Captain Kirk

Gameontwikkelaar Riot Games, bekend van het spel League of Legends, is getroffen door een inbraak op de ontwikkelomgeving. Daardoor kan het bedrijf tijdelijk geen nieuwe content uitbrengen, wat gevolgen heeft voor de updates voor de games van het bedrijf. Naast League of Legends, dat afgelopen december in één maand nog 150 miljoen actieve spelers telde, is Riot Games ook verantwoordelijk voor games als Valorant en Legends of Runeterra. Vorige week meldde de gameontwikkelaar via Twitter dat eerder die week de ontwikkelomgeving via social engineering was gecompromitteerd. Details over de aard van de aanval zijn niet gegeven, behalve dat hierdoor tijdelijk geen nieuwe content kan worden uitgebracht, zoals updates voor de verschillende games van Riot Games. De gameontwikkelaar zegt dat het afhankelijk van het onderzoek met meer informatie zal komen, maar heeft sinds de initiële melding op 20 januari geen nieuws verstrekt. bron: https://www.security.nl

Microsoft is een enquête gestart waarin het systeembeheerders vraagt naar hun ervaringen met het updaten van Exchange-servers. Eerder liet het techbedrijf weten dat klanten hadden geklaagd dat ze het lastig vinden om hun Exchange-servers up-to-date te houden. Vorig jaar kondigde Microsoft een aangepast updatebeleid voor Exchange Server aan. In plaats van elk kwartaal krijgt Exchange Server voortaan twee Cumulative Updates per jaar. Cumulative Updates bevatten bugfixes, nieuwe features en alle eerder uitgekomen beveiligingsupdates voor Exchange. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie een bepaalde CU-versie geïnstalleerd hebben. Klanten klaagden bij Microsoft dat het lastig was om hun Exchange Server met een recente CU-versie up-to-date te houden. Met de nu gestarte enquête wil Microsoft weten waar beheerders tegenaan lopen bij het updaten van hun Exchange-servers. Zo wordt gevraagd welke updates op dit moment zijn geïnstalleerd en wat de reden is dat recente updates niet zijn geïnstalleerd. Ook worden beheerders naar andere instellingen gevraagd en op welke wijze ze Exchange-updates installeren. Verder vraagt Microsoft naar suggesties voor het verbeteren van het updateproces. bron: https://www.security.nl

Microsoft is begonnen om via een update te kijken hoeveel gebruikers een versie van Office draaien die niet meer wordt ondersteund of binnenkort end-of-life is. Het gaat dan bijvoorbeeld om Office 2007, Office 2010 en Office 2013. De eerste twee Office-versies worden sinds respectievelijk oktober 2017 en oktober 2020 niet meer door Microsoft ondersteund. Office 2013 ontvangt nog wel beveiligingsupdates, maar hier zal Microsoft op 11 april van dit jaar mee stoppen. Via update (KB5021751) wil het techbedrijf kijken hoe groot het aantal gebruikers is dat met deze Office-versies werkt. Volgens Microsoft wordt de update "stilletjes" uitgevoerd en wordt er niets op het systeem van de gebruiker geïnstalleerd. KB5021751 is beschikbaar via Microsoft Update en kan afhankelijk van de instellingen automatisch worden uitgevoerd. bron: https://www.security.nl

PayPal heeft 35.000 klanten gewaarschuwd dat aanvallers op hun account hebben ingebroken. De "ongeautoriseerde activiteit" deed zich begin december voor, zo blijkt uit een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine. PayPal zegt in de brief geen aanwijzingen te hebben dat persoonlijke informatie van klanten is misbruikt. Ook zijn er geen ongeautoriseerde transacties met het account waargenomen. Doordat de aanvallers toegang tot account kregen hebben ze mogelijk ook persoonlijke informatie bemachtigd, waaronder naam, adresgegevens, social-securitynummers, belastinggegevens en geboortedatum. Hoe de aanval precies kon plaatsvinden laat PayPal niet weten, maar het bedrijf stelt dat er geen bewijs is dat de gebruikte inloggegevens via systemen van PayPal zijn verkregen. Naar aanleiding van de inbraken heeft PayPal besloten de wachtwoorden van getroffen accounts te resetten. Gebruikers moeten dan ook de volgende keer dat ze inloggen een nieuw wachtwoord instellen. Tevens adviseert PayPal het gebruik van tweestapsverificatie. Getroffen gebruikers kunnen twee jaar lang van identiteitsmonitoring gebruikmaken. Het gaat hier om diensten die waarschuwen wanneer gegevens op internet verschijnen of er identiteitsfraude plaatsvindt. bron: https://www.security.nl

update: donderdag 19 januari De Royal Mail kan ruim een week na de ransomware-aanval waardoor het werd getroffen weer internationale briefpost versturen. Het versturen van pakketten of andere post naar het buitenland waarvoor een douaneaangifte is vereist is nog altijd niet mogelijk. Er wordt inmiddels geëxperimenteerd met een oplossing voor pakketpost, maar Britten worden nog altijd opgeroepen geen internationale pakketten te versturen. Dat laat de Royal Mail in een statusupdate weten. De focus ligt nu op het wegwerken van de grote hoeveelheid pakketten en briefpost die sinds de aanval op 10 januari plaatsvond niet zijn verstuurd en nog altijd in de distributiecentra van de Royal Mail liggen. Het postbedrijf zegt dat het met externe experts, veiligheidsautoriteiten en toezichthouders samenwerkt om de gevolgen van het "cyberincident" op te lossen. Daarbij ligt de nadruk op het herstel van de internationale postbezorging. Het verwerken van inkomende post en pakketten werkt wel, zij het met kleine vertragingen. Hoe de aanval kon plaatsvinden is nog altijd niet bekendgemaakt. bron: https://www.security.nl

