Captain Kirk

Aan een populaire Google Chrome-extensie voor het spel Roblox met meer dan 200.000 installaties is gisteren malware toegevoegd die wachtwoorden en virtuele goederen van spelers probeert te stelen. Google heeft de extensie inmiddels uit de Chrome Web Store én bij gebruikers verwijderd. Die worden onder andere aangeraden hun wachtwoorden te wijzigen. SearchBlox is een Chrome-extensie voor het zoeken en joinen van Roblox-servers. Meer dan 200.000 spelers installeerden de Chrome-extensie. Gisteren bleek dat er kwaadaardige JavaScript aan de extensie was toegevoegd die onder andere virtuele items van Roblox-spelers automatisch verhandelt en hun inloggegevens steelt. Volgens berichten op Twitter zou de malafide code door de ontwikkelaar van de extensie zijn toegevoegd, maar dat is nog niet bevestigd. Wel zou het account van de extensie-ontwikkelaar op het Roblox-handelsplatform Rolimons wegens verdachte activiteiten zijn opgeheven. bron: https://www.security.nl

Onderzoekers waarschuwen voor een malafide helpdesk die cryptovaluta van slachtoffers steelt. De aanvallers hebben het voorzien op gebruikers van cryptobeurzen en cryptowallets, zo stelt securitybedrijf PIXM. De aanval begint met een phishingpagina waarop gebruikers wordt gevraagd om op hun account in te loggen en de tweefactorauthenticatie (2FA) te doorlopen. De phishingpagina laat vervolgens een foutmelding zien waarbij er binnen de browser een chatvenster van de zogenaamde helpdesk verschijnt. Een "helpdeskmedewerker" vraagt gebruikers in de chat om hun gebruikersnaam, wachtwoord en 2FA-code. Mocht het met deze gegevens niet lukken om op het account van het slachtoffer in te loggen gaan de aanvallers over naar fase drie. Het slachtoffer wordt dan gevraagd TeamViewer te installeren, zodat zijn computer op afstand door de oplichters kan worden overgenomen. Vervolgens vraagt de "helpdeskmedewerker" of het slachtoffer op het e-mailaccount wil inloggen dat aan het exchange- of wallet-account is gekoppeld. Daarna wordt het slachtoffer gevraagd om in te loggen op het crypto-account. De aanvaller, die via TeamViewer controle over de computer heeft, voegt een willekeurig karakter toe wanneer het slachtoffer zijn wachtwoord invult. Hierdoor zal de inlogpoging mislukken. Vervolgens wordt het slachtoffer opnieuw gevraagd om in te loggen, maar dit keer heeft de aanvaller vanaf het systeem van het slachtoffer op de TeamViewer-chat geklikt, waardoor die het wachtwoord in het chatvenster invoert. Met deze gegevens logt de malafide helpdeskmedewerker in. Vaak zal de betreffende cryptodienst een mail naar de gebruiker versturen of die het nieuwe apparaat waarvandaan wordt ingelogd via een aparte link wil bevestigen. De aanvaller gebruikt zijn toegang tot het systeem van het slachtoffer om de bevestigingslink te bemachtigen, zodat er toegang tot het gebruikersaccount kan worden verkregen. Daarna wordt de cryptovaluta gestolen. De zogenaamde helpdeskmedewerker blijft net zolang met het slachtoffer in gesprek totdat de diefstal is afgerond. bron: https://www.security.nl

Criminelen zijn er in geslaagd om in de eerste zeven maanden van dit jaar elfduizend Nederlandse computers met malware te infecteren en zo 675.000 wachtwoorden te stelen. Wereldwijd raakten in totaal 890.000 computers besmet en werden meer dan vijftig miljoen wachtwoorden buitgemaakt. Dat stelt securitybedrijf Group-IB op basis van eigen onderzoek. Onderzoekers van het bedrijf identificeerden 34 bendes die achter de aanvallen zitten en gebruikmaken van bekende malware zoals RedLine en Raccoon Infostealer. Deze malware is in staat om inloggegevens uit Google Chrome, Mozilla Firefox en Opera te stelen, waaronder opgeslagen wachtwoorden en creditcardgegevens, browsercookies en auto-fill content. Verder kan de malware data van cryptowallet-extensies stelen, inloggegevens en chatlogs van Telegram en Discord, inloggegevens voor het Steam-platform en Amazon, vpn-wachtwoorden voor NordVPN, OpenVPN en ProtonVPN, FTP-inloggegevens die in FileZilla zijn opgeslagen en tekst uit specifieke bestanden. Naast 675.000 wachtwoorden werden ook gegevens voor 4500 cryptowallets van Nederlandse computers buitgemaakt. De gestolen gegevens worden door de criminelen vervolgens doorverkocht of zelf gebruikt om mee te frauderen. De RedLine-malware is volgens Group-IB het populairst en wordt door 23 van de 34 groepen ingezet. Voor de verspreiding van de wachtwoordstelers maken de aanvallers gebruik van links die ze onder andere plaatsen in reacties op YouTube. Ook wordt de malware toegevoegd aan software of op forums geplaatst. Group-IB adviseert gebruikers om geen software van verdachte bronnen te downloaden, voor de installatie van aparte virtual machines of alternatieve besturingssystemen gebruik te maken, geen wachtwoorden in browsers op te slaan en geregeld cookies uit de browser te verwijderen. Eerder dit jaar wist de Nederlandse politie een Oekraïense man aan te houden die door de Verenigde Staten wordt gezocht en een sleutelrol zou hebben gespeeld bij de verspreiding en ontwikkeling van de Raccoon Infostealer. De malware werd van 2018 tot begin van dit jaar aangeboden als malware-as-a-service of "MaaS". Voor het gebruik van de malware werd zo'n tweehonderd dollar per maand betaald. Update De cijfers over Nederland zijn door Group-IB in een apart rapport aan Security.NL verstrekt. bron: https://www.security.nl

