Captain Kirk

Google gaat in de huidige versie van Chrome een eigen root store voor tls-certificaten lanceren en zal daar zeer binnenkort mee beginnen. De root store bevat de rootcertificaten van vertrouwde certificaatautoriteiten. Chrome zal bij het opzetten van een beveiligde verbinding met een website via de root store controleren of het door de website aangeboden tls-certificaat van een vertrouwde certificaatautoriteit afkomstig is. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing. Op dit moment maakt Chrome gebruik van de root store die door het onderliggende besturingssysteem wordt aangeboden, maar dat gaat nu veranderen. Dat moet zowel ontwikkelaars als gebruikers een consistentere ervaring bieden, aldus Emily Stark van het Chrome Security Team. Om aan de Chrome Root Store te worden toegevoegd moeten certificaatautoriteiten aan de eisen van het Chrome Root-programma voldoen. De Chrome Root Store zal nu onder een klein aantal gebruikers van Chrome versie 105 op macOS en Windows worden ingeschakeld, waarna andere platforms zullen volgen. Gebruikers van macOS en Windows die niet willen wachten kunnen de root store via deze instructies nu al zelf inschakelen. Google verwacht niet dat de overstap naar de Chrome Root Store voor veel problemen zal zorgen. bron: https://www.security.nl

Firefox krijgt een optie om standaard de cookiebanners te blokkeren waarmee websites aan bezoekers toestemming vragen voor het plaatsen van cookies. Op dit moment moeten gebruikers vaak nog een extensie installeren om de pop-ups niet meer te zien, maar straks zal deze functionaliteit standaard vanuit de browser toegankelijk zijn, zo meldt Mozilla-volger en webontwikkelaar Sören Hentzschel. Mozilla is nog bezig met de ontwikkeling van de feature, die deels in Firefox Nightly is te testen. Dit is een vroege testversie van de browser. Via de optie kunnen gebruikers aangeven dat ze alles willen blokkeren, er niets wordt gedaan, of dat alles wordt geweigerd en anders alles wordt geaccepteerd. Wanneer de feature in de standaardversie van Firefox verschijnt is nog niet duidelijk. Vorige week werd bekend dat Avast de browser-extensie I don't care about cookies heeft overgenomen, die bovengenoemde functionaliteit biedt. bron: https://www.security.nl

Organisaties zouden maatregelen moeten treffen om ervoor te zorgen dat hun personeel geen ISO-bestanden kan openen. Aanleiding is een toename van het gebruik van ISO-malware. Een ISO-bestand is een disk image dat bestanden bevat die bijvoorbeeld naar een cd of dvd worden geschreven. Het is echter ook mogelijk om een ISO-bestand los te gebruiken. Wanneer de gebruiker het bestand opent wordt die als schijf gemount en is de inhoud daarna beschikbaar. Aanvallers maken al lange tijd gebruik van malafide ISO-bestanden om malware te verspreiden. Recentelijk lieten securitybedrijven weten dat het gebruik van ISO-malware is toegenomen, die vaak als e-mailbijlage wordt verstuurd. Een mogelijke verklaring is dat Microsoft is begonnen met het blokkeren van macro's in Office-documenten, wat een populaire aanvalsvector voor malware is. Daardoor zijn aanvallers weer teruggevallen op ISO-bestanden. Het Internet Storm Center meldt ook een toename van ISO-malware en roept organisaties op om het openen van ISO-bestanden door hun personeel te blokkeren. Het is dan nog steeds mogelijk om een ISO-bestand op cd of dvd te branden, maar het mounten van dergelijke bestanden om zo vervolgens de aanwezige inhoud te openen zal niet meer gaan. De aanpassing is door te voeren door middel van een aanpassing van het Windows Register of een Group Policy, zoals Rob Fuller in dit artikel uitlegt. bron: https://www.security.nl

De uitgebreide spellingcheckers van Google Chrome en Microsoft Edge kunnen informatie die gebruikers op websites invoeren, waaronder hun wachtwoorden, naar de techbedrijven sturen. Dat stelt securitybedrijf otto-js. Chrome en Edge worden met een standaard spellingchecker geleverd. Gebruikers kunnen echter een uitgebreidere spellingchecker inschakelen. Deze uitgebreidere spellingcheckers kunnen informatie die gebruikers op websites invoeren, waaronder ook persoonlijke informatie, naar Google en Microsoft terugsturen. Het gaat in principe om alles, zoals gebruikersnamen, e-mailadressen en geboortedata, aldus het securitybedrijf. Wanneer de optie "show password" door de gebruiker wordt aangeklikt, om zo het ingevoerde wachtwoord te bekijken, gaat ook het wachtwoord richting de techbedrijven. "Het is verontrustend dat klanten onbedoeld vertrouwelijke gegevens kunnen prijsgeven door het inschakelen van onschuldige browserfuncties en niet begrijpen dat alles wat ze typen - inclusief wachtwoorden - naar derden kunnen worden verzonden", zegt Christofer Hoff Chief Secure Technology Officer van wachtwoordmanager LastPass. Otto-js deed onderzoek en stelde het probleem vast bij Office 365, Alibaba Cloud, Google Cloud, Amazon Web Services en LastPass. Na te zijn ingelicht besloten Amazon en LastPass maatregelen door te voeren. Er zijn verschillende maatregelen om het lekken van gevoelige data tegen te gaan. Websites kunnen de optie "spellcheck=false" voor alle invoervelden gebruiken. Ook de optie om het ingevoerde wachtwoord weer te geven kan worden uitgeschakeld. Daarnaast kunnen eindgebruikers ervoor kiezen om de uitgebreidere spellingchecker niet in te schakelen. bron: https://www.security.nl

