Captain Kirk

De Amerikaanse autoriteiten waarschuwen voor een actief aangevallen kwetsbaarheid in de Zimbra-mailserversoftware waardoor een ongeauthenticeerde aanvaller op afstand plain text inloggegevens van e-mailaccounts kan stelen zonder enige interactie van gebruikers. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Een kwetsbaarheid in de mailserversoftware, aangeduid als CVE-2022-27924, maakt het mogelijk om waardes in de cache aan te passen. Hiervoor hoeft een aanvaller alleen een speciaal geprepareerd http-request naar de server te sturen. Zo is de opgeslagen route naar bijvoorbeeld de IMAP-server te veranderen in een server van de aanvallers. Wanneer een gebruiker vervolgens inlogt zullen zijn inloggegevens naar de malafide opgegeven server worden doorgestuurd, zonder dat een gebruiker dit doorheeft. Daarbij hoeft een aanvaller niet eens het e-mailadres van een doelwit te weten. De aanval werkt niet tegen gebruikers die alleen van de Zimbra-webmailclient gebruikmaken. Doelwitten moeten via het IMAP- of POP-protocol inloggen. Zimbra werd op 11 maart van dit jaar over de kwetsbaarheid ingelicht en heeft inmiddels beveiligingsupdates uitgebracht om het probleem te verhelpen. De Shadowserver Foundation waarschuwde in juni dat het 30.000 mogelijk kwetsbare Zimbra-installaties op internet had gevonden, waarvan ruim driehonderd in Nederland. Gisterenavond maakte het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bekend dat aanvallers actief misbruik maken van het lek en roept federale overheidsinstanties op om de update voor 25 augustus te installeren. bron: https://www.security.nl

Wereldwijd zijn duizenden GlobalProtect vpn-servers van Palo Alto Networks kwetsbaar voor aanvallen doordat organisaties de standaard master key niet hebben gewijzigd. De master key wordt gebruikt voor het versleutelen van onder andere private keys en wachtwoorden in het configuratiebestand. Het kan echter ook toegang tot de server geven. Palo Alto Networks adviseert organisaties om bij de installatie een nieuwe master key te configureren. "Dit zorgt ervoor dat een aanvaller geen toegang tot al je apparaten heeft in het geval hij de master key van één apparaat achterhaalt", aldus een blogposting op de website van Palo Alto. De standaard master key die Palo Alto gebruikt is al jaren bekend. Een beveiligingsonderzoeker met het alias "rqu" schreef onlangs een tool en ontdekte dat nagenoeg alle organisaties de master key van hun GlobalProtect vpn-servers niet hebben gewijzigd. Wanneer de key bij een aanvaller bekend is kan die commando's met rootrechten uitvoeren, zo waarschuwt beveiligingsonderzoeker Kevin Beaumont op Twitter. Vorig jaar kwam Palo Alto met een beveiligingsupdate die moet voorkomen dat een aanvaller die de master key kent willekeurige code met rootrechten op servers kan uitvoeren. Beaumont stelt dat veel organisaties deze update niet hebben geïnstalleerd. Daarnaast merkt de onderzoeker op dat veel organisaties de master key waarschijnlijk bewust niet wijzigen. Wanneer een nieuwe master key is ingesteld zal die na een bepaalde tijd verlopen. Beheerders moeten voor het verstrijken een nieuwe key hebben geconfigureerd, anders zal de firewall waarop GlobalProtect draait naar de onderhoudsmodus rebooten, wat beheerders geen andere optie laat dan het uitvoeren van een fabrieksreset. Een situatie die zich met de standaard ingestelde key niet voordoet. Vanwege het risico op misbruik wordt organisaties aangeraden de master key toch te wijzigen. bron: https://www.security.nl

Aanvallers die slachtoffers via social engineering met malware proberen te infecteren maken hierbij vaak gebruik van pictogrammen van Adobe Acrobat en Skype, zo stelt VirusTotal op basis van eigen onderzoek. VirusTotal is de online virusscandienst van Google waarmee verdachte bestanden door tientallen virusscanners zijn te controleren. Volgens VirusTotal is er een geleidelijke toename van de hoeveelheid malware die op visuele wijze legitieme applicaties nabootst, waarbij Skype en Adobe Acrobat het vaakst worden gebruikt. Voor het onderzoek keek VirusTotal naar geüploade malware-exemplaren en van welke pictogrammen ze gebruik maken. Naast Adobe Acrobat en Skype zijn ook VLC en 7-Zip erg geliefd bij aanvallers. VirusTotal keek ook naar het totaal aantal geüploade bestanden met een bepaald pictogram en welk percentage daarvan malware was. Dan wordt de lijst wederom aangevoerd door Adobe Acrobat en Skype, gevolgd door 7-Zip, CCleaner en Steam. De online virusscandienst stelt dat het belangrijk is om te weten welke technieken malware toepast om er iets aan te kunnen doen (pdf). bron: https://www.security.nl

