Captain Kirk

De makers van de gratis opensource-virusscanner ClamAV hebben een belangrijke beveiligingsupdate uitgebracht die onder andere een kritieke kwetsbaarheid verhelpt waardoor remote code execution mogelijk is. Een aanvaller zou zo via de antivirussoftware het systeem kunnen overnemen. Het probleem is aanwezig in de HFS+ parser van de virusscanner. Door ClamAV een speciaal geprepareerde HFS+ partitie te laten scannen kan een heap buffer overflow write ontstaan en kan een aanvaller willekeurige code met rechten van de ClamAV-scanner op het systeem uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2023-20032, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het beveiligingslek is aanwezig in ClamAV 1.0.0 en eerder, versie 0.105.1 en eerder en versie 0.103.7. Gebruikers wordt aangeraden om te updaten naar ClamAV 0.103.8, 0.105.2 of 1.0.1. bron: https://www.security.nl

Tijdens de patchdinsdag van februari heeft Microsoft 75 kwetsbaarheden in meerdere producten verholpen, waaronder drie actief aangevallen zerodaylekken in Windows en Office. Het gaat om twee beveiligingslekken in Windows waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen. De derde zeroday bevindt zich in Office en wordt door Microsoft omschreven als een "Security Features Bypass" kwetsbaarheid. De zerodays in Windows bevinden zich in de Windows Common Log File System Driver (CVE-2023-23376) en het Windows Graphics Component (CVE-2023-21823). In de eerstgenoemde werden vorig jaar ook al twee zerodays verholpen. In het geval van de kwetsbaarheid in Office is het mogelijk om instellingen die het openen van macro's voorkomen te omzeilen. Een andere kwetsbaarheid (CVE-2023-21716) die deze maand de aandacht verdient bevindt zich in Microsoft Word. Het beveiligingslek maakt remote code execution mogelijk. De kwetsbaarheid is via de Preview Pane (voorbeeldvenster) van Outlook te misbruiken. Een aanvaller kan een e-mail met een speciaal geprepareerd RTF-bestand versturen en zo code op het systeem van de gebruiker uitvoeren. De updates van deze maand zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Nog minder dan zestig dagen en dan stopt Microsoft de ondersteuning van Exchange Server 2013, zo waarschuwt het techbedrijf. Vanaf 11 april zal de mailserversoftware geen beveiligingsupdates ontvangen, maar ook technische ondersteuning en bugfixes zullen dan niet meer beschikbaar zijn. Microsoft stelt dat de software gewoon zal blijven werken. Vanwege de risico's worden organisaties opgeroepen zo snel mogelijk naar Exchange Online of Exchange Server 2019 te upgraden. Ook het bedrijf een uitleg online geplaatst hoe de oude Exchange 2013-omgeving is uit te faseren. De Franse overheid stelde vorige week nog dat er vorig jaar veel misbruik is gemaakt van kwetsbaarheden in Exchange. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om via het SendGrid-account van registrar Namecheap phishingmails te versturen. Daarop besloot het bedrijf om tijdelijk geen e-mails meer te versturen, waaronder authenticatiecodes en wachtwoordresetmails, te stoppen. SendGrid is een marketingplatform voor e-mail. Tal van bedrijven gebruiken de dienst voor onder andere het versturen van marketingmails, nieuwsbrieven en andere communicatie. Dit weekend bleek dat aanvallers via het SendGrid-account van Namecheap phishingmails hadden verstuurd die van Metamask en DHL afkomstig leken. Namecheap heeft de phishingaanvallen via SendGrid bevestigd. De registrar stelt in een verklaring dat de eigen systemen niet zijn gecompromitteerd en producten, accounts en persoonlijke informatie van klanten veilig zijn. Hoe het SendGrid-account kon worden gekaapt laat het bedrijf niet weten. Naar aanleiding van de aanval besloot Namechap om tijdelijk te stoppen met het versturen e-mails, waaronder ook authenticatiecodes, wachtwoordresetmails en verificatie van 'trusted devices'. Vanochtend laat het bedrijf weten dat de 'mail delivery' is hersteld. Er is een onderzoek naar de aanval ingesteld en Namecheap zegt met meer informatie te komen zodra het bekend is. bron: https://www.security.nl

