Captain Kirk

Vanaf volgend jaar februari zullen gebruikers van Google Chrome op Windows 7 en 8.1 geen beveiligingsupdates meer ontvangen. De support van de browser op beide besturingssystemen wordt dan stopgezet. Dat heeft Google bekendgemaakt. "Met de release van Chrome 110, gepland voor 7 februari 2023, zullen we officieel de ondersteuning voor Windows 7 en Windows 8.1 stoppen", aldus Google. Vanaf dan zal Chrome voor Windowsgebruikers alleen nog op Windows 10 en nieuwer worden ondersteund. Microsoft stopt zelf op 10 januari 2023 met de support van Windows 7 Extended Security Update (ESU) en Windows 8.1. Google stelt dat oudere Chrome-versies blijven werken, maar er geen nieuwe updates voor gebruikers van deze besturingssystemen zullen verschijnen. Het techbedrijf roept gebruikers van Windows 7 en 8.1 op om naar een wel ondersteunde Windows-versie te upgraden, om zo ook de nieuwste beveiligingsupdates en features voor Google Chrome te blijven ontvangen. Volgens cijfers van StatCounter draait vijf procent van de Windowscomputers in Nederland nog op Windows 7, gevolgd door Windows 8.1 met 2,3 procent. bron: https://www.security.nl

Een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet is door middel van een ongeldige handtekening te omzeilen. Dat ontdekte beveiligingsonderzoeker Will Dormann. Aanvallers maken actief misbruik van probleem om systemen met ransomware te infecteren. Mark-of-the-Web (MOTW) zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. Onlangs lieten onderzoekers van HP Wolf Security weten dat eindgebruikers via nep-updates met de Magniber-ransomware werden geïnfecteerd. De zogenaamde software-update wordt vanaf malafide websites aangeboden. Het gaat om een zip-bestand waarin een JavaScript-bestand zit. Normaliter zouden gebruikers een waarschuwing te zien moeten krijgen dat ze een bestand openen dat van het internet afkomstig is. De waarschuwing verschijnt echter niet, wat komt doordat er een digitale handtekening aan het bestand is toegevoegd. Het is mogelijk om bestanden digitaal te signeren. Daardoor weten gebruikers van wie het bestand afkomstig is en dat de code sinds de publicatie niet is aangepast. Dormann deed verder onderzoek naar het malafide bestand en zag dat er een ongeldige handtekening was gebruikt die ervoor zorgt dat Windows de MOTW-waarschuwing niet toont. "Alsof het bestand geen Mark-of-the-Web heeft", zo laat hij via Twitter weten. Daardoor krijgen gebruikers bij het openen van het script geen waarschuwing en wordt de ransomware vervolgens geïnstalleerd. Dormman vermoedt dat het probleem wordt veroorzaakt door de SmartScreen-controle die aanwezig is in Windows 10 en nieuwer. Wanneer gebruikers de controle van apps en bestanden door SmartScreen uitschakelen verschijnt er wel een melding. Microsoft is over het probleem ingelicht en zou een onderzoek zijn gestart. bron: https://www.security.nl

Ik ben geen Mac-kenner, maar heb dit al eens een keer gehad met een gewone pc. Omdraaien van de HDMI-kabel loste toen het probleem op. Klinkt vreemd, maar wie weet...

Als ik het goed begrijp wil je gewoon je muziek vanaf je gsm via je versterker kunnen beluisteren. Ik gebruik hiervoor een eenvoudige Wireless Audio Adapter. Deze kun je al voor weinig krijgen. Linkje als voorbeeld staat hieronder. De foto laat zien hoe ik hem in mijn studio heb. Link: Wifi Audio Adapter

Wanneer het probleem hardwarematig zou zijn, zou schommeling in temperatuur van de print ervoor kunne zorgen dat een contact niet meer goed werkt. Maar wanneer jouw "oplossing" het probleem weg houdt, denk ik toch eerder aan wat Passer aangeeft: kijk eens naar je drivers. Volgens mij zit daar een conflict.

