Captain Kirk

Een misconfiguratie van een applicatie van Microsofts Bing.com maakte het mogelijk om zoekresultaten van de zoekmachine aan te passen of kwaadaardige code toe te voegen waarmee de Office 365-tokens van gebruikers waren te stelen, om zo toegang tot privé e-mails en bestanden te krijgen. Dat laat Wiz Research weten, dat het probleem ontdekte en aan Microsoft rapporteerde, dat maatregelen nam en ontwikkelaars oproept om toegang tot hun applicaties goed te configureren. De kwetsbaarheid lag in een verkeerd geconfigureerde Azure Active Directory (AAD), waardoor het mogelijk was om toegang tot verschillende applicaties van Microsoft te krijgen, waaronder het contentmanagementsysteem (cms) van Bing.com. AAD is een cloudgebaseerde identity and access management service waarmee kan worden ingelogd op apps die in Azure App Services of Azure Functions zijn gemaakt. Het gaat hierbij niet alleen om apps die Microsoft zelf heeft ontwikkeld, maar ook de apps van andere organisaties. Azure Active Directory biedt verschillende soorten accounttoegang, waaronder multi-tenant. Hierbij kan elke gebruiker die onderdeel van een Azure tenant is op de betreffende app inloggen. In deze situatie is het belangrijk dat de ontwikkelaar van de app de juiste toegang configureert, omdat anders elke willekeurige Azure-gebruiker op de app kan inloggen. De onderzoekers van Wiz ontdekten tal van multi-tenant apps waar deze toegang niet goed was geconfigureerd. Het ging onder andere om een door Microsoft ontwikkelde applicatie genaamd "Bing Trivia". Door de misconfiguratie konden de onderzoekers met hun eigen Azure-gebruiker op de app inloggen. Vervolgens vonden ze het cms dat voor Bing.com wordt gebruikt. Via dit cms was het mogelijk om de zoekresultaten van Microsofts zoekmachine aan te passen. Daarnaast bleek het mogelijk om malafide code aan de zoekmachine toe te voegen die de Office 365-tokens van gebruikers kan stelen. Met deze tokens is het vervolgens mogelijk om toegang tot e-mails van Outlook.com te krijgen, alsmede kalenders, Teams-berichten, SharePoint-documenten en OneDrive-bestanden. Bing en Office 365 zijn namelijk geïntegreerd. Zo heeft Bing een onderdeel dat gebruikers hun Office 365-data laat doorzoeken. Hiervoor communiceert Bing namens de ingelogde gebruiker met Office 365. Via deze feature bleek het mogelijk om, door het toevoegen van cross-site scripting (XSS) code op Bing.com, het Office 365-token te stelen. Microsoft stelt dat de misconfiguratie een "klein aantal" van de eigen, interne apps raakte. De problemen zijn volgens het techbedrijf verholpen en er is geen misbruik van gemaakt, aldus een uitleg. Verder roept Microsoft beheerders en applicatieontwikkelaars van andere organisaties op om de instellingen van hun multi-tenant applicaties die van Azure Active Directory gebruikmaken te controleren. bron: https://www.security.nl

Het populaire gamingplatform Steam zal vanaf 1 januari 2024 niet meer werken op Windows 7, Windows 8 of Windows 8.1. Dat heeft ontwikkelaar Valve aangekondigd. Om van Steam en de games die via het platform zijn gekocht gebruik te kunnen maken moeten gebruikers naar een nieuwere versie van Windows upgraden. Veel softwareontwikkelaars zijn inmiddels de support van Windows 7 gestopt, maar de software blijft dan vaak nog wel werken, zij het met beveiligingsrisico's. In het geval van de Steam-client is dat niet het geval en zal die vanaf 1 januari 2024 niet meer op de drie genoemde Windows-versies werken. Dit komt omdat belangrijke onderdelen van Steam afhankelijk zijn vanaf een embedded versie van Google Chrome, die niet langer meer op oudere Windows-versies werkt. Daarnaast zullen toekomstige Steam-versies Windows-beveiligingsupdates vereisen die alleen in Windows 10 en nieuwer aanwezig zijn. Valve roept gebruikers dan ook om te upgraden naar een nieuwere Windows-versie. Volgens cijfers van Steam draait ruim 94 procent van de gebruikers Windows 10 of Windows 11. Windows 7 wordt door slechts 1,5 procent gebruikt. Begin dit jaar zette Steam een nieuw record neer met 32 miljoen mensen die op hetzelfde moment via het platform aan het gamen waren. bron: https://www.security.nl

