Captain Kirk

Mijn eerste gedachte is problemen met de sim-kaart. Misschien kun je deze eens in een ander toestel steken of laten testen in een telefoonwinkel. Een tweede optie is het uitvoeren van een factory-reset. Maar hou daar wel rekening mee dat je dan alles aan telefoonnumers, foto's e.d. kwijt raakt.

Antivirusbedrijf Bitdefender heeft een gratis decryptietool voor de LockerGoga-ransomware gepubliceerd, nadat de Zwitserse autoriteiten tal van decryptiesleutels in handen kregen. Eerder verscheen er ook al een gratis decryptor voor slachtoffers van de LockerGoga-ransomware. Vorige maand meldden de Zwitserse autoriteiten dat ook de MegaCortex-encryptie was gekraakt. Eind 2021 vond er een internationale politieoperatie plaats tegen verdachten die van de LockerGoga- en MegaCortex-ransomware gebruik zouden hebben gemaakt. Eerder waren de Nederlandse autoriteiten al een onderzoek naar de bende achter de ransomware-aanvallen gestart. Die wordt verantwoordelijk gehouden voor het maken van achttienhonderd slachtoffers in meer dan zeventig landen. De hierbij veroorzaakte schade wordt op 104 miljoen dollar geschat. Tijdens het onderzoek wist het Team High Tech Crime (THTC) van de politie informatie te achterhalen over systemen van bedrijven die wereldwijd waren geïnfecteerd, maar waar de ransomware nog niet was geactiveerd. Vervolgens werden deze bedrijven door het THTC en Nationaal Cyber Security Centrum (NCSC) gewaarschuwd, zodat ze maatregelen konden nemen om de ransomware te verwijderen. Het Zwitserse openbaar ministerie liet vorig jaar september weten dat het tijdens het onderzoek naar een verdachte in deze zaak op een onderzochte datadrager tal van decryptiesleutels heeft aangetroffen. Deze sleutels zijn met Bitdefender gedeeld, zodat het gratis decryptietools voor getroffen organisaties kon ontwikkelen. bron: https://www.security.nl

Softwarebedrijf Zoho adviseert klanten om een kwetsbaarheid in ManageEngine Password Manager Pro, PAM360 en Access Manager Plus direct te patchen. Beveiligingslekken in deze software zijn in het verleden vaker doelwit van aanvallen geweest. Password Manager Pro is een "gecentraliseerde wachtwoordkluis" die bedrijven zelf kunnen hosten. Volgens ManageEngine loggen elke dag meer dan 300.000 systeembeheerders en eindgebruikers op de wachtwoordmanager in en worden daarmee miljoenen wachtwoorden beheerd. PAM360 is een "privileged access management" oplossing, waarmee organisaties rechten en toegangsbeheer van medewerkers kunnen beheren en monitoren. Met Access Manager Plus is het mogelijk voor organisaties om de toegang tot remote systemen te beheren. Door middel van SQL-injection is het mogelijk voor een aanvaller om toegang tot de database van de softwareoplossingen te krijgen. "Gegeven de ernst van deze kwetsbaarheid worden klanten ten zeerste aangeraden om meteen naar de laatste versie van PAM360, Password Manager Pro en Access Manager Plus te upgraden", aldus het beveiligingsbulletin. Twee dagen geleden besloot Zoho klanten opnieuw voor het lek (CVE-2022-47523) te waarschuwen en op de beschikbaarheid van de beveiligingsupdate te wijzen. bron: https://www.security.nl

