Captain Kirk

Computers met Windows 11 of Server 2022 die van nieuwere processors gebruikmaken lopen risico op dataschade, zo waarschuwt Microsoft. Het gaat dan specifiek om Windowscomputers die de nieuwste Vector Advanced Encryption Standard (AES) (VAES) instructieset ondersteunen. Bij het gebruik van AES-XTS en AES-GCM, algoritmes, die worden gebruikt voor het versleutelen van opgeslagen data, kan zich "dataschade" voordoen. Om verdere dataschade te voorkomen bracht Microsoft in mei en begin juni updates uit. Het installeren van deze updates kan er echter voor zorgen dat systemen voor een periode van bijna een maand trager werken, aldus de uitleg van het techbedrijf. De verminderde prestaties zijn merkbaar bij het gebruik van encryptiesoftware BitLocker, TLS en diskdoorvoer. AES-gebaseerde operaties kunnen na de installatie van de updates twee keer langzamer zijn. Microsoft stelt dat de prestaties met de preview release van 23 juni en security release van 12 juli worden hersteld. Microsoft geeft geen lijst met processors die risico lopen, maar de VAES-instructieset is sinds de tiende generatie (Ice Lake) in Intel Core-processors aanwezig. Bij AMD wordt VAES sinds de Zen 3-gebaseerde Ryzen 5000-series ondersteund. bron: https://www.security.nl

Botnetbestrijder Abuse.ch heeft een partnerschap met Spamhaus Technology gesloten om zo te kunnen blijven voortbestaan. Abuse.ch is een platform dat zich met de bestrijding van botnets en malware bezighoudt. Het platform werd vijftien jaar geleden gestart door de Zwitserse beveiligingsonderzoeker Roman Hüssy. Abuse.ch werd mede vanwege de trackers van de Zeus- en SpyEye-botnets bekend. Informatie van het platform wordt door allerlei bedrijven, onderzoekers, Security Operations Centers, Computer Security Incident Response Teams en Computer Emergency Response Teams gebruikt om netwerken en systemen te beschermen. Inmiddels bestaat Abuse.ch uit vijftig servers en tweehonderd sandboxes. Elke maand genereert het platform honderddertig terabyte aan netwerkverkeer en verwerkt twee miljoen api-verzoeken per dag. Toch is het nog altijd een eenmansoperatie. Verschillende keren wist Hüssy een sponsor te vinden, maar volgens de Zwitser kan hij het project niet meer alleen in zijn vrije tijd doen. Hüssy zocht een licentiehouder en heeft die gevonden in Spamhaus Technology, dat zich bezighoudt met de bestrijding van spam. Spamhaus zal de infrastructuur van Abuse.ch versterken en de data van het platform voor grote organisaties in de vorm van een abonnement gaan aanbieden. Voor kleine organisaties zal de data van Abuse.ch gratis blijven. bron: https://www.security.nl

Cloudcommunicatieplatform Twilio waarschuwt klanten dat een aanvaller toegang tot hun gegevens heeft gekregen nadat personeel in een phishingbericht trapte. Het malafide bericht werd via sms naar zowel huidige als voormalige medewerkers van Twilio gestuurd en leek van de it-afdeling afkomstig, zo laat het bedrijf in een blogposting weten. Ontvangers werd gevraagd om via de meegestuurde link hun wachtwoord te wijzigen. De link wees naar een phishingsite die op de inlogpagina van Twilio leek. Meerdere werknemers trapten in de phishingaanval en vulden hun inloggegevens op de phishingsite in. Twilio noemt geen exact aantal. Met de ingevulde inloggegevens kreeg de aanvaller toegang tot interne systemen van het bedrijf en kon zo gegevens van klanten opvragen. Hoeveel klanten slachtoffer van het datalek zijn geworden laat Twilio niet weten. Ook meldt het bedrijf niet tot wat voor soort klantgegevens er toegang is verkregen en wat de gevolgen hiervan zijn. Twilio zegt dat het personeel een verplichte awarenesstraining over social engineering laat volgen. Verder wordt er gekeken naar technische maatregelen. Twilio biedt een platform voor telefonie, het versturen en ontvangen sms-berichten en andere communicatiefuncties. Het bedrijf telt 256.000 actieve klanten en had vorig jaar een omzet van 2,84 miljard dollar. bron: https://www.security.nl

Microsoft heeft de eigen Edge-browser van een update voorzien die ervoor zorgt dat gebruikers bij het bezoeken van minder populaire websites extra worden beschermd. Dat laat het techbedrijf in een nieuw supportdocument weten. Voorwaarde is wel dat de "Enhance your security on the web" optie is ingeschakeld. Edge biedt gebruikers via de "Enhance your security on the web" optie de mogelijkheid om extra beveiligingsmaatregelen binnen de browser in te schakelen. Het gaat dan om mitigaties voor het voorkomen van geheugen-gerelateerde kwetsbaarheden. Zo wordt just-in-time (JIT) JavaScript compilatie uitgeschakeld en aanvullende beveiligingsmaatregelen die het besturingssysteem biedt in de browser ingeschakeld, waaronder Hardware-enforced Stack Protection en Arbitrary Code Guard (ACG). De beveiligingsfeature staat standaard uitgeschakeld, maar biedt wanneer door de gebruiker ingeschakeld drie opties: basic, balanced en strict. Bij strict worden de extra beveiligingsmaatregelen op alle websites toegepast, terwijl dit bij balanced alleen geldt voor sites die gebruiker weinig bezoekt. Bij het basic-niveau wordt de bescherming voortaan op minder populaire websites toegepast. Hierbij wordt niet gekeken naar het gedrag van de gebruiker, maar gaat het om websites die volgens Microsoft in het algemeen "minder bezocht" zijn. De feature staat ingeschakeld vanaf Edge 104.0.1293.47. bron: https://www.security.nl

