Captain Kirk

Securitybedrijf Rapid7 heeft Metasploit Framework 6.3 uitgebracht waarin Kerberos- en Active Directory-aanvallen centraal staan. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Het bevat allerlei modules en exploits waarmee er misbruik van kwetsbaarheden kan worden gemaakt. Metasploit 6.3 is vooral bedoeld om Active Directory- en Kerberos-gebaseerde aanvallen te stroomlijnen. Kerberos is een authenticatieprotocol dat vaak wordt gebruikt om gebruikers of hosts in Windowsomgevingen te verifiëren. Het is ook het authenticatieprotocol gebruikt in Active Directory-implementaties. Duizenden organisaties en bedrijven wereldwijd maken gebruik van Active Directory om gebruikersgroepen en rechten te definiëren en netwerkvoorzieningen beschikbaar te maken. Zowel Kerberos als Active Directory zijn volgens Rapid7 al vele jaren een geliefd doelwit van zowel pentesters als aanvallers. Daarom is besloten om in Metasploit 6.3 aanvallen die zich hierop richten te stroomlijnen. Zo is het nu mogelijk om gebruikers bij meerdere diensten via Kerberos te authenticeren en meerdere "attack chains" via nieuwe modules uit te voeren. In de aankondiging geeft Rapid7 ook verschillende voorbeelden van hoe de nieuwe modules zijn te gebruiken. bron: https://www.security.nl

Onderzoekers waarschuwen voor een variant van de PlugX-malware die een bepaald unicode-karakter gebruikt om bestanden in een "onzichtbare" map op te slaan, zodat de malware en gestolen data niet eenvoudig zijn te ontdekken. Dat meldt securitybedrijf Palo Alto Networks. De PlugX-malware bestaat al vele jaren en wordt onder andere ingezet voor datadiefstal en spionage. Een nieuwe variant verspreidt zich via usb-sticks, infecteert vanaf het besmette systeem nieuw aangesloten usb-sticks en verzamelt alle Word- en pdf-bestanden van het systeem. De PlugX-malware maakt op een besmette usb-stick gebruik van het unicode-karakter "00A0" (non-breaking space) om een verborgen map aan te maken, waarin de malware zich bevindt. Door het gebruik van het unicode-karakter kan Windows de directorynaam niet weergeven en verbergt vervolgens de gehele map. Vervolgens wordt in de root van de usb-stick een lnk-bestand aangemaakt die naar de malware in de verborgen map wijst. Zodra een gebruiker het lnk-bestand opent wordt het systeem met de PlugX-malware geïnfecteerd. De malware wacht nu totdat andere usb-sticks worden aangesloten, zodat het die kan infecteren. Daarbij worden alle oorspronkelijke bestanden en mappen in de root van de betreffende usb-stick naar de verborgen directory gekopieerd. Bij een besmette usb-stick bevindt zich in de root alleen het lnk-bestand. Het openen van het lnk-bestand zorgt niet alleen voor een besmet systeem, maar laat ook de oorspronkelijke mappen en bestanden van de root-directory zien, waardoor gebruikers niets door hebben, aldus onderzoekers van Palo Alto Networks. Naast het infecteren van nieuw aangesloten usb-sticks verzamelt de PlugX-malware ook alle pdf- en Word-bestanden op het systeem en kopieert die naar de verborgen map op de usb-stick. Volgens de onderzoekers laat de nieuwe PlugX-variant zien dat de ontwikkeling van de malware nog steeds gaande is en zo een actieve dreiging blijft. bron: https://www.security.nl

NAS-fabrikant QNAP heeft een beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor aanvallers op afstand kwaadaardige code op NAS-systemen kunnen uitvoeren. Het beveiligingslek, aangeduid als CVE-2022-27596, bevindt zich in QTS 5.0.1 en QuTS hero h5.0.1, het besturingssysteem dat op de NAS-apparaten van QNAP draait. Details worden niet door de fabrikant gegeven, behalve dat het om een kritieke kwetsbaarheid gaat waardoor een remote aanvaller kwaadaardige code op het NAS-systeem kan injecteren. Het beveiligingslek is verholpen in QTS 5.0.1.2234 build 20221201 en nieuwer en QuTS hero h5.0.1.2248 build 20221215 en nieuwer. De update is via de ingebouwde updatefunctie te downloaden of de website van QNAP. bron: https://www.security.nl

Heb je je Chromebook schoongemaakt door middel van een PowerWash?