WhatsApp krijgt boete van 5,5 miljoen euro voor overtreden AVG De Ierse privacytoezichthouder DPC heeft WhatsApp een boete van 5,5 miljoen euro opgelegd voor het overtreden van de AVG. Er is echter felle kritiek van privacyorganisatie noyb op het onderzoek van de DPC, dat een bindend oordeel van de Europese privacytoezichthouders om het delen van WhatsApp-data binnen Meta te onderzoeken naast zich heeft neergelegd. Toen de AVG in mei 2018 van kracht werd kwam WhatsApp met nieuwe algemene voorwaarden. Gebruikers die de chatapp wilden blijven gebruiken moesten met deze voorwaarden akkoord gaan. Volgens een klacht die over WhatsApp werd ingediend was dit een overtreding van de AVG, omdat de chatapp gebruikers zo dwong om akkoord te gaan met het verwerken van hun gegevens, maar daar is de DPC het niet mee eens. De chatdienst zou alleen onvoldoende duidelijk tegenover gebruikers zijn geweest. Volgens noyb heeft de DPC de kern van de klacht niet onderzocht, namelijk het gebruik van data voor gerichte advertenties, marketingdoeleinden, het delen van informatie met derde partijen en het uitwisselen van data met partnerbedrijven. De Europese privacytoezichthouders, verenigd in de EDPB, hadden de DPC opgedragen dit wel te onderzoeken, maar dat besloot de Ierse privacytoezichthouder niet te doen. In plaats daarvan is het onderzoek en daarmee de zaak beperkt tot alleen het verzamelen van informatie voor veiligheidsdoeleinden en het verbeteren van de dienstverlening. "We zijn verbijsterd dat de DPC de kern van de zaak na een procedure van 4,5 jaar gewoon negeert. De DPC negeert ook heel duidelijk het bindende besluit van de EDPB. Het lijkt erop dat de DPC eindelijk alle banden doorsnijdt met andere Europese privacytoezichthouders en met de eisen van Europese en Ierse wetgeving", zegt privacyactivist en noyb-oprichter Max Schrems. Metadata WhatsApp laat geen gerichte advertenties zien, maar deelt wel "metadata" met Facebook en Instagram, waar het voor gepersonaliseerde reclame wordt gebruikt. Metadata bevat veel informatie over het chatgedrag van gebruikers: wie met wie communiceert, wanneer, hoe lang en hoe vaak. De communicatie mag dan versleuteld zijn, de telefoonnummers en gekoppelde Facebook- en Instagram-accounts worden wel verzameld. Daarmee zijn vervolgens op Facebook en Instagram gerichte advertenties te tonen. "Het lijkt erop dat de DPC heeft geweigerd de kernzaak van de klachten te onderzoeken", aldus noyb. Net als met eerdere onderzoeken waren de andere Europese privacytoezichthouders niet te spreken over het onderzoek van de DPC, dat voor de vierde keer op rij werd gedwongen om aanpassingen door te voeren. Vorig jaar verschenen er nog berichten dat Meta vanwege de overtredingen met Facebook, Instagram en WhatsApp een boete van mogelijk twee miljard euro zou krijgen. De eindsom is nu 395,5 miljoen euro, namelijk 390 miljoen euro voor Facebook en Instagram en 5,5 miljoen euro voor WhatsApp. Gisteren meldde noyb dat de Ierse privacytoezichthouder Meta een cadeautje van 4 miljard euro heeft gegeven. bron: https://www.security.nl

Cookiebanners zonder directe weigerknop zijn in overtreding van de ePrivacyrichtlijn, zo vinden de meeste Europese privacytoezichthouders. Het Europees Comité voor gegevensbescherming (EDPB), een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken, startte in 2021 een taskforce voor klachten over cookiemeldingen. Het gaat dan specifiek om klachten afkomstig van noyb, de door privacyactivist Max Schrems opgerichte organisatie. Noyb verstuurde begin 2021 honderden klachten naar bedrijven over cookiemeldingen die volgens de organisatie niet aan de regels van de AVG voldoen. De klachten werden automatisch gegenereerd door software die noyb ontwikkelde en verschillende soorten cookiemeldingen kan herkennen. De privacyorganisatie stelt dat veel cookiemeldingen zo zijn opgesteld dat het erg lastig is om op iets anders dan "accepteren" te klikken. Daarbij stelt noyb dat bedrijven ook van "dark patterns" gebruikmaken, waardoor meer dan negentig procent van de gebruikers op accepteren klikt, terwijl uit onderzoek blijkt dat slechts drie procent van de gebruikers daadwerkelijk akkoord wil gaan. "Het frustreren van mensen om op "oké" te klikken is een duidelijke schending van de AVG-regels", aldus Schrems. De Cookie Banner Taskforce heeft nu een eerste conceptrapport over de eigen bevindingen gepubliceerd. Dan blijkt dat de meeste Europese privacytoezichthouders vinden dat het even eenvoudig moet zijn om cookies te weigeren als accepteren. Er zijn cookiebanners die op de "eerste laag" alleen een knop bieden om alle cookies te accepteren. Gebruikers die dit niet willen moeten soms meerdere keren klikken om cookies te weigeren. De meeste privacytoezichthouders vinden dat deze cookiebanners in overtreding van de ePrivacyrichtlijn zijn. Daarnaast vinden alle privacytoezichthouders dat vooraf ingevulde vakjes geen geldige toestemming zijn, zoals vereist door de AVG. Verder is ook "misleidend" link-ontwerp waar sommige cookiebanners gebruik van maken niet oké. Het gaat dan om cookiebanners die een grote acceptatieknop hebben, maar in de tekst een link hebben verborgen om cookies te weigeren. Wat betreft het gebruik van dark patterns stellen de toezichthouders dat ze websites geen norm kunnen opleggen als het gaat om kleur of contrast, en moet de betreffende cookiebanner per geval worden bekeken. Met de bevindingen uit het rapport kunnen privacytoezichthouders de klachten die ze over cookiebanners ontvingen verder afronden. bron: https://www.security.nl

