Captain Kirk

E-mailclient Thunderbird controleerde niet of S/Mime-certificaten zijn ingetrokken, waardoor e-mail die met een ingetrokken certificaat is gesigneerd wordt weergeven alsof die over een geldige handtekening beschikt. Er is een update voor Thunderbird uitgekomen die de kwetsbaarheid, aangeduid als CVE-2023-0430 verhelpt. Via een S/Mime-certificaat is het mogelijk om een e-mail digitaal te signeren. Zo is de identiteit van de afzender te verifiëren, kan worden bevestigd dat de afzender het bericht daadwerkelijk heeft verstuurd en dat de inhoud niet is aangepast. Thunderbird kan via het Online Certificate Status Protocol (OCSP) controleren of een certificaat is ingetrokken. In dit geval hoort de e-mailclient een melding te geven dat de e-mail digitaal is gesigneerd, maar een ongeldige handtekening bevat. Thunderbird bleek deze controle echter niet uit te voeren en gaf ook bij een ingetrokken certificaat weer dat de e-mail over een geldige handtekening beschikte. Dat is in versie 102.7.1 verholpen. Daarnaast verhelpt deze versie ook een probleem met de authenticatie van Microsoft Office 365-accounts, waardoor ook deze gebruikers weer via Thunderbird kunnen inloggen. Vanwege dit specifieke probleem werd besloten om Thunderbird 102.7.0 niet automatisch onder gebruikers uit te rollen. Thunderbird kondigde een oplossing aan, maar die bleek in eerste instantie niet werken. Alleen wanneer gebruikers handmatig op updates zochten werd Thunderbird 102.7.0 daarom geïnstalleerd. Met de komst van Thunderbird 102.7.1 worden updates weer automatisch onder alle gebruikers uitgerold. bron: https://www.security.nl

Aanvallers hebben Microsofts proces voor het verifiëren van uitgevers van OAuth-apps misbruikt voor een phishingaanval, waardoor het leek alsof malafide apps van een betrouwbare uitgever afkomstig waren, zo laten het techbedrijf zelf en securitybedrijf Proofpoint weten. OAuth is een mechanisme waardoor applicaties van derden toegang tot het account van gebruikers kunnen krijgen, zonder dat die hiervoor hun wachtwoord hoeven af te staan. Gebruikers moeten dergelijke applicaties zelf toegang tot hun account geven, maar zodra dat is gedaan kan de app vervolgens allerlei acties binnen het account uitvoeren, zoals het lezen van e-mail of toegang krijgen tot bestanden. Microsoft heeft een proces waarbij het de uitgevers van OAuth-apps verifieert. Wanneer een app toestemming vraagt voor toegang tot het account krijgt de gebruiker te zien dat de uitgever door Microsoft is gecontroleerd. Afgelopen december ontdekte Microsoft een phishingaanval waarbij aanvallers zich voordeden als legitieme bedrijven en door het techbedrijf als uitgever van OAuth-apps waren geverifieerd. Vervolgens gebruikten de aanvallers hun verificatiestatus voor malafide OAuth-apps die werden ingezet bij phishingaanvallen op organisaties in het Verenigd Koninkrijk en Ierland. Wanneer gebruikers toestemming aan deze apps gaven werd hun e-mail gestolen. Na ontdekking van de aanval heeft Microsoft de door de aanvallers gebruikte accounts en apps uitgeschakeld en klanten gewaarschuwd. Verder stelt het techbedrijf dat het aanvullende maatregelen neemt om het verificatieproces te verbeteren om zo herhaling in de toekomst te voorkomen. Hieronder twee van de malafide apps en de permissies die ze aan gebruikers vroegen. bron: https://www.security.nl

Dertigduizend NAS-systemen van fabrikant QNAP missen een beveiligingsupdate voor een kritieke kwetsbaarheid waardoor een aanvaller de apparaten op afstand kan overnemen, zo stelt securitybedrijf Censys op basis van eigen onderzoek. Afgelopen maandag waarschuwde QNAP voor een kritiek beveiligingslek in QTS 5.0.1 en QuTS hero h5.0.1, het besturingssysteem dat op de apparaten van de NAS-fabrikant draait. Volgens Censys gaat het om een SQL-injection kwetsbaarheid waardoor een remote aanvaller kwaadaardige code op het NAS-systeem kan injecteren. Het beveiligingslek vereist geen authenticatie en zou eenvoudig te misbruiken zijn. Het probleem is verholpen in QTS 5.0.1.2234 build 20221201 en nieuwer en QuTS hero h5.0.1.2248 build 20221215 en nieuwer. Censys voerde een scan uit op internet en detecteerde meer dan 67.000 QNAP-systemen. Van ruim dertigduizend NAS-apparaten was het mogelijk om het versienummer vast te stellen. Dan blijkt dat zo'n 550 QNAP-systemen up-to-date zijn, terwijl bijna 30.000 apparaten de kritieke beveiligingsupdate missen en daardoor risico lopen. De meeste kwetsbare systemen werden aangetroffen in de Verenigde Staten, Italië en Taiwan. In het verleden zijn kwetsbaarheden in de software van QNAP gebruikt voor ransomware-aanvallen op NAS-apparaten. Gebruikers wordt dan ook aangeraden hun systemen te updaten. bron: https://www.security.nl

