Captain Kirk

Een groep ransomwarecriminelen die wist in te breken op systemen van Cisco heeft de daarbij gestolen bestanden openbaar gemaakt, zo heeft de netwerkgigant bekendgemaakt. Het zou onder andere om geheimhoudingsverklaringen van het bedrijf gaan. Volgens Cisco laat het incident zien dat organisaties hun personeel goed over het gebruik van multifactorauthenticatie (MFA) moeten onderwijzen. De aanval vond eind mei plaats, maar werd pas vorige maand door Cisco naar buiten gebracht. De aanvaller wist via het persoonlijke Google-account van een Cisco-medewerker toegang tot het Cisco-vpn te krijgen. Deze medewerker had wachtwoordsynchronisatie via Google Chrome ingesteld en zijn Cisco-inloggegevens in de browser opgeslagen. Daardoor werden deze gegevens met het Google-account gesynchroniseerd. Hoe het account van de medewerker kon worden gecompromitteerd heeft Cisco niet laten weten. Het vpn van Cisco was ook beveiligd met multifactorauthenticatie, waardoor de aanvaller aan alleen de buitgemaakte inloggegevens niet voldoende had. Om dit obstakel te omzeilen maakte de aanvaller gebruik van verschillende methodes, waaronder telefonische phishing en “MFA fatigue”, waarbij een doelwit wordt bestookt met pushnotificaties op de telefoon om de inlogpogingen van de aanvaller goed te keuren. Nadat de aanvaller toegang had verkregen wist die verschillende eigen systemen voor de multifactorauthenticatie aan te melden en kon zo succesvol op het Cisco-vpn inloggen. De aanvaller wist vervolgens adminrechten te krijgen, waardoor hij tot meerdere Cisco-systemen toegang kreeg. Dit veroorzaakte een waarschuwing waarop Cisco een onderzoek startte. De aanvaller bleek meerdere tools te gebruiken, waaronder LogMeIn en TeamViewer, en tools zoals Cobalt Strike, PowerSploit, Mimikatz en Impacket. Ook voegde de aanvaller zijn eigen backdoor-accounts toe. De aanvaller probeerde vervolgens data te stelen. Dat is volgens Cisco beperkt tot alleen een "Box folder" van de in eerste instantie gecompromitteerde medewerker. Er is geen ransomware uitgerold, zo laat het netwerkbedrijf verder weten. Multifactorauthenticatie Na de aankondiging van de inbraak en gestolen data kwam Cisco met een update waarin het stelt dat organisaties hun medewerkers over het gebruik van MFA moeten voorlichten, zodat ze weten hoe ze met onbedoelde push requests op hun telefoon moeten omgaan. Daarnaast moeten medewerkers weten wie ze in deze gevallen kunnen informeren mocht een dergelijke aanval zich voordoen. Verder adviseert Cisco ook technische maatregelen, zoals een strengere controle bij het toevoegen van nieuwe apparaten waarmee medewerkers op een vpn kunnen inloggen, of het in zijn geheel blokkeren hiervan. Verder moet van elk systeem voordat het vpn-toegang krijgt de "security baseline" worden gecontroleerd. Dit moet ook voorkomen dat malafide, niet toegestane apparaten verbinding met het bedrijfsnetwerk kunnen maken. Ook adviseert Cisco het gebruik van netwerksegmentatie en het gecentraliseerd verzamelen van logbestanden. bron: https://www.security.nl

QNAP heeft eigenaren van een NAS-apparaat dat toegankelijk vanaf het internet is opnieuw opgeroepen om UPnP en port forwarding uit te schakelen. Aanleiding is de recente zeroday-aanval op gebruikers van een QNAP-NAS begin deze maand. Aanvallers achter de DeadBolt-ransomware maakten gebruik van een zerodaylek in de Photo Station-software van QNAP. Zodoende konden allerlei bestanden worden versleuteld en moesten slachtoffers losgeld betalen om hun data terug te krijgen. QNAP zegt dat het vijf uur na het identificeren van de "malwarepatronen" met een beveiligingsupdate voor het aangevallen zerodaylek is gekomen. Verder heeft de NAS-fabrikant een lijst met ip-adressen die de aanvallers gebruiken op een blacklist van de QuFirewall-applicatie gezet. Verder stelt het bedrijf dat het vorig jaar NAS-snapshots heeft geïntroduceerd die niet door ransomware zijn te verwijderen. In QTS 5.0.0 staan deze snapshots standaard in het Thin/Thick volume ingeschakeld. Gebruikers die regelmatig snapshots maken kunnen die herstellen. Klanten die niet regelmatig snapshots maken worden aangeraden om contact op te nemen met de klantenservice van QNAP. Ook adviseert de NAS-fabrikant om wel geregeld snapshots te maken. In april kwam QNAP met advies om UPnP en port forwarding uit te schakelen en die oproep wordt nu herhaald. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren. Aangezien het bedoeld is om op lokale, vertrouwde netwerken te worden gebruikt implementeert het UPnP-protocol standaard geen enkele vorm van authenticatie of verificatie. Port forwarding maakt het mogelijk om het NAS-appraat voor het internet toegankelijk te maken. QNAP stelt dat gebruikers hier voorzichtig mee moeten zijn en het uitschakelen van de feature wordt aangeraden. In het geval een NAS-systeem toch toegankelijk vanaf het internet moet zijn is het nodig om een strikte firewallconfiguratie toe te passen en de managementpoort aan te passen, zo stelt de fabrikant. Hoeveel QNAP-gebruikers slachtoffer van de recente aanval zijn geworden is niet bekend. Volgens securitybedrijf Censys zijn inmiddels bij de recente zeroday-aanval ruim 11.000 NAS-systemen besmet geraakt. bron: https://www.security.nl