Gisteren was het Global Encryption Day en de dag is door het Tor Project aangegrepen om end-to-end encryptie als standaard voor privéberichten op alle platforms te eisen. Het Tor Project is de organisatie achter het Tor-netwerk en Tor-browser, die dagelijks door 2,5 miljoen mensen worden gebruikt voor het beschermen van hun privacy en bezoeken van gecensureerde websites. Iets dat volgens het Tor Project alleen mogelijk is dankzij encryptie. De organisatie stelt dat veilige, versleutelde communicatie nu belangrijker is dan ooit. Gesprekken die de ene dag normaal zijn, kunnen de volgende dag illegale content bevatten, zo stelt Al Smith van het Tor Project. Er zijn echter platforms waarbij privéberichten niets standaard end-to-end versleuteld zijn. Iets dat wel zou moeten, merkt Smith op. Hij wijst naar Facebook, dat eerder dit jaar privéberichten tussen een moeder en haar dochter met de politie deelde. "Zonder end-to-end encryptie kunnen onze online levens worden gehackt, gedeeld met de politie of zelfs bekeken door enge bedrijfsmedewerkers", gaat Smith verder. Daarom heeft het Tor Project naar eigen zeggen Global Encryption Day aangegrepen om te eisen dat Big Tech privéberichten van end-to-end encryptie voorziet. Niet als verborgen feature, maar als standaardinstelling. "Bedrijven als Meta, Twitter, Apple, Google, Slack, Discord en alle diensten met chatfeatures moeten end-to-end encryptie meteen aan hun chatdiensten toevoegen." Daarnaast is digitale rechtenbeweging Fight for the Future een online petitie gestart die techbedrijven oproept om privéberichten end-to-end te versleutelen. bron: https://www.security.nl

NAS-apparaten van fabrikant Synology zijn via drie kritieke kwetsbaarheden op afstand over te nemen. Misbruik van de beveiligingslekken is eenvoudig en vereist geen interactie van gebruikers. Synology heeft updates uitgebracht om de problemen te verhelpen. De impact van de drie beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Door het versturen van een speciaal geprepareerd pakket kan een aanvaller willekeurige commando's op het NAS-apparaat uitvoeren. Het probleem speelt bij drie NAS-apparaten: DS3622xs+, FS3410 en HD6500. De kwetsbaarheden (CVE-2022-27624, CVE-2022-27625 en CVE-2022-27626), die Synology zelf ontdekte, zijn verholpen in DiskStation Manager (DSM) versie 7.1.1-42962-2 en nieuwer. Het afgelopen jaar zijn met name NAS-apparaten van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Vorig jaar augustus werd echter ook een exemplaar ontdekt dat Synology-systemen infecteerde. bron: https://www.security.nl

In de officiële implementatie van het SHA-3-hashingalgoritme is een kwetsbaarheid gevonden die collisions en preimage-aanvallen mogelijk maakt. Het probleem speelt ook bij Python, PHP en verschillende andere projecten die van de code gebruikmaken. Het beveiligingslek, aangeduid als CVE-2022-37454, zat al sinds januari 2011 in de code, wat volgens onderzoeker Nicky Mouha aangeeft hoe lastig het is om kwetsbaarheden in cryptografische implementaties te vinden, ook al spelen die een belangrijke rol in de veiligheid van systemen. Het secure hash algorithm (SHA) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Er zijn verschillende SHA-versies in omloop, waarvan SHA-2 het meestgebruikt is. Vanwege verschillende aanvallen is besloten om het gebruik van SHA-1 uit te faseren. SHA-3 is de meest recente versie. Wanneer de officiële SHA-3-implementatie (XKCP) bepaalde invoer te verwerken krijgt kan er een buffer overflow ontstaan, zo ontdekte Mouha. Hij is onderzoeker bij het Amerikaanse National Institute of Standards and Technology (NIST), dat onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid. Via de kwetsbaarheid zijn volgens Mouha verschillende soorten aanvallen mogelijk, zoals collisions. Bij dergelijke aanvallen geeft verschillende invoer dezelfde uitvoer. Daardoor zijn digitale handtekeningen die met het algoritme zijn gemaakt niet meer te vertrouwen. Ook is het zo mogelijk om vervalste certificaten te maken die als echt worden beschouwd, waarmee bijvoorbeeld man-in-the-middle-aanvallen zijn uit te voeren. Verder maakt de kwetsbaarheid in XKCP "preimage-aanvallen" mogelijk. Daarmee kan een aanvaller aan de hand van een hash de originele invoer achterhalen. Mouha meldt dat hij het bestaan van de kwetsbaarheid met andere partijen heeft gecoördineerd. Er is echter weinig verdere informatie over updates te vinden. De onderzoeker merkt verder op dat hij ook andere beveiligingslekken heeft gevonden maar die nu nog niet kan openbaren. bron: https://www.security.nl

Google is in de Verenigde Staten aangeklaagd voor het illegaal verzamelen en gebruiken van biometrische gegevens van miljoenen mensen. De aanklacht is afkomstig van de procureur-generaal van de staat Texas. Die stelt dat Google miljoenen biometrische identifiers, waaronder stem- en gezichtsinformatie, via producten en diensten als Google Photos, Google Assistant en Nest Hub Max, zonder geïnformeerde toestemming heeft verkregen. Deze persoonlijke informatie heeft het techbedrijf vervolgens voor het eigen commercieel gewin gebruikt, waarmee Google de biometrische privacywetgeving van Texas heeft overtreden, zo laat de aanklacht verder weten. "Het willekeurig verzamelen van persoonlijke informatie van Texanen door Google, waaronder zeer gevoelige informatie zoals biometrische identifiers, zal niet worden getolereerd", stelt procureur-generaal Ken Paxton. "Ik blijf Big tech bestrijden om de privacy en veiligheid van alle Texanen te garanderen." Eerder dit jaar werd Google al in Texas aangeklaagd voor het op misleidende wijze tracken van gebruikers. Volgens deze aanklacht blijft Google gebruikers volgen, ook al hebben die de "Location History" op hun toestel uitgeschakeld. Vervolgens gebruikt Google de "op misleidende wijze verkregen" data om gerichte advertenties te tonen, wat het bedrijf enorm veel geld zou opleveren. bron: https://www.security.nl