Tientallen organisaties zijn het slachtoffer van een aanval geworden waarbij aanvallers wisten binnen te dringen omdat een beveiligingsupdate voor een vijf jaar oude kwetsbaarheid in Microsoft Office niet was geïnstalleerd en gebruikers een malafide document openden, zo stelt antivirusbedrijf Kaspersky. De aanvallen waren gericht tegen fabrieken, defensiebedrijven, ontwerpbureaus, onderzoeksinstellingen, overheidsinstanties en ministeries in Belarus, Oekraïne en Rusland. Volgens Kaspersky wisten de aanvallers bij tientallen bedrijven binnen te dringen en van een aantal de compelte it-infrastructuur over te nemen. De aanvallers maakten gebruik van spearphishingmails, voorzien van niet-publieke informatie over de aangevallen organisatie. Dit houdt in dat de aanvallers mogelijk bij eerdere aanvallen informatie hebben bemachtigd. De spearphishingmails waren voorzien van een document met een exploit voor een vijf jaar oude kwetsbaarheid in Microsoft Office. Zodra gebruikers met een kwetsbare Office-installatie het document openden konden de aanvallers malware op het systeem installeren. Vervolgens werd geprobeerd om zich lateraal door het netwerk te bewegen en domaincontroller te worden. Voor het beveiligingslek in Office (CVE-2017-11882) is sinds 14 november 2017 een update beschikbaar. Waarom organisaties de update niet hadden geinstalleerd is niet bekend. Volgens Kaspersky zijn de aanvallen zeer waarschijnlijk door een Chineestalige spionagegroep uitgevoerd. De virusbestrijder adviseert organisaties onder andere om personeel te trainen, met name op het herkennen van phishingmails en veilig omgaan met Microsoft Office. bron: https://www.security.nl

Ik sluit mij bij Passer aan. Gebruik al jaren op meerdere systemen Windows Defender naar goede tevredenheid

Ik neem aan dat je probleem is opgelost. Moest in mijn vakantie nog wel even aan dit topic denken. Na updates "stroomde" mijn CAT-gsm ook sneller leeg dan normaal. Heb toen ook aantal aps uitgezet. Na diverse updates van aantal apps lijkt het probleem te zijn opgelost. Nogmaals; aangezien je al een tijdje niet gereageerd hebt, neem ik aan dat het probleem is opgelost en sluit ik het topic. Wil je toch nog reageren of over dit probleem een vraag hebben, stuur dan even een PM.

DuckDuckGo gaat binnenkort ook trackingscripts van Microsoft in de eigen browser en extensie blokkeren zo is vandaag bekendgemaakt. DuckDuckGo kwam onlangs onder vuur te liggen omdat het third-party scripts van Microsoft op websites niet blokkeert. Het gaat hierbij om trackingscripts die websites zelfs plaatsen. De op privacygerichte zoekmachine biedt ook een eigen browser en extensie die trackingscripts van bijvoorbeeld Facebook en Google blokkeren. Scripts van Microsoft werden echter doorgelaten. Dit zorgde voor de nodige kritiek. DuckDuckGo-oprichter Gabriel Weinberg liet op Twitter weten dat DuckDuckGo vanwege een overeenkomst met Microsoft de scripts van het techbedrijf niet mocht blokkeren. De overeenkomst met Microsoft betreft het gebruik van Bing als bron voor de DuckDuckGo-zoekmachine. Weinberg stelt dat DuckDuckGo een dergelijke afspraak niet met andere bedrijven heeft en de trackingscripts van Microsoft komende week binnen de extensies en browser worden geblokkeerd. Daarnaast is er een aparte pagina die uitlegt hoe trackingscripts binnen DuckDuckGo worden geblokkeerd. bron: https://www.security.nl