Microsoft heeft het einde van de Windows Support Diagnostic Tool (MSDT) aangekondigd. In 2025 zal het MSDT-platform volledig verdwijnen. Vorig jaar werden nog twee zerodaylekken in het programma gebruikt bij aanvallen op Windowsgebruikers. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. MSDT verzamelt gegevens van het systeem waarmee "technical support agents" op afstand het probleem kunnen vaststellen en mogelijk oplossen. Microsoft wil MSDT nu vervangen door het Get Help "troubleshooting platform". Ook via dit platform kunnen gebruikers in contact komen met een helpdeskmedewerker om het probleem op te lossen. Dit jaar zal Microsoft gebruikers van MSDT in bepaalde gevallen doorsturen naar het Get Help-platform. In 2024 zal dit in alle gevallen gebeuren en in 2025 wordt het MSDT-platform verwijderd. Microsoft geeft geen reden voor het uitfaseren van MSDT, maar website Neowin vermoedt dat het is bedoeld om toekomstige Windowsversies, zoals Windows 12, veiliger te maken. bron: https://www.security.nl

Bijna negentienduizend VMware ESXi-servers missen de beveiligingsupdate waar de huidige ransomware-aanvallen vermoedelijk actief misbruik van maken. Daarnaast hebben de aanvallers bij negenhonderd al besmette servers een nieuwe ransomware-versie geïnstalleerd waarvoor de eerdere herstelscripts niet werken. Dat melden securitybedrijf Rapid7 en Censys. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op kwetsbare servers code uitvoeren. De huidige ransomware-aanvallen zouden misbruik van deze kwetsbaarheid maken. Volgens Rapid7 zijn er op internet nog bijna negentienduizend ESXi-servers te vinden waar de beveiligingsupdate voor CVE-2021-21974 niet is geïnstalleerd. Dat stelt het securitybedrijf op basis van eigen onderzoek. Bij de aanvallen wordt de ESXiArgs-ransomware geïnstalleerd. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. Onderzoekers ontdekten een manier om de versleutelde configuratiebestanden op basis van een onversleuteld flat-bestand te herstellen. Vervolgens kwam de Amerikaanse overheid met een eigen herstelscript. In een reactie op deze ontdekking kwamen de aanvallers met een nieuwe ransomware-versie die deze kwetsbaarheid niet bevat en niet via het herstelscript is te herstellen. Securitybedrijf Censys laat weten dat de aanvallers deze ransomware op al besmette ESXi-servers uitrollen. Al meer dan negenhonderd gecompromitteerde servers hebben deze "upgrade" ontvangen. Daarnaast stellen de onderzoekers van het bedrijf dat de aanvallers geen gebruikmaken van een kwetsbaarheid in OpenSLP, zoals aanwezig in CVE-2021-21974. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Naar aanleiding van de aanvallen kregen beheerders het advies om OpenSLP op ESXi-servers uit te schakelen, maar verschillende slachtoffers van de ransomware laten weten dat dit bij hun al het geval was. Dat zou suggereren dat de aanvallers geen gebruik van CVE-2021-21974 maken, aldus Censys. Wat dan wel de gebruikte aanvalsvector is laat het bedrijf niet weten. bron: https://www.security.nl

Een aanvaller heeft via een phishingaanval toegang tot interne systemen en data van Reddit gekregen, zo heeft het populaire internetplatform bekendgemaakt. De aanval werd op 5 februari opgemerkt. Verschillende medewerkers ontvingen een phishingbericht dat naar een phishingsite leidde. Volgens Reddit had de aanvaller de intranet gateway van het platform nagemaakt. Eén medewerker logde uiteindelijk op de phishingsite in. Via de gegevens van deze medewerker kreeg de aanvaller toegang tot interne documenten, code, interne dashboards en zakelijke systemen. Er zijn volgens Reddit geen aanwijzingen dat de primaire productiesystemen zijn getroffen. Op deze systemen draait Reddit en is het grootste deel van de data opgeslagen. De medewerker die op de phishingsite inlogde rapporteerde dit zelf aan het securityteam van Reddit, waarna de toegang van de aanvaller ongedaan werd gemaakt en een onderzoek ingesteld. Reddit heeft voor alle medewerkers het gebruik van tweefactorauthenticatie verplicht en adviseert gebruikers dit ook in te stellen. bron: https://www.security.nl

