Captain Kirk

Het kabinet moet de plannen van de Europese Commissie om alle chatberichten en ander internetverkeer van burgers te controleren tegenhouden, zo vindt burgerrechtenbeweging Bits of Freedom. Brussel wil chatdiensten en andere techbedrijven verplichten om alle berichten en andere content van gebruikers te controleren op kindermisbruik en grooming. Volgens Rejo Zenger, beleidsadviseur van Bits of Freedom, heeft de Europese Commissie weinig oog voor de neveneffecten. Zo denkt hij dat het plan de vertrouwelijkheid van communicatie op het internet voor iedereen zal ondermijnen. "Inclusief internetgebruikers die ze nu juist wil beschermen", gaat Zenger verder, die toevoegt dat de kunstmatige intelligentie die voor het detecteren wordt ingezet notoir slecht is in het herkennen van context. Ook noemt Zenger het voorstel van de Europese Commissie veel te breed en niet proportioneel. "Dat voorstel is te vergelijken met een voorstel om in alle kinderkamers camera’s op te hangen om te zien of er soms kinderen mishandeld worden. Niemand zou dat proportioneel vinden, want in onze rechtsstaat handelen we op grond van concrete verdenkingen." De beleidsadviseur van Bits of Freedom verwacht dat het onderwerp door de Tweede Kamer zal worden besproken. "Wij zijn bezorgd over de veiligheid van jongeren als de kans op het lekken van hun privéwereld groter wordt. Nederland weet door de toeslagenaffaire wat kunstmatige intelligentie kan aanrichten." Volgens Zenger moeten overheden de rechten van hun burgers beschermen, die van slachtoffers én van onschuldige passanten. "En als dat op Europees niveau mis dreigt te gaan, moet de Nederlandse overheid daar een stokje voor steken." bron: https://www.security.nl

De inbraak bij het populaire devops-platform CircleCI was mogelijk door malware die de '2FA-backed' SSO-sessie van een engineer wist te stelen, zo laat het bedrijf in een rapport over het incident weten. De malware werd niet door de antivirussoftware op de laptop van de engineer gedetecteerd. Het platform van CircleCI wordt gebruikt voor het ontwikkelen, testen en uitrollen van software. Begin januari liet het bedrijf weten dat het was getroffen door een beveiligingsincident en werden alle klanten opgeroepen om direct al hun secrets zoals wachtwoorden te roteren. Verder werd klanten verzocht om hun logbestanden op ongeautoriseerde toegang tot systemen te controleren in de periode van 21 december 2022 tot en met 4 januari 2023. In het incidentrapport laat CircleCI weten dat het op 29 december door een klant over verdachte GitHub OAuth-activiteit werd gewaarschuwd. Een dag later bleek dat het GitHub OAuth-token van deze niet nader genoemde klant was gestolen. CircleCI biedt de mogelijkheid om het platform met dat van ontwikkelaarsplatform GitHub te integreren. Daarvoor wordt gebruikgemaakt van tokens. Via bij CircleCI gestolen tokens kan er zo toegang tot de GitHub-omgeving worden verkregen. Verder onderzoek wees uit dat de aanval was begonnen via de laptop van een engineer. Zijn computer was op 16 december 2022 besmet geraakt met malware die de '2FA-backed' SSO-sessie wist te stelen. Daarmee kon de aanvaller zich voordoen als de engineer en toegang tot productiesystemen van CircleCI krijgen. De engineer in kwestie had de mogelijkheid om toegangstokens te genereren waarmee de aanvaller toegang kon kregen tot gevoelige gegevens van klanten, waaronder tokens, keys en databases. Deze data werd ook bij de aanval buitgemaakt. Hoewel de gegevens waren versleuteld werden ook de encryptiesleutels uit een draaiend proces gestolen, waardoor het ontsleutelen van de gestolen data mogelijk is. CircleCI stelt dat alle klanten die in de eerder genoemde periode gegevens bij het bedrijf hadden opgeslagen ervan moeten uitgaan dat hun data is buitgemaakt en gecompromitteerd. Met deze gegevens is er mogelijk ook toegang tot de systemen van klanten verkregen. Hoe de laptop van de engineer besmet kon raken is niet bekendgemaakt. CircleCI spreekt van een "geraffineerde aanval", maar geeft verder geen enkele details waarin dit wordt uitgelegd. Verder gaat het bedrijf de authenticatie aanscherpen en heeft het andere maatregelen aangekondigd. Er werd al gebruikgemaakt van tweefactorauthenticatie (2FA) om medewerkers in te laten loggen. CircleCI maakt daarbij gebruik van single sign-on authentication (SSO) waarbij personeel door één keer in te loggen toegang tot meerdere applicaties kan krijgen. bron: https://www.security.nl

