Captain Kirk

Een kwetsbaarheid in firewalls van Palo Alto Networks waar begin deze maand een beveiligingsupdate voor verscheen wordt inmiddels actief door aanvallers gebruikt bij het uitvoeren van dos-aanvallen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het beveiligingslek (CVE-2022-0028) maakt het mogelijk voor aanvallers om aanvalsverkeer bedoeld voor het platleggen van bijvoorbeeld websites via de firewall te laten lopen, waarbij het verkeer ook nog eens wordt versterkt. Daarnaast kan de aanvaller op deze manier zijn eigen identiteit verbergen en de firewall als de bron van de aanval impliceren, zo laat Palo Alto zelf weten. Firewalls lopen alleen risico als url-filtering staat ingeschakeld en er een regel met een externe netwerkinterface is opgenomen. Volgens Palo Alto is dit geen normale configuratie voor url-filtering en zal het, wanneer ingesteld, een fout van de beheerder zijn. Desondanks maken aanvallers actief misbruik van de kwetsbaarheid, aldus het CISA. Dat roept Amerikaanse federale overheidsinstanties op om het beveiligingslek voor 12 september te hebben gepatcht. Palo Alto laat aanvullend weten dat het probleem ook bij firewalls van andere fabrikanten speelt. bron: https://www.security.nl

Een kwetsbaarheid in ChromeOS maakt het mogelijk voor aanvallers om door middel van malafide metadata in een audiobestand willekeurige code op het systeem uit te voeren, zo hebben onderzoekers van Microsoft ontdekt. Google heeft inmiddels een beveiligingsupdate voor het besturingssysteem uitgebracht. Het probleem, aangeduid als CVE-2022-2587, doet zich voor bij het afspelen van een audiobestand vanuit de browser of vanaf een aangesloten usb- of bluetooth-apparaat. Door middel van het manipuleren van de metadata in een audiobestand is het mogelijk om een "out of bounds write" te veroorzaken. Dit kan leiden tot een denial of service of in extreme gevallen remote code execution. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8 en heeft het label "kritiek" gekregen. Google stelt dat de impact van de kwetsbaarheid, die zich in de audioserver van ChromeOS bevindt, "high" is. Het gaat dan om verschillende scenario's waarbij code execution of ontsnapping uit de sandbox van het besturingssysteem mogelijk is. Het techbedrijf werd op 28 april door Microsoft over het beveiligingslek ingelicht en bracht op 15 juni een update uit. "Gegeven de potentiële impact van de kwetsbaarheid, gekoppeld met het feit dat die op afstand was te misbruiken, is het een beveiligingsrisico dat de gegeven prioriteit en snelheid waarmee de fix werd uitgerold rechtvaardigt", aldus Microsoft-onderzoeker Jonathan Bar Or. bron: https://www.security.nl

Best Manneke, Met de hulp van Kweezie Wabbit zla de laptop zeker sneller worden. Daarnaast helpt de tip van Eddy X zeker ook. Laat ik ook een kleine bijdrage leveren; het uitbreiden van het werkgeheugen zal zeker ook haar steentje bijdrage de laptop weer wat vlotter te krijgen.

Elke maand detecteert Defender Antivirus op honderdduizenden computers cryptojackers die de rekenkracht van de machines gebruiken voor het delven van cryptovaluta, zo laat Microsoft in een analyse weten. De malware zit vaak verborgen in getrojaniseerde applicaties en maakt steeds vaker gebruik van al aanwezige systeembestanden voor het uitvoeren van taken. Iets wat ook wel "living-off-the-land" wordt genoemd. Microsoft stelt dat het elke dag op meer dan 200.000 computers cryptojackers aantreft die misbruik van legitieme systeembestanden maken. Het gaat dan met name om notepad.exe, waar de cryptojackingcode in wordt geïnjecteerd. Het aantal machines waarop cryptojackers worden aangetroffen laat sinds april wel een daling zien. In de eerste drie maanden van dit jaar ging het nog om 900.000 unieke apparaten per maand, sinds april gaat het om zo'n 600.000 machines per maand, wat mogelijk samenhangt met de koers van cryptovaluta. bron: https://www.security.nl