Criminelen hebben wereldwijd 3800 VMware ESXi-servers met ransomware weten te infecteren, zo stellen de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). In Nederland zou het om zo'n 140 servers gaan, aldus securitybedrijf Censys. Inmiddels maken de aanvallers gebruik van aangepaste ransomware die niet via eerder beschikbaar gestelde scripts is te herstellen. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Bij de nu waargenomen ransomware-aanvallen maken de aanvallers waarschijnlijk gebruik van bekende kwetsbaarheden, zo stellen de FBI en het CISA. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. Onderzoekers ontdekten een manier om de versleutelde configuratiebestanden op basis van een onversleuteld flat-bestand te herstellen. Vervolgens kwam het CISA met een eigen herstelscript en heeft ook een uitgebreidere uitleg gepubliceerd hoe getroffen systemen zijn te herstellen. Naar aanleiding van de herstelmogelijkheden maken de aanvallers nu gebruik van een versie die veel meer data versleutelt, waardoor herstel niet meer via de huidige opties mogelijk is, zo meldt Bleeping Computer. De FBI en het CISA roepen organisaties op om hun ESXi-software te updaten, de Service Location Protocol (SLP) service uit te schakelen en ervoor te zorgen dat de ESXi-hypervisor niet toegankelijk vanaf het internet is. Verder adviseren de Amerikaanse overheidsinstanties om het losgeld dat de aanvallers vragen niet te betalen. bron: https://www.security.nl

Spelers van het populaire spel Dota 2 waren maandenlang het doelwit van een aanval die misbruik maakte van een bekende kwetsbaarheid in de V8 JavaScript-engine. Dota 2 is een multiplayer online battle arena (MOBA) videogame van gameontwikkelaar Valve. Afgelopen november had nog een miljoen gelijktijdige spelers. Het spel maakt gebruik van V8, een engine voor het uitvoeren van JavaScript. De JavaScript-engine wordt nog door veel meer projecten gebruikt, waaronder Google Chrome. Google kwam op 28 oktober 2021 met een beveiligingsupdate voor een actief aangevallen zerodaylek in V8, aangeduid als CVE-2021-38003. De kwetsbaarheid werd gebruikt bij zeroday-aanvallen tegen Samsung-telefoons. Waar Google een update voor V8 uitrolde, werd dit niet gedaan door Valve. De V8-versie waarvan Dota 2 gebruikmaakte dateerde van december 2018. Het spel biedt de mogelijkheid om "custom game modes" te ontwikkelen. Spelers die hiervan gebruik willen maken moeten deze game modes dan wel downloaden via het Steam-platform. Een aanvaller heeft vier custom game modes voorzien van een exploit die misbruik maakt van de kwetsbaarheid in de V8-implementatie van Dota 2. Hoewel Steam de game modes die door de community zijn ontwikkeld controleert werd de exploit niet ontdekt. Zodra spelers de malafide game modes installeerden kon de aanvaller willekeurige code op hun systeem uitvoeren. Antivirusbedrijf Avast ontdekte de aanval. Vermoedelijk zijn de vier game modes in maart 2022 van de exploit voorzien. Na te zijn ingelicht door de virusbestrijder kwam Valve op 12 januari van dit jaar met een upgrade voor de kwetsbare V8-versie in Dota 2. Daarnaast werden de malafide game modes van het Steam-platform verwijderd, spelers gewaarschuwd en werden er nieuwe maatregelen aangekondigd om het aanvalsoppervlak van het spel te verkleinen. bron: https://www.security.nl

Onderzoekers hebben een Internet of Things-botnet ontdekt dat naast bruteforce- en ddos-aanvallen ook wordt gebruikt voor de verspreiding van ransomware. Door een fout in de implementatie krijgen slachtoffers pas nadat al hun bestanden zijn vernietigd de instructies en losgeldeisen te zien. Dat laat securitybedrijf Cyble weten. Het botnet in kwestie is een variant van de bekende Mirai-malware. Deze malware infecteert routers, ip-camera's en IoT-apparaten en gebruikt die voor allerlei aanvallen. Vaak gaat het dan om ddos-aanvallen. Het Mirai-botnet dat de onderzoekers ontdekten heeft het voorzien op Linux-systemen. Zodra er via een bruteforce-aanval toegang is verkregen wordt een malware-exemplaar genaamd Medusa uitgevoerd. Deze malware verzamelt informatie over het systeem, zoals gebruikersnaam en platform. Medusa kan het besmette systeem ook voor ddos-aanvallen en bruteforce-aanvallen op andere systemen inzetten. Wat het botnet doet opvallen is de ransomware-functionaliteit. Eenmaal actief kan Medusa allerlei bestanden op het systeem versleutelen. Nadat de bestanden zijn versleuteld gaat de malware 24 uur in slaapmodus, waarna het alle bestanden op de schijf verwijdert. Nadat de bestanden zijn vernietigd worden pas de instructies getoond waarin staat hoe het slachtoffer zijn data kan terugkrijgen en welk losgeldbedrag daarvoor betaald moet worden. Volgens Cyble is er dan ook sprake van een foute implementatie. bron: https://www.security.nl

