Captain Kirk

Mozilla heeft de Private Browsing-feature in Firefox van een nieuw logo en vormgeving voorzien. Ook zal nu standaard een dark theme worden gebruikt, zo laat de browserontwikkelaar weten. Daarnaast zijn in de nieuwste Firefox-versie meerdere kwetsbaarheden verholpen, onder andere in de wachtwoordmanager en een beveiligingslek dat een permanente denial of service mogelijk maakt. Net als andere browsers biedt Firefox "Private Browsing". Daarbij worden sessiegegevens, zoals cookies en bezochte websites, niet opgeslagen en verwijderd na het sluiten van de browser. Mozilla benadrukt op de eigen website dat de feature geen "anonimiteit" biedt eneen internetprovider of werkgever nog steeds kunnen zien welke websites worden bezocht. Met de lancering van Firefox 106 is Private Browsing van een nieuw logo en vormgeving voorzien die volgens Mozilla "het gevoel van privacy" moeten versterken. Verder maakt de feature nu standaard gebruik van het dark theme. Daarnaast is het nu mogelijk om private browservensters aan de Windows-taakbalk vast te maken. Verder zijn met Firefox 106 zes kwetsbaarheden verholpen die in het ergste geval tot situaties zouden kunnen leiden waarbij een aanvaller willekeurige code op het systeem uitvoert, maar dat is niet aangetoond. Verder bleek dat de wachtwoordmanager gebruikersnamen in een onversleuteld bestand opsloeg, terwijl deze informatie eigenlijk versleuteld had moeten zijn. Daarnaast had een malafide website de browser kunnen laten crashen. Afhankelijk van de instellingen voor het herstellen van de browsersessie had dit voor een permanente denial of service kunnen zorgen. Updaten naar de nieuwste versie kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Verschillende securitybedrijven melden dat aanvallers op grote schaal misbruik proberen te maken van een kritieke kwetsbaarheid in de FortiGate firewalls, FortiProxy webproxies en FortiSwitch Manager van fabrikant Fortinet. Via het beveiligingslek in FortiOS, aangeduid als CVE-2022-40684, kan een ongeauthenticeerde aanvaller toegang tot de beheerdersinterface krijgen en daar allerlei acties uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Via de kwetsbaarheid kan een aanvaller deze apparaten compromitteren, wat grote gevolgen voor organisaties kan hebben. Begin oktober bracht Fortinet een beveiligingsupdate uit voor het probleem. Inmiddels is er een proof-of-concept exploit online verschenen. Na het verschijnen hiervan melden verschillende securitybedrijven dat er een toename is van aanvalspogingen tegen Fortinet-apparaten. Bij de aanvallen wordt geprobeerd om de SSH-key van de beheerder aan te passen. Een aanvaller kan zo vervolgens op het systeem als beheerder inloggen. Eerder gaf Fortinet al het advies aan klanten om te controleren of hun netwerkapparaten niet al zijn gecompromitteerd. Naast het installeren van de patch stelt Fortinet dat het uitschakelen van de HTTP/HTTPS admin-interface als workaround kan worden toegepast. Inmiddels is het Nederlandse DIVD begonnen om naar kwetsbare apparaten op internet te zoeken en de verantwoordelijke organisaties te waarschuwen. bron: https://www.security.nl

Een methode die in Microsoft 365 wordt gebruikt voor het versleutelen van berichten kan de inhoud daarvan lekken, zo stelt securitybedrijf WithSecure. Het bedrijf meldde het probleem met de berichtversleuteling bij Microsoft en kreeg hiervoor een beloning van vijfduizend dollar. De kwetsbaarheid komt echter niet in aanmerking voor een beveiligingsupdate, aldus het techbedrijf. De Microsoft Office 365 Message Encryption (OME) laat gebruikers versleutelde e-mails ontvangen en versturen. Voor de versleuteling wordt gebruik gemaakt van de Electronic Codebook (ECB) mode. Volgens WithSecure is ECB onveilig en kan het informatie over de structuur van verstuurde berichten lekken, wat weer kan leiden tot het gedeeltelijk of volledig lekken van de berichtinhoud. Een aanvaller zou wel eerst toegang tot een groot aantal versleutelde berichten moeten krijgen. Het probleem met de Electronic Codebook (ECB) mode is dat het versleutelen van hetzelfde block van plaintext data altijd hetzelfde versleutelde resultaat oplevert. Hoewel de inhoud van de versleutelde data niet direct zichtbaar is, geldt dat wel voor informatie over de structuur van het bericht. Aan de hand van deze patronen is het mogelijk om de inhoud van versleutelde berichten deels of gedeeltelijk te achterhalen, aldus de onderzoekers. De problemen met ECB zijn niet nieuw. In 2013 bleek dat Adobe van ECB gebruikmaakte voor de opslag van wachtwoorden, wat voor de nodige kritiek zorgde nadat het softwarebedrijf gegevens van 150 miljoen gebruikers had gelekt, waaronder inloggegevens. Eerder had ook het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) organisaties voor ECB gewaarschuwd. WithSecure meldde het probleem begin dit jaar bij Microsoft. Een week later ontving het securitybedrijf een beloning van 5000 dollar voor de bugmelding. In augustus en september liet Microsoft echter weten dat de kwetsbaarheid niet in aanmerking komt om te worden verholpen met een beveiligingsupdate. Aangezien er geen oplossing beschikbaar is adviseert het securitybedrijf om de Microsoft Office 365 berichtversleuteling niet te gebruiken. bron: https://www.security.nl

