Captain Kirk

Beste Eus18, hoe staat het met je probleem?

Google heeft voor de zevende keer dit jaar een actief aangevallen zerodaylek in Chrome verholpen. Eerder verschenen er updates voor dergelijke kwetsbaarheden in februari, maart, april, juli, augustus en september. Het nieuwste zerodaylek, aangeduid als CVE-2022-3723, bevindt zich in V8. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin het afgelopen jaar al tal van andere zerodaylekken werden gevonden. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Het techbedrijf werd op 25 oktober door onderzoekers van antivirusbedrijf Avast over het probleem ingelicht. Google Chrome 107.0.5304.87/88 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Microsoft heeft de afgelopen maand een usb-worm die tot ransomware-infecties kan leiden op drieduizend computers van zo'n duizend organisaties gedetecteerd. De usb-worm kan zich mede verspreiden omdat organisaties AutoRun inschakelen, een functie die vanwege beveiligingsredenen standaard in Windows voor usb-sticks staat uitgeschakeld. Dat laat Microsoft in een analyse weten. De worm wordt Raspberry Robin genoemd en kan zich op twee manieren verspreiden. De eerste manier is het gebruik van malafide lnk-bestanden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick of hebben de naam van een usb-stickfabrikant. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd. De tweede gebruikte methode is het gebruik van AutoRun. Via deze functionaliteit kan software op bijvoorbeeld usb-sticks automatisch worden gestart zodra het apparaat wordt aangesloten. Jaren geleden werd AutoRun op grote schaal gebruikt voor de verspreiding van malware via usb-sticks. Microsoft besloot daarop de functionaliteit te beperken, zodat die standaard niet voor usb-sticks werkt. Veel bedrijven schakelen AutoRun echter in voor usb-sticks, zo claimt Microsoft. Eenmaal actief voegt Raspberry Robin een registersleutel toe zodat de malware bij elke start van het systeem wordt geladen. Vervolgens kan de usb-worm aanvullende malware installeren. Ook gebruiken ransomwaregroepen de toegang die Raspberry Robin biedt om vervolgens binnen de getroffen organisatie ransomware uit te rollen. Zo hebben verschillende infecties met de usb-worm geleid tot besmettingen met de beruchte Clop-ransomware. Om de dreiging tegen te gaan adviseert Microsoft om AutoRun niet voor usb-sticks en andere schijven in te schakelen en onvertrouwde en ongesigneerde processen vanaf usb-sticks te blokkeren. bron: https://www.security.nl

Het Tor Project heeft wegens een probleem met een belangrijk onderdeel van Tor Browser waardoor sommige gebruikers geen verbinding meer met het netwerk kunnen maken een noodupdate voor de browser uitgebracht. Het probleem doet zich voor bij gebruikers die van "Snowflake" afhankelijk zijn voor het omzeilen van overheidscensuur. Snowflake is een "pluggable transport" die een combinatie gebruikt van domain fronting en peer-to-peer WebRTC-verbindingen tussen vrijwilligers en Tor-gebruikers om zo internetcensuur te omzeilen. Dagelijks maken meer dan 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. In sommige landen waar internetcensuur heerst kunnen providers het Tor-verkeer blokkeren. Als oplossing beschikt Tor Browser over pluggable transports. Daarbij wordt het Tor-verkeer omgevormd tot onschuldig lijkend verkeer. Op deze manier zien partijen die het verkeer monitoren niets verdachts en kunnen gebruikers toch van het Tor-netwerk gebruik maken. Snowflake zorgt ervoor dat Tor-gebruikers in landen met internetcensuur via de browser van een vrijwilliger in een ander land verbinding kunnen maken met het Tor-netwerk. Het enige wat vrijwilligers hoeven te doen is het installeren van een Chrome- of Firefox-extensie. Vrijwilligers hoeven zich volgens het Tor Project ook geen zorgen te maken over welke websites mensen via hun proxy bezoeken, aangezien het zichtbare ip-adres het ip-adres van de exitnode is en niet dat van de vrijwilliger. Met de lancering van Tor Browser 11.5.5 afgelopen dinsdag werd Snowflake verder geïntegreerd in de browser. De voor Snowflake gebruikte parameters bleken bij deze integratie te lang, waardoor Tor Browser dacht dat er geen pluggable transport was ingesteld. Gebruikers die hiervan afhankelijk zijn om verbinding met het Tor-netwerk te maken kregen dan ook geen verbinding. Het Tor Project is nu met een "emergency release" gekomen om het probleem te verhelpen. Gebruikers wordt dan ook aangeraden om te updaten naar Tor Browser 11.5.6. bron: https://www.security.nl

