Captain Kirk

Een groep criminelen maakt onder andere gebruik van Google Ads voor de verspreiding van ransomware, zo stelt Microsoft. De groep wordt aangeduid als DEV-0569 en zit achter de verspreiding van de "Royal-ransomware". Meerdere groepen hebben de beschikking over deze ransomware. Volgens Microsoft valt DEV-0569 op door de gebruikte verspreidingsmethodes waardoor het meer organisaties kan bereiken. Zo maakt de groep gebruik van de contactformulieren op bedrijfswebsites om berichten met malafide links achter te laten. Ook maakt de groep gebruik van legitiem lijkende downloadsites die in werkelijkheid malafide bestanden aanbieden. Daarnaast heeft de groep ook Google Ads ingezet. De via Google getoonde advertentiecampagnes maken gebruik van het legitieme traffic distribution system (TDS) Keitaro om potentiële doelwitten te selecteren. Afhankelijk van bijvoorbeeld ip-adres of apparaat komt de advertentie uit op een legitieme downloadsite of een malafide versie. De malafide downloadsite biedt bijvoorbeeld het programma TeamViewer aan, maar in werkelijkheid gaat het om malware waarmee uiteindelijk de ransomware kan worden geïnstalleerd. Microsoft heeft het gebruik van het advertentiesysteem door de ransomwaregroep bij Google gerapporteerd. bron: https://www.security.nl

Mozilla gaat adblockers in Firefox geen beperkingen opleggen zoals Google in Chrome doet, zo heeft de softwareontwikkelaar nogmaals laten weten. Huidige adblockers blijven in ieder geval tot eind 2023 ondersteund en daarna zullen nieuwe adblockers bij de overstap naar de Manifest V3-specificatie niet worden beperkt. Manifest V3 bevat specificaties waar browser-extensies aan moeten voldoen. Twee jaar geleden kondigde Google Manifest V3 aan. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API voorgesteld genaamd declarativeNetRequest (DNR). Die beperkt de mogelijkheden van adblockers door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Gisteren maakte adblocker Adblock Plus bekend dat het vanwege Manifest V3 wordt gedwongen een beperkte adblocker uit te brengen. Google stapt halverwege volgend jaar over op Manifest V3 in Chrome. Mozilla laat weten dat het zeker tot eind 2023 extensies gebaseerd op Manifest V2 zal blijven ondersteunen. Uiteindelijk zal ook Mozilla Manifest V2 in Firefox uitfaseren, waardoor huidige extensies niet meer zullen werken. De Firefox-ontwikkelaar heeft echter besloten om de webRequest API in Manifest V3 te blijven ondersteunen, alsmede een compatibele versie van DNR. Volgens Mozilla biedt de webRequest API meer flexibiliteit dan DNR, waar adblockers en andere privacy- en security-extensies op creatieve wijze gebruik van kunnen maken. bron: https://www.security.nl

De makers van Adblock Plus zullen vanwege nieuwe regels van Google Chrome volgend jaar een beperkte versie van de adblocker uitbrengen. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google is druk bezig met de komst van Manifest V3. Eén van de aanpassingen in het nieuwe manifest betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Nu laat ook Adblock Plus weten dat Manifest V3 voor de nodige beperkingen zorgt. Adblockers zoals Adblock Plus maken gebruik van filterlijsten om advertenties en trackers te blokkeren. Met de komst van Manifest V3 worden adblockers beperkt in het aantal filterlijsten dat ze gebruikers kunnen bieden. Om aan de nieuwe eisen te voldoen zal Adblock Plus straks vijftig vooraf geïnstalleerde filters bieden die gebruikers kunnen in- en uitschakelen. Van deze filters kunnen gebruikers er maximaal tien gelijktijdig ingeschakeld hebben. Op dit moment worden de filterlijsten van Adblock Plus automatisch bijgewerkt, vaak dagelijks. Het automatisch dagelijks updaten van filterlijsten zal straks ook niet meer mogelijk zijn. In plaats daarvan zullen ontwikkelaars steeds nieuwe versies van hun extensies moeten uitbrengen. Wanneer de Manifest V3-versie van Adblock Plus verschijnt is nog niet bekend. De adblocker-ontwikkelaar zegt zich ook te zullen inzetten voor aanpassingen van Manifest V3. bron: https://www.security.nl