Het aantal aangiften van internetfraude, phishing, ransomware en andere vormen van cybercrime in België is vorig jaar verder gestegen, zo laat de Belgische federale politie vandaag weten. Er kwamen in 2021 ruim 47.000 aangiften van "informaticacriminaliteit" binnen, een stijging van zeven procent ten opzichte van 2020. Het gaat dan om zaken als het inbreken op systemen, datadiefstal en aanvallen met ransomware. Ook phishing blijft nog altijd een probleem in België. Vorig jaar deden ruim 8300 slachtoffers aangifte. Een stijging van bijna elf procent ten opzichte van 2020. Verder werden er 152 gevallen van ransomware geregistreerd, terwijl dat er een jaar eerder nog 124 waren. In 2017, 2018 en 2019 werd er echter vaker aangifte van ransomware gedaan. "Een steevaste stijger in de criminaliteitsstatistieken is al jaren de cybercriminaliteit. Naarmate onze samenleving meer en meer gebruik maakt van het internet en van technologie, doen ook criminelen hier steeds vaker een beroep op. Dat was in 2021 niet anders", aldus de Belgische politie. De stijging was vorig jaar wel minder groot dan in de jaren daarvoor. Naast misdrijven die onder de categorie cybercrime vallen zijn er ook andere, ‘klassieke’ misdrijven die in toenemende mate via internet gepleegd worden. Het gaat dan bijvoorbeeld om internetfraude, zoals aankoopfraude, vriendschapsfraude en identiteitsfraude. Vorig jaar werden ruim 38.000 gevallen van internetfraude geregistreerd, een toename van bijna vier procent ten opzichte van 2020. "De toekomst is digitaal, en dus ook de criminaliteit. De trend van de afgelopen jaren zet zich voort: criminelen gebruiken steeds vaker het internet voor hun criminele activiteiten. De politie blijft niet achter. We investeren de komende jaren verder in ict, en rekruteren gespecialiseerde ict-profielen", zegt de Belgische minister van Binnenlandse Zaken Annelies Verlinden. bron: https://www.security.nl

Browserontwikkelaar Opera heeft de betaalde vpn-dienst die het eerder al voor Android uitbracht nu ook voor macOS en Windows beschikbaar gemaakt. De browser beschikte al enige tijd over een gratis vpn-optie, maar biedt gebruikers nu ook tegen betaling de mogelijkheid om meer dan drieduizend vpn-servers in meer dan dertig landen wereldwijd te gebruiken. Net als de gratis dienst zegt Opera dat het ook bij de betaalde vpn-dienst geen logs bijhoudt. De betaalde versie is met één account op zes verschillende apparaten te gebruiken. Daarnaast biedt Opera tot 31 augustus de mogelijkheid om de betaalde vpn-dienst één maand gratis uit te proberen. VPN Pro kost normaliter 66 euro per jaar, maar Opera biedt gebruikers nu een korting. bron: https://www.security.nl

Een kritieke kwetsbaarheid in vpn-routers van Cisco maakt het mogelijk voor aanvallers om de apparaten op afstand volledig over te nemen of te laten herstarten waardoor een denial-of-service ontstaat, zo waarschuwt de netwerkfabrikant die beveiligingsupdates heeft uitgebracht om het probleem te verhelpen. Het beveiligingslek, aangeduid als CVE-2022-20842, is aanwezig in de webinterface van Cisco Small Business RV-routers RV340, RV340W, RV345 en RV345P. De webinterface blijkt gebruikersinvoer niet goed te controleren. Door het versturen van een speciaal geprepareerd http packet kan een ongeauthenticeerde aanvaller willekeurige code met rootrechten uitvoeren, wat inhoudt dat er volledige controle over het apparaat is. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Daarnaast is Cisco ook met een update voor een andere kritieke kwetsbaarheid gekomen (CVE-2022-20827) die in de webfilter-database van verschillende modellen vpn-routers aanwezig is (RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345 en RV345P). Ook via dit beveiligingslek kan een ongeauthenticeerde aanvaller op afstand willekeurige code met rootrechten uitvoeren. De impactscore is met een 9.0 iets lager beoordeeld. Cisco roept organisaties op om de beschikbaar gestelde updates te installeren. bron: https://www.security.nl

Een nieuw Europees wetsvoorstel dat communicatiediensten verplicht om alle communicatie van hun gebruikers te scannen op kindermisbruik vormt een bedreiging voor end-to-end encryptie, zo laat de Autoriteit Persoonsgegevens vandaag weten. Vorige week meldde Security.NL al dat de Europese privacytoezichthouders zich ernstig zorgen maken over het scanplan van de Europese Commissie en dat dit een serieus risico vormt voor de fundamentele rechten van 450 miljoen Europeanen. De Europese privacytoezichthouder EDPS en het Europees Comité voor gegevensbescherming (EDPB), waarin alle nationale Europese privacytoezichthouders zijn verenigd, kwamen afgelopen vrijdag met een gezamenlijke opinie over het wetsvoorstel waarin ze stelden dat het moet worden aangepast. Volgens de EDPS en EDPB vormt het voorstel van de Europese Commissie in zijn huidige vorm een groter risico voor individuen en de samenleving in zijn geheel dan voor criminelen die voor kindermisbruik worden vervolgd. De toezichthouders maken zich zeer grote zorgen over de impact die de voorgestelde maatregelen op de privacy en persoonlijke data van personen zullen hebben. Vandaag bericht de Autoriteit Persoonsgegevens over de opinie en zorgen die er bij de toezichthouders over het voorstel zijn. "Versleuteling is essentieel voor de bescherming van het privéleven, het communicatiegeheim en de vrijheid van meningsuiting", aldus de AP. "Het voorstel brengt het risico met zich mee dat communicatiediensten meekijken bij álle communicatie tussen mensen in Europa." Door communicatiediensten te verplichten de berichten en gesprekken van gebruikers te scannen op kindermisbruik bedreigt de wet encryptie, zo laat de privacytoezichthouder verder weten. Bij end-to-end encryptie is de inhoud van de communicatie alleen toegankelijk voor de afzender en ontvanger. "Het wetsvoorstel zal er waarschijnlijk toe leiden dat de communicatiediensten ook een sleutel moeten hebben", merkt de AP op. Dit zou een einde van end-to-end encryptie betekenen, aangezien de encryptie dan niet meer end-to-end versleuteld is. bron: https://www.security.nl