NAS-fabrikant QNAP is onder vuur van een Amerikaans securitybedrijf komen te liggen omdat het nauwelijks informatie over verholpen kwetsbaarheden deelt, wat klanten minder veilig zou maken. Begin april van dit jaar liet het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten dat er actief misbruik werd gemaakt van een kwetsbaarheid (CVE-2020-2509) in het QTS-besturingssysteem van QNAP. Via het beveiligingslek is remote code execution mogelijk en kan een aanvaller willekeurige code op kwetsbare NAS-apparaten uitvoeren. Het probleem werd in november 2020 voor nieuwere NAS-modellen en in april 2021 in oudere NAS-modellen door QNAP verholpen. Volgens QNAP gaat het om een kritieke kwetsbaarheid, maar verdere details werden niet gegeven. Eind april van dit jaar kwamen het CISA en de FBI met een lijst van vaak aangevallen kwetsbaarheden in 2021, waarop ook de QNAP-kwetsbaarheid werd genoemd. Er is echter geen publieke exploit voor dit beveiligingslek bekend en geen enkele andere organisatie heeft misbruik van de kwetsbaarheid gemeld, aldus securitybedrijf Rapid7. Dat besloot vervolgens onderzoek naar CVE-2020-2509 te doen en ontdekte daarbij naar eigen zeggen een geheel nieuwe kwetsbaarheid. Of dit ook daadwerkelijk zo is, is onbekend. De kwetsbaarheid die Rapid7-onderzoeker Jake Baines ontdekte maakt misbruik van de mogelijkheid voor een aanvaller om QNAP-apparaten naar updates te laten zoeken, waarbij er vervolgens met een malafide updateserver van de aanvaller verbinding wordt gemaakt. Dit is mogelijk omdat oudere versies van het QTS-besturingssysteem dat op de NAS-apparaten draait via http verbinding maakt met update.qnap.com. Via een man-in-the-middle-aanval of dns-hijacking kan een aanvaller het verzoek onderscheppen en naar zijn eigen server doorsturen. Vervolgens kan hij het NAS-apparaat een malafide XML-bestand laten downloaden waarmee command injection mogelijk is, waardoor een aanvaller zijn commando's op het NAS-apparaat kan uitvoeren. Rapid7 waarschuwde QNAP, dat vervolgens naar het beveiligingsbulletin voor CVE-2020-2509 wees. De kwetsbaarheid die Baines ontdekte is met deze update verholpen, maar de onderzoeker denkt toch dat het om een ander probleem gaat. Door een gebrek aan informatie aan de kant van QNAP kan dit echter niet worden bevestigd. "QNAP is het aan klanten en de beveiligingsindustrie verplicht om uitgebreide informatie te verstrekken. Leveranciers die verantwoordelijk zijn voor de veiligheid van hun producten, zijn ook verantwoordelijk voor het informeren van de community over de ernst van kwetsbaarheden in die producten. Wanneer ze dit niet doen, bijvoorbeeld door bulletins niet van basale informatie te voorzien zoals CVSS-scores, onthouden ze gebruikers volledige autonomie over de keuzes die ze maken over de risico's voor hun netwerken. Dit maakt ons allemaal minder veilig", aldus Baines. bron: https://www.security.nl

De populairste malware-exemplaren waar criminelen gebruik van maken zijn ontwikkeld om wachtwoorden en andere informatie te stelen en zijn vaak al jaren oud, zo claimen de Amerikaanse en Australische autoriteiten in een overzicht van de elf meestgebruikte malware-exemplaren van 2021. Volgens het Australische Cyber Security Centre (ACSC) en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) zijn Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot en GootLoader vorig jaar het vaakst bij aanvallen ingezet. De meeste van deze exemplaren zijn al vele jaren oud. Zo zijn Ursnif en Qakbot volgens beide overheidsdiensten al sinds 2007 actief. De ontwikkelaars van de malware blijven echter bezig en voegen steeds nieuwe features en aanpassingen door, om zo onder andere detectie door antivirussoftware te voorkomen. Het grootste deel van de malware-exemplaren die het ACSC en CISA noemen zijn ontwikkeld om inloggegevens en vertrouwelijke informatie te stelen. Verschillende exemplaren, zoals Trickbot, Qakbot en GootLoader, kunnen ook aanvullende malware installeren. Zo wordt TrickBot verantwoordelijk gehouden voor tal van grote ransomware-aanvallen. De criminelen achter de Conti-ransomware maken vaak gebruik van toegang die via TrickBot is verkregen om hun ransomware uit te rollen. Volgens de overheidsdiensten werden in de eerste helft van 2021 zo'n 450 organisaties wereldwijd het slachtoffer van aanvallen met de Conti-ransomware. Naast een overzicht van de elf populairste malware-exemplaren en Snort-signatures om ze te detecteren, geven het ACSC en CISA ook adviezen om infecties te voorkomen. Het gaat dan om zaken als het installeren van beveiligingsupdates, het gebruik van multifactorauthenticatie, het monitoren en beveiligen van RDP, maken van offline back-ups en het trainen van personeel. bron: https://www.security.nl