Een actief misbruikt zerodaylek in Fortra GoAnywhere zorgt op dit moment voor een explosie aan datalekken. Tal van grote organisaties melden dat er gegevens bij hen zijn gestolen. Het gaat onder andere om Procter & Gamble, Hitachi Energy, Investissement Québec, Saks Fifth Avenue, Pluralsight, Rio Tinto, US Wellness, securitybedrijf Rubrik, de grote Amerikaanse zorgorganisatie Community Health Systems (CHS), gokbedrijf Crown Resorts, de Hatch Bank, het Britse Pension Protection Fund, de stad Toronto en zorgverlener Brightline. Deze laatste partij levert therapie aan kinderen en de vrees is dat de gevoelige data van tienduizenden kinderen is buitgemaakt. De aanvallers achter deze aanvallen claimen dat ze bij meer dan honderddertig organisaties hebben toegeslagen. GoAnywhere is een door softwarebedrijf Fortra ontwikkelde oplossing voor het uitwisselen van bestanden. Via een kwetsbaarheid, aangeduid als CVE-2023-0669, is het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code op het systeem uit te voeren. Voor het uitvoeren van de aanval moet een aanvaller wel eerst toegang tot de beheerdersconsole hebben. De console zou normaliter alleen toegankelijk vanaf het bedrijfsnetwerken, via een vpn of een select aantal ip-adressen moeten zijn. Onderzoekers ontdekten echter dat bij veel organisaties de console voor iedereen gewoon toegankelijk vanaf het internet is. Het beveiligingslek werd al voor dat Fortra een update uitbracht misbruikt. TechCrunch meldt op basis van twee getroffen organisaties dat Fortra klanten vertelde dat hun gegevens niet door de aanvallers waren buitgemaakt. Pas nadat de aanvallers deze getroffen organisaties benaderden ontdekten die dat dit wel het geval was. De aanvallen zijn het werk van de criminelen achter de Clop-ransomware. Die hebben nog niet alle slachtoffers op hun eigen website vermeld. Het is dan ook de verwachting dat de komende dagen nog veel meer organisaties bekend zullen worden. bron: https://www.security.nl

De ontwikkelaars van OpenSSL waarschuwen iedereen die van versie 1.1.1 gebruikmaakt, want nog minder dan zes maanden en dan zal deze versie geen beveiligingsupdates meer ontvangen. Vanaf 11 september is de software namelijk end of life. Gebruikers wordt aangeraden om te upgraden naar OpenSSL 3.0 of OpenSSL 3.1. Deze versies worden respectievelijk tot 7 september 2026 en 14 maart 2025 ondersteund. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Naast de normale releases werkt OpenSSL ook met Long Term Support (LTS) releases. Die kunnen vijf jaar lang op beveiligingsupdates rekenen. OpenSSL 1.1.1 was een LTS-release die op 11 september 2018 verscheen. Op 11 september 2023 stopt de ondersteuning. OpenSSL 3.0 is ook een LTS-release en wordt daardoor langer ondersteund dan versie 3.1. Een andere optie is het afsluiten van een betaald onderhoudscontract. Daarbij krijgen organisaties ook na de end of life datum van OpenSSL 1.1.1 nog beveiligingsupdates voor deze versie. Het is echter onbekend hoelang OpenSSL deze updates blijft aanbieden. Het ontwikkelteam zegt dit te blijven doen zolang het commercieel houdbaar is. bron: https://www.security.nl

Gezichtsherkenningsbedrijf Clearview heeft inmiddels dertig miljard afbeeldingen afkomstig van Facebook en andere platformen gescrapet, zonder toestemming van gebruikers, en de Amerikaanse politie heeft hier al een miljoen keer gebruik van gemaakt. Dat meldt de BBC op basis van een gesprek met Clearview-ceo Hoan Ton-That. Clearview beschikt over een systeem met miljarden afbeeldingen van gezichten. Daarmee kunnen politiediensten onbekende verdachten herkennen. Meer dan zeshonderd Amerikaanse politie- en opsporingsdiensten zouden van Clearview gebruik hebben gemaakt. Het bedrijf wil de database uitbreiden naar honderd miljard gezichtsafbeeldingen, wat neerkomt op veertien foto's voor elk persoon op aarde. Inmiddels staat de teller op dertig miljard afbeeldingen en hebben Amerikaanse politiediensten volgens Ton-That het systeem één miljoen keer gebruikt. Dit aantal is niet door externe partijen bevestigd, maar de politie van Miami liet de BBC weten dat het de gezichtsherkenningssysteem bij het onderzoek naar bijna alle misdrijven inzet. Privacyboetes Vorig jaar kreeg Clearview voor het overtreden van de AVG van de Franse, Italiaanse en Griekse privacytoezichthouders drie boetes van bij elkaar zestig miljoen euro. Volgens de privacytoezichthouder wordt persoonlijke data onrechtmatig door Clearview verwerkt, aangezien er geen juridische basis is voor het verzamelen en gebruiken van de biometrische data. Daarnaast wordt er onvoldoende rekening met de rechten van individuen gehouden, zoals het recht op inzage. Clearview heeft geen vestiging in Europa, waardoor elke Europese privacytoezichthouder voor zijn eigen gebied onderzoek deed. Naast de boetes van in totaal zestig miljoen euro werd het bedrijf door de drie toezichthouders opgedragen om data van burgers uit de betreffende landen niet meer te verzamelen en verwerken en al verzamelde data te verwijderen. bron: https://www.security.nl

