Captain Kirk

I

Microsoft heeft de Smartscreen-library die Edge gebruikt voor het detecteren van phishingsites en malafide bestanden naar eigen zeggen volledig vernieuwd, waardoor gebruikers van de browser nu beter beschermd zouden moeten worden. De library is volgens Microsoft volledig herschreven en maakt gebruik van nieuwe "phishingsensoren" en meer "threat intelligence" signalen om malafide sites te detecteren. De nieuwe Smartscreen-library zou gebruikers vanaf Edge 103 ook sneller tegen nieuwe dreigingen moeten beschermen. Voor bedrijven die met de nieuwe Smartscreen-library tegen compatibiliteitsproblemen aanlopen is de legacy versie van Defender Smartscreen nog beschikbaar. Hiervoor heeft Microsoft een tijdelijke policy toegevoegd die tot de komst van Microsoft Edge versie 108 is te gebruiken. bron: https://www.security.nl

Communicatieplatform Matrix heeft updates uitgebracht voor twee kritieke kwetsbaarheden in de implementatie van end-to-end encryptie in de software development kits (SDK's) van chatapps zoals Element, Beeper, Cinny, SchildiChat, Circuli en Synod.im. Gebruikers van deze chatapps worden opgeroepen om de beschikbaar gemaakte beveiligingsupdates te installeren en daarna pas de verificatie met nieuwe apparaten uit te voeren. Matrix is een protocol en platform dat versleutelde communicatie biedt. Onderzoekers van de University of London, University of Sheffield en Brave Software besloten de software te onderzoeken en ontdekten naar eigen zeggen verschillende praktisch te misbruiken cryptografische kwetsbaarheden in de end-to-end encryptie van Matrix. Het gaat hierbij niet om beveiligingslekken in het protocol zelf, maar in de implementatie daarvan. Via de kritieke beveiligingslekken zijn verschillende aanvallen uit te voeren. Misbruik van de kritieke kwetsbaarheden is echter alleen mogelijk via een malafide homeserver waarmee gebruikers verbinding maken. In het eerste aanvalsscenario kan een malafide homeserver gebruikers toevoegen aan end-to-end versleutelde chatrooms. Zodra de gebruiker is toegevoegd kan de homeserver alle toekomstige berichten die naar de chatroom worden verstuurd ontsleutelen. Bij het tweede aanvalsscenario kan een malafide homeserver een apparaat waar het de controle over heeft aan het account van een andere, af te luisteren gebruiker in de chatroom toevoegen. Alle gebruikers in de chatroom zullen zien dat dit een 'ongeverifieerd' apparaat is. Bestaande apparaten zullen hun inkomende sessies met dit nieuwe apparaat delen, wat decryptie van toekomstige berichten die naar de chatroom worden verstuurd mogelijk maakt. Een derde aanval maakt het mogelijk voor de beheerder van een malafide homeserver om een malafide key back-up aan het account van gebruikers toe te voegen om zo keys van deze gebruikers te stelen. Matrix stelt dat het niet met aanvallen bekend is die misbruik van de genoemde kwetsbaarheden maken, maar adviseert gebruikers om de instellingen van hun key back-ups te controleren. Wie zich zorgen maakt kan zijn online key back-up resetten. Matrix maakt verder excuses aan de community voor het ongemak en de verstoring die de kwetsbaarheden veroorzaakten. bron: https://www.security.nl

Microsoft waarschuwt organisaties en bedrijven voor twee actief aangevallen zerodaylekken in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller code op kwetsbare systemen kan uitvoeren. Een beveiligingsupdate is nog niet beschikbaar. Organisaties kunnen echter mitigerende maatregelen nemen om hun Exchange-servers te beschermen. De eerste kwetsbaarheid (CVE-2022-41040) is een Server-Side Request Forgery (SSRF) kwetsbaarheid. Hiermee kan een aanvaller de functionaliteit van een server misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. De tweede kwetsbaarheid (CVE-2022-41082) maakte remote code execution (RCE) mogelijk wanneer PowerShell voor de aanvaller toegankelijk is. Bij de waargenomen aanvallen werd eerst CVE-2022-41040 gebruikt om vervolgens via CVE-2022-41082 code op de Exchange-server uit te voeren. Om beide kwetsbaarheden te kunnen misbruiken moet een aanvaller geauthenticeerde toegang tot de Exchange-server hebben, bijvoorbeeld via een gecompromitteerd e-mailaccount. Zodra aanvallers een Exchange-server hebben gecompromitteerd installeren ze een webshell om toegang te behouden en verdere aanvallen uit te voeren, zo meldt securitybedrijf GTSC dat de zerodays ontdekte. Volgens beveiligingsonderzoeker Kevin Beaumont is een groot aantal Exchange-servers via de kwetsbaarheden van een backdoor voorzien. Aangezien beveiligingsupdates nog niet beschikbaar zijn adviseert Microsoft het instellen van bepaalde URL-rewrites, waarmee de huidige aanvallen zijn te voorkomen. Verder kan ook het blokkeren van bepaalde poorten gebruikt voor remote PowerShell de aanvallen beperken, aldus het techbedrijf. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.8 en 6.3. bron: https://www.security.nl