Een kwetsbaarheid in 130 printermodellen van fabrikant Lexmark maakt het mogelijk voor een aanvaller om op afstand code op de apparaten uit te voeren. Proof-of-concept exploitcode is al beschikbaar. Lexmark heeft firmware-updates uitgebracht om de kwetsbaarheid (CVE-2023-23560) te verhelpen (pdf). Het gaat om Server-Side Request Forgery (SSRF) in de webservices van de printer waardoor remote code execution mogelijk is. Een aanvaller kan zo vertrouwelijke informatie via de printer stelen of verdere aanvallen uitvoeren. Verdere details over het beveiligingslek zijn niet door Lexmark gegeven, behalve dat de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.0. Naast het installeren van de firmware-update geeft de printerfabrikant als workaround het blokkeren van de webservices-service op printer (tcp-poort 65002), wat misbruik van het beveiligingslek voorkomt. Eigenaren van een Lexmark-printer wordt opgeroepen om de update te installeren er is namelijk proof-of-concept exploitcode om misbruik van de kwetsbaarheid beschikbaar. Lexmark heeft naar eigen zeggen nog geen daadwerkelijk misbruik waargenomen. bron: https://www.security.nl

Gebruikers van wachtwoordmanager Bitwarden zijn het doelwit geworden van een phishingaanval die via malafide Google-advertenties begint. Bij het zoeken via Google naar "bitwarden password manager" en "bitwarden password generator" verscheen er een gesponsord resultaat dat zich voordoet als de officiële website van Bitwarden. Daarbij wordt de naam "appbitwarden" gebruikt. Dit domein stuurt gebruikers weer door naar een ander domein met de naam "bitwardenlogin". Het gaat om een phishingsite die identiek is aan de officiële inlogpagina van Bitwarden, vault.bitwarden.com, zo blijkt uit meldingen op Reddit. Met gegevens die gebruikers daar in vullen kan een aanvaller op het Bitwarden-account van de gebruiker inloggen en zo toegang tot diens wachtwoorden en andere opgeslagen gegevens krijgen. Na te zijn ingelicht over de malafide advertenties en phishingsite heeft Bitwarden naar eigen zeggen maatregelen genomen. Beide domeinnamen zijn inmiddels offline gehaald. De afgelopen maanden waarschuwden onderzoekers geregeld voor malware die via Google-advertenties wordt verspreid. Een aantal weken geleden adviseerde de FBI vanwege de malafide advertenties in de zoekmachine van Google nog het gebruik van een adblocker. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een nieuw systeem ontwikkeld om de registratie van risicovolle. nl-domeinnamen te herkennen. Het systeem wordt inmiddels al een aantal maanden ingezet. Bij zo'n vijftien procent van de misbruikmeldingen die de SIDN voor .nl ontvangt gaat het om een domeinnaam die minder dan dertig dagen vóór de melding werd geregistreerd. "Omdat deze domeinnamen zo snel na hun registratie worden gemeld, kan worden aangenomen dat ze met kwade bedoelingen zijn geregistreerd. Daaruit volgt dat we door malafide domeinnaamregistraties automatisch te identificeren en blokkeren de veiligheid van .nl kunnen verbeteren", zegt research engineer Thymen Wabeke. Om dergelijke risicovolle domeinnamen te herkennen ontwikkelde SIDN het systeem RegCheck, dat interpreteerbare risicoscores aan nieuwe domeinnaamregistraties toekent. Het systeem, dat uit een kennisgedreven én datagedreven model bestaat, werd onder andere getraind met 2100 malafide registraties en 103.000 willekeurige legitieme registraties uit februari 2021 tot augustus 2022. Onder malafide verstaat de SIDN .nl-domeinnamen die binnen 30 dagen na registratie op de abusefeed van Netcraft werden gemeld. Registraties die niet binnen 30 dagen werden gemeld worden als legitiem beschouwd. Het datagedreven model van RegCheck wist bijna de helft van de risicovolle registraties in de gebruikte evaluatiedataset te detecteren. De SIDN maakt sinds augustus vorig jaar naar eigen zeggen met succes gebruik van RegCheck om risicovolle domeinnaamregistraties binnen .nl te herkennen. "Wat betekent dat ons primaire doel is bereikt", aldus Wabeke. De research engineer benadrukt dat de SIDN meer doet dan alleen maar beoordelen of een domeinnaamregistratie een risico vormt. "Onze abuse-analisten komen dagelijks in actie naar aanleiding van registraties die door RegCheck zijn aangemerkt als risicovol." bron: https://www.security.nl