Drie onderzoekers, waaronder de Belgische onderzoeker Mathy Vanhoef die eerder verschillende aanvallen op WPA2 en WPA3 ontwikkelde, hebben een nieuwe aanval gedemonstreerd waarbij ze gebruikmaken van de slaapstand van apparaten om de wifi-encryptie van routers te omzeilen en informatie te stelen die voor andere apparaten is bedoeld. Dat laten de onderzoekers zien in hun onderzoek "Framing Frames: Bypassing Wi-Fi Encryption by Manipulating Transmit Queues" (pdf). Wifi-routers kunnen pakketjes bedoeld voor mobiele telefoons en laptops in een queue plaatsen, bijvoorbeeld als het apparaat in kwestie in de slaapstand staat. Wanneer de client in de slaapstand staat, om zo energie te besparen, zal de router de gebufferde frames later versturen. Onderzoekers Domien Schepers en Aanjhan Ranganathan van de Northeastern University en Mathy Vanhoef van de KU Leuven hebben nu een aanval ontwikkeld waarbij ze wifi-routers kunnen misleiden om de frames die nog in de queue staan in plaintext te laten lekken, of in versleutelde vorm, maar dan met een all-zero key, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is. Volgens de onderzoekers wordt het probleem veroorzaakt door onvoldoende richtlijnen over de beveiliging van gebufferde frames zoals die in de 802.11 wifi-standaarden is opgenomen. Zo is de power-save bit in de header van een frame niet beveiligd, wat deze en andere aanvallen mogelijk maakt. De onderzoekers laten ook zien hoe ze via deze "fundamentele ontwerpfout" een dos-aanval kunnen veroorzaken, waardoor bijvoorbeeld een verbonden smartphone de verbinding met de wifi-router verliest. Tevens is het mogelijk om de securitycontext van frames te controleren en overschrijven, waardoor frames die nog in de queue moeten worden geplaatst worden versleuteld met een door de aanvaller gekozen key. Op deze manier wordt de wifi-encryptie in zijn geheel omzeild. De onderzoekers roepen dan ook op tot een betere beveiliging ronden het queuen van frames door wifi-apparaten. Cisco is inmiddels met een beveiligingsbulletin over het onderzoek gekomen. Daarin laat het netwerkbedrijf weten dat het om een "opportunistische aanval" gaat en de informatie die een aanvaller in een beveiligd geconfigureerde netwerk hierbij kan verkrijgen van minimale waarde is. bron: https://www.security.nl

Microsoft heeft buiten de maandelijkse patchcyclus om een beveiligingsupdate voor een informatielek in de Snipping Tool van Windows 11 en Snip & Sketch voor Windows 10. Via de kwetsbaarheid is het mogelijk om informatie die in een afbeelding door de gebruiker is verwijderd weer terug te halen. Volgens Microsoft is de impact van de kwetsbaarheid, waardoor gevoelige informatie uit bewerkte screenshots of foto's kan lekken, klein. "Omdat succesvol misbruik ongebruikelijke gebruikersinteractie vereist en verschillende factoren die buiten de controle van de aanvaller liggen", aldus Microsoft. Zo moet een afbeelding waarbij het probleem zich voordoet onder "specifieke omstandigheden" zijn gemaakt. Een gebruiker moet bijvoorbeeld een screenshot maken, deze aanpassen en dan het originele bestand overschrijven met de aangepaste versie. Toch vond Microsoft het nodig om met een noodpatch voor het probleem te komen en niet te wachten op de patchcyclus van april, die op 11 april plaatsvindt. bron: https://www.security.nl

Een deel van de broncode van Twitter was maandenlang voor het publiek beschikbaar op GitHub, zo stelt The New York Times op basis van gerechtelijke documenten. Twitter verstuurde afgelopen vrijdag een bericht naar GitHub dat er sprake was van een copyrightschending en de broncode offline moest. Dat is inmiddels ook door GitHub gedaan. Daarnaast diende het platform van Elon Musk een verzoek bij de rechter in om GitHub te dwingen de persoon die de broncode deelde bekend te maken, alsmede personen die de code hebben gedownload. Twitter is inmiddels ook een onderzoek naar het lekken van de broncode gestart. Het platform vermoedt dat een persoon die vorig jaar bij Twitter vertrok verantwoordelijk is voor het lek, aldus twee bronnen die over het interne onderzoek zijn ingelicht, zo stelt The New York Times. Er zijn zorgen dat de gelekte broncode kan worden gebruikt voor het vinden van kwetsbaarheden in het platform of manieren biedt voor het verzamelen van gebruikersgegevens of aanvallen van de website. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Microsoft Outlook waardoor aanvallers de wachtwoordhash van gebruikers kunnen stelen zonder ook maar enige interactie van slachtoffers is zeker sinds april 2022 misbruikt, zo laat Microsoft weten. Het techbedrijf kwam op 14 maart van dit jaar met een beveiligingsupdate voor het zerodaylek. De aanvallen laten volgens het techbedrijf weinig sporen achter. Daarom heeft het vanavond meer informatie gegeven waarmee organisaties kunnen controleren of ze slachtoffer zijn geworden. Het beveiligingslek, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. De kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het gaat hier om een "Elevation of Privilege" kwetsbaarheid. Dergelijke beveiligingslekken worden meestal niet als kritiek bestempeld, maar dit is bij CVE-2023-23397 wel het geval. Door het versturen van een malafide e-mail kan de aanvaller het slachtoffer op zijn server laten inloggen, waarbij diens Net-NTLMv2-hash wordt verstuurd. De aanvaller kan vervolgens deze hash gebruiken om zich bij andere diensten als het slachtoffer te authenticeren. De aanval vereist geen enkele interactie van het slachtoffer. Alleen het hebben gestart van Outlook is voldoende. Daarbij maakt het niet uit of het slachtoffer bijvoorbeeld het laden van remote images heeft uitgeschakeld. Volgens Microsoft laat misbruik van CVE-2023-23397 weinig forensische sporen achter die bij traditionele "endpoint forensic analysis" zijn te vinden. Om organisaties te helpen hoe ze misbruik van het beveiligingslek in het verleden en heden is het techbedrijf met meer informatie gekomen. Verder wordt organisaties aangeraden om Outlook te updaten en uitgaand verkeer naar tcp-poort 445/SMB te blokkeren. Dit moet voorkomen dat bij misbruik van het Outlook-lek de inlogpoging van het slachtoffer naar de server van de aanvaller wordt verstuurd. bron: https://www.security.nl