Google Chrome is gestopt met de ondersteuning van Windows 7 en Windows 8.1. Het techbedrijf zal versie 110 van de browser onder een klein percentage van de gebruikers uitrollen, waarna overige gebruikers de versie een week later op 7 februari zullen ontvangen. Ook browserleverancier Opera heeft het einde van de support van de tweede Windowsversies aangekondigd. Google zal Chrome voor Windows met de lancering van versie 110 alleen nog op Windows 10 en nieuwer ondersteunen. Microsoft stopte zelf eerder deze maand de support van Windows 7 Extended Security Update (ESU) en Windows 8.1. Google en Opera stellen dat oudere Chrome-versies blijven werken, maar er geen nieuwe updates voor gebruikers van deze besturingssystemen zullen verschijnen. Chrome kent verschillende versies, zoals canary, beta en stable, die respectievelijk voor ontwikkelaars, testers en eindgebruikers zijn bedoeld. Vanaf Chrome 110 wordt er ook gewerkt met een "early stable" versie. Het gaat om de stabiele versie die een week eerder onder een klein percentage van de gebruikers wordt uitgerold, waarbij de rest een week later volgt. Op deze manier hoopt Google problemen in een vroeg stadium te herkennen voordat de browser onder alle gebruikers is verspreid. bron: https://www.security.nl

De makers van OpenSSL komen volgende week dinsdag 7 februari met een belangrijke beveiligingsupdate, zo heeft het ontwikkelteam vandaag bekendgemaakt. De update verhelpt één of meerdere kwetsbaarheden waarvan de impact als "High" is bestempeld. Dergelijke kwetsbaarheden worden zelden in OpenSSL gerapporteerd. Vorig jaar ging het in totaal om vier van dergelijke beveiligingslekken. Drie daarvan bevonden zich echter in versie 3.0. De meeste OpenSSL-gebruikers werken met versie 1.1.1. Details over de kwetsbaarheden die volgende week worden verholpen geeft het OpenSSL-team niet. Beveiligingslekken die als High zijn aangemerkt maken het mogelijk voor aanvallers om bijvoorbeeld private keys van servers te stelen of remote code uit te voeren. De reden dat dergelijke kwetsbaarheden als High zijn aangemerkt en niet als Critical is dat het probleem niet bij standaard configuraties voorkomt of minder eenvoudig te misbruiken is. OpenSSL versies 3.0.8, 1.1.1t en 1.0.2zg verschijnen volgende week dinsdag 7 februari tussen 14.00 en 18.00 uur. OpenSSL 1.0.2 is end-of-life, de update is dan ook alleen beschikbaar voor betalende klanten. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Een beveiligingsupdate voor e-mailclient Thunderbird is wegens een probleem met Microsoft 365 Business-accounts nog altijd niet automatisch uitgerold. Gebruikers die de patch niet handmatig hebben geïnstalleerd zijn al bijna twee weken kwetsbaar. Op 19 januari kwam Thunderbird met versie 102.7.0 die onder andere acht kwetsbaarheden verhelpt. Verschillende van deze beveiligingslekken zouden volgens het ontwikkelteam met genoeg moeite kunnen worden gebruikt om willekeurige code op het systeem van gebruikers uit te voeren. Thunderbird beschikt over een automatische updatefunctie, maar er werd besloten om versie 102.7.0 niet automatisch onder gebruikers uit te rollen. De nieuwe Thunderbird-versie zou een belangrijke aanpassing bevatten in de OAuth2-authenticatie van Microsoft 365 Business-accounts. De doorgevoerde oplossing bleek echter voor problemen te zorgen, wat de reden was om de automatische uitrol voor alle Thunderbird-gebruikers te blokkeren. Vervolgens stelden de Thunderbird-ontwikkelaars dat vorige week versie 102.7.1 zou verschijnen en een oplossing voor het authenticatieprobleem zou bevatten. Testgebruikers klaagden dat ze ook met deze versie tegen problemen aanliepen. Dit weekend meldde het ontwikkelteam dat er nu een andere oplossing is voorgesteld en naar verwachting "snel" zou moeten verschijnen, maar een exact tijdsvenster is niet bekendgemaakt. bron: https://www.security.nl