Er is een nieuwe versie van OpenWrt uitgebracht, het populaire alternatieve besturingssysteem voor routers. OpenWrt 22.03 is ongeveer een jaar in ontwikkeling geweest en bevat naast nieuwere versies van de Linux-kernel en andere onderdelen ook een uitgebreidere ondersteuning van nieuwe apparaten. De nieuwste versie van OpenWrt werkt op bijna zestienhonderd verschillende routers. Dit is vooral een uitkomst voor eigenaren van routers die geen ondersteuning van de fabrikant meer krijgen. Een andere grote verandering in OpenWrt 22.03 is de standaard meegeleverde firewall. Dat is namelijk de op nftables gebaseerde Firewall4. Deze firewall maakt gebruik van nftables in plaats van iptables om de Linux netfilter ruleset te configureren, zoals met Firewall3 het geval was. Iptables is het bekende programma dat al sinds 1998 wordt gebruikt voor het opstellen van filterregels voor de Linux-firewall. Vanwege schaalbaarheid en prestaties kwamen de ontwikkelaars van iptables met een opvolger, nftables. Het programma is al sinds 2014 in de Linux-kernel aanwezig. De ontwikkelaars van OpenWrt hebben besloten om voortaan nftables als standaard te gebruiken in plaats van iptables. Daarbij stellen ze dat Firewall4 dezelfde configuratiesyntax hanteert en in de meeste gevallen bestaande regels zou moeten kunnen vervangen. De legacy iptables utilities zijn ook niet meer in de standaard-images van OpenWrt te vinden, maar zijn nog wel door gebruikers via de image builder toe te voegen. bron: https://www.security.nl

De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, heeft een nieuw dashboard met zogenoemde "threat data" gelanceerd. Via het dashboard is informatie over honeypots, ddos-aanvallen, bruteforcepogingen, sinkholes, online scans en kwetsbare systemen te vinden. Shadowserver verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). De afgelopen jaren heeft de Shadowserver Foundation bij het oprollen van meerdere grote botnets een belangrijke rol gespeeld. Dagelijks scant de organisatie vier miljard ip-adressen op mogelijk misbruik en worden er meer dan 700.000 malware-exemplaren geanalyseerd. Die informatie wordt nu deels via het dashboard gedeeld. Zo blijkt dat in Nederland zevenduizend besmette systemen verbinding maken met een "sinkhole". Hierbij wordt verkeer afkomstig van een besmette machine omgeleid naar een server van bijvoorbeeld een securitybedrijf, autoriteit of provider, om zo verdere schade te voorkomen en besmette machines te identificeren. Ook is er bijvoorbeeld een overzicht van kwetsbare Zimbra-servers te vinden. Daarvan zijn er in Nederland nog zo'n driehonderd. Via het nieuwe dashboard, dat met geld van de Britse overheid is gefinancierd, is het mogelijk om bepaalde trends te volgen of cijfers van landen met elkaar te vergelijken. Shadowserver hoopt dat de data van het dashboard beveiligingsonderzoekers, beleidsmakers, journalisten, computer security incident response teams (CSIRTs) en anderen kan helpen met onderzoek en het vergroten van bewustzijn over cyberdreigingen. bron: https://www.security.nl

Een groep aanvallers maakt bij het uitvoeren van ransomware-aanvallen gebruik van Microsofts encryptietool BitLocker, zo laat het techbedrijf zelf in een blogposting weten. Microsoft noemt de groep DEV-0270 en vermoedt dat die vanuit Iran opereert. De groep weet organisaties binnen te dringen via bekende kwetsbaarheden in Exchange Server, zoals het ProxyLogon-lek, en Fortinet FortiOS. Zodra er toegang tot een server is verkregen verkennen de aanvallers eerst de netwerkomgeving en proberen daarna wachtwoorden te bemachtigen. Ook maken ze een account aan om toegang te behouden en schakelen het remote desktopprotocol (RDP) in. Hiervoor wordt ook een aanpassing in de firewall doorgevoerd om RDP-verbindingen toe te staan. De volgende stap in het proces is het uitschakelen van Microsoft Defender Antivirus en zich lateraal door het netwerk bewegen. Als laatste wordt Microsofts BitLocker-tool gebruikt voor het versleutelen van bestanden. Getroffen organisaties moeten vervolgens betalen voor de decryptiesleutel. Hiervoor vraagt de groep volgens Microsoft achtduizend dollar, wat in vergelijking met andere ransomware-aanvallen een zeer laag bedrag is. DEV-0270 is volgens Microsoft een subgroep van een andere groep genaamd Phosphorus die ook vanuit Iran zou opereren. Eind vorig jaar beschreef Microsoft verschillende ransomware-aanvallen die door Phosphorus zouden zijn uitgevoerd en waarbij ook gebruik werd gemaakt van kwetsbaarheden in Exchange Server en bestanden via BitLocker werden versleuteld. Microsoft denkt dat de aanvallen van DEV-0270 mogelijk voor persoonlijk financieel gewin zijn. Om de aanvallen te voorkomen krijgen organisaties het advies om hun Exchange-servers te patchen. bron: https://www.security.nl

