Captain Kirk

Aanvallers zijn erin geslaagd om de broncode van authenticatiedienst Okta te stelen, zo heeft het softwarebedrijf in een e-mail aan klanten laten weten. Vandaag komt Okta ook met een verklaring op het eigen blog. Het softwarebedrijf stelt dat het begin deze maand door GitHub werd ingelicht over verdachte toegang tot de repositories met broncode. Verder onderzoek wees uit dat er inderdaad ongeautoriseerde toegang tot de repositories heeft plaatsgevonden en broncode is gekopieerd. Okta claimt dat het voor de veiligheid van de diensten die het biedt niet afhankelijk is van de vertrouwelijkheid van de broncode. Wel is de integriteit van de broncode op GitHub gecontroleerd en zijn inloggegevens voor het ontwikkelaarsplatform aangepast, zo staat in de e-mail waarover Bleeping Computer bericht. Verdere details over de inbraak en diefstal, zoals hoe die kon plaatsvinden, zijn niet gegeven. Okta biedt oplossingen voor identity en access management. "Meer dan 15.000 wereldwijde merken vertrouwen de beveiliging van hun digitale interacties met werknemers en klanten toe aan Okta", zo laat het bedrijf op de eigen website weten. Okta had vorig jaar een omzet van 1,3 miljard dollar en telt vijfduizend medewerkers. Het is niet het eerste beveiligingsincident dit jaar waar Okta mee te maken krijgt. Begin dit jaar wisten ook criminelen achter de Lapsus$-groep toegang tot systemen van Okta en klantgegevens te krijgen. bron: https://www.security.nl

Nog een aantal dagen en dan schakelt Microsoft Basic Authentication uit in Exchange Online. Klanten die hier nog steeds gebruik van maken hebben dan geen toegang meer tot hun e-mail, zo waarschuwt het techbedrijf. Het proces om Basic Authentication uit te faseren heeft meer dan drie jaar in beslag genomen en is volgens Microsoft nodig vanwege de toegenomen risico's van deze inlogmethode. Bij Basic Authentication wordt er ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen. Vanaf 1 oktober is Microsoft al begonnen om bij willekeurige klanten Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell uit te zetten. Klanten werden hier zeven dagen van tevoren over ingelicht en op de dag dat de aanpassing plaatsvond. Klanten hadden echter wel de optie om Basic Authentication weer in te schakelen. Begin januari volgend jaar wordt Basic Authentication permanent uitgeschakeld en kunnen klanten het niet meer inschakelen. Clients en apps die vervolgens willen inloggen en nog steeds van Basic Authentication voor de betreffende protocollen gebruikmaken krijgen dan een "bad username/password/HTTP 401" foutmelding. De enige oplossing is de client of app te updaten of een andere client of app te gebruiken die Modern Authentication ondersteunt. "Het heeft meer dan drie jaar geduurd om hier te komen en we weten dat het ook veel heeft gevraagd van klanten, partners en ontwikkelaars", aldus het Microsoft Exchange Team. "Samen hebben hebben we de security verbeterd." bron: https://www.security.nl

Microsoft heeft eind juli een kwetsbaarheid in macOS ontdekt waardoor de Gatekeeper-beveiliging van het besturingssysteem is te omzeilen. Apple kwam op 24 oktober met een update voor het probleem (CVE-2022-42821), maar vermeldde dit in eerste instantie niet in het beveiligingsbulletin. De kwetsbaarheid werd pas vorige week door Apple aan de reeks met opgeloste problemen toegevoegd. Gatekeeper moet ervoor zorgen dat alleen vertrouwde apps worden uitgevoerd. De kwetsbaarheid die Microsoft-onderzoeker Jonathan Bar Or ontdekte maakte het mogelijk om deze controle te omzeilen. Wanneer Mac-gebruikers een applicatie via de browser downloaden wordt er een speciaal attribuut aan het gedownloade bestand toegevoegd. Dit attribuut wordt vervolgens gebruikt voor de Gatekeeper-controle. Gatekeeper kijkt of het om een gesigneerd en door Apple goedgekeurd bestand gaat. Vervolgens verschijnt er een prompt voordat de app wordt gestart. Is de app niet gesigneerd en door Apple genotarized, dan zal de gebruiker een waarschuwing te zien krijgen dat de app niet kan worden gestart. Bar Or ontdekte dat het door middel van Access Control Lists (ACLs), een mechanisme voor het instellen van permissies van bestanden of directories, mogelijk is om ervoor te zorgen dat het speciale attribuut niet aan het gedownloade bestand kan worden toegevoegd. Daardoor ziet macOS het niet als een bestand afkomstig van internet en zal het gewoon zonder verdere meldingen uitvoeren. Om misbruik van de kwetsbaarheid te maken zou een slachtoffer wel eerst een malafide bestand moeten downloaden en openen. bron: https://www.security.nl