Zo'n 66.000 Microsoft Exchange-servers zijn kwetsbaar voor de ProxyNotShell-aanval omdat beheerders hebben nagelaten beschikbare beveiligingsupdates te installeren, zo stelt de Shadowserver Foundation op basis van eigen onderzoek. In Nederland gaat het om zo'n tweeduizend servers. Shadowserver verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). Ook voert het scans uit naar kwetsbare systemen. Via Twitter meldt de stichting dat zo'n 66.000 Exchange-servers de beveiligingsupdate voor de kwetsbaarheid aangeduid als CVE-2022-41082, ook bekend als ProxyNotShell, missen. CVE-2022-41082 maakt remote code execution (RCE) mogelijk wanneer PowerShell voor een aanvaller toegankelijk is. Het beveiligingslek werd bij zeroday-aanvallen ingezet, zo waarschuwde Microsoft op 29 september. Als tijdelijke oplossing kwam het techbedrijf met url-rewrites om aanvallen te voorkomen. Op 8 november verscheen er een beveiligingsupdate voor de actief aangevallen kwetsbaarheid. Bijna twee maanden verder blijkt dat deze patch nog altijd op 66.000 Exchange-servers niet is geïnstalleerd. Het grootste deel daarvan bevindt zich in de Verenigde Staten en Duitsland, met respectievelijk 16.000 en 12.000 servers. De Shadowserver Foundation roept organisaties dan ook op om de update te installeren, aangezien de url-rewrite die Microsoft als mitigatie aanbood niet blijkt te werken. bron: https://www.security.nl

Synology heeft een belangrijke beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor vpn-routers op afstand zijn over te nemen. De impact van het beveiligingslek, aangeduid als CVE-2022-43931, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Synology biedt VPN Plus Server, software waarmee een Synology-router tot vpn-server is "om te toveren". Een out-of-bounds write kwetsbaarheid in de remote desktopfunctionaliteit maakt het mogelijk voor een aanvaller om op afstand willekeurige commando's op de router uit te voeren. Het beveiligingslek werd zelf door Synology gevonden. Gebruikers wordt aangeraden om naar de laatste versie van VPN Plus Server te updaten. bron: https://www.security.nl

Het is de hoogste tijd om de term "ransomware" door een alternatief te vervangen, aangezien bij veel aanvallen door ransomwaregroepen helemaal geen data meer wordt versleuteld. Dat vindt antivirusbedrijf Emsisoft. De eerste ransomware-aanvallen waren eenvoudig en voornamelijk geautomatiseerd. Vaak waren eindgebruikers het doelwit. Tegenwoordig zijn de aanvallen complexer en is er sprake van "human-operated ransomware" gericht op bedrijven, waarbij aanvallers veel meer "handwerk" verrichten voor het binnendringen van organisaties en verspreiden van de ransomware. Daarnaast is het gemeengoed voor ransomwaregroepen om voor het uitrollen van ransomware eerst gevoelige data te stelen, om daarmee getroffen organisaties af te persen als ze het gevraagde losgeld niet betalen. Volgens Emsisoft is het versleutelen van data de laatste stap in de aanval, als die al plaatsvindt. "Om het anders te zeggen, aanvallen kunnen ook bestaan uit alleen het stelen van data, zelfs wanneer ze worden uitgevoerd door groepen die normaliter data versleutelen", aldus Emsisoft. De virusbestrijder stelt dan ook dat ransomwaregroepen ransomwareloze aanvallen uitvoeren. "Dit zorgt voor verwarring bij het bijhouden van statistieken wat als "ransomware" aanval moet worden gezien en wat niet." Volgens Emsisoft kunnen dergelijke incidenten beter worden bestempeld als "data extortion events", waarbij er sprake is van encryptie-gebaseerde data-afpersing en data-afpersing op basis van gestolen gegevens, die elkaar niet hoeven uit te sluiten. "Deze omschrijvingen zijn mogelijk geen ideale vervanging voor "ransomware", maar we zijn er zeker van dat iemand met betere alternatieven kan komen." bron: https://www.security.nl