Antivirusbedrijf Bitdefender heeft een gratis decryptietool voor de LockerGoga-ransomware beschikbaar gemaakt, nadat de Zwitserse autoriteiten tal van decryptiesleutels in handen kregen. Voor slachtoffers van de MegaCortex-ransomware zal binnenkort ook een tool verschijnen voor het kosteloos ontsleutelen van bestanden, zo laten de Zwitserse autoriteiten weten. De criminelen achter de LockerGoga-ransomware wisten in 2019 onder andere systemen van de Noorse aluminiumproducent Hydro te versleutelen, wat voor een schade van tussen 57 en 67 miljoen euro. Hydro, dat via een e-mail besmet raakte, besloot het losgeld dat de aanvallers vroegen niet te betalen. Ook de Amerikaanse chemiebedrijven Hexion en Momentive werden slachtoffer van de LockerGoga-ransomware. Eind vorig jaar vond er een internationale politieoperatie plaats tegen verdachten die van de LockerGoga- en MegaCortex-ransomware gebruik zouden hebben gemaakt. Eerder waren de Nederlandse autoriteiten al een onderzoek naar de bende achter de ransomware-aanvallen gestart. Die wordt verantwoordelijk gehouden voor het maken van achttienhonderd slachtoffers in meer dan zeventig landen. De hierbij veroorzaakte schade wordt op 104 miljoen dollar geschat. Tijdens het onderzoek wist het Team High Tech Crime (THTC) van de politie informatie te achterhalen over systemen van bedrijven die wereldwijd waren geïnfecteerd, maar waar de ransomware nog niet was geactiveerd. Vervolgens werden deze bedrijven door het THTC en Nationaal Cyber Security Centrum (NCSC) gewaarschuwd, zodat ze maatregelen konden nemen om de ransomware te verwijderen. Het Zwitserse openbaar ministerie laat weten dat het tijdens het onderzoek naar een verdachte in deze zaak op een onderzochte datadrager tal van decryptiesleutels heeft aangetroffen. Deze sleutels zijn met Bitdefender gedeeld, zodat het een gratis decryptietool voor getroffen organisaties kon ontwikkelen. Binnenkort zal er ook een decryptietool voor de MegaCortex-ransomware beschikbaar komen. bron: https://www.security.nl

De aanvaller die wist in te breken op interne systemen van wachtwoordmanager LastPass en daar broncode buitmaakte deed dit via een systeem van een ontwikkelaar. Dat heeft het bedrijf in een update over het incident bekendgemaakt. Hoe de aanvaller het systeem van de ontwikkelaar wist te compromitteren is na onderzoek niet duidelijk geworden. De aanvaller had in totaal vier dagen lang toegang tot de ontwikkelomgeving van LastPass. Eind augustus meldde LastPass dat het door een aanval was getroffen, die zich eerder die maand had voorgedaan. De aanvaller wist het systeem van de ontwikkelaar te compromitteren en wachtte vervolgens totdat die zich via multifactorauthenticatie op de ontwikkelomgeving authenticeerde, om zo zelf toegang te krijgen. Zodoende kon de aanvaller zich voordoen als de ontwikkelaar. LastPass herhaalt dat de wachtwoordkluizen van klanten niet in gevaar zijn geweest, omdat die fysiek gescheiden van de productieomgeving zijn. Verder zijn er geen aanwijzingen gevonden dat de broncode van de wachtwoordmanager door de aanvaller is aangepast. Vanwege de succesvolle inbraak op de ontwikkelomgeving zegt LastPass dat het de beveiliging heeft aangescherpt, waaronder extra "endpoint security controls" en monitoring van systemen. bron: https://www.security.nl

Google heeft Chrome van een nieuwe beveiliging voorzien die misbruik van use-after-free bugs moet voorkomen. Meer dan de helft van alle ernstige kwetsbaarheden die in het eerste kwartaal van dit jaar in Chrome werden gevonden waren use-after-free bugs. Deze kwetsbaarheden doen zich voor wanneer een programma, na het vrijmaken van geheugen, niet de pointer die hiernaar wijst op null zet. Wanneer het programma vervolgens het vrijgemaakte geheugen voor een ander object gebruikt, bijvoorbeeld door een aanvaller ingevoerde data, zal de 'dangling' pointer hier nu naar wijzen. Dit kan leiden tot crashes of in het ergste geval tot het uitvoeren van code van de aanvaller. Om misbruik van dergelijke kwetsbaarheden binnen Chrome te voorkomen ontwikkelde Google "MiraclePtr", een technologie waarbij de codebase wordt herschreven om een "nieuw slim pointertype" te gebruiken, stelt Adrian Taylor van het Google MiraclePtr-team. Zo heeft het team meer dan 15.000 "raw pointers" in de codebase van Chrome herschreven, waarvoor nu het nieuwe pointertype wordt gebruikt. De oplossing zorgt ervoor dat een bepaalde geheugenregio eerst in quarantaine wordt geplaatst en pas wordt vrijgegeven als de 'dangling' pointer hier niet meer naar wijst. Daarnaast vindt er nog een bewerking op het geheugen in quarantaine plaats, om zo misbruik van eventuele use-after-free bugs verder te voorkomen. Taylor verwacht dat MiraclePtr ongeveer de helft van alle aanvallen waarbij misbruik wordt gemaakt van use-after-free bugs kan voorkomen. De nieuwe bescherming heeft wel impact op het geheugenverbruik van Chrome, aangezien dat op Android tot 5 procent en op Windows tot 6,5 procent toeneemt. Hoewel de technologie nu aan Chrome is toegevoegd, is MiraclePtr nog niet onder alle gebruikers uitgerold. bron: https://www.security.nl