Een kwetsbaarheid in de BIG-IP-servers van fabrikant F5 maakt het mogelijk voor aanvallers om de apparaten op afstand over te nemen. De enige vereiste is dat een op de BIG-IP ingelogde beheerder met dezelfde browser waarmee hij is ingelogd een malafide of gecompromitteerde website bezoekt, of besmette advertentie te zien krijgt. Er is geen verdere interactie vereist. F5 heeft "engineering hotfixes" uitgebracht die klanten zelf moeten aanvragen. De kwetsbaarheid, aangeduid als CVE-2022-41622, betreft een cross-site request forgery (CSRF) probleem. Via CSRF is het mogelijk voor een aanvaller om handelingen vanuit de browser van de gebruiker uit te voeren zodra er webcontent van de aanvaller wordt verwerkt. Wanneer een BIG-IP-beheerder is ingelogd kan een aanvaller zo toegang tot de server krijgen. De impact van het beveiligingslek, dat door securitybedrijf Rapid7 werd ontdekt, is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. De afgelopen jaren zijn kwetsbaarheden in BIG-IP geregeld het doelwit van aanvallen geweest. F5 heeft "engineering hotfixes" uitgebracht om het probleem te verhelpen. Klanten moeten deze oplossing wel zelf bij F5 aanvragen. Een andere workaround die F5 adviseert is het gebruik van een aparte, geïsoleerde browser voor het beheer van BIG-IP-servers. bron: https://www.security.nl

Microsoft heeft vorige maand bij veel klanten Basic Authentication in Exchange Online uitgeschakeld en gaat dit ook voor het Autodiscover-protocol doen. Volgens Microsoft is Basic Authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen. Vorige maand werd Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell door Microsoft bij klanten uitgezet. Het volgende protocol waar Microsoft dit voor wil doen is Autodiscover. Via Autodiscover kan de e-mailsoftware van gebruikers zichzelf configureren. Gebruikers hoeven alleen hun e-mailadres en wachtwoord op te geven, waarna via Autodiscover de overige gegevens worden opgehaald en ingesteld. Het Autodiscover-protocol is geregeld het doelwit van password spraying-aanvallen. Door het uitschakelen van Basic Auth voor Outlook, Exchange ActiveSync en Exchange Web Services is er volgens Microsoft geen reden meer om Basic Auth voor Autodiscover ingeschakeld te houden. Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen. Er wordt hiermee direct begonnen bij klanten die dit jaar geen gebruik van Basic Auth hebben gemaakt. Voor de overige klanten zal dit begin 2023 het geval zijn. Microsoft benadrukt dat, net als met de andere protocollen, het Autodiscover-protocol zelf niet wordt uitgeschakeld, maar alleen de manier om het met alleen een gebruikersnaam en wachtwoord te gebruiken. bron: https://www.security.nl

Microsoft zal dit jaar geen grote update meer voor Exchange Server 2019 uitbrengen. De volgende 'Cumulative Update' verschijnt in de eerste helft van volgend jaar, zo heeft het techbedrijf bekendgemaakt. Eerder dit jaar kondigde Microsoft een aangepast updatebeleid voor Exchange Server aan. In plaats van elk kwartaal krijgt Exchange Server voortaan twee Cumulative Updates per jaar. Cumulative Updates bevatten bugfixes, nieuwe features en alle eerder uitgekomen beveiligingsupdates voor Exchange. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie een bepaalde CU-versie geïnstalleerd hebben. Klanten klaagden bij Microsoft dat het lastig was om hun Exchange Server met een recente CU-versie up-to-date te houden. Daarnaast werd aangegeven dat december geen goede maand is voor het uitbrengen van een Cumulative Update. Dit was ook de reden dat Microsoft vorig jaar december geen CU uitbracht. Destijds werd er echter geen reden gegeven. Vanwege de feedback besloot Microsoft afgelopen april om twee keer per jaar een CU uit te rollen, één in de eerste helft van het jaar en de ander in de tweede helft. Omdat er nog twee weken in november zijn en december geen goede maand is voor het uitbrengen van grote Exchange-updates heeft Microsoft nu besloten om de "H2 2022" Cumulative Update voor Exchange Server 2019 te annuleren. De volgende grote update zal "H1 2023" zijn. Deze update verschijnt alleen voor Exchange Server 2019, aangezien Exchange Server 2013 en 2016 zich in de extended support bevinden en geen Cumulative Updates meer ontvangen. Tevens waarschuwt Microsoft dat de algehele ondersteuning van Exchange Server 2013 op 11 april 2023 eindigt. Dat is over honderdvijftig dagen. bron: https://www.security.nl