Microsoft heeft het probleem met de driver-blocklist voor Windows 10 verholpen, nadat eerder bekend was geworden dat die al drie jaar lang niet automatisch op systemen werd bijgewerkt. Het afgelopen jaar zijn er verschillende aanvallen waargenomen waarbij aanvallers een kwetsbare driver op het aangevallen systeem installeren. Via de kwetsbaarheid in de driver kunnen de aanvallers hun rechten verder verhogen en bijvoorbeeld beveiligingssoftware uitschakelen. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Om Windowscomputers tegen kwetsbare drivers te beschermen zijn Windows 10, 11 en Server 2016 en nieuwer voorzien van een blocklist die via Windows Update wordt bijgewerkt. Op de lijst staan kwetsbare drivers die Windows niet zal laden. Het automatisch bijwerken van de lijst is op Windows 10 is echter drie jaar lang niet gebeurd, zo ontdekte beveiligingsonderzoeker Will Dormann. Meer dan een maand sinds Dormann via Twitter aan de bel trok is Microsoft nu met een update gekomen die het probleem verhelpt voor Windows 10-machines waarop Hypervisor-protected Code Integrity (HVCI) is ingeschakeld of die Windows in de S-mode draaien. Voor Windows 11 staat de blocklist na installatie van de 2022 Update op alle systemen ingeschakeld. Gebruikers kunnen de blocklist op zowel Windows 10 als Windows 11 uitschakelen. bron: https://www.security.nl

Mozilla overweegt om eind augustus 2023 de ondersteuning van Firefox op Windows 7 te stoppen. De browser zal dan geen beveiligingsupdates meer ontvangen. Veel Firefox-gebruikers maken echter nog gebruik van Windows 7, een definitieve beslissing is dan ook nog niet genomen. Eerder deze week liet Google weten dat het volgend jaar februari de ondersteuning van Chrome op Windows 7 en Windows 8.1 stopt. Microsoft stopt zelf op 10 januari 2023 met de support van Windows 7 Extended Security Update (ESU) en Windows 8.1. Al drie jaar geleden werd er binnen Mozilla gesproken om de support voor Windows 7 te stoppen, waarvan de standaardondersteuning door Microsoft op 14 januari 2020 eindigde. Lange tijd kreeg het onderwerp echter geen aandacht bij de Firefox-ontwikkelaar, tot de aankondiging van Google deze week. Mozilla lijkt nu op twee gedachten te hinken. De eerste optie is om net als Microsoft en Google de Windows 7-support begin volgend jaar te stoppen. De andere mogelijkheid is anders eind augustus, aangezien dit samenvalt met het einde van de support voor Firefox ESR 115. Een dergelijke maatregel kan grote gevolgen voor Firefox hebben. Op dit moment werkt bijna zestien procent van alle Firefox-gebruikers namelijk met Windows 7. Volgens Mozilla-engineer Joel Maher zal het dan ook een "productbeslissing" zijn. bron: https://www.security.nl

OpenSSL zal volgende week voor de tweede keer sinds het bestaan van de software met een beveiligingsupdate voor een kritieke kwetsbaarheid komen. De vorige keer was in september 2016. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen. Via kritieke kwetsbaarheden, een categorie die sinds 28 september 2015 door OpenSSL wordt gehanteerd, kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug uit 2014 eerder aangetoond. Via dit lek werd informatie uit het geheugen van webservers gestolen, waaronder privésleuteld die voor TLS-certificaten worden gebruikt. Ook werd de kwetsbaarheid ingezet bij aanvallen tegen vpn-servers. Het OpenSSL Project Team heeft vandaag aangekondigd dat op dinsdag 1 november een beveiligingsupdate verschijnt voor een kritieke kwetsbaarheid in OpenSSL 3.x. De patch zal tussen 14.00 en 18.00 uur verschijnen. Voor OpenSSL versie 1.1.x is geen beveiligingsupdate aangekondigd. bron: https://www.security.nl