E-mailprovider Proton Mail biedt gebruikers vanaf vandaag de mogelijkheid om hun account met een fysieke beveiligingssleutel te beveiligen. Alle keys worden ondersteund, zolang ze de U2F- of FIDO2-standaard ondersteunen. Een fysieke beveiligingssleutel is een apparaatje dat bijvoorbeeld via usb, nfc of bluetooth met de computer verbinding maakt. Security keys maken gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst bij de betreffende website instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd. Bij Proton Mail zal de beveiligingssleutel als tweede factor bij het inloggen moeten worden gebruikt. Op dit moment ondersteunt de e-mailprovider time-based one-time passwords (TOTP) voor tweefactorauthenticatie (2FA). TOTP kan volgens Proton Mail lastig zijn, aangezien het password in een korte tijd moet worden ingevoerd. Daarnaast wordt met een fysieke sleutel aangetoond dat de gebruiker de key in bezit heeft om op zijn account in te loggen. Vanwege dit fysieke aspect zijn hardwarematige sleutels één van de veiligste methodes voor 2FA, aldus Proton Mail. bron: https://www.security.nl

Google heeft support voor passkeys aan Android en Chrome toegevoegd waardoor gebruikers straks zonder gebruikersnaam en wachtwoord op hun accounts en apps kunnen inloggen. Ook een tweede factor zoals sms-code, one-time password of push-bevestiging is dan niet meer nodig. Alleen een biometrische controle, pincode of ontgrendelingspatroon van het apparaat waarmee wordt ingelogd is voldoende, zo heeft het techbedrijf aangekondigd. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Voor het inloggen met een passkey moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. Wanneer een gebruiker zijn passkeys niet wil synchroniseren over meerdere apparaten is het nog steeds mogelijk om met passkeys in te loggen op een apparaat waar ze niet zijn opgeslagen. Zo is het bijvoorbeeld mogelijk om met een passkey die op een smartphone is gegenereerd op een website op een laptop in te loggen. Zolang de telefoon in de buurt van de laptop is en de gebruiker de inlogpoging goedkeurt op zijn telefoon, kan er vanaf de laptop op de website worden ingelogd. Wel kan de betreffende website aanbieden om ook op de laptop een passkey te genereren, zodat de telefoon de volgende keer niet nodig is om in te loggen. "Omdat passkeys gebonden zijn aan een website of app, zijn ze veilig voor phishingaanvallen. De browser en het besturingssysteem zorgen ervoor dat de passkey alleen is te gebruiken bij de website of app die ze heeft gegenereerd. Dit maakt de gebruiker niet langer verantwoordelijk voor het inloggen op de echte website of app", aldus Google. Het techbedrijf stelt dat passkeys het niet mogelijk maken om gebruikers of apparaten tussen websites te volgen, aangezien er voor elke website een passkey wordt gegenereerd. Ook wordt de biometrische informatie niet gedeeld met de app of website waarop wordt ingelogd. Verder worden de passkeys versleuteld op het toestel opgeslagen. Passkeys zijn nu beschikbaar in de bètaversie van Google Play Services en een vroege testversie van Chrome. Later dit jaar komen passkeys beschikbaar in "stable" versies van Android en browser. bron: https://www.security.nl

De nieuwste versies van OpenSSL die gisteren online verschenen en één kwetsbaarheid verhelpen zijn wegens een "ernstige regressie" een dag later alweer offline gehaald. Dat heeft Matt Caswell van het OpenSSL Project Team bekendgemaakt. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen grote gevolgen hebben, zoals het Heartbleed-lek in het verleden heeft aangetoond. Gisteren kwam OpenSSL met versies 1.1.1r en 3.0.6. Deze laatste versie verhelpt een kwetsbaarheid (CVE-2022-3358) waarvan de impact als "low" is beoordeeld. Daarnaast zijn in beide versies meerdere bugs verholpen. Via de mailinglist van OpenSSL laat Caswell weten dat besloten is om versies 1.1.1r en 3.0.6 wegens een "ernstige regressie" offline te halen. Deze regressie zou voor zover bekend geen securitygevolgen moeten hebben. Het onderzoek is echter nog gaande. Nu versies 1.1.1r en 3.0.6 offline zijn gehaald wordt gebruikers aangeraden om voor nu van versies 3.0.5 en 1.1.1q gebruik te blijven maken. Binnenkort komt er een nieuw plan voor de release van versies 3.0.7 en 1.1.1s. bron: https://www.security.nl