Oplichters gebruiken advertenties in de nieuwsfeed van Microsoft Edge voor het plegen van helpdeskfraude, zo waarschuwt anti-malwarebedrijf Malwarebytes. De nieuwsfeed van de browser toont continu allerlei nieuwsberichten, afgewisseld met verkeersinformatie en advertenties. Deze advertenties worden nu door fraudeurs gebruikt om Edge-gebruikers naar malafide pagina's te leiden. Zodra een gebruiker op een advertentie klikt vindt er eerst een controle van de browser plaats, om zo te kijken of de huidige bezoeker een potentieel doelwit is. Afhankelijk van de uitkomst van de controle krijgt de gebruiker een onschuldige pagina te zien of een pagina die waarschuwt dat Windows Defender malware op de computer heeft aangetroffen en het opgegeven telefoonnummer moet worden gebeld om het probleem op te lossen. Dit nummer is echter van oplichters die zich voordoen als de helpdesk van Microsoft en slachtoffers proberen te laten betalen voor het verhelpen van een niet-bestaand probleem of toegang tot het systeem proberen te krijgen om daar vervolgens mee te frauderen. bron: https://www.security.nl

Google heeft Chrome van een nieuwe beveiliging voorzien die misbruik van use-after-free bugs moet voorkomen. Meer dan de helft van alle ernstige kwetsbaarheden die in het eerste kwartaal van dit jaar in Chrome werden gevonden waren use-after-free bugs. Deze kwetsbaarheden doen zich voor wanneer een programma, na het vrijmaken van geheugen, niet de pointer die hiernaar wijst op null zet. Wanneer het programma vervolgens het vrijgemaakte geheugen voor een ander object gebruikt, bijvoorbeeld door een aanvaller ingevoerde data, zal de 'dangling' pointer hier nu naar wijzen. Dit kan leiden tot crashes of in het ergste geval tot het uitvoeren van code van de aanvaller. Om misbruik van dergelijke kwetsbaarheden binnen Chrome te voorkomen ontwikkelde Google "MiraclePtr", een technologie waarbij de codebase wordt herschreven om een "nieuw slim pointertype" te gebruiken, stelt Adrian Taylor van het Google MiraclePtr-team. Zo heeft het team meer dan 15.000 "raw pointers" in de codebase van Chrome herschreven, waarvoor nu het nieuwe pointertype wordt gebruikt. De oplossing zorgt ervoor dat een bepaalde geheugenregio eerst in quarantaine wordt geplaatst en pas wordt vrijgegeven als de 'dangling' pointer hier niet meer naar wijst. Daarnaast vindt er nog een bewerking op het geheugen in quarantaine plaats, om zo misbruik van eventuele use-after-free bugs verder te voorkomen. Taylor verwacht dat MiraclePtr ongeveer de helft van alle aanvallen waarbij misbruik wordt gemaakt van use-after-free bugs kan voorkomen. De nieuwe bescherming heeft wel impact op het geheugenverbruik van Chrome, aangezien dat op Android tot 5 procent en op Windows tot 6,5 procent toeneemt. Hoewel de technologie nu aan Chrome is toegevoegd, is MiraclePtr nog niet onder alle gebruikers uitgerold. bron: https://www.security.nl

Antivirusbedrijf Avast heeft de populaire browser-extensie I don't care about cookies overgenomen, zo heeft ontwikkelaar Daniel Kladnik aangekondigd. I don't care about cookies verbergt of blokkeert de cookiemeldingen die op websites verschijnen en toestemming aan gebruikers vragen voor het plaatsen van cookies. In gevallen waarbij het nodig is voor de werking van de website om een beslissing te maken zal de browser-extensie dit doen. Hierbij zal de extensies soms alle cookies accepteren en soms alleen de noodzakelijke, afhankelijk van wat eenvoudiger is. Kladnik stelt dat hij aan het project blijft werken en de extensie gratis zal blijven. Vanwege de overname is het niet meer nodig voor gebruikers om te doneren. Welk bedrag Avast voor de extensie heeft betaald is niet bekendgemaakt. De Chrome-extensie van I don't care about cookies telt meer dan 1 miljoen gebruikers, terwijl de Firefox-versie 290.000 gebruikers heeft. De Opera-extensie is ruim 600.000 keer gedownload. Eerder deze week werd bekend dat de miljardenovername van Avast door NortonLifeLock is afgerond. bron: https://www.security.nl