Onderzoekers hebben in de Tailscale-client voor Windows een kritieke kwetsbaarheid ontdekt waardoor aanvallers op afstand systemen kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website is voldoende, er is geen verdere interactie van gebruikers vereiste om remote code execution mogelijk te maken. Tailscale heeft een beveiligingsupdate uitgebracht, maar gebruikers moeten die handmatig installeren, aangezien de software niet over een automatische updatefunctie beschikt. Tailscale is een service voor het opzetten van een mesh vpn. Waar traditionele vpn's al het verkeer via een centrale gateway-server laten lopen, creëert Tailscale een op het WireGuard vpn gebaseerd peer-to-peer mesh-netwerk. De informatie over ip-adressen van nodes op het netwerk, controle van gebruikers, Wireguard public keys en andere zaken voor het netwerk worden door een centraal "control plane" verstuurd. Door middel van dns rebinding is het mogelijk om Windows-clients van Tailscale verbinding met een malafide coördinatieserver te laten maken. Dns rebinding is een techniek waardoor een aanvaller de same-origin policy van de browser kan omzeilen en toegang kan krijgen tot apparaten op het lokale netwerk van de gebruiker. Via de malafide coördinatieserver is het vervolgens mogelijk om de instellingen van de Windows Tailscale-client aan te passen en die een bestand te laten downloaden en uitvoeren, zonder enige interactie van de gebruiker. De kwetsbaarheid, aangeduid als CVE-2022-41924, werd gevonden door onderzoekers Jamie McClymont en Emily Trau. Ze waarschuwden Tailscale op 16 november. Zeven uur na de melding waren de problemen verholpen en ontvingen de onderzoekers een beloning van 10.000 dollar, ook al heeft Tailscale geen bugbountyprogramma voor het belonen van bugmeldingen. Tailscale adviseert gebruikers van de Windows-client om te updaten naar versie 1.32.3. bron: https://www.security.nl

Wel bijzonder. Voor de stichting waar ik onder werk (zowel Primair als Middelbare scholen) zagen we dat Google inderdaad minder toegefelijk is in een overleg dan Microsoft. Met Microsoft hebben wij inmiddels duidelijke afspraken en is de DPIA, het Data Protection Impact Assissment, geregeld. Binnen het netwerk van alle schoolbesturen in Nederland zie je dat dit op meer scholen in Nederland al goed geregeld is of dat men, de scholen en schoolbesturen, er volop mee bezig is.

Franse scholen en onderwijsinstellingen mogen geen gebruikmaken van de gratis versies van Microsoft Office 365 en Google Workspace omdat die niet aan de AVG voldoen en de Schrems II-uitspraak over de doorgifte van persoonsgegevens naar derde landen, zo stelt de Franse minister van Onderwijs Pap NDiaye. Hij reageerde op vragen van Philippe Latombe van de Democratische beweging. Latombe stelde dat Microsoft met gratis oplossingen marktverstorend werkt en zich aan oneerlijke competitie schuldig maakt. Daarnaast heeft de politicus zorgen over de privacy van leerlingen, vanwege de opslag van data in de Amerikaanse cloud. NDiaye stelt dat de gratis versies van Microsoft Office 365 en Google Workspace niet aan de AVG voldoen en het ministerie onderwijsinstellingen heeft gevraagd om hier geen gebruik meer van te maken. De Franse privacytoezichthouder CNIL adviseert het gebruik van oplossingen die wel aan de Europese privacywetgeving voldoen en waarbij geen data naar de Verenigde Staten wordt verstuurd. Eerder besloot een Duitse deelstaat Microsoft Office 365 te verbieden omdat het niet aan de AVG voldoet. Vorig jaar liet toenmalig minister Grapperhaus van Justitie en Veiligheid weten dat er bij het gebruik van Google G Suite en G Suite for Education privacyrisico's zijn waardoor organisaties die de software gebruiken geen of onvoldoende grip houden op wat er met de gegevens van gebruikers gebeurt. bron: https://www.security.nl