De Amerikaanse autoriteiten waarschuwen voor een actief aangevallen kwetsbaarheid in de Zimbra-mailserversoftware waardoor een ongeauthenticeerde aanvaller op afstand plain text inloggegevens van e-mailaccounts kan stelen zonder enige interactie van gebruikers. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Een kwetsbaarheid in de mailserversoftware, aangeduid als CVE-2022-27924, maakt het mogelijk om waardes in de cache aan te passen. Hiervoor hoeft een aanvaller alleen een speciaal geprepareerd http-request naar de server te sturen. Zo is de opgeslagen route naar bijvoorbeeld de IMAP-server te veranderen in een server van de aanvallers. Wanneer een gebruiker vervolgens inlogt zullen zijn inloggegevens naar de malafide opgegeven server worden doorgestuurd, zonder dat een gebruiker dit doorheeft. Daarbij hoeft een aanvaller niet eens het e-mailadres van een doelwit te weten. De aanval werkt niet tegen gebruikers die alleen van de Zimbra-webmailclient gebruikmaken. Doelwitten moeten via het IMAP- of POP-protocol inloggen. Zimbra werd op 11 maart van dit jaar over de kwetsbaarheid ingelicht en heeft inmiddels beveiligingsupdates uitgebracht om het probleem te verhelpen. De Shadowserver Foundation waarschuwde in juni dat het 30.000 mogelijk kwetsbare Zimbra-installaties op internet had gevonden, waarvan ruim driehonderd in Nederland. Gisterenavond maakte het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bekend dat aanvallers actief misbruik maken van het lek en roept federale overheidsinstanties op om de update voor 25 augustus te installeren. bron: https://www.security.nl

Wereldwijd zijn duizenden GlobalProtect vpn-servers van Palo Alto Networks kwetsbaar voor aanvallen doordat organisaties de standaard master key niet hebben gewijzigd. De master key wordt gebruikt voor het versleutelen van onder andere private keys en wachtwoorden in het configuratiebestand. Het kan echter ook toegang tot de server geven. Palo Alto Networks adviseert organisaties om bij de installatie een nieuwe master key te configureren. "Dit zorgt ervoor dat een aanvaller geen toegang tot al je apparaten heeft in het geval hij de master key van één apparaat achterhaalt", aldus een blogposting op de website van Palo Alto. De standaard master key die Palo Alto gebruikt is al jaren bekend. Een beveiligingsonderzoeker met het alias "rqu" schreef onlangs een tool en ontdekte dat nagenoeg alle organisaties de master key van hun GlobalProtect vpn-servers niet hebben gewijzigd. Wanneer de key bij een aanvaller bekend is kan die commando's met rootrechten uitvoeren, zo waarschuwt beveiligingsonderzoeker Kevin Beaumont op Twitter. Vorig jaar kwam Palo Alto met een beveiligingsupdate die moet voorkomen dat een aanvaller die de master key kent willekeurige code met rootrechten op servers kan uitvoeren. Beaumont stelt dat veel organisaties deze update niet hebben geïnstalleerd. Daarnaast merkt de onderzoeker op dat veel organisaties de master key waarschijnlijk bewust niet wijzigen. Wanneer een nieuwe master key is ingesteld zal die na een bepaalde tijd verlopen. Beheerders moeten voor het verstrijken een nieuwe key hebben geconfigureerd, anders zal de firewall waarop GlobalProtect draait naar de onderhoudsmodus rebooten, wat beheerders geen andere optie laat dan het uitvoeren van een fabrieksreset. Een situatie die zich met de standaard ingestelde key niet voordoet. Vanwege het risico op misbruik wordt organisaties aangeraden de master key toch te wijzigen. bron: https://www.security.nl

Aanvallers die slachtoffers via social engineering met malware proberen te infecteren maken hierbij vaak gebruik van pictogrammen van Adobe Acrobat en Skype, zo stelt VirusTotal op basis van eigen onderzoek. VirusTotal is de online virusscandienst van Google waarmee verdachte bestanden door tientallen virusscanners zijn te controleren. Volgens VirusTotal is er een geleidelijke toename van de hoeveelheid malware die op visuele wijze legitieme applicaties nabootst, waarbij Skype en Adobe Acrobat het vaakst worden gebruikt. Voor het onderzoek keek VirusTotal naar geüploade malware-exemplaren en van welke pictogrammen ze gebruik maken. Naast Adobe Acrobat en Skype zijn ook VLC en 7-Zip erg geliefd bij aanvallers. VirusTotal keek ook naar het totaal aantal geüploade bestanden met een bepaald pictogram en welk percentage daarvan malware was. Dan wordt de lijst wederom aangevoerd door Adobe Acrobat en Skype, gevolgd door 7-Zip, CCleaner en Steam. De online virusscandienst stelt dat het belangrijk is om te weten welke technieken malware toepast om er iets aan te kunnen doen (pdf). bron: https://www.security.nl

Het aantal aangiften van internetfraude, phishing, ransomware en andere vormen van cybercrime in België is vorig jaar verder gestegen, zo laat de Belgische federale politie vandaag weten. Er kwamen in 2021 ruim 47.000 aangiften van "informaticacriminaliteit" binnen, een stijging van zeven procent ten opzichte van 2020. Het gaat dan om zaken als het inbreken op systemen, datadiefstal en aanvallen met ransomware. Ook phishing blijft nog altijd een probleem in België. Vorig jaar deden ruim 8300 slachtoffers aangifte. Een stijging van bijna elf procent ten opzichte van 2020. Verder werden er 152 gevallen van ransomware geregistreerd, terwijl dat er een jaar eerder nog 124 waren. In 2017, 2018 en 2019 werd er echter vaker aangifte van ransomware gedaan. "Een steevaste stijger in de criminaliteitsstatistieken is al jaren de cybercriminaliteit. Naarmate onze samenleving meer en meer gebruik maakt van het internet en van technologie, doen ook criminelen hier steeds vaker een beroep op. Dat was in 2021 niet anders", aldus de Belgische politie. De stijging was vorig jaar wel minder groot dan in de jaren daarvoor. Naast misdrijven die onder de categorie cybercrime vallen zijn er ook andere, ‘klassieke’ misdrijven die in toenemende mate via internet gepleegd worden. Het gaat dan bijvoorbeeld om internetfraude, zoals aankoopfraude, vriendschapsfraude en identiteitsfraude. Vorig jaar werden ruim 38.000 gevallen van internetfraude geregistreerd, een toename van bijna vier procent ten opzichte van 2020. "De toekomst is digitaal, en dus ook de criminaliteit. De trend van de afgelopen jaren zet zich voort: criminelen gebruiken steeds vaker het internet voor hun criminele activiteiten. De politie blijft niet achter. We investeren de komende jaren verder in ict, en rekruteren gespecialiseerde ict-profielen", zegt de Belgische minister van Binnenlandse Zaken Annelies Verlinden. bron: https://www.security.nl