De criminelen achter de BlackCat-ransomware, ook bekend als ALPHV, hebben gegevens van een accountantskantoor via een nagemaakte website van het slachtoffer gelekt. De website is via het 'gewone' internet bereikbaar en gebruikt een domeinnaam die erg op dat van het getroffen accountantskantoor lijkt. Dat laten beveiligingsonderzoekers Dominic Alvieri en Brett Callow weten. Het is inmiddels voor veel ransomwaregroepen standaard om bij een aanval ook gevoelige data van een getroffen organisatie te stelen. Als de organisatie het gevraagde losgeld niet betaalt wordt de gestolen informatie via de eigen website van de ransomwaregroep openbaar gemaakt. Deze websites worden gehost op het Tor-netwerk en vereisen het gebruik van Tor-browser om te worden bezocht. Eind december maakte de groep bekend dat een Amerikaans accountkantoor slachtoffer was geworden. In plaats van de gestolen gegevens via de eigen website te lekken, creëerde de ransomwaregroep een bijna identieke website van het accountkantoor en registreerde hiervoor een aparte, lijkende domeinnaam. Via de website kan op gestolen gegevens worden gezocht, waaronder klantenaudits en kopieën van paspoorten. Mogelijk dat de groep denkt op deze manier extra druk op het accountantskantoor uit te kunnen oefenen. Het Nederlandse vaccinbedrijf Bilthoven Biologicals werd afgelopen september getroffen door de BlackCat-ransomware, en eerder werd ook ID-ware slachtoffer, dat toegangssystemen levert aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. bron: https://www.security.nl

Aanvallers maken gebruik van dertig kwetsbare plug-ins en themes om WordPress-sites met een backdoor te infecteren, zo meldt antivirusbedrijf Doctor Web. Sommige van de gebruikte kwetsbaarheden zijn zeven jaar oud. Zodra er toegang tot de WordPress-sites is verkregen injecteren de aanvallers malafide code op de webpagina's, die bezoekers doorstuurt naar een website van de aanvallers. Volgens marktvorser W3Techs maakt 43,1 procent van alle websites op internet gebruik van WordPress. Geregeld worden er kwetsbaarheden in plug-ins en themes voor WordPress-sites gevonden. Beheerders blijken in de praktijk beschikbare updates niet te installeren, waardoor aanvallers nog altijd succesvol zijn met oude kwetsbaarheden. Zo stammen drie van de beveiligingslekken waar aanvallers gebruik van maken uit 2016 en 2019, zo laat Doctor Web weten. Aanvallers maken gebruik van dertig kwetsbare plug-ins en themes om WordPress-sites met een backdoor te infecteren, zo meldt antivirusbedrijf Doctor Web. Sommige van de gebruikte kwetsbaarheden zijn zeven jaar oud. Zodra er toegang tot de WordPress-sites is verkregen injecteren de aanvallers malafide code op de webpagina's, die bezoekers doorstuurt naar een website van de aanvallers. Volgens marktvorser W3Techs maakt 43,1 procent van alle websites op internet gebruik van WordPress. Geregeld worden er kwetsbaarheden in plug-ins en themes voor WordPress-sites gevonden. Beheerders blijken in de praktijk beschikbare updates niet te installeren, waardoor aanvallers nog altijd succesvol zijn met oude kwetsbaarheden. Zo stammen drie van de beveiligingslekken waar aanvallers gebruik van maken uit 2016 en 2019, zo laat Doctor Web weten. bron: https://www.security.nl

De ontwikkelaars van machine learning framework PyTorch hebben gebruikers gewaarschuwd dat een recente nightly-versie malware bij gebruikers installeerde. PyTorch is een opensourceproject en wordt onder andere gebruikt voor computer vision en natural language processing. Bij de installatie van de nightly-versie tussen 25 december en 30 december vorig jaar via pip, werd er een dependency genaamd torchtriton geïnstalleerd. De nightly-versie van PyTorch installeert standaard vanuit de eigen repository een package genaamd torchtriton. Een aanvaller had op de Python Package Index (PyPI) een package met dezelfde naam geupload die malware bevatte. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. De malafide code wordt uitgevoerd bij het importeren van de triton-package, wat geen standaardgedrag van PyTorch is, aldus het ontwikkelteam. Dat laat verder weten dat het afgelopen vrijdag ontdekte dat de malafide versie van torchtriton naar de Python Package Index (PyPI) code repository was geüpload. Aangezien repositories die via PyPI worden gehost bij de installatie via pip voorrang krijgen, werd de malafide versie geïnstalleerd in plaats van de versie uit de officiële repository. "Deze opzet maakte het mogelijk voor iemand om een package te registreren als degene die in een third-party index bestond, en pip zal deze versie standaard installeren", aldus het ontwikkelteam. De malafide versie verzamelt systeeminformatie en leest informatie uit verschillende bestanden, waaronder /etc/hosts en /etc/passwd. Vervolgens wordt de informatie naar een domein geüpload. PyTorch heeft de dependency voor torchtriton in de nightly-versies verwijderd en het PyPI securityteam gevraagd om eigenaar van de torchtriton-package in PyPI te worden. Verder krijgen gebruikers van de nightly-versie het advies om torchtriton meteen te verwijderen. Gebruikers van PyTorch stable packages zijn niet door de aanval geraakt. bron: https://www.security.nl

