Captain Kirk

De populaire video-app TikTok heeft het privacybeleid aangepast en laat daarin weten dat personeel buiten Europa toegang tot data van Nederlandse en andere Europese gebruikers kunnen krijgen. Data van Europese gebruikers wordt op dit moment in de Verenigde Staten en Singapore opgeslagen. Die gegevens zijn op afstand toegankelijk voor medewerkers in Brazilië, Canada, China, Israel, Japan, Maleisië, Filipijnen, Singapore, Zuid-Korea en de Verenigde Staten, zo laat de video-app in het aangepaste beleid weten. Volgens TikTok is toegang tot deze gegevens nodig om ervoor te zorgen dat gebruikers een "consistente, plezierige en veilige" ervaring op het platform hebben. Verder bevat het aangepaste privacybeleid informatie over de verschillende manieren waarop TikTok locatiegegevens over Europese gebruikers kan verzamelen. De video-app doet dit onder andere op basis van simkaart, ip-adres en gps-data. The Guardian meldt dat het nieuwe privacybeleid op 2 december in gaat. Eerder dit jaar liet Brendan Carr, commissaris bij de Amerikaanse toezichthouder FCC, weten dat TikTok een ernstige dreiging voor nationale veiligheid is. Carr had Apple en Google in juni gevraagd om TikTok uit hun appstores te verwijderen en deze week verklaarde hij tegenover Axios dat de Amerikaanse overheid de video-app zou moeten verbieden. Dit vanwege de manier waarop de Chinese eigenaar met de gegevens van Amerikaanse gebruikers omgaat, aldus de commissaris. Afgelopen september kreeg TikTok nog een boete van 405 miljoen euro wegens het overtreden van de AVG. E-mailadressen en telefoonnummers van mogelijk miljoenen kinderen waren afhankelijk van het gekozen account voor derden zichtbaar. bron: https://www.security.nl

Onderzoekers hebben in de Python Package Index (PyPI) tientallen malafide Python-packages aangetroffen die cookies, in de browser opgeslagen wachtwoorden, inloggegevens voor cryptowallets, Riot en Steam, Discord-tokens, Telegram-sessies en bestanden met opgeslagen wachtwoorden, 2FA-codes, cryptowallet keys en andere gevoelige informatie steelt. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Geregeld komt het voor dat aanvallers malafide packages uploaden en die voorzien van namen die erg lijken op die van legitieme packages. Ook bij de aanval waarover securitybedrijf Phylum bericht hebben de aanvallers code van legitieme packages genomen. Vervolgens werden de packages van malafide code voorzien en onder een iets andere naam geüpload naar PyPI. Het gaat dan om packages met namen als twyne en colorsama, die zich voordoen als de bekende packages twine en colorama. De bijna dertig door Phylum ontdekte malafide packages, die bij elkaar 5700 keer waren gedownload, installeren de "W4SP stealer". Deze malware steelt allerlei informatie van het systeem opgeslagen wachtwoorden, cookies, informatie over het systeem, Discord-tokens, inloggegevens voor cryptowallets (Exodus, Metamask en Atomic) en clients zoals Steam, Riot, NationsGlory, Telegram-sessies. Daarnaast kan de malware ook automatisch bestanden stelen, waarbij wordt gezocht naar opgeslagen wachtwoorden, 2FA-codes, wallet keys en andere gevoelige informatie. Net als bij vorige aanvallen met malafide packages wordt ontwikkelaars aangeraden om goed op te letten wat ze installeren. bron: https://www.security.nl

Mozilla komt volgend jaar met een investeringsfonds dat meer dan 35 miljoen dollar in 'verantwoorde technologie' gaat investeren, zo heeft de Firefox-ontwikkelaar aangekondigd. Het gaat dan om technologie die voor privacy, inclusiviteit, transparantie, toegankelijkheid en menselijke waardigheid moet zorgen. Start-ups die zich hiervoor inzetten lopen echter tegen allerlei hindernissen aan. "Het systeem is tegen ze", zo claimt Mozilla. Hoewel het investeringsfonds nog moet worden opgericht heeft Mozilla de afgelopen periode al geïnvesteerd in Secure AI Labs, Block Party en HeyLogin. De laatste is een wachtwoordmanager waarbij er geen master password meer is vereist om opgeslagen wachtwoorden te kunnen gebruiken. Volgens Mozilla worden de drie bedrijven gedreven door het idee van een digitale wereld die privé, veilig en respectvol kan zijn. Met de investeringen wil de Firefox-ontwikkelaar naar eigen zeggen de tech-industrie in een andere richting duwen. Oprichters van start-ups of investeerders die deze visie delen worden opgeroepen om zich te melden. bron: https://www.security.nl