De Amerikaanse overheid heeft een waarschuwing gegeven voor actief misbruikte kwetsbaarheden in SAP en Windows waarvan eerder nog niet bekend was dat ze bij aanvallen werden ingezet. Federale Amerikaanse overheidsinstanties zijn verplicht om de updates voor 8 september te installeren. Begin dit jaar kwam SAP met een update voor een kwetsbaarheid (CVE-2022-22536) in SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server en SAP Web Dispatcher. Een onderdeel van de software is kwetsbaar voor "http request smuggling" en maakt het mogelijk voor een ongeauthenticeerde aanvaller om systemen op afstand over te nemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Sap riep in februari organisaties op om de kwetsbaarheid direct te patchen. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers inmiddels actief misbruik van dit beveiligingslek om organisaties aan te vallen. Dat geldt ook voor twee kwetsbaarheden in Windows waar Microsoft in februari en mei van dit jaar updates voor uitbracht. Via een beveiligingslek in Active Directory Domain Services (CVE-2022-26923) kan een aanvaller met toegang tot een systeem een certificaat van Active Directory Certificate Services verkrijgen en zo zijn rechten verhogen tot die van SYSTEM. Het andere beveiligingslek in Windows (CVE-2022-21971) laat een aanvaller lokaal willekeurige code uitvoeren, hoewel Microsoft spreekt over remote code execution. Aangezien het lek niet op afstand is te misbruiken heeft het een lagere impactscore en beoordeling gekregen. Verder waarschuwt het CISA federale organisaties ook voor actief aangevallen kwetsbaarheden in Google Chrome en Apple iOS en macOS, maar daarvan was al bekend dat er misbruik plaatsvindt. bron: https://www.security.nl

Er is een nieuwe versie van het contentmanagementsysteem (CMS) Joomla verschenen die gebruikers ook via multifactorauthenticatie (MFA) laat inloggen. Joomla ondersteunde al tweefactorauthenticatie, maar heeft nu ook support voor MFA toegevoegd. Beheerders kunnen daardoor verschillende authenticatiemethodes voor het inloggen op hun website toevoegen, zoals een Yubi-key, webauthenticatiecode, verificatiecode of via e-mail verstuurde code. Bij multifactorauthenticatie in Joomla 4.2 moeten gebruikers eerst inloggen met gebruikersnaam en wachtwoord. Daarna verschijnt een volgend scherm om de tweede authenticatiemethode in te voeren. Het is daardoor niet meer mogelijk om een 2FA-code op dezelfde pagina als de inlogpagina in te voeren, zo laten de releasenotes weten. Volgens W3Techs draait 1,6 procent van alle websites op internet op Joomla. bron: https://www.security.nl

Opnieuw zijn in de Python Package Index (PyPI) malafide Python-packages aangetroffen die cookies, wachtwoorden, creditcardgegevens en andere data stelen, zo waarschuwen verschillende securitybedrijven. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Geregeld komt het voor dat aanvallers malafide packages uploaden en die voorzien van namen die erg lijken op die van legitieme packages. Zo ontdekte securitybedrijf Snyk onlangs twaalf packages die inloggegevens voor chatplatform Discord en cookies en gebruikersdata voor gameplatform Roblox stelen, alsmede de geschiedenis van bezochte websites en zoekopdrachten van gebruikers. Ook steelt de malware door de gebruiker ingevoerde creditcardgegevens. Eerder deze maand waarschuwde securitybedrijf Check Point voor tien malafide Python-packages in PyPI die zich voordeden als legitieme packages en data zoals wachtwoorden en API-tokens probeerden te stelen. Gisteren meldde antivirusbedrijf Kaspersky dat het twee packages had gevonden die zich wederom als een populaire, legitieme package voordeden en ontwikkeld waren om persoonlijke data en inloggegevens van programmeurs te stelen. Securitybedrijf Sonatype stelt dat het om drie packages gaat die zich voordoen als de populaire library "Requests". De aanvallers gebruikten hierbij packages met namen als "requesys", "requesrs" en "requesr". Programmeurs die niet goed opletten of een typfout maken kunnen zodoende de verkeerde package installeren. bron: https://www.security.nl