NAS-fabrikant QNAP heeft vernieuwde vpn-software voor NAS-apparaten gelanceerd waarmee gebruikers een vpn-verbinding direct naar hun apparaat kunnen opzetten. De nieuwe QVPN Device Client werkt samen met de QVPN-service die op een QNAP-apparaat moet worden gedraaid. Vervolgens kunnen gebruikers via de clientsoftware toegang tot hun NAS krijgen. De QVPN Device Client bevindt zich nog in de bètafase en is alleen beschikbaar voor Windows. Volgens QNAP is de software gebaseerd op een compleet vernieuwde systeemarchitectuur die voor meer compatibiliteit en stabielere vpn-verbindingen moet zorgen. De QVPN Device Client beta is beschikbaar voor Windows 8 en nieuwer. Vorig jaar bleek dat een kwetsbaarheid in de QVPN-service het mogelijk maakte voor aanvallers om QNAP-apparaten op afstand over te nemen. bron: https://www.security.nl

Een ransomware-aanval op de maritieme software van DNV raakt zo'n duizend schepen, zo heeft het bedrijf laten weten. DNV houdt zich onder andere bezig met scheepsclassificatie, offshore classificatie, maritieme adviesdiensten en maritieme software. Het gaat dan specifiek om ShipManager, een vlootmanagementsysteem. Klanten van DNV kunnen zo de technische, operationele en compliance aspecten met betrekking tot scheep- en vlootbeheer overzien. De servers van ShipManager werden op 7 januari getroffen door een ransomware-aanval. Daarop besloot DNV de servers uit te schakelen. Dit heeft als gevolg dat schepen alleen nog de offline functionaliteiten van de ShipManager-software die aan boord is kunnen gebruiken. De online en cloudfunctionaliteit zijn niet beschikbaar. Volgens DNV heeft de ransomware-aanval geen gevolgen voor het functioneren van de schepen. In totaal zijn zeventig klanten met zo'n duizend schepen door de ransomware-aanval getroffen. Al deze klanten zijn inmiddels ingelicht over het nemen van mitigerende maatregelen, afhankelijk van het soort gegevens dat ze naar het ShipManager-platform hadden geüpload. Details over de ransomware-aanval, zoals hoe die kon plaatsvinden, zijn niet gegeven. DNV claimt dat meer dan zevenduizend schepen van driehonderd klanten gebruikmaken van de maritieme software bron: https://www.security.nl

Oracle heeft tijdens de eerste patchronde van 2023 in totaal 327 beveiligingsupdates uitgebracht. De patches zijn onder andere voor kritieke kwetsbaarheden in Oracle Essbase, Oracle Commerce, Oracle Communications, Primavera Gateway, Oracle Financial Services, Oracle Fusion Middleware, Oracle HealthCare, Oracle JD Edwards, Oracle MySQL, Oracle PeopleSoft, Oracle Siebel, Oracle Support Tools, Oracle Systems en Oracle Utilities. Het gaat om tientallen kwetsbaarheden waarvan de impact op een schaal van 1 tot en met 10 met een 9.9 of 9.8 is beoordeeld. Via dergelijke lekken kan een ongeauthenticeerde aanvaller op afstand systemen overnemen. Eén van de producten met dergelijke beveiligingslekken is Oracle WebLogic Server, dat in het verleden geregeld doelwit van aanvallen is geweest. Bij deze aanvallen werden kwetsbaarheden korte tijd na het uitkomen van de beveiligingsupdates al aangevallen. Oracle stelt dat het geregeld berichten ontvangt van organisaties die succesvol zijn aangevallen omdat ze beschikbare updates niet hadden geïnstalleerd. Het softwarebedrijf roept klanten dan ook op om de nu uitgebrachte patches "zonder vertraging" en "zo snel mogelijk" te installeren. In tegenstelling tot veel andere softwarebedrijven, zoals Adobe en Microsoft die maandelijks met patches komen, brengt Oracle vier keer per jaar beveiligingsupdates uit. De volgende patchronde staat gepland voor 18 april. bron: https://www.security.nl