Er komt een internationale taskforce die zich met de bestrijding van ransomware wereldwijd gaat bezighouden, zo hebben 37 landen met elkaar afgesproken. De afgelopen dagen vond voor de tweede keer in de Verenigde Staten het International Counter Ransomware Initiative (CRI) plaats, waarbij landen en bedrijven bij elkaar kwamen om de aanpak van ransomware te bespreken. Tijdens het evenement zijn verschillende zaken afgesproken. Zo wordt er een "International Counter Ransomware Task Force" opgericht die de aanpak van ransomware gaat coördineren, zoals verstorende operaties en het delen van informatie. Ook komt er een toolkit voor onderzoekers met "tactieken, technieken en procedures" voor het verstoren van ransomwaregroepen en identificeren van de belangrijkste groepen. Verder zullen de landen ook gezamenlijke advisories uitbrengen met adviezen en waarschuwingen over kwetsbaarheden waar ransomwaregroepen misbruik van maken. Tevens zullen er periodiek anti-ransomware-oefeningen plaatsvinden om de gezamenlijke aanpak van ransomware verder te ontwikkelen, versterken en integreren. De deelnemende landen hebben ook toegezegd dat ze maatregelen zullen nemen om het gebruik van het cryptovaluta-ecosysteem door ransomwaregroepen te voorkomen. Zo zal er onder andere informatie over gebruikte cryptowallets worden gedeeld en moet door middel van "know your customer" regels voorkomen worden dat criminelen misbruik van cryptodiensten kunnen maken. Een ander punt is een actievere informatiedeling tussen overheid en bedrijfsleven over groepen en hun werkwijzes. Op de lijst met deelnemende landen ontbreken landen die er om bekend staan ransomwaregroepen te herbergen. In de gezamenlijke slotverklaring hebben de 37 deelnemende landen echter aangegeven dat ze de politieke kosten zullen vergroten voor landen die ransomwaregroepen herbergen. Hoe deze druk er precies komt uit te zien is niet bekendgemaakt. bron: https://www.security.nl