Misschien kun je het volgende proberen: ga naar het speakericoontje rechtsonder in je taakbalk klik met de rechter muisknop op het icoontje klik op Geluidsinstellingen openen Er opent zich nu een venster. Bovenin lees je: Uw uitvoerapparaat kiezen kies hier voor uitvoer via je geluidskaart

Onderzoekers zijn er ruim twee jaar geleden in geslaagd om dankzij een kwetsbare encryptiemethode en met behulp van een achthonderd grote cpu-cluster van hostingprovider Digital Ocean de encryptiesleutels van de Zeppelin-ransomware te kraken, zodat slachtoffers sindsdien kosteloos hun data kunnen terugkrijgen. Dat is deze week bekendgemaakt. Afgelopen augustus waarschuwde de FBI organisaties nog voor aanvallen met de Zeppelin-ransomware, die met name tegen medische bedrijven en zorginstellingen is ingezet, maar ook defensiebedrijven, vitale infrastructuur, techbedrijven en onderwijsinstellingen. De Zeppelin-ransomware is sinds eind 2019 actief. Onderzoekers van securitybedrijf Unit 221B ontdekten begin 2020 een kwetsbaarheid in de gebruikte encryptiemethode, waardoor het mogelijk is om door middel van een bruteforce-aanval de decryptiesleutel in een aantal uur te achterhalen. Zeppelin gebruikt drie verschillende encryptiesleutels voor het versleutelen van bestanden. Na de versleuteling worden de public keys van het systeem verwijderd. Het blijkt echter mogelijk om de volledige encryptie ongedaan te maken door een specifieke public key uit het Windows Register te halen en te kraken. "Als we de RSA-512 Public Key uit het register kunnen halen, kunnen we die kraken en de 256-bit AES Key krijgen die de bestanden versleutelt", aldus onderzoekers Lance James en Joel Lathrop. De uitdaging was dat de public key na het versleutelen van alle bestanden van het systeem wordt verwijderd. Het lukte de onderzoekers om door middel van verschillende forensische tools de verwijderde public key veilig te stellen en daarna te kraken. Ze maakten vervolgens een tool die dit proces voor slachtoffers automatiseerde. Hostingprovider Digital Ocean had een cluster van twintig servers beschikbaar gesteld met elk veertig processors om de veilig gestelde keys binnen vier tot zes uur te kraken. Zo konden de onderzoekers allerlei slachtoffers van de Zeppelin-ransomware helpen met het kosteloos terugkrijgen van hun bestanden. Het onderzoek naar de kwetsbare encryptie was begin 2020 al gedeeld met opsporingsdiensten en een selecte groep onderzoekers. Deze week werd het onderzoek voor iedereen openbaar en is het besproken tijdens de Black Hat-conferentie in Riyad Saudi-Arabië besproken. bron: https://www.security.nl

Een groep criminelen maakt onder andere gebruik van Google Ads voor de verspreiding van ransomware, zo stelt Microsoft. De groep wordt aangeduid als DEV-0569 en zit achter de verspreiding van de "Royal-ransomware". Meerdere groepen hebben de beschikking over deze ransomware. Volgens Microsoft valt DEV-0569 op door de gebruikte verspreidingsmethodes waardoor het meer organisaties kan bereiken. Zo maakt de groep gebruik van de contactformulieren op bedrijfswebsites om berichten met malafide links achter te laten. Ook maakt de groep gebruik van legitiem lijkende downloadsites die in werkelijkheid malafide bestanden aanbieden. Daarnaast heeft de groep ook Google Ads ingezet. De via Google getoonde advertentiecampagnes maken gebruik van het legitieme traffic distribution system (TDS) Keitaro om potentiële doelwitten te selecteren. Afhankelijk van bijvoorbeeld ip-adres of apparaat komt de advertentie uit op een legitieme downloadsite of een malafide versie. De malafide downloadsite biedt bijvoorbeeld het programma TeamViewer aan, maar in werkelijkheid gaat het om malware waarmee uiteindelijk de ransomware kan worden geïnstalleerd. Microsoft heeft het gebruik van het advertentiesysteem door de ransomwaregroep bij Google gerapporteerd. bron: https://www.security.nl