Twee kwetsbaarheden in Cisco AnyConnect Secure Mobility Client waarvoor meer dan twee jaar geleden updates verschenen worden actief misbruikt, zo laat Cisco vandaag weten. De AnyConnect Secure Mobility Client is vpn-software waarmee gebruikers verbinding met een vpn-server kunnen maken. Op 19 februari 2020 en 5 augustus 2020 kwam Cisco met beveiligingsupdates voor de vpn-software. Aanleiding waren twee kwetsbaarheden (CVE-2020-3153 en CVE-2020-3433) die een "DLL hijacking attack" mogelijk maken. Een aanvaller die al toegang tot een systeem heeft kan via dergelijke aanvallen software op het systeem een kwaadaardig DLL-bestand laten laden dat met verhoogde rechten wordt uitgevoerd. In het geval van de kwetsbaarheden in de Cisco vpn-software kan een aanvaller zo systeemrechten krijgen en het systeem volledig overnemen. De beveiligingslekken mogen dan meer dan twee jaar oud zijn, deze maand ontdekte Cisco zelf dat er misbruik van wordt gemaakt. Het netwerkbedrijf roept klanten dan ook om de beschikbaar gemaakte beveiligingsupdates te installeren. bron: https://www.security.nl

Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, heeft een waarschuwing gegeven voor vier oude kwetsbaarheden in drivers van moederbordfabrikant Gigabyte waarmee lokale aanvallers volledige controle over systemen kunnen krijgen. Begin dit jaar meldde antivirusbedrijf Sophos al dat één van de kwetsbaarheden bij ransomware-aanvallen werd gebruikt. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, om zo beveiligingssoftware uit te zetten. De afgelopen maanden bleken aanvallers onder andere een anti-cheatdriver van de videogame Genshin Impact en drivers van antivirusbedrijf Avast en MSI AfterBurner bij ransomware-aanvallen te hebben gebruikt voor het neutraliseren van antivirussoftware. Nu waarschuwt het CISA ook voor misbruik van Gigabyte-drivers. Details over de aanvallen zelf zijn niet gegeven. De vier kwetsbaarheden (CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 en CVE-2018-19323) werden in 2018 gerapporteerd. Destijds ontkende Gigabyte dat de eigen producten kwetsbaar waren, maar kwam daar later op terug. Zodra aanvallers toegang tot een systeem hebben installeren ze de drivers om hun rechten te verhogen. Het CISA verzoekt nu federale overheidsinstanties die van de betreffende drivers gebruikmaken om de beveiligingsupdates hiervoor te installeren. Die werden op 18 mei 2020 door Gigabyte uitgebracht. bron: https://www.security.nl

Op Chromium-gebaseerde browsers kunnen het lokale ip-adres van gebruikers lekken, wat bijvoorbeeld is te gebruiken voor het fingerprinten van gebruikers. De informatie is te achterhalen door middel van WebRTC, een door Google ontwikkeld opensourceproject dat browsers van Real-Time Communicatie (RTC) voorziet, zoals online video. De meeste browsers proberen het lokale ip-adres van de gebruiker te verbergen, zodat dit niet direct zichtbaar is via websites als browserleaks.com. Via een onderdeel van WebRTC is het echter mogelijk om deze informatie alsnog te achterhalen. Een webontwikkelaar heeft nu de "WebRTC Local IP Leak Test" gemaakt, een script dat het adres voor lokale ip-reeksen weergeeft. Via fingerprinting wordt er informatie over de systeemconfiguratie van internetgebruikers verzameld. Doordat deze configuratie uniek kan zijn, zijn gebruikers ook zonder ip-adres of cookies te volgen. Hoe meer informatie er kan worden verzameld, des te nauwkeuriger de fingerprint. bron: https://www.security.nl