Muziekstreamingdienst Deezer heeft de privégegevens van 229 miljoen gebruikers gelekt. Het gaat om e-mailadressen, ip-adressen, namen, gebruikersnamen, geslacht, geboortedatum en geografische locatie van klanten. Volgens Deezer werden de gegevens door een derde partij verwerkt, waar het datalek zich in 2019 voordeed. Afgelopen november verscheen de data op internet en maakte Deezer het datalek bekend. Verdere details over het datalek zijn niet door Deezer gegeven, behalve dat de niet nader genoemde derde partij sinds 2020 niet meer voor Deezer werkt. Verder laat het bedrijf weten dat er geen paswoordgegevens zijn buitgemaakt. Wel worden gebruikers uit voorzorg aangeraden om hun wachtwoord te wijzigen. De 229 miljoen e-mailadressen van Deezer-gebruikers zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de bij Deezer buitgemaakte e-mailadressen was 49 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Mozilla heeft besloten om de user-agent van Firefox te wijzigen omdat meerdere websites de browser als Internet Explorer 11 beschouwen. De user-agent-string, die met elk http-request naar een website wordt verstuurd, bevat informatie over onder andere het besturingssysteem van de gebruiker, gebruikte browser en versienummer, apparaatmodel en onderliggende architectuur. Websites gebruiken de user-agent onder andere om te bepalen wat voor soort browser de bezoeker gebruikt om vervolgens de code te laden die met de browser compatibel is. Een verkeerde detectie van de browser kan dan ook voor een niet goed werkende website zorgen. Firefox versie 110 moet nog verschijnen, maar uit een vroege testversie blijkt dat meerdere websites deze versie als Internet Explorer 11 beschouwen. Aanleiding is de aanwezigheid van de string "rv:110.0" in de user-agent van Firefox 110. Sommige websites zien in de detectie van de user-agent "11" staan en denken dat het om Internet Explorer 11 gaat. Als oplossing heeft Mozilla besloten om in nieuwere versies "rv:109.0" te gebruiken. Bij de release van Firefox 120, die gepland staat voor 21 november 2023, zal deze tijdelijke fix weer worden verwijderd. bron: https://www.security.nl

Jammer dat het niet direct werkt, maar uit ervaring...het is inderdaad vaak puzzelen en proberen.

Ik begrijp niet helemaal wat je precies wilt. Zou je een paar fotootjes kunnen toevoegen? ps. Ik weet niet of ik op kort termijn kan reageren ivm drukke werkdagen. Maar misschien kan iemand anders je aan de hand van je foto's ook advies geven.

Ik ben bang dat inderdaad de leeftijd hier parten speelt. Waarschijnlijk is een onderdeel op de printplaat niet meer 100% ok. Je ziet wel eens dat de condensatoren op de print bol zijn gaan staan. (Zie foto) Of in de loop der jaren zijn contacten op de print los geraakt. Dit is zo goed als niet meer te verhelpen. Vaak is een nieuwe print installeren even kostbaar of soms zelfs kostbaarder dan een nieuwe printer aanschaffen.