Mozilla gaat adblockers in Firefox geen beperkingen opleggen zoals Google in Chrome doet, zo heeft de softwareontwikkelaar nogmaals laten weten. Huidige adblockers blijven in ieder geval tot eind 2023 ondersteund en daarna zullen nieuwe adblockers bij de overstap naar de Manifest V3-specificatie niet worden beperkt. Manifest V3 bevat specificaties waar browser-extensies aan moeten voldoen. Twee jaar geleden kondigde Google Manifest V3 aan. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API voorgesteld genaamd declarativeNetRequest (DNR). Die beperkt de mogelijkheden van adblockers door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Gisteren maakte adblocker Adblock Plus bekend dat het vanwege Manifest V3 wordt gedwongen een beperkte adblocker uit te brengen. Google stapt halverwege volgend jaar over op Manifest V3 in Chrome. Mozilla laat weten dat het zeker tot eind 2023 extensies gebaseerd op Manifest V2 zal blijven ondersteunen. Uiteindelijk zal ook Mozilla Manifest V2 in Firefox uitfaseren, waardoor huidige extensies niet meer zullen werken. De Firefox-ontwikkelaar heeft echter besloten om de webRequest API in Manifest V3 te blijven ondersteunen, alsmede een compatibele versie van DNR. Volgens Mozilla biedt de webRequest API meer flexibiliteit dan DNR, waar adblockers en andere privacy- en security-extensies op creatieve wijze gebruik van kunnen maken. bron: https://www.security.nl

De makers van Adblock Plus zullen vanwege nieuwe regels van Google Chrome volgend jaar een beperkte versie van de adblocker uitbrengen. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google is druk bezig met de komst van Manifest V3. Eén van de aanpassingen in het nieuwe manifest betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Nu laat ook Adblock Plus weten dat Manifest V3 voor de nodige beperkingen zorgt. Adblockers zoals Adblock Plus maken gebruik van filterlijsten om advertenties en trackers te blokkeren. Met de komst van Manifest V3 worden adblockers beperkt in het aantal filterlijsten dat ze gebruikers kunnen bieden. Om aan de nieuwe eisen te voldoen zal Adblock Plus straks vijftig vooraf geïnstalleerde filters bieden die gebruikers kunnen in- en uitschakelen. Van deze filters kunnen gebruikers er maximaal tien gelijktijdig ingeschakeld hebben. Op dit moment worden de filterlijsten van Adblock Plus automatisch bijgewerkt, vaak dagelijks. Het automatisch dagelijks updaten van filterlijsten zal straks ook niet meer mogelijk zijn. In plaats daarvan zullen ontwikkelaars steeds nieuwe versies van hun extensies moeten uitbrengen. Wanneer de Manifest V3-versie van Adblock Plus verschijnt is nog niet bekend. De adblocker-ontwikkelaar zegt zich ook te zullen inzetten voor aanpassingen van Manifest V3. bron: https://www.security.nl

Een kwetsbaarheid in de BIG-IP-servers van fabrikant F5 maakt het mogelijk voor aanvallers om de apparaten op afstand over te nemen. De enige vereiste is dat een op de BIG-IP ingelogde beheerder met dezelfde browser waarmee hij is ingelogd een malafide of gecompromitteerde website bezoekt, of besmette advertentie te zien krijgt. Er is geen verdere interactie vereist. F5 heeft "engineering hotfixes" uitgebracht die klanten zelf moeten aanvragen. De kwetsbaarheid, aangeduid als CVE-2022-41622, betreft een cross-site request forgery (CSRF) probleem. Via CSRF is het mogelijk voor een aanvaller om handelingen vanuit de browser van de gebruiker uit te voeren zodra er webcontent van de aanvaller wordt verwerkt. Wanneer een BIG-IP-beheerder is ingelogd kan een aanvaller zo toegang tot de server krijgen. De impact van het beveiligingslek, dat door securitybedrijf Rapid7 werd ontdekt, is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. De afgelopen jaren zijn kwetsbaarheden in BIG-IP geregeld het doelwit van aanvallen geweest. F5 heeft "engineering hotfixes" uitgebracht om het probleem te verhelpen. Klanten moeten deze oplossing wel zelf bij F5 aanvragen. Een andere workaround die F5 adviseert is het gebruik van een aparte, geïsoleerde browser voor het beheer van BIG-IP-servers. bron: https://www.security.nl