GitHub heeft besloten om meerdere eigen certificaten in te trekken nadat een aanvaller op de repositories van het ontwikkelaarsplatform wist in te breken. De maatregel heeft gevolgen voor gebruikers van GitHub Desktop for Mac en Atom, aangezien meerdere versies van deze software vanaf 2 februari niet meer zullen werken. Begin vorige maand ontdekte GitHub ongeautoriseerde toegang tot meerdere repositories gebruikt voor de ontwikkeling van GitHub Desktop en Atom. GitHub Desktop is software die ontwikkelaars via een grafische gebruikersinterface gebruik laat maken van GitHub in plaats van een commandline of browser. Atom is een teksteditor. Een aanvaller wist door middel van een gecompromitteerd Personal Access Token (PAT) van een machine-account de repositories te klonen. Daarbij werden ook meerdere versleutelde certificaten buitgemaakt, gebruikt voor het signeren van code. GitHub stelt dat de certificaten met een wachtwoord waren beveiligd en er geen bewijs van misbruik is. Uit voorzorg is besloten om de betreffende certificaten gebruikt voor GitHub Desktop en Atom in te trekken. Daardoor zullen sommige versies van beide applicaties vanaf 2 februari niet meer werken. De maatregel heeft geen impact voor gebruikers van GitHub Desktop for Windows. Volgens GitHub is er geen risico voor bestaande installaties van de Desktop- en Atom-apps. Mocht een aanvaller de certificaten weten te ontsleutelen is het mogelijk om onofficiële applicaties te signeren waardoor het lijkt alsof ze door GitHub zijn ontwikkeld. Op 4 januari heeft GitHub een nieuwe versie van de Desktop-app uitgebracht die met een nieuw certificaat is gesigneerd. Hoe de PAT kon worden gecompromitteerd laat GitHub niet weten. bron: https://www.security.nl

Geen enkele wachtwoordmanager is veilig als een aanvaller toegang tot het systeem heeft, zo stelt Dominik Reichl, ontwikkelaar van KeePass. Volgens Reichl is er dan ook geen sprake van een kwetsbaarheid in KeePass waar onlangs voor werd gewaarschuwd en waardoor een aanvaller met toegang tot het systeem wachtwoorden uit de wachtwoordenkluis van KeePass kan stelen. Onlangs verscheen er een proof-of-concept exploit online waarmee een lokale aanvaller de inhoud van de KeePass-database kan bemachtigen. De aanval is mogelijk doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale aanvaller kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens ongemerkt naar de aanvaller worden geëxporteerd. Zowel het Nationaal Cyber Security Centrum (NCSC) als het Belgische Cyber Emergency Team kwamen met waarschuwingen. Gebruikers werd aangeraden een configuratieaanpassing door te voeren die ervoor zorgt dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens. Op de eigen website waarschuwt KeePass ook voor het risico als een aanvaller het configuratiebestand kan aanpassen. "Het kunnen schrijven naar het KeePass-configuratiebestand geeft aan dat een aanvaller veel krachtigere aanvallen kan uitvoeren dan het aanpassen van het configuratiebestand", aldus de uitleg. Naar aanleiding van de recent online verschenen exploit en waarschuwing van overheidsinstanties werd KeePass om een reactie en aanpassingen aan de wachtwoordmanager gevraagd. Het lijkt erop dat die er niet gaan komen. "Geen enkele wachtwoordmanager is veilig als je besmet bent met spyware of een aanvaller toestaat om bestanden naar je pc te schrijven", zo stelt Reichl. bron: https://www.security.nl

Securitybedrijf Rapid7 heeft Metasploit Framework 6.3 uitgebracht waarin Kerberos- en Active Directory-aanvallen centraal staan. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Het bevat allerlei modules en exploits waarmee er misbruik van kwetsbaarheden kan worden gemaakt. Metasploit 6.3 is vooral bedoeld om Active Directory- en Kerberos-gebaseerde aanvallen te stroomlijnen. Kerberos is een authenticatieprotocol dat vaak wordt gebruikt om gebruikers of hosts in Windowsomgevingen te verifiëren. Het is ook het authenticatieprotocol gebruikt in Active Directory-implementaties. Duizenden organisaties en bedrijven wereldwijd maken gebruik van Active Directory om gebruikersgroepen en rechten te definiëren en netwerkvoorzieningen beschikbaar te maken. Zowel Kerberos als Active Directory zijn volgens Rapid7 al vele jaren een geliefd doelwit van zowel pentesters als aanvallers. Daarom is besloten om in Metasploit 6.3 aanvallen die zich hierop richten te stroomlijnen. Zo is het nu mogelijk om gebruikers bij meerdere diensten via Kerberos te authenticeren en meerdere "attack chains" via nieuwe modules uit te voeren. In de aankondiging geeft Rapid7 ook verschillende voorbeelden van hoe de nieuwe modules zijn te gebruiken. bron: https://www.security.nl