Criminelen maken gebruik van twee bekende kwetsbaarheden in Microsoft Exchange om organisaties met de Play-ransomware te infecteren. Onlangs werden de gemeente Antwerpen en Duitse hotelketen H-Hotels slachtoffer van de Play-ransomware. Hoe deze aanvallen konden plaatsvinden is niet bekendgemaakt, maar securitybedrijf Crowdstrike meldt dat verschillende recente aanvallen met de Play-ransomware via twee kwetsbaarheden in Microsoft Exchange plaatsvonden. Het gaat om de beveiligingslekken aangeduid als CVE-2022-41080 en CVE-2022-41082. Microsoft waarschuwde eind september dat aanvallers actief misbruik van CVE-2022-41082 en nog een andere Exchange-kwetsbaarheid maakten. Om organisaties te beschermen kwam het techbedrijf met tijdelijke mitigatiemaatregelen die uit url-rewrites bestonden. Via deze url-rewrites moest misbruik van de twee beveiligingslekken worden voorkomen. Op 8 november kwam Microsoft met beveiligingsupdates om de twee kwetsbaarheden te verhelpen. Aanvallers blijken CVE-2022-41080 en CVE-2022-41082 nu te gebruiken om Exchange-servers op afstand over te nemen. Daarbij maken ze gebruik van een nieuwe exploitmethode die de door Microsoft aanbevolen url-rewrites omzeilt, aldus Crowdstrike. Zodra de aanvallers toegang hebben installeren ze de software AnyDesk en Plink om toegang te behouden. Vervolgens worden de Windows Event Logs gewist, gegevens gestolen en ransomware uitgerold. De aanval werkt niet tegen organisaties die de beschikbare beveiligingsupdates hebben geïnstalleerd. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om de broncode van authenticatiedienst Okta te stelen, zo heeft het softwarebedrijf in een e-mail aan klanten laten weten. Vandaag komt Okta ook met een verklaring op het eigen blog. Het softwarebedrijf stelt dat het begin deze maand door GitHub werd ingelicht over verdachte toegang tot de repositories met broncode. Verder onderzoek wees uit dat er inderdaad ongeautoriseerde toegang tot de repositories heeft plaatsgevonden en broncode is gekopieerd. Okta claimt dat het voor de veiligheid van de diensten die het biedt niet afhankelijk is van de vertrouwelijkheid van de broncode. Wel is de integriteit van de broncode op GitHub gecontroleerd en zijn inloggegevens voor het ontwikkelaarsplatform aangepast, zo staat in de e-mail waarover Bleeping Computer bericht. Verdere details over de inbraak en diefstal, zoals hoe die kon plaatsvinden, zijn niet gegeven. Okta biedt oplossingen voor identity en access management. "Meer dan 15.000 wereldwijde merken vertrouwen de beveiliging van hun digitale interacties met werknemers en klanten toe aan Okta", zo laat het bedrijf op de eigen website weten. Okta had vorig jaar een omzet van 1,3 miljard dollar en telt vijfduizend medewerkers. Het is niet het eerste beveiligingsincident dit jaar waar Okta mee te maken krijgt. Begin dit jaar wisten ook criminelen achter de Lapsus$-groep toegang tot systemen van Okta en klantgegevens te krijgen. bron: https://www.security.nl

Nog een aantal dagen en dan schakelt Microsoft Basic Authentication uit in Exchange Online. Klanten die hier nog steeds gebruik van maken hebben dan geen toegang meer tot hun e-mail, zo waarschuwt het techbedrijf. Het proces om Basic Authentication uit te faseren heeft meer dan drie jaar in beslag genomen en is volgens Microsoft nodig vanwege de toegenomen risico's van deze inlogmethode. Bij Basic Authentication wordt er ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen. Vanaf 1 oktober is Microsoft al begonnen om bij willekeurige klanten Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell uit te zetten. Klanten werden hier zeven dagen van tevoren over ingelicht en op de dag dat de aanpassing plaatsvond. Klanten hadden echter wel de optie om Basic Authentication weer in te schakelen. Begin januari volgend jaar wordt Basic Authentication permanent uitgeschakeld en kunnen klanten het niet meer inschakelen. Clients en apps die vervolgens willen inloggen en nog steeds van Basic Authentication voor de betreffende protocollen gebruikmaken krijgen dan een "bad username/password/HTTP 401" foutmelding. De enige oplossing is de client of app te updaten of een andere client of app te gebruiken die Modern Authentication ondersteunt. "Het heeft meer dan drie jaar geduurd om hier te komen en we weten dat het ook veel heeft gevraagd van klanten, partners en ontwikkelaars", aldus het Microsoft Exchange Team. "Samen hebben hebben we de security verbeterd." bron: https://www.security.nl