Switches en andere netwerkapparatuur van Cisco zijn door middel van een reeks denial of service (dos)-kwetsbaarheden op afstand plat te leggen. De netwerkgigant bracht gisteren beveiligingsupdates uit voor 22 beveiligingslekken in een groot aantal producten. Tien van de kwetsbaarheden maken een denial of service mogelijk en zorgen ervoor dat aanvallers op afstand de kwetsbare apparatuur kunnen laten herstarten. De impact van meerdere van deze kwetsbaarheden (CVE-2022-20870, CVE-2022-20856, CVE-2022-20848, CVE-2022-20847 en CVE-2022-20919) is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. De problemen zijn aanwezig in onder andere de Catalyst 3650, 3850, 9100, 9300, 9400, 9500, 9600 en 9800, alsmede Cisco-apparatuur die IOS of IOS XE draait en het CIP-protocol ingeschakeld heeft staan. Door het versturen van een speciaal geprepareerd pakket is het mogelijk om de apparaten te laten herstarten. Voor zover bekend wordt er geen misbruik van de kwetsbaarheden gemaakt, zo laat Cisco verder weten. bron: https://www.security.nl

De Brave-browser krijgt een nieuwe optie waarmee gebruikers standaard de cookiebanners kunnen blokkeren waarmee websites aan bezoekers toestemming vragen voor het plaatsen van cookies. Op dit moment moeten gebruikers vaak nog een extensie installeren om dergelijke pop-ups niet meer te zien. In de huidige Nightly-versie van Brave en versie 1.45 die later deze maand verschijnt krijgen gebruikers de vraag of ze cookiebanners willen blokkeren. Zodra dit het geval is zal de browser een aantal regels downloaden om de cookiebanners te blokkeren en verbergen. Eenmaal actief zal Brave ook de weergave van websites aanpassen, om bijvoorbeeld overlays en andere elementen te verwijderen die onderdeel van de cookiebanners zijn. "Deze aanpak biedt de beste privacygaranties: er hoeft namelijk niet op het cookietoestemmingssysteem te worden vertrouwd voor het respecteren van je keuze, en zorgt ervoor dat je browser helemaal niet met het toestemmingssysteem hoeft te communiceren", aldus Brave. Een andere aanpak is het automatisch klikken op nee, maar volgens Brave zorgt dit voor een situatie waarbij de browser of extensie herhaaldelijk met de cookiebanner-aanbieder communiceert. Daarnaast blijkt uit onderzoek dat cookietoestemmingssystemen gebruikers nog steeds volgen, ook al weigeren die alle cookies (pdf). De browserontwikkelaar haalt in de aankondiging van de feature ook uit naar Google. Volgens Brave probeert de techgigant aanpassingen door te drukken die het lastiger maken om cookiebanners te blokkeren en ongewenste webcontent te filteren. Daarbij wordt onder andere gewezen naar Googles voorstel voor WebBundles en de veelbesproken Manifest V3-regels voor Chrome-extensies. Eerder kondigde ook Firefox aan dat het cookiebanners binnen de browser gaat blokkeren en werd begin deze maand bekend dat antivirusbedrijf Avast de browser-extensie I don't care about cookies heeft overgenomen, die ook een dergelijke functionaliteit biedt. bron: https://www.security.nl

