout in de encryptielogica waardoor het mogelijk is om bestanden te ontsleutelen. Daardoor konden ze een script maken dat bestanden op getroffen systemen kan ontsleutelen. Volgens de onderzoekers is de Linux-versie van de Clop-ransomware nog in ontwikkeling en mist die dan ook de functionaliteit van de Windows-versie. "Hoewel de Linux-versie zich nog in de kinderschoenen bevindt, suggereert de ontwikkeling en het wijdverbreid gebruik van Linux voor servers en cloudtoepassingen dat verdedigers in de toekomst met meer Linux-ransomware rekening moeten houden", aldus onderzoeker Antonis Terefos. bron: https://www.security.nl

Google en MailChimp zijn de meest actieve trackers op internet, zo stelt antivirusbedrijf Kaspersky op basis van onderzoek onder gebruikers van de eigen antivirussoftware. Het gaat dan om tracking op websites en in e-mail. Gebruikers van Kaspersky hebben de optie om via Do Not Track (DNT) trackers op websites te blokkeren. Daarnaast kunnen gebruikers ervoor kiezen om gegevens met het antivirusbedrijf te delen. Op basis van deze informatie blijkt dat Google voor ruim 32 procent van de gedetecteerde webtrackers verantwoordelijk is, gevolgd door Microsoft (22 procent) en Amazon (13 procent). Via dergelijke trackers kan allerlei informatie over het online gedrag van gebruikers worden verzameld, dat bijvoorbeeld voor online profilering en gerichte advertenties is te gebruiken. Naast webtrackers keek Kaspersky ook naar de aanwezigheid van trackers in e-mail. Het gaat dan voornamelijk om 'trackingpixels' en andere code waarmee kan worden gekeken wanneer iemand de e-mail opende en zaken als ip-adres, e-mailclient en besturingssysteem zijn te verzamelen. Als het gaat om e-mailtracking blijkt dat de top uit compleet andere spelers bestaat. Zo zijn MailChimp en SendGrid bij elkaar verantwoordelijk voor bijna 42 procent van alle waargenomen mailtrackers. Beide bedrijven bieden platformen waarvandaan bedrijven en organisaties marketingmails en nieuwsbrieven kunnen versturen. "Bedrijven proberen zoveel data als mogelijk over hun gebruikers te verzamelen, zodat ze zoveel mogelijk detail aan elk gebruikersprofiel als mogelijk kunnen toevoegen", stelt Anna Larkina van Kaspersky. Veel bedrijven maken gebruik van web- en mailtracking zonder dit aan gebruikers te laten weten, gaat Larkina verder. Kaspersky adviseert gebruikers dan ook het gebruik van bepaalde browserextensies om online trackers te blokkeren of de privacyinstellingen van de browser aan te passen. bron: https://www.security.nl

VMware adviseert organisaties om de OpenSLP-service op ESXi-servers uit te schakelen en beschikbare beveiligingsupdates te installeren. Aanleiding is de recente ransomware-aanval op ESXi-servers. De aanvallen maken misbruik van een kwetsbaarheid in de OpenSLP-implementatie van VMware binnen ESXi. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Een kwetsbaarheid in de implementatie van VMware, aangeduid als CVE-2021-21974, maakt het mogelijk voor een aanvaller om willekeurige code op kwetsbare ESXi-servers uit te voeren. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Volgens VMware wordt er bij de aanvallen geen misbruik gemaakt van een onbekende kwetsbaarheid. Daarnaast zouden vooral ESXi-versies zijn getroffen waarvan de algemene supportperiode is afgelopen of die al lang geen updates meer hebben ontvangen. VMware adviseert dan ook om systemen te updaten en OpenSLP uit te schakelen. Iets wat standaard door VMware wordt gedaan sinds de lancering van ESXi 7.0 U2c in 2021. Volgens cijfers van securitybedrijf Censys zijn bij de aanval 2400 ESXi-servers versleuteld. bron: https://www.security.nl