Microsoft heeft eind juli een kwetsbaarheid in macOS ontdekt waardoor de Gatekeeper-beveiliging van het besturingssysteem is te omzeilen. Apple kwam op 24 oktober met een update voor het probleem (CVE-2022-42821), maar vermeldde dit in eerste instantie niet in het beveiligingsbulletin. De kwetsbaarheid werd pas vorige week door Apple aan de reeks met opgeloste problemen toegevoegd. Gatekeeper moet ervoor zorgen dat alleen vertrouwde apps worden uitgevoerd. De kwetsbaarheid die Microsoft-onderzoeker Jonathan Bar Or ontdekte maakte het mogelijk om deze controle te omzeilen. Wanneer Mac-gebruikers een applicatie via de browser downloaden wordt er een speciaal attribuut aan het gedownloade bestand toegevoegd. Dit attribuut wordt vervolgens gebruikt voor de Gatekeeper-controle. Gatekeeper kijkt of het om een gesigneerd en door Apple goedgekeurd bestand gaat. Vervolgens verschijnt er een prompt voordat de app wordt gestart. Is de app niet gesigneerd en door Apple genotarized, dan zal de gebruiker een waarschuwing te zien krijgen dat de app niet kan worden gestart. Bar Or ontdekte dat het door middel van Access Control Lists (ACLs), een mechanisme voor het instellen van permissies van bestanden of directories, mogelijk is om ervoor te zorgen dat het speciale attribuut niet aan het gedownloade bestand kan worden toegevoegd. Daardoor ziet macOS het niet als een bestand afkomstig van internet en zal het gewoon zonder verdere meldingen uitvoeren. Om misbruik van de kwetsbaarheid te maken zou een slachtoffer wel eerst een malafide bestand moeten downloaden en openen. bron: https://www.security.nl

Het op privacy gerichte besturingssysteem Tails heeft naar eigen zeggen de "belangrijkste" nieuwe versie in jaren uitgebracht. Zo zijn er allerlei aanpassingen in de persistente opslag doorgevoerd, is het ontwerp en bestaande features aangepast, is de bruikbaarheid verbeterd en security verder aangescherpt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. Een belangrijke aanpassing in Tails 5.8 betreft de Persistent Storage. Dit is een versleutelde partitie op de usb-stick beveiligd met een passphrase. Na meer dan twee jaar is de feature compleet herontworpen. Zo is het niet meer nodig om het systeem opnieuw op te starten na het aanmaken van de Persistent Storage of activeren van een nieuwe feature. Ook is het nu mogelijk om het wachtwoord van de Persistent Storage aan te passen. Daarnaast is weergavesysteem X.Org vervangen door Wayland, dat volgens de Tails-ontwikkelaars meer 'security in depth' biedt. Daardoor is ook besloten om de Unsafe Browser weer in te schakelen. Deze browser maakt in tegenstelling tot de standaardbrowser geen gebruik van het Tor-netwerk en kan bijvoorbeeld worden gebruikt om verbinding met wifi-portalen te maken. Vanwege een kwetsbaarheid werd eerder besloten om de Unsafe Browser uit te schakelen, maar vanwege de extra veiligheid die Wayland biedt is de browser weer ingeschakeld. Updaten naar de nieuwe Tails-versie kan handmatig of automatisch. bron: https://www.security.nl