Tachtig procent van de websites met een zoekfunctie lekt zoekopdrachten aan adverteerders en andere derde partijen, zo stellen onderzoekers van Norton Labs op basis van eigen onderzoek dat tijdens het Privacy Enhancing Technologies Symposium in Sydney werd gepresenteerd (pdf). Voor het onderzoek werden de 1 miljoen populairste websites op internet geanalyseerd. Van deze websites bleken er ruim 512.000 over een interne zoekfunctie te beschikken. Meer dan 81 procent van de websites met een interne zoekfunctie blijkt zoekopdrachten naar derde partijen door te sturen. In de meeste gevallen laat het privacybeleid niet weten dat zoekopdrachten worden gedeeld. In 87 procent van de onderzochte privacy policies wordt hier geen expliciete melding van gemaakt. Driekwart stelt in generieke bewoording dat er informatie naar derde partijen gaat. Het lekken van de zoekopdrachten, dat bijvoorbeeld in het geval van medische of financiële zaken gevoelige informatie kan betreffen, gaat op verschillende manieren. Het kan via de http-referer, url-parameters of http-requests. Volgens de onderzoekers zouden websites duidelijker aan gebruikers moeten laten weten dat zoekopdrachten worden gedeeld. Uit eerder onderzoek blijkt dat de meeste mensen namelijk niet willen dat hun zoekactiviteiten worden gevolgd. Daarnaast kunnen gebruikers browser-extensies installeren om trackers te blokkeren. bron: https://www.security.nl

Een kwetsbaarheid in de Support Assistant van HP, die standaard geïnstalleerd staat op desktops en laptops van de fabrikant, maakt het mogelijk voor een aanvaller met toegang tot het systeem om zijn rechten te verhogen en zo volledige controle over de machine te krijgen. HP heeft updates uitgebracht om het probleem te verhelpen. Via de HP-software kunnen gebruikers problemen met hun computer verhelpen en allerlei updates downloaden. Een onderdeel van de Support Assistant, genaamd Performance Tune-up, zou de prestaties van het systeem moeten verbeteren. Dit onderdeel is kwetsbaar voor DLL-hijacking. Hierbij kan een aanvaller zijn kwaadaardige code door een legitiem programma laten uitvoeren. Aangezien de Support Assistant met SYSTEM-rechten draait kan een aanvaller zijn code met deze rechten laten uitvoeren. De kwetsbaarheid (CVE-2022-38395) is alleen te misbruiken door een aanvaller die al toegang tot het systeem heeft. Gezien het feit dat de software standaard geïnstalleerd is en HP-systemen vaak binnen bedrijven worden gebruikt, krijgen gebruikers en organisaties het advies om de software naar versie 9.11 of nieuwer te updaten. bron: https://www.security.nl