Browserontwikkelaar Opera heeft de betaalde vpn-dienst die het eerder al voor Android uitbracht nu ook voor macOS en Windows beschikbaar gemaakt. De browser beschikte al enige tijd over een gratis vpn-optie, maar biedt gebruikers nu ook tegen betaling de mogelijkheid om meer dan drieduizend vpn-servers in meer dan dertig landen wereldwijd te gebruiken. Net als de gratis dienst zegt Opera dat het ook bij de betaalde vpn-dienst geen logs bijhoudt. De betaalde versie is met één account op zes verschillende apparaten te gebruiken. Daarnaast biedt Opera tot 31 augustus de mogelijkheid om de betaalde vpn-dienst één maand gratis uit te proberen. VPN Pro kost normaliter 66 euro per jaar, maar Opera biedt gebruikers nu een korting. bron: https://www.security.nl

Een kritieke kwetsbaarheid in vpn-routers van Cisco maakt het mogelijk voor aanvallers om de apparaten op afstand volledig over te nemen of te laten herstarten waardoor een denial-of-service ontstaat, zo waarschuwt de netwerkfabrikant die beveiligingsupdates heeft uitgebracht om het probleem te verhelpen. Het beveiligingslek, aangeduid als CVE-2022-20842, is aanwezig in de webinterface van Cisco Small Business RV-routers RV340, RV340W, RV345 en RV345P. De webinterface blijkt gebruikersinvoer niet goed te controleren. Door het versturen van een speciaal geprepareerd http packet kan een ongeauthenticeerde aanvaller willekeurige code met rootrechten uitvoeren, wat inhoudt dat er volledige controle over het apparaat is. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Daarnaast is Cisco ook met een update voor een andere kritieke kwetsbaarheid gekomen (CVE-2022-20827) die in de webfilter-database van verschillende modellen vpn-routers aanwezig is (RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345 en RV345P). Ook via dit beveiligingslek kan een ongeauthenticeerde aanvaller op afstand willekeurige code met rootrechten uitvoeren. De impactscore is met een 9.0 iets lager beoordeeld. Cisco roept organisaties op om de beschikbaar gestelde updates te installeren. bron: https://www.security.nl

Een nieuw Europees wetsvoorstel dat communicatiediensten verplicht om alle communicatie van hun gebruikers te scannen op kindermisbruik vormt een bedreiging voor end-to-end encryptie, zo laat de Autoriteit Persoonsgegevens vandaag weten. Vorige week meldde Security.NL al dat de Europese privacytoezichthouders zich ernstig zorgen maken over het scanplan van de Europese Commissie en dat dit een serieus risico vormt voor de fundamentele rechten van 450 miljoen Europeanen. De Europese privacytoezichthouder EDPS en het Europees Comité voor gegevensbescherming (EDPB), waarin alle nationale Europese privacytoezichthouders zijn verenigd, kwamen afgelopen vrijdag met een gezamenlijke opinie over het wetsvoorstel waarin ze stelden dat het moet worden aangepast. Volgens de EDPS en EDPB vormt het voorstel van de Europese Commissie in zijn huidige vorm een groter risico voor individuen en de samenleving in zijn geheel dan voor criminelen die voor kindermisbruik worden vervolgd. De toezichthouders maken zich zeer grote zorgen over de impact die de voorgestelde maatregelen op de privacy en persoonlijke data van personen zullen hebben. Vandaag bericht de Autoriteit Persoonsgegevens over de opinie en zorgen die er bij de toezichthouders over het voorstel zijn. "Versleuteling is essentieel voor de bescherming van het privéleven, het communicatiegeheim en de vrijheid van meningsuiting", aldus de AP. "Het voorstel brengt het risico met zich mee dat communicatiediensten meekijken bij álle communicatie tussen mensen in Europa." Door communicatiediensten te verplichten de berichten en gesprekken van gebruikers te scannen op kindermisbruik bedreigt de wet encryptie, zo laat de privacytoezichthouder verder weten. Bij end-to-end encryptie is de inhoud van de communicatie alleen toegankelijk voor de afzender en ontvanger. "Het wetsvoorstel zal er waarschijnlijk toe leiden dat de communicatiediensten ook een sleutel moeten hebben", merkt de AP op. Dit zou een einde van end-to-end encryptie betekenen, aangezien de encryptie dan niet meer end-to-end versleuteld is. bron: https://www.security.nl