Onderzoekers hebben in een draagbare ssd-schijf van Verbatim verschillende kwetsbaarheden ontdekt, waardoor het mogelijk is voor een aanvaller om versleutelde data op het apparaat te achterhalen. Voor twee van de vier gevonden beveiligingslekken heeft Verbatim in juli een update uitgebracht. In het beveiligingsbulletin staan deze kwetsbaarheden echter niet specifiek vermeld. De Verbatim Store 'n' Go Secure Portable SSD is een draagbare usb-schijf met hardwarematige AES 256-bit encryptie en een ingebouwde keypad voor het invoeren van een passcode. Bij twintig mislukte inlogpogingen zou de ssd-schijf moeten worden vergrendeld en geformatteerd. De beveiligingsmaatregel blijkt echter niet naar behoren te werken. Na twintig mislukte inlogpogingen wordt de schijf namelijk niet gewist. Daardoor kan een aanvaller meer inlogpogingen doen (CVE-2022-28386) dan bedoeld. Verder vond onderzoeker Matthias Deeg van het Duitse securitybedrijf SySS dat de ssd-schijf door een "onveilig ontwerp" kwetsbaar is voor een offline bruteforce-aanval, waardoor het mogelijk is om ongeautoriseerde toegang tot de versleutelde data te krijgen (CVE-2022-28384). Dit impact van dit lek is als 'high' bestempeld en door Verbatim verholpen. Daarnaast kan een aanvaller met fysieke toegang tot de ssd-schijf malafide firmware uploaden waardoor er altijd een AES-key van de aanvaller wordt gebruikt voor het versleutelen van de data. Deze kwetsbaarheid is voor "interdiction" te misbruiken, waarbij een apparaat onderweg naar de beoogde gebruiker door bijvoorbeeld een inlichtingendienst wordt onderschept en aangepast. Voor dit probleem (CVE-2022-28383) kwam Verbatim niet met een oplossing. Verder maakte Verbatim gebruik van een onveilige AES-mode voor de versleuteling. Daardoor zou een aanvaller, door het observeren van bepaalde patronen, informatie aan de hand van de versleutelde data kunnen achterhalen. Voor deze kwetsbaarheid (CVE-2022-28386) is Verbatim wel met een update gekomen. bron: https://www.security.nl

Microsoft heeft aan alle ondersteunde versies van Windows een optie toegevoegd die lokale admin-accounts tegen bruteforce-aanvallen moet beschermen. Volgens Microsoft staan bruteforce-aanvallen in de top drie van meestgebruikte methodes om Windowsmachines aan te vallen. Systeembeheerders kunnen via een lockout policy instellen dat wanneer er teveel mislukte inlogpogingen op een account zijn, het account wordt vergrendeld. Er was echter geen optie beschikbaar waardoor het account van een lokale systeembeheerder kan worden vergrendeld. Hierdoor is het mogelijk voor aanvallers om via een onbeperkte bruteforce-aanval het wachtwoord van de lokale beheerder te achterhalen. Dit kan zowel via het remote desktop protocol (RDP) als het netwerk. Om het gebruik van bruteforce-aanvallen verder te beperken is er nu ook een account-lockout voor admin-accounts. Op nieuwe Windows 11-machines met versie 22H2 en de updates van oktober staat deze lockout policy standaard ingeschakeld. Beheerders kunnen de policy indien gewenst wel uitschakelen. Daarnaast stelt Microsoft nu ook eisen aan de complexiteit van het wachtwoord van lokale admin-accounts. Deze wachtwoorden moeten drie van de vier soorten karaktertypes (letter, hoofdletter, cijfer en symbool). Dit moet verdere bescherming tegen bruteforce-aanvallen bieden. bron: https://www.security.nl

Een Amerikaanse financiële instelling is afgelopen zomer het doelwit geworden van een aanval waarbij twee drones werden ingezet, waaronder één die was uitgerust met een WiFi Pineapple. Dat laat onderzoeker Greg Linares op Twitter weten. De WiFi Pineapple is te gebruiken als rogue access point (AP) voor het uitvoeren van man-in-the-middle-aanvallen. De niet nader genoemde financiële instelling ontdekte op de eigen interne Atlassian Confluence-site verdachte activiteit. Een medewerker van wie het MAC-adres was gebruikt om gedeeltelijke toegang tot het wifi-netwerk van het bedrijf te krijgen was ook kilometers verderop ingelogd. De gebruiker was zelf niet op het kantoor aanwezig, maar iemand anders in de buurt van het wifi-netwerk probeerde met het MAC-adres van deze gebruiker toegang te krijgen. Vervolgens werd besloten het wifi-signaal te traceren, wat leidde tot de ontdekking van twee drones op het dak van het kantoor met apparatuur voor het uitvoeren van aanvallen, waaronder een drone met een aangepaste WiFi Pineapple. De andere drone was voorzien van een Raspberry Pi, verschillende batterijen, een GPD-minilaptop, een 4G-modem en een ander wifi-apparaat. De drone met de WiFi Pineapple was gebruikt voor het onderscheppen van inloggegevens. Deze data was later gebruikt in de tools die vanaf de andere drone werden gebruikt. De aanvallers hadden geprobeerd toegang tot de interne Confluence-site te krijgen om met daar opgeslagen inloggegevens andere interne systemen aan te vallen. Naar schatting kostte de gebruikte setup van de aanvallers vijftienduizend dollar. Volgens Linares laat de aanval zien dat aanvallers bereid zijn om dergelijke bedragen te betalen voor het aanvallen van interne systemen. De onderzoeker was niet zelf betrokken bij het onderzoek naar de aanval, maar kent iemand die dat wel was. The Register meldt dat het met een persoon binnen de betrokken financiële instelling contact heeft gehad die het verhaal van Linares bevestigt. bron: https://www.security.nl

