Captain Kirk

Aanvallers zijn erin geslaagd om op de 'cloudgebaseerde e-mailomgeving' van Hewlett Packard Enterprise (HPE) in te breken en maandenlang onopgemerkt data uit de e-mailaccounts van het cybersecurityteam, bedrijfssegmenten en andere functies te stelen. Dat laat het bedrijf in een melding aan de Amerikaanse beurswaakhond SEC weten. Volgens HPE zijn de aanvallers vermoedelijk vorig jaar mei begonnen met het stelen van data en werd dit op 12 december ontdekt. In een verklaring tegenover CRN laat HPE weten dat de e-mailomgeving in kwestie Office 365 was. Het onderzoek naar de aanval is nog gaande, maar HPE stelt dat het incident vermoedelijk gerelateerd is aan eerdere activiteit van dezelfde groep, waar het vorig jaar juni over werd ingelicht. Daarbij wisten de aanvallers vorig jaar mei een aantal SharePoint-bestanden te stelen. Na de melding over deze aanval afgelopen juni startte het bedrijf een onderzoek en nam maatregelen. Verdere details over de diefstal van de SharePoint-bestanden en inbraak op de e-mailaccounts en hoe dit kon plaatsvinden zijn niet gegeven. HPE laat weten dat de aanval vermoedelijk het werk van een statelijke actor genaamd Cozy Bear is, die ook bekendstaat als Midnight Blizzard. Onlangs meldde Microsoft dat het ook slachtoffer van deze groep was geworden, waarbij de aanvallers op systemen wisten in te breken en toegang kregen tot e-mailaccounts van het hoger management, het cybersecurityteam, juridische afdeling en andere functies. Daarbij werden e-mails en bijlagen gestolen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Cisco Unified Communications producten, die onder andere voor voip-toepassingen en zakelijke communicatie worden gebruikt, maken het mogelijk voor ongeauthenticeerde aanvallers om apparaten op afstand over te nemen. Cisco heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Het beveiligingslek wordt veroorzaakt doordat er niet goed wordt omgegaan met gebruikersinvoer. Door het sturen van een speciaal geprepareerd bericht naar een luisterende poort kan een aanvaller willekeurige commando's op het onderliggende besturingssystemen uitvoeren met de rechten van de web services gebruiker. Met toegang tot het onderliggende besturingssysteem kan een aanvaller ook roottoegang tot het Cisco-apparaat krijgen. De impact van de kwetsbaarheid, aangeduid als CVE-2024-20253, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Het probleem speelt onder andere in de Unified Communications Manager, Unified Contact Center Enterprise en Express, Unity Connection, Virtualized Voice Browser en Packaged Contact Center Enterprise. bron: https://www.security.nl

Exploit voor kritieke kwetsbaarheid in Fortra GoAnywhere online verschenen Er is een exploit online verschenen voor een kritieke kwetsbaarheid in Fortra GoAnywhere, waarvoor vorige maand een update verscheen en de details afgelopen maandag bekend werden gemaakt. GoAnywhere is een populaire zakelijke oplossing voor het uitwisselen van bestanden. Via de kwetsbaarheid kan een ongeautoriseerde gebruiker via het beheerdersportaal een admingebruiker aanmaken om zo volledige controle te krijgen. Vorig jaar leidde een andere kritieke kwetsbaarheid in GoAnywhere tot een explosie aan datalekken. Destijds ging het om een zerodaylek waar de criminelen achter de Clop-ransomware misbruik van maakten. De groep claimde dat ze via het beveiligingslek bij meer dan honderddertig organisaties hadden ingebroken. De angst is nu dat de vorige maand verholpen kwetsbaarheid ook tot aanvallen zal leiden. De kwetsbaarheid, aangeduid als CVE-2024-0204, heeft op een schaal van 1 tot en met 10 een impactscore van 9.8. "Het is onduidelijk uit de initiële advisory van Fortra of misbruik van CVE-2024-0204 al heeft plaatsgevonden, maar we verwachten dat het beveiligingslek snel zal worden aangevallen, als dat al niet het geval is geweest, gegeven het feit dat de patch al meer dan een maand beschikbaar is om te reverse engineeren", stelt securitybedrijf Rapid7. Dat roept organisaties op om meteen in actie te komen. De kans op misbruik is nog verder vergroot omdat proof-of-concept exploitcode voor de kwetsbaarheid door securitybedrijf Horizon3.ai online is geplaatst. bron: https://www.security.nl