OpenSSL heeft vandaag een beveiligingsupdate uitgebracht voor een kwetsbaarheid in OpenSSL 3.0 die eerst als kritiek was aangekondigd, maar vanwege mitigerende maatregelen is afgeschaald naar het lagere impactniveau "High". Via de kwetsbaarheid (CVE-2022-3602) kan een aanvaller een denial of service veroorzaken of in potentie op afstand code uitvoeren. Veel platformen maken echter gebruik van beveiligingsmaatregelen die dergelijke remote code execution moeten voorkomen, aldus het OpenSSL Project Team. OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen en kwetsbaarheden hierin kunnen grote gevolgen hebben, zoals de HeartBleed-bug in 2014 demonstreerde. De ontwikkelaars laten van tevoren weten wanneer beveiligingsupdates voor OpenSSL uitkomen en wat daarvan de impact is. Vorige week werd aangekondigd dat een kritieke kwetsbaarheid zou worden verholpen. Een beveiligingslek met een dergelijke impact is pas één keer eerder in de software verholpen, namelijk in 2016. Tal van securitybedrijven en overheidsinstanties riepen organisaties dan ook op om zich voor te bereiden, ook al speelt het probleem alleen in OpenSSL 3.0, dat veel minder wordt gebruikt dan OpenSSL 1.1.1. Nu laat het OpenSSL Project Team weten dat er twee kwetsbaarheden in OpenSSL 3.0 zijn verholpen die beide een "high" impact hebben. Dit is het één na hoogste impactniveau wat OpenSSL aanhoudt. Voor beveiligingslekken die als high en critical zijn beoordeeld brengt het OpenSSL-team een nieuwe versie uit. De twee nu verholpen kwetsbaarheden, CVE-2022-3602 en CVE-2022-3786, doen zich voor bij de verificatie van X.509-certificaten. Door middel van een speciaal geprepareerd e-mailadres kan een aanvaller een buffer overrun veroorzaken wat voor een crash van de server kan zorgen. Hiervoor zou een certificaatautoriteit wel eerst een malafide certificaat moeten hebben gesigneerd of een applicatie moeten blijven proberen om een certificaat te verifiëren, ook al is het niet mogelijk om dit bij een vertrouwde uitgever te controleren. In het geval van een TLS-client is de aanval mogelijk wanneer er met een malafide server verbinding wordt gemaakt. Bij een TLS-server is het mogelijk wanneer de server aan clients vraagt zich te authenticeren en een malafide client verbinding maakt. Via CVE-2022-3602 zou ook remote code execution mogelijk zijn. Veel platformen maken echter gebruik van stack overflow-beveiliging, wat tegen het risico van een dergelijke aanval beschermt. Vanwege deze mitigerende factoren is de kwetsbaarheid lager ingeschaald. Desondanks worden organisaties opgeroepen om de update naar OpenSSL 3.0.7 wel te installeren. Het Nationaal Cyber Security Centrum (NCSC) houdt een lijst van kwetsbare applicaties bij, aangezien OpenSSL door veel programma's wordt gebruikt. Ook deze programma's zullen de komende tijd met updates komen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om via een phishingaanval broncode van Dropbox te stelen, alsmede gegevens van klanten, medewerkers en leveranciers. De phishingaanval bestond uit een e-mail die afkomstig leek van CircleCI, een populair devops-platform gebruikt voor softwareontwikkeling dat met GitHub is te integreren. Net als veel andere bedrijven maakt Dropbox gebruik van softwareontwikkelingsplatform GitHub en heeft daar ook allerlei broncode opgeslagen. Volgens de phishingmail moest de ontvanger op GitHub inloggen om de nieuwe algemene voorwaarden te accepteren. De link in het bericht wees echter naar een phishingpagina. Deze pagina probeerde niet alleen de inloggegevens van GitHub-gebruikers te bemachtigen, maar in het geval ze 2FA hebben ingeschakeld ook hun 2FA-codes in real-time. Zo wist de aanvaller toegang tot de GitHub-omgeving van Dropbox te krijgen en kopieerde 130 repositories met broncode en andere software. Het ging onder andere om API-keys van ontwikkelaars, aangepaste third-party libraries waar Dropbox gebruik van maakt, interne prototypes en sommige tools en configuratiebestanden van het Dropbox-securityteam. Ook zijn namen en e-mailadressen van medewerkers, huidige klanten, ex-klanten en leveranciers in handen van de aanvaller gekomen. Dropbox benadrukt dat er geen broncode van de primaire apps en infrastructuur is bemachtigd. Toegang tot deze repositories is beter afgeschermd, aldus de opslagdienst. Tevens zijn de inhoud van Dropbox-accounts en wachtwoorden en betaalgegevens van gebruikers niet gecompromitteerd. Eind september waarschuwde GitHub al voor dergelijke phishingaanvallen. Na een oproep van de Amerikaanse overheid om "phishingbestendige multifactorauthenticatie" (MFA) te gebruiken stelt ook Dropbox dat niet alle MFA gelijk is en sommige kwetsbaarder is voor phishing dan anderen. "Veel organisaties vertrouwen nog op minder veilige versies van MFA, zoals pushnotificaties, one-time passwords en time-based one-time passwords - WebAuthn is op dit moment de gouden standaard", aldus de opslagdienst. Die zegt dat het al bezig was met de uitrol van meer phishingbestendige MFA en dat binnenkort de gehele Dropbox-omgeving met hardwarematige tokens en biometrische factoren is beveiligd. bron: https://www.security.nl