Mozilla heeft een nieuwe feature aan Firefox Relay toegevoegd waardoor de dienst ook telefoonnummers van gebruikers kan afschermen. De optie is vooralsnog alleen beschikbaar in Canada en de Verenigde Staten. Via Firefox Relay kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. Vaak komt het ook voor dat bedrijven om telefoonnummers vragen. Deze persoonlijke informatie kan echter lekken en worden gebruikt voor spam en profilering. Net als met het beschermen van e-mailadressen is Firefox Relay nu ook in staat om telefoonnummers af te schermen. Hiervoor genereert de dienst een telefoonnummer dat gebruikers bij bijvoorbeeld een online registratie kunnen opgeven. Vervolgens worden sms-berichten en gesprekken naar dit nummer naar het echte telefoonnummer van de gebruiker doorgestuurd. Het gegenereerde telefoonnummer kan vijftig minuten aan inkomende telefoongesprekken verwerken en 75 sms-berichten. Voor deze nieuwe feature, inclusief het onbeperkt gebruik van de e-maildoostuurdienst, betalen gebruikers 48 dollar per jaar, of 5 dollar per maand. Alleen het gebruik van de betaalde e-maildoorstuurdienst kost 1 dollar per maand. Of en wanneer de nieuwe feature in andere regio's beschikbaar komt is nog niet bekend. bron: https://www.security.nl

Tijdens de patchdinsdag van oktober heeft Microsoft 85 kwetsbaarheden in de eigen producten verholpen, waaronder een actief aangevallen zerodaylek in Windows en een kritieke kwetsbaarheid waardoor Kubernetes-clusters zijn over te nemen. Updates voor twee zerodays in Exchange Server zijn niet verschenen. De patches zijn volgens Microsoft nog niet klaar. Het zerodaylek dat Microsoft deze maand heeft gepatcht, aangeduid als CVE-2022-41033, bevindt zich in de Windows COM+ Event System Service. Een aanvaller die al toegang tot een systeem heeft kan via de kwetsbaarheid in deze Windows-service zijn rechten verhogen en zo het systeem volledig overnemen. Het beveiligingslek was door een anonieme beveiligingsonderzoeker aan Microsoft gerapporteerd. Verdere details over de aanvallen zijn niet door het techbedrijf gegeven. Een andere kwetsbaarheid die deze maand de aandacht verdient bevindt zich in de cluster connect feature van Azure Arc-enabled Kubernetes clusters. Via dit beveiligingslek (CVE-2022-37968) kan een ongeauthenticeerde gebruiker zijn rechten verhogen en beheerderscontrole over de Kubernetes-cluster krijgen. Om op afstand misbruik van dit lek te maken moet een aanvaller wel het willekeurig gegenereerde dns-endpoint van een Azure Arc-enabled Kubernetes cluster weten. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10. Grote afwezige in de patchronde zijn updates voor twee actief aangevallen zerodaylekken in Exchange Server. Microsoft waarschuwde eind vorige maand voor de aanvallen en kwam met tijdelijke mitigaties waarmee organisaties zich kunnen beschermen. Via de kwetsbaarheid kan een aanvaller die over de inloggegevens van een mailbox beschikt Exchange-servers op afstand overnemen. De updates om de kwetsbaarheden te verhelpen zijn echter nog niet klaar, aldus Microsoft. Wanneer ze wel zullen verschijnen is nog onbekend. bron: https://www.security.nl

Vpn-provider ProtonVPN heeft een nieuwe protocol gepresenteerd voor het omzeilen van overheidsblokkades. Het Stealth-protocol zou in staat zijn om de meeste firewalls en methodes voor het blokkeren van vpn's te omzeilen, zo claimt ProtonVPN. Geregeld zijn er landen die niet toestaan dat de bevolking gebruikmaakt van vpn-diensten om bijvoorbeeld gecensureerde websites te bezoeken. Volgens ProtonVPN zijn traditionele vpn-protocolllen zoals OpenVPN, IKEv2 en WireGuard relatief eenvoudig op een netwerk te herkennen. Nu deep packet inspection (DPI) steeds breder beschikbaar komt zal het dan ook eenvoudiger voor autoritaire regimes worden om vpn-diensten die van deze protocollen gebruikmaken te blokkeren. In 2020 kwam ProtonVPN met "alternative routing" een manier om dergelijke vpn-blokkades te omzeilen. Regimes zitten echter ook niet stil, aldus de vpn-provider. Oplossingen om bestaande vpn-protocollen te obfusceren zouden dan ook niet goed meer werken. Het Stealth-protocl is helemaal van de grond af opgebouwd en zou bijna niet te detecteren zijn, aldus ProtonVPN. Hoe het nieuwe protocol precies werkt laat de vpn-provider niet weten. Stealth is voor zowel de gratis als betaalde vpn-dienst beschikbaar. Op dit moment is de maatregel alleen in te schakelen in de Android-app van ProtonVPN. Binnenkort zal die ook binnen de apps voor iOS, Linux, macOS en Windows zijn te gebruiken. bron: https://www.security.nl