De Britse overheid verwacht dat kunstmatige intelligentie voor een toename van ransomware-aanvallen zal zorgen. Dat meldt het Britse National Cyber Security Centre (NCSC) in een nieuw rapport over de korte termijn impact van AI op cybercrime. Het NCSC stelt dat ransomwaregroepen al gebruikmaken van AI om de efficiëntie en effectiviteit van cyberoperaties te versterken, zoals phishing, verkenning en programmeren. "Deze trend zal zich zeer waarschijnlijk volgend jaar en daarna voortzetten", aldus het rapport. Het uitvoeren van phishingaanvallen, verspreiden van malware en stelen van inloggegevens speelt een belangrijke rol bij het verkrijgen van toegang tot netwerken, waarna ransomware kan worden uitgerold. Het NCSC verwacht dan ook dat cybercriminelen van beschikbare AI-modellen gebruik zullen maken om beter toegang tot netwerken te krijgen, wat zal bijdragen aan de ransomwaredreiging op de korte termijn. Het NCSC denkt ook dat AI een rol zal gaan spelen bij het ontwikkelen van malware en exploits. "Het opkomende gebruik van AI bij cyberaanvallen is evolutionair, niet revolutionair, wat inhoudt dat het bestaande dreigingen zoals ransomware versterkt, maar het dreigingslandschap op de korte termijn niet verandert", zegt NCSC-ceo Lindy Cameron. Ze krijgt bijval van het Britse National Crime Agency (NCA). Dat verwacht dat ransomware, vanwege de financiële opbrengsten, ook dit jaar de voornaamste vorm van cybercrime zal zijn. "Ransomware blijft een dreiging voor de nationale veiligheid vormen. Zoals dit rapport laat zien zal de dreiging toenemen door ontwikkelingen in AI en misbruik van deze technologie door cybercriminelen", voegt James Babbage van het NCA toe. Het NCSC stelt dat de meeste ransomware-incidenten het gevolg zijn van slechte cyberhygiëne waar criminelen misbruik van maken, in plaats van geraffineerde aanvalstechnieken. Organisaties en gebruikers worden dan ook opgeroepen om standaard beveiligingsadviezen op te volgen. bron: https://www.security.nl

Softwarebedrijf Forta waarschuwt voor een kritieke kwetsbaarheid in GoAnywhere MFT waardoor een ongeautoriseerde gebruiker via het beheerdersportaal een admingebruiker kan aanmaken om zo volledige controle te krijgen. Een ander kritiek beveiligingslek in GoAnywhere zorgde vorig jaar voor een explosie aan datalekken. GoAnywhere is een oplossing voor het uitwisselen van bestanden. Een kritieke 'authentication bypass' in de software maakt het mogelijk voor een ongeautoriseerde gebruiker om via het adminportaal een admingebruiker aan te maken. Vervolgens krijgt een aanvaller zo volledige controle. De impact van de kwetsbaarheid (CVE-2024-0204) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Organisaties worden opgeroepen om te updaten naar versie 7.4.1 of nieuwer. bron: https://www.security.nl

Online projecttool Trello is het doelwit van een scraping-aanval geworden, waarbij de gegevens van 15,1 miljoen gebruikers zijn verzameld en nu op internet te koop worden aangeboden. Het gaat om e-mailadressen, namen en gebruikersnamen. Trello omschrijft zichzelf als een online tool voor het beheren van projecten en persoonlijke taken en wordt aangeboden door softwarebedrijf Atlassian. Volgens Troy Hunt, beveiligingsonderzoeker en oprichter van datalekzoekmachine Have I Been Pwned, zijn de gegevens verzameld door het enumereren van een 'publiek toegankelijke resource', waarbij e-mailadressen uit eerdere datalekken werden gebruikt. Volgens Trello heeft er geen ongeautoriseerde toegang tot het platform plaatsgevonden. De 15,1 miljoen e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of ze in bekende datalekken voorkomen. Van de gescrapete e-mailadressen kwam honderd procent al in een ander bekend datalek voor. bron: https://www.security.nl

Medewerkers van universiteiten en onderzoeksinstellingen in onder andere België en Frankrijk die zich bezighouden met het Midden-Oosten zijn het doelwit van gerichte aanvallen, waarbij .pdf.lnk-bestanden worden gebruikt om systemen met malware te infecteren, zo stelt Microsoft in een analyse. De aanvallen zijn volgens het techbedrijf het werk van een vanuit Iran opererende groep die het 'Mint Sandstorm' noemt. De groep doet zich tegenover doelwitten bijvoorbeeld voor als een gerenommeerde. journalist van een bekend nieuwsmedium die input vraagt voor een artikel. Daarbij maakt de groep gebruik van gespoofte e-mailadressen die lijken op die van de persoon die ze imiteren, maar ook gecompromitteerde e-mailaccounts van personen die de groep nabootst worden gebruikt. De eerste berichten die de groep uitwisselt bevatten geen malafide content. Na verloop van tijd stuurt de groep een artikel of document dat het doelwit is gevraagd om te controleren. Het gaat hier om een .rar-bestand dat een malafide .pdf.lnk-bestand bevat. Windows laat standaard geen bestandsextensies zien, waardoor doelwitten alleen zien dat het bestand op .pdf lijkt te eindigen. Wanneer doelwitten het lnk-bestand openen wordt er malware gedownload. In de analyse geeft Microsoft niet het advies om het verbergen van bestandsextensies uit te schakelen, maar linkt wel naar een MITRE-pagina waar dit wordt aangeraden. bron: https://www.security.nl

