Captain Kirk

Screeningsdiensten Instant Checkmate en TruthFinder hebben in 2019 de privégegevens van twintig miljoen klanten gelekt, zo is afgelopen vrijdag bekendgemaakt. Het gaat om namen, e-mailadressen, telefoonnummers en gehashte wachtwoorden die inmiddels op internet worden aangeboden. Hoe de data kon worden gestolen is niet bekendgemaakt. Instant Checkmate en TruthFinder zijn twee Amerikaanse diensten die het mogelijk voor gebruikers maken om in openbare documenten te zoeken, zoals strafbladen, aanhoudingen, faillissementen en geboorte- en overlijdensaktes. Zo kan er bijvoorbeeld op naam, adres, telefoonnummer of e-mailadres worden gezocht om informatie over een bepaald persoon of diens familie of vrienden te zoeken. De diensten worden voornamelijk voor "background checks" gebruikt. In het geval van Instant Checkmate zijn de gegevens van twaalf miljoen gebruikers gelekt, bij TruthFinder werd data van bijna 8,2 miljoen gebruikers buitgemaakt. De ruim twintig miljoen e-mailadressen zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. Via Have I Been Pwned is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de bij Instant Checkmate gestolen e-mailadressen was 87 procent al bij Have I Been Pwned bekend, in het geval van TruthFinder ging het om 68 procent. bron: https://www.security.nl

Bedrijven en organisaties van wie de VMWare ESXi-servers bij de recente ransomware-aanval zijn versleuteld kunnen in sommige gevallen hun systemen ontsleutelen. Een beveiligingsonderzoeker heeft hiervoor een manier gevonden. Eind vorige week waarschuwden de Nederlandse en Franse overheid voor actief misbruik van een oude kwetsbaarheid in VMWare ESXi bij ransomware-aanvallen. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op afstand code op kwetsbare ESXi-servers uitvoeren. Aanvallers maken nu misbruik van deze kwetsbaarheid. "Het is nog onduidelijk hoe de aanvallers het systeem binnendringen, het is in ieder geval niet aan te raden om OpenSLP poort 427 benaderbaar te maken via het internet. Het is nog onduidelijk of de kwaadwillenden ook een andere wijze gebruiken om het systeem binnen te dringen", aldus het Digital Trust Center van het ministerie van Economische Zaken. "Indien je organisatie een kwetsbare VMWare ESXi-hypervisor draait, is het raadzaam deze zo spoedig mogelijk te (laten) updaten. Zorg er daarnaast voor dat de ESXi-hypervisor niet benaderbaar is via het internet." Beveiligingsonderzoeker Enes Sönmez heeft een manier gevonden om getroffen ESXi-omgevingen te herstellen. Hostingprovider OVHcloud zegt de procedure te hebben getest en meldt een succesratio van zo'n 66 procent. Wel vereist het gebruik van de genoemde procedure "sterke vaardigheden" in ESXi-omgevingen, aldus de provider, die opmerkt dat het gebruik op eigen risico is. Inmiddels is ook het Dutch Institute of Vulnerability Disclosure (DIVD) begonnen met het scannen naar kwetsbare systemen en waarschuwen van de betreffende organisaties. bron: https://www.security.nl

Is je probleem al opgelost?

Criminelen maken op grote schaal gebruik van Google-advertenties om internetgebruikers die naar bekende software zoeken met malware te infecteren. Dat stellen Spamhaus en Abuse.ch. Wie bijvoorbeeld op Thunderbird, Microsoft Teams, GIMP, Tor Browser of CCleaner zoekt krijgt advertenties te zien die zogenaamd naar de officiële website van de betreffende software wijzen. In werkelijkheid gaat het om malafide websites die malware aanbieden. De afgelopen maanden is herhaaldelijk voor deze werkwijze van criminelen gewaarschuwd, maar Google slaagt er maar niet in om de situatie onder controle te krijgen. Het lijkt zelfs juist erger te worden. Volgens de Zwitserse beveiligingsonderzoeker en oprichter van Abuse.ch Roman Hüssy is er waarschijnlijk een partij actief die het verspreiden van malware via Google-advertenties als dienst aan criminelen aanbiedt. Daarnaast blijkt uit onderzoek dat malafide advertenties voor dezelfde zoekopdrachten verschillende malware verspreiden, wat ook op "malvertising as a service" duidt, aldus Spamhaus. De malware die via de advertenties wordt verspreid is voornamelijk ontwikkeld om wachtwoorden en andere inloggegevens te stelen. Een aantal weken geleden adviseerde de FBI vanwege de malafide advertenties in de zoekmachine van Google nog het gebruik van een adblocker. bron: https://www.security.nl