Vpn-provider LimeVPN heeft eind 2020 de privégegevens van meer dan 23.000 gebruikers gelekt. Het bedrijf zelf claimde dat slechts achthonderd gebruikers waren getroffen. Het datalek kwam in juli 2021 in het nieuws, toen gegevens van getroffen gebruikers op internet werden aangeboden. De omvang van het datalek was echter onduidelijk. Zo stelde LimVPN dat het om achthonderd gebruikers ging en dat de data van een facturatieserver was gestolen, maar werden op internet getallen van 10.000 en 69.000 getroffen gebruikers genoemd. Nu blijkt dat het om meer dan 23.000 gebruikers gaat, aldus beveiligingsonderzoeker Troy Hunt, oprichter van datalekzoekmachine Have I Been Pwned. De gestolen data bestaat uit e-mailadressen, ip-adressen, namen, telefoonnummers, adresgegevens, aankopen en met het zwakke MD5-algoritme gehashte wachtwoorden. MD5-wachtwoordhashes zijn vaak eenvoudig te kraken. De e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de ruim 23.000 bij LimeVPN buitgemaakte e-mailadressen was 65 procent al via een ander datalek bij de zoekmachine bekend. Have I Been Pwned bevat inmiddels meer dan 12,4 miljard gecompromitteerde accounts. bron: https://www.security.nl

Screeningsdiensten Instant Checkmate en TruthFinder hebben in 2019 de privégegevens van twintig miljoen klanten gelekt, zo is afgelopen vrijdag bekendgemaakt. Het gaat om namen, e-mailadressen, telefoonnummers en gehashte wachtwoorden die inmiddels op internet worden aangeboden. Hoe de data kon worden gestolen is niet bekendgemaakt. Instant Checkmate en TruthFinder zijn twee Amerikaanse diensten die het mogelijk voor gebruikers maken om in openbare documenten te zoeken, zoals strafbladen, aanhoudingen, faillissementen en geboorte- en overlijdensaktes. Zo kan er bijvoorbeeld op naam, adres, telefoonnummer of e-mailadres worden gezocht om informatie over een bepaald persoon of diens familie of vrienden te zoeken. De diensten worden voornamelijk voor "background checks" gebruikt. In het geval van Instant Checkmate zijn de gegevens van twaalf miljoen gebruikers gelekt, bij TruthFinder werd data van bijna 8,2 miljoen gebruikers buitgemaakt. De ruim twintig miljoen e-mailadressen zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. Via Have I Been Pwned is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de bij Instant Checkmate gestolen e-mailadressen was 87 procent al bij Have I Been Pwned bekend, in het geval van TruthFinder ging het om 68 procent. bron: https://www.security.nl

Bedrijven en organisaties van wie de VMWare ESXi-servers bij de recente ransomware-aanval zijn versleuteld kunnen in sommige gevallen hun systemen ontsleutelen. Een beveiligingsonderzoeker heeft hiervoor een manier gevonden. Eind vorige week waarschuwden de Nederlandse en Franse overheid voor actief misbruik van een oude kwetsbaarheid in VMWare ESXi bij ransomware-aanvallen. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op afstand code op kwetsbare ESXi-servers uitvoeren. Aanvallers maken nu misbruik van deze kwetsbaarheid. "Het is nog onduidelijk hoe de aanvallers het systeem binnendringen, het is in ieder geval niet aan te raden om OpenSLP poort 427 benaderbaar te maken via het internet. Het is nog onduidelijk of de kwaadwillenden ook een andere wijze gebruiken om het systeem binnen te dringen", aldus het Digital Trust Center van het ministerie van Economische Zaken. "Indien je organisatie een kwetsbare VMWare ESXi-hypervisor draait, is het raadzaam deze zo spoedig mogelijk te (laten) updaten. Zorg er daarnaast voor dat de ESXi-hypervisor niet benaderbaar is via het internet." Beveiligingsonderzoeker Enes Sönmez heeft een manier gevonden om getroffen ESXi-omgevingen te herstellen. Hostingprovider OVHcloud zegt de procedure te hebben getest en meldt een succesratio van zo'n 66 procent. Wel vereist het gebruik van de genoemde procedure "sterke vaardigheden" in ESXi-omgevingen, aldus de provider, die opmerkt dat het gebruik op eigen risico is. Inmiddels is ook het Dutch Institute of Vulnerability Disclosure (DIVD) begonnen met het scannen naar kwetsbare systemen en waarschuwen van de betreffende organisaties. bron: https://www.security.nl