Het op privacy gerichte besturingssysteem Tails heeft naar eigen zeggen de "belangrijkste" nieuwe versie in jaren uitgebracht. Zo zijn er allerlei aanpassingen in de persistente opslag doorgevoerd, is het ontwerp en bestaande features aangepast, is de bruikbaarheid verbeterd en security verder aangescherpt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. Een belangrijke aanpassing in Tails 5.8 betreft de Persistent Storage. Dit is een versleutelde partitie op de usb-stick beveiligd met een passphrase. Na meer dan twee jaar is de feature compleet herontworpen. Zo is het niet meer nodig om het systeem opnieuw op te starten na het aanmaken van de Persistent Storage of activeren van een nieuwe feature. Ook is het nu mogelijk om het wachtwoord van de Persistent Storage aan te passen. Daarnaast is weergavesysteem X.Org vervangen door Wayland, dat volgens de Tails-ontwikkelaars meer 'security in depth' biedt. Daardoor is ook besloten om de Unsafe Browser weer in te schakelen. Deze browser maakt in tegenstelling tot de standaardbrowser geen gebruik van het Tor-netwerk en kan bijvoorbeeld worden gebruikt om verbinding met wifi-portalen te maken. Vanwege een kwetsbaarheid werd eerder besloten om de Unsafe Browser uit te schakelen, maar vanwege de extra veiligheid die Wayland biedt is de browser weer ingeschakeld. Updaten naar de nieuwe Tails-versie kan handmatig of automatisch. bron: https://www.security.nl

Let's Encrypt ondersteunt sinds een aantal dagen een andere manier voor het bevestigen van aangevraagde tls-certificaten, wat moet voorkomen dat aanvallers een certificaat in handen kunnen krijgen. Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en bezoekers en identificatie. Let's Encrypt, dat gratis tls-certificaten uitgeeft, beschikt over verschillende methodes om te controleren of de aanvrager van een certificaat ook de eigenaar van het bijbehorende domein is. Een van de methodes is domeinvalidatie. Daarbij genereert de certificaatautoriteit een willekeurige string die de certificaataanvrager via zijn domein beschikbaar moet maken, bijvoorbeeld via http of een dns txt-record. Daarmee kan de aanvrager aangeven dat hij controle over het domein heeft, en dus de legitieme beheerder is. Bij het uitvoeren van domeinvalidatie is er echter nog geen certificaat. Wanneer de certificaatautoriteit (CA) verifieert dat het domein over de vereiste string beschikt gebeurt dit dan ook via het onversleutelde http, wat kwetsbaar is voor man-in-the-middle-aanvallen. "We hebben dus een heel proces om websites certificaten van certificaatautoriteiten te laten krijgen, om ervoor te zorgen dat ze niet kwetsbaar voor man-in-the-middle-aanvallen zijn, waar in het gebruikte proces een certificaatautoriteit een website verifieert op een manier die kwetsbaar is voor man-in-the-middle-aanvallen. Als je niet bekend bent met de CA-industrie, zie je misschien niet de logica hier", zegt webontwikkelaar Hugo Landau. Uitgegeven certificaten worden bijgehouden in Certificate Transparency (CT) logs. Zelfs wanneer een aanvaller de validatie van een domein door een certificaatautoriteit via een man-in-the-middle-aanval weet te onderscheppen, en zo het certificaat in handen krijgt, is het voor de echte domeineigenaar zichtbaar in het CT-log. Ondanks de kwetsbaarheid van het domeinvalidatiemodel, blijkt het verkeerd uitgeven van certificaten een zeldzaamheid te zijn. Dat neemt niet weg dat het model kwetsbaar is voor man-in-the-middle-aanvallen . Sinds een aantal dagen ondersteunt Let's Encrypt echter ACME (Automatic Certificate Management Environment) CAA (Certification Authority Authorization) account and method binding, die deze achterdeur dicht, aldus Landau. Daarbij maakt de certificaataanvrager een specifiek dns-record aan waarin de naam van de certificaatautoriteit staat die voor de domeinnaam een certificaat mag uitgeven en een specifiek account. Dit is dan het account van de certificaataanvrager. Zelfs wanneer een aanvaller een certificaatautoriteit, zoals Let's Encrypt, kan overtuigen dat ze de legitieme eigenaar van een domein zijn, kunnen ze niet zomaar een account bij Let's Encrypt aanmaken en daarmee het certificaat ontvangen. Het CAA-record staat namelijk alleen toe dat een bepaald, door de domeineigenaar opgegeven account, het certificaat aanvraagt. Daarnaast kunnen de aanvallers ook geen certificaatverzoek bij een andere certificaatautoriteit indienen, aangezien in het CAA-record staat dat alleen de opgegeven certificaatautoriteit dit mag doen. bron: https://www.security.nl