Gebruikers van Google Chrome zijn opnieuw het doelwit van een zeroday-aanval geworden. Google heeft een beveiligingsupdate uitgebracht die ook een kritieke kwetsbaarheid verhelpt waardoor aanvallers systemen op afstand kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website of te zien krijgen van een besmette advertentie is voldoende. Details over de waargenomen aanvallen, die Google zelf ontdekte, zijn niet door het techbedrijf gegeven. Dit jaar heeft Google al meerdere zerodaylekken in Chrome verholpen die al voor het uitkomen van de update werden misbruikt. Eerder was het raak in februari, maart, april en juli. De nieuwste zeroday (CVE-2022-2856) werd vorige maand door onderzoekers van Googles Threat Analysis Group gevonden. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Een andere kwetsbaarheid in de browser maakt het echter wel mogelijk om systemen op afstand over te nemen. Volgens Google wordt er van dit kritieke beveiligingslek, aangeduid als CVE-2022-2852, voor zover bekend geen misbruik gemaakt. Ook deze kwetsbaarheid werd door Google zelf gevonden. Hoewel kritieke beveiligingslekken weinig voorkomen in Chrome staat de teller dit jaar al op zes, wat meer is dan in voorgaande jaren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Naast het aangevallen zerodaylek en de kritieke kwetsbaarheid verhelpen Chrome 104.0.5112.101 voor Mac en Linux en Chrome 104.0.5112.102/101 voor Windows negen andere kwetsbaarheden. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Aanvallers maken op dit moment actief misbruik van verschillende kwetsbaarheden in de Zimbra Collaboration Suite. Systeembeheerders moeten hun servers dan ook vandaag nog updaten, mocht dat nog niet zijn gedaan, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Organisaties die de betreffende patches niet meteen na het uitkomen hebben geïnstalleerd moeten hun servers op de aanwezigheid van aanvallers controleren, zo adviseert de overheidsinstantie. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. De afgelopen maanden zijn verschillende kwetsbaarheden in de software gevonden (CVE-2022-27924, CVE-2022-27925, CVE-2022-37042, CVE-2022-30333 en CVE-2022-24682) waar aanvallers inmiddels actief misbruik van maken. Via de beveiligingslekken kunnen aanvallers inloggegevens en sessiecookies stelen en in het ergste geval kwetsbare Zimbra-servers volledig overnemen. Onlangs meldde securitybedrijf Volexity dat het meer dan duizend Zimbra-servers had aangetroffen die van een backdoor waren voorzien. Organisaties die beschikbare updates niet meteen hebben geïnstalleerd moeten volgens het CISA aannemen dat hun servers zijn gecompromitteerd en naar de aanwezigheid van eventuele aanvallers zoeken. In het geval van een gecompromitteerde Zimbra-server moeten organisaties informatie over de aanvallers verzamelen, de server in quarantaine plaatsen of offline halen, het systeem volledig opnieuw installeren en als laatste gebruikers van nieuwe inloggegevens voorzien. bron: https://www.security.nl

Een beveiligingsonderzoeker van Google heeft een kwetsbaarheid in Windows Defender ontdekt waardoor een aanvaller die al toegang tot een computer heeft systeemrechten kan krijgen. Microsoft had al beveiligingsupdates voor de in Windows ingebouwde virusscanner uitgebracht, maar had het bestaan van de kwetsbaarheid niet vermeld. Gisteren werd alsnog een beveiligingsbulletin voor het probleem gepubliceerd. Het beveiligingslek, aangeduid als CVE-2022-34711, bevindt zich in Windows Defender Credential Guard. Dit onderdeel van de antivirussoftware maakt gebruik van virtualisatie om inloggegevens van gebruikers in een beveiligde container op te slaan, los van het besturingssysteem. Dit moet voorkomen dat ze gestolen kunnen worden. Google-onderzoeker James Forshaw ontdekte de bovengenoemde kwetsbaarheid in het onderdeel waardoor "Elevation of Privilege" mogelijk is en een aanvaller die al toegang tot het systeem heeft systeemrechten kan krijgen. Daarmee is volledige controle over het systeem mogelijk. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Microsoft heeft geen verdere details gegeven, maar acht de kans klein dat aanvallers misbruik van het lek zullen maken. bron: https://www.security.nl

Cloudprovider DigitalOcean heeft klanten gewaarschuwd voor een datalek nadat aanvallers wisten in te breken bij e-mailmarketingbedrijf MailChimp. Vanwege het datalek heeft DigitalOcean het contract met MailChimp opgezegd. Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen, maar ook andere e-mailcommunicatie. Ook DigitalOcean maakte gebruik van de diensten van het bedrijf, mede voor het uitvoeren van wachtwoordresets, versturen van mailwaarschuwingen en e-mailbevestigingen. Vorige week ontdekte de cloudprovider dat een aanvaller het eigen MailChimp-account had gecompromitteerd, wat volgens DigitalOcean vermoedelijk een groter beveiligingsincident lijkt te zijn. Zo werden transactionele e-mails van DigitalOcean die via MailChimp werden verstuurd niet meer afgeleverd bij klanten. Het ging onder andere om wachtwoordresets en e-mailbevestigingen. De aanvaller kreeg via het gecompromitteerde DigitalOcean MailChimp-account toegang tot e-mailadressen van DigitalOcean-klanten. Vervolgens probeerde de aanvaller toegang tot de accounts van deze klanten te krijgen door in naam van klanten wachtwoordresets uit te voeren. Ten tijde van de aanval liet tenminste één klant weten dat het wachtwoord van zijn account was gereset. De cloudprovider meldt dat de accounts van deze klanten inmiddels zijn beveiligd. Naast de e-mailadressen zijn er geen andere klantgegevens buitgemaakt. Na de ontdekking op 8 augustus dat het eigen MailChimp-account was gecompromitteerd nam DigitalOcean contact op met MailChimp, maar de cloudprovider stelt dat het pas op 10 augustus een echte reactie ontving. MailChimp bevestigde dat een aanvaller toegang tot de interne tools van de e-mailmarketeer had gekregen. Vervolgens wist de aanvaller voor verschillende DigitalOcean-klanten-klanten wachtwoordresets uit te voeren. Doordat een aantal van deze klanten tweefactorauthenticatie gebruikte kreeg de aanvaller geen toegang tot hun account. Vanwege het datalek heeft DigitalOcean besloten om geen gebruik meer van de diensten van MailChimp te maken. Daarnaast stelt de cloudprovider dat het incident aantoont dat meer inzicht in de veiligheid van derde partijen nodig is en het gebruik van tweefactorauthenticatie door klanten moet worden uitgebreid. Eerder dit jaar wist een aanvaller ook al toegang tot een interne tool van MailChimp te krijgen om vervolgens van meer dan honderd accounts klantgegevens te stelen. bron: https://www.security.nl