De Europese Commissie moet in het voorstel voor verplichte veiligheidsregels voor hard- en software ook het belang van encryptie noemen, alsmede 'data protection by design and by default'. Dat vindt de Europese privacytoezichthouder EDPS in een vandaag gepubliceerde opinie (pdf). De Cyber Resilience Act die Brussel afgelopen september voorstelde moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software. Het wetsvoorstel stelt verschillende verplichtingen aan leveranciers. Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden. Ook moeten alle cyberrisico's zijn gedocumenteerd en moeten leveranciers actief aangevallen kwetsbaarheden en beveiligingsincidenten rapporteren. Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien. Ook moeten leveranciers duidelijke en begrijpelijke instructies geven voor het gebruik van producten met digitale elementen. Producten mogen straks alleen op de Europese markt worden aangeboden wanneer ze aan de "essentiële cybersecurity-verplichtingen" voldoen. De EDPS steunt het voorstel en stelt dat cybersecurity van zowel hard- als software van groot belang is om de fundamentele rechten van personen te beschermen. Toch zijn er verschillende zaken die de Europese privacytoezichthouder in het voorstel zou willen aanpassen. Zo moet het principe van "data protection by design and by default" in de verplichte eisen worden opgenomen. Verder wil de EDPS dat Brussel in het voorstel het belang benoemt van encryptie voor informatiebeveiliging, privacy, cybersecurity en databescherming. Een ander belangrijk punt dat de toezichthouder aankaart is dat de voorgestelde certificering voor producten die aan de veiligheidseisen voldoen geen vervanging van de AVG-certificering is. Het voorstel moet dan ook duidelijk maken dat een cybersecurity-certificaat niet zegt dat het product ook aan de AVG voldoet. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS wil dat er een algemeen verbod komt op het ontwikkelen en gebruik van geavanceerde spyware zoals Pegasus en Predator. Alleen in zeer uitzonderlijke situaties zou dergelijke spyware morgen worden ingezet. Daarnaast moet voorgestelde Europese wetgeving om journalisten tegen geavanceerde spyware te beschermen worden uitgebreid. Dat laat de EDPS vandaag in een opinie weten. De Europese Commissie presenteerde afgelopen september een nieuw wetsvoorstel dat het gebruik van spyware tegen mediaorganisaties, journalisten en hun gezinnen verbiedt, behalve als de nationale veiligheid in het geding is of er onderzoek naar misdrijven wordt gedaan. De European Media Freedom Act moet onder andere het bespioneren van journalisten tegengaan. De afgelopen maanden is gebleken dat spyware is ingezet voor het bespioneren van onder andere journalisten in Frankrijk, Griekenland en Hongarije. Alleen wanneer de nationale veiligheid in het geding is, waar de lidstaten zelf over gaan, of bij onderzoek naar bepaalde misdrijven wil de Europese Commissie de inzet van spyware toestaan. Het gaat dan om terrorisme, mensenhandel, kindermisbruik, wapenhandel, moord, orgaanhandel, kidnapping, gewapende overvallen, verkrachting en misdrijven die binnen de jurisdictie van het Internationaal Strafhof vallen. Volgens de Europese privacytoezichthouder schiet het wetsvoorstel op verschillende vlakken tekort. Zo geldt het voorstel niet voor alle journalisten, maar alleen die werkzaam zijn voor mediabedrijven. Freelancers of zelfstandige journalisten worden niet door het voorstel beschermd. De EDPS wil dat het voorstel voor alle journalisten geldt. Daarnaast heeft de toezichthouder twijfels over de effectiviteit van het voorstel. De huidige uitzonderingen om journalisten toch te bespioneren bieden onvoldoende waarborgen en juridische zekerheid. De enige echte oplossing om fundamentele rechten en vrijheden in de Europese Unie tegen geavanceerde spyware te beschermen, waaronder mediavrijheid, is een algemeen verbod op de ontwikkeling en het gebruik ervan, aldus de toezichthouder. Alleen in zeer beperkte, extreem nauwkeurig beschreven uitzonderingen zou inzet mogelijk zijn, met aanvullende robuuste waarborgen. De EDPS doet dan ook zeven aanbevelingen om het wetsvoorstel aan te passen. bron: https://www.security.nl

De makers van de populaire e-mailclient Thunderbird hebben zakelijke Microsoft Office 365-gebuikers gewaarschuwd voor een aankomende update. In een aankomende nieuwe versie van Thunderbird 102 zullen er aanpassingen worden doorgevoerd aan de manier waarop de e-mailclient omgaat met OAuth2-autorisaties voor Microsoft-accounts. Dit kan ervoor zorgen dat zakelijke Office 365-gebruikers met een bij Microsoft gehost account extra handelingen moeten uitvoeren. De aanpassingen zijn nodig omdat Microsoft bepaalde verificatie-eisen aan uitgevers stelt. Daardoor is Thunderbird gedwongen om op een nieuwe Azure-applicatie en applicatie-ID over te stappen. Sommige organisaties hebben accounts zo ingesteld dat de systeembeheerder toestemming moet geven voor elke applicatie die toegang tot e-mail wil. Voor gebruikers met een door Microsoft gehost account adviseert Thunderbird om versie 107.0b3 of nieuwer te downloaden en dan in te loggen, waarbij OAuth2 als inlogmethode moet zijn gekozen. Wanneer er tijdens het inlogproces een melding verschijnt wordt aangeraden de systeembeheerder te vragen om een specifieke client-id voor Thunderbird goed te keuren. Vervolgens kan de huidige versie van de e-mailclient weer worden gebruikt. bron: https://www.security.nl