Mozilla is naar eigen zeggen al jaren bezig om ervoor te zorgen dat platforms en besturingssystemen van Apple, Google en Microsoft andere browsers een eerlijk speelveld bieden en is nu met een overzicht gekomen van de problemen waar het mee te maken heeft. Daarnaast roept de Firefox-ontwikkelaar de techbedrijven op om de problemen op te lossen en tot een gelijk speelveld voor onafhankelijke browsers zoals Firefox te komen Volgens Mozilla trekken de genoemde techbedrijven hun eigen browser voor, wat gevolgen voor mensen en concurrerende browsers heeft. Browsers zijn namelijk de primaire gateway waardoor mensen het internet gebruiken, aldus de Firefox-ontwikkelaar. "Dit centrale karakter schept een sterke prikkel voor dominante spelers om te bepalen welke browsers mensen gebruiken." Mozilla stelt dat er een lange geschiedenis is van bedrijven die hun controle over apparaten en besturingssystemen gebruiken om het speelveld in voorkeur van hun eigen browser te bewegen. Deze bedrijven maken het lastiger voor gebruikers om een andere browser te downloaden, negeren of resetten de standaard ingestelde browservoorkeur, vereisen het gebruik van de eigen browser om third-party browsers te downloaden of trekken hun eigen browser op andere manieren voor. De Firefox-ontwikkelaar zegt dat het al jaren met platformaanbieders in gesprek is om deze problemen op te lossen, maar het nog altijd tegen muren aanloopt. Om deze problemen inzichtelijk te maken heeft Mozilla nu het 'Platform Tilt' dashboard gelanceerd, waarop allerlei problemen staan vermeld. Het gaat bijvoorbeeld om het verbod op third-party browser-engines in de Apple App Store, het importeren van browserdata op Android en het instellen van de standaardbrowser op Windows. "Deze tracker laat de problemen zien waarmee we te maken hebben bij het ontwikkelen van Firefox, maar we geloven in een gelijk speelveld voor iedereen, niet alleen onszelf. We moedigen andere browserleveranciers aan om hun eigen zorgen op gelijke wijze kenbaar te maken", aldus Mozilla, dat Apple, Google en Microsoft oproept om de genoemde problemen op te lossen. bron: https://www.security.nl

VMware meldt actief misbruik van een kritieke kwetsbaarheid in vCenter-servers waarvoor eind oktober een beveiligingsupdate verscheen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. De kritieke kwetsbaarheid (CVE-2023-34048) betreft een 'out-of-bounds write' in het DCERPC-protocol, waardoor een aanvaller code op de server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De enige vereiste voor het uitvoeren van een aanval is dat een aanvaller toegang tot de server heeft. VMware heeft deze week het beveiligingsbulletin van een update voorzien waarin het laat weten dat er inmiddels actief misbruik van het beveiligingslek wordt gemaakt. Verdere details over deze aanvallen zijn niet gegeven. In het verleden is er vaker misbruik gemaakt van kwetsbaarheden in vCenter. bron: https://www.security.nl