Tientallen organisaties en "people of interest" zijn sinds het begin van dit jaar doelwit geworden van phishingaanvallen uitgevoerd door een vanuit Rusland opererende spionagegroep, zo claimt Microsoft. De groep wordt door het techbedrijf Seaborgium genoemd en zou zich onder andere richten op het stelen van e-mails en bijlagen uit mailboxes van slachtoffers. Voordat de spionagegroep met een phishingaanval begint vindt er eerst een verkenning van het doelwit plaats, voornamelijk gericht op contacten in het sociale netwerk of de invloedssfeer van het doelwit. Zo maken de aanvallers onder andere gebruik van LinkedIn om door middel van nepprofielen contact te leggen en een vertrouwensband op te bouwen. Vervolgens sturen de aanvallers berichten met bijlagen of links die naar een phishingsite linken. Zodra slachtoffers op deze website de inloggegevens van hun e-mailaccount invullen proberen de aanvallers e-mails en bijlagen uit de mailbox te stelen. Ook stelen de aanvallers forwarding rules in zodat binnengekomen e-mail automatisch naar een opgegeven e-mailadres wordt doorgestuurd. Microsoft zegt dat de aanvallers ook toegang tot mailinglistgegevens van "gevoelige groepen" hebben weten te krijgen, waaronder die van voormalige inlichtingenfunctionarissen. Deze data wordt vervolgens voor verdere aanvallen gebruikt. Volgens Microsoft zijn sinds het begin van dit jaar meer dan dertig organisaties en de persoonlijke accounts van een niet nader genoemd aantal "people of interest" doelwit geworden. Het gaat dan met name om organisaties in de Verenigde Staten en het Verenigd Koninkrijk, alsmede de Baltische staten, Scandinavië en Oost-Europa. Om dergelijke aanvallen tegen te gaan adviseert Microsoft het gebruik van multifactorauthenticatie (MFA) voor alle gebruikers en vanaf alle locaties. Verder wordt aangeraden om veiligere MFA-implementaties te gebruiken, zoals FIDO-tokens of de Microsoft Authenticator, en sms-gebaseerde MFA te vermijden. bron: https://www.security.nl

Een groot aantal routers die zijn voorzien van een Realtek-chip zijn kwetsbaar voor aanvallen waardoor het mogelijk is om de apparaten plat te leggen of in het ergste geval op afstand over te nemen en een firmware-update is nog niet beschikbaar. Het versturen van een speciaal geprepareerde sip-pakkett naar een willekeurige poort is voldoende en ook apparaten waarvan de beheerdersinterface niet toegankelijk is lopen risico. Het probleem speelt onder andere bij routers van D-Link en Zyxel. De kwetsbaarheid (CVE-2022-27255) werd vorige week tijdens de DefCon-conferentie in Las Vegas door onderzoekers van securitybedrijf Faraday Security besproken. Het beveiligingslek is aanwezig in de Realtek software development kit (SDK) die fabrikanten gebruiken voor routers voorzien van de RTL819x-serie Realtek-chips. Deze SDK wordt gebruikt voor basale routerfunctionaliteit, zoals de beheerdersinterface en de netwerkstack. Fabrikanten kunnen vervolgens hun eigen features aan het apparaat toevoegen. Een kwetsbaarheid in de eCos SDK van Realtek maakt het mogelijk om de apparaten op afstand te laten crashen of overnemen. Het probleem is aanwezig met de standaardinstellingen en vereist alleen dat het apparaat vanaf internet toegankelijk is. Er is geen interactie van gebruikers vereist en ook hoeft de webinterface niet toegankelijk te zijn om een apparaat aan te vallen. Voor zover nu bekend zijn 31 modellen van tenminste negentien leveranciers kwetsbaar, waaronder Tenda, D-Link, Zyxel, Intelbras, Nisuta en MT-Link. De onderzoekers vonden ruim 63.000 potentieel kwetsbare routers waarvan het adminpanel vanaf internet toegankelijk is, maar zoals gezegd is dit niet vereist voor een succesvolle aanval. Realtek kwam eind maart met een patch voor het probleem (pdf). Routerleveranciers moeten deze patch echter in hun routerfirmware verwerken en vervolgens een firmware-update uitbrengen. Veel leveranciers hebben echter nog geen update uitgebracht, aldus de onderzoekers in hun presentatie (pdf). Gebruikers die zich willen beschermen kunnen ongevraagde udp-requests blokkeren, zo stelt het Internet Storm Center. bron: https://www.security.nl