De controle die Microsoft bij gebruikers van oude Office-versies uitvoert verzamelt diagnostische data en prestatiegegevens, zo stelt het techbedrijf. Vorige maand ontstond ophef omdat Microsoft een update onder gebruikers van Office-versies uitrolt die niet meer worden ondersteund of waarvan de support binnenkort stopt. Het gaat dan bijvoorbeeld om Office 2007, Office 2010 en Office 2013. De eerste twee Office-versies ontvangen sinds respectievelijk oktober 2017 en oktober 2020 geen updates meer. Office 2013 ontvangt nog wel beveiligingsupdates, maar hier zal Microsoft op 11 april van dit jaar mee stoppen. Via update (KB5021751) wil het techbedrijf kijken hoe groot het aantal gebruikers is dat met deze Office-versies werkt. Volgens Microsoft wordt de update "stilletjes" uitgevoerd en wordt er niets op het systeem van de gebruiker geïnstalleerd. Het bedrijf heeft nu meer details over de update gegeven. De update verzamelt diagnostische data en prestatiegegevens afkomstig van het Windows-register en API's. Microsoft stelt dat de update geen licentiegegevens, content van klanten of data over software die niet van Microsoft is verzamelt. De update wordt via Windows Update verspreid bij gebruikers die voor de optie "Receive updates for other Microsoft products" hebben gekozen en Office 2013, Office 2010 of Office 2007 hebben geïnstalleerd. bron: https://www.security.nl

Meta heeft jarenlang betaald voor het scrapen van gegevens van andere websites die het vervolgens gebruikte, terwijl het tegelijkertijd rechtszaken voerde tegen bedrijven die op deze manier data van Facebook en Instagram verzamelden. Dat blijkt uit documenten die in een rechtszaak tussen Meta en dataverzamelingsbedrijf Bright Data zijn ingediend. Meta beschuldigt Bright Data van het scrapen en verkopen van informatie afkomstig van Facebook en Instagram. Meta blijkt echter ook jarenlang klant van Bright Data te zijn geweest. Het bedrijf biedt allerlei diensten, waaronder het verzamelen van berichten, reacties en gebruikersgegevens van sociamediaplatforms zoals TikTok en Twitter, en webwinkels zoals Amazon, eBay en Walmart. Meta heeft tegenover Bloomberg bevestigd dat het Bright Data betaalde om data van webwinkels te verzamelen, om naar eigen zeggen merkprofielen op Meta's eigen platformen te ontwikkelen. Van welke websites de informatie werd gescrapet wil Meta niet zeggen. Het techbedrijf eindigde de relatie met Bright Data nadat het ontdekte dat het data van de eigen socialmediaplatforms scrapete. De Ierse privacytoezichthouder DPC legde Meta vorig jaar een AVG-boete van 265 miljoen euro op wegens een groot datalek bij Facebook waardoor de data van 533 miljoen gebruikers op straat kwam te liggen. De data was door middel van scraping verzameld, waarbij er misbruik was gemaakt van een feature van het platform. Uit interne communicatie bleek dat Facebook datalekken door middel van scraping vervolgens als een industriebreed probleem wilde framen. bron: https://www.security.nl

Google heeft onder een klein deel van de gebruiker de allereerste 'early stable' van Chrome gelanceerd. Welke kwetsbaarheden er in deze versie zijn verholpen is nog niet bekendgemaakt. Ongeveer elke vier weken komt Google met een nieuwe versie van Chrome. Zo is nu Chrome 110 uitgekomen en verschijnt op 1 maart Chrome 111. Naast de stabiele versie kent Chrome ook testversies bedoeld voor ontwikkelaars en bètatesters. Met de lancering van Chrome 110 zal er voortaan ook een 'early stable' versie worden uitgebracht. Deze versie wordt onder een klein deel van de gebruikers uitgerold. Het gaat om de stabiele versie die een week later aan de overige gebruikers wordt aangeboden. Zo verschijnt Chrome 110 op 7 februari voor alle andere gebruikers. Google krijgt zo naar eigen zeggen de kans om te zien hoe de stabiele versie het bij deze kleine groep gebruikers doet, voordat de grote uitrol plaatsvindt. Eventuele grote problemen kunnen dan met een vrij kleine impact worden ontdekt en verholpen. Hoe gebruikers in aanmerking voor de 'early stable' kunnen komen of dat dit zelf kan worden ingesteld laat Google niet weten. bron: https://www.security.nl