Gratis virusscanners doen niet onder voor betaalde producten, zo blijkt uit een nieuwe test van het AV-TEST Institute met negentien antiviruspakketten voor Windows 10. De virusscanners werden getest op bescherming, prestaties en bruikbaarheid. Van de negentien pakketten werden er zeventien als "Top Product" bestempeld, waaronder de gratis virusscanners van Avast en Microsoft. Voor de drie testonderdelen konden de virusscanners bij elkaar achttien punten verdienen. Bij de detectie van malware werd gekeken naar 373 "zero-day" malware-exemplaren en ruim 23.000 malware-exemplaren die in de laatste vier weken voor de test van juni werden ontdekt. Voor de detectie van zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,7 procent gehaald. De test met de ruim 23.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Negen virusscanners wisten op beide onderdelen 100 procent te scoren. Het gaat om AhnLab, Avira, Bitdefender, F-Secure, G Data, McAfee, Microsoft, NortonLifeLock en Trend Micro. Om op dit onderdeel de maximale zes punten te halen was het echter niet noodzakelijk om ook alle malware te detecteren. Protected.Net zet met vijf punten de laagste detectiescore neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Hierbij weten alle virusscanners de maximale zes punten te scoren. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden 1,1 miljoen schone websites en bestanden gebruikt. Zestien pakketten halen de maximale zes punten. PC Matic eindigt op dit onderdeel met 3,5 punten onderaan. Ook bij eerdere tests eindigde deze virusscanner op dit onderdeel als laatste. Van de negentien virusscanners weten er uiteindelijk veertien op alle drie de vlakken maximaal te scoren, waaronder de gratis virusscanners van Avast en Microsoft. PC Matic eindigt met 15,5 punten als hekkensluiter. Om als topproduct bestempeld te worden was het niet nodig om de maximale score te halen. Ook producten met 17,5 punten krijgen dit stempel. bron: https://www.security.nl

Gebruikers van de populaire back-up- en synchronisatiesoftware rsync zijn gewaarschuwd voor een kritieke kwetsbaarheid in de software waardoor een malafide server of man-in-the-middle-aanvaller willekeurige bestanden kan schrijven in directories van clients die verbinding maken. Het probleem wordt veroorzaakt door onvoldoende controle in een functie van rsync waardoor de server kan bepalen welke bestanden en directories er naar de client worden gestuurd. Daardoor is het mogelijk voor een malafide rsync-server of man-in-the-middle-aanvallers om kritieke bestanden in de rsync-directory en -subdirectories te overschrijven, zoals het .ssh/authorized_keys bestand. Volgens onderzoekers van securitybedrijf Prodaft die het probleem ontdekten lijkt de nu gevonden kwetsbaarheid (CVE-2022-29154) erg op een beveiligingslek dat begin 2019 in OpenSSH werd gevonden en het ook mogelijk maakte om bestanden bij clients te overschrijven. Het probleem speelt in versies voor rsync 3.2.5. Er is inmiddels een prelease van 3.2.5 uitgebracht, maar verschillende lezers van Hacker News hebben hun twijfels over de gekozen oplossing van de rsync-ontwikkelaars. bron: https://www.security.nl

VMware roept bedrijven en organisaties op om een beveiligingsupdate die gisteren verscheen voor een kritieke kwetsbaarheid in verschillende producten direct te installeren. Het beveiligingslek, aangeduid als CVE-2022-31656, maakt het mogelijk voor een aanvaller om zonder in te loggen beheerderstoegang te krijgen. Het gaat om een zogenaamde "authentication bypass" die aanwezig is in VMware Workspace ONE Access, Identity Manager en vRealize Automation. Workspace One is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. Kwetsbaarheden in de software zijn in het verleden vaker misbruikt voor aanvallen. Zo waarschuwde VMware afgelopen april nog voor een actief aangevallen lek in Workspace ONE. De impact van de kritieke kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. VMware stelt dan ook dat organisaties de nu beschikbaar gestelde patch direct moeten installeren om zich tegen mogelijke aanvallen te beschermen. Voor zover bekend wordt er nog geen misbruik van het beveiligingslek gemaakt, dat werd ontdekt en gerapporteerd door beveiligingsonderzoeker Petrus Viet. Viet laat via Twitter weten dat hij binnenkort met een technische writeup van de kwetsbaarheid komt en een proof-of-concept exploit. Daarmee wordt het eenvoudiger voor aanvallers om nog kwetsbare installaties aan te vallen. Om misbruik van het lek te maken heeft een aanvaller alleen toegang nodig tot de gebruikersinterface van de kwetsbare producten. VMware heeft ook verschillende andere beveiligingslekken in de producten verholpen, maar daarvan is de impact kleiner. bron: https://www.security.nl