Afgelopen juni stopte Microsoft de ondersteuning van Internet Explorer 11 op Windows 10. Het uiteindelijke uitfaseren van de browser vindt in de twee fases plaats. Microsoft roept organisaties nu op om hier niet op te wachten en zelf alvast te beginnen met het uitfaseren van Internet Explorer 11 via de "Disable IE Policy", bij voorkeur voor 1 november van dit jaar. Tijdens de eerste fase van het uitfaseringsproces worden gebruikers bij het gebruik van IE11 doorgestuurd naar Microsoft Edge. Om binnen organisaties grote verstoringen te voorkomen zullen niet alle systemen tegelijkertijd naar Edge worden doorgestuurd. Op deze manier moeten eventuele problemen met bijvoorbeeld interne applicaties en websites snel zijn te identificeren. Deze "redirection" fase zal de komende maanden op alle Windows 10-systemen plaatsvinden waar IE11 wordt uitgefaseerd. Tijdens de tweede fase zal Internet Explorer 11 via een toekomstige Windows-update permanent worden uitgeschakeld. Dit zal via het standaard Windows-updateproces plaatsvinden. Organisaties die al klaar zijn om afscheid van IE11 te nemen worden door Microsoft opgeroepen om de Disable IE Policy te gebruiken, zodat ze meer controle over het uitfaseringsproces hebben. "Door van deze policy gebruik te maken kun je met je gebruikers je eigen planning maken en de overgang overeenkomstig communiceren. Je kunt helemaal zelf bepalen wanneer IE in je omgeving wordt uitgefaseerd", aldus Microsofts Bailey Reid. Zodra organisaties de Disable IE Policy inschakelen wordt alle IE-activiteit naar Edge doorgestuurd. Ook worden IE11-iconen van het Startmenu en Taakbalk verwijderd. Aangezien veel organisaties tegen het einde van het jaar geen grote it-aanpassingen meer doorvoeren en er ook rekening met de feestdagen gehouden moet worden, adviseert Microsoft om de Disable IE Policy voor 1 november toe te passen om zo verrassingen en verstoringen te voorkomen, mochten interne websites die alleen met IE werken zijn gemist. bron: https://www.security.nl

WordPress-sites worden op grote schaal aangevallen via een zerodaylek in WPGateway, een plug-in voor het populaire contentmanagementsysteem, zo meldt securitybedrijf Wordfence. Een beveiligingsupdate van de ontwikkelaar is nog niet beschikbaar. WordPress-beheerders wordt dan ook aangeraden om de plug-in direct te verwijderen totdat er een update is uitgebracht. WPGateway is een betaalde plug-in waarmee gebruikers van de WPGateway-clouddienst vanuit een dashboard hun WordPress-sites kunnen opzetten en beheren. Een kwetsbaarheid in de plug-in, aangeduid als CVE-2022-3180, maakt het mogelijk voor ongeauthenticeerde aanvallers om een malafide beheerder aan de website toe te voegen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Wordfence wil nog geen verdere details over de kwetsbaarheid geven, aangezien een beveiligingsupdate van de ontwikkelaar niet beschikbaar is. Het zerodaylek zou zeker sinds 8 september worden aangevallen. Sindsdien heeft Wordfence naar eigen zeggen 4,6 miljoen aanvallen tegen 280.000 websites waargenomen. Hoeveel websites van WPGateway gebruikmaken is onbekend. Aangezien een update ontbreekt krijgen webmasters het advies om de plug-in direct uit te schakelen totdat er een patch beschikbaar is. bron: https://www.security.nl

Ssd's die als bootdrive worden gebruikt zijn betrouwbaarder dan traditionele harde schijven in dezelfde rol, zo stelt back-updienst Backblaze op basis van eigen cijfers en onderzoek. Backblaze publiceert periodiek overzichten van de betrouwbaarheid van de harde schijven waarop het de data van klanten opslaat. Sinds vorig jaar komt de back-updienst ook met cijfers van ssd's die het als bootdrive voor de opslagservers gebruikt. Uit het nu gepubliceerde halfjaaroverzicht blijkt dat ssd's weinig uitval kennen. Van de bijna 2600 ssd's die Backblaze in gebruik heeft zijn er tussen 1 april 2021 en 30 juni 2022 in totaal zeven uitgevallen. Zes daarvan zijn van fabrikant Seagate. Als er wordt gekeken naar de rapportageperiode vanaf 1 oktober 2018 moest het bedrijf in totaal 35 ssd's vervangen. Naast hdd's voor de opslag van klantdata zet Backblaze traditionele harde schijven ook in als bootdrive voor de opslagservers. Daardoor heeft het bedrijf nu een vergelijking kunnen maken tussen de betrouwbaarheid van ssd's en hdd's als bootdrive. Dan blijkt dat ssd's in deze rol gebaseerd op de "annualized failure rate" (AFR) betrouwbaarder zijn dan hdd's. Wel verwacht de back-updienst dat de uitval van ssd's uiteindelijk zal toenemen wanneer de schijven langer in gebruik zijn. bron: https://www.security.nl