Op verschillende torrentwebsites zijn besmette Windows 10 ISO-bestanden aangetroffen die informatie over het systeem verzamelen en naar de aanvallers terugsturen, die vervolgens aanvullende malware kunnen installeren. Volgens securitybedrijf Mandiant zijn de besmette ISO-bestanden gericht op Oekraïense gebruikers en zijn verschillende Oekraïense overheidsinstanties via de malware besmet geraakt. De ISO-bestanden doen zich voor als Windows 10 met een Oekraïens taalpakket. Het gaat hier om een Windows 10 ISO-bestand voor het installeren van Windows 10, aangevuld met een "software piracy script", aldus Mandiant. Dit script schakelt verschillende legitieme Windows-services en -taken uit, alsmede Windows-updates en blokkeert ip-adressen van verschillende legitieme Microsoft-diensten. Ook schakelt het script OneDrive uit en activeert de Windows-licentie. Na de installatie wordt er echter ook informatie over het systeem verzameld en teruggestuurd naar de aanvallers. Die kunnen vervolgens besluiten om aanvullende malware te installeren, zoals een backdoor waarmee controle over het systeem wordt verkregen. Mandiant stelt dat het de malware bij drie verschillende Oekraïense overheidsinstanties heeft aangetroffen. Organisaties worden aangeraden om software alleen via de officiële website van de leverancier te downloaden. Zo zijn ISO-bestanden voor Windows 10 te downloaden via de website van Microsoft. bron: https://www.security.nl

Google heeft Gmail on the web voor bedrijven voorzien van client-side encryptie. Het gaat hier niet om end-to-end encryptie, zoals Google ook uitlegt. Bij end-to-end encryptie kunnen alleen ontvanger en afzender de inhoud van berichten lezen. In het geval van client-side encryptie heeft de systeembeheerder van het bedrijf beschikking over de sleutels van gebruikers en kan zo de inhoud van uitgewisselde berichten controleren. Het is echter niet mogelijk voor Google om de inhoud van berichten te lezen, zo stelt het bedrijf in een uitleg over de feature. Bij client-side encryptie voor Gmail on the web wordt de e-mail in de browser van de gebruiker versleuteld voordat die wordt verstuurd. Clients maken hierbij gebruik van encryptiesleutels die in een cloudgebaseerde key management service zijn gegenereerd en opgeslagen. Beheerders hebben zo de controle over de sleutels en wie er toegang toe heeft. Zo is het mogelijk om de toegang van gebruikers tot hun sleutels in te trekken, ook wanneer een gebruiker die zelf heeft gegenereerd. Ook kunnen beheerders zo de versleutelde bestanden van gebruikers monitoren. De header van de e-mail, waaronder onderwerp, timestamps en geadresseerden, zijn niet versleuteld. Client-side encryptie, waarmee gebruikers ook met gebruikers van andere e-mailclients versleuteld kunnen mailen, is nu te testen door organisaties die werken met Google Workspace Enterprise Plus, Education Plus en Education Standard. De feature is niet beschikbaar voor Gmail-gebruikers met een persoonlijk Gmail-account of in eenvoudigere zakelijke versies zoals Google Workspace Essentials of G Suite Basic. bron: https://www.security.nl

Microsoft zal op 14 februari volgend jaar een update uitbrengen die Internet Explorer 11 op verschillende versies van Windows 10 permanent uitschakelt. In plaats van een Windows-update zal dit echter via een update voor de Edge-browser gebeuren, zo heeft Microsoft aangekondigd. Afgelopen juni besloot Microsoft al om de support voor IE11 te stoppen en liet destijds weten dat Internet Explorer 11 via een toekomstige Windows-update permanent zou worden uitgeschakeld. De reden dat er nu voor een Edge-update is gekozen is volgens Microsoft dat dit een betere "gebruikerservaring" biedt en organisaties helpt om hun laatste IE11-gebruikers naar Edge te laten overstappen. Microsoft merkt op dat de Edge-update tegelijkertijd onder zowel particuliere als zakelijke systemen wordt uitgerold en gebruikers dit niet ongedaan kunnen maken. Organisaties die nog afhankelijk van IE11 zijn worden dan ook opgeroepen om hun overstap voor 14 februari 2023 af te ronden, aangezien er grootschalige bedrijfsverstoringen kunnen plaatsvinden als gebruikers geen toegang meer tot IE11-afhankelijke applicaties hebben. Gebruikers krijgen een melding te zien wanneer ze naar Edge zijn gemigreerd en wanneer ze op een IE11-icoon klikken worden ze naar Edge doorgestuurd. Organisatie die IE11 nu al willen uitschakelen kunnen hiervoor de Disable IE Policy gebruiken. Op verschillende Windows-versies zal Internet Explorer 11 wel blijven werken en blijft de browser tot het einde van de supportperiode van het besturingssysteem worden ondersteund. Het gaat om Windows 8.1, Windows 7 Extended Security Updates, Windows Server SAC, Windows 10 IoT Long-Term Servicing Channel (LTSC) Windows Server LTSC, Windows 10 client LTSC en Windows 10 China Government Edition. bron: https://www.security.nl

"Je collega's zijn net kerstlampjes. De ene helft doet niets, de andere helft is in de war".