Softwarebedrijf SolarWinds, waarvan de updates werden gebruikt voor een wereldwijde aanval, maakt om herhaling te voorkomen gebruik van een zelfvernietigende software-ontwikkelomgeving. SolarWinds is het bedrijf achter de Orion-software, waarmee tienduizenden bedrijven hun it-omgevingen monitoren. Aanvallers wisten de officiële updates voor de software van een backdoor te voorzien waarmee de omgevingen van klanten konden worden gecompromitteerd. De besmette updates werden uiteindelijk door 18.000 SolarWinds-klanten geïnstalleerd. Het bedrijf had niet door dat de aanvallers sinds begin 2019 vergaande toegang hadden en werd eind 2020 door een externe partij ingelicht dat de ontwikkelomgeving was gecompromitteerd. Naar aanleiding van de aanval heeft SolarWinds verschillende aanpassingen doorgevoerd. Zo is bijna al het personeel voorzien van een YubiKey om in te loggen op systemen. Daarnaast is er een nieuwe buildomgeving gemaakt voor het ontwikkelen van software. Het gaat hier om ontwikkelomgevingen die zichzelf nadat een specifieke taak is uitgevoerd vernietigen. Hiervoor maakt SolarWinds gebruik van Linux-containers die softwareontwikkelaars zelf kunnen starten en na het uitvoeren van de betreffende buildjob worden vernietigd. Dit moet voorkomen dat er een ontwikkelomgeving ontstaat die aanvallers voor een langere periode kunnen compromitteren en als "thuisbasis" voor verdere aanvallen kunnen gebruiken. Is er daardoor "niet statisch" om aan te vallen, zegt chief information security officer (CISO) Tim Brown tegenover The Daily Swig. Ook wordt elke stap in het buildproces van de software nu opgeslagen, zodat alle aanpassingen traceerbaar zijn. Verder is er een gelijktijdig buildproces om zo onverwachte aanpassingen aan code te detecteren. Onderdelen van het nieuwe buildsysteem zijn open source gemaakt. bron: https://www.security.nl

De glasvezelkabels die bij meer dan 4,7 miljoen Nederlandse huishoudens liggen maken het in theorie mogelijk om gesprekken in huis op een kilometer afstand af te luisteren, zo claimen onderzoekers van de Chinese Tsinghua University. De geluidsgolven die mensen tijdens het praten produceren hebben effect op de glasvezelkabel in de woning en kunnen voor faseveranderingen zorgen die door aanvallers op een kilometer afstand zijn op te vangen. Deze faseveranderingen zijn vervolgens weer om te zetten naar geluidssignalen. Daarbij is het niet nodig om extra apparatuur in de woning van het doelwit te plaatsen. Voor het uitvoeren van de aanval moet de aanvaller wel eerst de glasvezelkabel van het doelwit vinden en die aansluiten op het afluistersysteem. De onderzoekers stellen in een publicatie over hun onderzoek dat ze in een laboratorium hebben aangetoond dat een dergelijke aanval mogelijk is. Wel stellen de onderzoekers dat het afluisteren via glasvezelkabel complexe apparatuur en strikte voorwaarden eist om mogelijk te zijn, maar dat het in geheim stelen van informatie ongeacht de kosten altijd plaatsvindt. Om het afluisteren te voorkomen adviseren de onderzoekers het gebruik van metaal of glas als kabelcoating en het veranderen van de glasvezeladapter die op de modem wordt aangesloten om zo de echo te beperken. bron: https://www.security.nl

De meeste organisaties en bedrijven die het slachtoffer van ransomware worden laten niet weten hoe ze geïnfecteerd raakten, wat belangrijke informatie is om toekomstige slachtoffers te voorkomen. Daarnaast worden de meeste ransomware-aanvallen niet gerapporteerd, waardoor de werkelijke omvang van het probleem onbekend blijft, zo stelt het Europees agentschap voor cyberbeveiliging (ENISA) in een nieuw rapport over ransomware. Voor het rapport werden 623 ransomware-incidenten in voornamelijk Europa en de Verenigde Staten onderzocht die zich van mei vorig jaar tot en met juni dit jaar voordeden. Het werkelijke aantal incidenten in deze periode bedroeg vermoedelijk bijna 3700, aldus ENISA. Volgens het agentschap wordt dan ook slechts het spreekwoordelijke topje van de ijsberg openbaar. Daarnaast laat de informatie van organisaties en bedrijven die door ransomware getroffen worden ernstig te wensen over. Bij 594 van de 623 onderzochte ransomware-aanvallen liet de aangevallen organisatie niet weten hoe de aanvallers toegang tot de systemen hadden gekregen. "Het is begrijpelijk dat doelwitten vanwege veiligheidsredenen niet willen delen hoe (of nog steeds) ze kwetsbaar waren, maar tegelijkertijd helpt het gebrek aan informatie anderen niet om te beseffen wat ze zouden moeten verbeteren of hoe ze in de toekomst ook slachtoffer kunnen worden", zo laat het rapport weten. Verder melden de meeste ransomware-slachtoffers niet of ze het losgeld dat de criminelen vroegen hebben betaald. Bij 588 van de 623 ransomware-aanvallen was het voor de onderzoekers niet mogelijk om te bepalen of slachtoffers betaald hadden. Van de resterende 35 gevallen bleek dat er acht keer losgeld was betaald. De onderzoekers vermoeden dat meer dan zestig procent van de getroffen organisaties betaalt. Het gebrek aan betrouwbare data van aangevallen organisaties maakt het dan ook lastig om de omvang van het probleem te zien, zo staat in de conclusie van het rapport. Daarin wordt ook gewezen naar een Amerikaans wetsvoorstel dat bepaalde organisaties verplicht om ransomware-aanvallen te melden. Op dit moment zijn het de websites van ransomwaregroepen die de meest betrouwbare bron zijn om informatie over slachtoffers te achterhalen, hoewel ook deze pagina's een onbetrouwbare bron zijn, stellen de onderzoekers. bron: https://www.security.nl