Aanvallers maken zeker sinds 26 augustus gebruik van een zerodaylek in de plug-in BackupBuddy voor het aanvallen van WordPress-sites. BackupBuddy is een plug-in voor het beheer van back-ups en maakt het eenvoudig om back-ups lokaal of in de cloud op te slaan. De optie om back-ups lokaal op te slaan bevat een kwetsbaarheid (CVE-2022-31474) waardoor een ongeauthenticeerde aanvaller elk bestand op de server kan downloaden. Bij de nu waargenomen aanvallen downloaden aanvallers onder andere bestanden zoals wp-config.php, passwd en .accesshash. De informatie in deze bestanden is te gebruiken om de WordPress-site verder te compromitteren. Sinds 2 september is er een update (versie 8.7.5) die het probleem verhelpt. BackupBuddy claimt dat het sinds 2010 één miljoen WordPress-sites beschermt. Securitybedrijf Wordfence vermoedt dat het aantal actieve installaties rond de 140.000 ligt. Aanvallers maken inmiddels op grote schaal misbruik van de kwetsbaarheid, waarbij Wordfence naar eigen zeggen al zo'n vijf miljoen aanvallen heeft waargenomen. Eigenaren van een gecompromitteerde website wordt aangeraden om hun databasewachtwoord te resetten, alsmede WordPress-salts en andere secrets in wp-config.php. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt gaat binnenkort ook Certificate Revocation Lists ondersteunen die informatie over ingetrokken certificaten bevatten. Dit moet voorkomen dat internetgebruikers via ingetrokken certificaten kunnen worden aangevallen. Dat heeft Let's Encrypt aangekondigd. Tls-certificaten zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om websites te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken. Deze informatie moet vervolgens aan de browser worden gecommuniceerd. Hiervoor zijn Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht. CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren. Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd.. De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren. Doordat de browser voor elke bezochte website een OCSP-request verstuurt kan een malafide of gedwongen certificaatautoriteit daarnaast bijhouden welke websites iemand bezoekt. Volgens Let's Encrypt zijn beide oplossingen dan ook niet ideaal. CRLs zijn inefficiënt en OCSP is onbetrouwbaar. Een mogelijk beter alternatief zijn browserspecifieke CRLs. In plaats van elke browser bij gebruikers grote CRLs te laten downloaden, downloadt de browserleverancier die centraal. Vervolgens wordt de CRL in een kleiner formaat opgedeeld en daarna onder gebruikers als update verstuurd. Firefox noemt dit CRLite en verstuurt elke zes uur updates met ingetrokken certificaten. Hierdoor zijn de grootste problemen met de traditionele CRLs opgelost. Downloads zijn snel, hebben geen impact bij het bezoeken van websites en de controle van ingetrokken certificaten vindt lokaal plaats. Apple en Mozilla eisen vanaf 1 oktober dat alle certificaatautoriteiten CRLs gaan uitgeven waar Safari en Firefox gebruik van kunnen maken voor de certificaatcontrole. Bij de start van Let's Encrypt besloot de certificaatautoriteit om alleen OCSP te ondersteunen en geen CRLs uit te geven. Destijds eisten browserleveranciers ook alleen OCSP. Vanwege de nieuwe vereisten is Let's Encrypt hierop teruggekomen en gaat nu ook CRLs aanbieden. bron: https://www.security.nl

Cisco heeft opnieuw gewaarschuwd voor een kwetsbaarheid in verschillende niet meer ondersteunde routers en roept klanten wederom op om de apparaten te vervangen. Het beveiligingslek (CVE-2022-20923) bevindt zich in het onderdeel van de Cisco RV110W-, RV130-, RV130W- en RV215W-routers waarmee gebruikers toegang tot het vpn-netwerk van bijvoorbeeld hun organisatie kunnen krijgen. De router laat organisaties een IPSec vpn-server opzetten. Een kwetsbaarheid in het algoritme dat de vpn-wachtwoorden van gebruikers controleert zorgt ervoor dat een aanvaller via zelfgecreëerde inloggegevens op de vpn-server van de router kan inloggen en zo toegang tot het vpn-netwerk kan krijgen. Daarbij is het ook mogelijk om als beheerder in te loggen. De betreffende routers zijn echter end-of-life en worden dan ook niet meer met beveiligingsupdates ondersteund. Cisco roept organisaties op om naar een wel ondersteunde router te migreren. Sinds 2021 heeft Cisco geregeld gewaarschuwd voor tientallen kwetsbaarheden in de vier bovengenoemde routers die niet meer zullen worden verholpen. Afgelopen juni ging het nog om een kritiek beveiligingslek dat het mogelijk maakt om de routers over te nemen. bron: https://www.security.nl

Aanvallers hebben in juli en augustus van dit jaar bijna 200.000 accounts van The North Face via een credential stuffing-aanval weten te kapen, zo blijkt een datalekmelding die door de procureur-generaal van de Amerikaanse staat Maine openbaar is gemaakt. Twee jaar geleden kreeg de website van het kledingmerk ook al met een credential stuffing-aanval te maken. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. The North Face ontdekte op 11 augustus verdachte activiteit op thenorthface.com. Uit het onderzoek dat volgde bleek dat aanvallers tussen 26 juli en 19 augustus via credential stuffing toegang tot 195.000 accounts hadden gekregen. Naast e-mailadres en wachtwoord van deze gebruikers hebben de aanvallers mogelijk ook adresgegevens, gekochte producten, namen, geboortedata, telefoonnummer, geslacht en klantenkaartgegevens ingezien. Volgens het kledingmerk zijn er geen creditcardgegevens buitgemaakt. Vanwege de aanval is besloten de wachtwoorden van gecompromitteerde accounts te resetten en zijn creditcardtokens verwijderd. Hierdoor zullen deze klanten hun creditcardgegevens opnieuw moeten invoeren. The North Face adviseert klanten om een uniek wachtwoord voor hun account in te stellen en alert te zijn op phishingaanvallen. bron: https://www.security.nl

NAS-apparaten van fabrikant Zyxel zijn door middel van een kritieke kwetsbaarheid op afstand over te nemen. Het versturen van een speciaal geprepareerd udp-pakket maakt remote code execution mogelijk, zo waarschuwt Zyxel dat firmware-updates heeft uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2022-34747) is aanwezig in de Zyxel NAS326, NAS540 en NAS542. Mogelijk is het probleem, dat op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, ook in oudere NAS-apparaten aanwezig. Zyxel stelt dat bovenstaande modellen kwetsbaar zijn en nog met updates worden ondersteund. Gebruikers wordt aangeraden om de beschikbaar gemaakte firmware-updates te installeren. De drie genoemde NAS-modellen zijn in het verleden het doelwit geweest van ransomware-aanvallen en een variant van de beruchte Mirai-malware, die besmette apparaten inzette voor het uitvoeren van ddos-aanvallen. bron: https://www.security.nl