Een kwetsbaarheid in Microsofts Jupyter Notebooks for Azure Cosmos DB maakte ongeautoriseerde toegang tot klantgegevens mogelijk. Microsoft heeft het probleem, dat aanwezig was van 12 augustus tot 6 oktober, inmiddels verholpen en zegt dat er geen misbruik van het beveiligingslek is gemaakt. Jupyter Notebooks is een open source interactieve ontwikkelomgeving. Het wordt onder andere gebruikt voor datavisualisatie, het delen van code, machine learning, statische modellering, datatransformaties en simulaties. Een kwetsbaarheid maakte het mogelijk om zonder geldige inloggegevens toegang te krijgen. De enige vereiste was het achterhalen van de GUID van een actieve sessie. Volgens Microsoft was misbruik van de kwetsbaarheid lastig, aangezien het om een 128-bit willekeurig GUID gaat en sessies één uur bestaan. Na een uur worden de workspace en alle data daarin, waaronder de notebooks, automatisch verwijderd. Het probleem met de authenticatie werd veroorzaakt door een aanpassing in een backend-API waar AzureCosmos DB Jupyter Notebooks gebruik van maken. bron: https://www.security.nl

Distributed denial-of-service (DDoS)-aanvallen kunnen grote gevolgen hebben voor organisaties wat betreft tijd, geld en reputatieschade, aldus de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). De Amerikaanse overheidsinstanties hebben daarom een stappenplan gepresenteerd dat organisaties kunnen gebruiken om ddos-aanvallen te voorkomen of de impact daarvan te beperken (pdf). Volgens de FBI en het CISA moeten als eerste de essentiële diensten en systemen in kaart worden gebracht en hoe gebruikers daarmee verbinding maken. Verder wordt het implementeren van een anti-ddos-dienst aangeraden en moet bekend zijn welke maatregelen de gebruikte internetprovider en cloudproviders hebben genomen. Een ander onderdeel van het plan van aanpak is het opstellen van een ddos-responsplan en een ddos-bedrijfscontinuïteitplan. Wanneer organisaties denken met een ddos-aanval te maken hebben adviseren de FBI en het CISA om dit eerst te bevestigen en de eigen internetprovider te benaderen. Vervolgens moeten mitigaties worden uitgerold en het netwerk gemonitord. Daarbij doen de FBI en het CISA ook aanbevelingen voor het instellen van de firewall. Zodra de aanval voorbij is vraagt de FBI dit te melden en kunnen organisaties hun responsplan aanpassen om de reactie op toekomstige aanvallen te verbeteren. bron: https://www.security.nl

Beste Eus18, hoe staat het met je probleem?

Google heeft voor de zevende keer dit jaar een actief aangevallen zerodaylek in Chrome verholpen. Eerder verschenen er updates voor dergelijke kwetsbaarheden in februari, maart, april, juli, augustus en september. Het nieuwste zerodaylek, aangeduid als CVE-2022-3723, bevindt zich in V8. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin het afgelopen jaar al tal van andere zerodaylekken werden gevonden. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Het techbedrijf werd op 25 oktober door onderzoekers van antivirusbedrijf Avast over het probleem ingelicht. Google Chrome 107.0.5304.87/88 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Microsoft heeft de afgelopen maand een usb-worm die tot ransomware-infecties kan leiden op drieduizend computers van zo'n duizend organisaties gedetecteerd. De usb-worm kan zich mede verspreiden omdat organisaties AutoRun inschakelen, een functie die vanwege beveiligingsredenen standaard in Windows voor usb-sticks staat uitgeschakeld. Dat laat Microsoft in een analyse weten. De worm wordt Raspberry Robin genoemd en kan zich op twee manieren verspreiden. De eerste manier is het gebruik van malafide lnk-bestanden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick of hebben de naam van een usb-stickfabrikant. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd. De tweede gebruikte methode is het gebruik van AutoRun. Via deze functionaliteit kan software op bijvoorbeeld usb-sticks automatisch worden gestart zodra het apparaat wordt aangesloten. Jaren geleden werd AutoRun op grote schaal gebruikt voor de verspreiding van malware via usb-sticks. Microsoft besloot daarop de functionaliteit te beperken, zodat die standaard niet voor usb-sticks werkt. Veel bedrijven schakelen AutoRun echter in voor usb-sticks, zo claimt Microsoft. Eenmaal actief voegt Raspberry Robin een registersleutel toe zodat de malware bij elke start van het systeem wordt geladen. Vervolgens kan de usb-worm aanvullende malware installeren. Ook gebruiken ransomwaregroepen de toegang die Raspberry Robin biedt om vervolgens binnen de getroffen organisatie ransomware uit te rollen. Zo hebben verschillende infecties met de usb-worm geleid tot besmettingen met de beruchte Clop-ransomware. Om de dreiging tegen te gaan adviseert Microsoft om AutoRun niet voor usb-sticks en andere schijven in te schakelen en onvertrouwde en ongesigneerde processen vanaf usb-sticks te blokkeren. bron: https://www.security.nl