Ontwikkelaarsplatform GitHub heeft de eigen private ssh-key geroteerd nadat het die per ongeluk via GitHub.com openbaar maakte. Dit moet voorkomen dat een aanvaller zich als GitHub kan voordoen of Git-operaties via ssh kan afluisteren, zo laat het populaire ontwikkelaarsplatform in een blogposting weten. Deze week ontdekte GitHub dat de RSA SSH private key voor GitHub.com tijdelijk via een publieke GitHub- repository toegankelijk was. Hierop werd een onderzoek ingesteld. Volgens GitHub is het lekken van de sleutel veroorzaakt door het onbedoeld publiceren van private informatie. Verdere details zijn niet gegeven, behalve dat er volgens GitHub geen aanwijzingen zijn dat er misbruik van de key is gemaakt. Toch is uit voorzorg besloten de key, die wordt gebruikt voor het beveiligen van Git-operaties op GitHub.com, te roteren. De key geeft geen toegang tot de infrastructuur van GitHub, dat door tal van softwareontwikkelaars en organisaties wordt gebruikt voor het ontwikkelen van software, of gegevens van klanten. "De aanpassing raakt alleen Git-operaties over ssh waarbij van RSA gebruik wordt gemaakt", aldus een verklaring. Vanwege de vervangen key kunnen gebruikers die via ssh verbinding met GitHub.com maken een melding te zien krijgen. In dit geval moeten ze de oude key vervangen en de nieuwe key toevoegen. bron: https://www.security.nl

Exchange Online gaat e-mails van permanent kwetsbare Exchange-servers blokkeren, zo heeft Microsoft aangekondigd. Dit moet beheerders aansporen om naar een wel ondersteunde Exchange-versie te migreren. In eerste instantie wordt er begonnen met e-mails die vanaf mailservers met Exchange Server 2007 worden verstuurd, maar later gaat dit ook gelden voor Exchange 2010 en Exchange 2013. Microsoft wil naar eigen zeggen op deze manier het handhavingssysteem testen en aanpassen. Zodra een permanent kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het "throttelen" van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen. Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Microsoft stelt dat het de maatregel niet invoert om klanten naar de cloud te krijgen, maar die te waarschuwen voor de risico's van het draaien van een niet meer ondersteunde Exchange-server. bron: https://www.security.nl

Duizenden webwinkels zijn door een kritieke kwetsbaarheid in WooCommerce Payments over te nemen. De ontwikkelaar heeft inmiddels een beveiligingsupdate uitgebracht, die bij webshops gehost via WordPress.com automatisch wordt geïnstalleerd. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder WooCommerce Payments. Deze plug-in maakt het mogelijk om verschillende soorten betalingen in webwinkels te faciliteren. Meer dan vijfhonderdduizend webshops maken er gebruik van. Een kritieke kwetsbaarheid in versie 5.6.1 en eerder maakt het mogelijk voor een ongeauthenticeerde aanvaller om volledige toegang tot het beheerdersaccount te krijgen en zo de website over te nemen. Dat meldt securitybedrijf Wordfence. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Gisteren verscheen versie 5.6.2 waarin het probleem is verholpen. In de beschrijving wordt alleen gesproken over "security update". Ook Wordfence wil vanwege de impact nog geen details geven. Uit de versiecijfers van WooCommerce Payments blijkt echter dat een groot aantal webshops een kwetsbare versie draait. Beheerders wordt dan ook met klem aangeraden naar de nieuwste versie te updaten. Update De update wordt op alle websites die WooCommerce Payments 4.8.0 tot en met 5.6.1 draaien en op WordPress.com worden gehost automatisch geïnstalleerd, zo meldt de ontwikkelaar. Voor websites die ergens anders worden gehost moet de betreffende beheerder de patch installeren. bron: https://www.security.nl

Microsoft heeft een oplossing ontwikkeld voor het probleem waardoor gevoelige informatie kan lekken via PNG-screenshots die door de snipping tool van Windows 11 zijn verkleind of bewerkt. Dat meldt onderzoeker David Buchanan die eerder deze week het bestaan van het probleem in de snipping tool via Twitter bekendmaakte. Wanneer gebruikers een screenshot bewerken en informatie wegknippen of de afbeelding verkleinen is dat gedeelte niet meer zichtbaar, maar blijft de door de snipping tool weggeknipte informatie in het bestand staan als dat vervolgens wordt opgeslagen en daarmee het origineel overschrijft. Deze informatie is daardoor te herstellen, waardoor het weggeknipte gedeelte weer zichtbaar kan worden gemaakt. Dat blijkt ook uit het feit dat een bewerkt of verkleind screenshot dezelfde grootte heeft als het origineel. Microsoft heeft nu een nieuwe versie van de snipping tool voor testers uitgebracht waarin weggeknipte informatie echt weg is. Het gaat om versie 1.2302.20.0 die via het canary channel verkrijgbaar is. Wanneer de oplossing voor standaardgebruikers beschikbaar komt is nog niet bekend. Microsoft heeft zelf nog geen verdere details over het probleem gegeven. bron: https://www.security.nl