E-mailclient Thunderbird controleerde niet of S/Mime-certificaten zijn ingetrokken, waardoor e-mail die met een ingetrokken certificaat is gesigneerd wordt weergeven alsof die over een geldige handtekening beschikt. Er is een update voor Thunderbird uitgekomen die de kwetsbaarheid, aangeduid als CVE-2023-0430 verhelpt. Via een S/Mime-certificaat is het mogelijk om een e-mail digitaal te signeren. Zo is de identiteit van de afzender te verifiëren, kan worden bevestigd dat de afzender het bericht daadwerkelijk heeft verstuurd en dat de inhoud niet is aangepast. Thunderbird kan via het Online Certificate Status Protocol (OCSP) controleren of een certificaat is ingetrokken. In dit geval hoort de e-mailclient een melding te geven dat de e-mail digitaal is gesigneerd, maar een ongeldige handtekening bevat. Thunderbird bleek deze controle echter niet uit te voeren en gaf ook bij een ingetrokken certificaat weer dat de e-mail over een geldige handtekening beschikte. Dat is in versie 102.7.1 verholpen. Daarnaast verhelpt deze versie ook een probleem met de authenticatie van Microsoft Office 365-accounts, waardoor ook deze gebruikers weer via Thunderbird kunnen inloggen. Vanwege dit specifieke probleem werd besloten om Thunderbird 102.7.0 niet automatisch onder gebruikers uit te rollen. Thunderbird kondigde een oplossing aan, maar die bleek in eerste instantie niet werken. Alleen wanneer gebruikers handmatig op updates zochten werd Thunderbird 102.7.0 daarom geïnstalleerd. Met de komst van Thunderbird 102.7.1 worden updates weer automatisch onder alle gebruikers uitgerold. bron: https://www.security.nl

Aanvallers hebben Microsofts proces voor het verifiëren van uitgevers van OAuth-apps misbruikt voor een phishingaanval, waardoor het leek alsof malafide apps van een betrouwbare uitgever afkomstig waren, zo laten het techbedrijf zelf en securitybedrijf Proofpoint weten. OAuth is een mechanisme waardoor applicaties van derden toegang tot het account van gebruikers kunnen krijgen, zonder dat die hiervoor hun wachtwoord hoeven af te staan. Gebruikers moeten dergelijke applicaties zelf toegang tot hun account geven, maar zodra dat is gedaan kan de app vervolgens allerlei acties binnen het account uitvoeren, zoals het lezen van e-mail of toegang krijgen tot bestanden. Microsoft heeft een proces waarbij het de uitgevers van OAuth-apps verifieert. Wanneer een app toestemming vraagt voor toegang tot het account krijgt de gebruiker te zien dat de uitgever door Microsoft is gecontroleerd. Afgelopen december ontdekte Microsoft een phishingaanval waarbij aanvallers zich voordeden als legitieme bedrijven en door het techbedrijf als uitgever van OAuth-apps waren geverifieerd. Vervolgens gebruikten de aanvallers hun verificatiestatus voor malafide OAuth-apps die werden ingezet bij phishingaanvallen op organisaties in het Verenigd Koninkrijk en Ierland. Wanneer gebruikers toestemming aan deze apps gaven werd hun e-mail gestolen. Na ontdekking van de aanval heeft Microsoft de door de aanvallers gebruikte accounts en apps uitgeschakeld en klanten gewaarschuwd. Verder stelt het techbedrijf dat het aanvullende maatregelen neemt om het verificatieproces te verbeteren om zo herhaling in de toekomst te voorkomen. Hieronder twee van de malafide apps en de permissies die ze aan gebruikers vroegen. bron: https://www.security.nl