Onderzoekers waarschuwen voor een variant van de PlugX-malware die een bepaald unicode-karakter gebruikt om bestanden in een "onzichtbare" map op te slaan, zodat de malware en gestolen data niet eenvoudig zijn te ontdekken. Dat meldt securitybedrijf Palo Alto Networks. De PlugX-malware bestaat al vele jaren en wordt onder andere ingezet voor datadiefstal en spionage. Een nieuwe variant verspreidt zich via usb-sticks, infecteert vanaf het besmette systeem nieuw aangesloten usb-sticks en verzamelt alle Word- en pdf-bestanden van het systeem. De PlugX-malware maakt op een besmette usb-stick gebruik van het unicode-karakter "00A0" (non-breaking space) om een verborgen map aan te maken, waarin de malware zich bevindt. Door het gebruik van het unicode-karakter kan Windows de directorynaam niet weergeven en verbergt vervolgens de gehele map. Vervolgens wordt in de root van de usb-stick een lnk-bestand aangemaakt die naar de malware in de verborgen map wijst. Zodra een gebruiker het lnk-bestand opent wordt het systeem met de PlugX-malware geïnfecteerd. De malware wacht nu totdat andere usb-sticks worden aangesloten, zodat het die kan infecteren. Daarbij worden alle oorspronkelijke bestanden en mappen in de root van de betreffende usb-stick naar de verborgen directory gekopieerd. Bij een besmette usb-stick bevindt zich in de root alleen het lnk-bestand. Het openen van het lnk-bestand zorgt niet alleen voor een besmet systeem, maar laat ook de oorspronkelijke mappen en bestanden van de root-directory zien, waardoor gebruikers niets door hebben, aldus onderzoekers van Palo Alto Networks. Naast het infecteren van nieuw aangesloten usb-sticks verzamelt de PlugX-malware ook alle pdf- en Word-bestanden op het systeem en kopieert die naar de verborgen map op de usb-stick. Volgens de onderzoekers laat de nieuwe PlugX-variant zien dat de ontwikkeling van de malware nog steeds gaande is en zo een actieve dreiging blijft. bron: https://www.security.nl

NAS-fabrikant QNAP heeft een beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor aanvallers op afstand kwaadaardige code op NAS-systemen kunnen uitvoeren. Het beveiligingslek, aangeduid als CVE-2022-27596, bevindt zich in QTS 5.0.1 en QuTS hero h5.0.1, het besturingssysteem dat op de NAS-apparaten van QNAP draait. Details worden niet door de fabrikant gegeven, behalve dat het om een kritieke kwetsbaarheid gaat waardoor een remote aanvaller kwaadaardige code op het NAS-systeem kan injecteren. Het beveiligingslek is verholpen in QTS 5.0.1.2234 build 20221201 en nieuwer en QuTS hero h5.0.1.2248 build 20221215 en nieuwer. De update is via de ingebouwde updatefunctie te downloaden of de website van QNAP. bron: https://www.security.nl

Heb je je Chromebook schoongemaakt door middel van een PowerWash?

Een kwetsbaarheid in 130 printermodellen van fabrikant Lexmark maakt het mogelijk voor een aanvaller om op afstand code op de apparaten uit te voeren. Proof-of-concept exploitcode is al beschikbaar. Lexmark heeft firmware-updates uitgebracht om de kwetsbaarheid (CVE-2023-23560) te verhelpen (pdf). Het gaat om Server-Side Request Forgery (SSRF) in de webservices van de printer waardoor remote code execution mogelijk is. Een aanvaller kan zo vertrouwelijke informatie via de printer stelen of verdere aanvallen uitvoeren. Verdere details over het beveiligingslek zijn niet door Lexmark gegeven, behalve dat de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.0. Naast het installeren van de firmware-update geeft de printerfabrikant als workaround het blokkeren van de webservices-service op printer (tcp-poort 65002), wat misbruik van het beveiligingslek voorkomt. Eigenaren van een Lexmark-printer wordt opgeroepen om de update te installeren er is namelijk proof-of-concept exploitcode om misbruik van de kwetsbaarheid beschikbaar. Lexmark heeft naar eigen zeggen nog geen daadwerkelijk misbruik waargenomen. bron: https://www.security.nl