Gratis virusscanners doen niet onder voor betaalde producten, zo blijkt uit een nieuwe test van het AV-TEST Institute met negentien antiviruspakketten voor Windows 10. De virusscanners werden getest op bescherming, prestaties en bruikbaarheid. Van de negentien pakketten werden er zeventien als "Top Product" bestempeld, waaronder de gratis virusscanners van Avast en Microsoft. Voor de drie testonderdelen konden de virusscanners bij elkaar achttien punten verdienen. Bij de detectie van malware werd gekeken naar 373 "zero-day" malware-exemplaren en ruim 23.000 malware-exemplaren die in de laatste vier weken voor de test van juni werden ontdekt. Voor de detectie van zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,7 procent gehaald. De test met de ruim 23.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Negen virusscanners wisten op beide onderdelen 100 procent te scoren. Het gaat om AhnLab, Avira, Bitdefender, F-Secure, G Data, McAfee, Microsoft, NortonLifeLock en Trend Micro. Om op dit onderdeel de maximale zes punten te halen was het echter niet noodzakelijk om ook alle malware te detecteren. Protected.Net zet met vijf punten de laagste detectiescore neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Hierbij weten alle virusscanners de maximale zes punten te scoren. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden 1,1 miljoen schone websites en bestanden gebruikt. Zestien pakketten halen de maximale zes punten. PC Matic eindigt op dit onderdeel met 3,5 punten onderaan. Ook bij eerdere tests eindigde deze virusscanner op dit onderdeel als laatste. Van de negentien virusscanners weten er uiteindelijk veertien op alle drie de vlakken maximaal te scoren, waaronder de gratis virusscanners van Avast en Microsoft. PC Matic eindigt met 15,5 punten als hekkensluiter. Om als topproduct bestempeld te worden was het niet nodig om de maximale score te halen. Ook producten met 17,5 punten krijgen dit stempel. bron: https://www.security.nl

Gebruikers van de populaire back-up- en synchronisatiesoftware rsync zijn gewaarschuwd voor een kritieke kwetsbaarheid in de software waardoor een malafide server of man-in-the-middle-aanvaller willekeurige bestanden kan schrijven in directories van clients die verbinding maken. Het probleem wordt veroorzaakt door onvoldoende controle in een functie van rsync waardoor de server kan bepalen welke bestanden en directories er naar de client worden gestuurd. Daardoor is het mogelijk voor een malafide rsync-server of man-in-the-middle-aanvallers om kritieke bestanden in de rsync-directory en -subdirectories te overschrijven, zoals het .ssh/authorized_keys bestand. Volgens onderzoekers van securitybedrijf Prodaft die het probleem ontdekten lijkt de nu gevonden kwetsbaarheid (CVE-2022-29154) erg op een beveiligingslek dat begin 2019 in OpenSSH werd gevonden en het ook mogelijk maakte om bestanden bij clients te overschrijven. Het probleem speelt in versies voor rsync 3.2.5. Er is inmiddels een prelease van 3.2.5 uitgebracht, maar verschillende lezers van Hacker News hebben hun twijfels over de gekozen oplossing van de rsync-ontwikkelaars. bron: https://www.security.nl

VMware roept bedrijven en organisaties op om een beveiligingsupdate die gisteren verscheen voor een kritieke kwetsbaarheid in verschillende producten direct te installeren. Het beveiligingslek, aangeduid als CVE-2022-31656, maakt het mogelijk voor een aanvaller om zonder in te loggen beheerderstoegang te krijgen. Het gaat om een zogenaamde "authentication bypass" die aanwezig is in VMware Workspace ONE Access, Identity Manager en vRealize Automation. Workspace One is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. Kwetsbaarheden in de software zijn in het verleden vaker misbruikt voor aanvallen. Zo waarschuwde VMware afgelopen april nog voor een actief aangevallen lek in Workspace ONE. De impact van de kritieke kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. VMware stelt dan ook dat organisaties de nu beschikbaar gestelde patch direct moeten installeren om zich tegen mogelijke aanvallen te beschermen. Voor zover bekend wordt er nog geen misbruik van het beveiligingslek gemaakt, dat werd ontdekt en gerapporteerd door beveiligingsonderzoeker Petrus Viet. Viet laat via Twitter weten dat hij binnenkort met een technische writeup van de kwetsbaarheid komt en een proof-of-concept exploit. Daarmee wordt het eenvoudiger voor aanvallers om nog kwetsbare installaties aan te vallen. Om misbruik van het lek te maken heeft een aanvaller alleen toegang nodig tot de gebruikersinterface van de kwetsbare producten. VMware heeft ook verschillende andere beveiligingslekken in de producten verholpen, maar daarvan is de impact kleiner. bron: https://www.security.nl