Microsoft heeft via een verkeerd geconfigureerde server de gegevens van klanten gelekt. Het gaat om zakelijke transactiegegevens, zoals namen, e-mailadressen, inhoud van e-mails, bedrijfsnaam, telefoonnummers en bestanden met betrekking tot de zaken tussen klanten en Microsoft of een geautoriseerde Microsoft-partner. Door de fout aan de kant van het techbedrijf waren de klantgegevens zonder enige inloggegevens voor iedereen op internet toegankelijk. Securitybedrijf SOCRadar ontdekte de server en waarschuwde Microsoft. Het techbedrijf spreekt van een "onbedoelde misconfiguratie" en stelt dat het datalek niet tot gecompromitteerde accounts of systemen van klanten heeft geleid. Alle gedupeerde klanten zijn inmiddels ingelicht, aldus Microsoft, dat niet te spreken is over de manier waarop SOCRadar over het datalek bericht en een zoektool aanbiedt waarmee organisaties en bedrijven kunnen kijken of ze zijn getroffen. Volgens het securitybedrijf bevatte de verkeerd geconfigureerde server 2,4 terabyte aan data van 65.000 entiteiten in 111 landen. Het ging bij elkaar om 335.000 e-mails, informatie over 133.000 projecten en data van 548.000 gebruikers. Het gaat dan bijvoorbeeld om facturen, getekende klantdocumenten, verkoopstrategieën, prijslijsten, productbestellingen en documenten. SOCRadar claimt dat het om één van de grootste B2B-datalekken van de afgelopen jaren gaat en heeft het zelfs de naam "BlueBleed" gegeven. Microsoft is van mening dat de omvang van het datalek schromelijk wordt overdreven. Zo zouden de cijfers die het securitybedrijf noemt niet kloppen. Ook biedt SOCRadar een zoektool waarmee organisaties kunnen kijken of ze onderdeel van het datalek zijn. Microsoft stelt dat deze tool niet in het belang van de privacy en security van klanten is en hen aan onnodige risico's blootstelt. De betreffende server is inmiddels beveiligd. bron: https://www.security.nl

Verschillende burgerrechtenbewegingen zijn vandaag de campagne "Stop Scanning Me" gestart tegen de plannen van de Europese Commissie om alle chatberichten van Europeanen verplicht te controleren. Ook is er een document gepubliceerd waarin de Europese digitale rechtenbeweging EDRi inhoudelijk ingaat op het scanplan van Brussel en welke gevolgen dit zal hebben voor de rechten van burgers (pdf). De Europese Commissie wil chatdiensten en andere techbedrijven verplichten om alle berichten en andere content van gebruikers te controleren op kindermisbruik en grooming. Volgens EDRi heeft het voorstel geen voldoende juridische basis, is in strijd met Europese wetgeving en fundamentele rechten, maakt bestaande processen complexer wat het verwijderen van kindermisbruikmateriaal juist zou belemmeren en is onmogelijk voor providers om te implementeren op een manier die rechten respecteert en effectief is om de beoogde doelen te behalen. "Het wetsvoorstel demonstreert een naïef geloof in technologie als een wondermiddel, ten koste van het advies van honderden cybersecurity- en mensenrechtenexperts wereldwijd", aldus EDRi. Volgens de digitale rechtenbeweging vormt het wetsvoorstel een ongerechtvaardigde beperken van het menselijke recht op privacy en is ook in strijd met een groot aantal andere rechten en vrijheden, waaronder de vrijheid van meningsuiting en rechten van kinderen. Daarnaast kent de technologie een hoge foutmarge en zijn de claims van de Europese Commissie over de nauwkeurigheid ervan misleidend, aldus de rechtenbeweging. Verder noemt EDRi de detectie van grooming onbetrouwbaar, wat daarmee een bedreiging vormt voor het vermoeden van onschuld en kan ook geen betrouwbare bewijs voor strafrechtelijke onderzoeken leveren. In plaats van het uitrollen van surveillancemaatregelen pleiten EDRi en de andere burgerrechtenbewegingen voor onderwijs en het vergroten van bewustzijn van slachtoffers, sociale en structurele veranderingen, het hervormen van politie en andere instellingen, het investeren in kinderbeschermingstelefoonnummers, het handhaven van bestaande regels en samenbrengen van kinderrechtenbewegingen, digitale rechtengroepen en andere partijen om samen aan een oplossing te werken. De burgerrechtenbewegingen en tal van andere organisaties willen dat Brussel het wetsvoorstel intrekt. Om meer bewustzijn over het scanplan te creeren en burgers hiervoor te waarschuwen is vandaag de campagne "Stop Scanning Me" gelanceerd, waar ook het Nederlandse Bits of Freedom aan meedoet. bron: https://www.security.nl