De Belgische afvalverwerker Limburg.net heeft vorige maand de persoonlijke gegevens van 311.000 personen gelekt. Aanvallers wisten op 13 december toegang te krijgen tot adresgegevens met het rijksregisternummer van 311.000 personen die op 1 januari 2014 of 1 januari 2015 als gezinshoofd stonden ingeschreven. Limburg.net is een organisatie die voor alle Limburgse gemeenten afval inzamelt en verwerkt. "De gelekte gegevens zijn de naam, adres en rijksregisternummer van het gezinshoofd. Andere gegevens zoals identiteitskaartnummers, paswoorden, inloggegevens, rekeningnummers of bankkaartnummers zitten niet in de gekopieerde bestanden", zo laat de afvalverwerker op de eigen website weten. Volgens Limburg.net bestaat de kans dat de gegevens illegaal via het 'darkweb' verspreid worden en op deze manier in handen vallen van personen met slechte bedoelingen. "Het darkweb is de diepste laag van het internet. Het is niet toegankelijk via de gebruikelijke zoekmachines", legt de afvalverwerker verder uit. "Als gevolg hiervan is het mogelijk dat criminelen u proberen te contacteren om aan persoonlijke informatie te raken, zoals wachtwoorden of bankgegevens. Ook informatie die u zelf vrijgeeft of publiek heeft staan op sociale mediaprofielen kan zo misbruikt worden. Het feit dat er tijdens de cyberaanval geen e-mailadressen, telefoonnummers, rekeningnummers, identiteitskaartnummers of bankkaartnummers gelekt zijn, maakt het moeilijker om u te contacteren of op te lichten." Verder waarschuwt Limburg.net dat veel Belgische instanties het rijksregisternummer gebruiken ter identiteitscontrole en de kans bestaat dat criminelen dat nummer gebruiken om zich als iemand anders voor te doen. "In principe is een rijksregisternummer alleen niet voldoende om verrichtingen of registraties te doen. Vaak vragen instanties een bevestiging via een eID of itsme of stellen ze extra controlevragen." De aanval is opgeëist door de criminelen achter de Medusa-ransomware. Als de afvalverwerker niet betaalt dreigt de ransomwaregroep de gestolen data openbaar te maken. Limburg.net laat tegenover Belgische media weten dat het niet van plan is om te betalen. bron: https://www.security.nl

Al ruim tweeduizend Ivanti Connect Secure VPN-appliances zijn via een zerodaylek besmet geraakt met een backdoor. Een beveiligingsupdate is nog niet beschikbaar, maar wel een mitigatie. Niet alle organisaties blijken die op de juiste manier toe te passen, waardoor ze opnieuw besmet raken, zo meldt securitybedrijf Volexity. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Twee zerodaylekken in de vpn-oplossing, CVE-2023-46805 en CVE-2024-21887, maken het mogelijk voor ongeauthenticeerde aanvallers om eerst de authenticatie te omzeilen en daarna willekeurige commando's op het apparaat uit te voeren. Zo is het mogelijk om een webshell te installeren en toegang tot het apparaat te behouden en verdere aanvallen uit te voeren. Volexity heeft een webshell die het GiftedVisitor noemt inmiddels op meer dan 2100 gecompromitteerde Ivanti-apparaten aangetroffen. Ivanti heeft aangegeven dat het de komende weken met updates komt. Als tijdelijke oplossing is er een mitigatie beschikbaar om systemen te beschermen. Het is wel belangrijk dat die op het juiste moment wordt doorgevoerd. Volexity zegt dat het van meerdere organisaties weet waarbij een schone Ivanti vpn-appliance werd uitgerold waarop de mitigatie was doorgevoerd, maar die opnieuw besmet raakte. Verder onderzoek wees uit dat deze organisaties eerst de mitigatie hadden doorgevoerd en daarna een back-up van de configuratiebestanden terugplaatsten. Daarmee wordt de mitigatie ongedaan gemaakt. Organisaties moeten dan ook eerst de back-up van de configuratie terugzetten en daarna pas de mitigatie toepassen. De zerodays worden al zeker sinds december door een groep aanvallers gebruikt. Inmiddels is er echter sprake van grootschalig misbruik, waarbij Volexity ook rekening houdt met ransomware-aanvallen. bron: https://www.security.nl

Anti-spamorganisatie Spamhaus gaat de blocklist-vermeldingen, waarop als malafide bestempelde ip-adressen staan, naar een nieuwe locatie verhuizen. Wanneer onderzoekers van Spamhaus ip-adressen of ip-reeksen als malafide beschouwen, bijvoorbeeld vanwege het versturen van spam of het hosten van cybercriminelen, worden die op de Spamhaus Blocklist (SBL) geplaatst. Het netwerk of hostingbedrijf dat voor het ip-adres verantwoordelijk is wordt via e-mail over de SBL-vermelding ingelicht. De e-mail bevat een link naar informatie waarom het ip-adres of ip-reeks op de Spamhaus Blocklist is geplaatst en hoe het ip-adres weer van de lijst kan worden gehaald. SBL-vermeldingen kunnen grote gevolgen hebben, omdat allerlei organisaties en bedrijven de blocklist gebruiken voor het weren van e-mail van ip-adressen die op de lijst staan. De SBL-vermeldingen werden altijd op www.spamhaus.org gehost, maar dat gaat veranderen. Ze zullen straks op een aparte website te vinden zijn, namelijk check.spamhaus.org. Aanleiding is de verouderde interface van www.spamhaus.org die in de toekomst zal worden aangepast. De Spamhaus-reputatiechecker die via check.spamhaus.org is te vinden beschikt nu al over een modernere interface. De verhuizing zou halverwege volgende maand moeten zijn afgerond. Om te voorkomen dat mensen straks denken dat de SBL-meldingen van Spamhaus een phishingaanval zijn, is de anti-spamorganisatie nu met de aankondiging gekomen. bron: https://www.security.nl