Google gaat certificaatautoriteit TrustCor wegens veiligheidsredenen uit de Chrome Root Store verwijderen. Chrome-gebruikers krijgen vanaf maart een waarschuwing als ze websites bezoeken die gebruikmaken van certificaten uitgegeven door TrustCor. Eerder kondigden ook Mozilla en Microsoft maatregelen aan. Aanleiding om het vertrouwen in de certificaatautoriteit op te zeggen zijn de nauwe banden tussen TrustCor en Measurement Systems, een bedrijf dat Androidmalware verspreidt. Vorig jaar november lieten onderzoekers en de Wall Street Journal weten dat TrustCor en Measurement Systems nauw verweven met elkaar zijn en onder andere kantoorruimte, technische voorzieningen en personeel deelden. Het in Panama gevestigde Measurement Systems heeft weer banden met Packet Forensics, dat afluisterdiensten aan het Amerikaans leger leverde. Onderzoekers ontdekten begin 2022 dat Measurement Systems softwareontwikkelaars betaalde voor het toevoegen van malware aan hun apps, die persoonlijke informatie van gebruikers terugstuurde, waaronder telefoonnummers, e-mailadres en exacte locatie. De betreffende apps zijn vermoedelijk meer dan zestig miljoen keer gedownload, waaronder tien miljoen downloads voor een gebeds-app voor moslims. Nadat de onderzoekers hun bevindingen met Google deelden werden de apps uit de Play Store verwijderd. Naast Google werd ook Mozilla ingelicht over de connectie tussen Measurement Systems en TrustCor. De laatstgenoemde is zoals gezegd een rootcertificaatautoriteit. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing. Er zijn geen aanwijzingen dat TrustCor malafide tls-certificaten heeft uitgegeven, waarmee het bijvoorbeeld mogelijk is om verkeer van internetgebruikers via een man-in-the-middle-aanval te onderscheppen. Toch zijn de banden tussen de certificaatautoriteit en Measurement Systems onacceptabel, aldus Mozilla vorig jaar. Nu heeft ook Google maatregelen aangekondigd. Vanaf Chrome versie 111, die op 7 maart verschijnt, zullen certificaten van TrustCor niet meer worden vertrouwd. Hiervoor maakt Google gebruik van de geïntegreerde certificaat-blocklist en wordt TrustCor ook uit de Chrome Root Store verwijderd. Verder zal Android vanaf 7 maart de certificaten van TrustCor ook niet meer vertrouwen. bron: https://www.security.nl

Securitybedrijf NortonLifeLock heeft een onbekend aantal klanten gewaarschuwd dat criminelen hebben ingebroken op hun Norton Password Manager, een online wachtwoordmanager, en adviseert alle opgeslagen inloggegevens direct te wijzigen. De wachtwoordmanager is te gebruiken via een Norton-account en kan wachtwoorden genereren en opslaan in een "online kluis". De wachtwoordmanager is beschikbaar als browser-extensie en app voor Android en iOS. Volgens NortonLifeLock heeft een "ongeautoriseerde derde partij", met inloggegevens die via andere bronnen zijn verkregen, op het Norton-account van getroffen klanten ingelogd en kon zo ook toegang tot opgeslagen wachtwoorden krijgen. Dat blijkt uit een datalekmelding die het securitybedrijf bij de procureur-generaal van de Amerikaanse staat Vermont heeft gedaan (pdf). Het gaat hier om een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen niet detecteren en blokkeren. Door op het Norton-account in te loggen heeft de aanvaller naam, telefoonnummer en adresgegevens in handen buitgemaakt. "We kunnen niet uitsluiten dat de ongeautoriseerde derde partij de gegevens in de wachtwoordmanager heeft verkregen, met name als je Password Manager key gelijk is, of erg lijkt, op die van je Norton-account", aldus de brief. De aanvaller kan de inloggegevens in de kluis vervolgens zelf gebruiken of delen met anderen, zo stelt NortonLifeLock verder. Het securitybedrijf heeft het wachtwoord van getroffen klanten gereset en adviseert, als klanten hetzelfde wachtwoord op ander websites gebruiken, het daar ook te wijzigen. Verder stelt NortonLifeLock dat klanten alle in de online wachtwoordmanager opgeslagen wachtwoorden direct moeten wijzigen. Tevens stelt het securitybedrijf dat klanten geregeld hun wachtwoorden zouden moeten wijzigen. Het periodiek wijzigen van wachtwoorden, tenzij er een datalek heeft plaatsgevonden, wordt door beveiligingsexperts en overheidsinstanties juist afgeraden omdat mensen dan vaak een zwakker wachtwoord kiezen. bron: https://www.security.nl