Softwarebedrijf SolarWinds, waarvan de updates werden gebruikt voor een wereldwijde aanval, maakt om herhaling te voorkomen gebruik van een zelfvernietigende software-ontwikkelomgeving. SolarWinds is het bedrijf achter de Orion-software, waarmee tienduizenden bedrijven hun it-omgevingen monitoren. Aanvallers wisten de officiële updates voor de software van een backdoor te voorzien waarmee de omgevingen van klanten konden worden gecompromitteerd. De besmette updates werden uiteindelijk door 18.000 SolarWinds-klanten geïnstalleerd. Het bedrijf had niet door dat de aanvallers sinds begin 2019 vergaande toegang hadden en werd eind 2020 door een externe partij ingelicht dat de ontwikkelomgeving was gecompromitteerd. Naar aanleiding van de aanval heeft SolarWinds verschillende aanpassingen doorgevoerd. Zo is bijna al het personeel voorzien van een YubiKey om in te loggen op systemen. Daarnaast is er een nieuwe buildomgeving gemaakt voor het ontwikkelen van software. Het gaat hier om ontwikkelomgevingen die zichzelf nadat een specifieke taak is uitgevoerd vernietigen. Hiervoor maakt SolarWinds gebruik van Linux-containers die softwareontwikkelaars zelf kunnen starten en na het uitvoeren van de betreffende buildjob worden vernietigd. Dit moet voorkomen dat er een ontwikkelomgeving ontstaat die aanvallers voor een langere periode kunnen compromitteren en als "thuisbasis" voor verdere aanvallen kunnen gebruiken. Is er daardoor "niet statisch" om aan te vallen, zegt chief information security officer (CISO) Tim Brown tegenover The Daily Swig. Ook wordt elke stap in het buildproces van de software nu opgeslagen, zodat alle aanpassingen traceerbaar zijn. Verder is er een gelijktijdig buildproces om zo onverwachte aanpassingen aan code te detecteren. Onderdelen van het nieuwe buildsysteem zijn open source gemaakt. bron: https://www.security.nl

De glasvezelkabels die bij meer dan 4,7 miljoen Nederlandse huishoudens liggen maken het in theorie mogelijk om gesprekken in huis op een kilometer afstand af te luisteren, zo claimen onderzoekers van de Chinese Tsinghua University. De geluidsgolven die mensen tijdens het praten produceren hebben effect op de glasvezelkabel in de woning en kunnen voor faseveranderingen zorgen die door aanvallers op een kilometer afstand zijn op te vangen. Deze faseveranderingen zijn vervolgens weer om te zetten naar geluidssignalen. Daarbij is het niet nodig om extra apparatuur in de woning van het doelwit te plaatsen. Voor het uitvoeren van de aanval moet de aanvaller wel eerst de glasvezelkabel van het doelwit vinden en die aansluiten op het afluistersysteem. De onderzoekers stellen in een publicatie over hun onderzoek dat ze in een laboratorium hebben aangetoond dat een dergelijke aanval mogelijk is. Wel stellen de onderzoekers dat het afluisteren via glasvezelkabel complexe apparatuur en strikte voorwaarden eist om mogelijk te zijn, maar dat het in geheim stelen van informatie ongeacht de kosten altijd plaatsvindt. Om het afluisteren te voorkomen adviseren de onderzoekers het gebruik van metaal of glas als kabelcoating en het veranderen van de glasvezeladapter die op de modem wordt aangesloten om zo de echo te beperken. bron: https://www.security.nl

De meeste organisaties en bedrijven die het slachtoffer van ransomware worden laten niet weten hoe ze geïnfecteerd raakten, wat belangrijke informatie is om toekomstige slachtoffers te voorkomen. Daarnaast worden de meeste ransomware-aanvallen niet gerapporteerd, waardoor de werkelijke omvang van het probleem onbekend blijft, zo stelt het Europees agentschap voor cyberbeveiliging (ENISA) in een nieuw rapport over ransomware. Voor het rapport werden 623 ransomware-incidenten in voornamelijk Europa en de Verenigde Staten onderzocht die zich van mei vorig jaar tot en met juni dit jaar voordeden. Het werkelijke aantal incidenten in deze periode bedroeg vermoedelijk bijna 3700, aldus ENISA. Volgens het agentschap wordt dan ook slechts het spreekwoordelijke topje van de ijsberg openbaar. Daarnaast laat de informatie van organisaties en bedrijven die door ransomware getroffen worden ernstig te wensen over. Bij 594 van de 623 onderzochte ransomware-aanvallen liet de aangevallen organisatie niet weten hoe de aanvallers toegang tot de systemen hadden gekregen. "Het is begrijpelijk dat doelwitten vanwege veiligheidsredenen niet willen delen hoe (of nog steeds) ze kwetsbaar waren, maar tegelijkertijd helpt het gebrek aan informatie anderen niet om te beseffen wat ze zouden moeten verbeteren of hoe ze in de toekomst ook slachtoffer kunnen worden", zo laat het rapport weten. Verder melden de meeste ransomware-slachtoffers niet of ze het losgeld dat de criminelen vroegen hebben betaald. Bij 588 van de 623 ransomware-aanvallen was het voor de onderzoekers niet mogelijk om te bepalen of slachtoffers betaald hadden. Van de resterende 35 gevallen bleek dat er acht keer losgeld was betaald. De onderzoekers vermoeden dat meer dan zestig procent van de getroffen organisaties betaalt. Het gebrek aan betrouwbare data van aangevallen organisaties maakt het dan ook lastig om de omvang van het probleem te zien, zo staat in de conclusie van het rapport. Daarin wordt ook gewezen naar een Amerikaans wetsvoorstel dat bepaalde organisaties verplicht om ransomware-aanvallen te melden. Op dit moment zijn het de websites van ransomwaregroepen die de meest betrouwbare bron zijn om informatie over slachtoffers te achterhalen, hoewel ook deze pagina's een onbetrouwbare bron zijn, stellen de onderzoekers. bron: https://www.security.nl