Het Tor Project heeft wegens een probleem met een belangrijk onderdeel van Tor Browser waardoor sommige gebruikers geen verbinding meer met het netwerk kunnen maken een noodupdate voor de browser uitgebracht. Het probleem doet zich voor bij gebruikers die van "Snowflake" afhankelijk zijn voor het omzeilen van overheidscensuur. Snowflake is een "pluggable transport" die een combinatie gebruikt van domain fronting en peer-to-peer WebRTC-verbindingen tussen vrijwilligers en Tor-gebruikers om zo internetcensuur te omzeilen. Dagelijks maken meer dan 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. In sommige landen waar internetcensuur heerst kunnen providers het Tor-verkeer blokkeren. Als oplossing beschikt Tor Browser over pluggable transports. Daarbij wordt het Tor-verkeer omgevormd tot onschuldig lijkend verkeer. Op deze manier zien partijen die het verkeer monitoren niets verdachts en kunnen gebruikers toch van het Tor-netwerk gebruik maken. Snowflake zorgt ervoor dat Tor-gebruikers in landen met internetcensuur via de browser van een vrijwilliger in een ander land verbinding kunnen maken met het Tor-netwerk. Het enige wat vrijwilligers hoeven te doen is het installeren van een Chrome- of Firefox-extensie. Vrijwilligers hoeven zich volgens het Tor Project ook geen zorgen te maken over welke websites mensen via hun proxy bezoeken, aangezien het zichtbare ip-adres het ip-adres van de exitnode is en niet dat van de vrijwilliger. Met de lancering van Tor Browser 11.5.5 afgelopen dinsdag werd Snowflake verder geïntegreerd in de browser. De voor Snowflake gebruikte parameters bleken bij deze integratie te lang, waardoor Tor Browser dacht dat er geen pluggable transport was ingesteld. Gebruikers die hiervan afhankelijk zijn om verbinding met het Tor-netwerk te maken kregen dan ook geen verbinding. Het Tor Project is nu met een "emergency release" gekomen om het probleem te verhelpen. Gebruikers wordt dan ook aangeraden om te updaten naar Tor Browser 11.5.6. bron: https://www.security.nl

Microsoft heeft het probleem met de driver-blocklist voor Windows 10 verholpen, nadat eerder bekend was geworden dat die al drie jaar lang niet automatisch op systemen werd bijgewerkt. Het afgelopen jaar zijn er verschillende aanvallen waargenomen waarbij aanvallers een kwetsbare driver op het aangevallen systeem installeren. Via de kwetsbaarheid in de driver kunnen de aanvallers hun rechten verder verhogen en bijvoorbeeld beveiligingssoftware uitschakelen. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Om Windowscomputers tegen kwetsbare drivers te beschermen zijn Windows 10, 11 en Server 2016 en nieuwer voorzien van een blocklist die via Windows Update wordt bijgewerkt. Op de lijst staan kwetsbare drivers die Windows niet zal laden. Het automatisch bijwerken van de lijst is op Windows 10 is echter drie jaar lang niet gebeurd, zo ontdekte beveiligingsonderzoeker Will Dormann. Meer dan een maand sinds Dormann via Twitter aan de bel trok is Microsoft nu met een update gekomen die het probleem verhelpt voor Windows 10-machines waarop Hypervisor-protected Code Integrity (HVCI) is ingeschakeld of die Windows in de S-mode draaien. Voor Windows 11 staat de blocklist na installatie van de 2022 Update op alle systemen ingeschakeld. Gebruikers kunnen de blocklist op zowel Windows 10 als Windows 11 uitschakelen. bron: https://www.security.nl