Microsoft heeft organisaties opnieuw opgeroepen om hun Exchange-servers te patchen. Volgens het techbedrijf zijn de mailservers een aantrekkelijk doelwit voor aanvallers. "Mailboxen van gebruikers bevatten vaak belangrijke en gevoelige data. Daarnaast bevat elke Exchange-server een kopie van het adresboek van de organisatie, wat veel informatie biedt voor social engineering", aldus Microsoft. Als laatste heeft Exchange vergaande koppelingen en permissies binnen de Active Directory, en binnen een hybride omgeving, toegang tot de cloudomgeving. Organisaties die hun Exchange-servers tegen misbruik van bekende kwetsbaarheden willen beschermen moet volgens Microsoft de laatste Cumulative Update (CU) installeren. Voor Exchange Server 2019 is dat CU12, voor Exchange Server 2016 is dat CU23 en in het geval van Exchange Server 2013 gaat het om Software Update 23. Microsoft laat aanvullend weten dat systeembeheerders na de installatie van een update mogelijk nog handmatige acties moeten uitvoeren. Daarvoor wordt verwezen naar het uitvoeren van de "Health Checker" die een overzicht van eventuele handmatige taken toont. "We weten dat het beschermen van je Exchange-omgeving essentieel is en we weten dat het nooit zal stoppen", aldus Microsoft. Het techbedrijf startte onlangs nog een enquête waarin het systeembeheerders naar feedback vraagt over het updateproces van Exchange-servers. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwt voor een kwetsbaarheid in wachtwoordmanager KeePass waardoor een aanvaller die al toegang tot een systeem heeft gegevens in de KeePass-database, zoals wachtwoorden, kan bemachtigen. De ontwikkelaar stelt dat het hier niet om een kwetsbaarheid gaat en de wachtwoorddatabase van KeePass niet ontworpen is om tegen een aanvaller met dergelijke toegang tot het systeem bescherming te bieden. Er zal dan ook geen beveiligingsupdate verschijnen. Een proof-of-concept exploit waarmee een lokale aanvaller de inhoud van de KeePass-database kan bemachtigen is online verschijnen. Het beveiligingslek wordt veroorzaakt doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale aanvaller kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens ongemerkt naar de aanvaller worden geëxporteerd. Volgens het NCSC kunnen systeembeheerders door middel van een Enforced Configuration misbruik toch voorkomen. "Door de parameter "ExportNoKey" op "false" te zetten wordt ervoor gezorgd dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens. Op die manier wordt voorkomen dat een kwaadwillende heimelijk gevoelige gegevens exporteert", aldus het NCSC. De overheidsinstantie adviseert organisaties om van een Enforced Configuration gebruik te maken en ten minste bovenstaande configuratie te implementeren. Daarnaast wordt organisaties geadviseerd om een risicoafweging te maken voor het gebruik van KeePass. De kwetsbaarheid in KeePass wordt aangeduid als CVE-2023-24055, maar is door de ontwikkelaar betwist. bron: https://www.security.nl

Onderzoeksbureau Zacks, dat voor financieel adviseurs, beleggers en andere financieel professionals analyses van aandelen en aandelenbeurzen uitvoert, heeft van 820.000 klanten de wachtwoorden en andere privégegevens gelekt. In een brief aan getroffen klanten laat Zacks weten dat het eind december ontdekte dat een onbekende "derde partij" toegang tot klantgegevens heeft gekregen. Het gaat specifiek om klanten die zich tussen november 1999 en februari 2005 voor "Zacks Elite" hadden aangemeld. Van deze klanten zijn naam, adresgegevens, telefoonnummer, e-mailadres en wachtwoord voor Zacks.com buitgemaakt. Hoe de aanval kon plaatsvinden laat Zacks niet weten. Bij alle getroffen klanten is het wachtwoord gereset. Daarnaast krijgen deze klanten het advies als ze hetzelfde wachtwoord ook voor andere websites gebruiken om het ook daar te wijzigen. bron: https://www.security.nl

Veel Windows-servers zijn kwetsbaar voor een kritiek spoofinglek omdat ze een vorig jaar oktober uitgebrachte beveiligingsupdate missen, zo stelt internetbedrijf Akamai. De kwetsbaarheid, aangeduid als CVE-2022-34689, bevindt zich in de Windows CryptoAPI en maakt het mogelijk om een certificaat te spoofen. Een aanvaller kan vervolgens acties uitvoeren als de partij aan wie het certificaat is uitgegeven, zoals authenticatie, het signeren van code. Zo zijn bijvoorbeeld man-in-the-middle-aanvallen mogelijk. De kwetsbaarheid werd door de Amerikaanse geheime dienst NSA en het Britse National Cyber Security Centre (NCSC) aan Microsoft gerapporteerd. Het techbedrijf kwam op 11 oktober vorig jaar met een beveiligingsupdate. De impact van spoofinglekken wordt over het algemeen niet als kritiek beoordeeld, maar dat is met deze kwetsbaarheid wel het geval. Microsoft waarschuwde dat aanvallers waarschijnlijk misbruik van het lek zullen gaan maken. Onderzoekers van Akamai hebben een proof-of-concept exploit ontwikkeld waarmee misbruik van de kwetsbaarheid mogelijk is. Daarnaast keek het internetbedrijf hoe goed machines tegen eventueel misbruik zijn beschermd, maar dat valt tegen. "We ontdekten dat minder dan één procent van de zichtbare machines in datacenters gepatcht is, wat inhoudt dat de rest niet tegen misbruik van deze kwetsbaarheid beschermd is", zegt onderzoeker Tomer Peled. "Certificaten spelen een belangrijke rol bij identiteitsverificatie op internet, wat deze kwetsbaarheid lucratief voor aanvallers maakt", gaat Peled verder. "De kwetsbaarheid heeft een CVSS-score van slechts 7.5 gekregen. We denken dat dit komt door het beperkte aantal kwetsbare applicaties en Windowsonderdelen waar de voorwaarden voor misbruik aanwezig zijn. Dat gezegd hebbende, er is nog steeds veel code dat deze API gebruikt en mogelijk kwetsbaar is, wat zelfs voor niet meer ondersteunde versies van Windows, zoals Windows 7, een patch rechtvaardigt." bron: https://www.security.nl