Onderzoekers hebben tijdens de jaarlijks Pwn2Own-wedstrijd verschillende zerodaylekken in Microsoft SharePoint en een Tesla Model 3 gedemonstreerd. Ook macOS, Adobe Reader, Oracle VirtualBox, Ubuntu Desktop en Windows 11 moesten eraan geloven. Details over de getoonde kwetsbaarheden zijn nog niet openbaar. De betreffende leveranciers zijn ingelicht zodat ze beveiligingsupdates kunnen ontwikkelen. Pwn2Own is een jaarlijks terugkerende wedstrijd waarbij onderzoekers worden beloond voor het laten zien van onbekende kwetsbaarheden in veelgebruikte software. Dit jaar zijn er weer verschillende categorieën, namelijk virtualisatiesoftware, webbrowsers, zakelijke applicaties (Adobe Reader en Office 365), serversoftware, zakelijke communicatiesoftware (Zoom en Teams) en de Tesla Model 3 en Model S. De hoogste beloning is weggelegd voor onderzoekers die de Tesla op afstand weten te compromitteren. Het gaat dan om een aanval die begint via bluetooth, wifi, tuner of modem en via het infotainmentsysteem de autopiloot of VCSEC (Vehicle Controller Secondary) gateway kan compromitteren. Onderzoekers van Synacktiv wisten de gateway van de Tesla via ethernet te compromitteren, wat hen een beloning van 100.000 dollar en de Tesla opleverde. Voor het op afstand compromitteren van de gehele Tesla is een beloning van 600.000 dollar uitgeloofd. Onderzoekers van STAR Labs verdienden ook 100.000 dollar, alleen dan met een aanval op Microsoft SharePoint. Via de getoonde exploit is remote code execution mogelijk en kan een aanvaller kwetsbare SharePoint-servers op afstand overnemen. Vandaag vindt de tweede dag van het evenement plaats, waarbij wederom wordt geprobeerd een subsysteem van een Tesla te compromitteren. Vrijdag is de laatste dag van Pwn2Own. bron: https://www.security.nl

De Duitse en Zuid-Koreaanse inlichtingendiensten hebben een gezamenlijke waarschuwing gegeven voor malafide Google Chrome-extensies die bij spionageaanvallen worden ingezet. De aanvallers sturen slachtoffers e-mails waarin ze worden gevraagd een Chrome-extensie te installeren. Het gaat hier echter om een malafide extensie die de inhoud van het Gmail-account steelt zodra het slachtoffer hierop inlogt. Op deze manier wordt een eventueel aanwezige tweefactorauthenticatie omzeild. Daarnaast maken de aanvallers ook misbruik van malafide Android-apps die zonder mede weten op de telefoon van slachtoffers wordt geïnstalleerd. Ook deze aanval begint met een phishingmail waarmee de aanvaller de inloggegevens van het Google-account van het slachtoffer probeert te stelen. De aanvaller heeft inmiddels ook een malafide app naar de Google Play Console geüpload. Dit is een appstore voor apps die in ontwikkeling zijn en intern getest moeten worden. De aanvallers registreert het account van het slachtoffer als testdeelnemer. Vervolgens logt de aanvaller in op het Google-account van het slachtoffer en verzoekt de installatie van de malafide app. Die wordt vervolgens via de synchronisatiefeature van de Google Play Store automatisch en zonder interactie van de gebruiker geïnstalleerd. Volgens de Duitse en Zuid-Koreaanse inlichtingendiensten zijn de aanvallen gericht op experts met kennis over Noord-Koreaanse zaken. Aangezien de aanvallen plaatsvinden via e-mail adviseren de diensten gebruikers om op te letten op berichten die ze ontvangen (pdf). bron: https://www.security.nl

De snipping tool in Windows 11 en de Snip & Sketch tool in Windows 10, in het Nederlands bekend als het knipprogramma, kunnen gevoelige informatie lekken die gebruikers uit screenshots hebben weggeknipt. Eerder werd een dergelijk probleem bij de Markup-tool van Google Pixel-telefoons aangetroffen. Google kwam deze maand met een beveiligingsupdate (CVE-2023-21036) voor Pixel-telefoons. Nu blijkt het probleem ook aanwezig te zijn in twee tools van Windows 10 en 11, zo melden beveiligingsonderzoekers David Buchanan en Chris Blume op Twitter. Wanneer gebruikers een screenshot bewerken en informatie wegknippen of de afbeelding verkleinen is dat gedeelte niet meer zichtbaar, maar blijft de weggeknipte informatie in het bestand staan als dat vervolgens wordt opgeslagen en daarmee het origineel overschrijft. Deze informatie is daardoor te herstellen, waardoor het weggeknipte gedeelte weer zichtbaar kan worden gemaakt. Iets wat ook zichtbaar is via de bestandseigenschappen, aangezien het aangepaste bestand even groot is als het onbewerkte bestand, meldt onderzoeker Will Dormann. Het probleem doet zich alleen voor bij png-bestanden. Microsoft heeft aangegeven op de hoogte van het probleem te zijn en zal volgens een woordvoerder indien nodig maatregelen nemen. bron: https://www.security.nl