Google start volgend jaar juni de eerste tests met het uitschakelen van Chrome-extensies bij gebruikers, zoals bijvoorbeeld adblockers. Het gaat dan om extensies die op Manifest V2 zijn gebaseerd. In januari 2024 zullen alle browser-extensies die nog op Manifest V2 zijn gebaseerd uit de Chrome Web Store worden verwijderd. Daarmee is de deadline voor deze extensies met een jaar verlengd. Dat heeft het techbedrijf vandaag bekendgemaakt. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google is druk bezig met de komst van Manifest V3. Eén van de aanpassingen in het nieuwe manifest betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Oorspronkelijk was Google van plan om sinds januari van dit jaar geen nieuwe Manifest V2-extensies in de Chrome Web Store te accepteren en zou Chrome vanaf januari 2023 helemaal geen Manifest V2-extensies meer kunnen draaien. De tijdslijn is nu iets aangepast. Vanaf januari 2023 accepteert de Chrome Web Store geen updates meer voor Manifest V2-extensies. Volgend jaar juni begint Google vervolgens de eerste tests met het uitschakelen van Manifest V2-extensies bij gebruikers. In januari 2024 zullen de nog aanwezige Manifest V2-extensies uit de Web Store worden verwijderd. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgerold die in totaal twintig kwetsbaarheden verhelpt, waaronder in de Developer Tools van de browser. De Chrome DevTools bestaat uit een verzameling van allerlei tools waarmee het mogelijk is om onderdelen van een geopende website of applicaties aan te passen. Het wordt onder andere gebruikt bij de ontwikkeling en debugging van webapplicaties. Het onderdeel van de browser gaat niet goed om met invoer waardoor een aanvaller code binnen de browser kan uitvoeren. Ook bij het verwerken van CSS-code, media en de Survey-feature is dit mogelijk. De impact van vijf van de twintig verholpen beveiligingslekken is beoordeeld met 'high'. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Verdere details over de kwetsbaarheden zijn nog niet door Google openbaar gemaakt. De update naar Chrome 106.0.5249.61 voor Linux en macOS en Chrome 106.0.5249.61/62 voor Windows zal op de meeste systemen automatisch worden geïnstalleerd. In het geval van kwetsbaarheden met een "high" impact kan dit echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Er is nog altijd geen nieuw akkoord voor het uitwisselen van data tussen bedrijven in de Europese Unie en de Verenigde Staten, waardoor ondernemingen de AVG blijven schenden, zo stelt de bekende privacyactivist Max Schrems. Daarnaast zorgt de aankondiging van een mogelijke overeenkomst dat toezichthouders minder streng handhaven, zo laat de activist verder weten. Nadat het Europees Hof van Justitie in 2020 het Privacy Shield-verdrag ongeldig verklaarde zijn er nieuwe afspraken nodig voor het uitwisselen van persoonsgegevens tussen de EU en de VS. Het Hof oordeelde dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet. Amerikaanse inlichtingendiensten kunnen volgens de wet toegang eisen tot data die op Amerikaanse servers staan. Ook kunnen zij data onderscheppen die via onderzeese kabels van de EU naar de VS stromen. Daarnaast is het voor Europeanen ook moeilijk om hier juridische stappen tegen te ondernemen bij een onafhankelijke toezichthouder of rechter. De EU en VS onderhandelen al enige tijd om tot een nieuw "adequaatheidsbesluit" te komen, waarmee de EU erkent dat in een land buiten de EU persoonsgegevens net zo goed beschermd worden als in de EU. De Amerikaanse autoriteiten stellen dat ze "ongekende" maatregelen willen nemen om de persoonlijke data van Europese burgers die naar de VS wordt verstuurd te beschermen. Eerder dit jaar werd er een "principeakkoord" aangekondigd, maar zes maanden later zijn er nog altijd geen concrete afspraken. Daardoor blijven Europese en Amerikaanse bedrijven de wet breken, zo stelt de privacyactivist. Sommige ondernemingen stappen inmiddels over naar providers die niet onder Amerikaanse wetgeving vallen, maar veel blijven de AVG overtreden in de hoop dat een nieuw akkoord de situatie zal oplossen. Sinds de uitspraak van het Europees Hof van Justitie zijn er twee jaar verstreken, maar houden bedrijven zich niet aan de nieuwe realiteit en vindt er ook geen gepaste handhaving plaats, claimt Schrems. Hij wijst ook naar de aankondiging van het principeakkoord als reden dat er nu minder wordt gehandhaafd. De activist verwacht dat ook het nieuwe akkoord aan het Hof zal worden voorgelegd wanneer de privacy niet voldoende gewaarborgd is. bron: https://www.security.nl