Het Europees Parlement heeft vandaag ingestemd met nieuwe wetgeving die strengere eisen aan bedrijven, overheden en infrastructuur stelt op het gebied van cyberbeveiligingsmaatregelen. De wetgeving, waarover de leden en de Raad al overeenstemming bereikten in mei dit jaar, komt met verplichtingen voor risicobeheer, rapportageverplichtingen en het delen van informatie. De richtlijn inzake netwerk- en informatiebeveiliging (NIS2) introduceert nieuwe regels die een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele EU moeten bevorderen - zowel voor bedrijven als voor landen. Ook worden de cyberbeveiligingseisen aangescherpt voor middelgrote en grote bedrijven die in belangrijke sectoren actief zijn. De eisen hebben onder meer betrekking op het afhandelen van incidenten, beveiliging van de toeleveringsketen, encryptie en het openbaar maken van kwetsbaarheden. De NIS2-richtlijn is een herziening van de richtlijn inzake netwerk- en informatiebeveiliging uit 2016 en wil meer duidelijkheid scheppen en de implementatie verbeteren en inspelen op de snelle ontwikkelingen in dit gebied. De richtlijn dekt meer sectoren en activiteiten dan voorheen, stroomlijnt de rapporteringsverplichtingen en pakt de beveiliging van de toeleveringsketen aan. Zo moeten meer entiteiten en sectoren maatregelen nemen om zich tegen cyberaanvallen te beschermen. Het gaat dan om sectoren als energie, vervoer, banken, gezondheidszorg, digitale infrastructuur, openbaar bestuur en ruimtevaart. Ook wordt een kader vastgesteld voor betere samenwerking en informatie-uitwisseling tussen verschillende autoriteiten en lidstaten en wordt een “Europese kwetsbaarheidsdatabase” opgezet. Verder legt de wet EU-landen strengere verplichtingen op, op het gebied van toezicht voor cyberbeveiliging. Nu de wet is aangenomen hebben lidstaten 21 maanden de tijd om de richtlijn om te zetten in nationale wetgeving. bron: https://www.security.nl

Vpn-provider Proton VPN komt met browser-extensies voor Google Chrome en Mozilla Firefox, zo heeft het bedrijf in de roadmap voor het eerste deel van 2023 bekendgemaakt. Proton VPN biedt al apps voor Android, iOS, Windows, macOS, Linux en Chromebooks. Om de vpn-dienst op meer platformen en apparaten mogelijk te maken komt er nu ook een browser-extensie. Een testversie hiervan zou eind dit jaar nog moeten verschijnen. Verder krijgt ook de ingebouwde adblocker "NetShield" een update. Dit onderdeel van de Proton VPN-app blokkeert trackers, advertenties en malware. Straks krijgen gebruikers te zien hoeveel advertenties, trackers en malware zijn geblokkeerd, waar die vandaan komen en hoe ze zijn geblokkeerd. Deze update staat voor begin 2023 gepland. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om zo'n vijftienduizend WordPress-sites over te nemen en daar malafide code te plaatsen die bezoekers naar dubieuze websites doorstuurt. Dat stelt securitybedrijf Sucuri. De aanvallers lijken met de campagne twee doelen te hebben, namelijk meer verkeer voor hun dubieuze websites genereren waarop advertenties draaien en de positie van deze websites in de zoekranking van Google te verbeteren. Zodra de aanvallers toegang tot de website hebben voegen ze de malafide code aan verschillende WordPress-bestanden toe. Deze code stuurt ezoekers van de gecompromitteerde websites automatisch door naar "Q&A" websites over cryptovaluta en geld. Hoe de aanvallers precies toegang tot de websites weten te krijgen is op dit moment onbekend. Sucuri zegt geen misbruik van kwetsbare plug-ins te hebben waargenomen, wat een veelgebruikte methode is om WordPress-sites te kapen. Mogelijk zijn de wachtwoorden van de WordPress-beheerders gecompromitteerd, bijvoorbeeld via een bruteforce-aanval. bron: https://www.security.nl

Vanaf volgende maand zullen alle edities van Windows 10 versie 21H1 geen beveiligingsupdates meer ontvangen, zo waarschuwt het techbedrijf. Op 13 december stopt Microsoft namelijk de ondersteuning van deze versie. Om gebruikers te beschermen zal Windows Update op systemen van eindgebruikers met Windows 10 Home en Pro, die niet met een domein zijn verbonden, automatisch een feature-update naar een wel ondersteunde Windows 10-versie uitvoeren. Windows 10 versie 21H1 kwam vorig jaar mei uit. Voorheen bracht Microsoft twee keer per jaar een grote feature-update uit voor Windows 10, die in het geval van de Home- en Pro-edities achttien maandenlang met beveiligingsupdates werden ondersteund. Sinds de lancering van Windows 10 versie 21H2 (Windows 10 November 2021 Update) verschijnt er nog maar één keer per jaar een grote feature-update die ook achttien maanden op patches kan rekenen. bron: https://www.security.nl