Top. Ik hoop dat dit werkt en zo je kijkplezier vergroot. Ben benieuwd of dit je probleem op lost.

En het is ook nog eens het meest vermoeiende. Wanneer je niets doet kun je nooit stoppen om even uit te rusten.

Het klinkt dan inderdaad dat de aansluiting op de tv niet werkt. Het is een omweg, maar heeft de Chromecast ook bluetooth, dan zou je met een bluetooth receiver misschien nog iets kunnen. Maar wat ik al zeg, dat is best een omweg. Een andere optie is een scart-kabel met audio-out optie en deze aansluiten op je versterker. Sommige scart-pluggen hebben een kleine schakelaar voor oudio-uit.

"Helaas zonder resultaat. Die 2 uitgangen op de TV zijn normaal gezien toch analoge uitgangen!!!! Ook zonder Chromecast en laptop aangesloten op TV krijg ik geen geluid uit de TV (3,5mm jack) ( PC audio en Headphone) via RCA > versterker> speakers." Daar heb je gelijk in en je oplossing zou in principe moeten werken. Blijkbaar komt er geen actief signaal uit de 3,5-jack van de tv. Heb je al eens bij de instellingen op je televisie gekeken of je daar niet nog iets moet aanvinken? Bij sommige tv-modellen is dat wel het geval.

Google heeft aan Chrome ondersteuning voor passkeys toegevoegd waarmee gebruikers zonder wachtwoord op accounts kunnen inloggen. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. Wanneer een gebruiker zijn passkeys niet wil synchroniseren over meerdere apparaten is het nog steeds mogelijk om met passkeys in te loggen op een apparaat waar ze niet zijn opgeslagen. Zo is het bijvoorbeeld mogelijk om met een passkey die op een smartphone is gegenereerd op een website op een laptop in te loggen. Zolang de telefoon in de buurt van de laptop is en de gebruiker de inlogpoging goedkeurt op zijn telefoon, kan er vanaf de laptop op de website worden ingelogd. Wel kan de betreffende website aanbieden om ook op de laptop een passkey te genereren, zodat de telefoon de volgende keer niet nodig is om in te loggen. Afgelopen oktober voegde Google al ondersteuning toe voor passkeys in een vroege testversie van Chrome, maar die is nu ook in de release-versie van de browser beschikbaar. Verder laat Google weten dat om passkeys te laten werken, websites wel passkey-support via de WebAuthn API aan hun websites moeten toevoegen. bron: https://www.security.nl

Google moet op verzoek zoekresultaten uit de zoekmachine verwijderen als de verzoeker kan aantonen dat die naar 'overduidelijk onjuiste' informatie wijzen. Dat heeft het Hof van Justitie van de Europese Unie vandaag geoordeeld. Het Hof deed uitspraak in een zaak van twee bestuurders van een groep investeringsmaatschappijen. Die hadden Google verzocht om de links die na een zoekopdracht op hun namen worden getoond en leiden naar bepaalde artikelen waarin het investeringsmodel van deze ondernemingsgroep kritisch wordt voorgesteld, uit de zoekresultaten te verwijderen. De twee bestuurders stellen dat deze artikelen onjuiste beweringen bevatten. Ook verzochten ze Google om de thumbnails die bij de zoekresultaten op hun naam werden getoond te verwijderen. Google weigerde deze verzoeken en wees daarbij naar de professionele context van deze artikelen en foto’s en stelde niet te weten of de informatie in de artikelen al dan niet juist was. Het Hof stelt dat de twee bestuurders onder de AVG een beroep kunnen doen op het recht om vergeten te worden. Voorwaarde is wel dat mensen die zoekresultaten verwijderd willen hebben kunnen aantonen dat de gelinkte informatie 'overduidelijke onjuist' is. Daarbij is het niet nodig dat er eerst een rechterlijke beslissing tegen de betreffende website heeft plaatsgevonden. "Wanneer de persoon die om verwijdering van links heeft verzocht relevante en afdoende bewijzen overlegt die zijn verzoek kunnen staven en aantonen dat de informatie in de gelinkte inhoud kennelijk onjuist is, moet de exploitant van de zoekmachine dit verzoek tot verwijdering van links dus inwilligen", aldus het vonnis van het Hof (pdf). Wat betreft het verwijderen van de thumbnails merkt het Hof op dat Google moet nagaan of het weergeven van deze foto's nodig is voor de uitoefening van het recht op vrije informatie van internetgebruikers die deze foto’s mogelijk zouden willen bekijken. bron: https://www.security.nl