Microsoft heeft vorige maand bij veel klanten Basic Authentication in Exchange Online uitgeschakeld en gaat dit ook voor het Autodiscover-protocol doen. Volgens Microsoft is Basic Authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen. Vorige maand werd Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell door Microsoft bij klanten uitgezet. Het volgende protocol waar Microsoft dit voor wil doen is Autodiscover. Via Autodiscover kan de e-mailsoftware van gebruikers zichzelf configureren. Gebruikers hoeven alleen hun e-mailadres en wachtwoord op te geven, waarna via Autodiscover de overige gegevens worden opgehaald en ingesteld. Het Autodiscover-protocol is geregeld het doelwit van password spraying-aanvallen. Door het uitschakelen van Basic Auth voor Outlook, Exchange ActiveSync en Exchange Web Services is er volgens Microsoft geen reden meer om Basic Auth voor Autodiscover ingeschakeld te houden. Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen. Er wordt hiermee direct begonnen bij klanten die dit jaar geen gebruik van Basic Auth hebben gemaakt. Voor de overige klanten zal dit begin 2023 het geval zijn. Microsoft benadrukt dat, net als met de andere protocollen, het Autodiscover-protocol zelf niet wordt uitgeschakeld, maar alleen de manier om het met alleen een gebruikersnaam en wachtwoord te gebruiken. bron: https://www.security.nl

Microsoft zal dit jaar geen grote update meer voor Exchange Server 2019 uitbrengen. De volgende 'Cumulative Update' verschijnt in de eerste helft van volgend jaar, zo heeft het techbedrijf bekendgemaakt. Eerder dit jaar kondigde Microsoft een aangepast updatebeleid voor Exchange Server aan. In plaats van elk kwartaal krijgt Exchange Server voortaan twee Cumulative Updates per jaar. Cumulative Updates bevatten bugfixes, nieuwe features en alle eerder uitgekomen beveiligingsupdates voor Exchange. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie een bepaalde CU-versie geïnstalleerd hebben. Klanten klaagden bij Microsoft dat het lastig was om hun Exchange Server met een recente CU-versie up-to-date te houden. Daarnaast werd aangegeven dat december geen goede maand is voor het uitbrengen van een Cumulative Update. Dit was ook de reden dat Microsoft vorig jaar december geen CU uitbracht. Destijds werd er echter geen reden gegeven. Vanwege de feedback besloot Microsoft afgelopen april om twee keer per jaar een CU uit te rollen, één in de eerste helft van het jaar en de ander in de tweede helft. Omdat er nog twee weken in november zijn en december geen goede maand is voor het uitbrengen van grote Exchange-updates heeft Microsoft nu besloten om de "H2 2022" Cumulative Update voor Exchange Server 2019 te annuleren. De volgende grote update zal "H1 2023" zijn. Deze update verschijnt alleen voor Exchange Server 2019, aangezien Exchange Server 2013 en 2016 zich in de extended support bevinden en geen Cumulative Updates meer ontvangen. Tevens waarschuwt Microsoft dat de algehele ondersteuning van Exchange Server 2013 op 11 april 2023 eindigt. Dat is over honderdvijftig dagen. bron: https://www.security.nl

De Europese Commissie moet in het voorstel voor verplichte veiligheidsregels voor hard- en software ook het belang van encryptie noemen, alsmede 'data protection by design and by default'. Dat vindt de Europese privacytoezichthouder EDPS in een vandaag gepubliceerde opinie (pdf). De Cyber Resilience Act die Brussel afgelopen september voorstelde moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software. Het wetsvoorstel stelt verschillende verplichtingen aan leveranciers. Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden. Ook moeten alle cyberrisico's zijn gedocumenteerd en moeten leveranciers actief aangevallen kwetsbaarheden en beveiligingsincidenten rapporteren. Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien. Ook moeten leveranciers duidelijke en begrijpelijke instructies geven voor het gebruik van producten met digitale elementen. Producten mogen straks alleen op de Europese markt worden aangeboden wanneer ze aan de "essentiële cybersecurity-verplichtingen" voldoen. De EDPS steunt het voorstel en stelt dat cybersecurity van zowel hard- als software van groot belang is om de fundamentele rechten van personen te beschermen. Toch zijn er verschillende zaken die de Europese privacytoezichthouder in het voorstel zou willen aanpassen. Zo moet het principe van "data protection by design and by default" in de verplichte eisen worden opgenomen. Verder wil de EDPS dat Brussel in het voorstel het belang benoemt van encryptie voor informatiebeveiliging, privacy, cybersecurity en databescherming. Een ander belangrijk punt dat de toezichthouder aankaart is dat de voorgestelde certificering voor producten die aan de veiligheidseisen voldoen geen vervanging van de AVG-certificering is. Het voorstel moet dan ook duidelijk maken dat een cybersecurity-certificaat niet zegt dat het product ook aan de AVG voldoet. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS wil dat er een algemeen verbod komt op het ontwikkelen en gebruik van geavanceerde spyware zoals Pegasus en Predator. Alleen in zeer uitzonderlijke situaties zou dergelijke spyware morgen worden ingezet. Daarnaast moet voorgestelde Europese wetgeving om journalisten tegen geavanceerde spyware te beschermen worden uitgebreid. Dat laat de EDPS vandaag in een opinie weten. De Europese Commissie presenteerde afgelopen september een nieuw wetsvoorstel dat het gebruik van spyware tegen mediaorganisaties, journalisten en hun gezinnen verbiedt, behalve als de nationale veiligheid in het geding is of er onderzoek naar misdrijven wordt gedaan. De European Media Freedom Act moet onder andere het bespioneren van journalisten tegengaan. De afgelopen maanden is gebleken dat spyware is ingezet voor het bespioneren van onder andere journalisten in Frankrijk, Griekenland en Hongarije. Alleen wanneer de nationale veiligheid in het geding is, waar de lidstaten zelf over gaan, of bij onderzoek naar bepaalde misdrijven wil de Europese Commissie de inzet van spyware toestaan. Het gaat dan om terrorisme, mensenhandel, kindermisbruik, wapenhandel, moord, orgaanhandel, kidnapping, gewapende overvallen, verkrachting en misdrijven die binnen de jurisdictie van het Internationaal Strafhof vallen. Volgens de Europese privacytoezichthouder schiet het wetsvoorstel op verschillende vlakken tekort. Zo geldt het voorstel niet voor alle journalisten, maar alleen die werkzaam zijn voor mediabedrijven. Freelancers of zelfstandige journalisten worden niet door het voorstel beschermd. De EDPS wil dat het voorstel voor alle journalisten geldt. Daarnaast heeft de toezichthouder twijfels over de effectiviteit van het voorstel. De huidige uitzonderingen om journalisten toch te bespioneren bieden onvoldoende waarborgen en juridische zekerheid. De enige echte oplossing om fundamentele rechten en vrijheden in de Europese Unie tegen geavanceerde spyware te beschermen, waaronder mediavrijheid, is een algemeen verbod op de ontwikkeling en het gebruik ervan, aldus de toezichthouder. Alleen in zeer beperkte, extreem nauwkeurig beschreven uitzonderingen zou inzet mogelijk zijn, met aanvullende robuuste waarborgen. De EDPS doet dan ook zeven aanbevelingen om het wetsvoorstel aan te passen. bron: https://www.security.nl