Citrix heeft organisaties opgeroepen om een kritieke kwetsbaarheid in Citrix Gateway en Citrix ADC zo snel mogelijk te patchen. Via het beveiligingslek kan een aanvaller de authenticatie omzeilen en ongeautoriseerde toegang krijgen. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de Citrix ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. Het kritieke beveiligingslek waarvoor Citrix waarschuwt, aangeduid als CVE-2022-27510, doet zich alleen voor wanneer de ADC of Gateway als vpn-gateway zijn geconfigureerd. Verdere details over het lek zijn nog niet bekendgemaakt. Vanwege de impact van een gecompromitteerd systeem, waardoor verdere aanvallen mogelijk zijn, adviseert Citrix om de beschikbaar gemaakte beveiligingsupdates zo snel mogelijk te installeren. Een uit 2019 stammende kwetsbaarheid in Citrix Gateway en ADC werd destijds op grote schaal gebruikt en zorgde in Nederland volgens de ANWB zelfs voor files. Vorige maand meldde de Amerikaanse overheid dat dit beveiligingslek nog altijd geliefd is bij aanvallers. bron: https://www.security.nl

Tijdens de patchdinsdag van november heeft Microsoft zes actief aangevallen zerodaylekken verholpen. Het gaat onder andere om twee kwetsbaarheden in Exchange Server die in september al bekend werden gemaakt en waarvan velen dachten dat de updates vorige maand al zouden verschijnen. Via deze twee zerodaylekken kan een aanvaller met de inloggegevens van een mailbox de Exchange-server overnemen. Een kritiek zerodaylek in de Windows Scripting Languages maakt ook remote code execution mogelijk. Alleen het bezoeken van een malafide website of server share volstaat om de aanval uit te voeren, verdere interactie is niet vereist. Deze kwetsbaarheid (CVE-2022-41128) werd door een onderzoeker van Google gevonden. Verder heeft Microsoft ook een zeroday verholpen waardoor het mogelijk is de Mark-of-the-Web (MOTW) beveiliging van Windows te omzeilen. MOTW zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. Wanneer een bestand van een ongeldige digitale handtekening wordt voorzien zal de waarschuwing niet verschijnen. Criminelen hebben dit probleem onder andere misbruikt voor de verspreiding van ransomware. De overige twee zerodaylekken (CVE-2022-41125 en CVE-2022-41073) bevinden zich in de Windows CNG Key Isolation Service en Windows Print Spooler en maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen en zo volledige controle over het systeem te krijgen. Deze twee kwetsbaarheden zijn zelf door Microsoft gevonden. Het techbedrijf geeft geen details over de waargenomen aanvallen en wie doelwit waren. De updates worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Deze week kreeg een kwetsbaarheid in OpenSSL 3.0 veel aandacht, maar een veel groter probleem is het gebruik van OpenSSL-versies die niet meer met beveiligingsupdates worden ondersteund, zo stelt securitybedrijf Qualys op basis van eigen onderzoek. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in de software kunnen grote gevolgen hebben, zoals de Heartbleed-bug uit 2014 aantoonde. Het OpenSSL-ontwikkelteam had vorige week aangekondigd dat er een kritieke kwetsbaarheid in OpenSSL 3.0 aanwezig was. De impactbeoordeling werd echter afgeschaald naar een "hoge" impact, zo bleek afgelopen dinsdag bij het uitkomen van de update. Op dit moment zijn er twee versies van OpenSSL die worden ondersteund, namelijk versie 1.1.1 en 3.0. Securitybedrijf Censys meldde eerder al dat OpenSSL 3.0 weinig wordt gebruikt. Zo trof het bedrijf via een scan slechts zevenduizend servers met deze OpenSSL-versie aan. Qualys besloot bij de eigen klanten te kijken en ontdekte 15.000 organisaties die van OpenSSL gebruikmaken. Tien procent werkt binnen hun eigen omgeving met een kwetsbare OpenSSL 3.0-versie. Qualys besloot ook een serverscan uit te voeren op internet en detecteerde 14 miljoen servers. Slechts 13.000 daarvan draaiden OpenSSL 3.0. Wat volgens het securitybedrijf een veel grotere zorg is, is het gebruik van OpenSSL-versies die end-of-life of end-of-support zijn. 82 procent van de OpenSSL-installaties die Qualys detecteerde ontvangt geen beveiligingsupdates meer. Sinds 2002 zijn in de verschillende OpenSSL-versies meer dan tweehonderd kwetsbaarheden aangetroffen. Hoewel het aantal werkbare exploits beperkt is, wordt organisaties aangeraden naar een wel ondersteunde versie te updaten. bron: https://www.security.nl

Onderzoekers hebben nieuwe clipper-malware ontdekt die op besmette computers het gekopieerde walletadres in het clipboard vervangt door een gelijkend adres. Daardoor is er een veel grotere kans dat het slachtoffer onopgemerkt zijn cryptovaluta overmaakt naar de aanvallers. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. Malware op de computer kan het adres aanpassen, waardoor de aanvaller het geld ontvangt. Al sinds 2017 is er malware in omloop die door het aanpassen van het clipboard cryptovaluta weet te stelen. Iets dat criminelen honderdduizenden euro's heeft opgeleverd. Cryptogebruikers wordt dan ook aangeraden om op te letten wanneer ze een walletadres kopiëren en plakken. Een nieuwe versie van de Laplas-malware heeft hier iets voor verzonnen. Zodra het slachtoffer een walletadres kopieert downloadt deze clipper-malware een gelijkend walletadres van de server van de aanvaller. De kans dat het slachtoffer het aangepaste adres opmerkt is daardoor een stuk kleiner, zo stellen onderzoekers van securitybedrijf Cyble. De Laplas-clipper verspreidt zich via malafide e-mailbijlagen. bron: https://www.security.nl