Met de komst van nieuwe regels voor browser-extensies hindert Google de werking van adblockers in Chrome, zo stelt Vivaldi, dat zich met de kritiek aansluit bij Mozilla, burgerrechtenbeweging EFF en verschillende adblocker-ontwikkelaars. Vivaldi is net als Chrome op Chromium gebaseerd, de door Google ontwikkelde opensourcebrowser, en beschikt over een ingebouwde adblocker. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Vanaf volgend jaar januari zal versie drie (V3) van het manifest van kracht worden. Eén van de aanpassingen in het nieuwe manifest betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API in Manifest V3 voorgesteld genaamd declarativeNetRequest (DNR). Die zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een adblocker. Voor statische regels hanteert Chrome in Manifest V3 een limiet van 30.000 regels per extensie en een totale limiet van 330.000 regels voor alle geïnstalleerde extensies bij elkaar. In het geval de limiet wordt overschreden zal Chrome ingrijpen en bepaalde regels, waarin staat welke url's van adverteerders en trackers te filteren, aanpassen. In het ergste geval kan zelfs het standaardfilter van een adblocker worden uitgeschakeld omdat het meer dan 30.000 regels bevat. Voor dynamische regels, waarmee de gebruiker zijn eigen regels en filters aan een adblocker kan toevoegen, geldt een limiet van vijfduizend. Wanneer deze limiet wordt overschreden zal de adblocker alleen de eerste vijfduizend regels toepassen en blijft de rest uitgeschakeld. De adblocker in Vivaldi maakt net als andere adblockers gebruik van de webRequest API. De ontwikkelaar van de Vivaldi-adblocker stelt dat er verschillende "architecturale beslissingen" zijn genomen om de adblocker ongeacht de aanpassingen in Manifest V3 functioneel te houden. "Natuurlijk is er altijd een mogelijkheid dat de onderliggende Chromium-architectuur in de toekomst wordt aangepast , wat ons tot extra werkzaamheden dwingt om het te laten werken", zegt ontwikkelaar Julien Picalausa. Vivaldi-gebruikers kunnen ook externe adblockers installeren. Het is volgens Picalausa de vraag hoe effectief die blijven. "Adblockers als extensie zijn vaak afhankelijk van andere API's die die in Manifest V3 worden verwijderd, en waarschijnlijk lastiger zijn terug te brengen, dus er is geen garantie dat het behouden van de blocking versie van webRequest zonder ingrijpen van de extensie-beheerders voldoende zal zijn." De Vivaldi-ontwikkelaar merkt op dat de overstap naar Manifest V3 het lastiger zal maken om adblockers en privacy-extensies binnen Chrome te draaien. "Hoewel sommige gebruikers geen verschil zullen merken, zullen gebruikers met meerdere extensies of die custom filterlijsten gebruiken tegen de kunstmatige beperkingen van Google kunnen aanlopen." Mocht Google verdere beperkingen introduceren, zegt Picalausa dat Vivaldi zal kijken om die te verwijderen. bron: https://www.security.nl

Beste Bogeydope, Mijn advies is precies gelijk aan die van Passer. Met de standaard mogelijkheden en gezond gebruik, zit je prima. ook ik maakte vroege gebruik van een aparte firewall en apart anti virus. Maar gebruik nu al jaren Defender en de standaard firewall naar tevredenheid.

IK lees dat je nogal in tijdnood zit vanwege de cursus. Waarom maak je niet even een bootstick met hierop Linux-Mint. Dan kun je je pc gebruiken en in ieder geval door met je cursus. Ondertussen heb je zo meer tijd om met hulp van ons toch een poging te doen je pc weer goed te krijgen.

"With your mindpower, your determination and your instinct as well, you can fly very high" - Ayrton Senna

Nog even als kleine aanvulling: naast mijn Windowscomputers, gebruik ik ook nog enkele laptops met Linux Mint. Voordeel van deze versie is dat het behoorlijk dicht bij Windows ligt qua gebruik. Browsen doe ik gewoon met Firefox. Mint is ook op minder sterke machines goed te gebruiken en zijn veel programma's voor bijvoorbeeld foto- en video bewerking, of in mijn geval, bewerking van muziek, vrij te gebruiken. Sowieso kun je altijd Linux op een bootdisk installeren zodat je het uit kunt proberen zonder dat je het eerst op een computer moet installeren. En je hebt hier altijd ondersteuning door onze Linuxspecialst Hensyr