Vanaf volgend jaar februari zullen gebruikers van Google Chrome op Windows 7 en 8.1 geen beveiligingsupdates meer ontvangen. De support van de browser op beide besturingssystemen wordt dan stopgezet. Dat heeft Google bekendgemaakt. "Met de release van Chrome 110, gepland voor 7 februari 2023, zullen we officieel de ondersteuning voor Windows 7 en Windows 8.1 stoppen", aldus Google. Vanaf dan zal Chrome voor Windowsgebruikers alleen nog op Windows 10 en nieuwer worden ondersteund. Microsoft stopt zelf op 10 januari 2023 met de support van Windows 7 Extended Security Update (ESU) en Windows 8.1. Google stelt dat oudere Chrome-versies blijven werken, maar er geen nieuwe updates voor gebruikers van deze besturingssystemen zullen verschijnen. Het techbedrijf roept gebruikers van Windows 7 en 8.1 op om naar een wel ondersteunde Windows-versie te upgraden, om zo ook de nieuwste beveiligingsupdates en features voor Google Chrome te blijven ontvangen. Volgens cijfers van StatCounter draait vijf procent van de Windowscomputers in Nederland nog op Windows 7, gevolgd door Windows 8.1 met 2,3 procent. bron: https://www.security.nl

Een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet is door middel van een ongeldige handtekening te omzeilen. Dat ontdekte beveiligingsonderzoeker Will Dormann. Aanvallers maken actief misbruik van probleem om systemen met ransomware te infecteren. Mark-of-the-Web (MOTW) zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. Onlangs lieten onderzoekers van HP Wolf Security weten dat eindgebruikers via nep-updates met de Magniber-ransomware werden geïnfecteerd. De zogenaamde software-update wordt vanaf malafide websites aangeboden. Het gaat om een zip-bestand waarin een JavaScript-bestand zit. Normaliter zouden gebruikers een waarschuwing te zien moeten krijgen dat ze een bestand openen dat van het internet afkomstig is. De waarschuwing verschijnt echter niet, wat komt doordat er een digitale handtekening aan het bestand is toegevoegd. Het is mogelijk om bestanden digitaal te signeren. Daardoor weten gebruikers van wie het bestand afkomstig is en dat de code sinds de publicatie niet is aangepast. Dormann deed verder onderzoek naar het malafide bestand en zag dat er een ongeldige handtekening was gebruikt die ervoor zorgt dat Windows de MOTW-waarschuwing niet toont. "Alsof het bestand geen Mark-of-the-Web heeft", zo laat hij via Twitter weten. Daardoor krijgen gebruikers bij het openen van het script geen waarschuwing en wordt de ransomware vervolgens geïnstalleerd. Dormman vermoedt dat het probleem wordt veroorzaakt door de SmartScreen-controle die aanwezig is in Windows 10 en nieuwer. Wanneer gebruikers de controle van apps en bestanden door SmartScreen uitschakelen verschijnt er wel een melding. Microsoft is over het probleem ingelicht en zou een onderzoek zijn gestart. bron: https://www.security.nl

Ik ben geen Mac-kenner, maar heb dit al eens een keer gehad met een gewone pc. Omdraaien van de HDMI-kabel loste toen het probleem op. Klinkt vreemd, maar wie weet...

Als ik het goed begrijp wil je gewoon je muziek vanaf je gsm via je versterker kunnen beluisteren. Ik gebruik hiervoor een eenvoudige Wireless Audio Adapter. Deze kun je al voor weinig krijgen. Linkje als voorbeeld staat hieronder. De foto laat zien hoe ik hem in mijn studio heb. Link: Wifi Audio Adapter

Wanneer het probleem hardwarematig zou zijn, zou schommeling in temperatuur van de print ervoor kunne zorgen dat een contact niet meer goed werkt. Maar wanneer jouw "oplossing" het probleem weg houdt, denk ik toch eerder aan wat Passer aangeeft: kijk eens naar je drivers. Volgens mij zit daar een conflict.