Tijdens de patchdinsdag van september heeft Microsoft een actief aangevallen zerodaylek in Windows verholpen dat een aanvaller die al toegang tot een computer heeft systeemrechten geeft. Ook is een beveiligingslek gepatcht dat 'wormable' is. Het zerodaylek (CVE-2022-37969) bevindt zich in de Windows Common Log File System (CLFS) driver waar Microsoft in april ook al een zeroday in verhielp. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Het beveiligingslek maakt het niet mogelijk om een systeem op afstand over te nemen. Daarvoor zou een tweede kwetsbaarheid zijn vereist. Naast de combinatie met een tweede kwetsbaarheid is CVE-2022-37969 ook te misbruiken door slachtoffers een malafide app te laten installeren, waarna een aanvaller volledige controle over het systeem kan krijgen, ook al heeft het slachtoffer verminderde rechten. Details over de aanvallen zijn niet gegeven. Maar liefst vier verschillende securitybedrijven, DBAPPSecurity, Mandiant, CrowdStrike en Zscaler, ontdekten het zerodaylek en rapporteerden dit aan Microsoft. Een andere kwetsbaarheid die deze maand opvalt is CVE-2022-34718, aanwezig in de TCP/IP-code van Windows. Door het versturen van een speciaal geprepareerd IPv6-pakket kan een ongeauthenticeerde aanvaller op afstand willekeurige code uitvoeren en zo het systeem overnemen. Er is geen enkele interactie van gebruikers vereist, de computer hoeft alleen toegankelijk voor de aanvaller te zijn. Daardoor heeft het lek, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, het stempel 'wormable' gekregen. Er is wel een voorwaarde om misbruik mogelijk te maken. Op de computer moet namelijk IPSec ingeschakeld staan. De beveiligingsupdates van deze maand zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Microsoft heeft een nieuwe updatefunctie aangekondigd die ervoor moet zorgen dat updates voor Office-apps automatisch op vergrendelde of niet in gebruik zijnde systemen worden geïnstalleerd, ook wanneer een gebruiker nog applicaties en documenten heeft openstaan. Op dit moment kunnen updates niet automatisch worden geïnstalleerd wanneer applicaties nog draaien. Volgens Microsoft komt het geregeld voor dat gebruikers de Office-apps op hun computer niet afsluiten, maar open laten staan. De gebruiker werkt bijvoorbeeld aan een Word-document en vergrendelt aan het einde van de dag zijn systeem en gaat naar huis. De openstaande applicatie en document zorgen ervoor dat beschikbare updates niet kunnen worden geïnstalleerd. Met de nieuwe updatefunctie, "update under lock", sluit Microsoft op vergrendelde computers en systemen die niet worden gebruikt het document en de applicatie, installeert de update en laadt vervolgens weer het programma en document. Het proces zou zo'n vier seconden in beslag nemen en nauwelijks merkbaar voor gebruikers zijn. "Geen meldingen, geen onderbrekingen", zegt Microsoft Julia Lieberman. Microsoft benadrukt dat 365-apps niet worden gesloten wanneer het niet veilig is om dit te doen, bijvoorbeeld wanneer er macro's draaien of documentaanpassingen nog niet zijn opgeslagen. In deze gevallen zullen updates op de normale wijze worden geïnstalleerd. Microsoft laat verder weten dat er geen "admin controls" zijn waarmee systeembeheerders deze functie kunnen configureren. Volgens het techbedrijf is de feature namelijk uitgebreid getest. De functie is er voor Microsoft 365-gebruikers en Office 2016, 2019 en 2021. bron: https://www.security.nl

Gebruikers van het populaire gamingplatform Steam zijn het doelwit van een phishingaanval waarbij van de "browser-in-the-browser" techniek gebruik wordt gemaakt. Dat laat securitybedrijf Group-IB weten. Bij deze techniek laat een malafide website een inlogpop-up zien met de url van een legitieme website. Gebruikers kunnen deze url ook kopiëren en plakken. De betreffende pop-up is echter niet van de legitieme website afkomstig. Zodra gebruikers via deze pop-up inloggen worden hun inloggegevens naar de aanvaller gestuurd. Wanneer het slachtoffer tweefactorauthenticatie voor zijn Steam-account heeft ingeschakeld vraagt de pop-up om deze informatie. Group-IB adviseert gebruikers om te controleren dat nieuw geopende vensters ook zichtbaar in de taakbalk zijn. "Anders is het browservenster nep", aldus het securitybedrijf. Verder wordt aangeraden om het venster te resizen. Als dit niet kan, is dit ook een aanwijzing dat het om een nagemaakt browservenster gaat. bron: https://www.security.nl

Securitybedrijf NortonLifeLock heeft de vorig jaar aangekondigde miljardenovername van antivirusbedrijf Avast voltooid. Vorig jaar werd de deal ter waarde van 8,1 miljard dollar aangekondigd. De nieuwe combinatie gaat als NortonLifeLock verder. NortonLifeLock komt voort uit de overname van Symantecs bedrijfsdivisie door chipgigant Broadcom in 2019. De consumententak ging vervolgens door als NortonLifeLock en besloot zich volledig op eindgebruikers te richten. Eerder nam NortonLifeLock nog concurrent Avira over voor een bedrag van 360 miljoen dollar. Avast, dat inmiddels zevenduizend medewerkers telt, werd in 2016 voor een bedrag van 1,3 miljard dollar eigenaar van antivirusbedrijf AVG. Naast een betaald product biedt Avast ook een gratis virusscanner. Deze scanner was enige tijd het meestgebruikte antivirusprogramma ter wereld. Inmiddels is Windows al enige door Microsoft uitgerust met Defender, een gratis ingebouwde virusscanner die in de tests vaak net zo goed of beter presteert dan betaalde producten. In 2019 maakte Microsoft bekend dat Defender een marktaandeel van meer dan vijftig procent heeft. bron: https://www.security.nl