Mozilla overweegt om eind augustus 2023 de ondersteuning van Firefox op Windows 7 te stoppen. De browser zal dan geen beveiligingsupdates meer ontvangen. Veel Firefox-gebruikers maken echter nog gebruik van Windows 7, een definitieve beslissing is dan ook nog niet genomen. Eerder deze week liet Google weten dat het volgend jaar februari de ondersteuning van Chrome op Windows 7 en Windows 8.1 stopt. Microsoft stopt zelf op 10 januari 2023 met de support van Windows 7 Extended Security Update (ESU) en Windows 8.1. Al drie jaar geleden werd er binnen Mozilla gesproken om de support voor Windows 7 te stoppen, waarvan de standaardondersteuning door Microsoft op 14 januari 2020 eindigde. Lange tijd kreeg het onderwerp echter geen aandacht bij de Firefox-ontwikkelaar, tot de aankondiging van Google deze week. Mozilla lijkt nu op twee gedachten te hinken. De eerste optie is om net als Microsoft en Google de Windows 7-support begin volgend jaar te stoppen. De andere mogelijkheid is anders eind augustus, aangezien dit samenvalt met het einde van de support voor Firefox ESR 115. Een dergelijke maatregel kan grote gevolgen voor Firefox hebben. Op dit moment werkt bijna zestien procent van alle Firefox-gebruikers namelijk met Windows 7. Volgens Mozilla-engineer Joel Maher zal het dan ook een "productbeslissing" zijn. bron: https://www.security.nl

OpenSSL zal volgende week voor de tweede keer sinds het bestaan van de software met een beveiligingsupdate voor een kritieke kwetsbaarheid komen. De vorige keer was in september 2016. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen. Via kritieke kwetsbaarheden, een categorie die sinds 28 september 2015 door OpenSSL wordt gehanteerd, kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug uit 2014 eerder aangetoond. Via dit lek werd informatie uit het geheugen van webservers gestolen, waaronder privésleuteld die voor TLS-certificaten worden gebruikt. Ook werd de kwetsbaarheid ingezet bij aanvallen tegen vpn-servers. Het OpenSSL Project Team heeft vandaag aangekondigd dat op dinsdag 1 november een beveiligingsupdate verschijnt voor een kritieke kwetsbaarheid in OpenSSL 3.x. De patch zal tussen 14.00 en 18.00 uur verschijnen. Voor OpenSSL versie 1.1.x is geen beveiligingsupdate aangekondigd. bron: https://www.security.nl

Twee kwetsbaarheden in Cisco AnyConnect Secure Mobility Client waarvoor meer dan twee jaar geleden updates verschenen worden actief misbruikt, zo laat Cisco vandaag weten. De AnyConnect Secure Mobility Client is vpn-software waarmee gebruikers verbinding met een vpn-server kunnen maken. Op 19 februari 2020 en 5 augustus 2020 kwam Cisco met beveiligingsupdates voor de vpn-software. Aanleiding waren twee kwetsbaarheden (CVE-2020-3153 en CVE-2020-3433) die een "DLL hijacking attack" mogelijk maken. Een aanvaller die al toegang tot een systeem heeft kan via dergelijke aanvallen software op het systeem een kwaadaardig DLL-bestand laten laden dat met verhoogde rechten wordt uitgevoerd. In het geval van de kwetsbaarheden in de Cisco vpn-software kan een aanvaller zo systeemrechten krijgen en het systeem volledig overnemen. De beveiligingslekken mogen dan meer dan twee jaar oud zijn, deze maand ontdekte Cisco zelf dat er misbruik van wordt gemaakt. Het netwerkbedrijf roept klanten dan ook om de beschikbaar gemaakte beveiligingsupdates te installeren. bron: https://www.security.nl

Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, heeft een waarschuwing gegeven voor vier oude kwetsbaarheden in drivers van moederbordfabrikant Gigabyte waarmee lokale aanvallers volledige controle over systemen kunnen krijgen. Begin dit jaar meldde antivirusbedrijf Sophos al dat één van de kwetsbaarheden bij ransomware-aanvallen werd gebruikt. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, om zo beveiligingssoftware uit te zetten. De afgelopen maanden bleken aanvallers onder andere een anti-cheatdriver van de videogame Genshin Impact en drivers van antivirusbedrijf Avast en MSI AfterBurner bij ransomware-aanvallen te hebben gebruikt voor het neutraliseren van antivirussoftware. Nu waarschuwt het CISA ook voor misbruik van Gigabyte-drivers. Details over de aanvallen zelf zijn niet gegeven. De vier kwetsbaarheden (CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 en CVE-2018-19323) werden in 2018 gerapporteerd. Destijds ontkende Gigabyte dat de eigen producten kwetsbaar waren, maar kwam daar later op terug. Zodra aanvallers toegang tot een systeem hebben installeren ze de drivers om hun rechten te verhogen. Het CISA verzoekt nu federale overheidsinstanties die van de betreffende drivers gebruikmaken om de beveiligingsupdates hiervoor te installeren. Die werden op 18 mei 2020 door Gigabyte uitgebracht. bron: https://www.security.nl

Op Chromium-gebaseerde browsers kunnen het lokale ip-adres van gebruikers lekken, wat bijvoorbeeld is te gebruiken voor het fingerprinten van gebruikers. De informatie is te achterhalen door middel van WebRTC, een door Google ontwikkeld opensourceproject dat browsers van Real-Time Communicatie (RTC) voorziet, zoals online video. De meeste browsers proberen het lokale ip-adres van de gebruiker te verbergen, zodat dit niet direct zichtbaar is via websites als browserleaks.com. Via een onderdeel van WebRTC is het echter mogelijk om deze informatie alsnog te achterhalen. Een webontwikkelaar heeft nu de "WebRTC Local IP Leak Test" gemaakt, een script dat het adres voor lokale ip-reeksen weergeeft. Via fingerprinting wordt er informatie over de systeemconfiguratie van internetgebruikers verzameld. Doordat deze configuratie uniek kan zijn, zijn gebruikers ook zonder ip-adres of cookies te volgen. Hoe meer informatie er kan worden verzameld, des te nauwkeuriger de fingerprint. bron: https://www.security.nl

Vanaf volgend jaar februari zullen gebruikers van Google Chrome op Windows 7 en 8.1 geen beveiligingsupdates meer ontvangen. De support van de browser op beide besturingssystemen wordt dan stopgezet. Dat heeft Google bekendgemaakt. "Met de release van Chrome 110, gepland voor 7 februari 2023, zullen we officieel de ondersteuning voor Windows 7 en Windows 8.1 stoppen", aldus Google. Vanaf dan zal Chrome voor Windowsgebruikers alleen nog op Windows 10 en nieuwer worden ondersteund. Microsoft stopt zelf op 10 januari 2023 met de support van Windows 7 Extended Security Update (ESU) en Windows 8.1. Google stelt dat oudere Chrome-versies blijven werken, maar er geen nieuwe updates voor gebruikers van deze besturingssystemen zullen verschijnen. Het techbedrijf roept gebruikers van Windows 7 en 8.1 op om naar een wel ondersteunde Windows-versie te upgraden, om zo ook de nieuwste beveiligingsupdates en features voor Google Chrome te blijven ontvangen. Volgens cijfers van StatCounter draait vijf procent van de Windowscomputers in Nederland nog op Windows 7, gevolgd door Windows 8.1 met 2,3 procent. bron: https://www.security.nl

Een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet is door middel van een ongeldige handtekening te omzeilen. Dat ontdekte beveiligingsonderzoeker Will Dormann. Aanvallers maken actief misbruik van probleem om systemen met ransomware te infecteren. Mark-of-the-Web (MOTW) zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. Onlangs lieten onderzoekers van HP Wolf Security weten dat eindgebruikers via nep-updates met de Magniber-ransomware werden geïnfecteerd. De zogenaamde software-update wordt vanaf malafide websites aangeboden. Het gaat om een zip-bestand waarin een JavaScript-bestand zit. Normaliter zouden gebruikers een waarschuwing te zien moeten krijgen dat ze een bestand openen dat van het internet afkomstig is. De waarschuwing verschijnt echter niet, wat komt doordat er een digitale handtekening aan het bestand is toegevoegd. Het is mogelijk om bestanden digitaal te signeren. Daardoor weten gebruikers van wie het bestand afkomstig is en dat de code sinds de publicatie niet is aangepast. Dormann deed verder onderzoek naar het malafide bestand en zag dat er een ongeldige handtekening was gebruikt die ervoor zorgt dat Windows de MOTW-waarschuwing niet toont. "Alsof het bestand geen Mark-of-the-Web heeft", zo laat hij via Twitter weten. Daardoor krijgen gebruikers bij het openen van het script geen waarschuwing en wordt de ransomware vervolgens geïnstalleerd. Dormman vermoedt dat het probleem wordt veroorzaakt door de SmartScreen-controle die aanwezig is in Windows 10 en nieuwer. Wanneer gebruikers de controle van apps en bestanden door SmartScreen uitschakelen verschijnt er wel een melding. Microsoft is over het probleem ingelicht en zou een onderzoek zijn gestart. bron: https://www.security.nl

Ik ben geen Mac-kenner, maar heb dit al eens een keer gehad met een gewone pc. Omdraaien van de HDMI-kabel loste toen het probleem op. Klinkt vreemd, maar wie weet...

Als ik het goed begrijp wil je gewoon je muziek vanaf je gsm via je versterker kunnen beluisteren. Ik gebruik hiervoor een eenvoudige Wireless Audio Adapter. Deze kun je al voor weinig krijgen. Linkje als voorbeeld staat hieronder. De foto laat zien hoe ik hem in mijn studio heb. Link: Wifi Audio Adapter

Wanneer het probleem hardwarematig zou zijn, zou schommeling in temperatuur van de print ervoor kunne zorgen dat een contact niet meer goed werkt. Maar wanneer jouw "oplossing" het probleem weg houdt, denk ik toch eerder aan wat Passer aangeeft: kijk eens naar je drivers. Volgens mij zit daar een conflict.

Gisteren was het Global Encryption Day en de dag is door het Tor Project aangegrepen om end-to-end encryptie als standaard voor privéberichten op alle platforms te eisen. Het Tor Project is de organisatie achter het Tor-netwerk en Tor-browser, die dagelijks door 2,5 miljoen mensen worden gebruikt voor het beschermen van hun privacy en bezoeken van gecensureerde websites. Iets dat volgens het Tor Project alleen mogelijk is dankzij encryptie. De organisatie stelt dat veilige, versleutelde communicatie nu belangrijker is dan ooit. Gesprekken die de ene dag normaal zijn, kunnen de volgende dag illegale content bevatten, zo stelt Al Smith van het Tor Project. Er zijn echter platforms waarbij privéberichten niets standaard end-to-end versleuteld zijn. Iets dat wel zou moeten, merkt Smith op. Hij wijst naar Facebook, dat eerder dit jaar privéberichten tussen een moeder en haar dochter met de politie deelde. "Zonder end-to-end encryptie kunnen onze online levens worden gehackt, gedeeld met de politie of zelfs bekeken door enge bedrijfsmedewerkers", gaat Smith verder. Daarom heeft het Tor Project naar eigen zeggen Global Encryption Day aangegrepen om te eisen dat Big Tech privéberichten van end-to-end encryptie voorziet. Niet als verborgen feature, maar als standaardinstelling. "Bedrijven als Meta, Twitter, Apple, Google, Slack, Discord en alle diensten met chatfeatures moeten end-to-end encryptie meteen aan hun chatdiensten toevoegen." Daarnaast is digitale rechtenbeweging Fight for the Future een online petitie gestart die techbedrijven oproept om privéberichten end-to-end te versleutelen. bron: https://www.security.nl

NAS-apparaten van fabrikant Synology zijn via drie kritieke kwetsbaarheden op afstand over te nemen. Misbruik van de beveiligingslekken is eenvoudig en vereist geen interactie van gebruikers. Synology heeft updates uitgebracht om de problemen te verhelpen. De impact van de drie beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Door het versturen van een speciaal geprepareerd pakket kan een aanvaller willekeurige commando's op het NAS-apparaat uitvoeren. Het probleem speelt bij drie NAS-apparaten: DS3622xs+, FS3410 en HD6500. De kwetsbaarheden (CVE-2022-27624, CVE-2022-27625 en CVE-2022-27626), die Synology zelf ontdekte, zijn verholpen in DiskStation Manager (DSM) versie 7.1.1-42962-2 en nieuwer. Het afgelopen jaar zijn met name NAS-apparaten van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Vorig jaar augustus werd echter ook een exemplaar ontdekt dat Synology-systemen infecteerde. bron: https://www.security.nl