Is je probleem al opgelost?

Criminelen maken op grote schaal gebruik van Google-advertenties om internetgebruikers die naar bekende software zoeken met malware te infecteren. Dat stellen Spamhaus en Abuse.ch. Wie bijvoorbeeld op Thunderbird, Microsoft Teams, GIMP, Tor Browser of CCleaner zoekt krijgt advertenties te zien die zogenaamd naar de officiële website van de betreffende software wijzen. In werkelijkheid gaat het om malafide websites die malware aanbieden. De afgelopen maanden is herhaaldelijk voor deze werkwijze van criminelen gewaarschuwd, maar Google slaagt er maar niet in om de situatie onder controle te krijgen. Het lijkt zelfs juist erger te worden. Volgens de Zwitserse beveiligingsonderzoeker en oprichter van Abuse.ch Roman Hüssy is er waarschijnlijk een partij actief die het verspreiden van malware via Google-advertenties als dienst aan criminelen aanbiedt. Daarnaast blijkt uit onderzoek dat malafide advertenties voor dezelfde zoekopdrachten verschillende malware verspreiden, wat ook op "malvertising as a service" duidt, aldus Spamhaus. De malware die via de advertenties wordt verspreid is voornamelijk ontwikkeld om wachtwoorden en andere inloggegevens te stelen. Een aantal weken geleden adviseerde de FBI vanwege de malafide advertenties in de zoekmachine van Google nog het gebruik van een adblocker. bron: https://www.security.nl

De controle die Microsoft bij gebruikers van oude Office-versies uitvoert verzamelt diagnostische data en prestatiegegevens, zo stelt het techbedrijf. Vorige maand ontstond ophef omdat Microsoft een update onder gebruikers van Office-versies uitrolt die niet meer worden ondersteund of waarvan de support binnenkort stopt. Het gaat dan bijvoorbeeld om Office 2007, Office 2010 en Office 2013. De eerste twee Office-versies ontvangen sinds respectievelijk oktober 2017 en oktober 2020 geen updates meer. Office 2013 ontvangt nog wel beveiligingsupdates, maar hier zal Microsoft op 11 april van dit jaar mee stoppen. Via update (KB5021751) wil het techbedrijf kijken hoe groot het aantal gebruikers is dat met deze Office-versies werkt. Volgens Microsoft wordt de update "stilletjes" uitgevoerd en wordt er niets op het systeem van de gebruiker geïnstalleerd. Het bedrijf heeft nu meer details over de update gegeven. De update verzamelt diagnostische data en prestatiegegevens afkomstig van het Windows-register en API's. Microsoft stelt dat de update geen licentiegegevens, content van klanten of data over software die niet van Microsoft is verzamelt. De update wordt via Windows Update verspreid bij gebruikers die voor de optie "Receive updates for other Microsoft products" hebben gekozen en Office 2013, Office 2010 of Office 2007 hebben geïnstalleerd. bron: https://www.security.nl