Onderzoekers hebben een variant van de beruchte Mirai-malware ontdekt die oudere D-Link-routers infecteert via twee bekende kwetsbaarheden waarvoor geen firmware-updates beschikbaar zijn. De betreffende routers worden namelijk niet meer door de fabrikant ondersteund. De twee kwetsbaarheden, aangeduid als CVE-2022-26258 en CVE-2022-28958, zijn respectievelijk aanwezig in de DIR-820L en DIR-816L. Een onderdeel van beide routers gaat niet goed om met bepaalde http-parameters. Door het versturen van een speciaal geprepareerde parameter is remote code execution mogelijk. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Beide kwetsbaarheden werden begin dit jaar geopenbaard. D-Link heeft echter geen firmware-updates uitgebracht. De DIR-816L wordt sinds 1 maart 2016 niet meer ondersteund. De DIR-820L kan sinds 1 november 2017 niet meer op patches rekenen. Aanvallers maken echter nu misbruik van de eerder genoemde kwetsbaarheden om routers met de MooBot-malware te infecteren, zo meldt securitybedrijf Palo Alto Networks. Deze malware gebruikt besmette apparaten onder andere voor het uitvoeren van ddos-aanvallen. D-Link adviseert eigenaren van beide routers om die niet meer te gebruiken. bron: https://www.security.nl

Meer mensen gaan dagelijks Tor Browser gebruiken als ze "privacy nudges" te zien krijgen, zo stellen onderzoekers van de Carnegie Mellon University, University of Maryland en Clark University op basis van eigen onderzoek (pdf). Volgens de onderzoekers kunnen privacytools voor het browsen de digitale privacy van mensen beschermen. De tools die echter de beste bescherming bieden, zoals Tor Browser, hebben echter moeite om een groot publiek te bereiken, zo claimen ze in het onderzoek "Increasing Adoption of Tor Browser Using Informational and Planning Nudges". Via Tor Browser maken gebruikers verbinding met het Tor-netwerk, dat hun ip-adres afschermt en andere privacybeschermende technieken toepast. De browser maakt het ook mogelijk om gecensureerde websites te bezoeken. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van de browser. Een aantal dat nagenoeg al jaren hetzelfde is, hoewel begin dit jaar er een piek van zo'n 3 miljoen gebruikers was. Inmiddels is het aantal gebruikers weer terug op de 2,5 miljoen. De onderzoekers wilden kijken of "nudges" gebaseerd op de Protection Motivation Theory de kans vergroot dat mensen gebruik van Tor Browser gaan maken. Deze theorie stelt dat mensen zichzelf beschermen wanneer ze de ernst van een situatie kunnen bepalen en weten wat hieraan kan worden gedaan. Voor het onderzoek kregen deelnemers nudges te zien dat allerlei partijen informatie over bezochte websites en het gedrag daarop kunnen verzamelen en dat veel browsertools, zoals vpn's, adblockers en de private browsing-mode van de browser, geen volledige bescherming bieden. Vervolgens werd getoond dat Tor Browser wel tegen deze dreigingen bescherming biedt en hoe de browser is te gebruiken. De nudges zorgden ervoor dat meer mensen Tor Browser gingen gebruiken. Deelnemers die de nudges te zien kregen stelden dat ze Tor Browser bijna twee keer zo vaak gebruikten dan deelnemers in de controlegroep. Volgens de onderzoekers laat dit zien dat er mogelijkheden zijn om het gebruik van Tor Browser door middel van nudgingtechnieken in berichten aan het publiek te vergroten. Wel is er meer onderzoek nodig om de effecten van de nudges beter te begrijpen, zo stellen ze in de conclusie van het onderzoek. bron: https://www.security.nl

Opera heeft vandaag een update voor de eigen browser uitgebracht waarmee een actief aangevallen zerodaylek wordt verholpen. Google en Microsoft kwamen respectievelijk op 2 en 3 september met beveiligingsupdates voor de kwetsbaarheid. Net als Chrome en Edge is Opera gebaseerd op Chromium, de door Google ontwikkelde opensourcebrowser. De impact van de kwetsbaarheid (CVE-2022-3075) is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de browser-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Details over de aanvallen zijn niet gegeven. Opera-gebruikers worden aangeraden om te updaten naar versie 90.0.4480.84. Volgens Google is de toename van het aantal actief aangevallen zerodaylekken in Chromium-gebaseerde browsers mede te verklaren door het toegenomen marktaandeel. Iets wat al lange tijd een doorn in het oog van Mozilla is, dat waarschuwt voor een nieuw browsermonopolie. bron: https://www.security.nl