De makers van de populaire e-mailclient Thunderbird hebben zakelijke Microsoft Office 365-gebuikers gewaarschuwd voor een aankomende update. In een aankomende nieuwe versie van Thunderbird 102 zullen er aanpassingen worden doorgevoerd aan de manier waarop de e-mailclient omgaat met OAuth2-autorisaties voor Microsoft-accounts. Dit kan ervoor zorgen dat zakelijke Office 365-gebruikers met een bij Microsoft gehost account extra handelingen moeten uitvoeren. De aanpassingen zijn nodig omdat Microsoft bepaalde verificatie-eisen aan uitgevers stelt. Daardoor is Thunderbird gedwongen om op een nieuwe Azure-applicatie en applicatie-ID over te stappen. Sommige organisaties hebben accounts zo ingesteld dat de systeembeheerder toestemming moet geven voor elke applicatie die toegang tot e-mail wil. Voor gebruikers met een door Microsoft gehost account adviseert Thunderbird om versie 107.0b3 of nieuwer te downloaden en dan in te loggen, waarbij OAuth2 als inlogmethode moet zijn gekozen. Wanneer er tijdens het inlogproces een melding verschijnt wordt aangeraden de systeembeheerder te vragen om een specifieke client-id voor Thunderbird goed te keuren. Vervolgens kan de huidige versie van de e-mailclient weer worden gebruikt. bron: https://www.security.nl

Het Europees Parlement heeft vandaag ingestemd met nieuwe wetgeving die strengere eisen aan bedrijven, overheden en infrastructuur stelt op het gebied van cyberbeveiligingsmaatregelen. De wetgeving, waarover de leden en de Raad al overeenstemming bereikten in mei dit jaar, komt met verplichtingen voor risicobeheer, rapportageverplichtingen en het delen van informatie. De richtlijn inzake netwerk- en informatiebeveiliging (NIS2) introduceert nieuwe regels die een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele EU moeten bevorderen - zowel voor bedrijven als voor landen. Ook worden de cyberbeveiligingseisen aangescherpt voor middelgrote en grote bedrijven die in belangrijke sectoren actief zijn. De eisen hebben onder meer betrekking op het afhandelen van incidenten, beveiliging van de toeleveringsketen, encryptie en het openbaar maken van kwetsbaarheden. De NIS2-richtlijn is een herziening van de richtlijn inzake netwerk- en informatiebeveiliging uit 2016 en wil meer duidelijkheid scheppen en de implementatie verbeteren en inspelen op de snelle ontwikkelingen in dit gebied. De richtlijn dekt meer sectoren en activiteiten dan voorheen, stroomlijnt de rapporteringsverplichtingen en pakt de beveiliging van de toeleveringsketen aan. Zo moeten meer entiteiten en sectoren maatregelen nemen om zich tegen cyberaanvallen te beschermen. Het gaat dan om sectoren als energie, vervoer, banken, gezondheidszorg, digitale infrastructuur, openbaar bestuur en ruimtevaart. Ook wordt een kader vastgesteld voor betere samenwerking en informatie-uitwisseling tussen verschillende autoriteiten en lidstaten en wordt een “Europese kwetsbaarheidsdatabase” opgezet. Verder legt de wet EU-landen strengere verplichtingen op, op het gebied van toezicht voor cyberbeveiliging. Nu de wet is aangenomen hebben lidstaten 21 maanden de tijd om de richtlijn om te zetten in nationale wetgeving. bron: https://www.security.nl