De meeste zerodaylekken die vorig jaar werden gevonden bevonden zich in de software van Apple, Google en Microsoft, zo stelt securitybedrijf Mandiant. Het aantal zerodays in 2022 lag echter lager dan in 2021. Security.NL kwam eind vorig jaar al met een zelfde analyse over de zerodaylekken die dat jaar waren gebruikt bij aanvallen. In totaal telde Mandiant 55 zerodays vorig jaar, waarvan achttien in de software van Microsoft, tien in de software van Google en negen in de software van Apple. Besturingssystemen en browsers waren bij elkaar goed voor dertig van de zerodaylekken. Het gaat hier om kwetsbaarheden waar aanvallers actief misbruik van maken voordat de leverancier een beveiligingsupdate beschikbaar heeft gemaakt. Voor zover mogelijk stelt Mandiant dat de meeste zerodaylekken bij spionageaanvallen werden ingezet. Vier van de kwetsbaarheden hadden voor zover bekend een financieel motief. Naast statelijke actoren die voor de spionageaanvallen verantwoordelijk worden gehouden waren er ook verschillende bedrijven die zerodaylekken te koop aanbieden of producten die hiervan gebruikmaken. Wat betreft de keuze voor Apple, Google en Microsoft laat Mandiant weten dat aanvallers zich vooral op veelgebruikte producten richten omdat een zerodaylek in deze gevallen de meeste toegang oplevert. Aan de andere kant waren ook verschillende nicheproducten doelwit, wat volgens het securitybedrijf aantoont dat aanvallers zich ook richten op de systemen of software waar een specifiek doelwit gebruik van maakt. bron: https://www.security.nl

Ik zie dat je de camera ook met een app op je telefoon kunt bedienen. Misschien zit hier een functie verstopt zodat je het videoformat kunt aanpassen. Verder zie ik ook dat de camera in hoge resolutie opneemt. Ik weet met mijn GoPro dat in de hoogte stand ik de beelden in mijn videobewerkingsprogramma ook niet kan openen. wel als ik in iets lagere resolutie film. De iets lagere resolutie is voor de opnamen nog steeds prima. (zie linkje in mijn handtekening)

De EU-Raad wil dat Internet of Things (IoT) apparaten standaard automatisch beveiligingsupdates ontvangen. Daarnaast moeten producten met digitale elementen langer dan vijf jaar met patches worden ondersteund. Dat blijkt uit een nieuwe tekst van de Europese Cyber Resilience Act (CRA), zo stelt Euractiv. De Europese Commissie presenteerde afgelopen september de CRA, die voor veiligere hardware en software moet zorgen. Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates. Oorspronkelijk werd hiervoor een maximale termijn van vijf jaar gehanteerd, maar in de nieuwe tekst is die termijn nu komen te vervallen. Verder is er in de nieuw tekst opgenomen dat IoT-apparaten en andere "connected devices" standaard automatisch beveiligingsupdates moeten ontvangen. Fabrikanten moeten wel een duidelijk en eenvoudig opt-out-mechanisme aanbieden. De nieuwe tekst maakt ook duidelijk dat de CRA niet voor alle opensourcesoftware geldt. Iets waar eerder nog onduidelijk over was. Nu is duidelijk gemaakt dat de CRA alleen van toepassing is op connected producten die op de Europese markt zijn uitgebracht om geld mee te verdienen. De voorwaarden waaronder het product is ontwikkeld spelen daarbij geen rol. Daardoor blijft de CRA wel geld voor opensourcesoftware zoals Android, aldus Euractiv. Deze week vond er overleg plaats over het voorstel. Daar kleven volgens critici ook allerlei bezwaren aan. "Ondanks de kritiek gaan de ambtenaren nu verder met de volgende fase en alles wijst erop dat men niet van plan is het voorstel aan te passen", zegt beveiligingsexpert Bert Hubert tegenover Binnenlands Bestuur. "Het probleem is dat wetgevers die regels en documenten opstellen voor de veiligheid van staafmixers, nu ook opeens denken regels op te kunnen stellen voor hoe je veilige software schrijft. Ze hebben geen verstand van software en geven dat ook toe." Doordat het wetsvoorstel breed en vaag is geformuleerd en op overtredingen hoge boetes staan, zorgt dit volgens Hubert voor onzekerheid bij bedrijven. bron: https://www.security.nl