Dertigduizend NAS-systemen van fabrikant QNAP missen een beveiligingsupdate voor een kritieke kwetsbaarheid waardoor een aanvaller de apparaten op afstand kan overnemen, zo stelt securitybedrijf Censys op basis van eigen onderzoek. Afgelopen maandag waarschuwde QNAP voor een kritiek beveiligingslek in QTS 5.0.1 en QuTS hero h5.0.1, het besturingssysteem dat op de apparaten van de NAS-fabrikant draait. Volgens Censys gaat het om een SQL-injection kwetsbaarheid waardoor een remote aanvaller kwaadaardige code op het NAS-systeem kan injecteren. Het beveiligingslek vereist geen authenticatie en zou eenvoudig te misbruiken zijn. Het probleem is verholpen in QTS 5.0.1.2234 build 20221201 en nieuwer en QuTS hero h5.0.1.2248 build 20221215 en nieuwer. Censys voerde een scan uit op internet en detecteerde meer dan 67.000 QNAP-systemen. Van ruim dertigduizend NAS-apparaten was het mogelijk om het versienummer vast te stellen. Dan blijkt dat zo'n 550 QNAP-systemen up-to-date zijn, terwijl bijna 30.000 apparaten de kritieke beveiligingsupdate missen en daardoor risico lopen. De meeste kwetsbare systemen werden aangetroffen in de Verenigde Staten, Italië en Taiwan. In het verleden zijn kwetsbaarheden in de software van QNAP gebruikt voor ransomware-aanvallen op NAS-apparaten. Gebruikers wordt dan ook aangeraden hun systemen te updaten. bron: https://www.security.nl

Google Chrome is gestopt met de ondersteuning van Windows 7 en Windows 8.1. Het techbedrijf zal versie 110 van de browser onder een klein percentage van de gebruikers uitrollen, waarna overige gebruikers de versie een week later op 7 februari zullen ontvangen. Ook browserleverancier Opera heeft het einde van de support van de tweede Windowsversies aangekondigd. Google zal Chrome voor Windows met de lancering van versie 110 alleen nog op Windows 10 en nieuwer ondersteunen. Microsoft stopte zelf eerder deze maand de support van Windows 7 Extended Security Update (ESU) en Windows 8.1. Google en Opera stellen dat oudere Chrome-versies blijven werken, maar er geen nieuwe updates voor gebruikers van deze besturingssystemen zullen verschijnen. Chrome kent verschillende versies, zoals canary, beta en stable, die respectievelijk voor ontwikkelaars, testers en eindgebruikers zijn bedoeld. Vanaf Chrome 110 wordt er ook gewerkt met een "early stable" versie. Het gaat om de stabiele versie die een week eerder onder een klein percentage van de gebruikers wordt uitgerold, waarbij de rest een week later volgt. Op deze manier hoopt Google problemen in een vroeg stadium te herkennen voordat de browser onder alle gebruikers is verspreid. bron: https://www.security.nl

De makers van OpenSSL komen volgende week dinsdag 7 februari met een belangrijke beveiligingsupdate, zo heeft het ontwikkelteam vandaag bekendgemaakt. De update verhelpt één of meerdere kwetsbaarheden waarvan de impact als "High" is bestempeld. Dergelijke kwetsbaarheden worden zelden in OpenSSL gerapporteerd. Vorig jaar ging het in totaal om vier van dergelijke beveiligingslekken. Drie daarvan bevonden zich echter in versie 3.0. De meeste OpenSSL-gebruikers werken met versie 1.1.1. Details over de kwetsbaarheden die volgende week worden verholpen geeft het OpenSSL-team niet. Beveiligingslekken die als High zijn aangemerkt maken het mogelijk voor aanvallers om bijvoorbeeld private keys van servers te stelen of remote code uit te voeren. De reden dat dergelijke kwetsbaarheden als High zijn aangemerkt en niet als Critical is dat het probleem niet bij standaard configuraties voorkomt of minder eenvoudig te misbruiken is. OpenSSL versies 3.0.8, 1.1.1t en 1.0.2zg verschijnen volgende week dinsdag 7 februari tussen 14.00 en 18.00 uur. OpenSSL 1.0.2 is end-of-life, de update is dan ook alleen beschikbaar voor betalende klanten. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Een beveiligingsupdate voor e-mailclient Thunderbird is wegens een probleem met Microsoft 365 Business-accounts nog altijd niet automatisch uitgerold. Gebruikers die de patch niet handmatig hebben geïnstalleerd zijn al bijna twee weken kwetsbaar. Op 19 januari kwam Thunderbird met versie 102.7.0 die onder andere acht kwetsbaarheden verhelpt. Verschillende van deze beveiligingslekken zouden volgens het ontwikkelteam met genoeg moeite kunnen worden gebruikt om willekeurige code op het systeem van gebruikers uit te voeren. Thunderbird beschikt over een automatische updatefunctie, maar er werd besloten om versie 102.7.0 niet automatisch onder gebruikers uit te rollen. De nieuwe Thunderbird-versie zou een belangrijke aanpassing bevatten in de OAuth2-authenticatie van Microsoft 365 Business-accounts. De doorgevoerde oplossing bleek echter voor problemen te zorgen, wat de reden was om de automatische uitrol voor alle Thunderbird-gebruikers te blokkeren. Vervolgens stelden de Thunderbird-ontwikkelaars dat vorige week versie 102.7.1 zou verschijnen en een oplossing voor het authenticatieprobleem zou bevatten. Testgebruikers klaagden dat ze ook met deze versie tegen problemen aanliepen. Dit weekend meldde het ontwikkelteam dat er nu een andere oplossing is voorgesteld en naar verwachting "snel" zou moeten verschijnen, maar een exact tijdsvenster is niet bekendgemaakt. bron: https://www.security.nl