Er is een "golf" van aanvallen gaande waarbij WordPress-sites via hergebruikte wachtwoorden worden besmet met malafide plug-ins. Dat claimt Jetpack, onderdeel van Automattic, het bedrijf achter WordPress.com. Zodra aanvallers toegang hebben verkregen installeren ze als eerste de "core-stab" plug-in. gevolgd door andere plug-ins waarmee er controle over de website wordt verkregen. Jetpack geeft geen aantal van het getroffen WordPress-sites, maar stelt dat alle gecompromitteerde sites tenminste één e-mailadres hadden dat sinds 2019 in publieke datalekken voorkomt. De aanvallers gebruikten dan ook hergebruikte inloggegevens om de malware te installeren. WordPress-beheerders worden dan ook opgeroepen om te controleren of er geen onbekende plug-ins, themes of gebruikers binnen hun WordPress-site actief zijn. Gisteren meldde securitybedrijf Wordfence dat credential stuffing, waarbij aanvallers via hergebruikte wachtwoorden inloggen, vorig jaar de meestgebruikte aanvalsvector was tegen WordPress-sites. bron: https://www.security.nl

De Amerikaanse overheid waarschuwt organisaties voor misbruik van remote beheersoftware zoals AnyDesk en ScreenConnect (ConnectWise Control). Via dergelijke software is het mogelijk om systemen op afstand over te nemen. Aanleiding voor de waarschuwing zijn twee Amerikaanse overheidsinstanties die slachtoffer werden van een aanval waarbij de software werd ingezet. De aanval begon met een phishingmail waarin over een zogenaamde abonnementsverlening werd bericht. Om de verlenging "stop te zetten" moet een opgegeven telefoonnummer worden gebeld. Het gaat hier om een nummer van de aanvaller, die het slachtoffer instructies geeft om een bepaalde website te bezoeken. Deze website bevat een uitvoerbaar bestand dat wanneer uitgevoerd de remote beheersoftware downloadt. Het gaat hier om een portable executable die zonder installatie is te gebruiken en zo geconfigureerd is waardoor de aanvaller meteen verbinding met het systeem van het slachtoffer te maken. Vervolgens krijgt het slachtoffer, dat nog steeds met de aanvaller aan de lijn is, instructies om op internetbankieren in te loggen. De aanvaller wijzigt dan het rekeningoverzicht, waardoor het lijkt alsof het slachtoffer ten onrechte een bedrag bijgeschreven heeft gekregen. De aanvaller vraagt vervolgens dit bedrag naar een opgegeven rekening over te maken. Zeker twee niet nader genoemde Amerikaanse overheidsinstanties zijn hier slachtoffer van geworden. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) en de Amerikaanse geheime dienst NSA hadden de aanvallers een financieel motief, maar bestaat het risico dat ze hun toegang aan andere partijen verkopen, zoals buitenlandse spionagegroepen. Het CISA en de NSA willen met de waarschuwing organisaties wijzen op het malafide gebruik van legitieme remote beheersoftware. Ook moeten beheerders beseffen dat door het gebruik van portable executables zaken als beheerdersrechten en software management control policies zijn te omzeilen. Daarnaast wordt remote beheersoftware niet opgemerkt door antivirussoftware. Om dergelijke aanvallen te voorkomen geven de NSA en het CISA meerdere adviezen, waaronder het blokkeren van inkomende en uitgaande verbindingen naar bekende poorten gebruikt door remote beheersoftware. bron: https://www.security.nl