De "nieuwste" versie van de Lockbit-ransomware infecteert geen systemen met een bepaalde taalinstelling. Het gaat onder andere om het Russisch, Oekraïens en Syrisch. Dat melden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De Amerikaanse overheidsdiensten waarschuwen instanties geregeld voor specifieke ransomware-exemplaren, waarbij ze informatie over de werkwijze van ransomwaregroep delen, alsmede andere details. Met de gedeelde tactieken, technieken en procedures (TTP's) en indicators of compromise (IOC's) kunnen organisaties zich dan tegen de ransomware beschermen. De nieuwste waarschuwing richt zich op Lockbit 3.0, die vorig jaar juni voor het eerst werd opgemerkt. Net als de vorige versies wordt ook LockBit 3.0 aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Lockbit 3.0 infecteert geen systemen met een bepaalde taalinstelling. Het gaat onder andere om Russisch, Oekraïens en Syrisch. Wanneer de ransomware een dergelijke taalinstelling detecteert stopt de ransomware zichzelf en zal het systeem niet infecteren. Dit zouden de ransomware-ontwikkelaars, waarvan wordt vermoed dat ze vanuit deze regio's opereren, opzettelijk doen om vervolging door de autoriteiten daar te ontlopen. Zolang er geen "lokale" slachtoffers worden gemaakt kunnen de ransomwaregroepen dan met hun activiteiten doorgaan is het idee. In het verleden hebben experts weleens gesteld dat het wijzigen van de taalinstelling ransomware kan voorkomen. Verder bevat de waarschuwing van de FBI en het CISA informatie over de tools die partners/afnemers van de ransomware gebruiken. Het gaat dan om software zoals FileZilla, MegaSync, PuTTY Link, rclone, Splashtop en WinSCP. Daarnaast maken Lockbit-partners vaak gebruik van publieke file sharing websites voor het uploaden van data voordat ze die versleutelen. Dit wordt gedaan om slachtoffers extra af te persen. Wanneer er niet wordt betaald dreigen de aanvallers de data openbaar te maken. Om aanvallen met ransomware te voorkomen doen de Amerikaanse overheidsdiensten allerlei aanbevelingen, maar met drie zaken moeten organisaties vandaag nog beginnen, zo laat de waarschuwing weten. Het gaat dan om het verhelpen van bekende, aangevallen kwetsbaarheden, het trainen van personeel om phishingaanvallen te herkennen en te melden en het implementeren van phishingbestendige multifactorauthenticatie. bron: https://www.security.nl

De trackingpixel die Meta gebruikt voor het volgen van mensen op internet is in strijd met de AVG en de Schrems II-uitspraak van het Europees Hof van Justitie, zo heeft de Oostenrijkse privacytoezichthouder geoordeeld (pdf). Het Hof oordeelde in 2020 dat het Privacy Shield-verdrag tussen de Europese Unie en de Verenigde Staten voor het uitwisselen van persoonsgegevens naar de VS ongeldig is. Volgens de rechter zijn gegevens die onder het verdrag werden uitgewisseld niet goed beschermd in de Verenigde Staten. Door de uitspraak van het hof mogen bedrijven in de EU op grond van het Privacy Shield-verdrag geen persoonsgegevens meer aan de VS doorgeven. "Hoewel dit een grote schok voor de techindustrie was, hebben Amerikaanse providers en Europese data-uitwisselaars de uitspraak grotendeels genegeerd", stelt privacyorganisatie noyb. "Net zoals Microsoft, Google of Amazon, heeft Facebook op zogenoemde "modelcontracten" en "aanvullende maatregelen" vertrouwd om het uitwisselen van data door te laten gaan en Europese businesspartners gerust te stellen", laat de privacyorganisatie verder weten. Eind 2020 diende noyb meer dan honderd klachten bij Europese privacytoezichthouders in over websites die van Google Analytics en Facebook-trackingpixels gebruikmaken. Vorig jaar verklaarde de Oostenrijkse privacytoezichthouder Google Analytics in strijd met de AVG. Volgens noyb geldt deze beslissing ook voor "Facebook Login" en de "Meta Pixel". Bij het gebruik van deze tools wordt namelijk data naar de VS gestuurd. "Facebook heeft altijd voorgedaan dat commerciële klanten de technologie kunnen blijven gebruiken, ongeacht twee uitspraken van het Europees Hof van Justitie die het tegenovergestelde zeggen. Nu heeft de eerste toezichthouder een klant verteld dat het gebruik van Facebook-trackingtechnologie illegaal is", aldus Max Schrems, privacyactivist en oprichter van noyb. Schrems stelt dat de uitspraak voor bijna alle Europese websites relevant is. Veel websites maken namelijk van Facebooks trackingtechnologie gebruik om gebruikers te volgen en gepersonaliseerde advertenties te tonen. Wanneer websites echter van deze technologie gebruikmaken sturen ze ook gebruikersdata naar het Amerikaanse techbedrijf waarna het bij de NSA terechtkomt, laat noyb verder weten. De Europese Commissie werkt aan een nieuw privacyverdrag met de VS, maar dat is nog niet klaar en volgens noyb zal dit ook nog wel enige tijd duren, aangezien Amerikaanse wetgeving bulksurveillance toestaat. Het is onbekend of de Oostenrijkse privacytoezichthouder de website die van Meta's trackingtechnologie gebruikmaakt heeft beboet. bron: https://www.security.nl