De populaire video-app TikTok heeft het privacybeleid aangepast en laat daarin weten dat personeel buiten Europa toegang tot data van Nederlandse en andere Europese gebruikers kunnen krijgen. Data van Europese gebruikers wordt op dit moment in de Verenigde Staten en Singapore opgeslagen. Die gegevens zijn op afstand toegankelijk voor medewerkers in Brazilië, Canada, China, Israel, Japan, Maleisië, Filipijnen, Singapore, Zuid-Korea en de Verenigde Staten, zo laat de video-app in het aangepaste beleid weten. Volgens TikTok is toegang tot deze gegevens nodig om ervoor te zorgen dat gebruikers een "consistente, plezierige en veilige" ervaring op het platform hebben. Verder bevat het aangepaste privacybeleid informatie over de verschillende manieren waarop TikTok locatiegegevens over Europese gebruikers kan verzamelen. De video-app doet dit onder andere op basis van simkaart, ip-adres en gps-data. The Guardian meldt dat het nieuwe privacybeleid op 2 december in gaat. Eerder dit jaar liet Brendan Carr, commissaris bij de Amerikaanse toezichthouder FCC, weten dat TikTok een ernstige dreiging voor nationale veiligheid is. Carr had Apple en Google in juni gevraagd om TikTok uit hun appstores te verwijderen en deze week verklaarde hij tegenover Axios dat de Amerikaanse overheid de video-app zou moeten verbieden. Dit vanwege de manier waarop de Chinese eigenaar met de gegevens van Amerikaanse gebruikers omgaat, aldus de commissaris. Afgelopen september kreeg TikTok nog een boete van 405 miljoen euro wegens het overtreden van de AVG. E-mailadressen en telefoonnummers van mogelijk miljoenen kinderen waren afhankelijk van het gekozen account voor derden zichtbaar. bron: https://www.security.nl

Onderzoekers hebben in de Python Package Index (PyPI) tientallen malafide Python-packages aangetroffen die cookies, in de browser opgeslagen wachtwoorden, inloggegevens voor cryptowallets, Riot en Steam, Discord-tokens, Telegram-sessies en bestanden met opgeslagen wachtwoorden, 2FA-codes, cryptowallet keys en andere gevoelige informatie steelt. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Geregeld komt het voor dat aanvallers malafide packages uploaden en die voorzien van namen die erg lijken op die van legitieme packages. Ook bij de aanval waarover securitybedrijf Phylum bericht hebben de aanvallers code van legitieme packages genomen. Vervolgens werden de packages van malafide code voorzien en onder een iets andere naam geüpload naar PyPI. Het gaat dan om packages met namen als twyne en colorsama, die zich voordoen als de bekende packages twine en colorama. De bijna dertig door Phylum ontdekte malafide packages, die bij elkaar 5700 keer waren gedownload, installeren de "W4SP stealer". Deze malware steelt allerlei informatie van het systeem opgeslagen wachtwoorden, cookies, informatie over het systeem, Discord-tokens, inloggegevens voor cryptowallets (Exodus, Metamask en Atomic) en clients zoals Steam, Riot, NationsGlory, Telegram-sessies. Daarnaast kan de malware ook automatisch bestanden stelen, waarbij wordt gezocht naar opgeslagen wachtwoorden, 2FA-codes, wallet keys en andere gevoelige informatie. Net als bij vorige aanvallen met malafide packages wordt ontwikkelaars aangeraden om goed op te letten wat ze installeren. bron: https://www.security.nl

Mozilla komt volgend jaar met een investeringsfonds dat meer dan 35 miljoen dollar in 'verantwoorde technologie' gaat investeren, zo heeft de Firefox-ontwikkelaar aangekondigd. Het gaat dan om technologie die voor privacy, inclusiviteit, transparantie, toegankelijkheid en menselijke waardigheid moet zorgen. Start-ups die zich hiervoor inzetten lopen echter tegen allerlei hindernissen aan. "Het systeem is tegen ze", zo claimt Mozilla. Hoewel het investeringsfonds nog moet worden opgericht heeft Mozilla de afgelopen periode al geïnvesteerd in Secure AI Labs, Block Party en HeyLogin. De laatste is een wachtwoordmanager waarbij er geen master password meer is vereist om opgeslagen wachtwoorden te kunnen gebruiken. Volgens Mozilla worden de drie bedrijven gedreven door het idee van een digitale wereld die privé, veilig en respectvol kan zijn. Met de investeringen wil de Firefox-ontwikkelaar naar eigen zeggen de tech-industrie in een andere richting duwen. Oprichters van start-ups of investeerders die deze visie delen worden opgeroepen om zich te melden. bron: https://www.security.nl