Onderzoekers hebben tijdens de tweede dag van de Pwn2Own-wedstrijd in Toronto laten zien hoe ze een Sonos One Speaker via onbekende kwetsbaarheden op afstand kunnen compromitteren. Voor de eerste demonstratie van de dag ontvingen Toan Pham en Tri Dang van securitybedrijf Qrious Secure een beloning van 60.000 dollar. De hoogste beloning die tot nu toe tijdens de jaarlijkse hackwedstrijd is uitgekeerd. Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte software en hardware. Tijdens Pwn2Own Toronto zijn smartphones, wifi-routers, domocatica-hubs, printers, smart speakers en NAS-apparaten het doelwit. Tijdens de tweede dag lukte het twee teams om op afstand code op de Sonos One Speaker uit te voeren. Een succesvolle aanval tegen smart-speakers wordt beloond met 60.000 dollar. Naast de Sonos kunnen onderzoekers in deze categorie ook kiezen uit de Apple HomePod Mini, Amazon Echo Studio en Google Nest Audio. Alleen de eerste aanval tegen elk apparaat levert de maximale beloning op. De overige aanvallen worden met de helft beloond. Het tweede team, STAR Labs, ontving uiteindelijk een beloning van 22.500 dollar voor hun aanval op de Sonos. Bij de aanval werd namelijk gebruikgemaakt van een kwetsbaarheid die al eerder was gemeld, wat voor een verdere aftrek zorgde. De gedemonstreerde kwetsbaarheden worden met Sonos gedeeld, zodat de fabrikant updates kan ontwikkelen. Tijdens de eerste dag van Pwn2Own Toronto lukte het onderzoekers om in de smartphone-categorie twee keer de Samsung Galaxy S22 te compromitteren. Op de tweede dag werd de telefoon weer gecompromitteerd. Waar een succesvolle aanval tegen een iPhone 13 of Google Pixel 6 tweehonderdduizend dollar oplevert, kreeg het team dat als eerste de Samsung compromitteerde een beloning van vijftigduizend dollar. Vandaag vindt de derde en laatste dag van Pwn2Own Toronto plaats. bron: https://www.security.nl

Het Tor Project heeft een nieuwe versie van Tor Browser uitgebracht die standaard Nederlands en andere talen ondersteunt. Voorheen moesten gebruikers een aparte Nederlandstalige versie van de browser downloaden of een 'language pack' aan de bestaande installatie toevoegen als die nog niet in het Nederlands was. Met Tor Browser 12 zal automatisch de taal van het besturingssysteem als taal voor de browser worden ingesteld. Verder is aan deze versie ook native support voor Apple-chips toegevoegd. Iets wat volgens de Tor-ontwikkelaars geen eenvoudige opgave was. Apple ontwikkelt sinds enige tijd eigen op ARM-gebaseerde chips die een andere architectuur hebben dan de processors van Intel. Bij de installatie van Tor Browser wordt automatisch de juiste versie geïnstalleerd. Tor Browser 12 bevat ook verschillende aanpassingen voor Androidgebruikers. Zo is HTTPS-Only nu ook op dit platform de standaard. Met HTTPS Only maakt de browser standaard alleen verbinding met https-sites. Daarnaast kan de Androidversie van Tor Browser .onion-sites voorrang geven. Dit zijn websites die op het Tor-netwerk worden gehost, waardoor gebruikers het netwerk niet hoeven te verlaten. Volgens het Tor Project biedt dit gebruikers meer privacy. Wanneer gebruikers de optie hebben ingeschakeld en er van de bezochte website ook een .onion-versie beschikbaar is, zal die worden geladen. Updaten naar Tor Browser 12 kan via de automatische updatefunctie of TorProject.org. bron: https://www.security.nl