Gebruikers van wachtwoordmanager Bitwarden zijn het doelwit geworden van een phishingaanval die via malafide Google-advertenties begint. Bij het zoeken via Google naar "bitwarden password manager" en "bitwarden password generator" verscheen er een gesponsord resultaat dat zich voordoet als de officiële website van Bitwarden. Daarbij wordt de naam "appbitwarden" gebruikt. Dit domein stuurt gebruikers weer door naar een ander domein met de naam "bitwardenlogin". Het gaat om een phishingsite die identiek is aan de officiële inlogpagina van Bitwarden, vault.bitwarden.com, zo blijkt uit meldingen op Reddit. Met gegevens die gebruikers daar in vullen kan een aanvaller op het Bitwarden-account van de gebruiker inloggen en zo toegang tot diens wachtwoorden en andere opgeslagen gegevens krijgen. Na te zijn ingelicht over de malafide advertenties en phishingsite heeft Bitwarden naar eigen zeggen maatregelen genomen. Beide domeinnamen zijn inmiddels offline gehaald. De afgelopen maanden waarschuwden onderzoekers geregeld voor malware die via Google-advertenties wordt verspreid. Een aantal weken geleden adviseerde de FBI vanwege de malafide advertenties in de zoekmachine van Google nog het gebruik van een adblocker. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een nieuw systeem ontwikkeld om de registratie van risicovolle. nl-domeinnamen te herkennen. Het systeem wordt inmiddels al een aantal maanden ingezet. Bij zo'n vijftien procent van de misbruikmeldingen die de SIDN voor .nl ontvangt gaat het om een domeinnaam die minder dan dertig dagen vóór de melding werd geregistreerd. "Omdat deze domeinnamen zo snel na hun registratie worden gemeld, kan worden aangenomen dat ze met kwade bedoelingen zijn geregistreerd. Daaruit volgt dat we door malafide domeinnaamregistraties automatisch te identificeren en blokkeren de veiligheid van .nl kunnen verbeteren", zegt research engineer Thymen Wabeke. Om dergelijke risicovolle domeinnamen te herkennen ontwikkelde SIDN het systeem RegCheck, dat interpreteerbare risicoscores aan nieuwe domeinnaamregistraties toekent. Het systeem, dat uit een kennisgedreven én datagedreven model bestaat, werd onder andere getraind met 2100 malafide registraties en 103.000 willekeurige legitieme registraties uit februari 2021 tot augustus 2022. Onder malafide verstaat de SIDN .nl-domeinnamen die binnen 30 dagen na registratie op de abusefeed van Netcraft werden gemeld. Registraties die niet binnen 30 dagen werden gemeld worden als legitiem beschouwd. Het datagedreven model van RegCheck wist bijna de helft van de risicovolle registraties in de gebruikte evaluatiedataset te detecteren. De SIDN maakt sinds augustus vorig jaar naar eigen zeggen met succes gebruik van RegCheck om risicovolle domeinnaamregistraties binnen .nl te herkennen. "Wat betekent dat ons primaire doel is bereikt", aldus Wabeke. De research engineer benadrukt dat de SIDN meer doet dan alleen maar beoordelen of een domeinnaamregistratie een risico vormt. "Onze abuse-analisten komen dagelijks in actie naar aanleiding van registraties die door RegCheck zijn aangemerkt als risicovol." bron: https://www.security.nl