Tijdens een internationale operatie hebben politiediensten cryptomixer ChipMixer offline gehaald. Daarbij zijn ook vier servers, 44 miljoen euro aan bitcoin en zeven terabyte aan data in beslag genomen. ChipMixer wordt verdacht van betrokkenheid bij het witwassen van geld. Cryptomixers beschermen de privacy van cryptotransacties. Gebruikers kunnen cryptovaluta van één wallet in een "pool" storten en met een andere wallet opnemen. Op deze manier is het bijvoorbeeld mogelijk om anoniem geld te doneren, maar kunnen mensen ook hun cryptovaluta beschermen. Volgens Europol heeft ChipMixer, dat sinds halverwege 2017 online was, mogelijk miljarden euro's witgewassen afkomstig van ransomware, gestolen cryptovaluta en andere criminele zaken. Zo hebben verschillende ransomwaregroepen, waaronder Zeppelin, SunCrypt, Mamba, Dharma en Lockbit, van ChipMixer gebruikgemaakt voor het witwassen van het losgeld van slachtoffer, zo claimt Europol. Bij de operatie tegen ChipMixer waren de Amerikaanse, Belgische, Duitse, Poolse en Zwitserse autoriteiten betrokken. Europol faciliteerde de uitwisseling van informatie en ondersteunde de coördinatie van de operatie. Vorig jaar werd in Nederland nog de ontwikkelaar van cryptomixer Tornado Cash aangehouden. bron: https://www.security.nl

Aanvallers hebben bij securitybedrijf Rubrik gegevens weten te stelen door misbruik te maken van een zerodaylek in GoAnywhere. Dit is een door softwarebedrijf Fortra ontwikkelde oplossing voor het uitwisselen van bestanden. Via een kwetsbaarheid, aangeduid als CVE-2023-0669, is het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code op het systeem uit te voeren. Voor het uitvoeren van de aanval moet een aanvaller wel eerst toegang tot de beheerdersconsole hebben. De console zou normaliter alleen toegankelijk vanaf het bedrijfsnetwerken, via een vpn of een select aantal ip-adressen moeten zijn. Onderzoekers ontdekten echter dat bij veel organisaties de console voor iedereen gewoon toegankelijk vanaf het internet is. Het beveiligingslek werd al voor dat Fortra een update uitbracht misbruikt. Eén van de getroffen organisaties is securitybedrijf Rubrik, zo heeft het zelf bekendgemaakt. De aanvallers wisten vervolgens gegevens van het bedrijf te stelen, waaronder interne verkoopinformatie met gegevens van klanten, alsmede bestellingen van Rubrik-leveranciers. Hoe de aanvallers toegang tot de beheerdersconsole van de GoAnywhere-installatie konden krijgen heeft het securitybedrijf niet laten weten. bron: https://www.security.nl

Een zerodaylek in Microsoft SmartScreen is zeker sinds januari gebruikt bij aanvallen met de Magniber-ransomware, zo heeft Google ontdekt. Gisterenavond kwam Microsoft met een patch voor de kwetsbaarheid. Een soortgelijk beveiligingslek werd eerder al door de ransomwaregroep gebruikt. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het zerodaylek (CVE-2023-24880) zorgt ervoor dat de waarschuwing niet verschijnt. De aanvallers doen dit door het bestand van een speciaal geprepareerde, ongeldige digitale handtekening is te voorzien. Deze handtekening zorgt voor een fout binnen SmartScreen, waardoor het waarschuwingsvenster niet verschijnt. Een gebruiker moet nog wel zelf het malafide bestand openen. Google meldde de kwetsbaarheid op 15 februari aan Microsoft, dat zoals gezegd gisteren met een update kwam. Volgens Google heeft de Magniber-ransomware zeker sinds januari misbruik van het beveiligingslek gemaakt en zijn de malafide bestanden sindsdien meer dan honderdduizend keer gedownload. De Magniber-ransomware richtte zich in het verleden vaak op Zuid-Korea, maar meer dan tachtigduizend van de honderdduizend downloads sinds januari vonden plaats in Europa. Google stelt verder dat Microsoft de oorspronkelijke oorzaak niet heeft verholpen. Daardoor konden de aanvallers de update voor de eerdere, soortgelijke kwetsbaarheid omzeilen en gebruikers opnieuw aanvallen. "Omdat de hoofdoorzaak achter de SmartScreen security bypass niet werd opgelost, konden de aanvaller snel een variant van de oorspronkelijke bug vinden", aldus Google, dat spreekt over een trend waarbij softwareleveranciers beperkte patches uitbrengen waardoor aanvallers de kans krijgen nieuwe varianten te vinden. bron: https://www.security.nl

Adobe waarschuwt voor een actief misbruikt zerodaylek in ColdFusion en roept organisaties op om de kwetsbaarheid zo snel mogelijk te patchen. Gisteren bracht het softwarebedrijf een update voor het beveiligingslek uit, dat wordt aangeduid als CVE-2023-26360. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. Details over de huidige aanvallen zijn niet door Adobe gegeven, behalve dat het om "zeer beperkte" aanvallen gaat. Het beveiligingslek is aanwezig in ColdFusion 2018 Update 15 en eerder en ColdFusion2021 Update 5 en eerder. Organisaties wordt aangeraden te updaten naar Update 16 en Update 6. Daarbij adviseert Adobe dit zo snel mogelijk te doen, waarbij als voorbeeld binnen 72 uur wordt gegeven. bron: https://www.security.nl