Nog een maand en dan zal Microsoft beginnen met het uitschakelen van Basic Authentication in Exchange Online, maar veel organisaties zijn hier nog niet op voorbereid. Het zal dan niet meer mogelijk zijn voor klanten om met een gebruikersnaam en wachtwoord via protocollen zoals POP en IMAP op hun mailaccounts in te loggen. Volgens Microsoft is Basic Authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen. Vanaf 1 oktober zal Microsoft willekeurig klanten kiezen waarbij het Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell uitzet. Klanten worden hier zeven dagen van tevoren over ingelicht en op de dag dat de aanpassing plaatsvindt. Microsoft claimt dat inmiddels miljoenen klanten geen gebruik meer van Basic Auth maken, maar de standaard nog altijd wel in gebruik is. Veel klanten zijn daarnaast niet voorbereid op de komende aanpassing, gaat Microsoft verder. Het techbedrijf heeft de afgelopen jaren via blogpostings, tweets, presentaties, video's en andere manieren geprobeerd om klanten voor te bereiden. Toch zijn er volgens Microsoft nog steeds klanten die geen idee hebben dat Basic Auth wordt uitgeschakeld of dit wel weten, maar geen actie hebben ondernomen. Het kan zeer grote gevolgen voor organisaties hebben als personeel niet meer kan e-mailen. Daarom biedt Microsoft een optie waarbij klanten Basic Auth via een diagnostische tool weer zelf kunnen inschakelen. Basic Auth blijft dan tot eind december van dit jaar werken. In de eerste week van 2023 wordt de standaard permanent uitgeschakeld en is het gebruik van Basic Auth niet meer mogelijk. bron: https://www.security.nl

De populaire website Neopets, waar spelers met virtuele dieren kunnen spelen, heeft meer details gegeven over het datalek waarbij de gegevens van 69 miljoen accounts werden gestolen. Zo zijn van miljoenen spelers niet-gehashte wachtwoorden buitgemaakt. Op 21 juli waarschuwde Neopets dat er mogelijk klantgegevens waren gestolen. De data werd op internet te koop aangeboden. In een update over het incident laat de ontwikkelaar weten dat de aanvaller toegang had tot namen, e-mailadressen, gebruikersnamen, geboortedata, geslacht, ip-adressen, Neopets PIN, gehashte wachtwoorden en data over het dier van de speler. Voor mensen die voor 2015 een Neopets-account hadden zijn ook niet-gehashte, inactieve wachtwoorden buitgemaakt. Waarom het bedrijf oude niet-gehashte wachtwoorden van gebruikers bewaarde laat Neopets niet weten. Neopets werd in 1999 gelanceerd en had in 2016 meer dan negentig miljoen spelers. In dat jaar kreeg de website ook al met een datalek te maken. De nu gestolen data zou tussen 3 januari 2021 en 19 juli 2022 zijn gedownload, wat inhoudt dat de aanvaller lange tijd toegang tot de systemen van Neopets had. Vanwege het datalek is besloten de wachtwoorden van gebruikers te resetten en wordt er gewerkt aan het toevoegen van multifactorauthenticatie. bron: https://www.security.nl

De ontwikkelaars van de populaire e-mailclient Thunderbird waarschuwen voor een kwetsbaarheid waardoor aanvallers gevoelige informatie kunnen stelen, zoals de inhoud van e-mails. Gebruikers worden opgeroepen om de beschikbaar gestelde update zo snel mogelijk te installeren. Het komt zelden voor dat Thunderbird een dergelijke waarschuwing aan gebruikers geeft. Het lekken van gevoelige informatie (CVE-2022-3033) is volgens Thunderbird mogelijk wanneer gebruikers op een speciaal geprepareerde html-mail reageren, ook wanneer de e-mailclient staat ingesteld om remote content te blokkeren. Bij het antwoord op een dergelijke e-mail kan er JavaScript in de context van opgestelde berichten worden uitgevoerd. Zo zou een aanvaller verschillende acties kunnen uitvoeren, waaronder het lezen of aanpassen van de inhoud van het bericht. Het zou hierbij om ontsleutelde tekst van een versleutelde mail kunnen gaan. Daarbij zou de inhoud vervolgens naar een opgegeven server kunnen worden verstuurd. Het probleem doet zich niet voor bij gebruikers die voor de weergave van berichten "plain text" of "simple html" gebruiken. Alle gebruikers worden aangeraden om te updaten naar Thunderbird 102.2.1 bron: https://www.security.nl