Een aanvaller is erin geslaagd om door middel van SQL-injection de privégegevens van klanten van ShitExpress te stelen, een website die tegen betaling een doosje dierenpoep naar een opgegeven adres bezorgt. Het gaat om e-mailadressen, een persoonlijk bericht van de afzender en andere bestelgegevens. Het zou bij elkaar om data van 29.000 bestellingen gaan. De klantendatabase was door middel van SQL-injection te downloaden. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren. In een verklaring tegenover Bleeping Computer erkent de website dat een script kwetsbaar was voor SQL-injection. "Het is onze schuld, een menselijke fout die iedereen kan overkomen." Het probleem werd door een klant van de website gevonden en is inmiddels verholpen. De gelekte gegevens worden nu op internet aangeboden, maar bevatten geen betaalgegevens. Betalingen voor de website worden via een externe betaalverwerker verwerkt. bron: https://www.security.nl

De kwaliteit van beveiligingsupdates laat volgens securitybedrijf ZDI de laatste jaren zo te wensen over dat het softwareleveranciers voortaan minder tijd geeft om het oorspronkelijke probleem te verhelpen. Eerder luidde ook Google al de noodklok over onvolledige patches waardoor het oorspronkelijke beveiligingslek bijvoorbeeld via een omweg alsnog is te misbruiken. Het Zero Day Initiative (ZDI) betaalt onderzoekers voor het melden van kwetsbaarheden in allerlei producten. Deze informatie deelt het ZDI met de betrekkende softwareleverancier, zodat die een update kan ontwikkelen. Daarnaast gebruikt het securitybedrijf de informatie voor de eigen beveiligingsproducten. Nadat het ZDI softwareleveranciers heeft geïnformeerd over een kwetsbaarheid krijgen die honderdtwintig dagen de tijd om het probleem te verhelpen. Daarna maakt het securitybedrijf de details van het lek bekend. Dit moet leveranciers ertoe zetten om tijdig updates te ontwikkelen. De updates die leveranciers ontwikkelen blijken echter niet altijd volledig. Zo stelde Google eind juni dat in de eerste helft van dit jaar er achttien zerodaylekken zijn gebruikt bij aanvallen tegen organisaties en internetgebruikers. Het gaat hier om kwetsbaarheden waar op het moment van de aanval geen update voor beschikbaar is. Zeker de helft van deze beveiligingslekken had voorkomen kunnen worden als de betreffende softwareleverancier betere updates en regressietests had doorgevoerd, zo stelt Google. Vorig jaar kwam het techbedrijf ook al met een dergelijke conclusie. Onvolledige updates zorgen ervoor dat bedrijven niet meer goed het risico voor hun systemen kunnen inschatten, aldus het ZDI. Het securitybedrijf heeft sinds 2005 meer dan tienduizend kwetsbaarheden gerapporteerd en wil met een aangepaste patch-deadline softwareontwikkelaars nu betere updates laten ontwikkelen. Wanneer blijkt dat een update voor een kritieke kwetsbaarheid eenvoudig is te omzeilen en misbruik wordt verwacht, krijgt de softwareleverancier voortaan nog maar dertig dagen om met een grondige oplossing voor het initiële probleem te komen. Mocht de oorspronkelijke update enige bescherming bieden en is misbruik mogelijk, dan zal het ZDI in deze gevallen de details na zestig dagen openbaar maken. In alle andere gevallen zullen details over onvolledige updates na negentig dagen worden geopenbaard. Het ZDI zegt "failed patches" ook nauwlettender in de gaten te zullen houden, waarop het de deadline mogelijk verder zal aanpassen. bron: https://www.security.nl

De FBI waarschuwt organisaties voor aanvallen met de Zeppelin-ransomware, die met name tegen medische bedrijven en zorginstellingen is ingezet, maar ook defensiebedrijven, vitale infrastructuur, techbedrijven en onderwijsinstellingen. De aanvallers eisen vervolgens losgeld dat varieert van een paar duizend dollar tot meer dan een miljoen dollar. Om toegang tot de netwerken van een organisatie te krijgen maken de aanvallers achter deze ransomware gebruik van RDP (remote desktopprotocol), bekende kwetsbaarheden in firewalls van fabrikant SonicWall en phishing. Zodra er toegang is verkregen zijn de aanvallers één tot twee weken bezig om het netwerk van het doelwit in kaart te brengen, waaronder de locatie van back-ups en cloudopslag. Voordat de aanvallers overgaan tot het uitrollen van de ransomware op systemen van de betreffende organisatie wordt er eerst allerlei gevoelige informatie gestolen. Mocht het slachtoffer niet betalen dan dreigen de aanvallers deze informatie openbaar te maken, zo laat de Amerikaanse opsporingsdienst in de waarschuwing over de Zeppelin-ransomware weten. De FBI geeft organisaties ook verschillende adviezen om aanvallen te voorkomen. Zo wordt organisaties aangeraden om geen periodieke wachtwoordwijzigingen door te voeren. Dit zorgt ervoor dat personeel vaak "wachtwoordpatronen" gaat hanteren die eenvoudig door cybercriminelen te ontcijferen zijn. In plaats daarvan wordt juist het gebruik van passphrases aangeraden. bron: https://www.security.nl