Let's Encrypt ondersteunt sinds een aantal dagen een andere manier voor het bevestigen van aangevraagde tls-certificaten, wat moet voorkomen dat aanvallers een certificaat in handen kunnen krijgen. Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en bezoekers en identificatie. Let's Encrypt, dat gratis tls-certificaten uitgeeft, beschikt over verschillende methodes om te controleren of de aanvrager van een certificaat ook de eigenaar van het bijbehorende domein is. Een van de methodes is domeinvalidatie. Daarbij genereert de certificaatautoriteit een willekeurige string die de certificaataanvrager via zijn domein beschikbaar moet maken, bijvoorbeeld via http of een dns txt-record. Daarmee kan de aanvrager aangeven dat hij controle over het domein heeft, en dus de legitieme beheerder is. Bij het uitvoeren van domeinvalidatie is er echter nog geen certificaat. Wanneer de certificaatautoriteit (CA) verifieert dat het domein over de vereiste string beschikt gebeurt dit dan ook via het onversleutelde http, wat kwetsbaar is voor man-in-the-middle-aanvallen. "We hebben dus een heel proces om websites certificaten van certificaatautoriteiten te laten krijgen, om ervoor te zorgen dat ze niet kwetsbaar voor man-in-the-middle-aanvallen zijn, waar in het gebruikte proces een certificaatautoriteit een website verifieert op een manier die kwetsbaar is voor man-in-the-middle-aanvallen. Als je niet bekend bent met de CA-industrie, zie je misschien niet de logica hier", zegt webontwikkelaar Hugo Landau. Uitgegeven certificaten worden bijgehouden in Certificate Transparency (CT) logs. Zelfs wanneer een aanvaller de validatie van een domein door een certificaatautoriteit via een man-in-the-middle-aanval weet te onderscheppen, en zo het certificaat in handen krijgt, is het voor de echte domeineigenaar zichtbaar in het CT-log. Ondanks de kwetsbaarheid van het domeinvalidatiemodel, blijkt het verkeerd uitgeven van certificaten een zeldzaamheid te zijn. Dat neemt niet weg dat het model kwetsbaar is voor man-in-the-middle-aanvallen . Sinds een aantal dagen ondersteunt Let's Encrypt echter ACME (Automatic Certificate Management Environment) CAA (Certification Authority Authorization) account and method binding, die deze achterdeur dicht, aldus Landau. Daarbij maakt de certificaataanvrager een specifiek dns-record aan waarin de naam van de certificaatautoriteit staat die voor de domeinnaam een certificaat mag uitgeven en een specifiek account. Dit is dan het account van de certificaataanvrager. Zelfs wanneer een aanvaller een certificaatautoriteit, zoals Let's Encrypt, kan overtuigen dat ze de legitieme eigenaar van een domein zijn, kunnen ze niet zomaar een account bij Let's Encrypt aanmaken en daarmee het certificaat ontvangen. Het CAA-record staat namelijk alleen toe dat een bepaald, door de domeineigenaar opgegeven account, het certificaat aanvraagt. Daarnaast kunnen de aanvallers ook geen certificaatverzoek bij een andere certificaatautoriteit indienen, aangezien in het CAA-record staat dat alleen de opgegeven certificaatautoriteit dit mag doen. bron: https://www.security.nl

Op verschillende torrentwebsites zijn besmette Windows 10 ISO-bestanden aangetroffen die informatie over het systeem verzamelen en naar de aanvallers terugsturen, die vervolgens aanvullende malware kunnen installeren. Volgens securitybedrijf Mandiant zijn de besmette ISO-bestanden gericht op Oekraïense gebruikers en zijn verschillende Oekraïense overheidsinstanties via de malware besmet geraakt. De ISO-bestanden doen zich voor als Windows 10 met een Oekraïens taalpakket. Het gaat hier om een Windows 10 ISO-bestand voor het installeren van Windows 10, aangevuld met een "software piracy script", aldus Mandiant. Dit script schakelt verschillende legitieme Windows-services en -taken uit, alsmede Windows-updates en blokkeert ip-adressen van verschillende legitieme Microsoft-diensten. Ook schakelt het script OneDrive uit en activeert de Windows-licentie. Na de installatie wordt er echter ook informatie over het systeem verzameld en teruggestuurd naar de aanvallers. Die kunnen vervolgens besluiten om aanvullende malware te installeren, zoals een backdoor waarmee controle over het systeem wordt verkregen. Mandiant stelt dat het de malware bij drie verschillende Oekraïense overheidsinstanties heeft aangetroffen. Organisaties worden aangeraden om software alleen via de officiële website van de leverancier te downloaden. Zo zijn ISO-bestanden voor Windows 10 te downloaden via de website van Microsoft. bron: https://www.security.nl