Onderzoekers hebben op internet twintigduizend vpn-routers van Cisco aangetroffen die een kritieke kwetsbaarheid bevatten. Aangezien de apparaten end-of-life zijn kondigde Cisco eerder al aan het beveiligingslek niet te zullen verhelpen. Een proof-of-concept exploit om misbruik van de kwetsbaarheid te maken is volgens Cisco op internet beschikbaar, maar het netwerkbedrijf heeft nog geen daadwerkelijke aanvallen waargenomen. Het probleem speelt in de RV016, RV042, RV042G en RV082 vpn-routers. Dit is netwerkapparatuur bedoeld voor het mkb. Een kwetsbaarheid in de apparaten (CVE-2023-20025) maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en het apparaat over te nemen. Alleen het versturen van een speciaal geprepareerd http-request naar de webinterface maakt het mogelijk voor een aanvaller om root-toegang tot de router te krijgen. Securitybedrijf Censys voerde een scan uit en ontdekte op internet twintigduizend kwetsbare vpn-routers. Ruim twaalfduizend daarvan zijn de RV042. Het grootste deel van apparaten werd in de Verenigde Staten aangetroffen, gevolgd door Canada en India. Aangezien de routers end-of-life zijn zal Cisco zoals gezegd geen updates uitbrengen om de kwetsbaarheid te verhelpen. Als mitigatie adviseert het netwerkbedrijf om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren. bron: https://www.security.nl

Het is de FBI gelukt om het ip-adres te achterhalen van iemand die een Tor-website bezocht en de Amerikaanse opsporingsdienst wil niet dat openbaar wordt hoe het dit deed. Dat meldt Vice Magazine. De verdachte in deze zaak werd in mei 2020 aangeklaagd op verdenking van het verlenen van support aan terreurorganisatie IS. De man zou een IS-gerelateerde website op het Tor-netwerk hebben bezocht. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het verleden zijn er verschillende incidenten met malafide exitnodes geweest die aanvallen op gebruikers uitvoerden. Tor biedt daarnaast de mogelijkheid voor het hosten van websites, de zogeheten onion-sites, die alleen vanaf het Tor-netwerk toegankelijk zijn. Er is een verschil tussen het gebruik van Tor Browser om een website op het 'normale' internet te bezoeken en het apart hosten van een onion-site op het Tor-netwerk die via Tor Browser wordt bezocht. In het eerste geval waarbij de 'normale' website via Tor Browser wordt bezocht is er nog altijd het risico van de exitnode. Door een website op het Tor-netwerk zelf te starten wordt dit risico weggenomen, omdat het verkeer op het Tor-netwerk blijft. Het Tor-netwerk is zo opgezet dat het echte ip-adres van gebruikers niet zomaar te achterhalen is. Toch lukte dit de FBI. De verdachte zou de Tor-website vanaf een ip-adres gekoppeld aan het adres van zijn oma hebben bezocht. De FBI wist ook precies wat de man op de website deed. Advocaten van het ministerie van Justitie willen niet zeggen hoe de opsporingsdienst het adres van de verdachte kon achterhalen en willen ook niet dat dit openbaar wordt. "De overheid weigert informatie over de Tor-operatie te geven", zo laat de advocaat van de verdachte tegenover Vice Magazine weten. De advocaat meldt verder dat de openbaar aanklager erin is geslaagd om zijn verzoek tot meer informatie als een "zeer gevoelig document" te laten bestempelen. In het verleden heeft de FBI websites nagemaakt en zerodaylekken gebruikt om ip-adressen van verdachten te achterhalen. "Er zijn veel verschillende manieren om Tor-gebruikers te de-anonimiseren", laat beveiligingsexpert Bruce Schneier in een reactie op het nieuws weten. Zo sluit Schneier niet uit dat de NSA verantwoordelijk voor de surveillance was en de informatie doorspeelde aan de FBI. bron: https://www.security.nl

Mozilla heeft vandaag Firefox 109 gelanceerd met standaard support voor Manifest V3-extensies, maar zonder dat dit ten koste gaat van adblockers zoals bij Google Chrome het geval is, zo laat de browserontwikkelaar weten. Manifest V3 bevat specificaties waar browser-extensies aan moeten voldoen. Twee jaar geleden kondigde Google Manifest V3 aan. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Volgens Mozilla is het belangrijk om Manifest V3 ook binnen Firefox te ondersteunen, omdat extensie-ontwikkelaars anders twee compleet verschillende versies van hun extensies moeten ondersteunen. Als het echter om privacy en security gaat zijn echter andere keuzes nodig, aldus Mozilla. Daarom heeft de browsreontwikkelaar besloten om te kiezen voor een andere Manifest V3-implementatie binnen Firefox. Hierdoor zouden adblockers ongestoord moeten blijven werken. "Contentblockers zijn superbelangrijk voor privacybewuste Firefox-gebruikers", stelt Mozilla. Adblockers zijn de populairste categorie extensies voor Firefox. "Ze voorkomen niet alleen dat vervelende advertenties je op internet volgen, ze maken ook het browsen sneller en naadloos", gaat Mozilla verder. De browserontwikkelaar stelt dat een derde van de Firefox-gebruikers een extensies heeft geïnstalleerd. "De Manifest V3-implementatie van Firefox zorgt ervoor dat gebruikers de beste privacytools, zoals uBlock Origin en andere contentblockers en privacybeschermende extensies, kunnen blijven gebruiken." Manifest V3-extensies worden standaard in Firefox 109 ondersteund, maar support voor Manifest V2-extensies is vooralsnog ook aanwezig. Updaten naar de nieuwe Firefox-versie kan via de automatische updatefunctie. bron: https://www.security.nl