Onderzoekers hebben in de Chrome Web Store verschillende malafide extensies ontdekt die bij gebruikers cookies van webwinkels aanpassen om zo onopgemerkt geld te verdienen, zo meldt antivirusbedrijf McAfee. De extensies, Netflix Party, Netflix Party 2, FlipShope Price Tracker Extension, Full Page Screenshot Capture Screenshotting en AutoBuy Flash Sales bieden verschillende featuers, zoals het samen kijken van Netflix of maken van screenshots van websites. De extensies bieden de beoogde functionaliteit maar monitoren ook de websites die gebruikers bezoeken. Elke bezochte website wordt doorgegeven aan de extensie-ontwikkelaars. Wanneer gebruikers een webwinkel bezoeken wijzigt de extensie het webshop-cookie en voorzien van een partner-ID. Veel webwinkels werken samen met partners, zoals blogs en websites. Zodra die mensen doorsturen die een product aanschaffen krijgen ze commissie. De betreffende extensies, die bij elkaar 1,4 miljoen gebruikers hebben, zijn nog steeds in de Chome Web Store te vinden. McAfee adviseert bij de installatie van browser-extensies goed op te letten, mede op de gevraagde permissies. Zo vraagt de Netflix Party-extensie om alle data op bezochte websites te kunnen lezen en aan te passen. bron: https://www.security.nl

Er is een nieuwe versie van Internet.nl verschenen die het nu ook mogelijk maakt om ip-adressen van webservers en mailservers op Resource Public Key Infrastructure (RPKI) te testen. Het routeren van internetverkeer vindt plaats via allerlei netwerken wat op basis van wederzijds vertrouwen gebeurt. Elke partij vertrouwt dat de route die wordt gebruikt voor het versturen van informatie veilig is, klopt en niet voor malafide doeleinden wordt aangepast. Dit model is echter kwetsbaar voor misbruik en aanvallen, maar ook een simpele typefout van een netwerkbeheerder kan ervoor zorgen dat internetverkeer wordt omgeleid. Met cryptografisch verifieerbare statements zorgt RPKI ervoor dat netwerkproviders de keten kunnen valideren. Deze verklaringen, genaamd Route Origin Authorisations (ROA’s), kunnen andere netwerkbeheerders cryptografisch valideren en vervolgens gebruiken om filters in te stellen. Bij RPKI zijn twee partijen actief betrokken. Ten eerste moet de houder van de ip-adressen ROA’s publiceren. Ten tweede moet de partij die via Border Gateway Protocol (BGP) routes van andere netwerken ontvangt op basis van alle wereldwijd gepubliceerde ROA’s filteren, waarbij invalide routes nooit geaccepteerd of geadverteerd mogen worden. De nieuwe RPKI-test van Internet.nl test alle ip-adressen die horen bij de webserver, mailservers en nameservers van een domein. Eerst wordt per ip-adres gecontroleerd of er tenminste één ROA is gepubliceerd. Vervolgens checkt de test of de route-aankondiging van ieder ip-adres wordt gematcht door de eventueel gevonden ROA. Later dit jaar zal de RPKI-test ook worden toegevoegd aan de API en het dashboard van Internet.nl. Het grootste deel van de RPKI-test is ontwikkeld door het Nationaal Cyber Security Centrum (NCSC). Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet toegankelijker, veiliger en betrouwbaarder te maken. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die meerdere kwetsbaarheden in de browser verhelpt, waaronder een kritiek beveiligingslek dat het mogelijk voor een aanvaller maakt om in het ergste geval het onderliggende systeem over te nemen. Alleen het bezoeken van een gecompromitteerde of malafide websites of bekijken van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. De kwetsbaarheid, aangeduid als CVE-2022-3038, bevindt zich in de Network Service van Chrome. Een onderdeel dat de netwerkfunctionaliteit van de browser regelt. Beveiligingsonderzoeker Sergei Glazunov van Google Project Zero ontdekte een "use after free" in de code waardoor een aanvaller code op het systeem van gebruikers kan uitvoeren. In tegenstelling tot voorgaande jaren is er dit jaar al een recordaantal kritieke kwetsbaarheden in de browser gevonden. De teller staat nu op zes. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt 105.0.5195.52 23 andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Google schaadt adblockers met nieuwe extensie-regels voor Chrome, zo stelt de ontwikkelaar van adblocker AdGuard. De nieuwe regels raken de effectiviteit van adblockers, de gebruikerservaring en mogelijkheid om zelf nieuwe filters te maken, stelt Dmitriy Seregin van AdGuard. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Binnenkort zal versie drie (V3) van het manifest van kracht worden. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API in Manifest V3 voorgesteld genaamd declarativeNetRequest (DNR). Die zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Voor statische regels hanteert Chrome in Manifest V3 een limiet van 30.000 regels per extensie en een totale limiet van 330.000 regels voor alle geïnstalleerde extensies bij elkaar. In het geval de limiet wordt overschreden zal Chrome ingrijpen en bepaalde regels, waarin staat welke url's van adverteerders en trackers te filteren, aanpassen. In het ergste geval kan zelfs het standaardfilter worden uitgeschakeld omdat het meer dan 30.000 regels bevat, merkt Seregin op. Voor dynamische regels, waarmee de gebruiker zijn eigen regels en filters kan toevoegen, geldt een limiet van vijfduizend. Wanneer deze limiet wordt overschreden zal de adblocker alleen de eerste vijfduizend regels toepassen en blijft de rest uitgeschakeld. "De beperkingen van Manifest V3 schaden niet alleen de filterkwaliteit en gebruikerservaring, maar ook de community van filterontwikkelaars. Voorheen kon iedereen zelf een filter ontwikkelen, en gedurende de tijd kon zo'n filter populair worden en op de lijst van aanbevolen adblockers komen. Nu is dit veel lastiger geworden", gaat Seregin verder. AdGuard heeft nu een experimentele V3-versie van de eigen adblocker uitgebracht. Die is volgens Seregin niet zo effectief als zijn voorgangers, maar de meeste gebruikers zouden dit volgen de ontwikkelaar niet moeten merken. bron: https://www.security.nl