Op WordPress gebaseerde websites zijn door middel van verschillende cross-site scripting (XSS)-kwetsbaarheden over te nemen. WordPress heeft een beveiligingsupdate uitgebracht om de problemen te verhelpen. Met WordPress 6.0.3 worden in totaal vijftien kwetsbaarheden opgelost. De impact van drie van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het gaat om drie XSS-problemen, waarvan één in de media library in WordPress volgens securitybedrijf Wordfence het gevaarlijkst is. Deze kwetsbaarheid maakt reflected cross-site scripting mogelijk, waarmee een aanvaller de inhoud van cookies van bijvoorbeeld de beheerder kan stelen, om vervolgens daarmee toegang tot het beheerderspaneel te krijgen. Misbruik van dit beveiligingslek vereist geen authenticatie. Wel enige social engineering, zoals een beheerder een malafide link laten openen. Volgens Ram Gall van Wordfence zullen de nu verholpen kwetsbaarheden niet op grote schaal worden misbruikt, maar bieden een meer ervaren aanvaller wel de mogelijkheid om waardevollere websites aan te vallen. Beheerders worden dan ook aangeraden om naar WordPress 6.0.3 te updaten. Volgens cijfers van W3Techs draait 43 procent van alle websites op internet op WordPress. bron: https://www.security.nl

Het populaire ontwikkelaarsplatform GitHub heeft fijnmazige personal access tokens voor ontwikkelaars geïntroduceerd, wat repositories met code beter tegen mogelijk misbruik zou moeten beschermen. Via GitHub kunnen ontwikkelaars en organisaties gezamenlijk aan hun softwareprojecten werken. Toegang tot een repository is op verschillende manieren mogelijk. Een van deze methodes is de personal access token (PAT). GitHub beschrijft PATs als een alternatief voor wachtwoorden bij het gebruik van de GitHub-API of commandline. De huidige PATs zijn echter niet fijnmazig, waardoor ze toegang bieden tot alle respositories en organisaties waar de gebruiker toegang toe kan hebben, zonder controle of zichtbaarheid van de betreffende 'owners', aldus GitHub. Het platform introduceert nu fijnmazige personal access token waarmee organisaties en ontwikkelaars veel meer controle hebben over de permissies en repositories die via een PAT zijn te benaderen. Daarnaast bieden de fijnmazige PATs ook veel meer zichtbaarheid voor beheerders. In totaal zijn via de fijnmazige PATs meer dan vijftig permissies in te stellen, voor lees- en schrijfrechten voor allerlei acties en onderdelen. Verder verlopen fijnmazige personal access tokens ook na een bepaalde tijd en hebben ze standaard geen toegang tot alle repositories die een gebruiker kan benaderen. Ze hebben alleen toegang tot de repositories waar een organisatie nadrukkelijk toestemming voor heeft verleend. Volgens GitHub zijn de fijnmazige PATs vooral handig bij het maken van scripts en testintegraties. Het blijft echter ook mogelijk om de "klassieke" personal access tokens te gebruiken. bron: https://www.security.nl

Aanvallers maken gebruik van een kwetsbare driver van antivirusbedrijf Avast om antivirussoftware bij organisaties uit te schakelen en vervolgens ransomware uit te rollen, zo waarschuwt Microsoft. Het softwarebedrijf roept organisaties dan ook op om alert te zijn wanneer virusscanners worden uitgeschakeld en hierop te monitoren. In een blogposting beschrijft Microsoft een aanval met de Cuba-ransomware op een niet nader genoemde organisatie, waar aanvallers al acht maanden lang toegang toe hadden voordat de aanval plaatsvond. Hoe de aanvallers toegang hadden gekregen kon niet worden vastgesteld, aangezien de logbestanden geen acht maanden teruggingen. Daarnaast waren de versleutelde systemen opnieuw geïnstalleerd voordat de analyse kon plaatsvinden. De organisatie maakte gebruik van Microsoft Defender Antivirus, maar de aanvallers wisten de beveiligingsoplossing via een kwetsbare driver van Avast uit te schakelen. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, om zo beveiligingssoftware uit te zetten. Eerder dit jaar werd bekend dat de aanvallers achter de AvosLocker-ransomware een kwetsbare driver van Avast bij hun aanvallen gebruiken. Ook aanvallers die van de Cuba-ransomware gebruikmaken doen dit, zo stelt Microsoft. Door de antivirussoftware in de gehele organisatie uit te schakelen was het mogelijk de ransomware uit te rollen zonder te worden geblokkeerd. Organisaties zouden dan ook op het uitschakelen van antivirussoftware moeten monitoren en hierop reageren, aldus Microsoft. Tevens wordt aangeraden de "anti-tampering" instellingen van Defender in te schakelen om te voorkomen dat aanvallers de virusscanner uitschakelen. Microsoft biedt op Windows 10 een blocklist om kwetsbare drivers te blokkeren, maar die bleek door een fout bij het softwarebedrijf al zeker drie jaar lang niet automatisch te zijn bijgewerkt. bron: https://www.security.nl

Oracle heeft tijdens de patchronde van oktober 370 beveiligingsupdates voor een groot aantal producten uitgebracht en roept organisaties op om die meteen te installeren. Volgens het softwarebedrijf worden organisaties nog altijd succesvol aangevallen omdat ze nagelaten hebben beschikbare patches uit te rollen. De 370 updates zijn niet te vertalen naar een zelfde aantal kwetsbaarheden, aangezien een beveiligingslek in meerdere producten kan voorkomen. Tientallen beveiligingslekken hebben op een schaal van 1 tot en met 10 een impactscore van 9.8 gekregen. Dat houdt vaak in dat een aanvaller deze producten op afstand, zonder al teveel moeite en zonder zich te authenticeren kan aanvallen, om vervolgens willekeurige code uit te voeren. Het gaat onder andere om Data Integrator, WebCenter Sites, Healthcare Foundation, JD Edwards EnterpriseOne Tools, MySQL Enterprise Backup, GoldenGate, Secure Backup, Commerce Platform en verschillende communcatie-applicaties van Oracle. Wanneer organisaties updates niet meteen kunnen installeren geeft Oracle als tijdelijke oplossing om de netwerkprotocollen vereist voor een aanval te blokkeren, rechten van gebruikers te verwijderen of de mogelijkheid om packages te benaderen, maar erkent ook dat dit ervoor kan zorgen dat applicaties niet meer werken. In tegenstelling tot bijvoorbeeld Adobe of Microsoft, die elke maand met updates komen, brengt Oracle eens per kwartaal patches uit. De volgende patchronde staat gepland voor 17 januari 2023. bron: https://www.security.nl

Mozilla heeft de Private Browsing-feature in Firefox van een nieuw logo en vormgeving voorzien. Ook zal nu standaard een dark theme worden gebruikt, zo laat de browserontwikkelaar weten. Daarnaast zijn in de nieuwste Firefox-versie meerdere kwetsbaarheden verholpen, onder andere in de wachtwoordmanager en een beveiligingslek dat een permanente denial of service mogelijk maakt. Net als andere browsers biedt Firefox "Private Browsing". Daarbij worden sessiegegevens, zoals cookies en bezochte websites, niet opgeslagen en verwijderd na het sluiten van de browser. Mozilla benadrukt op de eigen website dat de feature geen "anonimiteit" biedt eneen internetprovider of werkgever nog steeds kunnen zien welke websites worden bezocht. Met de lancering van Firefox 106 is Private Browsing van een nieuw logo en vormgeving voorzien die volgens Mozilla "het gevoel van privacy" moeten versterken. Verder maakt de feature nu standaard gebruik van het dark theme. Daarnaast is het nu mogelijk om private browservensters aan de Windows-taakbalk vast te maken. Verder zijn met Firefox 106 zes kwetsbaarheden verholpen die in het ergste geval tot situaties zouden kunnen leiden waarbij een aanvaller willekeurige code op het systeem uitvoert, maar dat is niet aangetoond. Verder bleek dat de wachtwoordmanager gebruikersnamen in een onversleuteld bestand opsloeg, terwijl deze informatie eigenlijk versleuteld had moeten zijn. Daarnaast had een malafide website de browser kunnen laten crashen. Afhankelijk van de instellingen voor het herstellen van de browsersessie had dit voor een permanente denial of service kunnen zorgen. Updaten naar de nieuwste versie kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Verschillende securitybedrijven melden dat aanvallers op grote schaal misbruik proberen te maken van een kritieke kwetsbaarheid in de FortiGate firewalls, FortiProxy webproxies en FortiSwitch Manager van fabrikant Fortinet. Via het beveiligingslek in FortiOS, aangeduid als CVE-2022-40684, kan een ongeauthenticeerde aanvaller toegang tot de beheerdersinterface krijgen en daar allerlei acties uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Via de kwetsbaarheid kan een aanvaller deze apparaten compromitteren, wat grote gevolgen voor organisaties kan hebben. Begin oktober bracht Fortinet een beveiligingsupdate uit voor het probleem. Inmiddels is er een proof-of-concept exploit online verschenen. Na het verschijnen hiervan melden verschillende securitybedrijven dat er een toename is van aanvalspogingen tegen Fortinet-apparaten. Bij de aanvallen wordt geprobeerd om de SSH-key van de beheerder aan te passen. Een aanvaller kan zo vervolgens op het systeem als beheerder inloggen. Eerder gaf Fortinet al het advies aan klanten om te controleren of hun netwerkapparaten niet al zijn gecompromitteerd. Naast het installeren van de patch stelt Fortinet dat het uitschakelen van de HTTP/HTTPS admin-interface als workaround kan worden toegepast. Inmiddels is het Nederlandse DIVD begonnen om naar kwetsbare apparaten op internet te zoeken en de verantwoordelijke organisaties te waarschuwen. bron: https://www.security.nl

Een methode die in Microsoft 365 wordt gebruikt voor het versleutelen van berichten kan de inhoud daarvan lekken, zo stelt securitybedrijf WithSecure. Het bedrijf meldde het probleem met de berichtversleuteling bij Microsoft en kreeg hiervoor een beloning van vijfduizend dollar. De kwetsbaarheid komt echter niet in aanmerking voor een beveiligingsupdate, aldus het techbedrijf. De Microsoft Office 365 Message Encryption (OME) laat gebruikers versleutelde e-mails ontvangen en versturen. Voor de versleuteling wordt gebruik gemaakt van de Electronic Codebook (ECB) mode. Volgens WithSecure is ECB onveilig en kan het informatie over de structuur van verstuurde berichten lekken, wat weer kan leiden tot het gedeeltelijk of volledig lekken van de berichtinhoud. Een aanvaller zou wel eerst toegang tot een groot aantal versleutelde berichten moeten krijgen. Het probleem met de Electronic Codebook (ECB) mode is dat het versleutelen van hetzelfde block van plaintext data altijd hetzelfde versleutelde resultaat oplevert. Hoewel de inhoud van de versleutelde data niet direct zichtbaar is, geldt dat wel voor informatie over de structuur van het bericht. Aan de hand van deze patronen is het mogelijk om de inhoud van versleutelde berichten deels of gedeeltelijk te achterhalen, aldus de onderzoekers. De problemen met ECB zijn niet nieuw. In 2013 bleek dat Adobe van ECB gebruikmaakte voor de opslag van wachtwoorden, wat voor de nodige kritiek zorgde nadat het softwarebedrijf gegevens van 150 miljoen gebruikers had gelekt, waaronder inloggegevens. Eerder had ook het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) organisaties voor ECB gewaarschuwd. WithSecure meldde het probleem begin dit jaar bij Microsoft. Een week later ontving het securitybedrijf een beloning van 5000 dollar voor de bugmelding. In augustus en september liet Microsoft echter weten dat de kwetsbaarheid niet in aanmerking komt om te worden verholpen met een beveiligingsupdate. Aangezien er geen oplossing beschikbaar is adviseert het securitybedrijf om de Microsoft Office 365 berichtversleuteling niet te gebruiken. bron: https://www.security.nl

E-mailprovider Proton Mail biedt gebruikers vanaf vandaag de mogelijkheid om hun account met een fysieke beveiligingssleutel te beveiligen. Alle keys worden ondersteund, zolang ze de U2F- of FIDO2-standaard ondersteunen. Een fysieke beveiligingssleutel is een apparaatje dat bijvoorbeeld via usb, nfc of bluetooth met de computer verbinding maakt. Security keys maken gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst bij de betreffende website instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd. Bij Proton Mail zal de beveiligingssleutel als tweede factor bij het inloggen moeten worden gebruikt. Op dit moment ondersteunt de e-mailprovider time-based one-time passwords (TOTP) voor tweefactorauthenticatie (2FA). TOTP kan volgens Proton Mail lastig zijn, aangezien het password in een korte tijd moet worden ingevoerd. Daarnaast wordt met een fysieke sleutel aangetoond dat de gebruiker de key in bezit heeft om op zijn account in te loggen. Vanwege dit fysieke aspect zijn hardwarematige sleutels één van de veiligste methodes voor 2FA, aldus Proton Mail. bron: https://www.security.nl

Google heeft support voor passkeys aan Android en Chrome toegevoegd waardoor gebruikers straks zonder gebruikersnaam en wachtwoord op hun accounts en apps kunnen inloggen. Ook een tweede factor zoals sms-code, one-time password of push-bevestiging is dan niet meer nodig. Alleen een biometrische controle, pincode of ontgrendelingspatroon van het apparaat waarmee wordt ingelogd is voldoende, zo heeft het techbedrijf aangekondigd. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Voor het inloggen met een passkey moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. Wanneer een gebruiker zijn passkeys niet wil synchroniseren over meerdere apparaten is het nog steeds mogelijk om met passkeys in te loggen op een apparaat waar ze niet zijn opgeslagen. Zo is het bijvoorbeeld mogelijk om met een passkey die op een smartphone is gegenereerd op een website op een laptop in te loggen. Zolang de telefoon in de buurt van de laptop is en de gebruiker de inlogpoging goedkeurt op zijn telefoon, kan er vanaf de laptop op de website worden ingelogd. Wel kan de betreffende website aanbieden om ook op de laptop een passkey te genereren, zodat de telefoon de volgende keer niet nodig is om in te loggen. "Omdat passkeys gebonden zijn aan een website of app, zijn ze veilig voor phishingaanvallen. De browser en het besturingssysteem zorgen ervoor dat de passkey alleen is te gebruiken bij de website of app die ze heeft gegenereerd. Dit maakt de gebruiker niet langer verantwoordelijk voor het inloggen op de echte website of app", aldus Google. Het techbedrijf stelt dat passkeys het niet mogelijk maken om gebruikers of apparaten tussen websites te volgen, aangezien er voor elke website een passkey wordt gegenereerd. Ook wordt de biometrische informatie niet gedeeld met de app of website waarop wordt ingelogd. Verder worden de passkeys versleuteld op het toestel opgeslagen. Passkeys zijn nu beschikbaar in de bètaversie van Google Play Services en een vroege testversie van Chrome. Later dit jaar komen passkeys beschikbaar in "stable" versies van Android en browser. bron: https://www.security.nl

De nieuwste versies van OpenSSL die gisteren online verschenen en één kwetsbaarheid verhelpen zijn wegens een "ernstige regressie" een dag later alweer offline gehaald. Dat heeft Matt Caswell van het OpenSSL Project Team bekendgemaakt. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen grote gevolgen hebben, zoals het Heartbleed-lek in het verleden heeft aangetoond. Gisteren kwam OpenSSL met versies 1.1.1r en 3.0.6. Deze laatste versie verhelpt een kwetsbaarheid (CVE-2022-3358) waarvan de impact als "low" is beoordeeld. Daarnaast zijn in beide versies meerdere bugs verholpen. Via de mailinglist van OpenSSL laat Caswell weten dat besloten is om versies 1.1.1r en 3.0.6 wegens een "ernstige regressie" offline te halen. Deze regressie zou voor zover bekend geen securitygevolgen moeten hebben. Het onderzoek is echter nog gaande. Nu versies 1.1.1r en 3.0.6 offline zijn gehaald wordt gebruikers aangeraden om voor nu van versies 3.0.5 en 1.1.1q gebruik te blijven maken. Binnenkort komt er een nieuw plan voor de release van versies 3.0.7 en 1.1.1s. bron: https://www.security.nl

Onderzoekers hebben in een draagbare ssd-schijf van Verbatim verschillende kwetsbaarheden ontdekt, waardoor het mogelijk is voor een aanvaller om versleutelde data op het apparaat te achterhalen. Voor twee van de vier gevonden beveiligingslekken heeft Verbatim in juli een update uitgebracht. In het beveiligingsbulletin staan deze kwetsbaarheden echter niet specifiek vermeld. De Verbatim Store 'n' Go Secure Portable SSD is een draagbare usb-schijf met hardwarematige AES 256-bit encryptie en een ingebouwde keypad voor het invoeren van een passcode. Bij twintig mislukte inlogpogingen zou de ssd-schijf moeten worden vergrendeld en geformatteerd. De beveiligingsmaatregel blijkt echter niet naar behoren te werken. Na twintig mislukte inlogpogingen wordt de schijf namelijk niet gewist. Daardoor kan een aanvaller meer inlogpogingen doen (CVE-2022-28386) dan bedoeld. Verder vond onderzoeker Matthias Deeg van het Duitse securitybedrijf SySS dat de ssd-schijf door een "onveilig ontwerp" kwetsbaar is voor een offline bruteforce-aanval, waardoor het mogelijk is om ongeautoriseerde toegang tot de versleutelde data te krijgen (CVE-2022-28384). Dit impact van dit lek is als 'high' bestempeld en door Verbatim verholpen. Daarnaast kan een aanvaller met fysieke toegang tot de ssd-schijf malafide firmware uploaden waardoor er altijd een AES-key van de aanvaller wordt gebruikt voor het versleutelen van de data. Deze kwetsbaarheid is voor "interdiction" te misbruiken, waarbij een apparaat onderweg naar de beoogde gebruiker door bijvoorbeeld een inlichtingendienst wordt onderschept en aangepast. Voor dit probleem (CVE-2022-28383) kwam Verbatim niet met een oplossing. Verder maakte Verbatim gebruik van een onveilige AES-mode voor de versleuteling. Daardoor zou een aanvaller, door het observeren van bepaalde patronen, informatie aan de hand van de versleutelde data kunnen achterhalen. Voor deze kwetsbaarheid (CVE-2022-28386) is Verbatim wel met een update gekomen. bron: https://www.security.nl

Microsoft heeft aan alle ondersteunde versies van Windows een optie toegevoegd die lokale admin-accounts tegen bruteforce-aanvallen moet beschermen. Volgens Microsoft staan bruteforce-aanvallen in de top drie van meestgebruikte methodes om Windowsmachines aan te vallen. Systeembeheerders kunnen via een lockout policy instellen dat wanneer er teveel mislukte inlogpogingen op een account zijn, het account wordt vergrendeld. Er was echter geen optie beschikbaar waardoor het account van een lokale systeembeheerder kan worden vergrendeld. Hierdoor is het mogelijk voor aanvallers om via een onbeperkte bruteforce-aanval het wachtwoord van de lokale beheerder te achterhalen. Dit kan zowel via het remote desktop protocol (RDP) als het netwerk. Om het gebruik van bruteforce-aanvallen verder te beperken is er nu ook een account-lockout voor admin-accounts. Op nieuwe Windows 11-machines met versie 22H2 en de updates van oktober staat deze lockout policy standaard ingeschakeld. Beheerders kunnen de policy indien gewenst wel uitschakelen. Daarnaast stelt Microsoft nu ook eisen aan de complexiteit van het wachtwoord van lokale admin-accounts. Deze wachtwoorden moeten drie van de vier soorten karaktertypes (letter, hoofdletter, cijfer en symbool). Dit moet verdere bescherming tegen bruteforce-aanvallen bieden. bron: https://www.security.nl

Een Amerikaanse financiële instelling is afgelopen zomer het doelwit geworden van een aanval waarbij twee drones werden ingezet, waaronder één die was uitgerust met een WiFi Pineapple. Dat laat onderzoeker Greg Linares op Twitter weten. De WiFi Pineapple is te gebruiken als rogue access point (AP) voor het uitvoeren van man-in-the-middle-aanvallen. De niet nader genoemde financiële instelling ontdekte op de eigen interne Atlassian Confluence-site verdachte activiteit. Een medewerker van wie het MAC-adres was gebruikt om gedeeltelijke toegang tot het wifi-netwerk van het bedrijf te krijgen was ook kilometers verderop ingelogd. De gebruiker was zelf niet op het kantoor aanwezig, maar iemand anders in de buurt van het wifi-netwerk probeerde met het MAC-adres van deze gebruiker toegang te krijgen. Vervolgens werd besloten het wifi-signaal te traceren, wat leidde tot de ontdekking van twee drones op het dak van het kantoor met apparatuur voor het uitvoeren van aanvallen, waaronder een drone met een aangepaste WiFi Pineapple. De andere drone was voorzien van een Raspberry Pi, verschillende batterijen, een GPD-minilaptop, een 4G-modem en een ander wifi-apparaat. De drone met de WiFi Pineapple was gebruikt voor het onderscheppen van inloggegevens. Deze data was later gebruikt in de tools die vanaf de andere drone werden gebruikt. De aanvallers hadden geprobeerd toegang tot de interne Confluence-site te krijgen om met daar opgeslagen inloggegevens andere interne systemen aan te vallen. Naar schatting kostte de gebruikte setup van de aanvallers vijftienduizend dollar. Volgens Linares laat de aanval zien dat aanvallers bereid zijn om dergelijke bedragen te betalen voor het aanvallen van interne systemen. De onderzoeker was niet zelf betrokken bij het onderzoek naar de aanval, maar kent iemand die dat wel was. The Register meldt dat het met een persoon binnen de betrokken financiële instelling contact heeft gehad die het verhaal van Linares bevestigt. bron: https://www.security.nl

Mozilla heeft een nieuwe feature aan Firefox Relay toegevoegd waardoor de dienst ook telefoonnummers van gebruikers kan afschermen. De optie is vooralsnog alleen beschikbaar in Canada en de Verenigde Staten. Via Firefox Relay kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. Vaak komt het ook voor dat bedrijven om telefoonnummers vragen. Deze persoonlijke informatie kan echter lekken en worden gebruikt voor spam en profilering. Net als met het beschermen van e-mailadressen is Firefox Relay nu ook in staat om telefoonnummers af te schermen. Hiervoor genereert de dienst een telefoonnummer dat gebruikers bij bijvoorbeeld een online registratie kunnen opgeven. Vervolgens worden sms-berichten en gesprekken naar dit nummer naar het echte telefoonnummer van de gebruiker doorgestuurd. Het gegenereerde telefoonnummer kan vijftig minuten aan inkomende telefoongesprekken verwerken en 75 sms-berichten. Voor deze nieuwe feature, inclusief het onbeperkt gebruik van de e-maildoostuurdienst, betalen gebruikers 48 dollar per jaar, of 5 dollar per maand. Alleen het gebruik van de betaalde e-maildoorstuurdienst kost 1 dollar per maand. Of en wanneer de nieuwe feature in andere regio's beschikbaar komt is nog niet bekend. bron: https://www.security.nl