Google waarschuwt vandaag voor een groep aanvallers die slachtoffers een zogenaamde 'decryptietool' laat downloaden wat in werkelijkheid een backdoor is. Volgens het Amerikaanse techbedrijf gaat het om een vanuit Rusland opererende groep die zich in het verleden vooral met phishingaanvallen bezighield. De groep wordt door Google 'Coldriver' genoemd, maar staat ook bekend als UNC4057, Star Blizzard en Callisto. De groep doet zich volgens Google vaak voor als een expert in een bepaald gebied of claimt aan het slachtoffer gelieerd te zijn. Vervolgens wordt er een band opgebouwd, waarna de phishingaanval plaatsvindt. Het gaat dan om een link of document met een link die naar een phishingsite wijst. Bij de aanvallen waarvoor Google nu waarschuwt ontvangen slachtoffers een pdf document. Daarin staat echter onleesbare tekst. Wanneer slachtoffers reageren en stellen dat ze het document niet kunnen lezen reageert de groep met een link naar een 'decryptietool'. Deze tool is in werkelijkheid een backdoor, maar laat als afleidingsmanoeuvre een echt document zien. Via de backdoor kunnen de aanvallers willekeurige commando's op het systeem uitvoeren, cookies uit Google Chrome, Mozilla Firefox, Opera en Microsoft Edge stelen, bestanden up- en downloaden en naar documenten zoeken. Google heeft de door de groep gebruikte domeinen en bestanden aan de eigen Safe Browsing-dienst toegevoegd, zodat gebruikers van Chrome en andere browsers een waarschuwing te zien krijgen. bron: https://www.security.nl

Volgende week verschijnt Firefox 122 waarmee de browser ook het inloggen via passkeys ondersteunt. Passkeys zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. Steeds meer applicaties ondersteunen het gebruik van passkeys, maar in Firefox ontbrak dit. "Support voor passkeys is een topprioriteit voor ons, en het team is er actief mee bezig. Vanwege stabiliteitsproblemen hebben we besloten meer tijd aan het testen te besteden en de release uit te stellen", zo liet Mozilla eind vorig jaar weten, waarbij Firefox 122 als doel werd genoemd. Deze versie verschijnt volgende week dinsdag 23 januari. bron: https://www.security.nl

De Franse privacytoezichthouder CNIL heeft Yahoo een boete van tien miljoen euro gegeven wegens het plaatsen van cookies zonder toestemming en gebruikers niet de mogelijkheid geven om hun eerder gegeven toestemming in te trekken. Na klachten van gebruikers besloot CNIL onderzoek naar Yahoo.com en Yahoo Mail te doen. Yahoo.com liet gebruikers wel een cookiebanner zien, maar nog voordat er toestemming was gegeven had Yahoo al zo'n twintig cookies voor advertentiedoeleinden geplaatst. In het geval van Yahoo! Mail bleek dat gebruikers hun eerder gegeven toestemming voor het plaatsen van cookies niet vrijelijk konden intrekken. In dit geval zou er namelijk geen gebruik meer van de maildienst gemaakt kunnen worden. Het intrekken van toestemming mag geen nadelige gevolgen voor gebruikers hebben. In dit geval was dat wel zo, omdat ze geen gebruik van de dienst konden maken, aldus CNIL. De boete werd op 29 december vorig jaar opgelegd en is nu bekendgemaakt. Yahoo had in 2020 een omzet van 7,4 miljard dollar. bron: https://www.security.nl

Gebruikers van Google Chrome of een Androidtoestel zullen vanaf 6 maart een scherm te zien kunnen krijgen om hun zoekmachine in te stellen. In het geval van Android zal er ook een nieuwe keuzescherm voor de standaard in te stellen browser worden getoond. Dat is het gevolg van de Europese Digital Markets Act (DMA). "Onder de DMA moeten wij en andere aangewezen bedrijven aanvullende keuzeschermen laten zien", zo laat Google weten in een blogposting over de voorbereidingen op de DMA. Daarbij wordt ook verwezen naar een recent bijgewerkte Androidpagina over het keuzescherm. Vanaf 6 maart zal Google vanwege de DMA-verplichtingen tijdens de eerste setup van een Androidtoestel een nieuwe scherm voor het kiezen van een browser tonen, naast een keuzescherm voor de standaard zoekmachine. Tevens zal Google Chrome gebruikers op niet-Android-platforms een keuzescherm voor de zoekmachine laten zien. De getoonde opties kunnen per land verschillen. Na het uitvoeren van een fabrieksreset op Androidtoestellen zal het scherm weer opnieuw worden getoond. Door de DMA moeten gebruikers onder andere vooraf geïnstalleerde apps kunnen verwijderen. Ook mogen app-ontwikkelaars niet meer worden gedwongen om het betaalsysteem te gebruiken van appstores en mogen platforms eigen producten of diensten niet bevoordelen, bijvoorbeeld door ze bovenaan de zoekresultaten te zetten. Verder zorgt de DMA ervoor dat gebruikers eigen data van een platform naar een ander platform kunnen meenemen en chatdiensten interoperabel zijn. Volgens cijfers van StatCounter heeft de zoekmachine van Google in Nederland een marktaandeel van meer dan 92 procent. bron: https://www.security.nl