Nog minder dan negentig dagen en dan stopt Microsoft de ondersteuning van Exchange Server 2013, zo heeft het techbedrijf opnieuw gewaarschuwd. Kwetsbaarheden zullen dan niet meer worden verholpen. Hoewel de software blijft werken adviseert Microsoft organisaties om zo snel mogelijk naar Exchange Online of Exchange Server 2019 te migreren. Exchange Server 2013 verscheen in juli 2012. Op 11 april is de mailserversoftware "end of support" en biedt Microsoft geen ondersteuning meer. "Bij het uitfaseren van Exchange 2013 zijn de belangrijkste overwegingen het plannen van de uitfasering en monitoring, om zeker te weten dat niets meer met de te verwijderen servers verbinding maakt", zo liet het techbedrijf afgelopen augustus nog weten. bron: https://www.security.nl

Een zerodaylek in FortiOS SSL-VPN, waardoor een aanvaller op afstand kwetsbare vpn-servers kan overnemen, is gebruikt tegen overheden en grote organisaties waarbij de gebruikte malware alle sporen uit de logbestanden kan wissen, zo stelt Fortinet. Een maand geleden kwam Fortinet met een waarschuwing en beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-42475. Het beveiligingslek werd al voor het uitkomen van de patch misbruikt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Bij de initiële waarschuwing gaf Fortinet geen details, maar heeft dat in een nieuwe analyse nu wel gedaan. Zo is de kwetsbaarheid, een heap-based buffer overflow in SSLVPNd, gebruikt tegen overheden en grote organisaties. "De complexiteit van de exploit suggereert een geavanceerde actor en een zeer gerichte inzet tegen overheden of overheidsgerelateerde doelwitten", aldus onderzoeker Carl Windsor. Zodra de aanvallers toegang hebben wordt er malware op de vpn-server geïnstalleerd die het loggingproces van FortiOS aanpast, om zo logbestanden te manipuleren en detectie te voorkomen. FortiOS is het besturingssystemen van Fortinet en draait op de producten van het bedrijf. Zo kan de aanvaller specifieke strings opgeven die uit de logbestanden worden verwijderd. Ook kan de malware het loggingproces uitschakelen. Volgens Windsor blijkt uit de gebruikte exploit dat de aanvaller een uitgebreide kennis van FortiOS en de onderliggende hardware heeft. "Het gebruik van custom implants laat zien dat de aanvaller over geavanceerde mogelijkheden beschikt, waaronder het reverse engineeren van verschillende onderdelen van FortiOS", aldus de onderzoeker. In de nieuwe analyse over de kwetsbaarheid zijn ook verschillende Indicators of Compromise gegeven, zoals ip-adressen, hashes en bestanden, waarmee organisaties kunnen controleren of ze zijn gecompromitteerd. bron: https://www.security.nl

Een beruchte spionagegroep, verantwoordelijk voor de "Cloud Hopper" campagne uit 2017, maakt nu gebruik van de populaire mediaspeler VLC Media Player voor het laden van Cobalt Strike, software ontwikkeld voor het uitvoeren van penetratietests. Dat meldt antivirusbedrijf Trend Micro in een analyse. De aanval maakt gebruik van malafide websites en "SEO poisoning" om medewerkers van interessante organisaties met malware te vinden. Zodra die op bepaalde termen zoeken verschijnen de malafide websites in de zoekresultaten. Deze malafide sites doen zich bijvoorbeeld voor als forum en bevatten linkjes naar zip-bestanden. Dit zip-bestand bevat malafide code, de gootkit loader, die uiteindelijk VLC Media Player downloadt. VLC Media Player wordt vervolgens gebruikt voor het laden van een dll-bestand, dat een module van Cobalt Strike is. De software is zoals gezegd ontwikkeld voor gebruik bij penetratietests, maar wordt zeer geregeld door cybercriminelen en spionagroepen gebruikt. Via Cobalt Strike is het mogelijk om een besmet systeem op afstand opdrachten te geven. "Het gebruik van legitieme tools is inmiddels gemeengoed", aldus onderzoeker Hitomi Kimura. Hij vermoedt dat aanvallers op deze manier antivirussoftware willen omzeilen en menselijke controle proberen te misleiden. Eind december waarschuwde de Australische overheid dat het de gootkit loader op meerdere Australische netwerken had waargenomen. Volgens Trend Micro zit een spionagegroep genaamd APT10 achter de aanval, ook bekend als Potassium. De groep kwam in 2017 groot in het nieuws omdat het bij meerdere cloudproviders en managed serviceproviders had ingebroken om zo toegang tot allerlei organisaties wereldwijd te krijgen. De aanvalscampagne kreeg de naam Cloud Hopper. Twee vermeende leden van de groep werden in 2018 door de Verenigde Staten aangeklaagd. bron: https://www.security.nl