De Belgische politie adviseert internetgebruikers om adblocker AdBlock te gebruiken, om zo infecties via malafide advertenties te voorkomen. Onlangs adviseerde ook de FBI het gebruik van een adblocker. "Volgens heel wat beveiligingsfirma's neemt de activiteit van de hackers enorm toe. Deze week beschrijven we verschillende methoden die ze gebruiken om zich toegang te verschaffen tot onze gegevens", zo laat de Belgische Federale Politie vandaag weten. Het gaat dan om misbruik van kwetsbaarheden, malware en zwakke wachtwoorden. De Federale Politie geeft vervolgens verschillende tips waarmee internetgebruikers zich kunnen beschermen. "De eerste is het installeren van een advertentieblokker in je browser, omdat de getoonde reclame de installatie van een virus mogelijk maakt. We raden dus AdBlock aan die zeer goed werkt." Verder wordt het gebruik van antivirus- en antispamsoftware aangeraden. AdBlock behoort samen met Adblock Plus, uBlock Origin en AdGuard tot de meestgebruikte adblockers. Recentelijk adviseerde ook de FBI het gebruik van adblockers, specifiek bij het gebruik van online zoekmachines. Aanleiding is het gebruik van advertenties door criminelen voor op het eerste gezicht bekende software en diensten die internetgebruikers in werkelijkheid doorsturen naar malafide websites. bron: https://www.security.nl

De ransomware-aanval op de Royal Mail raakt ook tal van Britse bedrijven, aangezien die al een week lang geen post en pakketten via het Britse postbedrijf kunnen versturen en het ook onbekend is wanneer de dienstverlening wordt hervat. De aanval deed zich op 10 januari voor en heeft voor zover bekend zes magazijnen van Royal Mail geraakt, waaronder het globale distributiecentrum in Heathrow. Bij de aanval zijn de machines versleuteld die worden gebruikt voor het printen van de verzendlabels voor het versturen van pakketten naar internationale bestemmingen. De Royal Mail heeft al dagen geen updates gegeven. Het postbedrijf spreekt nog steeds over een "cyberincident" en roept klanten op om geen post of pakketten naar internationale bestemmingen te sturen. Wanneer de problemen zijn verholpen of workarounds beschikbaar zijn laat Royal Mail niet weten. "Zoals met alle technische problemen moesten we een hoop zaken uitsluiten dat we alleen nauwkeurige informatie deelden", aldus een woordvoerder van het postbedrijf tegenover de BBC. Meerdere media melden dat op meerdere locaties van de Royal Mail de printers losgeldboodschappen van de verantwoordelijke ransomwaregroep printten. Verschillende bedrijven die van het Britse postbedrijf afhankelijk zijn voor het versturen van poststukken doen tegenover de BBC hun verhaal en hekelen vooral het uitblijven van verdere informatie, zodat ze weten waar ze aan toe zijn. Naar schatting bevinden zich een half miljoen pakketten in limbo, waardoor getroffen bedrijven hun klanten nu moeten vergoeden of negatieve recensies op websites krijgen. bron: https://www.security.nl

MSI hanteert op honderden moederborden een onveilige instelling voor Secure Boot, waardoor de feature net zo goed uit had kunnen staan, zo stelt beveiligingsonderzoeker Dawid Potocki. Secure Boot moet ervoor zorgen dat alleen software wordt geladen die de fabrikant vertrouwt. Tijdens het starten van de pc controleert de firmware de digitale handtekening van de bootsoftware, firmware-drivers, EFI-applicaties en het besturingssysteem. Door de controle moet de installatie van bijvoorbeeld rootkits worden voorkomen. MSI heeft in de eigen firmware echter een aanpassing aan Secure Boot doorgevoerd, waardoor het systeem ook bij overtredingen van de Security Boot policy zal starten, zo stelt Potocki. Hierdoor is het mogelijk om elk willekeurig OS-image te laden, ongeacht of die wordt vertrouwd of niet. Het gaat specifiek om de Image Execution Policy, die standaard op altijd uitvoeren staat. Daardoor wordt het systeem ook bij policy-overtredingen gestart. Het probleem zou begin 2021 in de firmware van MSI zijn geïntroduceerd. Potocki stelt dat hij MSI heeft gewaarschuwd, maar geen reactie van de elektronicafabrikant kreeg. Het probleem speelt bij zo'n driehonderd verschillende MSI-moederborden. Gebruikers van een MSI-moederbord wordt aangeraden om bij Image Execution Policy de optie "Always Execute" op "Deny Execute" voor "Removable Media" en "Fixed Media" te zetten. bron: https://www.security.nl

De Royal Mail is nog altijd niet hersteld van de grote ransomware-aanval waardoor het vorige week werd getroffen, wat inhoudt dat het Britse postbedrijf geen internationale post en pakketten kan versturen. The Times meldde afgelopen vrijdag dat een team van meer dan honderd mensen bezig is om een oplossing te vinden, maar de statuspagina van de Royal Mail laat weten dat het nog altijd geen post internationaal kan versturen en roept mensen op om geen pakketten op de post te doen. In totaal zijn zes magazijnen van het postbedrijf getroffen, waaronder het wereldwijde distributiecentrum in Heathrow. De Royal Mail is door de Britse overheid aangewezen als vitale infrastructuur. De aanval is uitgevoerd met de Lockbit-ransomware. Deze groep liet eerder weten dat het geen vitale infrastructuur aanvalt. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Onlangs werd ook het grootste kinderziekenhuis van Canada getroffen door de Lockbit-ransomware. Toen liet de groep weten dat de verantwoordelijke partner de regels had overtreden en kreeg het ziekenhuis een gratis decryptietool. The Record heeft een interview met security-analist Jon DiMaggio, die onderzoek naar de vermeende leider van de Lockbit-groep deed. Hoe de Royal Mail besmet kon raken is niet bekend. bron: https://www.security.nl