Een kwetsbaarheid in OpenSSL maakt het mogelijk om de geheugeninhoud van systemen uit te lezen of een denial of service te veroorzaken. De ontwikkelaars hebben gisteren een beveiligingsupdate voor het probleem uitgebracht. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Gisteren verschenen nieuwe versies van OpenSSL die in totaal acht kwetsbaarheden verhelpen. De impact van zeven van de acht beveiligingslekken is beoordeeld als "moderate". De resterende kwetsbaarheid, CVE-2023-0286, kreeg het stempel "high" en doet zich voor bij de verwerking van een X509-certificaat. Wanneer het gebruik van een certificate revocation list (CRL) staat ingeschakeld is het mogelijk voor een aanvaller om de inhoud van het geheugen uit te lezen of een denial of service te veroorzaken. Om de aanval mogelijk te maken moet daarnaast een aanvaller zowel de 'certificate chain' als de CRL aanbieden. Die hoeven echter niet van een geldige signature te zijn voorzien. CRL's zijn lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Als een aanvaller over slechts één van de twee controle heeft, moet de andere input al een X.400-adres als CRL distribution point hebben. Dat komt volgens het OpenSSL-ontwikkelteam niet zoveel voor. De kwetsbaarheid zou dan ook waarschijnlijk alleen applicaties raken die hun eigen functionaliteit hebben geïmplementeerd voor het ophalen van CRL's over een netwerk. Aangezien de voorwaarden voor een succesvolle aanval alleen in bepaalde gevallen zich kunnen voordoen is de impact van het beveiligingslek als 'high' beoordeeld en niet als 'critical'. Gebruikers van OpenSSL wordt aangeraden om te updaten naar OpenSSL 1.1.1t of OpenSSL 3.0.8. Voor organisaties die nog een betaald onderhoudscontract voor versie 1.0.2 hebben is update 1.0.2zg verschenen. bron: https://www.security.nl

Het Tor-netwerk, dat dagelijks meer dan twee miljoen mensen gebruiken om hun privacy te beschermen, heeft al maanden met dos-aanvallen te maken die grote gevolgen voor de snelheid van het netwerk hebben. Dat laat Isabela Bagueros vandaag weten, directeur van het Tor Project, de organisatie achter het Tor-netwerk. Volgens Bagueros is het netwerk al zeven maanden lang doelwit van dos-aanvallen. Soms is de invloed van deze aanvallen zo groot dat een groot aantal gebruikers geen websites via het Tor-netwerk kan bezoeken. Het Tor Project zegt bezig te zijn met het verhelpen van de aanvallen, maar de methodes die de aanvallers toepassen veranderen steeds, aldus Bagueros. Het is op dit moment ook onduidelijk wie erachter de aanvallen zit en wat hun bedoeling is. Vanwege de aanvallen zegt Bagueros dat er verdere maatregelen zullen worden getroffen. Ook zal het netwerkteam van het Tor Project met twee personen worden uitgebreid, die zich alleen zullen bezighouden met de ontwikkeling van onion-services, websites die alleen vanaf het Tor-netwerk toegankelijk zijn. Mensen die een Tor-server hebben draaien worden opgeroepen om zich op de Tor relays-mailinglist te abonneren, aangezien het Tor Project via dit kanaal best practices deelt om de aanvallen te stoppen. bron: https://www.security.nl