Kwetsbaarheden in de populaire videoconferentiesoftware Zoom maken het mogelijk voor een lokale aanvaller of standaardgebruiker om volledige controle over macOS-systemen te krijgen. Zoom heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Het initiële beveiligingslek (CVE-2022-28751) bevindt zich in het updateproces van Zoom voor macOS en zorgt ervoor dat een aanvaller die al toegang tot het systeem heeft of een standaardgebruiker op eenvoudige wijze rootrechten kan krijgen. Het beveiligingslek werd gevonden door beveiligingsonderzoeker Patrick Wardle, die zijn bevindingen afgelopen vrijdag tijdens de DefCon-conferentie in Las Vegas demonstreerde. De updatefunctie van Zoom controleert of aangeboden updates wel door Zoom zijn gesigneerd. De controle die Zoom uitvoerde was eenvoudig te misleiden door de updater een bestand aan te bieden met dezelfde naam als het Zoom-certificaat. Hierdoor zou een aanvaller de updater eenvoudig malware kunnen laten uitvoeren en zo rootrechten krijgen. Wardle waarschuwde Zoom afgelopen december voor de kwetsbaarheid. Het softwarebedrijf kwam vervolgens met een update, maar die bleek een andere bug te bevatten waardoor de initiële kwetsbaarheid weer was te misbruiken. Het bleek mogelijk om via de Zoom-tool updater.app een oude, kwetsbare versie van zoom te installeren, waarna de initiële kwetsbaarheid weer was te misbruiken om root te worden. De onderzoeker wachtte vervolgens acht maanden met het publiceren van zijn onderzoek, zo laat de onderzoeker tegenover The Verge weten. Tijdens zijn presentatie van zijn bevindingen presenteerde Wardle ook een andere kwetsbaarheid in de Zoom-installer waardoor het voor een aanvaller wederom mogelijk was om de updater malware te laten installeren, waarbij de malafide code met de rechten van de updater werd uitgevoerd. Wardle gaf zijn presentatie op vrijdag en Zoom kwam zaterdag met een update voor het beveiligingslek aangeduid als CVE-2022-28756. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.8 en heeft van Zoom het label "high" gekregen. Gebruikers wordt aangeraden om te updaten naar Zoom Client for Meetings voor macOS versie 5.11.5. bron: https://www.security.nl

Google heeft in Australië een boete van zestig miljoen dollar gekregen omdat het Australische Androidgebruikers misleidde over het verzamelen van locatiegegevens. Van begin 2017 tot eind 2018 kregen gebruikers van een Androidtelefoon te zien dat de instelling "Locatiegeschiedenis" de enige accountinstelling was waarmee kon worden ingesteld of Google persoonlijke informatie over de locatie verzamelde, bewaarde en gebruikte. In werkelijkheid bleek dat Google ook via een andere instelling genaamd "Web & App Activiteit persoonlijke identificeerbare locatiegegevens kon verzamelen. Deze instelling stond standaard ingeschakeld. Volgens de Australische toezichthouder ACCC heeft Google op deze wijze gebruikers misleid en de Australische consumentenwetgeving geschonden. "Persoonlijke locatiegegevens zijn voor sommige consumenten gevoelig en belangrijk, en sommige van de gebruikers zouden mogelijk andere keuzes over het verzamelen, opslaan en gebruiken van hun locatiegegevens hebben gemaakt als Google geen misleidende informatie had gegeven", aldus Gina Cass-Gottlieb van de ACCC. De toezichthouder schat dat 1,3 miljoen Australische Google-gebruikers de misleidende informatie te zien hebben gekregen. "Bedrijven moeten transparanti zijn over de soorten gegevens die ze verzamelen en hoe de data wordt verzameld en gebruikt, zodat consumenten een geinformeerde beslissing kunnen nemen over met wie ze die data delen", laat Cass-Gottlieb verder weten. Google heeft eind 2018 maatregelen genomen waardoor Australische gebruikers de misleidende schermen niet meer te zien krijgen. bron: https://www.security.nl