GitHub heeft besloten om meerdere eigen certificaten in te trekken nadat een aanvaller op de repositories van het ontwikkelaarsplatform wist in te breken. De maatregel heeft gevolgen voor gebruikers van GitHub Desktop for Mac en Atom, aangezien meerdere versies van deze software vanaf 2 februari niet meer zullen werken. Begin vorige maand ontdekte GitHub ongeautoriseerde toegang tot meerdere repositories gebruikt voor de ontwikkeling van GitHub Desktop en Atom. GitHub Desktop is software die ontwikkelaars via een grafische gebruikersinterface gebruik laat maken van GitHub in plaats van een commandline of browser. Atom is een teksteditor. Een aanvaller wist door middel van een gecompromitteerd Personal Access Token (PAT) van een machine-account de repositories te klonen. Daarbij werden ook meerdere versleutelde certificaten buitgemaakt, gebruikt voor het signeren van code. GitHub stelt dat de certificaten met een wachtwoord waren beveiligd en er geen bewijs van misbruik is. Uit voorzorg is besloten om de betreffende certificaten gebruikt voor GitHub Desktop en Atom in te trekken. Daardoor zullen sommige versies van beide applicaties vanaf 2 februari niet meer werken. De maatregel heeft geen impact voor gebruikers van GitHub Desktop for Windows. Volgens GitHub is er geen risico voor bestaande installaties van de Desktop- en Atom-apps. Mocht een aanvaller de certificaten weten te ontsleutelen is het mogelijk om onofficiële applicaties te signeren waardoor het lijkt alsof ze door GitHub zijn ontwikkeld. Op 4 januari heeft GitHub een nieuwe versie van de Desktop-app uitgebracht die met een nieuw certificaat is gesigneerd. Hoe de PAT kon worden gecompromitteerd laat GitHub niet weten. bron: https://www.security.nl

Geen enkele wachtwoordmanager is veilig als een aanvaller toegang tot het systeem heeft, zo stelt Dominik Reichl, ontwikkelaar van KeePass. Volgens Reichl is er dan ook geen sprake van een kwetsbaarheid in KeePass waar onlangs voor werd gewaarschuwd en waardoor een aanvaller met toegang tot het systeem wachtwoorden uit de wachtwoordenkluis van KeePass kan stelen. Onlangs verscheen er een proof-of-concept exploit online waarmee een lokale aanvaller de inhoud van de KeePass-database kan bemachtigen. De aanval is mogelijk doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale aanvaller kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens ongemerkt naar de aanvaller worden geëxporteerd. Zowel het Nationaal Cyber Security Centrum (NCSC) als het Belgische Cyber Emergency Team kwamen met waarschuwingen. Gebruikers werd aangeraden een configuratieaanpassing door te voeren die ervoor zorgt dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens. Op de eigen website waarschuwt KeePass ook voor het risico als een aanvaller het configuratiebestand kan aanpassen. "Het kunnen schrijven naar het KeePass-configuratiebestand geeft aan dat een aanvaller veel krachtigere aanvallen kan uitvoeren dan het aanpassen van het configuratiebestand", aldus de uitleg. Naar aanleiding van de recent online verschenen exploit en waarschuwing van overheidsinstanties werd KeePass om een reactie en aanpassingen aan de wachtwoordmanager gevraagd. Het lijkt erop dat die er niet gaan komen. "Geen enkele wachtwoordmanager is veilig als je besmet bent met spyware of een aanvaller toestaat om bestanden naar je pc te schrijven", zo stelt Reichl. bron: https://www.security.nl