Elke Facebookgebruiker wordt door duizenden bedrijven gemonitord, zo stelt de Amerikaanse consumentenorganisatie Consumer Reports op basis van eigen onderzoek. Voor het onderzoek deelden meer dan zevenhonderd vrijwilligers de data die Facebook over hen had verzameld en bij het techbedrijf is op te vragen. Consumer Reports ontdekte dat in totaal 187.000 bedrijven informatie over deze 700 gebruikers naar Facebook hadden gestuurd. Elke deelnemer aan het onderzoek had gemiddeld 2230 bedrijven die data over hen naar Facebook stuurde. Bij sommige deelnemers ging het om meer dan 7000 bedrijven. De data is bijvoorbeeld afkomstig van websites die van de beruchte Meta-pixel gebruikmaken, maar het gaat ook om 'server-to-server tracking', aldus Consumer Reports. Eén bedrijf kwam in de data van 96 procent van de deelnemers voor. Het gaat om datahandelaar LiveRamp. Het zijn echter niet alleen datahandelaren die veel data over hun gebruikers met Facebook delen. Ook winkelketens Home Depot, Macy’s en Walmart komen veel voor. Soorten data De data die de Amerikaanse consumentenorganisatie aantrof is van twee soorten dataverzamelingen afkomstig: events en 'aangepaste doelgroepen'. Via aangepaste doelgroepen kunnen adverteerders klantenlijsten naar Meta uploaden en bevatten vaak identifiers zoals e-mailadressen en advertentie-ID's. Vervolgens is het mogelijk om deze personen op Facebook gerichte advertenties te tonen. "Events" bestaan uit interactie die een gebruiker met een merk had, bijvoorbeeld buiten Facebook of in de echte wereld. Het kan dan gaan om het bezoeken van een website of fysieke winkel of het aanschaffen van een product. De websites of apps in kwestie maken dan gebruik van Meta's trackingpixel om informatie met Meta te delen, of doen dit door middel van 'server-to-server tracking', waarbij de server van het bedrijf in kwestie data over wat gebruikers hebben gedaan naar de servers van Meta stuurt. Consumer Reports doet naar aanleiding van het onderzoek verschillende aanbevelingen. Zo zouden bedrijven moeten worden verplicht om dataminimalisatie toe te passen, waarbij ze alleen de absolute minimale hoeveelheid gegevens verzamelen om een dienst aan te kunnen bieden. Daarnaast moet Meta de kwaliteit en leesbaarheid van de data die het bedrijf voor gebruikers beschikbaar maakt verbeteren. bron: https://www.security.nl

Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn honderd miljoen unieke wachtwoorden toegevoegd, alsmede 71 miljoen e-mailadressen van gecompromitteerde accounts. De inloggegevens werden onder andere door malware buitgemaakt en in een verzamelde dataset op internet aangeboden en gebruikt voor het uitvoeren van credential stuffing-aanvallen, aldus beveiligingsonderzoeker en HIBP-oprichter Troy Hunt. Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de 71 miljoen gecompromitteerde e-mailadressen was een derde nog niet eerder in een bekend datalek voorgekomen. Iets wat volgens Hunt statistisch belangrijk is. "Het is niet de gewone verzameling van opnieuw gebruikte lijsten met een nieuwe strik eromheen die als het volgende belangrijke ding wordt aangeboden. Het is een aanzienlijke hoeveelheid nieuwe data." Veel lijsten met gestolen inloggegevens die op internet worden aangeboden bestaan uit eerder gedeelde gegevens die opnieuw worden verpakt. In dit geval gaat het om een aanzienlijke hoeveelheid nieuwe data, mede verkregen door malware die inloggegevens op besmette computers kon stelen. De "Naz.API" dataset, zoals de gestolen data wordt genoemd, bestaat uit e-mailadressen en wachtwoorden. De e-mailadressen zijn aan Have I Been Pwned toegevoegd, de wachtwoorden aan Pwned Passwords. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen. De honderd miljoen unieke wachtwoorden komen 1,3 miljard keer voor in de verzamelde datalekken, wat volgens Hunt laat zien dat mensen vaak hetzelfde wachtwoord voor meerdere online diensten gebruiken. bron: https://www.security.nl