Gisteren was het Global Encryption Day en de dag is door het Tor Project aangegrepen om end-to-end encryptie als standaard voor privéberichten op alle platforms te eisen. Het Tor Project is de organisatie achter het Tor-netwerk en Tor-browser, die dagelijks door 2,5 miljoen mensen worden gebruikt voor het beschermen van hun privacy en bezoeken van gecensureerde websites. Iets dat volgens het Tor Project alleen mogelijk is dankzij encryptie. De organisatie stelt dat veilige, versleutelde communicatie nu belangrijker is dan ooit. Gesprekken die de ene dag normaal zijn, kunnen de volgende dag illegale content bevatten, zo stelt Al Smith van het Tor Project. Er zijn echter platforms waarbij privéberichten niets standaard end-to-end versleuteld zijn. Iets dat wel zou moeten, merkt Smith op. Hij wijst naar Facebook, dat eerder dit jaar privéberichten tussen een moeder en haar dochter met de politie deelde. "Zonder end-to-end encryptie kunnen onze online levens worden gehackt, gedeeld met de politie of zelfs bekeken door enge bedrijfsmedewerkers", gaat Smith verder. Daarom heeft het Tor Project naar eigen zeggen Global Encryption Day aangegrepen om te eisen dat Big Tech privéberichten van end-to-end encryptie voorziet. Niet als verborgen feature, maar als standaardinstelling. "Bedrijven als Meta, Twitter, Apple, Google, Slack, Discord en alle diensten met chatfeatures moeten end-to-end encryptie meteen aan hun chatdiensten toevoegen." Daarnaast is digitale rechtenbeweging Fight for the Future een online petitie gestart die techbedrijven oproept om privéberichten end-to-end te versleutelen. bron: https://www.security.nl

NAS-apparaten van fabrikant Synology zijn via drie kritieke kwetsbaarheden op afstand over te nemen. Misbruik van de beveiligingslekken is eenvoudig en vereist geen interactie van gebruikers. Synology heeft updates uitgebracht om de problemen te verhelpen. De impact van de drie beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Door het versturen van een speciaal geprepareerd pakket kan een aanvaller willekeurige commando's op het NAS-apparaat uitvoeren. Het probleem speelt bij drie NAS-apparaten: DS3622xs+, FS3410 en HD6500. De kwetsbaarheden (CVE-2022-27624, CVE-2022-27625 en CVE-2022-27626), die Synology zelf ontdekte, zijn verholpen in DiskStation Manager (DSM) versie 7.1.1-42962-2 en nieuwer. Het afgelopen jaar zijn met name NAS-apparaten van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Vorig jaar augustus werd echter ook een exemplaar ontdekt dat Synology-systemen infecteerde. bron: https://www.security.nl

In de officiële implementatie van het SHA-3-hashingalgoritme is een kwetsbaarheid gevonden die collisions en preimage-aanvallen mogelijk maakt. Het probleem speelt ook bij Python, PHP en verschillende andere projecten die van de code gebruikmaken. Het beveiligingslek, aangeduid als CVE-2022-37454, zat al sinds januari 2011 in de code, wat volgens onderzoeker Nicky Mouha aangeeft hoe lastig het is om kwetsbaarheden in cryptografische implementaties te vinden, ook al spelen die een belangrijke rol in de veiligheid van systemen. Het secure hash algorithm (SHA) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Er zijn verschillende SHA-versies in omloop, waarvan SHA-2 het meestgebruikt is. Vanwege verschillende aanvallen is besloten om het gebruik van SHA-1 uit te faseren. SHA-3 is de meest recente versie. Wanneer de officiële SHA-3-implementatie (XKCP) bepaalde invoer te verwerken krijgt kan er een buffer overflow ontstaan, zo ontdekte Mouha. Hij is onderzoeker bij het Amerikaanse National Institute of Standards and Technology (NIST), dat onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid. Via de kwetsbaarheid zijn volgens Mouha verschillende soorten aanvallen mogelijk, zoals collisions. Bij dergelijke aanvallen geeft verschillende invoer dezelfde uitvoer. Daardoor zijn digitale handtekeningen die met het algoritme zijn gemaakt niet meer te vertrouwen. Ook is het zo mogelijk om vervalste certificaten te maken die als echt worden beschouwd, waarmee bijvoorbeeld man-in-the-middle-aanvallen zijn uit te voeren. Verder maakt de kwetsbaarheid in XKCP "preimage-aanvallen" mogelijk. Daarmee kan een aanvaller aan de hand van een hash de originele invoer achterhalen. Mouha meldt dat hij het bestaan van de kwetsbaarheid met andere partijen heeft gecoördineerd. Er is echter weinig verdere informatie over updates te vinden. De onderzoeker merkt verder op dat hij ook andere beveiligingslekken heeft gevonden maar die nu nog niet kan openbaren. bron: https://www.security.nl