Een internationale taskforce tegen ransomware die afgelopen november werd aangekondigd, en waar ook Nederland deel van uitmaakt, is officieel van start gegaan. De International Counter Ransomware Task Force coördineert de aanpak van ransomware, zoals verstorende operaties en het delen van informatie. Ook komt er een toolkit voor onderzoekers met "tactieken, technieken en procedures" voor het verstoren van ransomwaregroepen en identificeren van de belangrijkste groepen. Verder zullen de 37 deelnemende landen ook gezamenlijke advisories uitbrengen met adviezen en waarschuwingen over kwetsbaarheden waar ransomwaregroepen misbruik van maken. Tevens zullen er periodiek anti-ransomware-oefeningen plaatsvinden om de gezamenlijke aanpak van ransomware verder te ontwikkelen, versterken en integreren. Australië is de eerste voorzitter van de taskforce. "Ransomware vormt een wereldwijde dreiging, en Australië roept andere landen op om deel te nemen aan dit wereldwijde initiatief om effectieve detectie, disruptie en vervolging van cybercriminelen die ransomware voor financieel gewin en andere doeleinden gebruiken te ondersteunen", zo stelt de Australische minister van Binnenlandse Zaken en Cybersecurity Clare O’Neil. bron: https://www.security.nl

Een aanvaller is erin geslaagd om de gegevens van 2,6 miljoen gebruikers van online taalplatform Duolingo te scrapen, maar er is geen sprake van een datalek, aldus het bedrijf. De data wordt op internet te koop aangeboden. Volgens de aanbieder van de dataset, die hier minimaal 1500 dollar voor wil hebben, zijn de gegevens door middel van een "blootgestelde API" gescrapet. Het gaat om accountgegevens, zoals naam, e-mailadres, foto en telefoonnummer. Via Duolingo is het mogelijk om allerlei talen te leren. Het platform had vorig jaar 50 miljoen actieve gebruikers per maand. "De gegevens zijn door middel van scraping van publieke profielinformatie verkregen", aldus een woordvoerder tegenover The Record. "Er heeft geen datalek of inbraak plaatsgevonden. We nemen privacy en security serieus en onderzoeken of er verdere actie is vereist om onze gebruikers te beschermen." De Ierse privacytoezichthouder DPC legde Meta vorig jaar een AVG-boete van 265 miljoen euro op wegens een groot datalek bij Facebook waardoor de data van 533 miljoen gebruikers op straat kwam te liggen. De data was door middel van scraping verzameld, waarbij er misbruik was gemaakt van een feature van het platform. Uit interne communicatie bleek dat Facebook datalekken door middel van scraping vervolgens als een industriebreed probleem wilde framen. bron: https://www.security.nl

Zendesk, het Amerikaanse bedrijf dat software voor klantondersteuning aanbiedt, is vorig jaar getroffen door een aanval waarbij er toegang tot een systeem met data van klanten werd verkregen. In een bericht aan klanten laat Zendesk weten dat het op 25 oktober ontdekte dat personeel het doelwit van een sms-phishingaanval was geworden. Een niet nader genoemd aantal van deze medewerkers trapte in de aanval, waardoor de aanvaller hun inloggegevens in handen kreeg. Met deze inloggegevens kreeg de aanvaller toegang "ongestructureerde data" van een loggingplatform. Zendesk zegt dat het vervolgens een onderzoek heeft ingesteld en daaruit begin dit jaar vaststelde dat er ook data van klanten is gecompromitteerd. Het gaat in ieder geval om Coinigy, een handelsplatform voor cryptovaluta. Volgens Zendesk heeft de aanvaller mogelijk toegang gekregen tot "service data" van coinigy.zendesk.com. Verdere details over de aanval en het soort gecompromitteerde gegevens zijn niet gegeven. bron: https://www.security.nl

Criminelen maken op grote schaal gebruik van Google-advertenties om ransomware en andere malware te verspreiden, zo waarschuwen beveiligingsonderzoekers. Wie via Google zoekt naar populaire software zoals WinRAR, LibreOffice, AnyDesk, VirtualBox, OBS, Blender en KMPlayer krijgt allerlei advertenties te zien die zogenaamd naar de officiële downloadsite lijken te wijzen, maar in werkelijkheid op een malafide, nagemaakte website uitkomen die malware aanbiedt. De afgelopen maanden is er geregeld gewaarschuwd voor het gebruik van Google-advertenties voor de verspreiding van malware, maar Google heeft het probleem nog altijd niet opgelost. Beveiligingsonderzoeker German Fernandez ontdekte bij één van de advertenties dat de achterliggende malware bij Bitbucket was gehost en in een paar dagen tijd duizenden keren was gedownload. Een aantal weken geleden adviseerde de FBI vanwege de malafide advertenties in de zoekmachine van Google nog het gebruik van een adblocker. Volgens onderzoeker Will Dormann zullen er ongetwijfeld mensen zijn die een adblocker gebruiken of zeggen dat ze nooit op advertenties klikken of hier in zouden trappen. "Maar sommige mensen trappen hier wel in. Het is een kwestie van aantallen." bron: https://www.security.nl