Microsoft heeft organisaties opnieuw opgeroepen om hun Exchange-servers te patchen. Volgens het techbedrijf zijn de mailservers een aantrekkelijk doelwit voor aanvallers. "Mailboxen van gebruikers bevatten vaak belangrijke en gevoelige data. Daarnaast bevat elke Exchange-server een kopie van het adresboek van de organisatie, wat veel informatie biedt voor social engineering", aldus Microsoft. Als laatste heeft Exchange vergaande koppelingen en permissies binnen de Active Directory, en binnen een hybride omgeving, toegang tot de cloudomgeving. Organisaties die hun Exchange-servers tegen misbruik van bekende kwetsbaarheden willen beschermen moet volgens Microsoft de laatste Cumulative Update (CU) installeren. Voor Exchange Server 2019 is dat CU12, voor Exchange Server 2016 is dat CU23 en in het geval van Exchange Server 2013 gaat het om Software Update 23. Microsoft laat aanvullend weten dat systeembeheerders na de installatie van een update mogelijk nog handmatige acties moeten uitvoeren. Daarvoor wordt verwezen naar het uitvoeren van de "Health Checker" die een overzicht van eventuele handmatige taken toont. "We weten dat het beschermen van je Exchange-omgeving essentieel is en we weten dat het nooit zal stoppen", aldus Microsoft. Het techbedrijf startte onlangs nog een enquête waarin het systeembeheerders naar feedback vraagt over het updateproces van Exchange-servers. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwt voor een kwetsbaarheid in wachtwoordmanager KeePass waardoor een aanvaller die al toegang tot een systeem heeft gegevens in de KeePass-database, zoals wachtwoorden, kan bemachtigen. De ontwikkelaar stelt dat het hier niet om een kwetsbaarheid gaat en de wachtwoorddatabase van KeePass niet ontworpen is om tegen een aanvaller met dergelijke toegang tot het systeem bescherming te bieden. Er zal dan ook geen beveiligingsupdate verschijnen. Een proof-of-concept exploit waarmee een lokale aanvaller de inhoud van de KeePass-database kan bemachtigen is online verschijnen. Het beveiligingslek wordt veroorzaakt doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale aanvaller kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens ongemerkt naar de aanvaller worden geëxporteerd. Volgens het NCSC kunnen systeembeheerders door middel van een Enforced Configuration misbruik toch voorkomen. "Door de parameter "ExportNoKey" op "false" te zetten wordt ervoor gezorgd dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens. Op die manier wordt voorkomen dat een kwaadwillende heimelijk gevoelige gegevens exporteert", aldus het NCSC. De overheidsinstantie adviseert organisaties om van een Enforced Configuration gebruik te maken en ten minste bovenstaande configuratie te implementeren. Daarnaast wordt organisaties geadviseerd om een risicoafweging te maken voor het gebruik van KeePass. De kwetsbaarheid in KeePass wordt aangeduid als CVE-2023-24055, maar is door de ontwikkelaar betwist. bron: https://www.security.nl

Onderzoeksbureau Zacks, dat voor financieel adviseurs, beleggers en andere financieel professionals analyses van aandelen en aandelenbeurzen uitvoert, heeft van 820.000 klanten de wachtwoorden en andere privégegevens gelekt. In een brief aan getroffen klanten laat Zacks weten dat het eind december ontdekte dat een onbekende "derde partij" toegang tot klantgegevens heeft gekregen. Het gaat specifiek om klanten die zich tussen november 1999 en februari 2005 voor "Zacks Elite" hadden aangemeld. Van deze klanten zijn naam, adresgegevens, telefoonnummer, e-mailadres en wachtwoord voor Zacks.com buitgemaakt. Hoe de aanval kon plaatsvinden laat Zacks niet weten. Bij alle getroffen klanten is het wachtwoord gereset. Daarnaast krijgen deze klanten het advies als ze hetzelfde wachtwoord ook voor andere websites gebruiken om het ook daar te wijzigen. bron: https://www.security.nl

Veel Windows-servers zijn kwetsbaar voor een kritiek spoofinglek omdat ze een vorig jaar oktober uitgebrachte beveiligingsupdate missen, zo stelt internetbedrijf Akamai. De kwetsbaarheid, aangeduid als CVE-2022-34689, bevindt zich in de Windows CryptoAPI en maakt het mogelijk om een certificaat te spoofen. Een aanvaller kan vervolgens acties uitvoeren als de partij aan wie het certificaat is uitgegeven, zoals authenticatie, het signeren van code. Zo zijn bijvoorbeeld man-in-the-middle-aanvallen mogelijk. De kwetsbaarheid werd door de Amerikaanse geheime dienst NSA en het Britse National Cyber Security Centre (NCSC) aan Microsoft gerapporteerd. Het techbedrijf kwam op 11 oktober vorig jaar met een beveiligingsupdate. De impact van spoofinglekken wordt over het algemeen niet als kritiek beoordeeld, maar dat is met deze kwetsbaarheid wel het geval. Microsoft waarschuwde dat aanvallers waarschijnlijk misbruik van het lek zullen gaan maken. Onderzoekers van Akamai hebben een proof-of-concept exploit ontwikkeld waarmee misbruik van de kwetsbaarheid mogelijk is. Daarnaast keek het internetbedrijf hoe goed machines tegen eventueel misbruik zijn beschermd, maar dat valt tegen. "We ontdekten dat minder dan één procent van de zichtbare machines in datacenters gepatcht is, wat inhoudt dat de rest niet tegen misbruik van deze kwetsbaarheid beschermd is", zegt onderzoeker Tomer Peled. "Certificaten spelen een belangrijke rol bij identiteitsverificatie op internet, wat deze kwetsbaarheid lucratief voor aanvallers maakt", gaat Peled verder. "De kwetsbaarheid heeft een CVSS-score van slechts 7.5 gekregen. We denken dat dit komt door het beperkte aantal kwetsbare applicaties en Windowsonderdelen waar de voorwaarden voor misbruik aanwezig zijn. Dat gezegd hebbende, er is nog steeds veel code dat deze API gebruikt en mogelijk kwetsbaar is, wat zelfs voor niet meer ondersteunde versies van Windows, zoals Windows 7, een patch rechtvaardigt." bron: https://www.security.nl