Criminelen maken steeds vaker gebruik van Microsoft OneNote-bestanden om systemen met malware te infecteren, zo stellen meerdere antivirusbedrijven. Werden in december nog een handvol campagnes waargenomen waarbij het .one bestandstype werd ingezet, vorige maand was dat gestegen naar meer dan vijftig, aldus securitybedrijf Proofpoint. Volgens het bedrijf is het gebruik van .one-bestanden een reactie op het standaard blokkeren van macro's in Microsoft 365. Het versturen van documenten met malafide macro's was altijd een populaire methode van aanvallers. Microsoft OneNote is software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers zover te krijgen gebruiken aanvallers allerlei trucs, die ook werden toegepast om gebruikers macro's te laten inschakelen. Zodra gebruikers de waarschuwing negeren wordt er malware gedownload en uitgevoerd. Het gaat om remote access trojans en malware die inloggegevens steelt. "Het is belangrijk om op te merken dat een aanval alleen slaagt wanneer de ontvanger ermee aan de slag gaat, specifiek door het klikken op het embedded bestand en het negeren van de waarschuwing die OneNote laat zien", zegt onderzoeker Tommy Madjar van Proofpoint. Hij stelt dat organisaties hun personeel over deze aanvalsmethode moeten onderwijzen en aanmoedigen om verdachte e-mail en bijlages te rapporteren. bron: https://www.security.nl

De Franse non-profitorganisatie dns0 heeft vandaag een Europese publieke dns-dienst gelanceerd die volgens de oprichters EU-burgers en organisaties moet beschermen. Daarnaast biedt dns0 een "kindvriendelijk" internet zonder advertenties, pornografie, dating, piraterij en volwassen YouTube-video's. Dns0 is opgericht door Romain Cointepas en Olivier Poitrey, medeoprichters van dns-provider NextDNS. De provider is een partner van dns0.eu, alsmede partijen zoals malwarebestrijder Abuse.ch en registrar Gandi.net. Op dit moment zijn er twee versies van dns0.eu: de standaardversie en een versie speciaal voor kinderen. De standaardversie is volgens de ontwikkelaars speciaal ontwikkeld voor het blokkeren van malafide domeinen, bijvoorbeeld gebruikt voor typosquatting en cryptojacking. Ook blokkeert de dns-dienst risicovolle top-level domains, domeinen gegenereerd door Domain Generation Algorithms van malware en domeinen die van Internationalized Domain Names (IDN) gebruikmaken om gebruikers te misleiden. De kinderversie blokkeert piraterij-,8+ inhoud- en goksites, past voor alle zoekmachines een filter toe om expliciete zoekresultaten te blokkeren, blokkeert video's bedoeld voor volwassenen op YouTube. Ook datingdiensten en -apps worden door de dns-dienst tegengehouden, alsmede advertenties. Verder zijn "mixed-content" websites zoals Twitter en Reddit niet via de kinderversie van dns0 te bezoeken. bron: https://www.security.nl

Een fout in de Clop-ransomware voor Linux maakt het mogelijk om versleutelde bestanden te ontsleutelen, zo hebben onderzoekers van securitybedrijf SentinelOne ontdekt. De Linux-versie van de Clop-ransomware werd eind december voor het eerst aangetroffen en gebruikt dezelfde encryptiemethode als de Windowsversie voor het versleutelen van bestanden, aldus de onderzoekers. Er is echter een verschil bij de keys die de ransomware gebruikt voor het versleutelen van bestanden. De Linux-versie maakt namelijk gebruik van een hardcoded "master key" voor het genereren en versleutelen van de keys die worden gebruikt voor het versleutelen van de bestanden. Deze "master key" wordt lokaal opgeslagen. Daarnaast wordt de RC4-key niet gevalideerd, wat wel het geval is bij de Windows-versie. De onderzoekers spreken van een fout in de encryptielogica waardoor het mogelijk is om bestanden te ontsleutelen. Daardoor konden ze een script maken dat bestanden op getroffen systemen kan ontsleutelen. Volgens de onderzoekers is de Linux-versie van de Clop-ransomware nog in ontwikkeling en mist die dan ook de functionaliteit van de Windows-versie. "Hoewel de Linux-versie zich nog in de kinderschoenen bevindt, suggereert de ontwikkeling en het wijdverbreid gebruik van Linux voor servers en cloudtoepassingen dat verdedigers in de toekomst met meer Linux-ransomware rekening moeten houden", aldus onderzoeker Antonis Terefos. bron: https://www.security.nl