Onderzoekers van de Universiteit van Glasgow hebben een systeem ontwikkeld waarbij ze door middel van een warmtebeeldcamera en machine learning de wachtwoorden kunnen achterhalen die mensen op een keyboard, smartphone of keypad van een geldautomaat hebben ingevoerd. Hoe korter het wachtwoord, des te succesvoller het systeem is met het achterhalen ervan. Via de warmtebeeldcamera is het mogelijk om de achtergebleven warmte op het oppervlak te detecteren. Door de intensiteit van warme gebieden op het keyboard te meten is het mogelijk om specifieke letters, getallen of symbolen te achterhalen. Daarvandaan kan een aanvaller vervolgens verschillende combinaties proberen om het wachtwoord van de gebruiker te kraken. Het ThermoSecure-systeem van de onderzoekers is in staat om 86 procent van de wachtwoorden te achterhalen wanneer de warmtebeelden binnen twintig seconden worden genomen. Na dertig seconden is dit naar 76 procent gedaald en na een minuut is het systeem nog bij 62 procent van de wachtwoorden succesvol. Ook blijkt dat het systeem minder effectief wordt bij langere wachtwoorden. Bij wachtwoorden van zes, acht, twaalf en zestien karakters haalt het systeem een gemiddeld nauwkeurigheidspercentage van respectievelijk 92 procent, 80 procent, 71 procent en 55 procent. Hoe sneller de warmtebeelden worden gemaakt hoe hoger de nauwkeurigheid. Volgens de onderzoekers zijn warmtebeeldcamera's tegenwoordig voor minder dan tweehonderd euro te vinden en wordt ook machine learning steeds toegankelijker. De onderzoekers doen verschillende aanbevelingen om aanvallen zoals die met hun systeem te voorkomen, waaronder een verbod op de verkoop van warmtebeeldcamera's zonder specifieke software om de bovenbeschreven aanval tegen te gaan. Eindgebruikers kunnen zichzelf beschermen door lange passphrases te gebruiken. Dit zijn wachtwoorden die uit meerdere woorden bestaan. Passphrases maken het lastiger om een nauwkeurig beeld te krijgen. Daarnaast produceren backlit-keyboards meer warmte, wat het ook lastiger maakt om de toetsaanslagen nauwkeurig af te lezen. bron: https://www.security.nl

Netwerkbeveiliger Fortinet waarschuwt organisaties en bedrijven voor actief misbruik van een kritieke kwetsbaarheid in FortiOS, FortiProxy en FortiSwitchManager en adviseert om netwerkapparaten op de aanwezigheid van aanvallers te controleren. Via het beveiligingslek, aangeduid als CVE-2022-40684, kan een ongeauthenticeerde aanvaller toegang tot de beheerdersinterface krijgen en daar allerlei acties uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Via de kwetsbaarheid kan een aanvaller deze apparaten compromitteren, wat grote gevolgen voor organisaties kan hebben. Een aantal dagen geleden bracht Fortinet een beveiligingsupdate uit voor het probleem. Vanwege het feit dat een aanvaller op afstand misbruik van het lek kan maken en er geen inloggegevens zijn vereist verzocht Fortinet klanten om de beveiligingsupdate meteen te installeren. In een gisteren gepubliceerd beveiligingsbulletin stelt Fortinet dat aanvallers nu actief misbruik van het beveiligingslek maken. Organisaties worden dan ook opgeroepen om aan de hand van loggegevens te controleren of hun netwerkapparaten niet zijn gecompromitteerd. Naast het installeren van de patch stelt Fortinet dat het uitschakelen van de HTTP/HTTPS admin-interface als workaround kan worden toegepast. bron: https://www.security.nl