Er is een "golf" van aanvallen gaande waarbij WordPress-sites via hergebruikte wachtwoorden worden besmet met malafide plug-ins. Dat claimt Jetpack, onderdeel van Automattic, het bedrijf achter WordPress.com. Zodra aanvallers toegang hebben verkregen installeren ze als eerste de "core-stab" plug-in. gevolgd door andere plug-ins waarmee er controle over de website wordt verkregen. Jetpack geeft geen aantal van het getroffen WordPress-sites, maar stelt dat alle gecompromitteerde sites tenminste één e-mailadres hadden dat sinds 2019 in publieke datalekken voorkomt. De aanvallers gebruikten dan ook hergebruikte inloggegevens om de malware te installeren. WordPress-beheerders worden dan ook opgeroepen om te controleren of er geen onbekende plug-ins, themes of gebruikers binnen hun WordPress-site actief zijn. Gisteren meldde securitybedrijf Wordfence dat credential stuffing, waarbij aanvallers via hergebruikte wachtwoorden inloggen, vorig jaar de meestgebruikte aanvalsvector was tegen WordPress-sites. bron: https://www.security.nl

De Amerikaanse overheid waarschuwt organisaties voor misbruik van remote beheersoftware zoals AnyDesk en ScreenConnect (ConnectWise Control). Via dergelijke software is het mogelijk om systemen op afstand over te nemen. Aanleiding voor de waarschuwing zijn twee Amerikaanse overheidsinstanties die slachtoffer werden van een aanval waarbij de software werd ingezet. De aanval begon met een phishingmail waarin over een zogenaamde abonnementsverlening werd bericht. Om de verlenging "stop te zetten" moet een opgegeven telefoonnummer worden gebeld. Het gaat hier om een nummer van de aanvaller, die het slachtoffer instructies geeft om een bepaalde website te bezoeken. Deze website bevat een uitvoerbaar bestand dat wanneer uitgevoerd de remote beheersoftware downloadt. Het gaat hier om een portable executable die zonder installatie is te gebruiken en zo geconfigureerd is waardoor de aanvaller meteen verbinding met het systeem van het slachtoffer te maken. Vervolgens krijgt het slachtoffer, dat nog steeds met de aanvaller aan de lijn is, instructies om op internetbankieren in te loggen. De aanvaller wijzigt dan het rekeningoverzicht, waardoor het lijkt alsof het slachtoffer ten onrechte een bedrag bijgeschreven heeft gekregen. De aanvaller vraagt vervolgens dit bedrag naar een opgegeven rekening over te maken. Zeker twee niet nader genoemde Amerikaanse overheidsinstanties zijn hier slachtoffer van geworden. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) en de Amerikaanse geheime dienst NSA hadden de aanvallers een financieel motief, maar bestaat het risico dat ze hun toegang aan andere partijen verkopen, zoals buitenlandse spionagegroepen. Het CISA en de NSA willen met de waarschuwing organisaties wijzen op het malafide gebruik van legitieme remote beheersoftware. Ook moeten beheerders beseffen dat door het gebruik van portable executables zaken als beheerdersrechten en software management control policies zijn te omzeilen. Daarnaast wordt remote beheersoftware niet opgemerkt door antivirussoftware. Om dergelijke aanvallen te voorkomen geven de NSA en het CISA meerdere adviezen, waaronder het blokkeren van inkomende en uitgaande verbindingen naar bekende poorten gebruikt door remote beheersoftware. bron: https://www.security.nl