Meta heeft jarenlang betaald voor het scrapen van gegevens van andere websites die het vervolgens gebruikte, terwijl het tegelijkertijd rechtszaken voerde tegen bedrijven die op deze manier data van Facebook en Instagram verzamelden. Dat blijkt uit documenten die in een rechtszaak tussen Meta en dataverzamelingsbedrijf Bright Data zijn ingediend. Meta beschuldigt Bright Data van het scrapen en verkopen van informatie afkomstig van Facebook en Instagram. Meta blijkt echter ook jarenlang klant van Bright Data te zijn geweest. Het bedrijf biedt allerlei diensten, waaronder het verzamelen van berichten, reacties en gebruikersgegevens van sociamediaplatforms zoals TikTok en Twitter, en webwinkels zoals Amazon, eBay en Walmart. Meta heeft tegenover Bloomberg bevestigd dat het Bright Data betaalde om data van webwinkels te verzamelen, om naar eigen zeggen merkprofielen op Meta's eigen platformen te ontwikkelen. Van welke websites de informatie werd gescrapet wil Meta niet zeggen. Het techbedrijf eindigde de relatie met Bright Data nadat het ontdekte dat het data van de eigen socialmediaplatforms scrapete. De Ierse privacytoezichthouder DPC legde Meta vorig jaar een AVG-boete van 265 miljoen euro op wegens een groot datalek bij Facebook waardoor de data van 533 miljoen gebruikers op straat kwam te liggen. De data was door middel van scraping verzameld, waarbij er misbruik was gemaakt van een feature van het platform. Uit interne communicatie bleek dat Facebook datalekken door middel van scraping vervolgens als een industriebreed probleem wilde framen. bron: https://www.security.nl

Google heeft onder een klein deel van de gebruiker de allereerste 'early stable' van Chrome gelanceerd. Welke kwetsbaarheden er in deze versie zijn verholpen is nog niet bekendgemaakt. Ongeveer elke vier weken komt Google met een nieuwe versie van Chrome. Zo is nu Chrome 110 uitgekomen en verschijnt op 1 maart Chrome 111. Naast de stabiele versie kent Chrome ook testversies bedoeld voor ontwikkelaars en bètatesters. Met de lancering van Chrome 110 zal er voortaan ook een 'early stable' versie worden uitgebracht. Deze versie wordt onder een klein deel van de gebruikers uitgerold. Het gaat om de stabiele versie die een week later aan de overige gebruikers wordt aangeboden. Zo verschijnt Chrome 110 op 7 februari voor alle andere gebruikers. Google krijgt zo naar eigen zeggen de kans om te zien hoe de stabiele versie het bij deze kleine groep gebruikers doet, voordat de grote uitrol plaatsvindt. Eventuele grote problemen kunnen dan met een vrij kleine impact worden ontdekt en verholpen. Hoe gebruikers in aanmerking voor de 'early stable' kunnen komen of dat dit zelf kan worden ingesteld laat Google niet weten. bron: https://www.security.nl

E-mailclient Thunderbird controleerde niet of S/Mime-certificaten zijn ingetrokken, waardoor e-mail die met een ingetrokken certificaat is gesigneerd wordt weergeven alsof die over een geldige handtekening beschikt. Er is een update voor Thunderbird uitgekomen die de kwetsbaarheid, aangeduid als CVE-2023-0430 verhelpt. Via een S/Mime-certificaat is het mogelijk om een e-mail digitaal te signeren. Zo is de identiteit van de afzender te verifiëren, kan worden bevestigd dat de afzender het bericht daadwerkelijk heeft verstuurd en dat de inhoud niet is aangepast. Thunderbird kan via het Online Certificate Status Protocol (OCSP) controleren of een certificaat is ingetrokken. In dit geval hoort de e-mailclient een melding te geven dat de e-mail digitaal is gesigneerd, maar een ongeldige handtekening bevat. Thunderbird bleek deze controle echter niet uit te voeren en gaf ook bij een ingetrokken certificaat weer dat de e-mail over een geldige handtekening beschikte. Dat is in versie 102.7.1 verholpen. Daarnaast verhelpt deze versie ook een probleem met de authenticatie van Microsoft Office 365-accounts, waardoor ook deze gebruikers weer via Thunderbird kunnen inloggen. Vanwege dit specifieke probleem werd besloten om Thunderbird 102.7.0 niet automatisch onder gebruikers uit te rollen. Thunderbird kondigde een oplossing aan, maar die bleek in eerste instantie niet werken. Alleen wanneer gebruikers handmatig op updates zochten werd Thunderbird 102.7.0 daarom geïnstalleerd. Met de komst van Thunderbird 102.7.1 worden updates weer automatisch onder alle gebruikers uitgerold. bron: https://www.security.nl