Er komt een internationale taskforce die zich met de bestrijding van ransomware wereldwijd gaat bezighouden, zo hebben 37 landen met elkaar afgesproken. De afgelopen dagen vond voor de tweede keer in de Verenigde Staten het International Counter Ransomware Initiative (CRI) plaats, waarbij landen en bedrijven bij elkaar kwamen om de aanpak van ransomware te bespreken. Tijdens het evenement zijn verschillende zaken afgesproken. Zo wordt er een "International Counter Ransomware Task Force" opgericht die de aanpak van ransomware gaat coördineren, zoals verstorende operaties en het delen van informatie. Ook komt er een toolkit voor onderzoekers met "tactieken, technieken en procedures" voor het verstoren van ransomwaregroepen en identificeren van de belangrijkste groepen. Verder zullen de landen ook gezamenlijke advisories uitbrengen met adviezen en waarschuwingen over kwetsbaarheden waar ransomwaregroepen misbruik van maken. Tevens zullen er periodiek anti-ransomware-oefeningen plaatsvinden om de gezamenlijke aanpak van ransomware verder te ontwikkelen, versterken en integreren. De deelnemende landen hebben ook toegezegd dat ze maatregelen zullen nemen om het gebruik van het cryptovaluta-ecosysteem door ransomwaregroepen te voorkomen. Zo zal er onder andere informatie over gebruikte cryptowallets worden gedeeld en moet door middel van "know your customer" regels voorkomen worden dat criminelen misbruik van cryptodiensten kunnen maken. Een ander punt is een actievere informatiedeling tussen overheid en bedrijfsleven over groepen en hun werkwijzes. Op de lijst met deelnemende landen ontbreken landen die er om bekend staan ransomwaregroepen te herbergen. In de gezamenlijke slotverklaring hebben de 37 deelnemende landen echter aangegeven dat ze de politieke kosten zullen vergroten voor landen die ransomwaregroepen herbergen. Hoe deze druk er precies komt uit te zien is niet bekendgemaakt. bron: https://www.security.nl

OpenSSL heeft vandaag een beveiligingsupdate uitgebracht voor een kwetsbaarheid in OpenSSL 3.0 die eerst als kritiek was aangekondigd, maar vanwege mitigerende maatregelen is afgeschaald naar het lagere impactniveau "High". Via de kwetsbaarheid (CVE-2022-3602) kan een aanvaller een denial of service veroorzaken of in potentie op afstand code uitvoeren. Veel platformen maken echter gebruik van beveiligingsmaatregelen die dergelijke remote code execution moeten voorkomen, aldus het OpenSSL Project Team. OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen en kwetsbaarheden hierin kunnen grote gevolgen hebben, zoals de HeartBleed-bug in 2014 demonstreerde. De ontwikkelaars laten van tevoren weten wanneer beveiligingsupdates voor OpenSSL uitkomen en wat daarvan de impact is. Vorige week werd aangekondigd dat een kritieke kwetsbaarheid zou worden verholpen. Een beveiligingslek met een dergelijke impact is pas één keer eerder in de software verholpen, namelijk in 2016. Tal van securitybedrijven en overheidsinstanties riepen organisaties dan ook op om zich voor te bereiden, ook al speelt het probleem alleen in OpenSSL 3.0, dat veel minder wordt gebruikt dan OpenSSL 1.1.1. Nu laat het OpenSSL Project Team weten dat er twee kwetsbaarheden in OpenSSL 3.0 zijn verholpen die beide een "high" impact hebben. Dit is het één na hoogste impactniveau wat OpenSSL aanhoudt. Voor beveiligingslekken die als high en critical zijn beoordeeld brengt het OpenSSL-team een nieuwe versie uit. De twee nu verholpen kwetsbaarheden, CVE-2022-3602 en CVE-2022-3786, doen zich voor bij de verificatie van X.509-certificaten. Door middel van een speciaal geprepareerd e-mailadres kan een aanvaller een buffer overrun veroorzaken wat voor een crash van de server kan zorgen. Hiervoor zou een certificaatautoriteit wel eerst een malafide certificaat moeten hebben gesigneerd of een applicatie moeten blijven proberen om een certificaat te verifiëren, ook al is het niet mogelijk om dit bij een vertrouwde uitgever te controleren. In het geval van een TLS-client is de aanval mogelijk wanneer er met een malafide server verbinding wordt gemaakt. Bij een TLS-server is het mogelijk wanneer de server aan clients vraagt zich te authenticeren en een malafide client verbinding maakt. Via CVE-2022-3602 zou ook remote code execution mogelijk zijn. Veel platformen maken echter gebruik van stack overflow-beveiliging, wat tegen het risico van een dergelijke aanval beschermt. Vanwege deze mitigerende factoren is de kwetsbaarheid lager ingeschaald. Desondanks worden organisaties opgeroepen om de update naar OpenSSL 3.0.7 wel te installeren. Het Nationaal Cyber Security Centrum (NCSC) houdt een lijst van kwetsbare applicaties bij, aangezien OpenSSL door veel programma's wordt gebruikt. Ook deze programma's zullen de komende tijd met updates komen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om via een phishingaanval broncode van Dropbox te stelen, alsmede gegevens van klanten, medewerkers en leveranciers. De phishingaanval bestond uit een e-mail die afkomstig leek van CircleCI, een populair devops-platform gebruikt voor softwareontwikkeling dat met GitHub is te integreren. Net als veel andere bedrijven maakt Dropbox gebruik van softwareontwikkelingsplatform GitHub en heeft daar ook allerlei broncode opgeslagen. Volgens de phishingmail moest de ontvanger op GitHub inloggen om de nieuwe algemene voorwaarden te accepteren. De link in het bericht wees echter naar een phishingpagina. Deze pagina probeerde niet alleen de inloggegevens van GitHub-gebruikers te bemachtigen, maar in het geval ze 2FA hebben ingeschakeld ook hun 2FA-codes in real-time. Zo wist de aanvaller toegang tot de GitHub-omgeving van Dropbox te krijgen en kopieerde 130 repositories met broncode en andere software. Het ging onder andere om API-keys van ontwikkelaars, aangepaste third-party libraries waar Dropbox gebruik van maakt, interne prototypes en sommige tools en configuratiebestanden van het Dropbox-securityteam. Ook zijn namen en e-mailadressen van medewerkers, huidige klanten, ex-klanten en leveranciers in handen van de aanvaller gekomen. Dropbox benadrukt dat er geen broncode van de primaire apps en infrastructuur is bemachtigd. Toegang tot deze repositories is beter afgeschermd, aldus de opslagdienst. Tevens zijn de inhoud van Dropbox-accounts en wachtwoorden en betaalgegevens van gebruikers niet gecompromitteerd. Eind september waarschuwde GitHub al voor dergelijke phishingaanvallen. Na een oproep van de Amerikaanse overheid om "phishingbestendige multifactorauthenticatie" (MFA) te gebruiken stelt ook Dropbox dat niet alle MFA gelijk is en sommige kwetsbaarder is voor phishing dan anderen. "Veel organisaties vertrouwen nog op minder veilige versies van MFA, zoals pushnotificaties, one-time passwords en time-based one-time passwords - WebAuthn is op dit moment de gouden standaard", aldus de opslagdienst. Die zegt dat het al bezig was met de uitrol van meer phishingbestendige MFA en dat binnenkort de gehele Dropbox-omgeving met hardwarematige tokens en biometrische factoren is beveiligd. bron: https://www.security.nl