Google en MailChimp zijn de meest actieve trackers op internet, zo stelt antivirusbedrijf Kaspersky op basis van onderzoek onder gebruikers van de eigen antivirussoftware. Het gaat dan om tracking op websites en in e-mail. Gebruikers van Kaspersky hebben de optie om via Do Not Track (DNT) trackers op websites te blokkeren. Daarnaast kunnen gebruikers ervoor kiezen om gegevens met het antivirusbedrijf te delen. Op basis van deze informatie blijkt dat Google voor ruim 32 procent van de gedetecteerde webtrackers verantwoordelijk is, gevolgd door Microsoft (22 procent) en Amazon (13 procent). Via dergelijke trackers kan allerlei informatie over het online gedrag van gebruikers worden verzameld, dat bijvoorbeeld voor online profilering en gerichte advertenties is te gebruiken. Naast webtrackers keek Kaspersky ook naar de aanwezigheid van trackers in e-mail. Het gaat dan voornamelijk om 'trackingpixels' en andere code waarmee kan worden gekeken wanneer iemand de e-mail opende en zaken als ip-adres, e-mailclient en besturingssysteem zijn te verzamelen. Als het gaat om e-mailtracking blijkt dat de top uit compleet andere spelers bestaat. Zo zijn MailChimp en SendGrid bij elkaar verantwoordelijk voor bijna 42 procent van alle waargenomen mailtrackers. Beide bedrijven bieden platformen waarvandaan bedrijven en organisaties marketingmails en nieuwsbrieven kunnen versturen. "Bedrijven proberen zoveel data als mogelijk over hun gebruikers te verzamelen, zodat ze zoveel mogelijk detail aan elk gebruikersprofiel als mogelijk kunnen toevoegen", stelt Anna Larkina van Kaspersky. Veel bedrijven maken gebruik van web- en mailtracking zonder dit aan gebruikers te laten weten, gaat Larkina verder. Kaspersky adviseert gebruikers dan ook het gebruik van bepaalde browserextensies om online trackers te blokkeren of de privacyinstellingen van de browser aan te passen. bron: https://www.security.nl

VMware adviseert organisaties om de OpenSLP-service op ESXi-servers uit te schakelen en beschikbare beveiligingsupdates te installeren. Aanleiding is de recente ransomware-aanval op ESXi-servers. De aanvallen maken misbruik van een kwetsbaarheid in de OpenSLP-implementatie van VMware binnen ESXi. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Een kwetsbaarheid in de implementatie van VMware, aangeduid als CVE-2021-21974, maakt het mogelijk voor een aanvaller om willekeurige code op kwetsbare ESXi-servers uit te voeren. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Volgens VMware wordt er bij de aanvallen geen misbruik gemaakt van een onbekende kwetsbaarheid. Daarnaast zouden vooral ESXi-versies zijn getroffen waarvan de algemene supportperiode is afgelopen of die al lang geen updates meer hebben ontvangen. VMware adviseert dan ook om systemen te updaten en OpenSLP uit te schakelen. Iets wat standaard door VMware wordt gedaan sinds de lancering van ESXi 7.0 U2c in 2021. Volgens cijfers van securitybedrijf Censys zijn bij de aanval 2400 ESXi-servers versleuteld. bron: https://www.security.nl

Vpn-provider LimeVPN heeft eind 2020 de privégegevens van meer dan 23.000 gebruikers gelekt. Het bedrijf zelf claimde dat slechts achthonderd gebruikers waren getroffen. Het datalek kwam in juli 2021 in het nieuws, toen gegevens van getroffen gebruikers op internet werden aangeboden. De omvang van het datalek was echter onduidelijk. Zo stelde LimVPN dat het om achthonderd gebruikers ging en dat de data van een facturatieserver was gestolen, maar werden op internet getallen van 10.000 en 69.000 getroffen gebruikers genoemd. Nu blijkt dat het om meer dan 23.000 gebruikers gaat, aldus beveiligingsonderzoeker Troy Hunt, oprichter van datalekzoekmachine Have I Been Pwned. De gestolen data bestaat uit e-mailadressen, ip-adressen, namen, telefoonnummers, adresgegevens, aankopen en met het zwakke MD5-algoritme gehashte wachtwoorden. MD5-wachtwoordhashes zijn vaak eenvoudig te kraken. De e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de ruim 23.000 bij LimeVPN buitgemaakte e-mailadressen was 65 procent al via een ander datalek bij de zoekmachine bekend. Have I Been Pwned bevat inmiddels meer dan 12,4 miljard gecompromitteerde accounts. bron: https://www.security.nl