Google is in de Verenigde Staten aangeklaagd voor het illegaal verzamelen en gebruiken van biometrische gegevens van miljoenen mensen. De aanklacht is afkomstig van de procureur-generaal van de staat Texas. Die stelt dat Google miljoenen biometrische identifiers, waaronder stem- en gezichtsinformatie, via producten en diensten als Google Photos, Google Assistant en Nest Hub Max, zonder geïnformeerde toestemming heeft verkregen. Deze persoonlijke informatie heeft het techbedrijf vervolgens voor het eigen commercieel gewin gebruikt, waarmee Google de biometrische privacywetgeving van Texas heeft overtreden, zo laat de aanklacht verder weten. "Het willekeurig verzamelen van persoonlijke informatie van Texanen door Google, waaronder zeer gevoelige informatie zoals biometrische identifiers, zal niet worden getolereerd", stelt procureur-generaal Ken Paxton. "Ik blijf Big tech bestrijden om de privacy en veiligheid van alle Texanen te garanderen." Eerder dit jaar werd Google al in Texas aangeklaagd voor het op misleidende wijze tracken van gebruikers. Volgens deze aanklacht blijft Google gebruikers volgen, ook al hebben die de "Location History" op hun toestel uitgeschakeld. Vervolgens gebruikt Google de "op misleidende wijze verkregen" data om gerichte advertenties te tonen, wat het bedrijf enorm veel geld zou opleveren. bron: https://www.security.nl

Microsoft heeft via een verkeerd geconfigureerde server de gegevens van klanten gelekt. Het gaat om zakelijke transactiegegevens, zoals namen, e-mailadressen, inhoud van e-mails, bedrijfsnaam, telefoonnummers en bestanden met betrekking tot de zaken tussen klanten en Microsoft of een geautoriseerde Microsoft-partner. Door de fout aan de kant van het techbedrijf waren de klantgegevens zonder enige inloggegevens voor iedereen op internet toegankelijk. Securitybedrijf SOCRadar ontdekte de server en waarschuwde Microsoft. Het techbedrijf spreekt van een "onbedoelde misconfiguratie" en stelt dat het datalek niet tot gecompromitteerde accounts of systemen van klanten heeft geleid. Alle gedupeerde klanten zijn inmiddels ingelicht, aldus Microsoft, dat niet te spreken is over de manier waarop SOCRadar over het datalek bericht en een zoektool aanbiedt waarmee organisaties en bedrijven kunnen kijken of ze zijn getroffen. Volgens het securitybedrijf bevatte de verkeerd geconfigureerde server 2,4 terabyte aan data van 65.000 entiteiten in 111 landen. Het ging bij elkaar om 335.000 e-mails, informatie over 133.000 projecten en data van 548.000 gebruikers. Het gaat dan bijvoorbeeld om facturen, getekende klantdocumenten, verkoopstrategieën, prijslijsten, productbestellingen en documenten. SOCRadar claimt dat het om één van de grootste B2B-datalekken van de afgelopen jaren gaat en heeft het zelfs de naam "BlueBleed" gegeven. Microsoft is van mening dat de omvang van het datalek schromelijk wordt overdreven. Zo zouden de cijfers die het securitybedrijf noemt niet kloppen. Ook biedt SOCRadar een zoektool waarmee organisaties kunnen kijken of ze onderdeel van het datalek zijn. Microsoft stelt dat deze tool niet in het belang van de privacy en security van klanten is en hen aan onnodige risico's blootstelt. De betreffende server is inmiddels beveiligd. bron: https://www.security.nl