Organisaties die zichzelf willen beschermen tegen twee actief aangevallen zerodaylekken in Exchange Server en de tijdelijke mitigatiemaatregel van Microsoft hebben doorgevoerd moeten die opnieuw aanpassen, zo laat het techbedrijf weten. Een beveiligingsupdate is nog altijd niet beschikbaar gemaakt en zal naar verwachting morgenavond verschijnen. Eind september waarschuwde Microsoft voor twee kwetsbaarheden waar aanvallers actief misbruik van maken om Exchange-servers te compromitteren en waarvoor nog altijd geen beveiligingsupdates beschikbaar zijn. De aanvallen zouden voor zover bekend al sinds augustus plaatsvinden. Microsoft kwam echter met tijdelijke mitigerende maatregelen, waaronder een URL-rewrite om bepaalde patronen in requests te detecteren en blokkeren. Hierdoor zouden de nu waargenomen aanvallen niet meer moeten werken. De URL-rewrite van Microsoft bleek echter eenvoudig te omzeilen, zo ontdekte een beveiligingsonderzoeker. Slechts het aanpassen van één karakter was voldoende. Microsoft kwam op 4 oktober met een aangepaste URL-rewrite. Op 7 oktober werd deze aangepaste URL-rewrite zelf aangepast, gevolgd door een nieuwe correctie op 8 oktober. Microsoft roept organisaties op om de laatste URL-rewrite te gebruiken. Een beveiligingsupdate is nog altijd niet door Microsoft beschikbaar gemaakt. De softwarefabrikant kan bij actief aangevallen kwetsbaarheden overgegaan tot een "out-of-band" update, waarbij de patch buiten de vaste patchdinsdag beschikbaar wordt gemaakt. Aangezien een dergelijke patch nog altijd niet is verschenen zal de betreffende update voor de twee Exchange-zerodaylekken zeer waarschijnlijk tijdens de patchdinsdag van oktober verschijnen, waarvan de patches vanaf morgenavond om 19.00 uur beschikbaar zijn. bron: https://www.security.nl

Mozilla heeft een update voor Firefox uitgebracht nadat Avast en AVG de browser als ransomware beschouwden en lieten crashen. Duizenden Firefox-gebruikers dachten echter dat het probleem bij de browser lag, zo laat Mozillas Gabriele Svelto weten. Twee dagen geleden zag Mozilla opeens een piek in het aantal crashes bij gebruikers. Verder onderzoek wees uit dat de antivirussoftware dacht dat een onderdeel van Firefox ransomware was. Mozilla kwam daarop met een oplossing en heeft die via Firefox 105.0.3 onder gebruikers uitgerold. De browserontwikkelaar heeft echter felle kritiek op Avast en AVG. "Avast denkt dat de Mercurial executable die we met Mozillas tooling voor Windows meeleveren ransomware is. In het geval je zou willen weten hoe slecht Avast is", stelt Svelto. Hij krijgt bijval van Ben Hearsum, staff engineer bij Mozilla. "Avast is één van de antivirusleveranciers die ook graag met Firefox-updates speelt. Op een gegeven moment herschreven ze update requests op zo'n manier, dat gebruikers geen updates meer kregen." Ook Thunderbird waarschuwt gebruikers voor de invloed die antivirussoftware van Avast, AVG en McAfee op updates kan hebben. Svelto adviseert Firefox-gebruikers om Avast te verwijderen en van Windows Defender gebruik te maken, dat standaard in Windows zit ingebouwd en volgens hem voldoende bescherming biedt en minder snel voor problemen zal zorgen. De nieuwste Firefox-update is beschikbaar via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Aanvallers maken actief misbruik van een zerodaylek in Zimbra Collaboration Suite om mailservers over te nemen. Een beveiligingsupdate is nog niet beschikbaar, een workaround wel. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Zimbra-mailservers zijn geregeld het doelwit van aanvallen, zo kwam de Amerikaanse overheid in augustus nog met een waarschuwing om de software up-to-date te houden. Zimbra maakt gebruik van antivirussoftware Amavis om archiefbestanden om malware te scannen. Het nu aangevallen probleem doet zich voor bij Zimbra-mailservers die archiveringstool cpio gebruiken voor het controleren van de inhoud van archiefbestanden. Door het versturen van een speciaal geprepareerd archiefbestand dat door cpio wordt uitgepakt kan een aanvaller naar elk pad op het filesystem schrijven waar de Zimbra-gebruiker toegang toe heeft. Op deze manier is het mogelijk om een webshell te installeren en zo willekeurige code op de mailserver uit te voeren. Dat het gebruik van cpio een beveiligingsrisico kan zijn, is al sinds 2015 bekend. Vorige maand kwam Zimbra zelf met een waarschuwing en advies om cpio te vervangen door archiveringstool pax. Pax is standaard geïnstalleerd op Ubuntu. Ubnuntu-gebaseerde installaties van Zimbra zijn dan ook niet kwetsbaar. Dat is wel het geval bij Zimbra-installaties gebaseerd op Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 en CentOS 8, zo meldt securitybedrijf Rapid7. Volgens het securitybedrijf is de overstap naar pax de beste optie, aangezien cpio niet veilig is te gebruiken omdat verschillende besturingssystemen een beveiligingsupdate voor het probleem met de archiveringstool hebben verwijderd. Zimbra heeft aangegeven dat het van plan is om de afhankelijkheid van cpio te verwijderen en pax de standaard te gaan maken. bron: https://www.security.nl

I

Microsoft heeft de Smartscreen-library die Edge gebruikt voor het detecteren van phishingsites en malafide bestanden naar eigen zeggen volledig vernieuwd, waardoor gebruikers van de browser nu beter beschermd zouden moeten worden. De library is volgens Microsoft volledig herschreven en maakt gebruik van nieuwe "phishingsensoren" en meer "threat intelligence" signalen om malafide sites te detecteren. De nieuwe Smartscreen-library zou gebruikers vanaf Edge 103 ook sneller tegen nieuwe dreigingen moeten beschermen. Voor bedrijven die met de nieuwe Smartscreen-library tegen compatibiliteitsproblemen aanlopen is de legacy versie van Defender Smartscreen nog beschikbaar. Hiervoor heeft Microsoft een tijdelijke policy toegevoegd die tot de komst van Microsoft Edge versie 108 is te gebruiken. bron: https://www.security.nl