Het datalek bij Twitter dat vorig maand aan het licht kwam en onlangs door het bedrijf werd bevestigd is veel groter dan in eerste instantie gemeld. Een aanvaller wist niet de gegevens van 5,4 miljoen accounts te stelen zoals eerst werd gemeld, maar van 6,7 miljoen accounts, zo meldt beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned. Het gaat namelijk ook om gegevens van geschorste accounts. De datadiefstal was mogelijk door een kwetsbaarheid in het platform van Twitter en zorgde ervoor dat een aanvaller telefoonnummers en e-mailadressen van Twitter-accounts kon achterhalen, ook al had de gebruiker deze velden via de privacyinstellingen afgeschermd. In een verklaring bevestigde Twitter de datadiefstal en dat hierbij misbruik van een kwetsbaarheid is gemaakt. De bug werd vorig jaar juni in de code van het platform geïntroduceerd en in januari van dit jaar verholpen, nadat Twitter hier via het bugbountyprogramma op was gewezen. In de tussentijd had een aanvaller de kwetsbaarheid echter al gebruikt om gegevens van gebruikers te stelen en die vervolgens op internet te koop aan te bieden. Het gaat om profieltekst, e-mailadressen, geografische locaties, namen, telefoonnummers, profielfoto's en gebruikersnamen van 6,7 miljoen accounts. De gestolen profielinformatie is zowel van actieve als geschorste accounts, waarbij de 1,4 miljoen e-mailadressen van geschorste accounts op een aparte lijst werden aangeboden. De in totaal 6,7 miljoen unieke e-mailadressen van de getroffen Twitter-accounts zijn nu aan Have I Been Pwned toegevoegd. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de 6,7 miljoen e-mailadressen was 99 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Op internet zijn meer dan achtduizend VNC-servers te vinden die zonder authenticatie toegankelijk zijn, waardoor aanvallers eenvoudig van deze systemen misbruik kunnen maken, zo stelt securitybedrijf Cyble op basis van eigen onderzoek. Virtual Network Computing (VNC) is software om op afstand systemen mee te kunnen bedienen. Het kan bijvoorbeeld worden gebruikt voor beheren van een systeem of het helpen van gebruikers. Onderzoekers van Cyble ontdekten meer dan achtduizend servers waarvan de authenticatie is uitgeschakeld, waardoor iedereen eenvoudig toegang tot deze systemen kan krijgen. De meeste van deze systemen bevinden zich in China, Zweden en de Verenigde Staten. Aanvallers scannen ook actief naar VNC-servers op poort 5900 om aan te vallen, zo blijkt uit het cijfers van het Internet Storm Center. Ook cijfers van Cyble laten dit zien, waarbij de meeste aanvallen afkomstig zijn van Nederlandse ip-adressen. Al jaren geleden waarschuwden onderzoekers voor onbeveiligde VNC-servers op internet. Het aantal onbeveiligde VNC-servers dat nu werd gevonden is lager dan in voorgaande jaren het geval was, maar het gaat nog altijd om systemen van organisaties in de vitale infrastructuur, zoals waterzuiveringsinstallaties, fabrieken en onderzoeksinstellingen. De onderzoekers adviseren dan ook om vitale systemen achter een firewall te plaatsen en de toegankelijkheid van VNC-servers vanaf internet te beperken. bron: https://www.security.nl

Meta start deze week onder "sommige" gebruikers standaard end-to-end versleutelde chats, waardoor de inhoud van berichten alleen voor de afzender en ontvanger te lezen is. Daarnaast test het bedrijf ook de mogelijkheid om back-ups van Messenger-chats end-to-end versleuteld op te slaan. Dat heeft het bedrijf zelf aangekondigd. Facebook kwam onlangs onder vuur te liggen omdat het informatie over een 17-jarig meisje in de Verenigde Staten in een abortuszaak met de autoriteiten deelde, waaronder haar privéberichten. Gebruikers van Messenger hebben al de mogelijkheid om end-to-end versleuteld te communiceren, maar moeten dit zelf inschakelen. Bij sommige gebruikers wordt de end-to-end encryptie nu automatisch ingeschakeld. Meta zegt dat standaard end-to-end encryptie volgend jaar voor alle persoonlijke berichten en gesprekken wordt uitgerold. Een ander kritiekpunt was dat Messenger-back-ups niet end-to-end versleuteld werden opgeslagen. Voor Android en iOS wordt de end-to-end versleutelde opslag deze week getest, waarbij gebruikers hun back-up via een zelfgekozen pincode of gegenereerde code kunnen herstellen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om bij een grootschalige aanval meer dan duizend Zimbra-mailservers van een backdoor te voorzien. Dat stelt securitybedrijf Volexity, dat begin vorig jaar ook een grote aanval op Exchange-servers ontdekte. De getroffen Zimbra-mailservers zijn onder andere van overheden, ministeries, legeronderdelen en multinationals. Begin dit jaar kwam Zimbra met een beveiligingsupdate voor een path traversal-kwetsbaarheid (CVE-2022-27925). Via een malafide zip-bestand is het mogelijk om willekeurige bestanden op het systeem te overschrijven. In eerste instantie werd gemeld dat het beveiligingslek alleen is te misbruiken wanneer aanvallers over de inloggegevens van de beheerder beschikken. Volexity ontdekte bij onderzoek naar gecompromitteerde servers dat de kwetsbaarheid echter ook door een ongeauthenticeerde aanvaller is te misbruiken, wat de kans op misbruik vele malen groter maakt. Verder onderzoek wees uit dat aanvallers op grote schaal misbruik maakten van het lek om webshells op kwetsbare servers te installeren. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Volgens Volexity maakten eerst op spionage gerichte aanvallers misbruik van de kwetsbaarheid, maar hebben inmiddels ook andere actoren zich hierop gestort. Zimbra kwam eind juli met een update voor het lek (CVE-2022-37042) dat het mogelijk maakt om de authenticatie te omzeilen. De Zimbra-software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. bron: https://www.security.nl