Het kabinet moet de plannen van de Europese Commissie om alle chatberichten en ander internetverkeer van burgers te controleren tegenhouden, zo vindt burgerrechtenbeweging Bits of Freedom. Brussel wil chatdiensten en andere techbedrijven verplichten om alle berichten en andere content van gebruikers te controleren op kindermisbruik en grooming. Volgens Rejo Zenger, beleidsadviseur van Bits of Freedom, heeft de Europese Commissie weinig oog voor de neveneffecten. Zo denkt hij dat het plan de vertrouwelijkheid van communicatie op het internet voor iedereen zal ondermijnen. "Inclusief internetgebruikers die ze nu juist wil beschermen", gaat Zenger verder, die toevoegt dat de kunstmatige intelligentie die voor het detecteren wordt ingezet notoir slecht is in het herkennen van context. Ook noemt Zenger het voorstel van de Europese Commissie veel te breed en niet proportioneel. "Dat voorstel is te vergelijken met een voorstel om in alle kinderkamers camera’s op te hangen om te zien of er soms kinderen mishandeld worden. Niemand zou dat proportioneel vinden, want in onze rechtsstaat handelen we op grond van concrete verdenkingen." De beleidsadviseur van Bits of Freedom verwacht dat het onderwerp door de Tweede Kamer zal worden besproken. "Wij zijn bezorgd over de veiligheid van jongeren als de kans op het lekken van hun privéwereld groter wordt. Nederland weet door de toeslagenaffaire wat kunstmatige intelligentie kan aanrichten." Volgens Zenger moeten overheden de rechten van hun burgers beschermen, die van slachtoffers én van onschuldige passanten. "En als dat op Europees niveau mis dreigt te gaan, moet de Nederlandse overheid daar een stokje voor steken." bron: https://www.security.nl

De inbraak bij het populaire devops-platform CircleCI was mogelijk door malware die de '2FA-backed' SSO-sessie van een engineer wist te stelen, zo laat het bedrijf in een rapport over het incident weten. De malware werd niet door de antivirussoftware op de laptop van de engineer gedetecteerd. Het platform van CircleCI wordt gebruikt voor het ontwikkelen, testen en uitrollen van software. Begin januari liet het bedrijf weten dat het was getroffen door een beveiligingsincident en werden alle klanten opgeroepen om direct al hun secrets zoals wachtwoorden te roteren. Verder werd klanten verzocht om hun logbestanden op ongeautoriseerde toegang tot systemen te controleren in de periode van 21 december 2022 tot en met 4 januari 2023. In het incidentrapport laat CircleCI weten dat het op 29 december door een klant over verdachte GitHub OAuth-activiteit werd gewaarschuwd. Een dag later bleek dat het GitHub OAuth-token van deze niet nader genoemde klant was gestolen. CircleCI biedt de mogelijkheid om het platform met dat van ontwikkelaarsplatform GitHub te integreren. Daarvoor wordt gebruikgemaakt van tokens. Via bij CircleCI gestolen tokens kan er zo toegang tot de GitHub-omgeving worden verkregen. Verder onderzoek wees uit dat de aanval was begonnen via de laptop van een engineer. Zijn computer was op 16 december 2022 besmet geraakt met malware die de '2FA-backed' SSO-sessie wist te stelen. Daarmee kon de aanvaller zich voordoen als de engineer en toegang tot productiesystemen van CircleCI krijgen. De engineer in kwestie had de mogelijkheid om toegangstokens te genereren waarmee de aanvaller toegang kon kregen tot gevoelige gegevens van klanten, waaronder tokens, keys en databases. Deze data werd ook bij de aanval buitgemaakt. Hoewel de gegevens waren versleuteld werden ook de encryptiesleutels uit een draaiend proces gestolen, waardoor het ontsleutelen van de gestolen data mogelijk is. CircleCI stelt dat alle klanten die in de eerder genoemde periode gegevens bij het bedrijf hadden opgeslagen ervan moeten uitgaan dat hun data is buitgemaakt en gecompromitteerd. Met deze gegevens is er mogelijk ook toegang tot de systemen van klanten verkregen. Hoe de laptop van de engineer besmet kon raken is niet bekendgemaakt. CircleCI spreekt van een "geraffineerde aanval", maar geeft verder geen enkele details waarin dit wordt uitgelegd. Verder gaat het bedrijf de authenticatie aanscherpen en heeft het andere maatregelen aangekondigd. Er werd al gebruikgemaakt van tweefactorauthenticatie (2FA) om medewerkers in te laten loggen. CircleCI maakt daarbij gebruik van single sign-on authentication (SSO) waarbij personeel door één keer in te loggen toegang tot meerdere applicaties kan krijgen. bron: https://www.security.nl