WordPress, het platform waar 43 procent van alle websites op draait, heeft een beveiligingsupdate uitgebracht die meerdere beveiligingslekken verhelpt, waaronder een SQL-injection kwetsbaarheid. Het beveiligingslek bevindt zich in de WordPress Link-functionaliteit, die eerder nog bekendstond als "Bookmarks". Deze functionaliteit staat bij nieuwere WordPress-installaties niet meer standaard ingeschakeld. Bij oudere installaties is dat wel het geval, waardoor mogelijk miljoenen websites risico lopen, zo waarschuwt securitybedrijf Wordfence. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen, of juist kwaadaardige code toe te voegen. Om misbruik van het lek te maken, dat nog geen CVE-nummer heeft, moet een aanvaller over adminrechten beschikken, hoewel misbruik ook via third-party plug-ins of themes mogelijk is, waardoor een aanvaller over minder hoge rechten hoeft te beschikken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.0. Eigenaren van een WordPress-site worden aangeraden om te updaten naar WordPress 6.0.2, wat op websites met automatische updates automatisch zal plaatsvinden. bron: https://www.security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen die het eenvoudiger voor gebruikers moet maken om zich voor wifi-netwerken aan te melden. Daarnaast zijn er maatregelen doorgevoerd om de beveiliging van de Linux-kernel te versterken en is de support van nieuwere hardware verbeterd. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. Om de standaard meegeleverde Tor Browser te kunnen gebruiken moet er eerst verbinding met internet zijn. Dit kan een probleem zijn wanneer iemand op een wifi-netwerk wil inloggen waarbij er eerst met de voorwaarden akkoord moet worden gegaan, een zogenoemde captive portal. Voor deze situatie beschikt Tails ook over een "Unsafe Browser" die standaard staat uitgeschakeld omdat die niet anoniem is en gebruikt kan worden om de gebruiker te de-anonimiseren. De Unsafe Browser maakte standaard gebruik van de HTTPS-only Mode van Firefox, zodat er standaard alleen https-sites worden bezocht. In het geval een captive portal van http gebruikmaakt moet een gebruiker allerlei extra handelingen uitvoeren om toch verbinding met het wifi-netwerk te maken. Daarom hebben de Tails-ontwikkelaars besloten om in Tails 5.4 de HTTPS-only Mode in de Unsafe Browser uit te schakelen. Verder zijn er verschillende beveiligingsopties voor de gebruikte Linux-kernel ingeschakeld, die het lastiger voor aanvallers moeten maken om kwetsbaarheden in de software te misbruiken, en is de support van nieuwere hardware verbeterd, waaronder videokaarten en wifi-chipsets. Tails 5.4 is beschikbaar als automatische upgrade of als download via Tails.boum.org. bron: https://www.security.nl

Nieuw beleid van Google dat vanaf 1 november van kracht wordt zorgt ervoor dat vpn-gebaseerde adblockers straks niet meer in de Play Store zijn toegestaan, zo stelt adblocker Blokada. Recentelijk kondigde Google nieuw beleid aan waar Android-apps in de Google Play Store aan moeten voldoen. Eén van de nieuwe voorwaarden betreft het gebruik van de VPNService door apps en daar maken ontwikkelaars van vpn-gebaseerde adblockers zich zorgen over. Naast de normale adblockers die in de browser draaien zijn er ook vpn-gebaseerde adblockers die advertenties en trackers voor alle apps en browsers op het toestel blokkeren. Dit komt omdat het verkeer van de gebruiker lokaal via de vpn wordt gefilterd. Die kan zo al het verkeer naar advertentie- en trackingbedrijven blokkeren. Deze vpn-gebaseerde adblockers maken voor hun vpn-oplossing gebruik van de VpnService. Vanaf 1 november gaan er voor het gebruik van de VpnService nieuwe voorwaarden gelden. Eén van de voorwaarden stelt dat de VpnService niet mag worden gebruikt voor het genereren van inkomsten door verkeer van andere apps door te sturen of manipuleren. Daarnaast is het straks niet meer toegestaan om advertenties te manipuleren zodat het verdienmodel van apps wordt geraakt. "Dit beleid geldt ook voor apps die de service gebruiken om verkeer lokaal op het toestel te filteren. Apps zoals Blokada v5 en DuckDuckGo", zegt Reda Labdaoui van adblocker Blokada. "Dit kan betekenen dat Google achter de schermen bezig is om vpn-gebaseerde tracker- en adblockers aan te pakken." Labdaoui merkt op dat Blokada vaker door Google uit de Play Store is verwijderd. bron: https://www.security.nl