De ontwikkelaar van de populaire adblocker uBlock Origin werkt aan een experimentele lite-versie vanwege de nieuwe regels die Google voor Chrome-extensies gaat verplichten. Google verdient miljarden aan advertenties. De nieuwe regels van het techbedrijf, die volgend jaar januari van kracht worden, raken de effectiviteit van adblockers. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Binnenkort zal versie drie (V3) van het manifest van kracht worden. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API in Manifest V3 voorgesteld genaamd declarativeNetRequest (DNR). Die zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Voor statische regels hanteert Chrome in Manifest V3 een limiet van 30.000 regels per extensie en een totale limiet van 330.000 regels voor alle geïnstalleerde extensies bij elkaar. In het geval de limiet wordt overschreden zal Chrome ingrijpen en bepaalde regels, waarin staat welke url's van adverteerders en trackers te filteren, aanpassen. In het ergste geval kan zelfs het standaardfilter worden uitgeschakeld omdat het meer dan 30.000 regels bevat. Voor dynamische regels, waarmee de gebruiker zijn eigen regels en filters kan toevoegen, geldt een limiet van vijfduizend. Wanneer deze limiet wordt overschreden zal de adblocker alleen de eerste vijfduizend regels toepassen en blijft de rest uitgeschakeld. "De beperkingen van Manifest V3 schaden niet alleen de filterkwaliteit en gebruikerservaring, maar ook de community van filterontwikkelaars. Voorheen kon iedereen zelf een filter ontwikkelen, en gedurende de tijd kon zo'n filter populair worden en op de lijst van aanbevolen adblockers komen. Nu is dit veel lastiger geworden", zo stelden de ontwikkelaars van adblocker AdGuard. UBlock Origin Raymond Hill, ontwikkelaar van uBlock Origin, uitte eerder ook al kritiek op Manifest V3. Vanwege de nieuwe regels heeft hij besloten een lite-versie van zijn adblocker te ontwikkelen die minder permissies vereist. Zo heeft de adblocker geen permissies nodig om om data van websites te lezen of aan te passen. Daardoor heeft de adblocker wel minder mogelijkheden, aldus Hill. De standaard filterregels van de lite-versie komen echter overeen met de filterregels van de standaardversie die van Manifest V2 gebruikmaakt. Daarnaast vereist de lite-versie minder geheugen en processorkracht. Op Hacker News stelt Hill dat adblockers gebaseerd op Manifest V3 nog altijd slechter presteren dan de versies die op Manifest V2 zijn gebaseerd. Het gaat dan onder andere om de systeembelasting. Toch wil Hill aan een adblocker werken die geen grote belasting voor cpu en geheugen vormt en op basis van Manifest V3 werkt, ook al gaat dit ten koste van de mogelijkheden. bron: https://www.security.nl

Aanvallers maken gebruik van slecht beveiligde beheerdersaccounts en malafide OAuth-applicaties om via Exchange-servers van organisaties spam te versturen, zo laat Microsoft weten. De aanval bestaat uit verschillende stappen, waarbij er als eerste wordt geprobeerd om het account van de beheerder van de Exchange-omgeving te compromitteren. Dit wordt gedaan door middel van gestolen inloggegevens en credential stuffing. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website of omgeving B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken. Zodra er toegang tot het account is verkregen installeren de aanvallers een malafide OAuth-applicatie waarmee ze de instellingen van de Exchange-server aanpassen. Zo wordt er een nieuwe "inbound connector" aangemaakt. Een connector is een verzameling instructies waarmee de routering van e-mails is in te stellen. De connector die de aanvallers toevoegen maakt het mogelijk om spamberichten via de Exchange-server te versturen die van het gecompromitteerde Exchange-domein afkomstig lijken. Daarnaast maken de aanvallers verschillende transportregels aan die behaalde headers verwijderen om zo detectie te voorkomen. Verder voegen de aanvallers hun eigen inloggegevens aan de malafide OAuth-applicatie toe. Daardoor behouden ze toegang tot de applicatie, ook al wijzigt de beheerder zijn wachtwoord. Het uiteindelijke doel van de aanval is het versturen van spam waarbij ontvangers worden verleid om mee te doen aan betaalde loterijen, waarvoor deelnemers 100 dollar per maand moeten betalen. Om dergelijke aanvallen te voorkomen geeft Microsoft beheerders het advies om wachtwoorden niet te hergebruiken en het account met multifactorauthenticatie te beveiligen. bron: https://www.security.nl