Microsoft mag eerder dit jaar dan afscheid van Internet Explorer hebben genomen, Zuid-Koreaanse gebruikers van de browser zijn eind oktober nog het doelwit van een zeroday-aanval geworden, aldus Google. Microsoft kwam op 8 november met een beveiligingsupdate voor het zerodaylek, aangeduid als CVE-2022-41128. Volgens Google is de aanval uitgevoerd door een Noord-Koreaanse spionagegroep aangeduid als APT37. Google kwam het zerodaylek op het spoor nadat verschillende mensen vanuit Zuid-Korea een docx-document naar VirusTotal hadden geüpload, de online virusscandienst van Google. Het document bleek een rich text file (RTF) remote template te downloaden, dat weer remote HTML-content laadde. Microsoft Office gebruikt Internet Explorer voor het weergeven van deze content. Aanvallers maken al geruime tijd misbruik van deze methode om exploits voor Internet Explorer via Office-documenten te verspreiden. Een voordeel van deze werkwijze is dat bij het slachtoffer Internet Explorer niet de standaardbrowser hoeft te zijn en ook is een 'escape' uit de Enhanced Protected Mode (EPM) sandbox niet vereist. Wel zouden slachtoffers de 'protected view' van Office moeten uitschakelen voordat het remote template kon worden gedownload. Wat de uiteindelijke 'payload' van de aanval is kon niet door Google worden achterhaald. De spionagegroep heeft in het verleden bij dergelijke aanvallen malware geïnstalleerd waarmee toegang tot het system van slachtoffers werd verkregen. Internet Explorer heeft in Zuid-Korea altijd een groot marktaandeel gehad, maar zoals gezegd maakte dat bij deze aanval niet uit. bron: https://www.security.nl

Op internet zijn duizenden Pulse Connect Secure vpn-servers te vinden die niet up-to-date zijn en zo risico lopen om te worden aangevallen, aldus securitybedrijf Censys. Het bedrijf vond op internet zo'n dertigduizend Pulse Secure vpn-servers waarvan vijftien procent (zo'n 4500) kwetsbaar is. In Nederland gaat het om ruim vijftig servers die achterlopen met beveiligingsupdates. Pulse Connect is een populaire vpn-oplossing waarmee bedrijven hun personeel verbinding met het bedrijfsnetwerk kunnen laten maken. Het is dan ook een interessant doelwit voor aanvallers. Afgelopen april lieten de FBI en Amerikaanse geheime dienst NSA weten dat een kwetsbaarheid in Pulse Secure in de Top 15 van vaak misbruikte kwetsbaarheden van 2021 staat. In 2020 werd bekend dat twee onderdelen van het ministerie van Justitie en Veiligheid maandenlang kwetsbaar waren door een ernstig beveiligingslek in Pulse Secure waarvoor beschikbare beveiligingsupdates niet waren geïnstalleerd. Ondanks de aanvallen op de vpn-software blijkt dat veel organisaties die niet updaten. Censys vond bijna zeventienhonderd vpn-servers die kwetsbaar zijn door beveiligingslekken uit 2018 en 2019. Verder blijkt dat ook ruim achttienhonderd vpn-servers een belangrijke update van vorig jaar april missen die meerdere kritieke kwetsbaarheden verhelpt. In Nederland werden door Censys 870 Pulse Secure vpn-servers gevonden, waarvan er 55 kwetsbaar zijn. Daarmee staat Nederland procentueel in de top wat betreft het aantal niet-kwetsbare machines. Dat komt mede door de overheid, die vorig jaar proactief besloot om bedrijven en organisaties met kwetsbare Pulse Secure vpn-servers te waarschuwen. bron: https://www.security.nl

De manier waarop Facebook en Instagram gepersonaliseerde advertenties aan gebruikers laten zien is in strijd met de AVG, zo hebben de Europese privacytoezichthouders verenigd in de EDPB bepaald. Dat meldt de Wall Street Journal op basis van bronnen. Gerichte advertenties leveren bedrijven zoals Meta zeer veel geld op. Ze mogen echter niet zonder toestemming van de betreffende gebruikers worden getoond, aangezien hiervoor persoonlijke informatie wordt verwerkt. Toen de AVG in mei 2018 van kracht werd dacht Meta deze vereiste te kunnen omzeilen door een bepaling aan de algemene voorwaarden toe te voegen, waardoor gebruikers bij het accepteren van de voorwaarden ook automatisch akkoord gingen met gerichte advertenties. Privacyorganisatie noyb, opgericht door de bekende privacyactivist Max Schrems, diende dezelfde maand nog bij verschillende Europese privacytoezichthouders een klacht in. Aangezien Meta het hoofdkantoor in Ierland heeft leidde de Ierse privacytoezichthouder DPC het onderzoek. De DPC nam ruim vier jaar de tijd voor het onderzoek en koos daarbij in eerste instantie de kant van Meta. De Ierse toezichthouder is nu door de EDPB teruggefloten. De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG). Die hebben nu geoordeeld dat de AVG het niet toestaat dat de platformen van Meta, zoals Facebook en Instagram, hun algemene voorwaarden gebruiken als rechtvaardiging voor gerichte advertenties. Gebruikers moeten expliciet toestemming geven voordat gepersonaliseerde reclame mag worden getoond. De beslissing van de EDPB is nog niet openbaar gemaakt. De Ierse privacytoezichthouder moet nu binnen een maand met een definitief oordeel komen, gebaseerd op het besluit van de EDPB. Dit kan leiden tot een boete van meer dan twee miljard euro voor Meta. "In plaats van een ja/nee optie voor gepersonaliseerde advertenties hebben ze de toestemmingsclausule in de algemene voorwaarden gestopt. Dat is niet alleen oneerlijk, maar duidelijk illegaal. We zijn niet bekend met een ander bedrijf dat de AVG op zo'n arrogante manier heeft geprobeerd te negeren", aldus Max Schrems. Ondanks de trage procedure aan de kant van de Ierse DPC, die geregeld wordt verweten op de hand van techbedrijven te zijn die in Ierland hun Europees hoofdkantoor hebben, is de privacyactivist blij met het oordeel van de EDPB. Volgens Schrems is het oordeel een gigantische klap voor Meta's inkomsten in de Europese Unie. "Mensen moeten nu worden gevraagd of ze willen dat hun data voor advertenties wordt gebruikt of niet. Ze moeten een 'ja of nee' antwoord hebben en kunnen op elk moment hun keuze veranderen. De beslissing zorgt ook voor een gelijk speelveld met andere adverteerders die ook een opt-in toestemming nodig hebben." Schrems voegt toe dat Meta nog in beroep kan tegen de uiteindelijke beslissing, maar dat de kans op een succesvol beroep na de beslissing van de EDPB zeer klein is. Daarnaast kunnen gebruikers mogelijk juridische stappen nemen omdat hun data ruim vier jaar illegaal is gebruikt. bron: https://www.security.nl