Verschillende burgerrechtenbewegingen zijn vandaag de campagne "Stop Scanning Me" gestart tegen de plannen van de Europese Commissie om alle chatberichten van Europeanen verplicht te controleren. Ook is er een document gepubliceerd waarin de Europese digitale rechtenbeweging EDRi inhoudelijk ingaat op het scanplan van Brussel en welke gevolgen dit zal hebben voor de rechten van burgers (pdf). De Europese Commissie wil chatdiensten en andere techbedrijven verplichten om alle berichten en andere content van gebruikers te controleren op kindermisbruik en grooming. Volgens EDRi heeft het voorstel geen voldoende juridische basis, is in strijd met Europese wetgeving en fundamentele rechten, maakt bestaande processen complexer wat het verwijderen van kindermisbruikmateriaal juist zou belemmeren en is onmogelijk voor providers om te implementeren op een manier die rechten respecteert en effectief is om de beoogde doelen te behalen. "Het wetsvoorstel demonstreert een naïef geloof in technologie als een wondermiddel, ten koste van het advies van honderden cybersecurity- en mensenrechtenexperts wereldwijd", aldus EDRi. Volgens de digitale rechtenbeweging vormt het wetsvoorstel een ongerechtvaardigde beperken van het menselijke recht op privacy en is ook in strijd met een groot aantal andere rechten en vrijheden, waaronder de vrijheid van meningsuiting en rechten van kinderen. Daarnaast kent de technologie een hoge foutmarge en zijn de claims van de Europese Commissie over de nauwkeurigheid ervan misleidend, aldus de rechtenbeweging. Verder noemt EDRi de detectie van grooming onbetrouwbaar, wat daarmee een bedreiging vormt voor het vermoeden van onschuld en kan ook geen betrouwbare bewijs voor strafrechtelijke onderzoeken leveren. In plaats van het uitrollen van surveillancemaatregelen pleiten EDRi en de andere burgerrechtenbewegingen voor onderwijs en het vergroten van bewustzijn van slachtoffers, sociale en structurele veranderingen, het hervormen van politie en andere instellingen, het investeren in kinderbeschermingstelefoonnummers, het handhaven van bestaande regels en samenbrengen van kinderrechtenbewegingen, digitale rechtengroepen en andere partijen om samen aan een oplossing te werken. De burgerrechtenbewegingen en tal van andere organisaties willen dat Brussel het wetsvoorstel intrekt. Om meer bewustzijn over het scanplan te creeren en burgers hiervoor te waarschuwen is vandaag de campagne "Stop Scanning Me" gelanceerd, waar ook het Nederlandse Bits of Freedom aan meedoet. bron: https://www.security.nl

Op WordPress gebaseerde websites zijn door middel van verschillende cross-site scripting (XSS)-kwetsbaarheden over te nemen. WordPress heeft een beveiligingsupdate uitgebracht om de problemen te verhelpen. Met WordPress 6.0.3 worden in totaal vijftien kwetsbaarheden opgelost. De impact van drie van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het gaat om drie XSS-problemen, waarvan één in de media library in WordPress volgens securitybedrijf Wordfence het gevaarlijkst is. Deze kwetsbaarheid maakt reflected cross-site scripting mogelijk, waarmee een aanvaller de inhoud van cookies van bijvoorbeeld de beheerder kan stelen, om vervolgens daarmee toegang tot het beheerderspaneel te krijgen. Misbruik van dit beveiligingslek vereist geen authenticatie. Wel enige social engineering, zoals een beheerder een malafide link laten openen. Volgens Ram Gall van Wordfence zullen de nu verholpen kwetsbaarheden niet op grote schaal worden misbruikt, maar bieden een meer ervaren aanvaller wel de mogelijkheid om waardevollere websites aan te vallen. Beheerders worden dan ook aangeraden om naar WordPress 6.0.3 te updaten. Volgens cijfers van W3Techs draait 43 procent van alle websites op internet op WordPress. bron: https://www.security.nl

Het populaire ontwikkelaarsplatform GitHub heeft fijnmazige personal access tokens voor ontwikkelaars geïntroduceerd, wat repositories met code beter tegen mogelijk misbruik zou moeten beschermen. Via GitHub kunnen ontwikkelaars en organisaties gezamenlijk aan hun softwareprojecten werken. Toegang tot een repository is op verschillende manieren mogelijk. Een van deze methodes is de personal access token (PAT). GitHub beschrijft PATs als een alternatief voor wachtwoorden bij het gebruik van de GitHub-API of commandline. De huidige PATs zijn echter niet fijnmazig, waardoor ze toegang bieden tot alle respositories en organisaties waar de gebruiker toegang toe kan hebben, zonder controle of zichtbaarheid van de betreffende 'owners', aldus GitHub. Het platform introduceert nu fijnmazige personal access token waarmee organisaties en ontwikkelaars veel meer controle hebben over de permissies en repositories die via een PAT zijn te benaderen. Daarnaast bieden de fijnmazige PATs ook veel meer zichtbaarheid voor beheerders. In totaal zijn via de fijnmazige PATs meer dan vijftig permissies in te stellen, voor lees- en schrijfrechten voor allerlei acties en onderdelen. Verder verlopen fijnmazige personal access tokens ook na een bepaalde tijd en hebben ze standaard geen toegang tot alle repositories die een gebruiker kan benaderen. Ze hebben alleen toegang tot de repositories waar een organisatie nadrukkelijk toestemming voor heeft verleend. Volgens GitHub zijn de fijnmazige PATs vooral handig bij het maken van scripts en testintegraties. Het blijft echter ook mogelijk om de "klassieke" personal access tokens te gebruiken. bron: https://www.security.nl