Securitybedrijf Rapid7 heeft Metasploit Framework 6.3 uitgebracht waarin Kerberos- en Active Directory-aanvallen centraal staan. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Het bevat allerlei modules en exploits waarmee er misbruik van kwetsbaarheden kan worden gemaakt. Metasploit 6.3 is vooral bedoeld om Active Directory- en Kerberos-gebaseerde aanvallen te stroomlijnen. Kerberos is een authenticatieprotocol dat vaak wordt gebruikt om gebruikers of hosts in Windowsomgevingen te verifiëren. Het is ook het authenticatieprotocol gebruikt in Active Directory-implementaties. Duizenden organisaties en bedrijven wereldwijd maken gebruik van Active Directory om gebruikersgroepen en rechten te definiëren en netwerkvoorzieningen beschikbaar te maken. Zowel Kerberos als Active Directory zijn volgens Rapid7 al vele jaren een geliefd doelwit van zowel pentesters als aanvallers. Daarom is besloten om in Metasploit 6.3 aanvallen die zich hierop richten te stroomlijnen. Zo is het nu mogelijk om gebruikers bij meerdere diensten via Kerberos te authenticeren en meerdere "attack chains" via nieuwe modules uit te voeren. In de aankondiging geeft Rapid7 ook verschillende voorbeelden van hoe de nieuwe modules zijn te gebruiken. bron: https://www.security.nl

Onderzoekers waarschuwen voor een variant van de PlugX-malware die een bepaald unicode-karakter gebruikt om bestanden in een "onzichtbare" map op te slaan, zodat de malware en gestolen data niet eenvoudig zijn te ontdekken. Dat meldt securitybedrijf Palo Alto Networks. De PlugX-malware bestaat al vele jaren en wordt onder andere ingezet voor datadiefstal en spionage. Een nieuwe variant verspreidt zich via usb-sticks, infecteert vanaf het besmette systeem nieuw aangesloten usb-sticks en verzamelt alle Word- en pdf-bestanden van het systeem. De PlugX-malware maakt op een besmette usb-stick gebruik van het unicode-karakter "00A0" (non-breaking space) om een verborgen map aan te maken, waarin de malware zich bevindt. Door het gebruik van het unicode-karakter kan Windows de directorynaam niet weergeven en verbergt vervolgens de gehele map. Vervolgens wordt in de root van de usb-stick een lnk-bestand aangemaakt die naar de malware in de verborgen map wijst. Zodra een gebruiker het lnk-bestand opent wordt het systeem met de PlugX-malware geïnfecteerd. De malware wacht nu totdat andere usb-sticks worden aangesloten, zodat het die kan infecteren. Daarbij worden alle oorspronkelijke bestanden en mappen in de root van de betreffende usb-stick naar de verborgen directory gekopieerd. Bij een besmette usb-stick bevindt zich in de root alleen het lnk-bestand. Het openen van het lnk-bestand zorgt niet alleen voor een besmet systeem, maar laat ook de oorspronkelijke mappen en bestanden van de root-directory zien, waardoor gebruikers niets door hebben, aldus onderzoekers van Palo Alto Networks. Naast het infecteren van nieuw aangesloten usb-sticks verzamelt de PlugX-malware ook alle pdf- en Word-bestanden op het systeem en kopieert die naar de verborgen map op de usb-stick. Volgens de onderzoekers laat de nieuwe PlugX-variant zien dat de ontwikkeling van de malware nog steeds gaande is en zo een actieve dreiging blijft. bron: https://www.security.nl

NAS-fabrikant QNAP heeft een beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor aanvallers op afstand kwaadaardige code op NAS-systemen kunnen uitvoeren. Het beveiligingslek, aangeduid als CVE-2022-27596, bevindt zich in QTS 5.0.1 en QuTS hero h5.0.1, het besturingssysteem dat op de NAS-apparaten van QNAP draait. Details worden niet door de fabrikant gegeven, behalve dat het om een kritieke kwetsbaarheid gaat waardoor een remote aanvaller kwaadaardige code op het NAS-systeem kan injecteren. Het beveiligingslek is verholpen in QTS 5.0.1.2234 build 20221201 en nieuwer en QuTS hero h5.0.1.2248 build 20221215 en nieuwer. De update is via de ingebouwde updatefunctie te downloaden of de website van QNAP. bron: https://www.security.nl

Heb je je Chromebook schoongemaakt door middel van een PowerWash?