Aanvallers maken gebruik van een zeven jaar oude kwetsbaarheid in een Intel-driver om antivirussoftware op aangevallen systemen te omzeilen, zo stelt securitybedrijf CrowdStrike. Het gaat om een kwetsbaarheid in de Intel ethernet diagnostics driver aangeduid als CVE-2015-2291. Via het beveiligingslek kan een aanvaller code met kernelrechten uitvoeren. Zo is het bijvoorbeeld mogelijk om een malafide kerneldriver te laden. Via deze driver is het vervolgens mogelijk om aanwezige antivirus- of beveiligingssoftware te omzeilen, zodat bijvoorbeeld ransomware kan worden uitgerold. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren. De afgelopen maanden bleken aanvallers onder andere een anti-cheatdriver van de videogame Genshin Impact en drivers van antivirusbedrijf Avast en moederbordfabrikanten MSI en Gigabyte bij ransomware-aanvallen te hebben gebruikt voor het neutraliseren van antivirussoftware. Nu kan ook de Intel-driver hieraan worden toegevoegd. Om Windowscomputers tegen kwetsbare drivers te beschermen zijn Windows 10, 11 en Server 2016 en nieuwer voorzien van een blocklist die via Windows Update wordt bijgewerkt. Op de lijst staan kwetsbare drivers die Windows niet zal laden. Het automatisch bijwerken van de lijst is op Windows 10 was echter drie jaar lang niet gebeurd, zo ontdekte beveiligingsonderzoeker Will Dormann eind vorig jaar. Microsoft zou het probleem inmiddels hebben verholpen. bron: https://www.security.nl

Twitter weet niet precies waar de dataset vandaan komt met de gegevens van ruim 200 miljoen gebruikers die op internet wordt aangeboden, zo heeft het in een reactie laten weten. Vorige week bleek dat de e-mailadressen van ruim 211 miljoen Twitter-gebruikers zijn gelekt op internet. Volgens beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned was de data in 2021 verkregen door misbruik te maken van een Twitter-API waardoor de e-mailadressen die bij Twitterprofielen horen konden worden opgevraagd. In een reactie stelt Twitter dat er geen bewijs is gevonden dat de aangeboden data is verkregen door misbruik te maken van een kwetsbaarheid in de systemen van Twitter. "De data is waarschijnlijk een verzameling van al publiek beschikbare data afkomstig van verschillende bronnen", zo stelt het bedrijf. Twitter zegt in contact te staan met privacytoezichthouders en andere relevante autoriteiten om opheldering over het "vermeende incident" te geven. Verder adviseert Twitter gebruikers om tweefactorauthenticatie in te schakelen. bron: https://www.security.nl

Cisco waarschuwt organisaties en bedrijven voor een kritieke kwetsbaarheid in verschillende vpn-routers die het niet zal patchen, aangezien de apparaten end-of-life zijn en niet meer met beveiligingsupdates worden ondersteund. Het gaat om de RV016, RV042, RV042G en RV082 vpn-routers. Dit is netwerkapparatuur bedoeld voor het mkb. Een kwetsbaarheid in de apparaten (CVE-2023-20025) maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en het apparaat over te nemen. Het versturen van een speciaal geprepareerd http-request naar de webinterface maakt het mogelijk voor een aanvaller om root-toegang tot de router te krijgen. Aangezien de routers end-of-life zijn zal Cisco geen updates uitbrengen om het probleem te verhelpen. Wel adviseert het netwerkbedrijf om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren. Een andere genoemde oplossing is de overstap naar een nieuwe router. bron: https://www.security.nl

De helft van alle verstuurde e-mails bevat trackingpixels om het gedrag van gebruikers te volgen, dat stelt e-mailprovider Proton Mail. Naar schatting zou het om 166 miljard e-mails per dag gaan die van trackers zijn voorzien. "E-mailtrackers verzamelen en delen in het geheim gebruikersinformatie, waaronder locatie-, apparaat- en gebruiksgegevens met bedrijven en marketeers", aldus Proton Mail. "Big Tech wil al je data en ze zoeken steeds naar nieuwe manieren om het te verzamelen. Zelfs wanneer je een veilige e-maildienst gebruikt die de inhoud van je e-mail versleutelt, voegen marketingbedrijven trackers toe aan e-mails en nieuwsbrieven die ze naar je toe sturen", zegt Mathew Stastny van Proton Mail. E-mailtrackers zijn te blokkeren door geen HTML-content te laden of e-mails in plain text weer te geven. De Britse e-mailprovider Hey noemde e-mailtracking in 2021 nog een chronisch probleem en stelde dat 66 procent van alle e-mails trackingpixels bevatten. bron: https://www.security.nl