Organisaties die deze maand hun Microsoft Exchange-servers willen patchen, onder andere vanwege een lek waardoor een aanvaller alle mailboxes kan overnemen, zijn verplicht om Windows Extended Protection in te schakelen. Dat heeft Microsoft aangekondigd. Deze beveiligingsmaatregel moet de bestaande Windows-authenticatie versterken om zo man-in-the-middle-aanvallen te voorkomen. De maatregel is vereist om verschillende kwetsbaarheden in Exchange te verhelpen. Tijdens de patchdinsdag van augustus heeft Microsoft meer beveiligingsbulletins voor Exchange uitgebracht. Een aantal van de kwetsbaarheden in Exchange is alleen te verhelpen door het inschakelen van Windows Extended Protection. Om organisaties bij dit proces te helpen heeft Microsoft een script beschikbaar gesteld. Wel adviseert het softwarebedrijf om eerst alle bekende problemen die in de scriptdocumentatie staan vermeld te bekijken voordat de beveiligingsmaatregel wordt ingeschakeld. bron: https://www.security.nl

In Microsoft Exchange Server zitten drie kritieke kwetsbaarheden waardoor een aanvaller de mailboxes van alle gebruikers op de server kan overnemen. Vervolgens is het mogelijk om e-mails vanuit de mailboxes te versturen of te lezen en bijlagen te downloaden. Microsoft heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. De drie beveiligingslekken (CVE-2022-21980, CVE-2022- 24516 en CVE-2022-24477) vallen in de categorie "Elevation of Privilege" (EoP). Via dergelijke kwetsbaarheden kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. Aangezien een aanvaller bij EoP-lekken geauthenticeerd moet zijn wordt de impact van dergelijke kwetsbaarheden vaak lager ingeschaald dan beveiligingslekken waarmee systemen op afstand zijn over te nemen. Ook in het geval van de drie Exchange-lekken moet een aanvaller zich op de Exchange-server kunnen authenticeren. Toch heeft Microsoft de drie kwetsbaarheden als kritiek beoordeeld. In het verleden is gebleken dat aanvallers bijvoorbeeld door middel van phishing de benodigde inloggegevens van gebruikers kunnen stelen om zich zo bij de server te authenticeren. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.0 en Microsoft verwacht dat aanvallers er zeer waarschijnlijk misbruik van zullen maken bij aanvallen op organisaties. bron: https://www.security.nl

Tijdens de patchdinsdag van augustus heeft Microsoft opnieuw een zerodaylek in de Windows Support Diagnostic Tool ((MSDT) verholpen. Al voor het uitkomen van de beveiligingsupdate werd er misbruik gemaakt van de kwetsbaarheid, aangeduid als CVE-2022-34713. Eerder dit jaar maakten aanvallers ook al gebruik van een zerodaylek in MSDT voor het uitvoeren van aanvallen. Die kwetsbaarheid (CVE-2022-30190) werd op 14 juni gepatcht. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. De kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige code op systemen uit te voeren door MSDT via een url-protocol aan te roepen. Dit is bijvoorbeeld mogelijk vanuit een applicatie zoals Word, waarbij alleen het openen van een malafide document volstaat. Eenmaal geopend kan een aanvaller vanuit het malafide document de diagnostische tool op het systeem van de gebruiker aanroepen en zo willekeurige code uitvoeren met de rechten van de ingelogde gebruiker. Een gebruiker zou nog wel eerst moeten worden verleid om bijvoorbeeld een speciaal geprepareerd Word-document te openen. Het is op dit moment nog onduidelijk of de kwetsbaarheid het gevolg is van een onvolledige patch die Microsoft in juni uitrolde of dat het om een geheel nieuw probleem gaat. Organisaties en gebruikers worden opgeroepen om de update zo snel mogelijk te installeren. Op de meeste systemen zal dit automatisch gebeuren. bron: https://www.security.nl