Google kan opnames die gemaakt zijn met de Nest-deurbel zonder toestemming van gebruikers met de autoriteiten delen. Dat bevestigt het techbedrijf tegenover CNET. In de gebruikersovereenkomst stelt Google dat het in noodgevallen beelden van Nest-deurbellen zonder toestemming met bijvoorbeeld opsporingsdiensten kan delen. Eerder bleek Amazon dit al te doen met beelden die de Ring-deurbel maakt. "In overeenstemming met de gebruikersvoorwaarden en deze website, delen we in noodgevallen informatie", aldus een woordvoerder van Google tegenover CNET. "De juridische basis hiervoor staat in de Electronic Communications Privacy Act, die stelt dat een provider zoals Google zonder dagvaarding of gerechtelijk bevel informatie met opsporingsdiensten kan delen als de provider, in goed vertrouwen, aanneemt dat vanwege een noodgeval met ernstig lichamelijk letsel of overlijden van een persoon zonder vertraging informatie moet worden gedeeld." De Google-woordvoerder merkt op dat ook Nest-gegevens in noodgevallen kunnen worden gedeeld. Volgens de Amerikaanse woordvoerder is dat nog nooit voorgekomen, maar heeft Google wel het recht om dit te doen. Security.NL heeft Google gevraagd of het techbedrijf ook data van Nederlandse Nest-gebruikers zonder toestemming kan delen en of dit al is voorgekomen. Vorige maand werd bekend dat Amazon audio en beelden die met de Ring-deurbelcamera zijn gemaakt zonder toestemming en medeweten van gebruikers met de Amerikaanse politie heeft gedeeld. Amazon stelt dat het dit alleen in noodgevallen doet. Iets dat dit jaar al elf keer is voorgekomen, aldus het techbedrijf. In het geval van deurbellen die van end-to-end encryptie gebruikmaken zouden beelden niet zonder toestemming van de gebruiker kunnen worden gedeeld. Ring biedt deze optie, maar die staat niet standaard ingeschakeld. "Ongeacht de fabrikant, je digitale footprint zal altijd kunnen worden opgevraagd, en bedrijven die gebruikersdata verwerken zullen altijd onderhevig zijn aan verzoeken van politie om er toegang toe te krijgen", stelt Ry Crist van CNET. bron: https://www.security.nl

Microsoft heeft besloten om het standaard blokkeren van macro's in Office tijdelijk terug te draaien. Het techbedrijf had de maatregel genomen om gebruikers en organisaties tegen ransomware te beschermen, maar is daar vanwege "feedback" op teruggekomen. De maatregel, die al in de previewversie van het "Current Channel" van Office 365 was doorgevoerd, wordt nu teruggedraaid. Dat laat Microsoft via de eigen website weten. Veel grote ransomware-aanvallen, zoals die bij de Universiteit Maastricht, begonnen met een Office-document voorzien van een kwaadaardige macro. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's, maar gebruikers kunnen die met een enkele muisklik inschakelen. Vaak voegen aanvallers instructies voor het slachtoffer toe om macro's in te schakelen, bijvoorbeeld omdat dit nodig zou zijn om de inhoud van het document te bekijken. Om te voorkomen dat aanvallers op deze manier nog malware en ransomware kunnen verspreiden besloot Microsoft afgelopen april een aanpassing in Access, Excel, PowerPoint, Visio en Word door te voeren. Bij Office-documenten afkomstig van het internet worden macro's op zo'n manier geblokkeerd dat die niet meer eenvoudig zijn in te schakelen. Office laat in dit geval een waarschuwing zien dat er sprake is van een beveiligingsrisico met een link naar een pagina die uitlegt waarom de macro is geblokkeerd. Gebruikers die macro's alsnog in het betreffende document willen inschakelen zullen hiervoor via de bestandseigenschappen verschillende stappen moeten doorlopen. Op 12 april werd de feature in de previewversie van het current Microsoft 365 channel doorgevoerd. Andere versies zouden op een later moment volgen. In een update meldt Microsoft dat het vanwege feedback heeft besloten de aanpassing terug te draaien. Het bedrijf zegt de "experience" te willen verbeteren en zal die op een nog te bepalen moment weer uitbrengen. Verdere details zijn niet gegeven. Critici stellen dat de macro-blokkade in zijn huidige vorm met name binnen het mkb voor grote problemen zou zorgen. Microsoft wordt dan ook gevraagd de aanpassing te vereenvoudigen en hier duidelijker over te communiceren. bron: https://www.security.nl