Bedrijven die in cryptovaluta investeren zijn het doelwit van een groep geworden die gebruikmaakt van malafide macro's in spreadsheets en zogenaamde cryptodashboards, zo stelt Microsoft. De groep, aangeduid als DEV-0139, benadert slachtoffers in Telegramgroepen, bouwt een vertrouwensrelatie op en verstuurt uiteindelijk de malafide bestanden. In een analyse beschrijft Microsoft hoe de aanvallers een Telegramgroep voor crypto-investeerders gebruikten om hun doelwit te zoeken. Via de Telegramgroep communiceerden vip-klanten en cryptobeurzen met elkaar. Het doelwit werd vervolgens door de aanvallers benaderd, die zich voordeden als medewerker van een ander crypto-investeringsbedrijf en vroegen om aan een andere Telegramgroep deel te nemen. De aanvallers hadden het echte profiel van een medewerker van cryptobeurs OKX gekopieerd. Het slachtoffer werd vervolgens gevraagd om te reageren op de kostenstructuren die cryptobeurzen voor hun transacties toepassen. Deze kosten zijn volgens Microsoft een grote uitdaging voor investeringsfondsen, omdat ze een impact op de marges en winsten kunnen hebben. Dit is een vrij specifiek onderwerp en laat zien dat de aanvallers kennis van de crypto-industie hebben en goed voorbereid waren voordat ze het doelwit benaderden, aldus Microsoft. Nadat ze het vertrouwen van het doelwit hadden gewonnen verstuurden de aanvallers een Excel-document met een malafide macro. Macro's staan vanwege veiligheidsredenen standaard uitgeschakeld in Microsoft Office. Nadat het slachtoffer de macro's inschakelde werd er malware gedownload waarmee de aanvallers op afstand toegang tot zijn systeem kregen. Bij een andere aanval werd een zogenaamd cryptodashboard verstuurd dat in werkelijkheid een backdoor was. Microsoft adviseert organisaties om hun medewerkers te onderwijzen om persoonlijke en zakelijke informatie in social media te beschermen, ongevraagde communicatie te filteren, phishingmails te herkennen en verdachte activiteiten en mogelijke verkenningsaanvallen van aanvallers te rapporteren. Ook moeten gebruikers worden voorgelicht over het voorkomen van malware-infecties via e-mail, chatapps en social media. Tevens adviseert Microsoft het aanpassen van macro-instellingen in Excel. bron: https://www.security.nl

Een onderzoeker van Google heeft een kwetsbaarheid in Microsoft Visual Studio Code gevonden waardoor remote code execution mogelijk is. Alleen het bezoeken van een malafide website of openen van een malafide link is voldoende voor een aanvaller om code op het systeem van gebruikers uit te voeren en machines waar ze via de Visual Studio Code Remote Development feature verbonden mee waren. Het probleem raakte GitHub Codespaces, github.dev, de webversie van Visual Studio Code for Web en in iets mindere mate Visual Studio Code desktop. Google-onderzoeker Thomas Shadwell die het probleem ontdekte stelt dat het om een kritieke kwetsbaarheid gaat, hoewel hij op een andere pagina de impact als 'high' bestempelt. Microsoft classificeert het beveiligingslek als "belangrijk" met een impactscore van 7,8 op een schaal van 1 tot en met 10. Visual Studio Code is een editor voor het ontwikkelen van applicaties. Shadwell ontdekte een manier waardoor het via een malafide link of website mogelijk is om Visual Studio Code remote content van een server te laten laden die in 'trusted mode' op het systeem wordt uitgevoerd, waarmee een aanvaller vervolgens commando's op het systeem kan uitvoeren alsof die van de gebruiker afkomstig zijn. De kwetsbaarheid, aangeduid als CVE-2022-41034, werd op 24 augustus aan Microsoft gerapporteerd en op 11 oktober met een beveiligingsupdate verholpen. bron: https://www.security.nl