Google heeft Gmail on the web voor bedrijven voorzien van client-side encryptie. Het gaat hier niet om end-to-end encryptie, zoals Google ook uitlegt. Bij end-to-end encryptie kunnen alleen ontvanger en afzender de inhoud van berichten lezen. In het geval van client-side encryptie heeft de systeembeheerder van het bedrijf beschikking over de sleutels van gebruikers en kan zo de inhoud van uitgewisselde berichten controleren. Het is echter niet mogelijk voor Google om de inhoud van berichten te lezen, zo stelt het bedrijf in een uitleg over de feature. Bij client-side encryptie voor Gmail on the web wordt de e-mail in de browser van de gebruiker versleuteld voordat die wordt verstuurd. Clients maken hierbij gebruik van encryptiesleutels die in een cloudgebaseerde key management service zijn gegenereerd en opgeslagen. Beheerders hebben zo de controle over de sleutels en wie er toegang toe heeft. Zo is het mogelijk om de toegang van gebruikers tot hun sleutels in te trekken, ook wanneer een gebruiker die zelf heeft gegenereerd. Ook kunnen beheerders zo de versleutelde bestanden van gebruikers monitoren. De header van de e-mail, waaronder onderwerp, timestamps en geadresseerden, zijn niet versleuteld. Client-side encryptie, waarmee gebruikers ook met gebruikers van andere e-mailclients versleuteld kunnen mailen, is nu te testen door organisaties die werken met Google Workspace Enterprise Plus, Education Plus en Education Standard. De feature is niet beschikbaar voor Gmail-gebruikers met een persoonlijk Gmail-account of in eenvoudigere zakelijke versies zoals Google Workspace Essentials of G Suite Basic. bron: https://www.security.nl

Microsoft zal op 14 februari volgend jaar een update uitbrengen die Internet Explorer 11 op verschillende versies van Windows 10 permanent uitschakelt. In plaats van een Windows-update zal dit echter via een update voor de Edge-browser gebeuren, zo heeft Microsoft aangekondigd. Afgelopen juni besloot Microsoft al om de support voor IE11 te stoppen en liet destijds weten dat Internet Explorer 11 via een toekomstige Windows-update permanent zou worden uitgeschakeld. De reden dat er nu voor een Edge-update is gekozen is volgens Microsoft dat dit een betere "gebruikerservaring" biedt en organisaties helpt om hun laatste IE11-gebruikers naar Edge te laten overstappen. Microsoft merkt op dat de Edge-update tegelijkertijd onder zowel particuliere als zakelijke systemen wordt uitgerold en gebruikers dit niet ongedaan kunnen maken. Organisaties die nog afhankelijk van IE11 zijn worden dan ook opgeroepen om hun overstap voor 14 februari 2023 af te ronden, aangezien er grootschalige bedrijfsverstoringen kunnen plaatsvinden als gebruikers geen toegang meer tot IE11-afhankelijke applicaties hebben. Gebruikers krijgen een melding te zien wanneer ze naar Edge zijn gemigreerd en wanneer ze op een IE11-icoon klikken worden ze naar Edge doorgestuurd. Organisatie die IE11 nu al willen uitschakelen kunnen hiervoor de Disable IE Policy gebruiken. Op verschillende Windows-versies zal Internet Explorer 11 wel blijven werken en blijft de browser tot het einde van de supportperiode van het besturingssysteem worden ondersteund. Het gaat om Windows 8.1, Windows 7 Extended Security Updates, Windows Server SAC, Windows 10 IoT Long-Term Servicing Channel (LTSC) Windows Server LTSC, Windows 10 client LTSC en Windows 10 China Government Edition. bron: https://www.security.nl

"Je collega's zijn net kerstlampjes. De ene helft doet niets, de andere helft is in de war".

Top. Ik hoop dat dit werkt en zo je kijkplezier vergroot. Ben benieuwd of dit je probleem op lost.