Veel servers waarop monitoringsoplossing Cacti draait zijn kwetsbaar voor aanvallen omdat ze een belangrijke beveiligingsupdate voor een kritieke kwetsbaarheid missen, zo stelt securitybedrijf Censys. Cacti is een opensource-monitoringsoplossing waarmee organisaties allerlei informatie over de status van hun netwerk en servers kunnen monitoren. Het gaat dan om zaken als netwerkverkeer, beschikbaarheid en uptime. Vorige maand verscheen er een beveiligingsupdate voor Cacti vanwege een command injection kwetsbaarheid (CVE-2022-46169). Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller willekeurige code op Cacti-servers uitvoeren als gemonitorde servers en andere systemen een specifieke databron gebruiken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 2 januari verscheen er vervolgens een uitgebreide beschrijving van de kwetsbaarheid. Vijf dagen later meldde de Shadowserver Foundation, een stichting die informatie over botnets, malware en andere criminele netwerken verzamelt en deelt met providers en overheidsdiensten, dat aanvallers actief misbruik van de kwetsbaarheid maken voor het infecteren van servers met malware. De aanvallen zouden al sinds 3 januari plaatsvinden. De Shadowserver Foundation adviseerde organisaties naast het patchen van Cacti-servers ook om die niet vanaf het internet toegankelijk te maken. Censys heeft nu onderzocht hoeveel Cacti-servers online te vinden zijn. Dat blijken er ruim 6400 te zijn. Het is niet van alle servers mogelijk om te bepalen welke versie ze draaien. Van de 1600 servers waarbij dat wel het geval is bleken er slechts 26 up-to-date te zijn. Het grootste deel van de gevonden Cacti-servers bevindt zich in Brazilië, gevolgd door Indonesië en de Verenigde Staten. Nederland komt niet in de top 10 voor. bron: https://www.security.nl

Microsoft heeft gisteren een beveiligingsupdate voor een kritieke kwetsbaarheid in SharePoint Server uitgebracht, maar systeembeheerders die willen dat hun systemen beschermd zijn moeten naast het installeren van de patch een extra handeling uitvoeren. De kwetsbaarheid (CVE-2023-21743) betreft een "security feature bypass" waardoor een ongeauthenticeerde aanvaller de authenticatie kan omzeilen en een anonieme verbinding naar de SharePoint-server maken. Opvallend aan deze kwetsbaarheid is dat Microsoft die als kritiek heeft bestempeld, terwijl security feature bypasses over het algemeen lager worden beoordeeld. Het installeren van de beveiligingsupdate alleen is niet voldoende om de "SharePoint farm" te beschermen, aldus Microsoft. Er is ook een aanvullende "upgrade action" vereist. Die is uit te voeren via de SharePoint Products Configuration Wizard, de Upgrade-SPFarm PowerShell cmdlet of het "psconfig.exe -cmd upgrade -inplace b2b" commando dat na de installatie van de update op elke SharePoint-server moet worden uitgevoerd. "Dit soort gevallen laat zien waarom mensen die altijd schreeuwen "Just patch it!” nog nooit een bedrijf in de echte wereld hebben moeten patchen", zegt Dustin Childs van het Zero Day Initiative. Microsoft verwacht dat aanvallers misbruik van het beveiligingslek zullen gaan maken. bron: https://www.security.nl

Tijdens de eerste patchdinsdag van dit jaar heeft Microsoft updates voor 98 kwetsbaarheden uitgebracht, waaronder een actief aangevallen zerodaylek in Windows. Via de kwetsbaarheid (CVE-2023-21674) kan een aanvaller uit de sandbox van de Chromium-browser ontsnappen en vervolgens systeemrechten krijgen. Het gaat hier om een "local elevation of privilege" kwetsbaarheid, wat inhoudt dat een aanvaller al code in de browser moet kunnen uitvoeren. Details over de aanvallen waarbij het zerodaylek werd gebruikt zijn niet door Microsoft gegeven, maar de kwetsbaarheid werd ontdekt door antivirusbedrijf Avast. "Dergelijke bugs worden vaak gecombineerd met het uitvoeren van code om malware of ransomware te verspreiden. Gezien onderzoekers van Avast dit aan Microsoft rapporteerden is dat een waarschijnlijk scenario", zegt Dustin Childs van het Zero Day Initiative. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid heeft federale overheidsinstanties verplicht om de update voor 31 januari te installeren. Op de meeste systemen zal dit automatisch gebeuren. Vorig jaar kwam Microsoft voor in totaal twaalf zerodaylekken met updates. bron: https://www.security.nl

Een Python-ontywikkelaar heeft in de packages die via de Python Package Index (PyPI) worden aangeboden tientallen werkende AWS access keys gevonden, onder andere van Amazon, Intel, de Australische overheid en verschillende universiteiten. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Tom Forbes ontwikkelde een tool om alle via PyPI aangeboden packages op de aanwezigheid van AWS acces keys te scannen. Via deze keys kan er toegang tot allerlei AWS-services worden verkregen. Iets wat niet de bedoeling is en vergaande gevolgen kan hebben. Toch blijkt het nog geregeld voor te komen dat ontwikkelaars deze keys achterlaten. Volgens Forbes is het redelijk eenvoudig om de aanwezigheid van AWS-keys te detecteren. Via 11 van de in totaal 57 gevonden actieve AWS-keys kon er als root toegang worden verkregen. 22 waren er voor service-accounts en 18 voor gebruikersaccounts. Volgens Forbes is de aanwezigheid van de keys toe te schrijven aan onbedoelde aanpassingen of het bundelen van bestanden, testdata en "legitiem" gebruik. Het gaat dan om keys die worden gebruikt voor het uploaden van tijdelijke bestanden naar de S3-dataopslag van Amazon. bron: https://www.security.nl