De criminelen achter de DeadBolt-ransomware hebben begin deze maand ruim 11.000 NAS-apparaten van fabrikant QNAP via een zerodaylek weten te versleutelen, zo stelt securitybedrijf Censys. Sinds het begin van dit jaar zijn QNAP-systemen het doelwit van de DeadBolt-ransomware, waarbij vaak bekende kwetsbaarheden worden gebruikt. Begin september wisten de aanvallers NAS-systemen via een zerodaylek in de Photo Station-software aan te vallen. QNAP stelt dat het een aantal uur na ontdekking van de aanvallen met een beveiligingsupdate kwam om het probleem te verhelpen. Op het forum van QNAP klaagden tal van gebruikers dat hun systeem was versleuteld. Censys houdt het aantal met DeadBolt besmette QNAP-apparaten bij. Dat waren er op 1 september zo'n 7700. Op 4 september was dit gestegen naar 19.000. De meeste infecties werden geteld in de Verenigde Staten, gevolgd door Duitsland, Italië, Taiwan en het Verenigd Koninkrijk. Slachtoffers moeten honderden euro's betalen voor het ontsleutelen van hun data. Vorig jaar kwam QNAP met snapshots die niet door ransomware zijn te verwijderen. Gebruikers die regelmatig snapshots maken kunnen zo hun data herstellen. Klanten die niet regelmatig snapshots maken en door de recente aanval zijn getroffen worden aangeraden om contact op te nemen met de klantenservice van QNAP. bron: https://www.security.nl

Een groep ransomwarecriminelen die wist in te breken op systemen van Cisco heeft de daarbij gestolen bestanden openbaar gemaakt, zo heeft de netwerkgigant bekendgemaakt. Het zou onder andere om geheimhoudingsverklaringen van het bedrijf gaan. Volgens Cisco laat het incident zien dat organisaties hun personeel goed over het gebruik van multifactorauthenticatie (MFA) moeten onderwijzen. De aanval vond eind mei plaats, maar werd pas vorige maand door Cisco naar buiten gebracht. De aanvaller wist via het persoonlijke Google-account van een Cisco-medewerker toegang tot het Cisco-vpn te krijgen. Deze medewerker had wachtwoordsynchronisatie via Google Chrome ingesteld en zijn Cisco-inloggegevens in de browser opgeslagen. Daardoor werden deze gegevens met het Google-account gesynchroniseerd. Hoe het account van de medewerker kon worden gecompromitteerd heeft Cisco niet laten weten. Het vpn van Cisco was ook beveiligd met multifactorauthenticatie, waardoor de aanvaller aan alleen de buitgemaakte inloggegevens niet voldoende had. Om dit obstakel te omzeilen maakte de aanvaller gebruik van verschillende methodes, waaronder telefonische phishing en “MFA fatigue”, waarbij een doelwit wordt bestookt met pushnotificaties op de telefoon om de inlogpogingen van de aanvaller goed te keuren. Nadat de aanvaller toegang had verkregen wist die verschillende eigen systemen voor de multifactorauthenticatie aan te melden en kon zo succesvol op het Cisco-vpn inloggen. De aanvaller wist vervolgens adminrechten te krijgen, waardoor hij tot meerdere Cisco-systemen toegang kreeg. Dit veroorzaakte een waarschuwing waarop Cisco een onderzoek startte. De aanvaller bleek meerdere tools te gebruiken, waaronder LogMeIn en TeamViewer, en tools zoals Cobalt Strike, PowerSploit, Mimikatz en Impacket. Ook voegde de aanvaller zijn eigen backdoor-accounts toe. De aanvaller probeerde vervolgens data te stelen. Dat is volgens Cisco beperkt tot alleen een "Box folder" van de in eerste instantie gecompromitteerde medewerker. Er is geen ransomware uitgerold, zo laat het netwerkbedrijf verder weten. Multifactorauthenticatie Na de aankondiging van de inbraak en gestolen data kwam Cisco met een update waarin het stelt dat organisaties hun medewerkers over het gebruik van MFA moeten voorlichten, zodat ze weten hoe ze met onbedoelde push requests op hun telefoon moeten omgaan. Daarnaast moeten medewerkers weten wie ze in deze gevallen kunnen informeren mocht een dergelijke aanval zich voordoen. Verder adviseert Cisco ook technische maatregelen, zoals een strengere controle bij het toevoegen van nieuwe apparaten waarmee medewerkers op een vpn kunnen inloggen, of het in zijn geheel blokkeren hiervan. Verder moet van elk systeem voordat het vpn-toegang krijgt de "security baseline" worden gecontroleerd. Dit moet ook voorkomen dat malafide, niet toegestane apparaten verbinding met het bedrijfsnetwerk kunnen maken. Ook adviseert Cisco het gebruik van netwerksegmentatie en het gecentraliseerd verzamelen van logbestanden. bron: https://www.security.nl