Het Amerikaanse National Institute of Standards and Technology (NIST) koos deze week vier encryptie-algoritmes die bestand zijn tegen de rekenkracht van kwantumcomputers en een onderzoeker van het Nederlandse Centrum Wiskunde & Informatica (CWI) is bij twee van deze algoritmes betrokken. Met de komst van kwantumcomputers zullen veelgebruikte asymmetrische cryptografische algoritmes, zoals RSA en ECC, niet meer veilig zijn. Om data in de toekomst tegen aanvallen van kwantumcomputers te beschermen onderzocht het NIST de afgelopen vijf jaar verschillende benaderingen in een soort wedstrijdproces. De nadruk ligt op public-key versleutelingssystemen en op systemen voor digitale handtekeningen. CWI-onderzoeker Léo Ducas is betrokken bij de twee algoritmes die het NIST koos, het public-key encryptieschema (CRYSTALS-KYBER) en die voor digitale handtekeningen (CRYSTALS-DILITHIUM). De vier door het NIST gekozen algoritmes zullen onderdeel worden van de post-kwantum cryptografische standaard van het instituut, die naar verwachting over twee jaar is afgerond. "De selectie van onze algoritmen als standaard betekent dat ze wereldwijd zullen worden toegepast en de privacy van miljarden gebruikers zullen beschermen; fundamenteel onderzoek krijgt zelden zo'n directe en brede impact. De hele gemeenschap van cryptografisch onderzoek verdient hier eer; de door ons voorgestelde schema's zijn de kristallisatie van tientallen jaren wetenschappelijke inspanning", aldus Ducas. Het CWI is het nationaal onderzoeksinstituut voor wiskunde en informatica. bron: https://www.security.nl

NAS-systemen van QNAP zijn het doelwit van nieuwe ransomware-aanvallen waarbij gebruik wordt gemaakt van een woordenboekaanval, zo laat de fabrikant zelf in een waarschuwing weten. Uit voorlopig onderzoek blijkt dat de Checkmate-ransomware QNAP-systemen aanvalt waarvan de SMB-services toegankelijk zijn vanaf het internet. Om toegang tot accounts te krijgen maakt de ransomware gebruik van een woordenboekaanval. Volgens QNAP werkt de aanval alleen wanneer gebruikers voor hun accounts een zwak wachtwoord hebben gekozen. Zodra de aanvaller via de woordenboekaanval weet in te loggen wordt er data in gedeelde mappen op het NAS-systeem versleuteld en in elke directory een losgeldbericht achtergelaten. Het onderzoek naar de aanvallen is nog gaande. QNAP zegt snel met meer informatie te komen, maar adviseert in de tussentijd om SMB-services niet vanaf het internet toegankelijk te maken, SMBv1 uit te schakelen, te controleren dat voor elk account een sterk wachtwoord wordt gebruikt en periodiek back-ups te maken. bron: https://www.security.nl

De overheidswebsites van G20-landen blijken op grote schaal en zonder toestemming trackingcookies bij bezoekers te plaatsen, wat ernstige gevolgen kan hebben, zo stellen onderzoekers van verschillende universiteiten, waaronder de TU Delft, op basis van eigen onderzoek (pdf). Volgens de onderzoekers laten de resultaten zien hoe lastig het is om in de praktijk aan privacywetgeving te voldoen. Voor het onderzoek werden ruim vijfduizend overheidssites onderzocht. De onderzoekers ontdekten naar eigen zeggen grootschalige tracking op de overheidssites van de G20-landen. Bij sommige landen bleek dat negentig procent van de overheidssites trackingcookies plaatst. Meer dan de helft van de cookies die G20-overheidssites plaatsen zijn van derde partijen en minstens tien procent, tot zelfs negentig procent, zijn van bekende trackers, waaronder Facebook en Google. De onderzoekers stellen dat misbruik van cookies op overheidssites ernstige gevolgen kan hebben. "Ten eerste breekt het het vertrouwen tussen burgers en autoriteiten. Ten tweede maakt het grootschalige surveillance, monitoring en tracking mogelijk. Als dit via derde partijen plaatsvindt, is het zorgelijk, aangezien het slecht websiteontwerp aantoont dat op externe entiteiten vertrouwt die interacties tussen het publiek en overheid kunnen monitoren." Ironisch In de conclusie van het onderzoek noemen de onderzoekers het ironisch dat overheden privacywetgeving zoals de GDPR promoten, maar hun eigen websites vol tracking zitten. De trackers die op tal van overheidssites actief zijn worden zonder toestemming van gebruikers geplaatst. Volgens de onderzoekers zal dit waarschijnlijk onbedoeld zijn, doordat beheerders van de betreffende sites externe content van social media en third-party diensten gebruiken. Afsluitend stellen de onderzoekers dat hun werk laat zien hoe lastig het is om privacywetgeving in de praktijk toe te passen en hopen ze dat het helpt bij het opschonen van overheidssites van trackingcookies. Verder pleiten ze voor nieuwe tools en systemen om de privacy van publieke online diensten te meten en misstanden te kunnen melden. bron: https://www.security.nl