Credential stuffing was vorig jaar de meestgebruikte aanvalsmethode tegen WordPress-sites, zo stelt securitybedrijf Wordfence op basis van eigen cijfers (pdf). Verder blijkt dat een groot aantal WordPress-sites niet meer actief wordt beheerd, waardoor 210.000 websites die begin 2022 besmet raakten dat eind vorig jaar nog steeds waren. Volgens cijfers van W3Techs draait 43,2 procent van alle websites op internet op WordPress. Het platform is dan ook een geliefd doelwit van aanvallers. Die maken vooral gebruik van credential stuffing, stelt Wordfence. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Het verschil tussen credential stuffing en andere soorten aanvallen was een factor vier, aldus Wordfence. Andere aanvallen die vaak plaatsvinden is misbruik van kwetsbare plug-ins, het meeliften op al aanwezige malware of het installeren van besmette plug-ins. Het gaat dan om betaalde legitieme plug-ins die door aanvallers worden gedownload, voorzien van malware en vervolgens gratis als download op allerlei fora en websites worden aangeboden. Zodra een WordPress-site besmet is geraakt heeft een aanvaller hier vaak volledige toegang toe. Er zijn echter veel websites die niet meer actief worden beheerd, waardoor de infectie aanwezig blijft. 210.000 WordPress-sites die begin 2022 besmet raakten waren dat eind vorig jaar ook nog steeds. Een toename van zestig procent ten opzichte van 2020. Vaak gaat het om backdoors om toegang tot de site te krijgen en behouden. Andere aanvallers kunnen echter ook misbruik van deze backdoors maken, wat in de praktijk geregeld gebeurt. "De meeste aanvallen die we in 2020 zagen probeerden op een eenvoudige manier binnen te komen, via hergebruikte inloggegevens of door mee te liften op eerdere infecties, en onze cijfers laten zien dat dit een steeds reëlere optie is, aangezien niet meer onderhouden websites met infecties steeds vaker voorkomen", aldus Wordfence. bron: https://www.security.nl

Bij een aanval op GoTo, het moederbedrijf van LastPass dat eerder nog bekendstond als LogMeIn, zijn ook de back-ups van klanten gestolen en de encryptiesleutel om de data te ontsleutelen. Op 30 november meldde LastPass dat een aanvaller toegang had gekregen tot een third-party cloudopslagdienst die het deelt met moederbedrijf GoTo. De aanvaller wist met gegevens die bij een ander beveiligingsincident afgelopen augustus werden gestolen toegang tot klantgegevens te krijgen. Nu bijna twee maanden later meldt GoTo dat versleutelde back-ups van klanten van verschillende diensten zijn gestolen. Het gaat om de zakelijke communicatiettool Central, Pro, meeting-app join.me, vpn-dienst Hamachi en remote access tools RemotelyAnywhere en Pro. Bij de aanval is ook voor een "deel van de versleutelde back-ups" de encryptiesleutel buitgemaakt, waardoor de data is te ontsleutelen. Daardoor zijn gebruikersnamen, gesalte en gehashte wachtwoorden, een deel van de multifactorauthenticatie (MFA) instellingen, productinstellingen en licentiegegevens in handen van de aanvaller gekomen. GoTo zegt dat het op dit moment geen bewijs heeft dat ook andere GoTo-producten zijn getroffen. Naar aanleiding van de datadiefstal gaat GoTo van getroffen klanten de wachtwoorden resetten en hun MFA-instellingen opnieuw autoriseren. bron: https://www.security.nl

Er is dringend actie van privacytoezichthouders vereist tegen cookiebanners die de AVG ondermijnen, zo stelt privacyorganisatie noyb. De organisatie, opgericht door de bekende privacyactivist Max Schrems, verstuurde begin 2021 honderden klachten naar bedrijven over cookiemeldingen die volgens noyb niet aan de regels van de AVG voldoen. De klachten werden automatisch gegenereerd door software die noyb ontwikkelde en verschillende soorten cookiemeldingen kan herkennen. De privacyorganisatie stelt dat veel cookiemeldingen zo zijn opgesteld dat het erg lastig is om op iets anders dan "accepteren" te klikken. Daarbij stelt noyb dat bedrijven ook van "dark patterns" gebruikmaken, waardoor meer dan negentig procent van de gebruikers op accepteren klikt, terwijl uit onderzoek blijkt dat slechts drie procent van de gebruikers daadwerkelijk akkoord wil gaan. "Het frustreren van mensen om op "oké" te klikken is een duidelijke schending van de AVG-regels", aldus Schrems. Het Europees Comité voor gegevensbescherming (EDPB), een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken, startte in 2021 naar aanleiding van de klachten een taskforce over cookiebanners. Uit een eerste conceptrapport van de taskforce blijkt dat de meeste Europese privacytoezichthouders vinden dat het even eenvoudig moet zijn om cookies te weigeren als accepteren. "We zijn erg blij dat de privacytoezichthouders het eens zijn geworden over de minimale bescherming tegen misleidende banners. Cookiebanners zijn het boegbeeld geworden van het ondermijnen van de AVG. De toezichthouders moeten nu dringend actie ondernemen", zegt noyb-advocaat Ala Krinickyte. Er is echter ook kritiek. De toezichthouders zijn het namelijk niet eens geworden over de aanpak van cookiebanners die van dark patterns gebruikmaken. "Over sommige omstreden kwesties is er een oorverdovende stilte van de toezichthouders, bijvoorbeeld over misleidende knoppenkleuren. Er zijn duidelijkere richtlijnen nodig om gebruikers verder te beschermen", aldus Krinickyte. bron: https://www.security.nl