VMware waarschuwt klanten voor een kritieke kwetsbaarheid in VMware Aria Automation, eerder nog bekend als vRealize Automation, die een geauthenticeerde aanvaller toegang tot 'remote organisaties en workflows' kan geven. Beveiligingsupdates zijn uitgebracht om het probleem te verhelpen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. VMware Aria Automation is een automatiseringsplatform voor het ontwikkelen en beheren van applicaties. De kwetsbaarheid, omschreven als 'missing access control', is aanwezig in versies voor versie 8.16. VMware werd door een externe partij over het probleem ingelicht en heeft nog geen aanwijzingen van misbruik gevonden. Verdere details over het beveiligingslek en hoe een aanvaller hier misbruik van kan maken zijn niet gegeven. Organisaties wordt aangeraden om te updaten naar versie 8.16. Kwetsbaarheden in VMware Aria zijn in het verleden vaker misbruikt door aanvallers. bron: https://www.security.nl

Tijdens de eerste patchronde van dit jaar heeft Oracle een groot aantal kwetsbaarheden in de eigen producten verholpen, waaronder meerdere kritieke beveiligingslekken waardoor aanvallers systemen zonder authenticatie en interactie van gebruikers op afstand kunnen overnemen. De kritieke problemen zijn onder andere aanwezig in Oracle MySQL, Essbase, Oracle Communications, Oracle Banking, Oracle Enterprise, Oracle Hyperion, JD Edwards EnterpriseOne, Oracle Retail en XCP Firmware. Het gaat om meerdere kwetsbaarheden waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8. Ook zijn er meerdere kritiek beveiligingslekken met een impactscore van 9.1 verholpen. Oracle zegt dat het geregeld berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren en alleen nog ondersteunde versies van de producten te blijven gebruiken. In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchrondes staan gepland voor 16 april, 16 juli en 25 oktober 2024. bron: https://www.security.nl

Mozilla lanceert volgende maand op 6 februari de vernieuwde en deels betaalde datalekdienst Mozilla Monitor, die nu nog bekendstaat als Firefox Monitor. Via de dienst, die gebruikmaakt van de database van datalekzoekmachine van Have I Been Pwned, kunnen gebruikers kijken of ze in een bekend datalek voorkomen. Gebruikers kunnen door het opgeven van hun e-mailadres controleren of ze slachtoffer van een datalek zijn. Mozilla Monitor zal deze mogelijkheid nog steeds gratis bieden zoals nu het geval is met Firefox Monitor, maar zal ook advies geven wat gebruikers in een dergelijk geval kunnen doen, zo meldt Mozillavolger Soeren Hentzschel. In de Verenigde Staten komt ook een betaalde versie van de dienst beschikbaar, Mozilla Monitor Plus. Via de betaalde versie kunnen gebruikers hun persoonlijke gegevens uit meer dan 190 personenzoekmachines laten verwijderen. Hiervoor werkt Mozilla samen met het bedrijf Onerep, dat vooralsnog alleen in de VS actief is. Mozilla biedt inmiddels meerdere betaalde diensten om inkomsten te genereren, waaronder Mozilla VPN en Firefox Relay. bron: https://www.security.nl

Citrix waarschuwt organisaties voor twee actief aangevallen zerodaylekken in NetScaler ADC en Gateway waardoor een aanvaller een denial of service kan veroorzaken of via de managementinterface code kan uitvoeren. Klanten worden opgeroepen om de beschikbaar gemaakte beveiligingsupdates zo snel mogelijk te installeren. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Via kwetsbaarheid CVE- 2023-6548 is het mogelijk voor een geauthenticeerde aanvaller met toegang tot de managementinterface om code uit te voeren. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 5.5. De impactscore komt mede doordat een aanvaller geauthenticeerd moet zijn en toegang tot de managementinterface moet hebben. Citrix adviseert om deze interface niet vanaf het internet toegankelijk te maken. De tweede zeroday waarvoor Citrix waarschuwt is CVE-2023-6549 en maakt het mogelijk voor een aanvaller om een denial of service te veroorzaken. Dit beveiligingslek heeft een impactscore van 8.2 gekregen. Misbruik is mogelijk wanneer de appliance is geconfigureerd als Gateway (VPN virtual server, ICA Proxy, CVPN of RDP Proxy) of AAA virtual server. Citrix heeft verder geen details over de aanvallen gegeven en wil ook geen technische details over de kwetsbaarheden geven omdat dit aanvallers zou kunnen helpen. bron: https://www.security.nl