Communicatieplatform Matrix heeft updates uitgebracht voor twee kritieke kwetsbaarheden in de implementatie van end-to-end encryptie in de software development kits (SDK's) van chatapps zoals Element, Beeper, Cinny, SchildiChat, Circuli en Synod.im. Gebruikers van deze chatapps worden opgeroepen om de beschikbaar gemaakte beveiligingsupdates te installeren en daarna pas de verificatie met nieuwe apparaten uit te voeren. Matrix is een protocol en platform dat versleutelde communicatie biedt. Onderzoekers van de University of London, University of Sheffield en Brave Software besloten de software te onderzoeken en ontdekten naar eigen zeggen verschillende praktisch te misbruiken cryptografische kwetsbaarheden in de end-to-end encryptie van Matrix. Het gaat hierbij niet om beveiligingslekken in het protocol zelf, maar in de implementatie daarvan. Via de kritieke beveiligingslekken zijn verschillende aanvallen uit te voeren. Misbruik van de kritieke kwetsbaarheden is echter alleen mogelijk via een malafide homeserver waarmee gebruikers verbinding maken. In het eerste aanvalsscenario kan een malafide homeserver gebruikers toevoegen aan end-to-end versleutelde chatrooms. Zodra de gebruiker is toegevoegd kan de homeserver alle toekomstige berichten die naar de chatroom worden verstuurd ontsleutelen. Bij het tweede aanvalsscenario kan een malafide homeserver een apparaat waar het de controle over heeft aan het account van een andere, af te luisteren gebruiker in de chatroom toevoegen. Alle gebruikers in de chatroom zullen zien dat dit een 'ongeverifieerd' apparaat is. Bestaande apparaten zullen hun inkomende sessies met dit nieuwe apparaat delen, wat decryptie van toekomstige berichten die naar de chatroom worden verstuurd mogelijk maakt. Een derde aanval maakt het mogelijk voor de beheerder van een malafide homeserver om een malafide key back-up aan het account van gebruikers toe te voegen om zo keys van deze gebruikers te stelen. Matrix stelt dat het niet met aanvallen bekend is die misbruik van de genoemde kwetsbaarheden maken, maar adviseert gebruikers om de instellingen van hun key back-ups te controleren. Wie zich zorgen maakt kan zijn online key back-up resetten. Matrix maakt verder excuses aan de community voor het ongemak en de verstoring die de kwetsbaarheden veroorzaakten. bron: https://www.security.nl

Microsoft waarschuwt organisaties en bedrijven voor twee actief aangevallen zerodaylekken in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller code op kwetsbare systemen kan uitvoeren. Een beveiligingsupdate is nog niet beschikbaar. Organisaties kunnen echter mitigerende maatregelen nemen om hun Exchange-servers te beschermen. De eerste kwetsbaarheid (CVE-2022-41040) is een Server-Side Request Forgery (SSRF) kwetsbaarheid. Hiermee kan een aanvaller de functionaliteit van een server misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. De tweede kwetsbaarheid (CVE-2022-41082) maakte remote code execution (RCE) mogelijk wanneer PowerShell voor de aanvaller toegankelijk is. Bij de waargenomen aanvallen werd eerst CVE-2022-41040 gebruikt om vervolgens via CVE-2022-41082 code op de Exchange-server uit te voeren. Om beide kwetsbaarheden te kunnen misbruiken moet een aanvaller geauthenticeerde toegang tot de Exchange-server hebben, bijvoorbeeld via een gecompromitteerd e-mailaccount. Zodra aanvallers een Exchange-server hebben gecompromitteerd installeren ze een webshell om toegang te behouden en verdere aanvallen uit te voeren, zo meldt securitybedrijf GTSC dat de zerodays ontdekte. Volgens beveiligingsonderzoeker Kevin Beaumont is een groot aantal Exchange-servers via de kwetsbaarheden van een backdoor voorzien. Aangezien beveiligingsupdates nog niet beschikbaar zijn adviseert Microsoft het instellen van bepaalde URL-rewrites, waarmee de huidige aanvallen zijn te voorkomen. Verder kan ook het blokkeren van bepaalde poorten gebruikt voor remote PowerShell de aanvallen beperken, aldus het techbedrijf. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.8 en 6.3. bron: https://www.security.nl