QNAP heeft eigenaren van een NAS-apparaat dat toegankelijk vanaf het internet is opnieuw opgeroepen om UPnP en port forwarding uit te schakelen. Aanleiding is de recente zeroday-aanval op gebruikers van een QNAP-NAS begin deze maand. Aanvallers achter de DeadBolt-ransomware maakten gebruik van een zerodaylek in de Photo Station-software van QNAP. Zodoende konden allerlei bestanden worden versleuteld en moesten slachtoffers losgeld betalen om hun data terug te krijgen. QNAP zegt dat het vijf uur na het identificeren van de "malwarepatronen" met een beveiligingsupdate voor het aangevallen zerodaylek is gekomen. Verder heeft de NAS-fabrikant een lijst met ip-adressen die de aanvallers gebruiken op een blacklist van de QuFirewall-applicatie gezet. Verder stelt het bedrijf dat het vorig jaar NAS-snapshots heeft geïntroduceerd die niet door ransomware zijn te verwijderen. In QTS 5.0.0 staan deze snapshots standaard in het Thin/Thick volume ingeschakeld. Gebruikers die regelmatig snapshots maken kunnen die herstellen. Klanten die niet regelmatig snapshots maken worden aangeraden om contact op te nemen met de klantenservice van QNAP. Ook adviseert de NAS-fabrikant om wel geregeld snapshots te maken. In april kwam QNAP met advies om UPnP en port forwarding uit te schakelen en die oproep wordt nu herhaald. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren. Aangezien het bedoeld is om op lokale, vertrouwde netwerken te worden gebruikt implementeert het UPnP-protocol standaard geen enkele vorm van authenticatie of verificatie. Port forwarding maakt het mogelijk om het NAS-appraat voor het internet toegankelijk te maken. QNAP stelt dat gebruikers hier voorzichtig mee moeten zijn en het uitschakelen van de feature wordt aangeraden. In het geval een NAS-systeem toch toegankelijk vanaf het internet moet zijn is het nodig om een strikte firewallconfiguratie toe te passen en de managementpoort aan te passen, zo stelt de fabrikant. Hoeveel QNAP-gebruikers slachtoffer van de recente aanval zijn geworden is niet bekend. Volgens securitybedrijf Censys zijn inmiddels bij de recente zeroday-aanval ruim 11.000 NAS-systemen besmet geraakt. bron: https://www.security.nl

Er is een nieuwe versie van OpenWrt uitgebracht, het populaire alternatieve besturingssysteem voor routers. OpenWrt 22.03 is ongeveer een jaar in ontwikkeling geweest en bevat naast nieuwere versies van de Linux-kernel en andere onderdelen ook een uitgebreidere ondersteuning van nieuwe apparaten. De nieuwste versie van OpenWrt werkt op bijna zestienhonderd verschillende routers. Dit is vooral een uitkomst voor eigenaren van routers die geen ondersteuning van de fabrikant meer krijgen. Een andere grote verandering in OpenWrt 22.03 is de standaard meegeleverde firewall. Dat is namelijk de op nftables gebaseerde Firewall4. Deze firewall maakt gebruik van nftables in plaats van iptables om de Linux netfilter ruleset te configureren, zoals met Firewall3 het geval was. Iptables is het bekende programma dat al sinds 1998 wordt gebruikt voor het opstellen van filterregels voor de Linux-firewall. Vanwege schaalbaarheid en prestaties kwamen de ontwikkelaars van iptables met een opvolger, nftables. Het programma is al sinds 2014 in de Linux-kernel aanwezig. De ontwikkelaars van OpenWrt hebben besloten om voortaan nftables als standaard te gebruiken in plaats van iptables. Daarbij stellen ze dat Firewall4 dezelfde configuratiesyntax hanteert en in de meeste gevallen bestaande regels zou moeten kunnen vervangen. De legacy iptables utilities zijn ook niet meer in de standaard-images van OpenWrt te vinden, maar zijn nog wel door gebruikers via de image builder toe te voegen. bron: https://www.security.nl

De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, heeft een nieuw dashboard met zogenoemde "threat data" gelanceerd. Via het dashboard is informatie over honeypots, ddos-aanvallen, bruteforcepogingen, sinkholes, online scans en kwetsbare systemen te vinden. Shadowserver verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). De afgelopen jaren heeft de Shadowserver Foundation bij het oprollen van meerdere grote botnets een belangrijke rol gespeeld. Dagelijks scant de organisatie vier miljard ip-adressen op mogelijk misbruik en worden er meer dan 700.000 malware-exemplaren geanalyseerd. Die informatie wordt nu deels via het dashboard gedeeld. Zo blijkt dat in Nederland zevenduizend besmette systemen verbinding maken met een "sinkhole". Hierbij wordt verkeer afkomstig van een besmette machine omgeleid naar een server van bijvoorbeeld een securitybedrijf, autoriteit of provider, om zo verdere schade te voorkomen en besmette machines te identificeren. Ook is er bijvoorbeeld een overzicht van kwetsbare Zimbra-servers te vinden. Daarvan zijn er in Nederland nog zo'n driehonderd. Via het nieuwe dashboard, dat met geld van de Britse overheid is gefinancierd, is het mogelijk om bepaalde trends te volgen of cijfers van landen met elkaar te vergelijken. Shadowserver hoopt dat de data van het dashboard beveiligingsonderzoekers, beleidsmakers, journalisten, computer security incident response teams (CSIRTs) en anderen kan helpen met onderzoek en het vergroten van bewustzijn over cyberdreigingen. bron: https://www.security.nl