Een kwetsbaarheid in 130 printermodellen van fabrikant Lexmark maakt het mogelijk voor een aanvaller om op afstand code op de apparaten uit te voeren. Proof-of-concept exploitcode is al beschikbaar. Lexmark heeft firmware-updates uitgebracht om de kwetsbaarheid (CVE-2023-23560) te verhelpen (pdf). Het gaat om Server-Side Request Forgery (SSRF) in de webservices van de printer waardoor remote code execution mogelijk is. Een aanvaller kan zo vertrouwelijke informatie via de printer stelen of verdere aanvallen uitvoeren. Verdere details over het beveiligingslek zijn niet door Lexmark gegeven, behalve dat de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.0. Naast het installeren van de firmware-update geeft de printerfabrikant als workaround het blokkeren van de webservices-service op printer (tcp-poort 65002), wat misbruik van het beveiligingslek voorkomt. Eigenaren van een Lexmark-printer wordt opgeroepen om de update te installeren er is namelijk proof-of-concept exploitcode om misbruik van de kwetsbaarheid beschikbaar. Lexmark heeft naar eigen zeggen nog geen daadwerkelijk misbruik waargenomen. bron: https://www.security.nl

Gebruikers van wachtwoordmanager Bitwarden zijn het doelwit geworden van een phishingaanval die via malafide Google-advertenties begint. Bij het zoeken via Google naar "bitwarden password manager" en "bitwarden password generator" verscheen er een gesponsord resultaat dat zich voordoet als de officiële website van Bitwarden. Daarbij wordt de naam "appbitwarden" gebruikt. Dit domein stuurt gebruikers weer door naar een ander domein met de naam "bitwardenlogin". Het gaat om een phishingsite die identiek is aan de officiële inlogpagina van Bitwarden, vault.bitwarden.com, zo blijkt uit meldingen op Reddit. Met gegevens die gebruikers daar in vullen kan een aanvaller op het Bitwarden-account van de gebruiker inloggen en zo toegang tot diens wachtwoorden en andere opgeslagen gegevens krijgen. Na te zijn ingelicht over de malafide advertenties en phishingsite heeft Bitwarden naar eigen zeggen maatregelen genomen. Beide domeinnamen zijn inmiddels offline gehaald. De afgelopen maanden waarschuwden onderzoekers geregeld voor malware die via Google-advertenties wordt verspreid. Een aantal weken geleden adviseerde de FBI vanwege de malafide advertenties in de zoekmachine van Google nog het gebruik van een adblocker. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een nieuw systeem ontwikkeld om de registratie van risicovolle. nl-domeinnamen te herkennen. Het systeem wordt inmiddels al een aantal maanden ingezet. Bij zo'n vijftien procent van de misbruikmeldingen die de SIDN voor .nl ontvangt gaat het om een domeinnaam die minder dan dertig dagen vóór de melding werd geregistreerd. "Omdat deze domeinnamen zo snel na hun registratie worden gemeld, kan worden aangenomen dat ze met kwade bedoelingen zijn geregistreerd. Daaruit volgt dat we door malafide domeinnaamregistraties automatisch te identificeren en blokkeren de veiligheid van .nl kunnen verbeteren", zegt research engineer Thymen Wabeke. Om dergelijke risicovolle domeinnamen te herkennen ontwikkelde SIDN het systeem RegCheck, dat interpreteerbare risicoscores aan nieuwe domeinnaamregistraties toekent. Het systeem, dat uit een kennisgedreven én datagedreven model bestaat, werd onder andere getraind met 2100 malafide registraties en 103.000 willekeurige legitieme registraties uit februari 2021 tot augustus 2022. Onder malafide verstaat de SIDN .nl-domeinnamen die binnen 30 dagen na registratie op de abusefeed van Netcraft werden gemeld. Registraties die niet binnen 30 dagen werden gemeld worden als legitiem beschouwd. Het datagedreven model van RegCheck wist bijna de helft van de risicovolle registraties in de gebruikte evaluatiedataset te detecteren. De SIDN maakt sinds augustus vorig jaar naar eigen zeggen met succes gebruik van RegCheck om risicovolle domeinnaamregistraties binnen .nl te herkennen. "Wat betekent dat ons primaire doel is bereikt", aldus Wabeke. De research engineer benadrukt dat de SIDN meer doet dan alleen maar beoordelen of een domeinnaamregistratie een risico vormt. "Onze abuse-analisten komen dagelijks in actie naar aanleiding van registraties die door RegCheck zijn aangemerkt als risicovol." bron: https://www.security.nl