Adblock Plus heeft een betaalde versie van de adblocker gelanceerd die gebruikers extra blokkeeropties biedt. De "Premium" versie van Adblock Plus kost twintig euro per jaar, of twee euro per maand. Op dit moment biedt de betaalde versie alleen de optie om pop-ups voor nieuwsbrieven, 'zwevende video's en notificaties op websites automatisch te blokkeren. Het plan is echt er dat er meer opties komen waarmee gebruikers zelf kunnen bepalen wat ze wel en niet op een website te zien krijgen. Zo wordt binnenkort een optie toegevoegd om meer cookiebanners van websites te blokkeren. Een feature die standaard in de Brave-browser aanwezig is en ook aan Firefox wordt toegevoegd. Ook Adblock Plus laat gebruikers al cookiemeldingen blokkeren, maar in de Premium-versie zal het om een verbeterde oplossing gaan. Adblock Plus laat weten dat het de basale blokkeerfuncties in de adblocker gratis houdt, maar dat het met een betaalde versie aanvullende features kan bieden voor gebruikers die meer willen. Gebruikers die in het verleden geld aan Adblock Plus hebben gedoneerd kunnen de Premium-versie gratis gebruiken. bron: https://www.security.nl

Ransomware is de oorzaak dat klanten van Rackspace nog altijd geen toegang tot hun hosted Exchange-omgeving hebben en het is nog altijd onbekend wanneer de dienstverlening volledig is hersteld. Of er bij de aanval ook data is buitgemaakt wordt nog onderzocht, zo laat de hostingprovider vandaag in een update over het incident weten. Om ervoor te zorgen dat klanten toch van e-mail gebruik kunnen maken worden die tijdelijk naar Microsoft Office 365 overgezet. Volgens Rackspace heeft het bedrijf al duizenden klanten geholpen om tienduizenden van hun gebruikers op dit platform te krijgen. Op 2 december meldde Rackspace dat er een probleem was met de hosted Exchange-omgevingen waardoor klanten problemen met de toegang tot hun e-mail hadden. De wachttijden van klanten met vragen werd zo groot dat Rackspace naar eigen zeggen duizend man extra personeel inzette om support te verlenen. Verdere details over het "ransomware incident" zijn niet door Rackspace op dit moment gegeven. Zo is het onbekend hoe de aanvallers toegang tot het systeem konden krijgen en wat er precies heeft plaatsgevonden. Een beveiligingsonderzoeker meldde eerder dat Rackspace vermoedelijk had nagelaten om één van de Exchange-servers te updaten, maar dit is niet bevestigd. bron: https://www.security.nl

Vorige maand stemde het Europees Parlement in met de nieuwe Europese beveiligingsrichtlijn NIS2. Die heeft ook gevolgen voor de registratie van domeinnamen binnen de Europese Unie, maar het is de vraag of dit gaat helpen bij het tegengaan van misbruik met domeinnamen, zo stelt de Stichting Internet Domeinregistratie Nederland (SIDN). De richtlijn inzake netwerk- en informatiebeveiliging (NIS2) introduceert nieuwe regels die een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele EU moeten bevorderen - zowel voor bedrijven als voor landen. Ook worden de cyberbeveiligingseisen aangescherpt voor middelgrote en grote bedrijven die in belangrijke sectoren actief zijn. De eisen hebben onder meer betrekking op het afhandelen van incidenten, beveiliging van de toeleveringsketen, gebruik van encryptie en het openbaar maken van kwetsbaarheden. Als registry van het .nl-domein gelden de regels ook voor SIDN. Zo moeten partijen die domeinnaamregistraties verzorgen ervoor zorgen dat ze gegevens van de domeinnaamregistratie verzamelen en dat die kloppen (pdf). Het gaat in ieder geval om de naam van de houder, het e-mailadres en telefoonnummer. De gegevens moeten na registratie gevalideerd worden in een procedure die sterk lijkt op de procedure die nu ook voor generieke topleveldomeinen geldt, aldus SIDN. De stichting twijfelt of meer controle van domeinhoudergegevens voor een betere bestrijding van misbruik zorgt. "De ervaring met de procedure bij generieke topleveldomeinen leert dat de procedure relatief eenvoudig te omzeilen is. Bovendien kan de cybercrimineel ervoor kiezen om malafide registraties buiten de EU te doen en zo de hele richtlijn te omzeilen." bron: https://www.security.nl