Captain Kirk

Klanten van T-Mobile, Tele2 en Ben en spelers van de populaire videogame Roblox zijn het doelwit van de FluBot-malware geworden, die Androidtelefoons kan infecteren. Dat blijkt uit berichtgeving van T-Mobile, Ben en de NOS. Klanten van de telecomproviders ontvingen een sms-bericht over een voicemail, gemiste oproep of openstaande factuur. In werkelijkheid wijst de link naar een pagina waarop een malafide APK-bestand wordt aangeboden, wat de FluBot-malware is. Aangezien Android het installeren van apps uit onbekende bronnen standaard blokkeert bevat de pagina waarop de app is te downloaden informatie over het uitschakelen van deze beveiligingsoptie. Eenmaal geïnstalleerd door de gebruiker kan FluBot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt hiervoor welke applicaties erop het toestel geïnstalleerd staan. In het geval van bankapplicaties zal FluBot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst FluBot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen. De NOS laat vandaag weten dat kinderen via WhatsApp berichten met linkjes ontvangen die naar enquêtes wijzen waarmee ze virtueel geld voor het spel Roblox zouden kunnen verdienen. In werkelijkheid gaat het om een scam en proberen de websites waarop de vragenlijsten staan ook de FluBot-malware te verspreiden. Eenmaal geïnstalleerd blijkt de malware via de besmette telefoon allerlei sms-berichten naar een buitenlands nummer te versturen. Een van de getroffen kinderen laat weten dat ze op deze manier ongeveer zeventig euro verloor. bron: https://www.security.nl

Googles online virusscanner VirusTotal is van een nieuwe feature voorzien waardoor het voortaan leesbare samenvattingen van malware kan geven. Dit moet securityprofessionals en analisten meer inzicht geven in wat de malware in kwestie precies doet. Hiervoor wordt gebruikgemaakt van generatieve AI, een type van kunstmatige intelligentie dat op basis van invoer onder andere tekst of afbeeldingen kan genereren. Een bekend voorbeeld van generatieve AI is ChatGPT. Via VirusTotal is het mogelijk om verdachte bestanden door tientallen virusscanners te laten scannen. Naast een overzicht van wat antivirusprogramma's van het bestand vinden, geeft VirusTotal ook allerlei andere informatie weer. Door middel van "Code Insight", zoals de nieuwe feature wordt genoemd, is er voortaan ook een leesbare samenvatting van wat de malware precies doet. Op dit moment zijn de samenvattingen alleen te vinden bij bepaalde PowerShell-bestanden die naar VirusTotal worden geüpload. De komende dagen zullen echter meer bestandsformaten aan de lijst van ondersteunde bestanden worden toegevoegd. Daarnaast is het mogelijk om de gegenereerde samenvattingen te doorzoeken. bron: https://www.security.nl

Verschillende Microsoft-scripts voor Exchange Server worden door een probleem met een updatefunctie niet meer automatisch bijgewerkt, zo heeft het techbedrijf bekendgemaakt. Beheerders die van de scripts gebruikmaken moeten handmatig een nieuwe versie installeren, aangezien de oude versies geen automatische updates meer kunnen ontvangen. Microsoft biedt verschillende scripts voor Exchange Server die bijvoorbeeld bij de installatie kunnen helpen of veelvoorkomende configuratieproblemen detecteren. Een van de getroffen scripts maakt het mogelijk om misbruik van een kritieke Outlook-kwetsbaarheid te detecteren (CVE-2023-23397). Met name de Exchange Server HealthChecker wordt volgens Microsoft veel gebruikt. Bij het gebruik van de in totaal negen getroffen scripts tussen 6 april en 18 april van dit jaar zal de automatische update van de scripts niet meer werken. Microsoft heeft nu nieuwe versies van de betreffende scripts uitgebracht, maar beheerders moeten die wel handmatig installeren. bron: https://www.security.nl