Het Europees Parlement heeft vandaag ingestemd met de Digital Markets Act (DMA) en Digital Services Act (DSA), die moeten zorgen voor een betere positie van internetgebruikers, zoals het verwijderen van vooraf geïnstalleerde apps en gebruik van third-party applicaties en appstores, regels voor de grootste online platforms en meer verantwoordelijkheden voor aanbieders van digitale diensten richting hun gebruikers. De DMA zorgt voor toezicht en maatregelen voor de tien tot vijftien grootste online platforms met een zogenoemde poortwachterspositie. De regels zouden voor een eerlijker speelveld op de digitale markt moeten zorgen en kaders aan deze bedrijven stellen, ook die van buiten de EU. Dat zou moeten gaan plaatsvinden door middel van strenger toezicht en vooraf ingrijpen. Ook moeten deze online platforms zich ook aan diverse verboden en verplichtingen houden. Het gaat onder andere om een verbod op het bevoordelen van eigen diensten, de mogelijkheid om data van een platform naar een ander platform mee te nemen en de mogelijkheid vooraf geïnstalleerde apps te verwijderen, alsmede de mogelijkheid om third-party applicaties en appstores te gebruiken. Verder komt er een meldingsplicht om fusies en overnames te kunnen beoordelen. "Illegale online content" De DSA moet er onder andere voorzorgen dat digitale diensten hun verantwoordelijkheden qua activiteiten en informatie richting gebruikers verduidelijken. Verder wil de Europese Commissie door middel van de DSA de verspreiding van "illegale online content" bestrijden. "Wat illegaal offline is, zou illegaal online moeten zijn", aldus het Europees Parlement over de Digital Services Act. Het Europees Parlement claimt dat bij de bestrijding van dergelijke content fundamentele rechten, waaronder de vrijheid van meningsuiting en databescherming, worden gerespecteerd. "De DMA en DSA brengen digitale mogelijkheden voor iedereen dichterbij. We blijven innovatie stimuleren, zijn straks minder afhankelijk van grote platforms door meer markttoegang en gaan illegale inhoud, cybercriminaliteit en het misleiden van consumenten en ondernemers tegen", zegt minister Adriaansens van Economische Zaken. De DMA gaat volgend jaar in, de DSA volgt in 2024. bron: https://www.security.nl

Het OpenSSL-team heeft vandaag een beveiligingsupdate uitgebracht voor een "ernstige bug" die remote code execution mogelijk maakt, waardoor een aanvaller op afstand code op kwetsbare servers kan uitvoeren. Het probleem doet zich alleen voor in de 3.0-versie van OpenSSL. OpenSSL 1.1.1 en 1.0.2 zijn niet kwetsbaar. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen grote gevolgen hebben, zoals het Heartbleed-lek in het verleden heeft aangetoond. De kwetsbaarheid (CVE-2022-2274) waarvoor nu wordt gewaarschuwd werd geïntroduceerd met de 3.0.4 release van OpenSSL en bevindt zich in de RSA-implementatie voor processors die de Intel's Advanced Vector Extensions 512 (AVX512) ondersteunen. Verschillende algoritmes gebruiken deze instructieset voor het uitvoeren van berekeningen. Wanneer deze systemen van een RSA-implementatie met 2048-bit private keys gebruikmaken, zorgt de bug ervoor dat er tijdens het opzetten van een beveiligde verbinding waarbij gebruik wordt gemaakt van RSA private keys heap memory corruption ontstaat en een aanvaller code op de server kan uitvoeren. Het probleem speelt bij SSL/TLS-servers en andere servers die van 2048-bit RSA private keys gebruikmaken op een processor die AVX512-IFMA-instructies ondersteunt. Het gaat om processoren die de afgelopen jaren uitkwamen. Intel heeft echter besloten om AVX512-support op Alder Lake-processoren uit te schakelen. De kwetsbaarheid werd op 22 juni door beveiligingsonderzoeker Xi Ruoyao gevonden, die tevens de oplossing ontwikkelde. Volgens beveiligingsonderzoeker Guido Vranken is het triviaal voor een aanvaller om misbruik van het beveiligingslek te maken. De impact van het lek is echter beperkt doordat de meeste servers OpenSSL versie 1.1.1 draaien, niet de nieuwere 3-versie. Beheerders die versie 3.0.4 op hun servers draaien krijgen het advies om te updaten naar OpenSSL 3.0.5. bron: https://www.security.nl