Een internationale taskforce tegen ransomware die afgelopen november werd aangekondigd, en waar ook Nederland deel van uitmaakt, is officieel van start gegaan. De International Counter Ransomware Task Force coördineert de aanpak van ransomware, zoals verstorende operaties en het delen van informatie. Ook komt er een toolkit voor onderzoekers met "tactieken, technieken en procedures" voor het verstoren van ransomwaregroepen en identificeren van de belangrijkste groepen. Verder zullen de 37 deelnemende landen ook gezamenlijke advisories uitbrengen met adviezen en waarschuwingen over kwetsbaarheden waar ransomwaregroepen misbruik van maken. Tevens zullen er periodiek anti-ransomware-oefeningen plaatsvinden om de gezamenlijke aanpak van ransomware verder te ontwikkelen, versterken en integreren. Australië is de eerste voorzitter van de taskforce. "Ransomware vormt een wereldwijde dreiging, en Australië roept andere landen op om deel te nemen aan dit wereldwijde initiatief om effectieve detectie, disruptie en vervolging van cybercriminelen die ransomware voor financieel gewin en andere doeleinden gebruiken te ondersteunen", zo stelt de Australische minister van Binnenlandse Zaken en Cybersecurity Clare O’Neil. bron: https://www.security.nl

Een aanvaller is erin geslaagd om de gegevens van 2,6 miljoen gebruikers van online taalplatform Duolingo te scrapen, maar er is geen sprake van een datalek, aldus het bedrijf. De data wordt op internet te koop aangeboden. Volgens de aanbieder van de dataset, die hier minimaal 1500 dollar voor wil hebben, zijn de gegevens door middel van een "blootgestelde API" gescrapet. Het gaat om accountgegevens, zoals naam, e-mailadres, foto en telefoonnummer. Via Duolingo is het mogelijk om allerlei talen te leren. Het platform had vorig jaar 50 miljoen actieve gebruikers per maand. "De gegevens zijn door middel van scraping van publieke profielinformatie verkregen", aldus een woordvoerder tegenover The Record. "Er heeft geen datalek of inbraak plaatsgevonden. We nemen privacy en security serieus en onderzoeken of er verdere actie is vereist om onze gebruikers te beschermen." De Ierse privacytoezichthouder DPC legde Meta vorig jaar een AVG-boete van 265 miljoen euro op wegens een groot datalek bij Facebook waardoor de data van 533 miljoen gebruikers op straat kwam te liggen. De data was door middel van scraping verzameld, waarbij er misbruik was gemaakt van een feature van het platform. Uit interne communicatie bleek dat Facebook datalekken door middel van scraping vervolgens als een industriebreed probleem wilde framen. bron: https://www.security.nl

Zendesk, het Amerikaanse bedrijf dat software voor klantondersteuning aanbiedt, is vorig jaar getroffen door een aanval waarbij er toegang tot een systeem met data van klanten werd verkregen. In een bericht aan klanten laat Zendesk weten dat het op 25 oktober ontdekte dat personeel het doelwit van een sms-phishingaanval was geworden. Een niet nader genoemd aantal van deze medewerkers trapte in de aanval, waardoor de aanvaller hun inloggegevens in handen kreeg. Met deze inloggegevens kreeg de aanvaller toegang "ongestructureerde data" van een loggingplatform. Zendesk zegt dat het vervolgens een onderzoek heeft ingesteld en daaruit begin dit jaar vaststelde dat er ook data van klanten is gecompromitteerd. Het gaat in ieder geval om Coinigy, een handelsplatform voor cryptovaluta. Volgens Zendesk heeft de aanvaller mogelijk toegang gekregen tot "service data" van coinigy.zendesk.com. Verdere details over de aanval en het soort gecompromitteerde gegevens zijn niet gegeven. bron: https://www.security.nl

Criminelen maken op grote schaal gebruik van Google-advertenties om ransomware en andere malware te verspreiden, zo waarschuwen beveiligingsonderzoekers. Wie via Google zoekt naar populaire software zoals WinRAR, LibreOffice, AnyDesk, VirtualBox, OBS, Blender en KMPlayer krijgt allerlei advertenties te zien die zogenaamd naar de officiële downloadsite lijken te wijzen, maar in werkelijkheid op een malafide, nagemaakte website uitkomen die malware aanbiedt. De afgelopen maanden is er geregeld gewaarschuwd voor het gebruik van Google-advertenties voor de verspreiding van malware, maar Google heeft het probleem nog altijd niet opgelost. Beveiligingsonderzoeker German Fernandez ontdekte bij één van de advertenties dat de achterliggende malware bij Bitbucket was gehost en in een paar dagen tijd duizenden keren was gedownload. Een aantal weken geleden adviseerde de FBI vanwege de malafide advertenties in de zoekmachine van Google nog het gebruik van een adblocker. Volgens onderzoeker Will Dormann zullen er ongetwijfeld mensen zijn die een adblocker gebruiken of zeggen dat ze nooit op advertenties klikken of hier in zouden trappen. "Maar sommige mensen trappen hier wel in. Het is een kwestie van aantallen." bron: https://www.security.nl