Er is een toename van het aanvallen op webwinkels waarbij een kritieke kwetsbaarheid in webshopsoftware Magento wordt gebruikt, zo stelt securitybedrijf Sansec. Adobe bracht in februari een noodpatch voor de kwetsbaarheid uit, die al voor het uitkomen van de update werd ingezet voor het compromitteren van webwinkels. Inmiddels zijn er meer dan zeven maanden verstreken, maar zijn er nog altijd webwinkels die nagelaten hebben de update te installeren. Op het moment dat Adobe de noodpatch uitrolde werd het lek volgens het softwarebedrijf bij "zeer beperkte gerichte aanvallen" ingezet. Volgens Sansec wint het gebruik van CVE-2022-24086 inmiddels onder cybercriminelen aan populariteit en is de kwetsbaarheid bij de meeste zaken die het onderzoekt betrokken. Via het beveiligingslek installeren aanvallers een remote acces trojan op de server waarmee er ook volledige toegang tot de database van de webwinkel wordt verkregen. Webwinkels die de Magento-update nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen. bron: https://www.security.nl

Gebruikers van het populaire ontwikkelaarsplatform GitHub zijn het doelwit van een nieuwe phishingaanval waarbij ook wordt geprobeerd om codes voor tweefactorauthenticatie (2FA) te stelen. Daarvoor waarschuwen GitHub en CircleCI. De laatstgenoemde is een populair devops-platform gebruikt voor softwareontwikkeling dat met GitHub is te integreren. Aanvallers versturen berichten die van CircleCI afkomstig lijken en stellen dat de ontvanger op GitHub moet inloggen om de nieuwe algemene voorwaarden te accepteren. De link in het bericht wijst echter naar een phishingpagina. Deze pagina probeert niet alleen de inloggegevens van GitHub-gebruikers te bemachtigen, maar in het geval ze 2FA hebben ingeschakeld ook hun 2FA-codes in real-time. Wanneer de aanvaller toegang tot het GitHub-account heeft verkregen maakt de aanvaller GitHub personal access tokens (PATs) aan, die als alternatief voor wachtwoorden zijn te gebruiken, worden OAuth-applicaties geautoriseerd en SSH-keys aan het account toegevoegd om toegang te behouden, mocht de gebruiker zijn wachtwoord wijzigen. Daarnaast download de aanvaller private repositories van de gecompromitteerde gebruiker. GitHub heeft inmiddels alle gedupeerde gebruikers en organisaties die het heeft kunnen identificeren gewaarschuwd en hun wachtwoorden gereset. Daarnaast zijn accounts van de aanvaller uitgeschakeld. bron: https://www.security.nl

Antivirusbedrijf Avast heeft dit jaar de Raspberry Robin usb-worm al bij 550.000 gebruikers gedetecteerd en geblokkeerd, wat aantoont dat dergelijke malware nog altijd zeer actief is. Toch zijn er nog veel vragen over de malware, zoals het uiteindelijke doel, wie erachter zit en hoe Raspberry Robin wijdverbreid raakte. Avast detecteerde de usb-worm wereldwijd. Raspberry Robin maakt gebruik van lnk-bestanden op usb-sticks om zich te verspreiden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd. Eenmaal actief op een systeem maakt de usb-worm gebruik van een backdoor genaamd Roshtyak. Avast analyseerde de backdoor en ontdekte dat die twee payloads bevat. Een "fake" payload, een bekend adware-exemplaar, en de echte kernfunctionaliteit. De echte payload wordt alleen uitgevoerd als aan alle eisen wordt voldaan. Wanneer de malware ontdekt dat die in een onderzoeksomgeving wordt geanalyseerd zal die de adware uitvoeren. Vermoedelijk wordt dit gedaan om malware-onderzoekers op het verkeerde been te zetten, aldus Avast. De backdoor zelf is ontwikkeld om informatie over slachtoffers te verzamelen, zich lateraal door de omgeving van het slachtoffer te bewegen en permanente toegang tot systemen te behouden. De technieken die de backdoor toepast om detectie te voorkomen zijn nog nooit eerder vertoond, zo laat Avast verder weten. Eind juli maakte Microsoft bekend dat een beruchte groep cybercriminelen die door de Amerikaanse regering op een sanctielijst is geplaatst, van Raspberry Robin gebruikmaakt om toegang tot bedrijven en organisaties te krijgen. bron: https://www.security.nl