Screeningsdiensten Instant Checkmate en TruthFinder hebben in 2019 de privégegevens van twintig miljoen klanten gelekt, zo is afgelopen vrijdag bekendgemaakt. Het gaat om namen, e-mailadressen, telefoonnummers en gehashte wachtwoorden die inmiddels op internet worden aangeboden. Hoe de data kon worden gestolen is niet bekendgemaakt. Instant Checkmate en TruthFinder zijn twee Amerikaanse diensten die het mogelijk voor gebruikers maken om in openbare documenten te zoeken, zoals strafbladen, aanhoudingen, faillissementen en geboorte- en overlijdensaktes. Zo kan er bijvoorbeeld op naam, adres, telefoonnummer of e-mailadres worden gezocht om informatie over een bepaald persoon of diens familie of vrienden te zoeken. De diensten worden voornamelijk voor "background checks" gebruikt. In het geval van Instant Checkmate zijn de gegevens van twaalf miljoen gebruikers gelekt, bij TruthFinder werd data van bijna 8,2 miljoen gebruikers buitgemaakt. De ruim twintig miljoen e-mailadressen zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. Via Have I Been Pwned is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de bij Instant Checkmate gestolen e-mailadressen was 87 procent al bij Have I Been Pwned bekend, in het geval van TruthFinder ging het om 68 procent. bron: https://www.security.nl

Bedrijven en organisaties van wie de VMWare ESXi-servers bij de recente ransomware-aanval zijn versleuteld kunnen in sommige gevallen hun systemen ontsleutelen. Een beveiligingsonderzoeker heeft hiervoor een manier gevonden. Eind vorige week waarschuwden de Nederlandse en Franse overheid voor actief misbruik van een oude kwetsbaarheid in VMWare ESXi bij ransomware-aanvallen. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op afstand code op kwetsbare ESXi-servers uitvoeren. Aanvallers maken nu misbruik van deze kwetsbaarheid. "Het is nog onduidelijk hoe de aanvallers het systeem binnendringen, het is in ieder geval niet aan te raden om OpenSLP poort 427 benaderbaar te maken via het internet. Het is nog onduidelijk of de kwaadwillenden ook een andere wijze gebruiken om het systeem binnen te dringen", aldus het Digital Trust Center van het ministerie van Economische Zaken. "Indien je organisatie een kwetsbare VMWare ESXi-hypervisor draait, is het raadzaam deze zo spoedig mogelijk te (laten) updaten. Zorg er daarnaast voor dat de ESXi-hypervisor niet benaderbaar is via het internet." Beveiligingsonderzoeker Enes Sönmez heeft een manier gevonden om getroffen ESXi-omgevingen te herstellen. Hostingprovider OVHcloud zegt de procedure te hebben getest en meldt een succesratio van zo'n 66 procent. Wel vereist het gebruik van de genoemde procedure "sterke vaardigheden" in ESXi-omgevingen, aldus de provider, die opmerkt dat het gebruik op eigen risico is. Inmiddels is ook het Dutch Institute of Vulnerability Disclosure (DIVD) begonnen met het scannen naar kwetsbare systemen en waarschuwen van de betreffende organisaties. bron: https://www.security.nl

Is je probleem al opgelost?

Criminelen maken op grote schaal gebruik van Google-advertenties om internetgebruikers die naar bekende software zoeken met malware te infecteren. Dat stellen Spamhaus en Abuse.ch. Wie bijvoorbeeld op Thunderbird, Microsoft Teams, GIMP, Tor Browser of CCleaner zoekt krijgt advertenties te zien die zogenaamd naar de officiële website van de betreffende software wijzen. In werkelijkheid gaat het om malafide websites die malware aanbieden. De afgelopen maanden is herhaaldelijk voor deze werkwijze van criminelen gewaarschuwd, maar Google slaagt er maar niet in om de situatie onder controle te krijgen. Het lijkt zelfs juist erger te worden. Volgens de Zwitserse beveiligingsonderzoeker en oprichter van Abuse.ch Roman Hüssy is er waarschijnlijk een partij actief die het verspreiden van malware via Google-advertenties als dienst aan criminelen aanbiedt. Daarnaast blijkt uit onderzoek dat malafide advertenties voor dezelfde zoekopdrachten verschillende malware verspreiden, wat ook op "malvertising as a service" duidt, aldus Spamhaus. De malware die via de advertenties wordt verspreid is voornamelijk ontwikkeld om wachtwoorden en andere inloggegevens te stelen. Een aantal weken geleden adviseerde de FBI vanwege de malafide advertenties in de zoekmachine van Google nog het gebruik van een adblocker. bron: https://www.security.nl