Aanvallers hebben Microsofts proces voor het verifiëren van uitgevers van OAuth-apps misbruikt voor een phishingaanval, waardoor het leek alsof malafide apps van een betrouwbare uitgever afkomstig waren, zo laten het techbedrijf zelf en securitybedrijf Proofpoint weten. OAuth is een mechanisme waardoor applicaties van derden toegang tot het account van gebruikers kunnen krijgen, zonder dat die hiervoor hun wachtwoord hoeven af te staan. Gebruikers moeten dergelijke applicaties zelf toegang tot hun account geven, maar zodra dat is gedaan kan de app vervolgens allerlei acties binnen het account uitvoeren, zoals het lezen van e-mail of toegang krijgen tot bestanden. Microsoft heeft een proces waarbij het de uitgevers van OAuth-apps verifieert. Wanneer een app toestemming vraagt voor toegang tot het account krijgt de gebruiker te zien dat de uitgever door Microsoft is gecontroleerd. Afgelopen december ontdekte Microsoft een phishingaanval waarbij aanvallers zich voordeden als legitieme bedrijven en door het techbedrijf als uitgever van OAuth-apps waren geverifieerd. Vervolgens gebruikten de aanvallers hun verificatiestatus voor malafide OAuth-apps die werden ingezet bij phishingaanvallen op organisaties in het Verenigd Koninkrijk en Ierland. Wanneer gebruikers toestemming aan deze apps gaven werd hun e-mail gestolen. Na ontdekking van de aanval heeft Microsoft de door de aanvallers gebruikte accounts en apps uitgeschakeld en klanten gewaarschuwd. Verder stelt het techbedrijf dat het aanvullende maatregelen neemt om het verificatieproces te verbeteren om zo herhaling in de toekomst te voorkomen. Hieronder twee van de malafide apps en de permissies die ze aan gebruikers vroegen. bron: https://www.security.nl

Dertigduizend NAS-systemen van fabrikant QNAP missen een beveiligingsupdate voor een kritieke kwetsbaarheid waardoor een aanvaller de apparaten op afstand kan overnemen, zo stelt securitybedrijf Censys op basis van eigen onderzoek. Afgelopen maandag waarschuwde QNAP voor een kritiek beveiligingslek in QTS 5.0.1 en QuTS hero h5.0.1, het besturingssysteem dat op de apparaten van de NAS-fabrikant draait. Volgens Censys gaat het om een SQL-injection kwetsbaarheid waardoor een remote aanvaller kwaadaardige code op het NAS-systeem kan injecteren. Het beveiligingslek vereist geen authenticatie en zou eenvoudig te misbruiken zijn. Het probleem is verholpen in QTS 5.0.1.2234 build 20221201 en nieuwer en QuTS hero h5.0.1.2248 build 20221215 en nieuwer. Censys voerde een scan uit op internet en detecteerde meer dan 67.000 QNAP-systemen. Van ruim dertigduizend NAS-apparaten was het mogelijk om het versienummer vast te stellen. Dan blijkt dat zo'n 550 QNAP-systemen up-to-date zijn, terwijl bijna 30.000 apparaten de kritieke beveiligingsupdate missen en daardoor risico lopen. De meeste kwetsbare systemen werden aangetroffen in de Verenigde Staten, Italië en Taiwan. In het verleden zijn kwetsbaarheden in de software van QNAP gebruikt voor ransomware-aanvallen op NAS-apparaten. Gebruikers wordt dan ook aangeraden hun systemen te updaten. bron: https://www.security.nl