Google gaat certificaatautoriteit TrustCor wegens veiligheidsredenen uit de Chrome Root Store verwijderen. Chrome-gebruikers krijgen vanaf maart een waarschuwing als ze websites bezoeken die gebruikmaken van certificaten uitgegeven door TrustCor. Eerder kondigden ook Mozilla en Microsoft maatregelen aan. Aanleiding om het vertrouwen in de certificaatautoriteit op te zeggen zijn de nauwe banden tussen TrustCor en Measurement Systems, een bedrijf dat Androidmalware verspreidt. Vorig jaar november lieten onderzoekers en de Wall Street Journal weten dat TrustCor en Measurement Systems nauw verweven met elkaar zijn en onder andere kantoorruimte, technische voorzieningen en personeel deelden. Het in Panama gevestigde Measurement Systems heeft weer banden met Packet Forensics, dat afluisterdiensten aan het Amerikaans leger leverde. Onderzoekers ontdekten begin 2022 dat Measurement Systems softwareontwikkelaars betaalde voor het toevoegen van malware aan hun apps, die persoonlijke informatie van gebruikers terugstuurde, waaronder telefoonnummers, e-mailadres en exacte locatie. De betreffende apps zijn vermoedelijk meer dan zestig miljoen keer gedownload, waaronder tien miljoen downloads voor een gebeds-app voor moslims. Nadat de onderzoekers hun bevindingen met Google deelden werden de apps uit de Play Store verwijderd. Naast Google werd ook Mozilla ingelicht over de connectie tussen Measurement Systems en TrustCor. De laatstgenoemde is zoals gezegd een rootcertificaatautoriteit. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing. Er zijn geen aanwijzingen dat TrustCor malafide tls-certificaten heeft uitgegeven, waarmee het bijvoorbeeld mogelijk is om verkeer van internetgebruikers via een man-in-the-middle-aanval te onderscheppen. Toch zijn de banden tussen de certificaatautoriteit en Measurement Systems onacceptabel, aldus Mozilla vorig jaar. Nu heeft ook Google maatregelen aangekondigd. Vanaf Chrome versie 111, die op 7 maart verschijnt, zullen certificaten van TrustCor niet meer worden vertrouwd. Hiervoor maakt Google gebruik van de geïntegreerde certificaat-blocklist en wordt TrustCor ook uit de Chrome Root Store verwijderd. Verder zal Android vanaf 7 maart de certificaten van TrustCor ook niet meer vertrouwen. bron: https://www.security.nl

Securitybedrijf NortonLifeLock heeft een onbekend aantal klanten gewaarschuwd dat criminelen hebben ingebroken op hun Norton Password Manager, een online wachtwoordmanager, en adviseert alle opgeslagen inloggegevens direct te wijzigen. De wachtwoordmanager is te gebruiken via een Norton-account en kan wachtwoorden genereren en opslaan in een "online kluis". De wachtwoordmanager is beschikbaar als browser-extensie en app voor Android en iOS. Volgens NortonLifeLock heeft een "ongeautoriseerde derde partij", met inloggegevens die via andere bronnen zijn verkregen, op het Norton-account van getroffen klanten ingelogd en kon zo ook toegang tot opgeslagen wachtwoorden krijgen. Dat blijkt uit een datalekmelding die het securitybedrijf bij de procureur-generaal van de Amerikaanse staat Vermont heeft gedaan (pdf). Het gaat hier om een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen niet detecteren en blokkeren. Door op het Norton-account in te loggen heeft de aanvaller naam, telefoonnummer en adresgegevens in handen buitgemaakt. "We kunnen niet uitsluiten dat de ongeautoriseerde derde partij de gegevens in de wachtwoordmanager heeft verkregen, met name als je Password Manager key gelijk is, of erg lijkt, op die van je Norton-account", aldus de brief. De aanvaller kan de inloggegevens in de kluis vervolgens zelf gebruiken of delen met anderen, zo stelt NortonLifeLock verder. Het securitybedrijf heeft het wachtwoord van getroffen klanten gereset en adviseert, als klanten hetzelfde wachtwoord op ander websites gebruiken, het daar ook te wijzigen. Verder stelt NortonLifeLock dat klanten alle in de online wachtwoordmanager opgeslagen wachtwoorden direct moeten wijzigen. Tevens stelt het securitybedrijf dat klanten geregeld hun wachtwoorden zouden moeten wijzigen. Het periodiek wijzigen van wachtwoorden, tenzij er een datalek heeft plaatsgevonden, wordt door beveiligingsexperts en overheidsinstanties juist afgeraden omdat mensen dan vaak een zwakker wachtwoord kiezen. bron: https://www.security.nl

Nog minder dan negentig dagen en dan stopt Microsoft de ondersteuning van Exchange Server 2013, zo heeft het techbedrijf opnieuw gewaarschuwd. Kwetsbaarheden zullen dan niet meer worden verholpen. Hoewel de software blijft werken adviseert Microsoft organisaties om zo snel mogelijk naar Exchange Online of Exchange Server 2019 te migreren. Exchange Server 2013 verscheen in juli 2012. Op 11 april is de mailserversoftware "end of support" en biedt Microsoft geen ondersteuning meer. "Bij het uitfaseren van Exchange 2013 zijn de belangrijkste overwegingen het plannen van de uitfasering en monitoring, om zeker te weten dat niets meer met de te verwijderen servers verbinding maakt", zo liet het techbedrijf afgelopen augustus nog weten. bron: https://www.security.nl