GitHub.com heeft wegens een kwetsbaarheid waardoor aanvallers toegang tot de omgevingsvariabelen van een productiecontainer kunnen krijgen besloten om verschillende keys te roteren. Daarnaast is er een beveiligingsupdate voor het probleem in GitHub Enterprise Server (GHES) uitgebracht. De kwetsbaarheid (CVE-2024-0200) werd op 26 december op GitHub.com verholpen, waarop het platform begon om alle mogelijk blootgestelde credentials te roteren. Het roteren van de credentials op GitHub.com zorgde eind december gedurende meerdere dagen voor verstoringen op het platform. Volgens GitHub heeft het roteren van de meeste keys geen gevolgen voor klanten, op een aantal na die het gisteren roteerde en extra handelingen kunnen vereisen. Zo is de GitHub commit signing key die wordt gebruikt voor het signen van commits op GitHub verlopen. Sinds gisteren wordt er voor alle commits een nieuwe key gebruikt. Vanaf 23 januari zullen nieuwe commits die nog met de vorige key zijn gesigneerd niet langer geverifieerd zijn. Ontwikkelaars die commits op GitHub.com buiten GitHub verifiëren, waaronder verificatie in GHES, moeten de nieuwe public key in hun omgeving importeren. Tevens zijn ook keys voor GitHub Actions, GitHub Codespaces en Dependabot vervangen. Gebruikers die nog van deze keys gebruikmaken kunnen met foutmeldingen te maken krijgen. GitHub stelt dat het geen aanwijzingen heeft gevonden dat aanvallers misbruik van de kwetsbaarheid hebben gemaakt, maar het vanwege procedures in alle gevallen keys roteert wanneer een derde partij daar toegang toe kan hebben gehad. Het beveiligingslek is zoals gezegd ook aanwezig in GitHub Enterprise Server, maar vereist daar dat een aanvaller over een bepaalde rol beschikt om het lek te kunnen misbruiken, wat volgens GitHub de kans op misbruik aanzienlijk verkleint. GitHub.com is een populair platform voor softwareontwikkelaars en softwareprojecten en is na een miljardenovername al enige tijd eigendom van Microsoft. bron: https://www.security.nl

Google heeft voor de eerste keer dit jaar een actief aangevallen zerodaylek in Chrome verholpen. Net als met de eerste zerodaylek van 2023 bevindt de kwetsbaarheid zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin al vaker zerodaylekken werden gevonden. De impact van de kwetsbaarheid, aangeduid als CVE-2024-0519, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gerapporteerd door een niet nader genoemde onderzoeker. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Google Chrome 120.0.6099.224/225 is beschikbaar voor Windows, voor Linux en macOS zijn respectievelijk versies 120.0.6099.224 en 120.0.6099.234 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Criminelen maken gebruik van verlengingsmails die van Norton AntiVirus afkomstig lijken om mensen op te lichten, waarbij één slachtoffer voor 34.000 dollar het schip in ging. De Amerikaanse Secret Service wist de rekening die de oplichter gebruikte echter te bevriezen. Het slachtoffer ontving eind vorig jaar een e-mail waarin werd gesteld dat er 350 dollar in rekening werd gebracht voor het verlengen van zijn abonnement van Norton AntiVirus. Om de verlenging te annuleren moest een opgegeven telefoonnummer worden gebeld, wat het slachtoffer deed. De oplichter aan de andere kant deed zich voor als Norton-medewerker en wist met hulp van het slachtoffer toegang tot zijn computer te krijgen. Vervolgens vroeg de oplichter of de 350 dollar was teruggestort, waarbij de oplichter toevoegde dat er per ongeluk een bedrag van 34.000 dollar was overgemaakt en of het slachtoffer dit kon terugstorten. In werkelijkheid had de oplichter via de toegang die hij tot de computer van het slachtoffer had 34.000 dollar van de ene rekening van het slachtoffer naar zijn andere rekening overgemaakt. Deze 34.000 dollar maakte het slachtoffer vervolgens over naar de rekening van de oplichter, zo blijkt uit het bevel dat de Secret Service bij een Amerikaanse rechtbank indiende om de rekening van de oplichter te bevriezen (pdf). Dergelijke scams komen al enige tijd voor en maken geregeld slachtoffers. Een ander slachtoffer werd vorig jaar voor 10.000 dollar opgelicht, terwijl een Canadese man voor 40.000 dollar werd bestolen. Norton waarschuwt via de eigen website voor de scam. bron: https://www.security.nl