Google Chrome is gestopt met de ondersteuning van Windows 7 en Windows 8.1. Het techbedrijf zal versie 110 van de browser onder een klein percentage van de gebruikers uitrollen, waarna overige gebruikers de versie een week later op 7 februari zullen ontvangen. Ook browserleverancier Opera heeft het einde van de support van de tweede Windowsversies aangekondigd. Google zal Chrome voor Windows met de lancering van versie 110 alleen nog op Windows 10 en nieuwer ondersteunen. Microsoft stopte zelf eerder deze maand de support van Windows 7 Extended Security Update (ESU) en Windows 8.1. Google en Opera stellen dat oudere Chrome-versies blijven werken, maar er geen nieuwe updates voor gebruikers van deze besturingssystemen zullen verschijnen. Chrome kent verschillende versies, zoals canary, beta en stable, die respectievelijk voor ontwikkelaars, testers en eindgebruikers zijn bedoeld. Vanaf Chrome 110 wordt er ook gewerkt met een "early stable" versie. Het gaat om de stabiele versie die een week eerder onder een klein percentage van de gebruikers wordt uitgerold, waarbij de rest een week later volgt. Op deze manier hoopt Google problemen in een vroeg stadium te herkennen voordat de browser onder alle gebruikers is verspreid. bron: https://www.security.nl

De makers van OpenSSL komen volgende week dinsdag 7 februari met een belangrijke beveiligingsupdate, zo heeft het ontwikkelteam vandaag bekendgemaakt. De update verhelpt één of meerdere kwetsbaarheden waarvan de impact als "High" is bestempeld. Dergelijke kwetsbaarheden worden zelden in OpenSSL gerapporteerd. Vorig jaar ging het in totaal om vier van dergelijke beveiligingslekken. Drie daarvan bevonden zich echter in versie 3.0. De meeste OpenSSL-gebruikers werken met versie 1.1.1. Details over de kwetsbaarheden die volgende week worden verholpen geeft het OpenSSL-team niet. Beveiligingslekken die als High zijn aangemerkt maken het mogelijk voor aanvallers om bijvoorbeeld private keys van servers te stelen of remote code uit te voeren. De reden dat dergelijke kwetsbaarheden als High zijn aangemerkt en niet als Critical is dat het probleem niet bij standaard configuraties voorkomt of minder eenvoudig te misbruiken is. OpenSSL versies 3.0.8, 1.1.1t en 1.0.2zg verschijnen volgende week dinsdag 7 februari tussen 14.00 en 18.00 uur. OpenSSL 1.0.2 is end-of-life, de update is dan ook alleen beschikbaar voor betalende klanten. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Een beveiligingsupdate voor e-mailclient Thunderbird is wegens een probleem met Microsoft 365 Business-accounts nog altijd niet automatisch uitgerold. Gebruikers die de patch niet handmatig hebben geïnstalleerd zijn al bijna twee weken kwetsbaar. Op 19 januari kwam Thunderbird met versie 102.7.0 die onder andere acht kwetsbaarheden verhelpt. Verschillende van deze beveiligingslekken zouden volgens het ontwikkelteam met genoeg moeite kunnen worden gebruikt om willekeurige code op het systeem van gebruikers uit te voeren. Thunderbird beschikt over een automatische updatefunctie, maar er werd besloten om versie 102.7.0 niet automatisch onder gebruikers uit te rollen. De nieuwe Thunderbird-versie zou een belangrijke aanpassing bevatten in de OAuth2-authenticatie van Microsoft 365 Business-accounts. De doorgevoerde oplossing bleek echter voor problemen te zorgen, wat de reden was om de automatische uitrol voor alle Thunderbird-gebruikers te blokkeren. Vervolgens stelden de Thunderbird-ontwikkelaars dat vorige week versie 102.7.1 zou verschijnen en een oplossing voor het authenticatieprobleem zou bevatten. Testgebruikers klaagden dat ze ook met deze versie tegen problemen aanliepen. Dit weekend meldde het ontwikkelteam dat er nu een andere oplossing is voorgesteld en naar verwachting "snel" zou moeten verschijnen, maar een exact tijdsvenster is niet bekendgemaakt. bron: https://www.security.nl