Microsoft heeft organisaties opnieuw opgeroepen om hun Exchange-servers te patchen. Volgens het techbedrijf zijn de mailservers een aantrekkelijk doelwit voor aanvallers. "Mailboxen van gebruikers bevatten vaak belangrijke en gevoelige data. Daarnaast bevat elke Exchange-server een kopie van het adresboek van de organisatie, wat veel informatie biedt voor social engineering", aldus Microsoft. Als laatste heeft Exchange vergaande koppelingen en permissies binnen de Active Directory, en binnen een hybride omgeving, toegang tot de cloudomgeving. Organisaties die hun Exchange-servers tegen misbruik van bekende kwetsbaarheden willen beschermen moet volgens Microsoft de laatste Cumulative Update (CU) installeren. Voor Exchange Server 2019 is dat CU12, voor Exchange Server 2016 is dat CU23 en in het geval van Exchange Server 2013 gaat het om Software Update 23. Microsoft laat aanvullend weten dat systeembeheerders na de installatie van een update mogelijk nog handmatige acties moeten uitvoeren. Daarvoor wordt verwezen naar het uitvoeren van de "Health Checker" die een overzicht van eventuele handmatige taken toont. "We weten dat het beschermen van je Exchange-omgeving essentieel is en we weten dat het nooit zal stoppen", aldus Microsoft. Het techbedrijf startte onlangs nog een enquête waarin het systeembeheerders naar feedback vraagt over het updateproces van Exchange-servers. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwt voor een kwetsbaarheid in wachtwoordmanager KeePass waardoor een aanvaller die al toegang tot een systeem heeft gegevens in de KeePass-database, zoals wachtwoorden, kan bemachtigen. De ontwikkelaar stelt dat het hier niet om een kwetsbaarheid gaat en de wachtwoorddatabase van KeePass niet ontworpen is om tegen een aanvaller met dergelijke toegang tot het systeem bescherming te bieden. Er zal dan ook geen beveiligingsupdate verschijnen. Een proof-of-concept exploit waarmee een lokale aanvaller de inhoud van de KeePass-database kan bemachtigen is online verschijnen. Het beveiligingslek wordt veroorzaakt doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale aanvaller kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens ongemerkt naar de aanvaller worden geëxporteerd. Volgens het NCSC kunnen systeembeheerders door middel van een Enforced Configuration misbruik toch voorkomen. "Door de parameter "ExportNoKey" op "false" te zetten wordt ervoor gezorgd dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens. Op die manier wordt voorkomen dat een kwaadwillende heimelijk gevoelige gegevens exporteert", aldus het NCSC. De overheidsinstantie adviseert organisaties om van een Enforced Configuration gebruik te maken en ten minste bovenstaande configuratie te implementeren. Daarnaast wordt organisaties geadviseerd om een risicoafweging te maken voor het gebruik van KeePass. De kwetsbaarheid in KeePass wordt aangeduid als CVE-2023-24055, maar is door de ontwikkelaar betwist. bron: https://www.security.nl

Onderzoeksbureau Zacks, dat voor financieel adviseurs, beleggers en andere financieel professionals analyses van aandelen en aandelenbeurzen uitvoert, heeft van 820.000 klanten de wachtwoorden en andere privégegevens gelekt. In een brief aan getroffen klanten laat Zacks weten dat het eind december ontdekte dat een onbekende "derde partij" toegang tot klantgegevens heeft gekregen. Het gaat specifiek om klanten die zich tussen november 1999 en februari 2005 voor "Zacks Elite" hadden aangemeld. Van deze klanten zijn naam, adresgegevens, telefoonnummer, e-mailadres en wachtwoord voor Zacks.com buitgemaakt. Hoe de aanval kon plaatsvinden laat Zacks niet weten. Bij alle getroffen klanten is het wachtwoord gereset. Daarnaast krijgen deze klanten het advies als ze hetzelfde wachtwoord ook voor andere websites gebruiken om het ook daar te wijzigen. bron: https://www.security.nl