Vpn-provider Proton VPN komt met browser-extensies voor Google Chrome en Mozilla Firefox, zo heeft het bedrijf in de roadmap voor het eerste deel van 2023 bekendgemaakt. Proton VPN biedt al apps voor Android, iOS, Windows, macOS, Linux en Chromebooks. Om de vpn-dienst op meer platformen en apparaten mogelijk te maken komt er nu ook een browser-extensie. Een testversie hiervan zou eind dit jaar nog moeten verschijnen. Verder krijgt ook de ingebouwde adblocker "NetShield" een update. Dit onderdeel van de Proton VPN-app blokkeert trackers, advertenties en malware. Straks krijgen gebruikers te zien hoeveel advertenties, trackers en malware zijn geblokkeerd, waar die vandaan komen en hoe ze zijn geblokkeerd. Deze update staat voor begin 2023 gepland. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om zo'n vijftienduizend WordPress-sites over te nemen en daar malafide code te plaatsen die bezoekers naar dubieuze websites doorstuurt. Dat stelt securitybedrijf Sucuri. De aanvallers lijken met de campagne twee doelen te hebben, namelijk meer verkeer voor hun dubieuze websites genereren waarop advertenties draaien en de positie van deze websites in de zoekranking van Google te verbeteren. Zodra de aanvallers toegang tot de website hebben voegen ze de malafide code aan verschillende WordPress-bestanden toe. Deze code stuurt ezoekers van de gecompromitteerde websites automatisch door naar "Q&A" websites over cryptovaluta en geld. Hoe de aanvallers precies toegang tot de websites weten te krijgen is op dit moment onbekend. Sucuri zegt geen misbruik van kwetsbare plug-ins te hebben waargenomen, wat een veelgebruikte methode is om WordPress-sites te kapen. Mogelijk zijn de wachtwoorden van de WordPress-beheerders gecompromitteerd, bijvoorbeeld via een bruteforce-aanval. bron: https://www.security.nl

Vanaf volgende maand zullen alle edities van Windows 10 versie 21H1 geen beveiligingsupdates meer ontvangen, zo waarschuwt het techbedrijf. Op 13 december stopt Microsoft namelijk de ondersteuning van deze versie. Om gebruikers te beschermen zal Windows Update op systemen van eindgebruikers met Windows 10 Home en Pro, die niet met een domein zijn verbonden, automatisch een feature-update naar een wel ondersteunde Windows 10-versie uitvoeren. Windows 10 versie 21H1 kwam vorig jaar mei uit. Voorheen bracht Microsoft twee keer per jaar een grote feature-update uit voor Windows 10, die in het geval van de Home- en Pro-edities achttien maandenlang met beveiligingsupdates werden ondersteund. Sinds de lancering van Windows 10 versie 21H2 (Windows 10 November 2021 Update) verschijnt er nog maar één keer per jaar een grote feature-update die ook achttien maanden op patches kan rekenen. bron: https://www.security.nl

Citrix heeft organisaties opgeroepen om een kritieke kwetsbaarheid in Citrix Gateway en Citrix ADC zo snel mogelijk te patchen. Via het beveiligingslek kan een aanvaller de authenticatie omzeilen en ongeautoriseerde toegang krijgen. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de Citrix ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. Het kritieke beveiligingslek waarvoor Citrix waarschuwt, aangeduid als CVE-2022-27510, doet zich alleen voor wanneer de ADC of Gateway als vpn-gateway zijn geconfigureerd. Verdere details over het lek zijn nog niet bekendgemaakt. Vanwege de impact van een gecompromitteerd systeem, waardoor verdere aanvallen mogelijk zijn, adviseert Citrix om de beschikbaar gemaakte beveiligingsupdates zo snel mogelijk te installeren. Een uit 2019 stammende kwetsbaarheid in Citrix Gateway en ADC werd destijds op grote schaal gebruikt en zorgde in Nederland volgens de ANWB zelfs voor files. Vorige maand meldde de Amerikaanse overheid dat dit beveiligingslek nog altijd geliefd is bij aanvallers. bron: https://www.security.nl