Microsoft zal eind april het standaard niet meer toestaan dat klanten van Exchange Online die via POP3 en IMAP4 hun e-mail ophalen dit doen via TLS 1.0 en TLS 1.1. Aangezien er nog veel e-mailclients worden gebruikt die geen TLS 1.2 ondersteunen heeft Microsoft besloten om het gebruik van TLS 1.0/1.1 voor POP3 en IMAP4 via een opt-in endpoint toch toe te staan. Organisaties moeten deze endpoints in hun e-mailclient instellen. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding, bijvoorbeeld tussen e-mailclient en mailserver. TLS 1.0 en 1.1 bevatten verschillende kwetsbaarheden en zijn kwetsbaar voor aanvallen zoals BEAST, CRIME en POODLE. Hierbij kan een aanvaller onder andere de versleutelde sessie van een slachtoffer overnemen. Exchange Online stopte de ondersteuning van TLS 1.0 en TLS 1.1 in oktober 2020. Microsoft staat het echter nog wel toe dat klanten die via POP3 en IMAP4 hun e-mail ophalen dit via een TLS 1.0- of 1.1-verbinding doen. Eind april zal Microsoft TLS 1.0 en TLS 1.1 voor POP3/IMAP4 op het endpoint outlook.office365.com uitschakelen. Begin februari zal Microsoft een "klein percentage" van de TLS 1.0-verbindingen voor POP3/IMAP4 gaan blokkeren. Klanten krijgen dan een foutmelding dat TLS 1.0 en 1.1 niet meer worden ondersteund en naar een e-mailclient moeten upgraden die TLS 1.2 ondersteunt. Aangezien er volgens Microsoft nog veel gebruik wordt gemaakt van e-mailclients die TLS 1.2 niet ondersteunen is besloten een opt-in endpoint op te zetten waar deze e-mailclients wel verbinding mee kunnen blijven maken. Het gaat om pop-legacy.office365.com en imap-legacy.office365.com die TLS 1.0 en 1.1 wel ondersteunen. Organisaties moeten deze endpoints in hun e-mailclient instellen. Daarnaast moeten systeembeheerders de AllowLegacyTLSClients-paramater op true zetten. bron: https://www.security.nl

De afgelopen dagen zijn honderden SugarCRM-servers gecompromitteerd via een zerodaylek, zo claimt securitybedrijf Censys. Inmiddels is er een beveiligingsupdate uitgebracht voor de actief aangevallen kwetsbaarheid. SugarCRM biedt een platform voor customer relationship management (CRM) dat op eigen servers is te installeren en als cloudoplossing beschikbaar is. Eind december werd op de Full Disclosure-mailinglist een zeroday-exploit voor SugarCRM gepubliceerd. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en toegang tot de SugarCRM-server krijgen. Aanvallers gebruiken het beveiligingslek om een webshell op de server te installeren, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Censys stelt dat het op 5 januari zo'n drieduizend SugarCRM-servers op internet detecteerde. Daarvan waren er bijna driehonderd gecompromitteerd. Het gaat volgens Censys ook om acht servers in Nederland. De meeste gecompromitteerde SugarCRM-servers bevinden zich in de Verenigde Staten en Duitsland. Op al deze servers werd een webshell gedetecteerd. SugarCRM maakte op 4 januari een hotfix voor het zerodaylek beschikbaar en roept klanten met een eigen SugarCRM-server op om die zo snel mogelijk te installeren. Op 5 januari publiceerde het softwarebedrijf een FAQ met uitleg over het probleem en hoe klanten kunnen controleren of ze gecompromitteerd zijn. bron: https://www.security.nl

Microsoft is gestopt met het uitbrengen van betaalde beveiligingsupdates voor Windows 7. Drie jaar lang konden bedrijven en organisaties die nog gebruikmaakten van het besturingssysteem patches voor ernstige beveiligingsproblemen ontvangen. De normale ondersteuning van Windows 7 eindigde op 14 januari 2020. Volgen StatCounter draait nog 3,3 procent van de Nederlandse Windowscomputers op Windows 7. Wereldwijd is dat 11,2 procent. Via het Extended Security Update (ESU) programma konden organisaties tegen betaling beveiligingsupdates van Microsoft blijven ontvangen, zodat ze in de tussentijd naar een nieuwer besturingssysteem konden migreren. Microsoft heeft herhaaldelijk gewaarschuwd dat het ESU-programma voor Windows 7 SP1 en Windows 7 Professional voor Embedded Systems op 10 januari 2023 zal eindigen en deed dat vorige week opnieuw. Microsoft adviseert organisaties om te upgraden naar Windows 11. "Pc's zijn sinds de release van Windows 7 tien jaar geleden substantieel veranderd", aldus het techbedrijf. Dat stelt dat de meeste Windows 7-computers niet aan de hardware-eisen van Windows 11 voldoen. Wel zijn deze systemen te upgraden naar Windows 10. Daarbij stelt Microsoft dat de ondersteuning van Windows 10 op 14 oktober 2025 eindigt. Windows 7 Extended Security Update is niet het enige waarvan Microsoft morgen de support stopt. Dat doet het voor veel meer producten, waaronder Windows 8.1, Windows RT, Windows Server 2008 ESU en Windows Server 2008 R2 ESU, Visual Studio 2012 en verschillende Dynamics-versies. bron: https://www.security.nl