Vpn-provider ProtonVPN heeft besloten om alle vpn-servers uit India te verwijderen wegens nieuwe wetgeving in het land. De wetgeving verplicht vpn-providers om de activiteiten en gegevens van hun gebruikers te loggen. Eerder besloot ook vpn-provider ExpressVPN de eigen servers uit India te verwijderen. Net als ExpressVPN biedt ook ProtonVPN gebruikers nog altijd de mogelijkheid om een Indiaas ip-adres te gebruiken, alleen dan via vpn-servers in Singapore. In eerste instantie zou de wetgeving eind juni van kracht worden, maar dat werd uitgesteld. Vanaf 25 september zijn alle vpn-providers in India straks verplicht om de volledige naam, adresgegevens, e-mailadres en telefoonnummer van gebruikers te noteren, alsmede het ip-adres en timestamp dat is gebruikt voor de registratie van de vpn-dienst. Verder moet ook het ip-adres van gebruikers worden gelogd waarmee verbinding met Indiase vpn-servers wordt gemaakt, alsmede een timestamp voor elke verbinding. Daarnaast moet de vpn-provider alle aan klanten uitgegeven ip-adressen bijhouden en de reden dat klanten een vpn willen gebruiken. Het niet voldoen aan de wetgeving kan leiden tot een gevangenisstraf van maximaal een jaar. "We zijn niet van plan om aan deze invasieve massasurveillancewetgeving te voldoen, waardoor we geen andere keuze hebben dan onze vpn-servers bij Indiase jurisdictie weg te halen", zegt Douglas Crawford van ProtonVPN. bron: https://www.security.nl

Microsoft heeft met de lancering van Windows 11 Update 2022 een nieuwe feature aan het besturingssysteem toegevoegd die gebruikers waarschuwt wanneer ze school- of zakelijke wachtwoorden in tekstbestanden opslaan. Om gebruikers tegen phishing te beschermen zal de Enhanced Phishing Protection van Microsoft Defender SmartScreen in verschillende scenario's alarm slaan. Wanneer gebruikers hun wachtwoorden voor werk of school via Notepad, Word of andere Microsoft 365 Office-app willen opslaan zal de Enhanced Phishing Protection een waarschuwing geven en gebruikers adviseren om het bestand te verwijderen. Ook wanneer gebruikers hun wachtwoord in een Chromium-gebaseerde browser invoeren, op een website die volgens Microsoft kwaadaardig is, zal er een waarschuwing verschijnen met advies om het wachtwoord te wijzigen. Verder zal Enhanced Phishing Protection alarm slaan wanneer gebruikers het wachtwoord van hun Microsoft-account ook voor accounts op andere websites of apps willen gebruiken. Wederom zal dan de boodschap verschijnen om het wachtwoord te wijzigen. Windows 11 monitort wanneer een gebruiker het wachtwoord gebruikt voor het inloggen op het systeem, ergens anders opslaat of invoert. Het gaat dan zowel om een Microsoft-account, Active Directory, Azure Active Directory of lokaal wachtwoord. Naast de waarschuwing aan gebruikers zal er ook een melding over het onveilig wachtwoordgebruik richting de organisatie gaan, wat via de Microsoft Defender for Endpoint security portal gebeurt. Organisaties kunnen de Enhanced Phishing Protection via een Group Policy of Configuration Service Provider bij hun medewerkers in- en uitschakelen, alsmede welke meldingen er worden getoond. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgerold, die onder andere stabieler op Linux en Windows zou moeten werken en meerdere kwetsbaarheden verhelpt. Firefox 105 reageert volgens Mozilla beter op situaties waarbij er opeens weinig geheugen op Windowscomputers beschikbaar is. Ook in het geval van Linux presteert de browser nu beter bij weinig beschikbaar geheugen. Verder zijn er met Firefox 105 in totaal zeven kwetsbaarheden verholpen, waarvan er drie een impactbeoordeling van "high" hebben gekregen. Deze kwetsbaarheden zouden mogelijk tot een situatie kunnen leiden waarbij een aanvaller in het ergste geval willekeurige code kan uitvoeren. De nieuwste Firefox-versie is beschikbaar via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Microsoft heeft een nieuwe grote update voor Windows 11 uitgerold die het gebruik van een Microsoft-account ook bij de Pro-editie van het besturingssysteem verplicht. Voor de installatie van de Home-versie was al een Microsoft-account vereist. Wie Windows 11 Pro met de 2022 Update installeert en dit voor persoonlijk gebruik doet zal nu ook over een Microsoft-account moeten beschikken. Naast het verplichte Microsoft-account zal bij de initiële installatie ook internettoegang zijn vereist. Dat heeft Microsoft bekendgemaakt bij de presentatie van de Windows 11 2022 Update, ook bekend als Windows 11 versie 22H2. De nieuwste Windows 11-update voegt allerlei nieuwe features toe, onder andere op securitygebied. Windows 11 ontvangt in de tweede helft van elk jaar een grote update, die in het geval van de Home- en Pro-versie twee jaar met beveiligingsupdates wordt ondersteund. De Enterprise- en Education-versies kunnen op drie jaar support rekenen. Windows 11 Update 2022 zal gefaseerd worden uitgerold, maar gebruikers kunnen de nieuwste versie ook zelf via de updatefunctie downloaden. bron: https://www.security.nl