Een zerodaylek in FortiOS SSL-VPN, waardoor een aanvaller op afstand kwetsbare vpn-servers kan overnemen, is gebruikt tegen overheden en grote organisaties waarbij de gebruikte malware alle sporen uit de logbestanden kan wissen, zo stelt Fortinet. Een maand geleden kwam Fortinet met een waarschuwing en beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-42475. Het beveiligingslek werd al voor het uitkomen van de patch misbruikt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Bij de initiële waarschuwing gaf Fortinet geen details, maar heeft dat in een nieuwe analyse nu wel gedaan. Zo is de kwetsbaarheid, een heap-based buffer overflow in SSLVPNd, gebruikt tegen overheden en grote organisaties. "De complexiteit van de exploit suggereert een geavanceerde actor en een zeer gerichte inzet tegen overheden of overheidsgerelateerde doelwitten", aldus onderzoeker Carl Windsor. Zodra de aanvallers toegang hebben wordt er malware op de vpn-server geïnstalleerd die het loggingproces van FortiOS aanpast, om zo logbestanden te manipuleren en detectie te voorkomen. FortiOS is het besturingssystemen van Fortinet en draait op de producten van het bedrijf. Zo kan de aanvaller specifieke strings opgeven die uit de logbestanden worden verwijderd. Ook kan de malware het loggingproces uitschakelen. Volgens Windsor blijkt uit de gebruikte exploit dat de aanvaller een uitgebreide kennis van FortiOS en de onderliggende hardware heeft. "Het gebruik van custom implants laat zien dat de aanvaller over geavanceerde mogelijkheden beschikt, waaronder het reverse engineeren van verschillende onderdelen van FortiOS", aldus de onderzoeker. In de nieuwe analyse over de kwetsbaarheid zijn ook verschillende Indicators of Compromise gegeven, zoals ip-adressen, hashes en bestanden, waarmee organisaties kunnen controleren of ze zijn gecompromitteerd. bron: https://www.security.nl

Een beruchte spionagegroep, verantwoordelijk voor de "Cloud Hopper" campagne uit 2017, maakt nu gebruik van de populaire mediaspeler VLC Media Player voor het laden van Cobalt Strike, software ontwikkeld voor het uitvoeren van penetratietests. Dat meldt antivirusbedrijf Trend Micro in een analyse. De aanval maakt gebruik van malafide websites en "SEO poisoning" om medewerkers van interessante organisaties met malware te vinden. Zodra die op bepaalde termen zoeken verschijnen de malafide websites in de zoekresultaten. Deze malafide sites doen zich bijvoorbeeld voor als forum en bevatten linkjes naar zip-bestanden. Dit zip-bestand bevat malafide code, de gootkit loader, die uiteindelijk VLC Media Player downloadt. VLC Media Player wordt vervolgens gebruikt voor het laden van een dll-bestand, dat een module van Cobalt Strike is. De software is zoals gezegd ontwikkeld voor gebruik bij penetratietests, maar wordt zeer geregeld door cybercriminelen en spionagroepen gebruikt. Via Cobalt Strike is het mogelijk om een besmet systeem op afstand opdrachten te geven. "Het gebruik van legitieme tools is inmiddels gemeengoed", aldus onderzoeker Hitomi Kimura. Hij vermoedt dat aanvallers op deze manier antivirussoftware willen omzeilen en menselijke controle proberen te misleiden. Eind december waarschuwde de Australische overheid dat het de gootkit loader op meerdere Australische netwerken had waargenomen. Volgens Trend Micro zit een spionagegroep genaamd APT10 achter de aanval, ook bekend als Potassium. De groep kwam in 2017 groot in het nieuws omdat het bij meerdere cloudproviders en managed serviceproviders had ingebroken om zo toegang tot allerlei organisaties wereldwijd te krijgen. De aanvalscampagne kreeg de naam Cloud Hopper. Twee vermeende leden van de groep werden in 2018 door de Verenigde Staten aangeklaagd. bron: https://www.security.nl

Aanvallers maken gebruik van een zeven jaar oude kwetsbaarheid in een Intel-driver om antivirussoftware op aangevallen systemen te omzeilen, zo stelt securitybedrijf CrowdStrike. Het gaat om een kwetsbaarheid in de Intel ethernet diagnostics driver aangeduid als CVE-2015-2291. Via het beveiligingslek kan een aanvaller code met kernelrechten uitvoeren. Zo is het bijvoorbeeld mogelijk om een malafide kerneldriver te laden. Via deze driver is het vervolgens mogelijk om aanwezige antivirus- of beveiligingssoftware te omzeilen, zodat bijvoorbeeld ransomware kan worden uitgerold. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren. De afgelopen maanden bleken aanvallers onder andere een anti-cheatdriver van de videogame Genshin Impact en drivers van antivirusbedrijf Avast en moederbordfabrikanten MSI en Gigabyte bij ransomware-aanvallen te hebben gebruikt voor het neutraliseren van antivirussoftware. Nu kan ook de Intel-driver hieraan worden toegevoegd. Om Windowscomputers tegen kwetsbare drivers te beschermen zijn Windows 10, 11 en Server 2016 en nieuwer voorzien van een blocklist die via Windows Update wordt bijgewerkt. Op de lijst staan kwetsbare drivers die Windows niet zal laden. Het automatisch bijwerken van de lijst is op Windows 10 was echter drie jaar lang niet gebeurd, zo ontdekte beveiligingsonderzoeker Will Dormann eind vorig jaar. Microsoft zou het probleem inmiddels hebben verholpen. bron: https://www.security.nl