Mijn eerste gedachte is problemen met de sim-kaart. Misschien kun je deze eens in een ander toestel steken of laten testen in een telefoonwinkel. Een tweede optie is het uitvoeren van een factory-reset. Maar hou daar wel rekening mee dat je dan alles aan telefoonnumers, foto's e.d. kwijt raakt.

Antivirusbedrijf Bitdefender heeft een gratis decryptietool voor de LockerGoga-ransomware gepubliceerd, nadat de Zwitserse autoriteiten tal van decryptiesleutels in handen kregen. Eerder verscheen er ook al een gratis decryptor voor slachtoffers van de LockerGoga-ransomware. Vorige maand meldden de Zwitserse autoriteiten dat ook de MegaCortex-encryptie was gekraakt. Eind 2021 vond er een internationale politieoperatie plaats tegen verdachten die van de LockerGoga- en MegaCortex-ransomware gebruik zouden hebben gemaakt. Eerder waren de Nederlandse autoriteiten al een onderzoek naar de bende achter de ransomware-aanvallen gestart. Die wordt verantwoordelijk gehouden voor het maken van achttienhonderd slachtoffers in meer dan zeventig landen. De hierbij veroorzaakte schade wordt op 104 miljoen dollar geschat. Tijdens het onderzoek wist het Team High Tech Crime (THTC) van de politie informatie te achterhalen over systemen van bedrijven die wereldwijd waren geïnfecteerd, maar waar de ransomware nog niet was geactiveerd. Vervolgens werden deze bedrijven door het THTC en Nationaal Cyber Security Centrum (NCSC) gewaarschuwd, zodat ze maatregelen konden nemen om de ransomware te verwijderen. Het Zwitserse openbaar ministerie liet vorig jaar september weten dat het tijdens het onderzoek naar een verdachte in deze zaak op een onderzochte datadrager tal van decryptiesleutels heeft aangetroffen. Deze sleutels zijn met Bitdefender gedeeld, zodat het gratis decryptietools voor getroffen organisaties kon ontwikkelen. bron: https://www.security.nl

Softwarebedrijf Zoho adviseert klanten om een kwetsbaarheid in ManageEngine Password Manager Pro, PAM360 en Access Manager Plus direct te patchen. Beveiligingslekken in deze software zijn in het verleden vaker doelwit van aanvallen geweest. Password Manager Pro is een "gecentraliseerde wachtwoordkluis" die bedrijven zelf kunnen hosten. Volgens ManageEngine loggen elke dag meer dan 300.000 systeembeheerders en eindgebruikers op de wachtwoordmanager in en worden daarmee miljoenen wachtwoorden beheerd. PAM360 is een "privileged access management" oplossing, waarmee organisaties rechten en toegangsbeheer van medewerkers kunnen beheren en monitoren. Met Access Manager Plus is het mogelijk voor organisaties om de toegang tot remote systemen te beheren. Door middel van SQL-injection is het mogelijk voor een aanvaller om toegang tot de database van de softwareoplossingen te krijgen. "Gegeven de ernst van deze kwetsbaarheid worden klanten ten zeerste aangeraden om meteen naar de laatste versie van PAM360, Password Manager Pro en Access Manager Plus te upgraden", aldus het beveiligingsbulletin. Twee dagen geleden besloot Zoho klanten opnieuw voor het lek (CVE-2022-47523) te waarschuwen en op de beschikbaarheid van de beveiligingsupdate te wijzen. bron: https://www.security.nl