De controle die Microsoft bij gebruikers van oude Office-versies uitvoert verzamelt diagnostische data en prestatiegegevens, zo stelt het techbedrijf. Vorige maand ontstond ophef omdat Microsoft een update onder gebruikers van Office-versies uitrolt die niet meer worden ondersteund of waarvan de support binnenkort stopt. Het gaat dan bijvoorbeeld om Office 2007, Office 2010 en Office 2013. De eerste twee Office-versies ontvangen sinds respectievelijk oktober 2017 en oktober 2020 geen updates meer. Office 2013 ontvangt nog wel beveiligingsupdates, maar hier zal Microsoft op 11 april van dit jaar mee stoppen. Via update (KB5021751) wil het techbedrijf kijken hoe groot het aantal gebruikers is dat met deze Office-versies werkt. Volgens Microsoft wordt de update "stilletjes" uitgevoerd en wordt er niets op het systeem van de gebruiker geïnstalleerd. Het bedrijf heeft nu meer details over de update gegeven. De update verzamelt diagnostische data en prestatiegegevens afkomstig van het Windows-register en API's. Microsoft stelt dat de update geen licentiegegevens, content van klanten of data over software die niet van Microsoft is verzamelt. De update wordt via Windows Update verspreid bij gebruikers die voor de optie "Receive updates for other Microsoft products" hebben gekozen en Office 2013, Office 2010 of Office 2007 hebben geïnstalleerd. bron: https://www.security.nl

Meta heeft jarenlang betaald voor het scrapen van gegevens van andere websites die het vervolgens gebruikte, terwijl het tegelijkertijd rechtszaken voerde tegen bedrijven die op deze manier data van Facebook en Instagram verzamelden. Dat blijkt uit documenten die in een rechtszaak tussen Meta en dataverzamelingsbedrijf Bright Data zijn ingediend. Meta beschuldigt Bright Data van het scrapen en verkopen van informatie afkomstig van Facebook en Instagram. Meta blijkt echter ook jarenlang klant van Bright Data te zijn geweest. Het bedrijf biedt allerlei diensten, waaronder het verzamelen van berichten, reacties en gebruikersgegevens van sociamediaplatforms zoals TikTok en Twitter, en webwinkels zoals Amazon, eBay en Walmart. Meta heeft tegenover Bloomberg bevestigd dat het Bright Data betaalde om data van webwinkels te verzamelen, om naar eigen zeggen merkprofielen op Meta's eigen platformen te ontwikkelen. Van welke websites de informatie werd gescrapet wil Meta niet zeggen. Het techbedrijf eindigde de relatie met Bright Data nadat het ontdekte dat het data van de eigen socialmediaplatforms scrapete. De Ierse privacytoezichthouder DPC legde Meta vorig jaar een AVG-boete van 265 miljoen euro op wegens een groot datalek bij Facebook waardoor de data van 533 miljoen gebruikers op straat kwam te liggen. De data was door middel van scraping verzameld, waarbij er misbruik was gemaakt van een feature van het platform. Uit interne communicatie bleek dat Facebook datalekken door middel van scraping vervolgens als een industriebreed probleem wilde framen. bron: https://www.security.nl

Google heeft onder een klein deel van de gebruiker de allereerste 'early stable' van Chrome gelanceerd. Welke kwetsbaarheden er in deze versie zijn verholpen is nog niet bekendgemaakt. Ongeveer elke vier weken komt Google met een nieuwe versie van Chrome. Zo is nu Chrome 110 uitgekomen en verschijnt op 1 maart Chrome 111. Naast de stabiele versie kent Chrome ook testversies bedoeld voor ontwikkelaars en bètatesters. Met de lancering van Chrome 110 zal er voortaan ook een 'early stable' versie worden uitgebracht. Deze versie wordt onder een klein deel van de gebruikers uitgerold. Het gaat om de stabiele versie die een week later aan de overige gebruikers wordt aangeboden. Zo verschijnt Chrome 110 op 7 februari voor alle andere gebruikers. Google krijgt zo naar eigen zeggen de kans om te zien hoe de stabiele versie het bij deze kleine groep gebruikers doet, voordat de grote uitrol plaatsvindt. Eventuele grote problemen kunnen dan met een vrij kleine impact worden ontdekt en verholpen. Hoe gebruikers in aanmerking voor de 'early stable' kunnen komen of dat dit zelf kan worden ingesteld laat Google niet weten. bron: https://www.security.nl