GitHub heeft besloten om meerdere eigen certificaten in te trekken nadat een aanvaller op de repositories van het ontwikkelaarsplatform wist in te breken. De maatregel heeft gevolgen voor gebruikers van GitHub Desktop for Mac en Atom, aangezien meerdere versies van deze software vanaf 2 februari niet meer zullen werken. Begin vorige maand ontdekte GitHub ongeautoriseerde toegang tot meerdere repositories gebruikt voor de ontwikkeling van GitHub Desktop en Atom. GitHub Desktop is software die ontwikkelaars via een grafische gebruikersinterface gebruik laat maken van GitHub in plaats van een commandline of browser. Atom is een teksteditor. Een aanvaller wist door middel van een gecompromitteerd Personal Access Token (PAT) van een machine-account de repositories te klonen. Daarbij werden ook meerdere versleutelde certificaten buitgemaakt, gebruikt voor het signeren van code. GitHub stelt dat de certificaten met een wachtwoord waren beveiligd en er geen bewijs van misbruik is. Uit voorzorg is besloten om de betreffende certificaten gebruikt voor GitHub Desktop en Atom in te trekken. Daardoor zullen sommige versies van beide applicaties vanaf 2 februari niet meer werken. De maatregel heeft geen impact voor gebruikers van GitHub Desktop for Windows. Volgens GitHub is er geen risico voor bestaande installaties van de Desktop- en Atom-apps. Mocht een aanvaller de certificaten weten te ontsleutelen is het mogelijk om onofficiële applicaties te signeren waardoor het lijkt alsof ze door GitHub zijn ontwikkeld. Op 4 januari heeft GitHub een nieuwe versie van de Desktop-app uitgebracht die met een nieuw certificaat is gesigneerd. Hoe de PAT kon worden gecompromitteerd laat GitHub niet weten. bron: https://www.security.nl

Geen enkele wachtwoordmanager is veilig als een aanvaller toegang tot het systeem heeft, zo stelt Dominik Reichl, ontwikkelaar van KeePass. Volgens Reichl is er dan ook geen sprake van een kwetsbaarheid in KeePass waar onlangs voor werd gewaarschuwd en waardoor een aanvaller met toegang tot het systeem wachtwoorden uit de wachtwoordenkluis van KeePass kan stelen. Onlangs verscheen er een proof-of-concept exploit online waarmee een lokale aanvaller de inhoud van de KeePass-database kan bemachtigen. De aanval is mogelijk doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale aanvaller kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens ongemerkt naar de aanvaller worden geëxporteerd. Zowel het Nationaal Cyber Security Centrum (NCSC) als het Belgische Cyber Emergency Team kwamen met waarschuwingen. Gebruikers werd aangeraden een configuratieaanpassing door te voeren die ervoor zorgt dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens. Op de eigen website waarschuwt KeePass ook voor het risico als een aanvaller het configuratiebestand kan aanpassen. "Het kunnen schrijven naar het KeePass-configuratiebestand geeft aan dat een aanvaller veel krachtigere aanvallen kan uitvoeren dan het aanpassen van het configuratiebestand", aldus de uitleg. Naar aanleiding van de recent online verschenen exploit en waarschuwing van overheidsinstanties werd KeePass om een reactie en aanpassingen aan de wachtwoordmanager gevraagd. Het lijkt erop dat die er niet gaan komen. "Geen enkele wachtwoordmanager is veilig als je besmet bent met spyware of een aanvaller toestaat om bestanden naar je pc te schrijven", zo stelt Reichl. bron: https://www.security.nl