Google kan opnames die gemaakt zijn met de Nest-deurbel zonder toestemming van gebruikers met de autoriteiten delen. Dat bevestigt het techbedrijf tegenover CNET. In de gebruikersovereenkomst stelt Google dat het in noodgevallen beelden van Nest-deurbellen zonder toestemming met bijvoorbeeld opsporingsdiensten kan delen. Eerder bleek Amazon dit al te doen met beelden die de Ring-deurbel maakt. "In overeenstemming met de gebruikersvoorwaarden en deze website, delen we in noodgevallen informatie", aldus een woordvoerder van Google tegenover CNET. "De juridische basis hiervoor staat in de Electronic Communications Privacy Act, die stelt dat een provider zoals Google zonder dagvaarding of gerechtelijk bevel informatie met opsporingsdiensten kan delen als de provider, in goed vertrouwen, aanneemt dat vanwege een noodgeval met ernstig lichamelijk letsel of overlijden van een persoon zonder vertraging informatie moet worden gedeeld." De Google-woordvoerder merkt op dat ook Nest-gegevens in noodgevallen kunnen worden gedeeld. Volgens de Amerikaanse woordvoerder is dat nog nooit voorgekomen, maar heeft Google wel het recht om dit te doen. Security.NL heeft Google gevraagd of het techbedrijf ook data van Nederlandse Nest-gebruikers zonder toestemming kan delen en of dit al is voorgekomen. Vorige maand werd bekend dat Amazon audio en beelden die met de Ring-deurbelcamera zijn gemaakt zonder toestemming en medeweten van gebruikers met de Amerikaanse politie heeft gedeeld. Amazon stelt dat het dit alleen in noodgevallen doet. Iets dat dit jaar al elf keer is voorgekomen, aldus het techbedrijf. In het geval van deurbellen die van end-to-end encryptie gebruikmaken zouden beelden niet zonder toestemming van de gebruiker kunnen worden gedeeld. Ring biedt deze optie, maar die staat niet standaard ingeschakeld. "Ongeacht de fabrikant, je digitale footprint zal altijd kunnen worden opgevraagd, en bedrijven die gebruikersdata verwerken zullen altijd onderhevig zijn aan verzoeken van politie om er toegang toe te krijgen", stelt Ry Crist van CNET. bron: https://www.security.nl

Microsoft heeft besloten om het standaard blokkeren van macro's in Office tijdelijk terug te draaien. Het techbedrijf had de maatregel genomen om gebruikers en organisaties tegen ransomware te beschermen, maar is daar vanwege "feedback" op teruggekomen. De maatregel, die al in de previewversie van het "Current Channel" van Office 365 was doorgevoerd, wordt nu teruggedraaid. Dat laat Microsoft via de eigen website weten. Veel grote ransomware-aanvallen, zoals die bij de Universiteit Maastricht, begonnen met een Office-document voorzien van een kwaadaardige macro. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's, maar gebruikers kunnen die met een enkele muisklik inschakelen. Vaak voegen aanvallers instructies voor het slachtoffer toe om macro's in te schakelen, bijvoorbeeld omdat dit nodig zou zijn om de inhoud van het document te bekijken. Om te voorkomen dat aanvallers op deze manier nog malware en ransomware kunnen verspreiden besloot Microsoft afgelopen april een aanpassing in Access, Excel, PowerPoint, Visio en Word door te voeren. Bij Office-documenten afkomstig van het internet worden macro's op zo'n manier geblokkeerd dat die niet meer eenvoudig zijn in te schakelen. Office laat in dit geval een waarschuwing zien dat er sprake is van een beveiligingsrisico met een link naar een pagina die uitlegt waarom de macro is geblokkeerd. Gebruikers die macro's alsnog in het betreffende document willen inschakelen zullen hiervoor via de bestandseigenschappen verschillende stappen moeten doorlopen. Op 12 april werd de feature in de previewversie van het current Microsoft 365 channel doorgevoerd. Andere versies zouden op een later moment volgen. In een update meldt Microsoft dat het vanwege feedback heeft besloten de aanpassing terug te draaien. Het bedrijf zegt de "experience" te willen verbeteren en zal die op een nog te bepalen moment weer uitbrengen. Verdere details zijn niet gegeven. Critici stellen dat de macro-blokkade in zijn huidige vorm met name binnen het mkb voor grote problemen zou zorgen. Microsoft wordt dan ook gevraagd de aanpassing te vereenvoudigen en hier duidelijker over te communiceren. bron: https://www.security.nl