Switches en andere netwerkapparatuur van Cisco zijn door middel van een reeks denial of service (dos)-kwetsbaarheden op afstand plat te leggen. De netwerkgigant bracht gisteren beveiligingsupdates uit voor 22 beveiligingslekken in een groot aantal producten. Tien van de kwetsbaarheden maken een denial of service mogelijk en zorgen ervoor dat aanvallers op afstand de kwetsbare apparatuur kunnen laten herstarten. De impact van meerdere van deze kwetsbaarheden (CVE-2022-20870, CVE-2022-20856, CVE-2022-20848, CVE-2022-20847 en CVE-2022-20919) is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. De problemen zijn aanwezig in onder andere de Catalyst 3650, 3850, 9100, 9300, 9400, 9500, 9600 en 9800, alsmede Cisco-apparatuur die IOS of IOS XE draait en het CIP-protocol ingeschakeld heeft staan. Door het versturen van een speciaal geprepareerd pakket is het mogelijk om de apparaten te laten herstarten. Voor zover bekend wordt er geen misbruik van de kwetsbaarheden gemaakt, zo laat Cisco verder weten. bron: https://www.security.nl

De Brave-browser krijgt een nieuwe optie waarmee gebruikers standaard de cookiebanners kunnen blokkeren waarmee websites aan bezoekers toestemming vragen voor het plaatsen van cookies. Op dit moment moeten gebruikers vaak nog een extensie installeren om dergelijke pop-ups niet meer te zien. In de huidige Nightly-versie van Brave en versie 1.45 die later deze maand verschijnt krijgen gebruikers de vraag of ze cookiebanners willen blokkeren. Zodra dit het geval is zal de browser een aantal regels downloaden om de cookiebanners te blokkeren en verbergen. Eenmaal actief zal Brave ook de weergave van websites aanpassen, om bijvoorbeeld overlays en andere elementen te verwijderen die onderdeel van de cookiebanners zijn. "Deze aanpak biedt de beste privacygaranties: er hoeft namelijk niet op het cookietoestemmingssysteem te worden vertrouwd voor het respecteren van je keuze, en zorgt ervoor dat je browser helemaal niet met het toestemmingssysteem hoeft te communiceren", aldus Brave. Een andere aanpak is het automatisch klikken op nee, maar volgens Brave zorgt dit voor een situatie waarbij de browser of extensie herhaaldelijk met de cookiebanner-aanbieder communiceert. Daarnaast blijkt uit onderzoek dat cookietoestemmingssystemen gebruikers nog steeds volgen, ook al weigeren die alle cookies (pdf). De browserontwikkelaar haalt in de aankondiging van de feature ook uit naar Google. Volgens Brave probeert de techgigant aanpassingen door te drukken die het lastiger maken om cookiebanners te blokkeren en ongewenste webcontent te filteren. Daarbij wordt onder andere gewezen naar Googles voorstel voor WebBundles en de veelbesproken Manifest V3-regels voor Chrome-extensies. Eerder kondigde ook Firefox aan dat het cookiebanners binnen de browser gaat blokkeren en werd begin deze maand bekend dat antivirusbedrijf Avast de browser-extensie I don't care about cookies heeft overgenomen, die ook een dergelijke functionaliteit biedt. bron: https://www.security.nl

Google start volgend jaar juni de eerste tests met het uitschakelen van Chrome-extensies bij gebruikers, zoals bijvoorbeeld adblockers. Het gaat dan om extensies die op Manifest V2 zijn gebaseerd. In januari 2024 zullen alle browser-extensies die nog op Manifest V2 zijn gebaseerd uit de Chrome Web Store worden verwijderd. Daarmee is de deadline voor deze extensies met een jaar verlengd. Dat heeft het techbedrijf vandaag bekendgemaakt. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google is druk bezig met de komst van Manifest V3. Eén van de aanpassingen in het nieuwe manifest betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Oorspronkelijk was Google van plan om sinds januari van dit jaar geen nieuwe Manifest V2-extensies in de Chrome Web Store te accepteren en zou Chrome vanaf januari 2023 helemaal geen Manifest V2-extensies meer kunnen draaien. De tijdslijn is nu iets aangepast. Vanaf januari 2023 accepteert de Chrome Web Store geen updates meer voor Manifest V2-extensies. Volgend jaar juni begint Google vervolgens de eerste tests met het uitschakelen van Manifest V2-extensies bij gebruikers. In januari 2024 zullen de nog aanwezige Manifest V2-extensies uit de Web Store worden verwijderd. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgerold die in totaal twintig kwetsbaarheden verhelpt, waaronder in de Developer Tools van de browser. De Chrome DevTools bestaat uit een verzameling van allerlei tools waarmee het mogelijk is om onderdelen van een geopende website of applicaties aan te passen. Het wordt onder andere gebruikt bij de ontwikkeling en debugging van webapplicaties. Het onderdeel van de browser gaat niet goed om met invoer waardoor een aanvaller code binnen de browser kan uitvoeren. Ook bij het verwerken van CSS-code, media en de Survey-feature is dit mogelijk. De impact van vijf van de twintig verholpen beveiligingslekken is beoordeeld met 'high'. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Verdere details over de kwetsbaarheden zijn nog niet door Google openbaar gemaakt. De update naar Chrome 106.0.5249.61 voor Linux en macOS en Chrome 106.0.5249.61/62 voor Windows zal op de meeste systemen automatisch worden geïnstalleerd. In het geval van kwetsbaarheden met een "high" impact kan dit echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl