Captain Kirk

Nog een maand en dan zal Microsoft beginnen met het uitschakelen van Basic Authentication in Exchange Online, maar veel organisaties zijn hier nog niet op voorbereid. Het zal dan niet meer mogelijk zijn voor klanten om met een gebruikersnaam en wachtwoord via protocollen zoals POP en IMAP op hun mailaccounts in te loggen. Volgens Microsoft is Basic Authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen. Vanaf 1 oktober zal Microsoft willekeurig klanten kiezen waarbij het Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell uitzet. Klanten worden hier zeven dagen van tevoren over ingelicht en op de dag dat de aanpassing plaatsvindt. Microsoft claimt dat inmiddels miljoenen klanten geen gebruik meer van Basic Auth maken, maar de standaard nog altijd wel in gebruik is. Veel klanten zijn daarnaast niet voorbereid op de komende aanpassing, gaat Microsoft verder. Het techbedrijf heeft de afgelopen jaren via blogpostings, tweets, presentaties, video's en andere manieren geprobeerd om klanten voor te bereiden. Toch zijn er volgens Microsoft nog steeds klanten die geen idee hebben dat Basic Auth wordt uitgeschakeld of dit wel weten, maar geen actie hebben ondernomen. Het kan zeer grote gevolgen voor organisaties hebben als personeel niet meer kan e-mailen. Daarom biedt Microsoft een optie waarbij klanten Basic Auth via een diagnostische tool weer zelf kunnen inschakelen. Basic Auth blijft dan tot eind december van dit jaar werken. In de eerste week van 2023 wordt de standaard permanent uitgeschakeld en is het gebruik van Basic Auth niet meer mogelijk. bron: https://www.security.nl

De populaire website Neopets, waar spelers met virtuele dieren kunnen spelen, heeft meer details gegeven over het datalek waarbij de gegevens van 69 miljoen accounts werden gestolen. Zo zijn van miljoenen spelers niet-gehashte wachtwoorden buitgemaakt. Op 21 juli waarschuwde Neopets dat er mogelijk klantgegevens waren gestolen. De data werd op internet te koop aangeboden. In een update over het incident laat de ontwikkelaar weten dat de aanvaller toegang had tot namen, e-mailadressen, gebruikersnamen, geboortedata, geslacht, ip-adressen, Neopets PIN, gehashte wachtwoorden en data over het dier van de speler. Voor mensen die voor 2015 een Neopets-account hadden zijn ook niet-gehashte, inactieve wachtwoorden buitgemaakt. Waarom het bedrijf oude niet-gehashte wachtwoorden van gebruikers bewaarde laat Neopets niet weten. Neopets werd in 1999 gelanceerd en had in 2016 meer dan negentig miljoen spelers. In dat jaar kreeg de website ook al met een datalek te maken. De nu gestolen data zou tussen 3 januari 2021 en 19 juli 2022 zijn gedownload, wat inhoudt dat de aanvaller lange tijd toegang tot de systemen van Neopets had. Vanwege het datalek is besloten de wachtwoorden van gebruikers te resetten en wordt er gewerkt aan het toevoegen van multifactorauthenticatie. bron: https://www.security.nl

De ontwikkelaars van de populaire e-mailclient Thunderbird waarschuwen voor een kwetsbaarheid waardoor aanvallers gevoelige informatie kunnen stelen, zoals de inhoud van e-mails. Gebruikers worden opgeroepen om de beschikbaar gestelde update zo snel mogelijk te installeren. Het komt zelden voor dat Thunderbird een dergelijke waarschuwing aan gebruikers geeft. Het lekken van gevoelige informatie (CVE-2022-3033) is volgens Thunderbird mogelijk wanneer gebruikers op een speciaal geprepareerde html-mail reageren, ook wanneer de e-mailclient staat ingesteld om remote content te blokkeren. Bij het antwoord op een dergelijke e-mail kan er JavaScript in de context van opgestelde berichten worden uitgevoerd. Zo zou een aanvaller verschillende acties kunnen uitvoeren, waaronder het lezen of aanpassen van de inhoud van het bericht. Het zou hierbij om ontsleutelde tekst van een versleutelde mail kunnen gaan. Daarbij zou de inhoud vervolgens naar een opgegeven server kunnen worden verstuurd. Het probleem doet zich niet voor bij gebruikers die voor de weergave van berichten "plain text" of "simple html" gebruiken. Alle gebruikers worden aangeraden om te updaten naar Thunderbird 102.2.1 bron: https://www.security.nl

Onderzoekers hebben in de Chrome Web Store verschillende malafide extensies ontdekt die bij gebruikers cookies van webwinkels aanpassen om zo onopgemerkt geld te verdienen, zo meldt antivirusbedrijf McAfee. De extensies, Netflix Party, Netflix Party 2, FlipShope Price Tracker Extension, Full Page Screenshot Capture Screenshotting en AutoBuy Flash Sales bieden verschillende featuers, zoals het samen kijken van Netflix of maken van screenshots van websites. De extensies bieden de beoogde functionaliteit maar monitoren ook de websites die gebruikers bezoeken. Elke bezochte website wordt doorgegeven aan de extensie-ontwikkelaars. Wanneer gebruikers een webwinkel bezoeken wijzigt de extensie het webshop-cookie en voorzien van een partner-ID. Veel webwinkels werken samen met partners, zoals blogs en websites. Zodra die mensen doorsturen die een product aanschaffen krijgen ze commissie. De betreffende extensies, die bij elkaar 1,4 miljoen gebruikers hebben, zijn nog steeds in de Chome Web Store te vinden. McAfee adviseert bij de installatie van browser-extensies goed op te letten, mede op de gevraagde permissies. Zo vraagt de Netflix Party-extensie om alle data op bezochte websites te kunnen lezen en aan te passen. bron: https://www.security.nl

Er is een nieuwe versie van Internet.nl verschenen die het nu ook mogelijk maakt om ip-adressen van webservers en mailservers op Resource Public Key Infrastructure (RPKI) te testen. Het routeren van internetverkeer vindt plaats via allerlei netwerken wat op basis van wederzijds vertrouwen gebeurt. Elke partij vertrouwt dat de route die wordt gebruikt voor het versturen van informatie veilig is, klopt en niet voor malafide doeleinden wordt aangepast. Dit model is echter kwetsbaar voor misbruik en aanvallen, maar ook een simpele typefout van een netwerkbeheerder kan ervoor zorgen dat internetverkeer wordt omgeleid. Met cryptografisch verifieerbare statements zorgt RPKI ervoor dat netwerkproviders de keten kunnen valideren. Deze verklaringen, genaamd Route Origin Authorisations (ROA’s), kunnen andere netwerkbeheerders cryptografisch valideren en vervolgens gebruiken om filters in te stellen. Bij RPKI zijn twee partijen actief betrokken. Ten eerste moet de houder van de ip-adressen ROA’s publiceren. Ten tweede moet de partij die via Border Gateway Protocol (BGP) routes van andere netwerken ontvangt op basis van alle wereldwijd gepubliceerde ROA’s filteren, waarbij invalide routes nooit geaccepteerd of geadverteerd mogen worden. De nieuwe RPKI-test van Internet.nl test alle ip-adressen die horen bij de webserver, mailservers en nameservers van een domein. Eerst wordt per ip-adres gecontroleerd of er tenminste één ROA is gepubliceerd. Vervolgens checkt de test of de route-aankondiging van ieder ip-adres wordt gematcht door de eventueel gevonden ROA. Later dit jaar zal de RPKI-test ook worden toegevoegd aan de API en het dashboard van Internet.nl. Het grootste deel van de RPKI-test is ontwikkeld door het Nationaal Cyber Security Centrum (NCSC). Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet toegankelijker, veiliger en betrouwbaarder te maken. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die meerdere kwetsbaarheden in de browser verhelpt, waaronder een kritiek beveiligingslek dat het mogelijk voor een aanvaller maakt om in het ergste geval het onderliggende systeem over te nemen. Alleen het bezoeken van een gecompromitteerde of malafide websites of bekijken van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. De kwetsbaarheid, aangeduid als CVE-2022-3038, bevindt zich in de Network Service van Chrome. Een onderdeel dat de netwerkfunctionaliteit van de browser regelt. Beveiligingsonderzoeker Sergei Glazunov van Google Project Zero ontdekte een "use after free" in de code waardoor een aanvaller code op het systeem van gebruikers kan uitvoeren. In tegenstelling tot voorgaande jaren is er dit jaar al een recordaantal kritieke kwetsbaarheden in de browser gevonden. De teller staat nu op zes. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt 105.0.5195.52 23 andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Google schaadt adblockers met nieuwe extensie-regels voor Chrome, zo stelt de ontwikkelaar van adblocker AdGuard. De nieuwe regels raken de effectiviteit van adblockers, de gebruikerservaring en mogelijkheid om zelf nieuwe filters te maken, stelt Dmitriy Seregin van AdGuard. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Binnenkort zal versie drie (V3) van het manifest van kracht worden. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API in Manifest V3 voorgesteld genaamd declarativeNetRequest (DNR). Die zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Voor statische regels hanteert Chrome in Manifest V3 een limiet van 30.000 regels per extensie en een totale limiet van 330.000 regels voor alle geïnstalleerde extensies bij elkaar. In het geval de limiet wordt overschreden zal Chrome ingrijpen en bepaalde regels, waarin staat welke url's van adverteerders en trackers te filteren, aanpassen. In het ergste geval kan zelfs het standaardfilter worden uitgeschakeld omdat het meer dan 30.000 regels bevat, merkt Seregin op. Voor dynamische regels, waarmee de gebruiker zijn eigen regels en filters kan toevoegen, geldt een limiet van vijfduizend. Wanneer deze limiet wordt overschreden zal de adblocker alleen de eerste vijfduizend regels toepassen en blijft de rest uitgeschakeld. "De beperkingen van Manifest V3 schaden niet alleen de filterkwaliteit en gebruikerservaring, maar ook de community van filterontwikkelaars. Voorheen kon iedereen zelf een filter ontwikkelen, en gedurende de tijd kon zo'n filter populair worden en op de lijst van aanbevolen adblockers komen. Nu is dit veel lastiger geworden", gaat Seregin verder. AdGuard heeft nu een experimentele V3-versie van de eigen adblocker uitgebracht. Die is volgens Seregin niet zo effectief als zijn voorgangers, maar de meeste gebruikers zouden dit volgen de ontwikkelaar niet moeten merken. bron: https://www.security.nl

WordPress, het platform waar 43 procent van alle websites op draait, heeft een beveiligingsupdate uitgebracht die meerdere beveiligingslekken verhelpt, waaronder een SQL-injection kwetsbaarheid. Het beveiligingslek bevindt zich in de WordPress Link-functionaliteit, die eerder nog bekendstond als "Bookmarks". Deze functionaliteit staat bij nieuwere WordPress-installaties niet meer standaard ingeschakeld. Bij oudere installaties is dat wel het geval, waardoor mogelijk miljoenen websites risico lopen, zo waarschuwt securitybedrijf Wordfence. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen, of juist kwaadaardige code toe te voegen. Om misbruik van het lek te maken, dat nog geen CVE-nummer heeft, moet een aanvaller over adminrechten beschikken, hoewel misbruik ook via third-party plug-ins of themes mogelijk is, waardoor een aanvaller over minder hoge rechten hoeft te beschikken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.0. Eigenaren van een WordPress-site worden aangeraden om te updaten naar WordPress 6.0.2, wat op websites met automatische updates automatisch zal plaatsvinden. bron: https://www.security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen die het eenvoudiger voor gebruikers moet maken om zich voor wifi-netwerken aan te melden. Daarnaast zijn er maatregelen doorgevoerd om de beveiliging van de Linux-kernel te versterken en is de support van nieuwere hardware verbeterd. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. Om de standaard meegeleverde Tor Browser te kunnen gebruiken moet er eerst verbinding met internet zijn. Dit kan een probleem zijn wanneer iemand op een wifi-netwerk wil inloggen waarbij er eerst met de voorwaarden akkoord moet worden gegaan, een zogenoemde captive portal. Voor deze situatie beschikt Tails ook over een "Unsafe Browser" die standaard staat uitgeschakeld omdat die niet anoniem is en gebruikt kan worden om de gebruiker te de-anonimiseren. De Unsafe Browser maakte standaard gebruik van de HTTPS-only Mode van Firefox, zodat er standaard alleen https-sites worden bezocht. In het geval een captive portal van http gebruikmaakt moet een gebruiker allerlei extra handelingen uitvoeren om toch verbinding met het wifi-netwerk te maken. Daarom hebben de Tails-ontwikkelaars besloten om in Tails 5.4 de HTTPS-only Mode in de Unsafe Browser uit te schakelen. Verder zijn er verschillende beveiligingsopties voor de gebruikte Linux-kernel ingeschakeld, die het lastiger voor aanvallers moeten maken om kwetsbaarheden in de software te misbruiken, en is de support van nieuwere hardware verbeterd, waaronder videokaarten en wifi-chipsets. Tails 5.4 is beschikbaar als automatische upgrade of als download via Tails.boum.org. bron: https://www.security.nl

Nieuw beleid van Google dat vanaf 1 november van kracht wordt zorgt ervoor dat vpn-gebaseerde adblockers straks niet meer in de Play Store zijn toegestaan, zo stelt adblocker Blokada. Recentelijk kondigde Google nieuw beleid aan waar Android-apps in de Google Play Store aan moeten voldoen. Eén van de nieuwe voorwaarden betreft het gebruik van de VPNService door apps en daar maken ontwikkelaars van vpn-gebaseerde adblockers zich zorgen over. Naast de normale adblockers die in de browser draaien zijn er ook vpn-gebaseerde adblockers die advertenties en trackers voor alle apps en browsers op het toestel blokkeren. Dit komt omdat het verkeer van de gebruiker lokaal via de vpn wordt gefilterd. Die kan zo al het verkeer naar advertentie- en trackingbedrijven blokkeren. Deze vpn-gebaseerde adblockers maken voor hun vpn-oplossing gebruik van de VpnService. Vanaf 1 november gaan er voor het gebruik van de VpnService nieuwe voorwaarden gelden. Eén van de voorwaarden stelt dat de VpnService niet mag worden gebruikt voor het genereren van inkomsten door verkeer van andere apps door te sturen of manipuleren. Daarnaast is het straks niet meer toegestaan om advertenties te manipuleren zodat het verdienmodel van apps wordt geraakt. "Dit beleid geldt ook voor apps die de service gebruiken om verkeer lokaal op het toestel te filteren. Apps zoals Blokada v5 en DuckDuckGo", zegt Reda Labdaoui van adblocker Blokada. "Dit kan betekenen dat Google achter de schermen bezig is om vpn-gebaseerde tracker- en adblockers aan te pakken." Labdaoui merkt op dat Blokada vaker door Google uit de Play Store is verwijderd. bron: https://www.security.nl

Onderzoekers hebben op 25.000 WordPress ruim 47.000 malafide plug-ins aangetroffen die aanvallers onder andere volledige controle over de website geven. 94 procent van de malafide plug-ins die over een periode van acht jaar werd gevonden is vandaag de dag nog steeds op de betreffende WordPress-sites actief. Dat stellen onderzoekes van het Georgia Institute of Technology (pdf). Voor het onderzoek werden van 2012 tot en met 2020 WordPress-sites op meer dan vierhonderdduizend webservers geanalyseerd. Het gaat om webservers van back-upprovider CodeGuard die aan het onderzoek meewerkte. WordPress biedt gebruikers een groot aantal plug-ins en themes voor de ontwikkeling van hun website. Er is een hele industrie ontstaan van themes- en plug-in-ontwikkelaars die zowel gratis als betaalde producten aanbieden. Betaalde plug-ins worden ook "gratis" op internet aangeboden, maar zijn dan geregeld van malware voorzien. Ook komt het voor dat aanvallers zelf malafide plug-ins aanbieden die door nietsvermoeden gebruikers worden geïnstalleerd. Zo vonden de onderzoekers 3700 malafide plug-ins die op legitieme marktplaatsen werden verkocht. In totaal troffen de onderzoekers in de dataset ruim 47.000 malafide plug-ins op 25.000 WordPress-sites aan, waarvan 94 procent nog altijd actief is. Het ging onder andere om webshells en backdoors waarmee de aanvallers toegang tot de gecompromitteerde website behouden, maar ook plug-ins voor het tonen van malafide advertenties en doorsturen van bezoekers naar malafide websites. Ook komt het voor dat een malafide plug-in andere geïnstalleerde plug-ins infecteert. Verder stellen de onderzoekers dat slechts tien procent van de webmasters heeft geprobeerd om de malafide plug-ins te verwijderen, en daarvan werd 12,5 procent opnieuw geïnfecteerd. De onderzoekers presenteerden hun bevindingen eerder deze maand tijdens het USENIX Security Symposium in Boston. bron: https://www.security.nl

Atlassian heeft een kritieke kwetsbaarheid in Bitbucket Server en Bitbucket Data Center verholpen waardoor een aanvaller door het versturen van een malafide http-request willekeurige code op de server kan uitvoeren. De 17-jarige beveiligingsonderzoeker die de kwetsbaarheid ontdekte maakt binnenkort proof-of-concept exploitcode openbaar. Bitbucket Server en Data Center zijn oplossingen voor softwareontwikkeling. Via de platformen kunnen meerdere ontwikkelaars aan een softwareproject werken. Het is mogelijk om een eigen server te hosten of een cloudversie van Atlassian te gebruiken. Een kwetsbaarheid in de zelf gehoste versies, aangeduid als CVE-2022-36804, maakt het mogelijk voor een aanvaller met toegang tot een publieke repository of met leesrechten voor een private Bitbucket-repository om willekeurige code uit te voeren. Volgens Atlassian gaat het om een kritieke kwetsbaarheid. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Het probleem werd gevonden door onderzoeker Max Garrett. Hij laat weten binnenkort proof-of-concept exploitcode voor de kwetsbaarheid openbaar te maken. Organisaties worden dan ook aangeraden om hun installaties te updaten. bron: https://www.security.nl

Aanvallers maken actief misbruik van Log4j-kwetsbaarheden in helpdesksoftware SysAid om organisaties aan te vallen, zo meldt Microsoft. SysAid biedt software voor helpdesks en it-servicemanagement. Via de software kunnen helpdesks onder andere toegang krijgen tot systemen van medewerkers binnen de organisatie. Net als allerlei andere software maken ook de producten van SysAid gebruik van de Log4j-library waarin eind 2021 een ernstige kwetsbaarheid werd ontdekt. Voor organisaties die de SysAid-software zelf hosten kwam SysAid met verschillende beveiligingsupdates. Aanvallers maken nu gebruik van Log4j-kwetsbaarheden in de SysAid-software voor het aanvallen van Israëlische organisaties, aldus Microsoft. Zodra er toegang tot de server is gekregen installeren de aanvallers een webshell om toegang te behouden, stelen inloggegevens en bewegen zich via zelfontwikkelde en bekende hackingtools, alsmede in het besturingssysteem ingebouwde tools, lateraal door het netwerk van de organisatie. Volgens Microsoft zijn de aanvallen zeer waarschijnlijk uitgevoerd door een statelijke actor gelieerd aan het Iraanse ministerie van Inlichtingen en Veiligheid. De betreffende groep, door Microsoft "Mercury" genoemd die ook bekendstaat als MuddyWater, heeft in het verleden vaker gebruikgemaakt van Log4j-kwetsbaarheden in VMware. Het is echter voor het eerst dat de software van SysAid op de korrel wordt genomen. Microsoft adviseert organisaties die van SysAid gebruikmaken om de beschikbaar gestelde beveiligingsupdates te installeren mocht dat nog niet zijn gedaan. Het techbedrijf heeft ook Indicators of Compromise gepubliceerd, waaronder ip-adressen waar de aanvallers gebruik van maken. Organisaties zouden deze adressen moeten blokkeren, aldus Microsoft. Verder wordt aangeraden om multifactorauthenticatie voor alle remote accounts in te stellen. bron: https://www.security.nl

Aanvallers hebben toegang gehad tot de systemen van wachtwoordmanager LastPass en daar broncode buitgemaakt, zo heeft het bedrijf laten weten. Volgens LastPass zijn er geen aanwijzingen dat de aanvallers toegang tot gegevens van klanten of hun wachtwoordkluizen hebben gekregen. LastPass biedt een wachtwoordmanager die gebruikers hun wachtwoorden in de cloud laat opslaan. Twee weken geleden detecteerde LastPass naar eigen zeggen "ongewone activiteiten" in de ontwikkelomgeving. Een aanvaller had via het account van een LastPass-ontwikkelaar toegang tot de systemen gekregen en vervolgens broncode en vertrouwelijke technische informatie gestolen. Hoe de aanvaller precies toegang tot het account heeft gekregen laat LastPass niet weten. Wel zegt het bedrijf dat het naar technieken gaat kijken om de beveiliging van de eigen omgeving te versterken. Wat betreft de gevolgen van de aanval stelt LastPass dat gebruikers vooralsnog geen verdere actie hoeven te ondernemen. bron: https://www.security.nl

De op privacy gerichte zoekmachine DuckDuckGo is vandaag een open bètatest gestart van een nieuwe gratis forwardingdienst die trackers uit e-mails verwijdert. Veel e-mails zijn tegenwoordig voorzien van pixels, scripts en andere code om zo ontvangers van het bericht te volgen. Zo weet de afzender wanneer iemand bijvoorbeeld een link in de e-mail heeft geopend. DuckDuckGo Email Protection voorziet gebruikers van een duck.com e-mailadres. Gebruikers kunnen dit adres opgeven bij het registreren voor nieuwsbrieven of aanmaken van accounts. Alle e-mail voor dit adres wordt gestript van trackers en daarna doorgestuurd naar het echte e-mailadres van de gebruiker. Daarbij biedt DuckDuckGo Email Protection twee soorten e-mailadressen. Het eerste adres is een persoonlijk Duck.com e-mailadres. De tweede optie is een willekeurig gegenereerd Duck.com adres. DuckDuckGo detecteert automatisch e-mailvelden op een website en zal vervolgens een willekeurig adres genereren, dat net als bij het persoonlijke Duck.com adres berichten naar het echte e-mailadres doorstuurt. Door willekeurige adressen te gebruiken wordt het lastiger voor bedrijven om gebruikers te volgen, aangezien die steeds over een uniek adres beschikken. Wie zich voor de dienst wil inschrijven kan dit doen via de DuckDuckGo-app voor Android en iOS, de DuckDuckGo-browserextensie of de DuckDuckGo-browser voor macOS. DuckDuckGo was al een besloten bètatest gestart. 85 procent van deelnemers van deze test ontving e-mails met verborgen trackers die voor het maken van gebruikersprofielen zijn te gebruiken. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om verschillende Python-packages door middel van een phishingaanval op de betreffende ontwikkelaars te kapen. Volgens de Python Package Index (PyPI) is het de eerste bekende phishingaanval tegen PyPI-gebruikers. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Verschillende Python-ontwikkelaars ontvingen een phishingmail waarin werd gesteld dat ze een door Google verplicht validatieproces voor Python-packages moesten uitvoeren. De link in de e-mail wees naar een phishingsite. Maintainers van de packages 'exotel', 'spam' en 'deep-translator' trapten in de phishingmail en vulden hun gegevens in. De aanvallers gebruikten deze gegevens om toegang tot het betreffende project te krijgen en voegden vervolgens malware aan de code toe. De betreffende packages zijn inmiddels van PyPI verwijderd en de accounts van de betreffende maintainers geschorst. Maintainers wordt aangeraden om tweefactorauthenticatie in te schakelen en van een fysieke beveiligingssleutel gebruik te maken. Ook wordt Python-ontwikkelaars aangeraden om op te letten op welke websites ze gegevens invoeren. bron: https://www.security.nl

De aanvallers achter de phishingaanval op Twilio en Cloudflare hebben bij meer dan 130 organisaties toegeslagen en tienduizend accounts weten te compromitteren. Ook tientallen Nederlandse gebruikers zijn geraakt, zo meldt securitybedrijf Group-IB in een vandaag verschenen analyse. Bij de aanval op Twilio en Cloudflare werden sms-berichten verstuurd waarin gebruikers werd gevraagd om in te loggen. De link in het bericht wees naar een phishingpagina. Via de gegevens van Twilio-medewerkers wisten de aanvallers toegang te krijgen tot gegevens van 125 Twilio-klanten, waaronder versleutelde chatapp Signal. Op deze manier werden telefoonnummers en sms-registratiecodes van 1900 Signal-gebruikers buitgemaakt. De aanval gaat echter veel verder dan alleen Twilio en Cloudflare, aldus Group-IB. Het securitybedrijf stelt dat bij de aanval meer dan 130 organisaties zijn getroffen en de aanvallers 10.000 accounts hebben weten te compromitteren. Al deze bedrijven maken gebruik van de diensten identiteitsprovider Okta. Aangevallen medewerkers ontvingen een sms-bericht met een link naar een nagemaakte Okta-inlogpagina van hun organisatie. Hoe er precies inzicht in de gestolen informatie werd verkregen laat Group-IB niet weten. Naast inloggegevens werden er ook zo'n 5500 MFA-codes bemachtigd. Voor de aanval werden zeker 169 unieke domeinnamen gebruikt. Het grootste deel van de slachtoffers bevindt zich in de Verenigde Staten. Het gaat om vooral om it-dienstverleners, softwarebedrijven en cloudproviders. De onderzoekers vermoeden dat de aanvallers mogelijk een financieel motief hadden, aangezien ook financiële instellingen zijn geraakt, alsmede bedrijven die toegang tot cryptovaluta en -markten hebben of investeringstools ontwikkelen. Om dergelijke aanvallen te voorkomen wordt eindgebruikers aangeraden om goed op te letten op welke website ze hun gegevens invullen en zouden organisaties hun personeel van een fysieke beveiligingssleutel moeten voorzien. bron: https://www.security.nl

GitLab roept organisaties op om een kritieke kwetsbaarheid die remote command execution mogelijk maakt zo snel mogelijk te patchen. De impact van de kwetsbaarheid, aangeduid als CVE-2022-2884, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Via een malafide import kan een geauthenticeerde gebruiker willekeurige code uitvoeren. In de advisory spreekt GitLab zowel over "remote code execution" als "remote command execution". Vanwege de impact van een succesvolle aanval wordt organisaties aangeraden zo snel mogelijk te updaten naar GitLab 15.3.1, 15.2.3 of 15.1.5. Eind vorig jaar werd bekend dat een andere kritieke kwetsbaarheid in GitLab actief werd gebruikt bij aanvallen op organisaties. De Amerikaanse overheid gaf federale overheidsdiensten vervolgens een deadline om de betreffende patch te installeren. Voor zover bekend word er nog geen misbruik van CVE-2022-2884 gemaakt. bron: https://www.security.nl

De Chromium-browser van Linux-distributie Debian heeft wegens privacyredenen besloten om Google niet langer meer als standaard zoekmachine te gebruiken, maar DuckDuckGo in te stellen. De aanpassing werd onlangs aangekondigd op de mailinglist. Verschillende gebruikers klagen dat ze na de aanpassing een bericht ontvingen dat hun Chromium-browser door "hun organisatie" werd beheerd. Ook zijn er gebruikers die klagen dat met de nieuwste update ook de zoekmachine van bestaande installaties wordt aangepast. Sommige gebruikers stellen dat ze liever een overzicht van zoekmachines willen om vervolgens zelf een eigen keuze te maken, dan dat de browser dit voor hen doet. De beslissing om voor DuckDuckGo te kiezen zorgt dan ook voor verhitte reacties op Hacker News. bron: https://www.security.nl

Een kwetsbaarheid in firewalls en switches van Cisco maakt het mogelijk voor een ongeauthenticeerde aanvaller om code als root uit te voeren. Cisco heeft beveiligingsupdates uitgebracht om het beveiligingslek te verhelpen. De kwetsbaarheid bevindt zich in het Cisco Discovery Protocol, aanwezig in Cisco FXOS en Cisco NX-OS. Deze besturingssystemen draaien op de Firewpower-firewalls en Nexus-switches van het netwerkbedrijf. Via het Cisco Discovery Protocol (CDP) kunnen Cisco-apparaten informatie over andere op het netwerk aangesloten apparaten verzamelen. Het staat in veel gevallen standaard ingeschakeld. Door het versturen van een malafide CDP-pakket naar een kwetsbare switch of firewall kan een aanvaller willekeurige code met rootrechten op het apparaat uitvoeren of een denial of service veroorzaken. Het Cisco Discovery Protocol is een Layer 2-protocol. Om misbruik van de kwetsbaarheid te kunnen maken moet een aanvaller in hetzelfde "broadcast domain" als het aan te vallen apparaat zijn. Daardoor is de impact van de kwetsbaarheid (CVE-2022-20824) op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Zonder deze vereiste zou de impactscore hoger zijn. Eind 2020 werd bekend dat Cisco-apparaten via een kwetsbaarheid in het CDP actief werden aangevallen. bron: https://www.security.nl

Aanvallers maken gebruik van een anti-cheatdriver van de videogame Genshin Impact om zo antivirussoftware bij organisaties uit te schakelen en daarna ransomware uit te rollen. De driver in kwestie is eenvoudig verkrijgbaar en onafhankelijk van de videogame te gebruiken. Daarnaast is het code signing certificaat van de driver nog altijd geldig, zo waarschuwt antivirusbedrijf Trend Micro. Genshin Impact is een action role-playing game voor verschillende platforms met meer dan 60 miljoen actieve spelers. Om valsspelen tegen te gaan maakt het spel gebruik van een speciale anti-cheatdriver genaamd "mhyprot2.sys". Via deze driver blijkt het mogelijk om vanuit user-mode naar kernel-mode te gaan en vervolgens commando's uit te voeren. Bij de aanval die Trend Micro onderzocht wist een aanvaller op deze manier de antivirussoftware uit te schakelen, waarna ransomware binnen de organisatie werd uitgerold. De betreffende driver kan echter voor allerlei malware worden gebruikt. Dat het mogelijk is om via de anti-cheatdriver rechten te verhogen is al twee jaar bekend en ook gemeld bij de gameontwikkelaar als kwetsbaarheid. Het probleem is echter nooit opgelost. Het certificaat gebruikt voor het signeren van de driver is ook nog altijd geldig en het is de vraag of het zal worden ingetrokken, zo stellen de onderzoekers. "Zoals eerder opgemerkt is deze driver zeer eenvoudig te verkrijgen en zal totdat die verdwijnt voor iedereen beschikbaar zijn", zegt onderzoeker Ryan Soliven. Hij stelt dat de driver nog lange tijd bij aanvallen kan worden gebruikt voor het verhogen van rechten. "Het intrekken van het certificaat en antivirusdetectie zouden mogelijk het misbruik kunnen tegengaan, maar er zijn op dit moment geen oplossingen aangezien het om een legitieme driver gaat." Het onderzoek naar het gebruik van de driver bij aanvallen is nog gaande. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht waarmee meerdere kwetsbaarheden in de browser zijn verholpen, waaronder een spoofinglek in de adresbalk en een bug waardoor niet werd getoond dat websites de microfoon gebruikten. Het spoofinglek, aangeduid als CVE-2022-38472, deed zich voor bij de verwerking van XSLT-foutmeldingen. Een aanvaller had hierdoor in de adresbalk een andere url kunnen tonen dan bij de geopende website hoorde. Zo zouden Firefox-gebruikers nietsvermoedend gevoelige gegevens op de verkeerde website kunnen invoeren, aldus Mozilla. Daarnaast was er een probleem met de Androidversie van Firefox. Wanneer een website toegang tot de microfoon wil moet een gebruiker hiervoor eerst toestemming geven. Is de toestemming gegeven en maakt de website gebruik van de microfoon voor het opnemen van audio, dan verschijnt erin de browser een opname-notificatie. Het is mogelijk voor een website om deze notificatie niet te tonen (CVE-2022-38474). Zo zou een website die eerder al toestemming had gehad opnames kunnen maken zonder dat gebruikers dit doorhebben. In totaal zijn er met Firefox 104 zes kwetsbaarheden verholpen. Updaten kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Onderzoekers hebben een nieuwe manier bedacht om data van air-gapped computers te stelen, waarbij gebruik wordt gemaakt van het led-lampje van de netwerkkaart van het besmette systeem. Net als eerdere onderzoeken om gegevens van offline computers te exfiltreren is ook dit onderzoek uitgevoerd door een onderzoeker van de Ben-Gurion University. Air-gapping is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Een bekend voorbeeld hiervan is Stuxnet. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes. Bijvoorbeeld door gebruik te maken van speakers, airconditioning, geluid van de harde schijf, ventilatoren, radiogolven, infraroodcamera's, scanners, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes, routerlampjes, magnetische velden, toetsenbordlampjes, wifi-signalen en SATA-kabels zijn gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. Bij de "ETHERLED" aanval (pdf) wordt er gebruik gemaakt van het led-lampje van de netwerkkaart van een besmet systeem. Malware op de besmette computer kan het lampje op verschillende manieren laten knipperen en van kleur veranderen. Op deze manier is het mogelijk om te stelen informatie, zoals wachtwoorden of encryptiesleutels, te encoderen. Als voorbeeld noemt onderzoeker Mordechai Guri het gebruik van morsecode. Door het led-lampje op een gecontroleerde manier te laten knipperen kan zo de data worden verstuurd. Een aanvaller zou het geknipper van het lampje bijvoorbeeld via een smartphone, beveiligingscamera of telelens op afstand kunnen opvangen en daarna het signaal decoderen. Daarbij stelt Guri dat afstanden van honderden meters haalbaar zijn. De snelheid waarmee informatie kan worden verstuurd is echter beperkt en ligt tussen de één en twee bit per seconde. ETHERLED is dan ook vooral bedoeld voor het stelen van wachtwoorden en encryptiesleutels. Wanneer malware de firmware van de netwerkkaart kan aanpassen is het mogelijk om via het led-lampje honderd bits per seconde te versturen. Daardoor is ook de diefstal van tekstbestanden mogelijk. Systemen met netwerkkaarten staan vaak lang op dezelfde plek, waardoor een aanvaller met zicht op de netwerkkaart voldoende tijd heeft om het signaal te ontvangen. Als oplossing om dergelijke aanvallen te voorkomen is het mogelijk om het led-lampje af te plakken of los te maken of speciaal raamfolie te gebruiken. bron: https://www.security.nl

Aanvallers stelen steeds vaker cookies om multifactorauthenticatie te omzeilen, wat aantoont hoe belangrijk het is om cookies geregeld te verwijderen en de browser te sluiten, zo stelt antivirusbedrijf Sophos. Zodra een gebruiker zich bij een website authenticeert ontvangt die een session cookie. Door dit cookie te stelen kan een aanvaller zich bij de betreffende website als de gebruiker authenticeren en zo toegang tot diens account krijgen. Er zijn allerlei malware-exemplaren in omloop die zich op het stelen van session cookies richten. Eerder dit jaar stelde securitybedrijf NCC Group dat de groep aanvallers die zichzelf Lapsus$ noemt en wist in te breken bij Microsoft, Nvidia, Okta en Samsung vooral gebruikmaakt van gestolen authenticatiecookies om toegang tot accounts en systemen te krijgen. Dergelijke cookies zouden ook op internet te koop worden aangeboden. De impact van gestolen cookies zou een stuk kleiner zijn als niet zoveel applicaties cookies gebruiken die zeer lang geldig zijn. Zeker wanneer een applicatie op het systeem actief blijft en niet wordt gesloten. Het geregeld verwijderen van cookies en sluiten van de browser kan dan ook helpen, aldus Sophos. Het verkorten van de levensduur van cookies houdt echter ook in dat gebruikers zich vaker opnieuw moeten authenticeren. bron: https://www.security.nl

Het voormalige hoofd security van Twitter heeft het Amerikaanse Congres en verschillende federale overheidsinstanties vorige maand gewaarschuwd voor grote misstanden in de beveiliging en privacybescherming van het platform. Zo zouden teveel medewerkers zonder toezicht vergaande controle tot systemen en informatie hebben, worden grote kwetsbaarheden verzwegen en zou Twitter data van gebruikers die hun accounts opheffen niet adequaat verwijderen. Dat meldt CNN vandaag. Peiter Zatko, alias Mudge, werd eind 2020 hoofd security bij Twitter. Begin dit jaar werd hij wegens "slechte prestaties" ontslagen. Zelf denkt Zatko dat hij is weggestuurd omdat hij grote misstanden in de beveiliging van het platform aan de kaak wilde stellen. Toen hij begon trof Zatko naar eigen zeggen een bedrijf met slechte security practices aan. Zo hadden duizenden medewerkers toegang tot de belangrijkste systemen en draaide de helft van de ongeveer 500.000 servers van Twitter verouderde software. Verder was Twitter kwetsbaar voor storingen en waren er onvoldoende redundanties en procedures om van crashes in datacenters te herstellen. Ook zou Twitter geen idee hebben hoeveel bots erop het platform actief zijn en geen interesse hebben om dit uit te zoeken, zo stelt Zatko verder. Het voormalige hoofd security claimt ook dat hij onder druk werd gezet om de impact van kwetsbaarheden richting het bestuur te bagatelliseren. Twitter ontkent de aantijgingen van Zatko en stelt dat security en privacy prioriteit bij het bedrijf zijn en er nog veel werk te verrichten is. Zatko was een lid van de hackersgroep L0pht en het hackerscollectief Cult of the Dead Cow. Hij werkte in 1995 mee aan de eerste onderzoeken naar buffer overflows, toen nog een nieuw soort beveiligingslek. In 1998 getuigde Zatko samen met andere leden van L0pht voor het Amerikaanse Congres over de slechte beveiliging van Amerikaanse overheidssystemen. Ze claimden dat ze het internet binnen 30 minuten uit de lucht konden halen. Voor zijn overstap naar Twitter was Zatko 'head security' bij betaalverwerker Stripe. Daarvoor werkte hij bij de Motorola Mobility’s Advanced Technology & Projects (ATAP) groep, onderdeel van Google en het Defense Advanced Research and Projects Agency (DARPA) van het Pentagon. bron: https://www.security.nl