Een groep aanvallers maakt bij het uitvoeren van ransomware-aanvallen gebruik van Microsofts encryptietool BitLocker, zo laat het techbedrijf zelf in een blogposting weten. Microsoft noemt de groep DEV-0270 en vermoedt dat die vanuit Iran opereert. De groep weet organisaties binnen te dringen via bekende kwetsbaarheden in Exchange Server, zoals het ProxyLogon-lek, en Fortinet FortiOS. Zodra er toegang tot een server is verkregen verkennen de aanvallers eerst de netwerkomgeving en proberen daarna wachtwoorden te bemachtigen. Ook maken ze een account aan om toegang te behouden en schakelen het remote desktopprotocol (RDP) in. Hiervoor wordt ook een aanpassing in de firewall doorgevoerd om RDP-verbindingen toe te staan. De volgende stap in het proces is het uitschakelen van Microsoft Defender Antivirus en zich lateraal door het netwerk bewegen. Als laatste wordt Microsofts BitLocker-tool gebruikt voor het versleutelen van bestanden. Getroffen organisaties moeten vervolgens betalen voor de decryptiesleutel. Hiervoor vraagt de groep volgens Microsoft achtduizend dollar, wat in vergelijking met andere ransomware-aanvallen een zeer laag bedrag is. DEV-0270 is volgens Microsoft een subgroep van een andere groep genaamd Phosphorus die ook vanuit Iran zou opereren. Eind vorig jaar beschreef Microsoft verschillende ransomware-aanvallen die door Phosphorus zouden zijn uitgevoerd en waarbij ook gebruik werd gemaakt van kwetsbaarheden in Exchange Server en bestanden via BitLocker werden versleuteld. Microsoft denkt dat de aanvallen van DEV-0270 mogelijk voor persoonlijk financieel gewin zijn. Om de aanvallen te voorkomen krijgen organisaties het advies om hun Exchange-servers te patchen. bron: https://www.security.nl

Tachtig procent van de websites met een zoekfunctie lekt zoekopdrachten aan adverteerders en andere derde partijen, zo stellen onderzoekers van Norton Labs op basis van eigen onderzoek dat tijdens het Privacy Enhancing Technologies Symposium in Sydney werd gepresenteerd (pdf). Voor het onderzoek werden de 1 miljoen populairste websites op internet geanalyseerd. Van deze websites bleken er ruim 512.000 over een interne zoekfunctie te beschikken. Meer dan 81 procent van de websites met een interne zoekfunctie blijkt zoekopdrachten naar derde partijen door te sturen. In de meeste gevallen laat het privacybeleid niet weten dat zoekopdrachten worden gedeeld. In 87 procent van de onderzochte privacy policies wordt hier geen expliciete melding van gemaakt. Driekwart stelt in generieke bewoording dat er informatie naar derde partijen gaat. Het lekken van de zoekopdrachten, dat bijvoorbeeld in het geval van medische of financiële zaken gevoelige informatie kan betreffen, gaat op verschillende manieren. Het kan via de http-referer, url-parameters of http-requests. Volgens de onderzoekers zouden websites duidelijker aan gebruikers moeten laten weten dat zoekopdrachten worden gedeeld. Uit eerder onderzoek blijkt dat de meeste mensen namelijk niet willen dat hun zoekactiviteiten worden gevolgd. Daarnaast kunnen gebruikers browser-extensies installeren om trackers te blokkeren. bron: https://www.security.nl

Een kwetsbaarheid in de Support Assistant van HP, die standaard geïnstalleerd staat op desktops en laptops van de fabrikant, maakt het mogelijk voor een aanvaller met toegang tot het systeem om zijn rechten te verhogen en zo volledige controle over de machine te krijgen. HP heeft updates uitgebracht om het probleem te verhelpen. Via de HP-software kunnen gebruikers problemen met hun computer verhelpen en allerlei updates downloaden. Een onderdeel van de Support Assistant, genaamd Performance Tune-up, zou de prestaties van het systeem moeten verbeteren. Dit onderdeel is kwetsbaar voor DLL-hijacking. Hierbij kan een aanvaller zijn kwaadaardige code door een legitiem programma laten uitvoeren. Aangezien de Support Assistant met SYSTEM-rechten draait kan een aanvaller zijn code met deze rechten laten uitvoeren. De kwetsbaarheid (CVE-2022-38395) is alleen te misbruiken door een aanvaller die al toegang tot het systeem heeft. Gezien het feit dat de software standaard geïnstalleerd is en HP-systemen vaak binnen bedrijven worden gebruikt, krijgen gebruikers en organisaties het advies om de software naar versie 9.11 of nieuwer te updaten. bron: https://www.security.nl