Aanvallers maken gebruik van een kwetsbare driver van antivirusbedrijf Avast om antivirussoftware bij organisaties uit te schakelen en vervolgens ransomware uit te rollen, zo waarschuwt Microsoft. Het softwarebedrijf roept organisaties dan ook op om alert te zijn wanneer virusscanners worden uitgeschakeld en hierop te monitoren. In een blogposting beschrijft Microsoft een aanval met de Cuba-ransomware op een niet nader genoemde organisatie, waar aanvallers al acht maanden lang toegang toe hadden voordat de aanval plaatsvond. Hoe de aanvallers toegang hadden gekregen kon niet worden vastgesteld, aangezien de logbestanden geen acht maanden teruggingen. Daarnaast waren de versleutelde systemen opnieuw geïnstalleerd voordat de analyse kon plaatsvinden. De organisatie maakte gebruik van Microsoft Defender Antivirus, maar de aanvallers wisten de beveiligingsoplossing via een kwetsbare driver van Avast uit te schakelen. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, om zo beveiligingssoftware uit te zetten. Eerder dit jaar werd bekend dat de aanvallers achter de AvosLocker-ransomware een kwetsbare driver van Avast bij hun aanvallen gebruiken. Ook aanvallers die van de Cuba-ransomware gebruikmaken doen dit, zo stelt Microsoft. Door de antivirussoftware in de gehele organisatie uit te schakelen was het mogelijk de ransomware uit te rollen zonder te worden geblokkeerd. Organisaties zouden dan ook op het uitschakelen van antivirussoftware moeten monitoren en hierop reageren, aldus Microsoft. Tevens wordt aangeraden de "anti-tampering" instellingen van Defender in te schakelen om te voorkomen dat aanvallers de virusscanner uitschakelen. Microsoft biedt op Windows 10 een blocklist om kwetsbare drivers te blokkeren, maar die bleek door een fout bij het softwarebedrijf al zeker drie jaar lang niet automatisch te zijn bijgewerkt. bron: https://www.security.nl

Oracle heeft tijdens de patchronde van oktober 370 beveiligingsupdates voor een groot aantal producten uitgebracht en roept organisaties op om die meteen te installeren. Volgens het softwarebedrijf worden organisaties nog altijd succesvol aangevallen omdat ze nagelaten hebben beschikbare patches uit te rollen. De 370 updates zijn niet te vertalen naar een zelfde aantal kwetsbaarheden, aangezien een beveiligingslek in meerdere producten kan voorkomen. Tientallen beveiligingslekken hebben op een schaal van 1 tot en met 10 een impactscore van 9.8 gekregen. Dat houdt vaak in dat een aanvaller deze producten op afstand, zonder al teveel moeite en zonder zich te authenticeren kan aanvallen, om vervolgens willekeurige code uit te voeren. Het gaat onder andere om Data Integrator, WebCenter Sites, Healthcare Foundation, JD Edwards EnterpriseOne Tools, MySQL Enterprise Backup, GoldenGate, Secure Backup, Commerce Platform en verschillende communcatie-applicaties van Oracle. Wanneer organisaties updates niet meteen kunnen installeren geeft Oracle als tijdelijke oplossing om de netwerkprotocollen vereist voor een aanval te blokkeren, rechten van gebruikers te verwijderen of de mogelijkheid om packages te benaderen, maar erkent ook dat dit ervoor kan zorgen dat applicaties niet meer werken. In tegenstelling tot bijvoorbeeld Adobe of Microsoft, die elke maand met updates komen, brengt Oracle eens per kwartaal patches uit. De volgende patchronde staat gepland voor 17 januari 2023. bron: https://www.security.nl