Zo'n 66.000 Microsoft Exchange-servers zijn kwetsbaar voor de ProxyNotShell-aanval omdat beheerders hebben nagelaten beschikbare beveiligingsupdates te installeren, zo stelt de Shadowserver Foundation op basis van eigen onderzoek. In Nederland gaat het om zo'n tweeduizend servers. Shadowserver verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). Ook voert het scans uit naar kwetsbare systemen. Via Twitter meldt de stichting dat zo'n 66.000 Exchange-servers de beveiligingsupdate voor de kwetsbaarheid aangeduid als CVE-2022-41082, ook bekend als ProxyNotShell, missen. CVE-2022-41082 maakt remote code execution (RCE) mogelijk wanneer PowerShell voor een aanvaller toegankelijk is. Het beveiligingslek werd bij zeroday-aanvallen ingezet, zo waarschuwde Microsoft op 29 september. Als tijdelijke oplossing kwam het techbedrijf met url-rewrites om aanvallen te voorkomen. Op 8 november verscheen er een beveiligingsupdate voor de actief aangevallen kwetsbaarheid. Bijna twee maanden verder blijkt dat deze patch nog altijd op 66.000 Exchange-servers niet is geïnstalleerd. Het grootste deel daarvan bevindt zich in de Verenigde Staten en Duitsland, met respectievelijk 16.000 en 12.000 servers. De Shadowserver Foundation roept organisaties dan ook op om de update te installeren, aangezien de url-rewrite die Microsoft als mitigatie aanbood niet blijkt te werken. bron: https://www.security.nl

Synology heeft een belangrijke beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor vpn-routers op afstand zijn over te nemen. De impact van het beveiligingslek, aangeduid als CVE-2022-43931, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Synology biedt VPN Plus Server, software waarmee een Synology-router tot vpn-server is "om te toveren". Een out-of-bounds write kwetsbaarheid in de remote desktopfunctionaliteit maakt het mogelijk voor een aanvaller om op afstand willekeurige commando's op de router uit te voeren. Het beveiligingslek werd zelf door Synology gevonden. Gebruikers wordt aangeraden om naar de laatste versie van VPN Plus Server te updaten. bron: https://www.security.nl

Het is de hoogste tijd om de term "ransomware" door een alternatief te vervangen, aangezien bij veel aanvallen door ransomwaregroepen helemaal geen data meer wordt versleuteld. Dat vindt antivirusbedrijf Emsisoft. De eerste ransomware-aanvallen waren eenvoudig en voornamelijk geautomatiseerd. Vaak waren eindgebruikers het doelwit. Tegenwoordig zijn de aanvallen complexer en is er sprake van "human-operated ransomware" gericht op bedrijven, waarbij aanvallers veel meer "handwerk" verrichten voor het binnendringen van organisaties en verspreiden van de ransomware. Daarnaast is het gemeengoed voor ransomwaregroepen om voor het uitrollen van ransomware eerst gevoelige data te stelen, om daarmee getroffen organisaties af te persen als ze het gevraagde losgeld niet betalen. Volgens Emsisoft is het versleutelen van data de laatste stap in de aanval, als die al plaatsvindt. "Om het anders te zeggen, aanvallen kunnen ook bestaan uit alleen het stelen van data, zelfs wanneer ze worden uitgevoerd door groepen die normaliter data versleutelen", aldus Emsisoft. De virusbestrijder stelt dan ook dat ransomwaregroepen ransomwareloze aanvallen uitvoeren. "Dit zorgt voor verwarring bij het bijhouden van statistieken wat als "ransomware" aanval moet worden gezien en wat niet." Volgens Emsisoft kunnen dergelijke incidenten beter worden bestempeld als "data extortion events", waarbij er sprake is van encryptie-gebaseerde data-afpersing en data-afpersing op basis van gestolen gegevens, die elkaar niet hoeven uit te sluiten. "Deze omschrijvingen zijn mogelijk geen ideale vervanging voor "ransomware", maar we zijn er zeker van dat iemand met betere alternatieven kan komen." bron: https://www.security.nl

De criminelen achter de BlackCat-ransomware, ook bekend als ALPHV, hebben gegevens van een accountantskantoor via een nagemaakte website van het slachtoffer gelekt. De website is via het 'gewone' internet bereikbaar en gebruikt een domeinnaam die erg op dat van het getroffen accountantskantoor lijkt. Dat laten beveiligingsonderzoekers Dominic Alvieri en Brett Callow weten. Het is inmiddels voor veel ransomwaregroepen standaard om bij een aanval ook gevoelige data van een getroffen organisatie te stelen. Als de organisatie het gevraagde losgeld niet betaalt wordt de gestolen informatie via de eigen website van de ransomwaregroep openbaar gemaakt. Deze websites worden gehost op het Tor-netwerk en vereisen het gebruik van Tor-browser om te worden bezocht. Eind december maakte de groep bekend dat een Amerikaans accountkantoor slachtoffer was geworden. In plaats van de gestolen gegevens via de eigen website te lekken, creëerde de ransomwaregroep een bijna identieke website van het accountkantoor en registreerde hiervoor een aparte, lijkende domeinnaam. Via de website kan op gestolen gegevens worden gezocht, waaronder klantenaudits en kopieën van paspoorten. Mogelijk dat de groep denkt op deze manier extra druk op het accountantskantoor uit te kunnen oefenen. Het Nederlandse vaccinbedrijf Bilthoven Biologicals werd afgelopen september getroffen door de BlackCat-ransomware, en eerder werd ook ID-ware slachtoffer, dat toegangssystemen levert aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. bron: https://www.security.nl