Tijdens de patchdinsdag van november heeft Microsoft zes actief aangevallen zerodaylekken verholpen. Het gaat onder andere om twee kwetsbaarheden in Exchange Server die in september al bekend werden gemaakt en waarvan velen dachten dat de updates vorige maand al zouden verschijnen. Via deze twee zerodaylekken kan een aanvaller met de inloggegevens van een mailbox de Exchange-server overnemen. Een kritiek zerodaylek in de Windows Scripting Languages maakt ook remote code execution mogelijk. Alleen het bezoeken van een malafide website of server share volstaat om de aanval uit te voeren, verdere interactie is niet vereist. Deze kwetsbaarheid (CVE-2022-41128) werd door een onderzoeker van Google gevonden. Verder heeft Microsoft ook een zeroday verholpen waardoor het mogelijk is de Mark-of-the-Web (MOTW) beveiliging van Windows te omzeilen. MOTW zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. Wanneer een bestand van een ongeldige digitale handtekening wordt voorzien zal de waarschuwing niet verschijnen. Criminelen hebben dit probleem onder andere misbruikt voor de verspreiding van ransomware. De overige twee zerodaylekken (CVE-2022-41125 en CVE-2022-41073) bevinden zich in de Windows CNG Key Isolation Service en Windows Print Spooler en maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen en zo volledige controle over het systeem te krijgen. Deze twee kwetsbaarheden zijn zelf door Microsoft gevonden. Het techbedrijf geeft geen details over de waargenomen aanvallen en wie doelwit waren. De updates worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Deze week kreeg een kwetsbaarheid in OpenSSL 3.0 veel aandacht, maar een veel groter probleem is het gebruik van OpenSSL-versies die niet meer met beveiligingsupdates worden ondersteund, zo stelt securitybedrijf Qualys op basis van eigen onderzoek. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in de software kunnen grote gevolgen hebben, zoals de Heartbleed-bug uit 2014 aantoonde. Het OpenSSL-ontwikkelteam had vorige week aangekondigd dat er een kritieke kwetsbaarheid in OpenSSL 3.0 aanwezig was. De impactbeoordeling werd echter afgeschaald naar een "hoge" impact, zo bleek afgelopen dinsdag bij het uitkomen van de update. Op dit moment zijn er twee versies van OpenSSL die worden ondersteund, namelijk versie 1.1.1 en 3.0. Securitybedrijf Censys meldde eerder al dat OpenSSL 3.0 weinig wordt gebruikt. Zo trof het bedrijf via een scan slechts zevenduizend servers met deze OpenSSL-versie aan. Qualys besloot bij de eigen klanten te kijken en ontdekte 15.000 organisaties die van OpenSSL gebruikmaken. Tien procent werkt binnen hun eigen omgeving met een kwetsbare OpenSSL 3.0-versie. Qualys besloot ook een serverscan uit te voeren op internet en detecteerde 14 miljoen servers. Slechts 13.000 daarvan draaiden OpenSSL 3.0. Wat volgens het securitybedrijf een veel grotere zorg is, is het gebruik van OpenSSL-versies die end-of-life of end-of-support zijn. 82 procent van de OpenSSL-installaties die Qualys detecteerde ontvangt geen beveiligingsupdates meer. Sinds 2002 zijn in de verschillende OpenSSL-versies meer dan tweehonderd kwetsbaarheden aangetroffen. Hoewel het aantal werkbare exploits beperkt is, wordt organisaties aangeraden naar een wel ondersteunde versie te updaten. bron: https://www.security.nl

Onderzoekers hebben nieuwe clipper-malware ontdekt die op besmette computers het gekopieerde walletadres in het clipboard vervangt door een gelijkend adres. Daardoor is er een veel grotere kans dat het slachtoffer onopgemerkt zijn cryptovaluta overmaakt naar de aanvallers. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. Malware op de computer kan het adres aanpassen, waardoor de aanvaller het geld ontvangt. Al sinds 2017 is er malware in omloop die door het aanpassen van het clipboard cryptovaluta weet te stelen. Iets dat criminelen honderdduizenden euro's heeft opgeleverd. Cryptogebruikers wordt dan ook aangeraden om op te letten wanneer ze een walletadres kopiëren en plakken. Een nieuwe versie van de Laplas-malware heeft hier iets voor verzonnen. Zodra het slachtoffer een walletadres kopieert downloadt deze clipper-malware een gelijkend walletadres van de server van de aanvaller. De kans dat het slachtoffer het aangepaste adres opmerkt is daardoor een stuk kleiner, zo stellen onderzoekers van securitybedrijf Cyble. De Laplas-clipper verspreidt zich via malafide e-mailbijlagen. bron: https://www.security.nl