Google heeft een update voor de eigen Google Authenticator uitgebracht waardoor gebruikers one-time codes in hun Google-account kunnen opslaan als back-up. Dit moet het eenvoudiger voor gebruikers maken als die bijvoorbeeld hun huidige telefoon zijn verloren of een nieuwe telefoon hebben en eenvoudig toegang tot hun accounts willen krijgen. De Google Authenticator genereert one-time codes, ook wel one-time passwords genoemd, waarmee gebruikers op een account kunnen inloggen. De one-time codes in Authenticator waren echter alleen op de telefoon van de gebruiker opgeslagen. Bij verlies van de telefoon kon de gebruiker dan niet meer inloggen op accounts waar hij via Authenticator tweefactorauthenticatie (2FA) voor had ingesteld, aldus Google. Voorheen moesten gebruikers bij de overstap naar een nieuwe telefoon de codes handmatig van het ene toestel naar het andere toestel overzetten of eerst 2FA uitschakelen om vervolgens weer op de nieuwe telefoon in te schakelen. De nieuwe update zorgt ervoor dat gegenereerde codes ook in het Google-account van de gebruiker kunnen worden opgeslagen. Deze codes zijn vervolgens toegankelijk vanaf elke toestel waarop de gebruiker Google Authenticator installeert. bron: https://www.security.nl

APC waarschuwt voor kritieke kwetsbaarheden in de software waarmee gebruikers en organisaties online hun UPS-systemen kunnen beheren en monitoren (pdf). Het gaat om de APC Easy UPS On-Line UPS Monitoring Software en de Schneider Electric Easy UPS Online Monitoring Software. APC is een dochteronderneming van Schneider en fabrikant van UPS-systemen, die in het geval van stroomuitval servers en andere apparaten van stroom voorzien. De beheer- en monitoringsoftware bevat twee kritieke kwetsbaarheden waardoor remote code execution mogelijk is. De eerste kwetsbaarheid, aangeduid als CVE-2023-29411, maakt het mogelijk voor een ongeauthenticeerde aanvaller om de inloggegevens van beheerders aan te passen, wat tot het uitvoeren van willekeurige code via de Java RMI-interface kan leiden. In het geval van CVE-2023-29412 is remote code execution door middel van de Java RMI-interface ook mogelijk. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een derde kwetsbaarheid in de software maakt een denial of service mogelijk. Dit beveiligingslek kreeg een impactscore van 7.5. APC heeft beveiligingsupdates beschikbaar gemaakt en roept gebruikers op om die te installeren. Vorig jaar lieten onderzoekers nog weten dat ze in verschillende APC Smart-UPS-modellen kritieke kwetsbaarheden had ontdekt waardoor het mogelijk is om de noodstroomvoorziening uit te schakelen, de stroomtoevoer te manipuleren of de apparaten zelfs te vernietigen. bron: https://www.security.nl

Een kwetsbaarheid in de Archer AX21 (AX1800) wifi-router van fabrikant TP-Link wordt actief door criminelen gebruikt om kwetsbare apparaten onderdeel van een botnet te maken, zo stelt securitybedrijf ZDI. De kwetsbaarheid die de aanvallers hiervoor gebruiken werd tijdens de Pwn2Own-wedstrijd van het ZDI, die afgelopen december plaatsvond, gedemonstreerd. Via het beveiligingslek, aangeduid als CVE-2023-1389, kan een ongeauthenticeerde aanvaller via de webinterface willekeurige code op de router uitvoeren. De kwetsbaarheid is vanaf de WAN-kant van de router te misbruiken. Vaak zijn dergelijke beveiligingslekken in de webinterface alleen vanaf de LAN-kant toegankelijk. Onderzoekers ontdekten echter dat het door een race condition bij het verwerken van iptables kortstondig ook via de WAN-kant mogelijk is. TP-Link kwam op 17 maart met een firmware-update die verschillende "security issues" verhelpt. Verdere details werden echter niet gegeven. Een van de verholpen problemen is CVE-2023-1389. Op 11 april zag ZDI dat aanvallers actief misbruik van het lek maken om kwetsbare routers aan een Mirai-botnet toe te voegen. De besmette routers zijn vervolgens voor het uitvoeren van ddos-aanvallen te gebruiken. Volgens de onderzoekers laat de snelheid waarmee criminelen misbruik van de kwetsbaarheid maken zien hoe belangrijk is dat fabrikanten beveiligingslekken snel verhelpen en gebruikers snel beschikbare patches uitrollen. bron: https://www.security.nl

Bijna veertig landen deden vorige week mee aan de jaarlijkse NAVO-cyberoefening Locked Shields, waarbij verschillende soorten digitale aanvallen worden gesimuleerd. Tijdens het evenement moesten 24 blue teams hun vitale systemen tegen een aanvallend red team beschermen. Het doel van de oefening is om te oefenen met cyberaanvallen, het maken van managementbeslissingen in een crisissituatie en ervoor zorgen dat gemaakte beslissingen weloverwogen zijn. Locked Shields wordt al sinds 2010 in de Estse hoofdstad Tallinn door het NATO Cooperative Cyber Defense Center of Excellence (CCDCOE) georganiseerd. Aan de editie van dit jaar deden drieduizend mensen uit 38 landen deel. "Locked Shields richt zich niet alleen op cyberverdediging, maar ook op strategy games, juridische vraagstukken en crisiscommunicatie. In het geval van een grote cyberaanval is snelle samenwerking essentieel om de escalatie van een veiligheidscrisis te voorkomen", zegt NATO CCDCOE-directeur Mart Noorma. bron: https://www.security.nl

Softwarebedrijf PaperCut waarschuwt organisaties voor een kritieke kwetsbaarheid in de printsoftware die het levert en waar aanvallers op dit moment actief misbruik van maken voor het overnemen van kwetsbare servers. De Amerikaanse overheid heeft federale overheidsinstanties opgedragen het beveiligingslek voor 12 mei te patchen. PaperCut levert onder andere een printmanagementserver waarmee organisaties allerlei printgerelateerde zaken kunnen beheren, zoals het inzien van het aantal geprinte pagina's, beheer van print queues, toevoegen van watermerken en access control. Een kwetsbaarheid in de software, aangeduid als CVE-2023–27350, maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand code met systeemrechten op de server uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 8 maart van dit jaar kwam PaperCut met een beveiligingsupdate (versies 20.1.7, 21.2.11 en 22.0.9) voor de kwetsbaarheid die door securitybedrijf Trend Micro was gerapporteerd. Een week na het verschijnen van de patch publiceerde Trend Micro meer details over het beveiligingslek. Vorige week bleek dat aanvallers actief misbruik van CVE-2023–27350 maakten voor het aanvallen van kwetsbare, nog niet gepatchte servers. Organisaties die vermoeden dat hun PaperCut-server is gecompromitteerd wordt aangeraden om de server volledig te wissen en aan de hand van veilige back-ups te herstellen. Vanwege het actieve misbruik heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security federale Amerikaanse overheidsinstanties opgedragen om de update voor het PaperCut-lek voor 12 mei te installeren, mocht dat nog niet zijn gedaan. Securitybedrijf Huntress laat weten dat van de meer dan duizend PaperCut-servers die het bij klanten waarneemt, zo'n negentig procent niet up-to-date is en kwetsbaar is voor aanvallen. bron: https://www.security.nl

Onderzoekers hebben opnieuw Google-advertenties voor populaire software aangetroffen die malware verspreiden. Begin dit jaar waarschuwden onderzoekers al herhaaldelijk voor criminelen die advertenties bij de zoekresultaten van Google gebruikten voor de verspreiding van malware. Recentelijk ontdekten onderzoekers van securitybedrijf Secureworks advertenties voor Zoom, Cisco AnyConnect, ChatGPT en Citrix Workspace die naar besmette versies linkten. De advertenties wezen naar gecompromitteerde WordPress-sites, waarvandaan slachtoffers werden doorgestuurd naar een zogenaamde officiële downloadpagina. De aangeboden installers waren echter voorzien van de Bumblebee-malware. Deze malware fungeert als een "downloader" en kan aanvullende malware op het systeem downloaden, zoals ransomware. Verschillende ransomware-aanvallen zouden via de Bumblee-malware zijn begonnen. Volgens Secureworks is het dan ook belangrijk dat organisaties het downloaden en uitvoeren van third-party software door personeel dan ook beperken. bron: https://www.security.nl

Bij de aanval op harde schijffabrikant Western Digital is tien terabyte aan data buitgemaakt, waaronder grote hoeveelheden gegevens van klanten, zo claimen de verantwoordelijke criminelen tegenover TechCrunch. Vanwege de aanval besloot WD allerlei diensten offline te halen, waaronder de My Cloud-opslagdienst, maar die zijn sinds woensdag weer online. Klanten konden er tien dagen lang geen gebruik van maken. Daarnaast moeten klanten vrezen dat hun gegevens in handen van de aanvallers zijn gekomen. Om wat voor soort gegevens het zou gaan is onbekend. De criminelen lieten tegenover TechCrunch zien dat ze over het certificaat en de key beschikken om bestanden als Western Digital te signeren en gegevens van het bestuur in handen hebben. Om te voorkomen dat de gestolen data wordt gepubliceerd eisen de criminelen een bedrag van acht cijfers. Hoe ze toegang tot de systemen konden krijgen is niet bekend. WD wilde niet op de claims van de aanvallers reageren. bron: https://www.security.nl

De Europese privacytoezichthouders, verenigd in de EDPB, hebben een ChatGPT-taskforce gelanceerd om zo de samenwerking te bevorderen en informatie over mogelijke acties tegen de chatbot uit te wisselen. Aanleiding is de beslissing van de Italiaanse privacytoezichthouder om de chatbot te verbieden wegens het illegaal verzamelen van persoonlijke gegevens voor het trainen van de algoritmes en het niet controleren van de leeftijd van minderjarigen. Het Europees Comité voor gegevensbescherming (EDPB) is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de AVG. Vandaag hadden de toezichthouders in Brussel overleg, waarbij ook het optreden van de Italiaanse toezichthouder tegen ChatGPT werd besproken. Daarop besloot de EDPB om een aparte taskforce op te richten voor het coördineren en uitwisselen van informatie over mogelijke handhavingsacties die de toezichthouders tegen de chatbot gaan nemen. Verdere informatie over de taskforce is niet gegeven. bron: https://www.security.nl

De Kodi Foundation, ontwikkelaar van de gelijknamige mediaspeler, heeft na een datalek waarbij de gegevens van vierhonderdduizend forumgebruikers werden gestolen, de e-mailadressen van slachtoffers met datalekzoekmachine Have I Been Pwned gedeeld. Het komt zelden voor dat een website na een datalek e-mailadressen van slachtoffers met de zoekmachine deelt. Via Have I Been Pwned is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. De zoekmachine bevat 12,5 miljard gecompromitteerde accounts, afkomstig van 668 websites en datasets. In slechts vijftien van deze gevallen besloot de gecompromitteerde website zelf om e-mailadressen van slachtoffers bij Have I Been Pwned te rapporteren. Vorige week meldde de Kodi Foundation dat de gegevens van vierhonderdduizend forumgebruikers waren gestolen en op internet te koop werden aangeboden. Het gaat om browser user-agent, geboortedatum, e-mailadres, ip-adres, wachtwoordhashes ( MyBB salted hashes), privéberichten en gebruikersnamen. Het datalek vond plaats via het account van een inactieve forumbeheerder. De aanvaller wist via dit account een back-up van de forumdatabase te maken. Na ontdekking van het datalek is het gebruikte account uitgeschakeld. Het forum van Kodi is nog altijd offline. De stichting zegt nog te onderzoeken hoe het slachtoffers straks kan inlichten en uitleggen hoe ze hun wachtwoord moeten resetten zodra het forum weer online is. In de tussentijd kunnen gebruikers via Have I Been Pwned zien of hun account is gecompromitteerd. Van de vierhonderdduizend gestolen e-mailadressen was 86 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Microsoft heeft een kwetsbaarheid in SQL Server waardoor remote code execution mogelijk is alsnog bekendgemaakt. Het techbedrijf kwam afgelopen februari met een beveiligingsupdate voor de kwetsbaarheid in SQL Server 2008, 2014, 2016, 2017, 2019 en 2022, maar was naar eigen zeggen "per ongeluk" vergeten om het bestaan van het lek destijds ook te melden. Volgens securitybedrijf ZDI is er sprake van een "stille patch". Het beveiligingslek, aangeduid als CVE-2023-23384, betreft een out of bounds kwetsbaarheid in de SQLcmd tool. Een ongeauthenticeerde aanvaller kan hierdoor op afstand code met verhoogde rechten uitvoeren. Volgens Microsoft is het uitvoeren van willekeurige code lastig, aangezien een aanvaller slechts een paar geheugenbytes kan overschrijven. Een aanval zal dan ook eerder leiden tot een crash van de server, aldus Microsoft. Het techbedrijf stelt dat het in februari het bestaan van de kwetsbaarheid "per ongeluk" was vergeten te melden. Securitybedrijf ZDI spreekt over een stille patch en dat dit geen goede ontwikkeling is. Microsoft geeft geen verdere reden hoe het kan dat de kwetsbaarheid destijds is vergeten. De afgelopen jaren is het een paar keer eerder voorgekomen dat Microsoft het bestaan van een beveiligingslek pas na het uitkomen van de update bekendmaakte. bron: https://www.security.nl

Microsoft waarschuwt organisaties voor aanvallen met de BlackLotus UEFI-bootkit en heeft advies uitgebracht om besmette systemen te vinden en herstellen. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Iets wat ook Microsoft stelt. "UEFI-bootkits zijn met name gevaarlijk, omdat ze tijdens het opstarten van de computer draaien, voordat het besturingssysteem wordt geladen, en kunnen daardoor verschillende beveiligingsmechanismes zoals BitLocker, hypervisor-protected code integrity (HVCI) en Microsoft Defender Antivirus uitschakelen." Onlangs rapporteerde antivirusbedrijf ESET over de BlackLotus UEFI-bootkit die op internet te koop wordt aangeboden. De bootkit maakt gebruik van een kwetsbaarheid in Windows (CVE-2022-21894) voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de bootkit onder andere BitLocker en Microsoft Defender uitschakelen. Microsoft kwam vorig jaar januari met een beveiligingsupdate voor de kwetsbaarheid. Misbruik is volgens ESET nog steeds mogelijk omdat de kwetsbare Windows-bestanden die worden gebruikt voor het omzeilen van Secure Boot niet op de UEFI Revocation List zijn geplaatst. Deze lijst bevat een overzicht van eerdere, goedgekeurde en gesigneerde firmware en software gebruikt voor het opstarten van systemen waarop Secure Boot staat ingeschakeld. In een nieuw document over de BlackLotus-bootkit laat Microsoft zien hoe besmette systemen zijn te identificeren. Mochten systemen inderdaad zijn besmet, adviseert het techbedrijf om de geïnfecteerde computer uit het netwerk te verwijderen en zowel de OS-partitie als EFI-partitie te formatteren of vanuit een schone back-up te herstellen bron: https://www.security.nl

Op de systemen van 3CX, dat wereldwijd software voor voip-oplossingen levert en slachtoffer van een supplychain-aanval werd, hebben onderzoekers malware gevonden. Zowel macOS- als Windowssystemen van de softwareleverancier bleken besmet te zijn, zo laat 3CX in een update over de aanval weten. Hoe de infecties zich konden voordoen is nog altijd niet bekendgemaakt. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben. De desktopapplicatie van 3CX maakt het mogelijk om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Aanvallers wisten op nog altijd onbekende wijze verschillende versies van de software voor macOS en Windows van malware te voorzien. Nu blijkt dat de aanvallers door middel van malware toegang tot de systemen van 3CX hadden. Daarbij werden verschillende malware-exemplaren gebruikt die met legitiem lijkende domeinen verbinding maakten. Het onderzoek naar de aanval wordt uitgevoerd door securitybedrijf Mandiant, dat vermoedt dat een Noord-Koreaanse groep verantwoordelijk is. Eerder meldde antivirusbedrijf Kaspersky dat de aanvallers het op cryptobedrijven hadden voorzien. Veel details over de aanval ontbreken nog altijd. bron: https://www.security.nl

Honderdduizenden WordPress-sites zijn door een beveiligingslek in de plug-in Limit Login Attempts kwetsbaar voor aanvallen. Er is inmiddels een beveiligingsupdate uitgebracht, maar zo'n half miljoen websites hebben die nog niet geïnstalleerd. Limit Login Attempts moet bruteforce-aanvallen op WordPress-sites bemoeilijken. De plug-in zorgt ervoor dat ip-adressen na een aantal mislukte inlogpogingen op een blacklist worden geplaatst en niet meer mogen inloggen. Limit Login Attempts is op meer dan 600.000 WordPress-sites actief. Een cross-site scripting-kwetsbaarheid in de plug-in, aangeduid als CVE-2023-1912, maakt het mogelijk voor aanvallers om de website over te nemen. Het beveiligingslek maakt het namelijk mogelijk om malafide JavaScript aan de database van de plug-in toe te voegen, die automatisch wordt uitgevoerd wanneer de beheerder de loggingpagina bekijkt, zo meldt securitybedrijf Wordfence. Vorige week verscheen versie 1.7.2, waarin het probleem is verholpen. In de beschrijving van deze versie wordt alleen gesproken over "security fixes". Sinds de update uitkwam is Limit Login Attempts zo'n honderdduizend keer gedownload, wat inhoudt dat nog zo'n vijfhonderdduizend websites de update missen. bron: https://www.security.nl

Vooral als het gaat om kritieke infrastructuren, zoals telecommunicatie en energienetwerken. Dat stelt de Rijksinspectie Digitale Infrastructuur (RDI), voorheen bekend als het Agentschap Telecom, bij de lancering van de Trendradar vandaag. De Trendradar is een visualisatie van de RDI die inzicht biedt in de digitale ontwikkelingen die de samenleving op korte en langere termijn kunnen raken. De toezichthouder gaat via de Trendradar bepalen op welke ontwikkelingen het extra gaat inzetten en welke onderzoeken het gaat uitvoeren. Volgens de RDI zijn er op dit moment verschillende trends waar de komende jaren rekening mee moet worden gehouden. Het gaat dan om de komst van quantumcomputers en de toenemende digitalisering in de energietransitie. "Digitalisering levert namelijk een onmisbare bijdrage aan het versnellen van de energietransitie, maar brengt ook een verhoogd risico op het gebied van cybersecurity met zich mee", aldus de Rijksinspectie. Die maakt zich ook zorgen over de sterke groei van het aantal IoT-apparaten die vaak onvoldoende zijn beveiligd. Verder maakt de RDI zich ook zorgen over Amerikaanse cloudproviders. "Veel applicaties ‘draaien in de cloud’. De cloud-infrastructuur is niet altijd afkomstig uit Europa. Dat vormt een risico voor de digitale soevereiniteit van Europa en Nederland. Vooral als het gaat om kritieke infrastructuren, zoals telecommunicatie en energienetwerken." Volgens de RDI neemt het besef binnen Nederland en Europa toe dat afhankelijkheid van buitenlandse marktspelers ook risico’s meebrengt, bijvoorbeeld als het gaat om het houden van regie en controle over de digitale infrastructuur. bron: https://www.security.nl

Tijdens de patchdinsdag van april heeft Microsoft een zerodaylek in Windows verholpen die bij ransomware-aanvallen is ingezet. De kwetsbaarheid bevindt zich in de Windows Common Log File System (CLFS) Driver, waar in een jaar tijd al drie andere zerodaylekken werden aangetroffen en verholpen. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Via het beveiligingslek, aangeduid als CVE-2023-28252, kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen. De kwetsbaarheid alleen is niet voldoende om een systeem over te nemen en moet dan ook worden gecombineerd met een ander beveiligingslek of kan worden gebruikt door malware die bijvoorbeeld via een e-mailbijlage of macro op het systeem wordt uitgevoerd. De kwetsbaarheid wordt al zeker sinds februari bij ransomware-aanvallen gebruikt, zo meldt antivirusbedrijf Kaspersky dat het lek ontdekte en aan Microsoft rapporteerde. Worden de meeste zerodays door statelijke actoren ingezet, dit beveiligingslek is gebruikt door criminelen die er de Nokoyawa-ransomware mee installeren, aldus Kaspersky. De virusbestrijder merkt op dat de kwetsbaarheid eenvoudig gevonden had kunnen worden door middel van fuzzing. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. In de CLFS-driver zijn in het verleden zoals gezegd meerdere beveiligingslekken aangetroffen. Dat CVE-2023-28252 toch niet werd opgemerkt is volgens Kaspersky mogelijk te verklaren doordat fuzzers het probleem wel vonden en er zich een "exception" voordeed, maar dat er geen crash plaatsvond en het lek zo onopgemerkt bleef. De update die het probleem verhelpt wordt op de meeste Windowscomputers automatisch geïnstalleerd. bron: https://www.security.nl

De FBI heeft via Twitter gewaarschuwd voor openbare ubs-laadstations die spyware en malware verspreiden. In de tweet wordt opgeroepen om gratis usb-oplaadstations op vliegvelden, hotels en winkelcentra te vermijden. Aanvallers hebben volgens de Amerikaanse opsporingsdienst namelijk manieren gevonden om via deze apparaten spyware en malware op telefoons te krijgen. Daarom doen mensen er verstandig aan hun eigen opladers mee te nemen en een stopcontact te gebruiken. Concrete details of voorbeelden van waargenomen aanvallen worden niet door de FBI gegeven. De waarschuwing in kwestie is ook op de website van de FBI te vinden. Het openbaar ministerie van Los Angeles County waarschuwde al een aantal jaren geleden voor "juice jacking". Daarbij wordt een apparaat op een kwaadaardige oplader aangesloten. Het kan dan bijvoorbeeld om een usb-oplaadstation gaan. Ook de Amerikaanse toezichthouder FCC heeft hierover een waarschuwing op de eigen website staan. bron: https://www.security.nl

Amazon.com heeft de verkoop van de populaire geektool Flipper Zero verboden, waardoor het apparaatje niet meer via de Amerikaanse webwinkel te koop is. De tool is echter nog wel bij Amazon.nl te vinden. Verschillende gebruikers lieten via Twitter weten dat het product niet meer via Amazon.com werd aangeboden. Daarnaast stuurde het bedrijf een bericht naar een verkoper van de Flipper Zero dat het product niet meer mocht worden aangeboden. Volgens de Amerikaanse webshop is het namelijk een tool om betaalkaarten mee te skimmen. De Flipper Zero wordt door de ontwikkelaars omschreven als een multitool voor penetratietesters en geeks. Het apparaat ondersteunt verschillende radioprotocollen, NFC, RFID, Bluetooth en infrarood en kan voor allerlei tests en onderzoeken worden gebruikt. Onlangs werd bekend dat de Braziliaanse overheid zendingen van de Flipper One in beslag neemt. De afgelopen dagen maakten verschillende Twitteraccounts melding dat het apparaatje niet meer via Amazon werd aangeboden. Eén van de verkopers deelde vervolgens een bericht dat hij van Amazon had ontvangen met Bleeping Computer. Daarin staat dat het bedrijf de Flipper Zero als een "card skimming device" heeft bestempeld en het daarom niet meer via de webshop mag worden aangeboden. Hoe Amazon tot dit oordeel is gekomen laat het bericht niet weten. Uit een zoekopdracht van Security.NL bij Amazon.nl blijkt dat de Flipper Zero daar gewoon nog door allerlei externe verkopers wordt aangeboden. bron: https://www.security.nl

Afgelopen woensdag sloegen meerdere securitybedrijven alarm wegens een supplychain-aanval op 3CX, een wereldwijde aanbieder van telecomoplossingen met meer dan zeshonderdduizend klanten en twaalf miljoen gebruikers. Aanvallers hadden de desktopapplicatie van 3CX voor macOS en Windows van malware voorzien. Het bedrijf kwam gisteren met een nieuwe applicatie, maar die wordt inmiddels door Google Chrome geblokkeerd. Daarnaast blijkt dat sommige antivirusbedrijven alle software van 3CX tegenhouden. Volgens 3CX heeft Google het certificaat dat voor het signeren van de software is gebruikt ongeldig verklaard. Daardoor kan de nieuwe applicatie die het bedrijf gisteren uitbracht niet meer via Googles browser worden gedownload, meldt 3CX-ceo Nick Galea. Verschillende antiviruspakketten blokkeren inmiddels alle software met het betreffende certificaat. 3CX werkt nu aan compleet nieuwe installer die ook van een compleet nieuw certificaat gebruikmaakt. Deze versie wordt later vandaag verwacht. In de tussentijd blijft het bedrijf klanten adviseren om van de webapplicatie gebruik te maken. Er komt voorlopig nog geen nieuwe versie van de macOS-versie van de desktopapplicatie. De focus ligt nu op de Windows-app en het onderzoek naar de aanval. Het is nog altijd onbekend hoe de aanvallers malware aan de software van 3CX konden toevoegen. bron: https://www.security.nl

Om gebruikers tegen malware te beschermen gaat Microsoft OneNote honderdtwintig gevaarlijke bestandsextensies die aan een OneNote-bestand kunnen worden toegevoegd standaard blokkeren. Dat heeft Microsoft aangekondigd. OneNote is software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. OneNote-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts of embedded bestanden die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers zover te krijgen gebruiken aanvallers allerlei trucs, die ook werden toegepast om gebruikers macro's te laten inschakelen. Zodra gebruikers de waarschuwing negeren wordt er malware gedownload en uitgevoerd. Eerder deze maand kondigde Microsoft aan dat het extra maatregelen neemt om aanvallen met OneNote-bestanden te voorkomen. Het techbedrijf heeft hier nu meer details over gegeven. Het blokkeren van gevaarlijke bestandsextensies wordt doorgevoerd bij OneNote voor Microsoft 365, alsmede OneNote voor Office 2021, Office 2019 en Office 2016. Voor de lijst van gevaarlijke bestandsextensies hanteert Microsoft dezelfde lijst van extensies die het standaard binnen Outlook, Word, Excel en PowerPoint blokkeert. Op deze lijst staan in totaal honderdtwintig bestandsextensies, zoals .exe, .scr en .bat. Via een policy is het daarnaast mogelijk om nog andere extensies te blokkeren. bron: https://www.security.nl

Mozilla heeft een feature aan de Windowsversie van Firefox toegevoegd waardoor gebruikers voortaan third-party dll injection kunnen blokkeren. Third-party software op Windows heeft verschillende manieren om hun code in andere, actieve processen te injecteren. Vaak wordt dit gedaan door antivirussoftware, maar het kan ook het gevolg zijn van hardware drivers, screenreaders, banksoftware en ook malware. Bij meer dan zeventig procent van alle Firefox-gebruikers vindt third-party dll injection plaats, waarbij een programma een dll-bestand in het Firefox-proces injecteert. Het gaat dan om dll-bestanden die niet digitaal door Mozilla of Microsoft zijn gesigneerd. Dit kan voor veiligheids- en stabiliteitsproblemen zorgen. Mozilla zou alle third-party dll's in Firefox standaard kunnen blokkeren, maar dit zou volgens de browserontwikkelaar ook gevolgen voor nuttige producten hebben, zoals screenreaders. Ook is het technisch lastig haalbaar en waarschijnlijk onmogelijk om alle hird-party dll's te blokkeren, zeker die van third-party software die met hogere rechten dan Firefox draait. Met Firefox 110 kunnen gebruikers door "about:third-party" in de adresbalk in te voeren een overzicht van geïnjecteerde third-party dll's zien, om die vervolgens te kunnen blokkeren. bron: https://www.security.nl

Privacyorganisatie noyb heeft Meta gedreigd met juridische stappen als het gebruikers op basis van een "gerechtvaardigd belang" gerichte advertenties gaat tonen. Begin dit jaar kreeg Meta van de Ierse privacytoezichthouder DPC een boete van 390 miljoen euro opgelegd wegens gerichte advertenties op Facebook en Instagram. Ook moet het Amerikaanse techbedrijf de manier veranderen waarop het toestemming vraagt voor gerichte advertenties. Gerichte advertenties mogen vanaf april niet zonder toestemming van de betreffende gebruikers worden getoond, aangezien hiervoor persoonlijke informatie wordt verwerkt. Toen de AVG in mei 2018 van kracht werd dacht Meta deze vereiste te kunnen omzeilen door een bepaling aan de algemene voorwaarden toe te voegen, waardoor gebruikers bij het accepteren van de voorwaarden ook automatisch akkoord gingen met gerichte advertenties. Daarop diende privacyorganisatie noyb een klacht in. Aangezien Meta, Facebook en Instagram hun Europees hoofdkantoor in Ierland hebben voerde de Ierse privacytoezichthouder DPC het onderzoek naar de klacht uit en stelde dat Meta onrechtmatig heeft gehandeld. In plaats van een opt-in, waarbij gebruikers zelf voor gerichte advertenties kiezen, stelt Meta nu dat het een "gerechtvaardigd belang" heeft om gebruikersgegevens te verwerken en dergelijke reclame te tonen, zonder dat gebruikers hier toestemming voor moeten geven. Verschillende techbedrijven hebben deze optie in het verleden geprobeerd, maar werden steeds door privacytoezichthouders teruggefloten. "Meta ruilt de ene illegale praktijk in voor de andere. Noyb zal meteen juridische stappen ondernemen om dit te stoppen, aangezien het duidelijk is dat de Ierse toezichthouder van Meta wederom niet optreedt", zegt privacyactivist en noyb-oprichter Max Schrems. "Dit is een absurde situatie en we zullen het zo snel mogelijk stoppen." Volgens Schrems moet Meta, net als alle andere bedrijven, gebruikers een duidelijk ja/nee-optie bieden. bron: https://www.security.nl

Verschillende securitybedrijven slaan alarm over malware die in de officiële desktopapplicatie van de populaire voipsoftware 3CX is aangetroffen. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben. 3CX biedt ook een Windowsapplicatie om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Een library die 3CX voor de Windowsapplicatie gebruikt is voorzien van malware, zo laat het bedrijf in een waarschuwing weten. Dat werkt inmiddels aan een nieuwe Windows-app. In de tussentijd wordt klanten aangeraden de webapplicatie te gebruiken. Hoe de malware kon worden toegevoegd is niet bekendgemaakt. 3CX zegt met een onderzoek bezig te zijn en later vandaag met meer informatie te komen. De malware die aan de desktopapplicatie is toegevoegd downloadt aanvullende malware die informatie van het besmette systeem steelt en aanvallers verdere toegang kan geven, zo waarschuwen securitybedrijven SentinelOne, Sophos en Crowdstrike. Deze laatste partij vermoedt dat de aanval het werk is van een statelijke actor. Update Het installatieprogramma van de macOS-versie van de desktopapplicatie is ook door de aanvallers voorzien van malware, zo melden beveiligingsonderzoeker Patrick Wardle en 3CX-ceo Nick Galea. bron: https://www.security.nl