Organisaties die overstappen naar IPv6 lopen extra risico tijdens de overgangsfase waarbij er ook nog van IPv4 gebruik wordt gemaakt, zo waarschuwt de Amerikaanse geheime dienst NSA. Dit komt mede door een gebrek aan ervaring bij systeembeheerders met IPv6, aldus de NSA in een nieuw document met beveiligingsadviezen voor gebruik van het IP-protocol (pdf). Het is al jaren bekend dat het aantal IPv4-adressen beperkt is en de groei van het aantal "connected devices" niet kan ondersteunen. Toch verloopt de overstap naar IPv6 moeizaam. Zo heeft Nederland volgens cijfers van Google een IPv6-adoptie van nog geen dertien procent. Volgens de NSA zijn de beveiligingsproblemen die bij IPv6 om de hoek komen kijken gelijk aan die van IPv4. "Dat wil zeggen, de beveiligingsmethodes gebruikt bij IPv4 moeten ook worden toegepast bij IPv6, met aanpassingen waar nodig voor de verschillen met IPv6", aldus de Amerikaanse geheime dienst in de nieuwe "IPv6 Security Guidance". De grootste beveiligingsproblemen gelinkt aan IPv6 zullen zich voordoen in netwerken waar nog geen gebruik van IPv6 wordt gemaakt of zich in de beginfase van de IPv6-transitie bevinden. Deze netwerken hebben nog geen volwassen IPv6-configuraties en netwerksecuritytools. Daarnaast hebben de betreffende systeembeheerders geen ervaring met het IPv6-protocol, zo laat de NSA verder weten. Een ander probleem waarvoor de geheime dienst waarschuwt zijn "dual stacked" netwerken die IPv4 en IPv6 gelijktijdig draaien, en daardoor met een groter aanvalsoppervlak te maken hebben. Daardoor zijn ook verdere maatregelen vereist om de risico's aan te pakken. "Het beheer van dual stack vergroot de operationele last en het aanvalsoppervlak. Systeemeigenaren en -beheerders zouden beveiligingsmaatregelen voor beide IP-protocollen moeten implementeren om het netwerk te beschermen", aldus de NSA. De Amerikaans geheime dienst stelt dat de kennis van de systeem- en netwerkbeheerders die een IPv6-implementatie configureren en beheren een grote impact heeft op de algehele veiligheid van het netwerk. "Als gevolg kan de daadwerkelijke veiligheid van een IPv6-implementatie verschillen." De NSA doet ook verschillende aanbevelingen om IPv6-netwerken te implementeren en beveiligen, waaronder het gebruik van split domain name system (Split DNS), automatische tunnels en configuraties, het filteren van IPv6-verkeer en het beschermen van de local link. bron: https://www.security.nl

Meta heeft besloten om de test met het standaard end-to-end versleutelen van chatgesprekken verder uit te breiden. Volgens de Amerikaanse techreus zal de komende maanden bij miljoenen gebruikers een deel van de chatgesprekken end-to-end versleuteld plaatsvinden. Daardoor is de inhoud van berichten alleen te lezen door de afzender en ontvanger. Vorig jaar augustus werd end-to-end encryptie bij "sommige" gebruikers uitgerold. Gebruikers van Messenger hebben al de mogelijkheid om end-to-end versleuteld te communiceren, maar moeten dit zelf inschakelen. Meta liet eerder al weten dat het chats standaard end-to-end wil versleutelen en test dat stapsgewijs. Vandaag meldt het bedrijf dat de test verder wordt uitgebreid en miljoenen gebruikers hierbij worden betrokken. Meta claimt dat er van een willekeurig selectieproces gebruik wordt gemaakt, om ervoor te zorgen dat de end-to-end encryptie geen negatieve gevolgen voor de infrastructuur en "chatervaring" heeft. Gekozen gebruikers zullen een melding ontvangen dat end-to-end encryptie voor individuele chatgesprekken is ingeschakeld. "Het ontwikkelen van een veilige en bestendige end-to-end versleutelde dienst voor de miljarden berichten die dagelijks via Messenger worden uitgewisseld vereist zorgvuldig testen", aldus Meta, dat later dit jaar met meer informatie komt. bron: https://www.security.nl