Bij het verwijderen van antivirussoftware blijven er allerlei registersleutels, bestanden en extensies achter, wat voor problemen bij de installatie van een nieuwe virusscanner kan zorgen, zo stelt het Oostenrijkse testlab AV-Comparatives. De organisatie roept antivirusleveranciers dan ook op om de functionaliteit van hun uninstallers uit te breiden. AV-Comparatives voerde onderzoek uit naar de sporen die virusscanners na te zijn verwijderd achterlaten. Net als bij andere software komt het nog altijd voor dat er bestanden of andere verwijzingen na de deinstallatie zijn te vinden. "In het geval van antivirusprogramma's, die diep genesteld zijn in Windows, kan een onvolledige installatie met name problematisch zijn en ervoor zorgen dat nieuwe antivirus niet is te installeren als de installer sporen van het vorige product aantreft", aldus AV-Comparatives. Daarnaast blijkt dat veel antivirussoftware ook aanvullende software installeert, zoals bijvoorbeeld een wachtwoordmanager, vpn of browserextensie. In het geval van Bitdefender, NortonLifeLock en Vipre bleven er na de deinstallatie honderden megabytes aan bestanden achter. Verder laten de uninstallers van Avira, G Data, K7, Kaspersky, Malwarebytes, McAfee, NortonLifeLock en Trend Micro de eerder geïnstalleerde browserextensie op het systeem staan. Ook laten de virusscanners honderden registersleutels achter. Naast het uitbreiden van de functionaliteit van de uninstaller stelt AV-Comparatives dat antivirusbedrijven ook meer hulp zouden moeten geven bij het verwijderen van de software. Vier van de zestien antivirusleveranciers geeft geen enkele uitleg over hun uninstaller. bron: https://www.security.nl

Smartphonegebruikers wereldwijd zouden een eerlijk keuzescherm te zien moeten krijgen voor het kiezen van hun zoekmachine en browser, zo vinden zoekmachines DuckDuckGo, Ecosia en Qwant. Vorig jaar besloot Google onder druk van de Europese Commissie verschillende aanpassingen aan het keuzescherm door te voeren waarmee Europese Androidgebruikers hun zoekmachine kunnen instellen. De EU legde Google in 2018 een miljardenboete op wegens oneerlijke concurrentie en misbruik van de marktmacht met Android. Daarop kwam Google met een keuzescherm voor de zoekmachine. Via dit keuzemenu, dat alleen bij de initiële setup van het toestel verschijnt, kan de zoekmachine voor het homescherm en Google Chrome worden ingesteld. In eerste instanties moeten zoekmachines bieden om in het keuzescherm te worden opgenomen. Na "feedback" van de Europese Commissie besloot Google verschillende aanpassingen aan het keuzescherm voor Europese Androidgebruikers door te voeren. Deelname voor zoekmachines is nu gratis en worden er op het scherm meer zoekmachines weergegeven. De drie zoekmachines hebben nu in een open brief tien principes genoemd die de gebruikerservaring bij het kiezen van een zoekmachine en browser moet verbeteren. Zo zou het keuzescherm altijd gratis en eenvoudig te vinden moeten zijn. Verder zou het keuzescherm ook periodiek aan gebruikers moeten worden getoond. Tevens zou een browser of zoekmachine van de "gatekeeper", zoals Google, geen "systeemstatus" mogen krijgen waardoor die niet van het systeem is te verwijderen. "Gatekeeperbedrijven zouden eerlijke keuzeschermen en effectieve manieren voor het wisselen wereldwijd moeten uitrollen", aldus de drie zoekmachines, die stellen dat de keuzes van gebruikers moeten worden gerespecteerd, en niet dat die keuzes voor hen standaard worden bepaald. bron: https://www.security.nl

Google heeft voor de vierde keer dit jaar een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Chrome. De kwetsbaarheid, aangeduid als CVE-2022-2294, bevindt zich in het WebRTC-onderdeel van Chrome, dat browsers van Real-Time Communicatie (RTC) voorziet, zoals online video. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid in kwestie was gevonden door een onderzoeker van antivirusbedrijf Avast en op 1 juli gerapporteerd aan Google. Verder verhelpt de nu uitgebrachte update ook twee andere kwetsbaarheden waarvan de impact door Google als "high" is beoordeeld. Google Chrome 103.0.5060.114 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Microsoft heeft op het netwerk van honderden organisaties een computerworm ontdekt die zich via usb-sticks verspreidt en waarvan het doel onbekend is. De malware wordt Raspberry Robin genoemd en werd afgelopen mei genoemd in een rapport van securitybedrijf Red Canary. Onlangs verstuurde Microsoft een advisory naar klanten van de zakelijke beveiligingssoftware Defender for Endpoint waarin het waarschuwde dat de worm op de netwerken van honderden organisaties is aangetroffen, zo meldt Bleeping Computer. Het gaat hier niet om een openbaar rapport, maar de infecties zouden in allerlei sectoren zijn aangetroffen. De malware maakt gebruik van lnk-bestanden op usb-sticks om zich te verspreiden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd. Of Raspberry Robin schone usb-sticks besmet om zich verder te verspreiden, en hoe dit precies plaatsvindt, is onbekend. Ook zijn de doelen van de aanvallers onduidelijk, aldus Red Canary. Wel kunnen de aanvallers via de malware op besmette systemen aanvullende aanvallen uitvoeren en verdere malware installeren. Volgens Microsoft zou de worm al sinds 2019 actief zijn. bron: https://www.security.nl

Ik ben een weekje druk geweest met werk, hoe stat het er nu mee?