Een kwetsbaarheid in Microsofts Jupyter Notebooks for Azure Cosmos DB maakte ongeautoriseerde toegang tot klantgegevens mogelijk. Microsoft heeft het probleem, dat aanwezig was van 12 augustus tot 6 oktober, inmiddels verholpen en zegt dat er geen misbruik van het beveiligingslek is gemaakt. Jupyter Notebooks is een open source interactieve ontwikkelomgeving. Het wordt onder andere gebruikt voor datavisualisatie, het delen van code, machine learning, statische modellering, datatransformaties en simulaties. Een kwetsbaarheid maakte het mogelijk om zonder geldige inloggegevens toegang te krijgen. De enige vereiste was het achterhalen van de GUID van een actieve sessie. Volgens Microsoft was misbruik van de kwetsbaarheid lastig, aangezien het om een 128-bit willekeurig GUID gaat en sessies één uur bestaan. Na een uur worden de workspace en alle data daarin, waaronder de notebooks, automatisch verwijderd. Het probleem met de authenticatie werd veroorzaakt door een aanpassing in een backend-API waar AzureCosmos DB Jupyter Notebooks gebruik van maken. bron: https://www.security.nl

Distributed denial-of-service (DDoS)-aanvallen kunnen grote gevolgen hebben voor organisaties wat betreft tijd, geld en reputatieschade, aldus de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). De Amerikaanse overheidsinstanties hebben daarom een stappenplan gepresenteerd dat organisaties kunnen gebruiken om ddos-aanvallen te voorkomen of de impact daarvan te beperken (pdf). Volgens de FBI en het CISA moeten als eerste de essentiële diensten en systemen in kaart worden gebracht en hoe gebruikers daarmee verbinding maken. Verder wordt het implementeren van een anti-ddos-dienst aangeraden en moet bekend zijn welke maatregelen de gebruikte internetprovider en cloudproviders hebben genomen. Een ander onderdeel van het plan van aanpak is het opstellen van een ddos-responsplan en een ddos-bedrijfscontinuïteitplan. Wanneer organisaties denken met een ddos-aanval te maken hebben adviseren de FBI en het CISA om dit eerst te bevestigen en de eigen internetprovider te benaderen. Vervolgens moeten mitigaties worden uitgerold en het netwerk gemonitord. Daarbij doen de FBI en het CISA ook aanbevelingen voor het instellen van de firewall. Zodra de aanval voorbij is vraagt de FBI dit te melden en kunnen organisaties hun responsplan aanpassen om de reactie op toekomstige aanvallen te verbeteren. bron: https://www.security.nl