Het bekende e-commerceplatform WooCommerce, alsmede allerlei andere bedrijven en organisaties, hebben, hebben hun gebruikers en klanten gewaarschuwd voor een datalek nadat een aanvaller wist in te breken bij e-mailmarketeer Mailchimp. Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen, maar ook andere e-mailcommunicatie. De afgelopen jaren kreeg Mailchimp met meerdere datalekken te maken. Zo waarschuwde het bedrijf vorig jaar april en augustus ook al voor een inbraak op de systemen. Vorige week bleek dat het weer raak was en dat er voor de derde keer binnen een jaar tijd sprake is van een datalek. Op 11 januari ontdekte Mailchimp dat het een aanvaller was gelukt om toegang tot interne systemen te krijgen. Het gaat om de tools gebruikt voor klantbeheer en klantondersteuning. Daarbij zijn de gegevens van 133 Mailchimp-klanten gecompromitteerd, alsmede de gegevens die deze klanten bij Mailchimp hadden opgeslagen. In veel gevallen gaat het om namen, gebruikersnamen en e-mailadressen. In het geval van WooCommerce gaat het ook om adresgegevens. Naast WooCommerce hebben inmiddels ook de Solana Foundation, Yuga Labs, gokbedrijf FanDuel en online dataplatform Statista melding van een datalek gemaakt. Daarin waarschuwen ze gebruikers om alert te zijn op phishingmails, aangezien die met de gestolen gegevens kunnen worden uitgevoerd. Mailchimp claimt dertien miljoen klanten wereldwijd te hebben. bron: https://www.security.nl

Aanvallers maken gebruik van Microsoft OneNote-bestanden om malware te verspreiden, zo waarschuwen verschillende securitybedrijven. Volgens een onderzoeker wordt deze methode steeds vaker toegepast. Jarenlang werden macro's in Microsoft Office-documenten gebruikt voor het verspreiden van malware. Vorig jaar besloot Microsoft om het uitvoeren van macro's in Microsoft 365 standaard te blokkeren, waardoor het veel lastiger wordt om macro's weer in te schakelen. In een reactie op de macro-blokkade van Microsoft daalde de hoeveelheid macro-malware, zo stelden securitybedrijven en onderzoekers. In plaats daarvan werden er andere soorten bestanden als bijlage meegestuurd, zoals RAR-, ISO- en LNK-bestanden. Inmiddels worden ook .one-bestanden als aanvalsmethode gebruikt. Het gaat hier om bestanden voor Microsoft OneNote, software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. Vorige maand waarschuwde securitybedrijf TrustWave dat aanvallers malafide .one-bestanden versturen. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers toch te laten klikken maken aanvallers gebruik van dezelfde trucs die ook bij malafide macro's werden toegepast. Zo krijgen gebruikers een "onleesbaar" document te zien. Om dat te bekijken is er een knop toegevoegd. In werkelijkheid gaat het hier om het malafide script dat vervolgens malware installeert voor het stelen van wachtwoorden en andere inloggegevens. Organisaties en gebruikers die geen gebruikmaken van OneNote wordt aangeraden om .one-bestanden zowel in hun e-mailomgeving als het besturingssystemen te blokkeren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in verschillende Zoho ManageEngine-producten, waaronder Access Manager Plus, PAM 360, Password Manager Pro en ServiceDesk Plus. In totaal zijn 24 verschillende oplossingen van ManageEngine kwetsbaar. Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren. Het beveiligingslek wordt veroorzaakt door een third-party afhankelijkheid van Apache Santuario. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. Een aantal dagen geleden werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt en inmiddels maken aanvallers actief misbruik van de kwetsbaarheid, zo stelt securitybedrijf Rapid7. Installaties van ManageEngine lopen alleen risico als SAML-gebaseerde single sign-on staat ingeschakeld of ooit ingeschakeld is geweest. Gezien de rol die ManageEngine-producten binnen organisaties spelen worden die opgeroepen om de update zo snel mogelijk te installeren. Volgens ManageEngine loggen elke dag meer dan 300.000 systeembeheerders en eindgebruikers op Password Manager Pro in en worden daarmee miljoenen wachtwoorden beheerd. PAM360 is een "privileged access management" oplossing, waarmee organisaties rechten en toegangsbeheer van medewerkers kunnen beheren en monitoren. Met Access Manager Plus is het mogelijk voor organisaties om de toegang tot remote systemen te beheren. bron: https://www.security.nl