Onderzoekers hebben ruim 39.000 Redis-databases op internet aangetroffen die zonder authenticatie toegankelijk te zijn, waaronder honderden in Nederland. Dat stelt securitybedrijf Censys op basis van eigen onderzoek. Redis is een cachingoplossing die als databaseserver kan worden gebruikt of kan helpen om de prestaties van databases te verbeteren. Redis-databases horen eigenlijk alleen in vertrouwde omgevingen te worden gebruikt. De ontwikkelaars adviseren dan ook om Redis-databases niet voor het internet toegankelijk te maken. Aanvallers zouden in dit geval de opgeslagen data kunnen bekijken of manipuleren. In het ergste geval kan een aanvaller de Redis-database zelfs overnemen. Censys vond 350.000 Redis-servers op internet. Daarvan bleken er meer dan 39.000 zonder authenticatie toegankelijk, waaronder ruim vierhonderd in Nederland. Bij bijna de helft van de onbeveiligde Redis-databases werden sporen van aanvallen aangetroffen. Redis-databases maken standaard geen gebruik van authenticatie, beheerders moeten dit zelf inschakelen. Om misbruik tegen te gaan draait Redis vanaf versie 3.0.0 in een "protected mode". Daarbij reageert de database alleen op requests van de loopback interface (127.0.0.1) en blokkeert requests afkomstig van internet. Het is echter mogelijk deze mode uit te schakelen en dat lijkt ook te gebeuren. De meeste onbeveiligde databases draaien op versie 3.0.0 of nieuwer. Daarnaast zou de protected mode niet standaard staan ingeschakeld op de Docker-image van Redis. Beheerders wordt aangeraden om authenticatie in te stellen en Redis zo te configureren dat de database alleen van interne netwerkinterfaces toegankelijk is. bron: https://www.security.nl

Microsoft en VMware waarschuwen voor een toename van aanvallen met de ChromeLoader-malware, die wachtwoorden en persoonlijke informatie steelt, advertenties toont en aanvullende malware kan installeren, waaronder malware die het systeem "vernietigt" of ransomware. Voor het verspreiden van de malware wordt gebruikgemaakt van malafide links in reacties op YouTube en Twitter en malafide advertenties. Die linken naar een ISO- of DMG-bestand dat een malafide Google Chrome-extensie installeert. Deze extensie kaapt zoekopdrachten van de gebruiker om advertenties te tonen. Ook steelt de malafide extensie in de browser opgeslagen wachtwoorden. De nieuwste varianten verspreiden ook malware die schadelijker voor gebruikers kan zijn, aldus een analyse van VMware. Zo plaatst ChromeLoader een "ZipBomb" op het systeem. De gebruiker moet dit bestand nog zelf openen, waarvoor allerlei verleidende bestandsnamen worden gebruikt. Eenmaal geopend zal de ZipBomb alle data op het systeem overschrijven en zo "vernietigen", zo stelt VMware. Daarnaast kan ChromeLoader ook tot een infectie met de Enigma-ransomware leiden. Om dergelijke aanvallen te voorkomen adviseert Microsoft het inschakelen van de potentially unwanted application (PUA) protection feature in Windows. bron: https://www.security.nl