Captain Kirk

Het Amerikaanse National Institute of Standards and Technology (NIST) koos deze week vier encryptie-algoritmes die bestand zijn tegen de rekenkracht van kwantumcomputers en een onderzoeker van het Nederlandse Centrum Wiskunde & Informatica (CWI) is bij twee van deze algoritmes betrokken. Met de komst van kwantumcomputers zullen veelgebruikte asymmetrische cryptografische algoritmes, zoals RSA en ECC, niet meer veilig zijn. Om data in de toekomst tegen aanvallen van kwantumcomputers te beschermen onderzocht het NIST de afgelopen vijf jaar verschillende benaderingen in een soort wedstrijdproces. De nadruk ligt op public-key versleutelingssystemen en op systemen voor digitale handtekeningen. CWI-onderzoeker Léo Ducas is betrokken bij de twee algoritmes die het NIST koos, het public-key encryptieschema (CRYSTALS-KYBER) en die voor digitale handtekeningen (CRYSTALS-DILITHIUM). De vier door het NIST gekozen algoritmes zullen onderdeel worden van de post-kwantum cryptografische standaard van het instituut, die naar verwachting over twee jaar is afgerond. "De selectie van onze algoritmen als standaard betekent dat ze wereldwijd zullen worden toegepast en de privacy van miljarden gebruikers zullen beschermen; fundamenteel onderzoek krijgt zelden zo'n directe en brede impact. De hele gemeenschap van cryptografisch onderzoek verdient hier eer; de door ons voorgestelde schema's zijn de kristallisatie van tientallen jaren wetenschappelijke inspanning", aldus Ducas. Het CWI is het nationaal onderzoeksinstituut voor wiskunde en informatica. bron: https://www.security.nl

NAS-systemen van QNAP zijn het doelwit van nieuwe ransomware-aanvallen waarbij gebruik wordt gemaakt van een woordenboekaanval, zo laat de fabrikant zelf in een waarschuwing weten. Uit voorlopig onderzoek blijkt dat de Checkmate-ransomware QNAP-systemen aanvalt waarvan de SMB-services toegankelijk zijn vanaf het internet. Om toegang tot accounts te krijgen maakt de ransomware gebruik van een woordenboekaanval. Volgens QNAP werkt de aanval alleen wanneer gebruikers voor hun accounts een zwak wachtwoord hebben gekozen. Zodra de aanvaller via de woordenboekaanval weet in te loggen wordt er data in gedeelde mappen op het NAS-systeem versleuteld en in elke directory een losgeldbericht achtergelaten. Het onderzoek naar de aanvallen is nog gaande. QNAP zegt snel met meer informatie te komen, maar adviseert in de tussentijd om SMB-services niet vanaf het internet toegankelijk te maken, SMBv1 uit te schakelen, te controleren dat voor elk account een sterk wachtwoord wordt gebruikt en periodiek back-ups te maken. bron: https://www.security.nl

De overheidswebsites van G20-landen blijken op grote schaal en zonder toestemming trackingcookies bij bezoekers te plaatsen, wat ernstige gevolgen kan hebben, zo stellen onderzoekers van verschillende universiteiten, waaronder de TU Delft, op basis van eigen onderzoek (pdf). Volgens de onderzoekers laten de resultaten zien hoe lastig het is om in de praktijk aan privacywetgeving te voldoen. Voor het onderzoek werden ruim vijfduizend overheidssites onderzocht. De onderzoekers ontdekten naar eigen zeggen grootschalige tracking op de overheidssites van de G20-landen. Bij sommige landen bleek dat negentig procent van de overheidssites trackingcookies plaatst. Meer dan de helft van de cookies die G20-overheidssites plaatsen zijn van derde partijen en minstens tien procent, tot zelfs negentig procent, zijn van bekende trackers, waaronder Facebook en Google. De onderzoekers stellen dat misbruik van cookies op overheidssites ernstige gevolgen kan hebben. "Ten eerste breekt het het vertrouwen tussen burgers en autoriteiten. Ten tweede maakt het grootschalige surveillance, monitoring en tracking mogelijk. Als dit via derde partijen plaatsvindt, is het zorgelijk, aangezien het slecht websiteontwerp aantoont dat op externe entiteiten vertrouwt die interacties tussen het publiek en overheid kunnen monitoren." Ironisch In de conclusie van het onderzoek noemen de onderzoekers het ironisch dat overheden privacywetgeving zoals de GDPR promoten, maar hun eigen websites vol tracking zitten. De trackers die op tal van overheidssites actief zijn worden zonder toestemming van gebruikers geplaatst. Volgens de onderzoekers zal dit waarschijnlijk onbedoeld zijn, doordat beheerders van de betreffende sites externe content van social media en third-party diensten gebruiken. Afsluitend stellen de onderzoekers dat hun werk laat zien hoe lastig het is om privacywetgeving in de praktijk toe te passen en hopen ze dat het helpt bij het opschonen van overheidssites van trackingcookies. Verder pleiten ze voor nieuwe tools en systemen om de privacy van publieke online diensten te meten en misstanden te kunnen melden. bron: https://www.security.nl

Het Europees Parlement heeft vandaag ingestemd met de Digital Markets Act (DMA) en Digital Services Act (DSA), die moeten zorgen voor een betere positie van internetgebruikers, zoals het verwijderen van vooraf geïnstalleerde apps en gebruik van third-party applicaties en appstores, regels voor de grootste online platforms en meer verantwoordelijkheden voor aanbieders van digitale diensten richting hun gebruikers. De DMA zorgt voor toezicht en maatregelen voor de tien tot vijftien grootste online platforms met een zogenoemde poortwachterspositie. De regels zouden voor een eerlijker speelveld op de digitale markt moeten zorgen en kaders aan deze bedrijven stellen, ook die van buiten de EU. Dat zou moeten gaan plaatsvinden door middel van strenger toezicht en vooraf ingrijpen. Ook moeten deze online platforms zich ook aan diverse verboden en verplichtingen houden. Het gaat onder andere om een verbod op het bevoordelen van eigen diensten, de mogelijkheid om data van een platform naar een ander platform mee te nemen en de mogelijkheid vooraf geïnstalleerde apps te verwijderen, alsmede de mogelijkheid om third-party applicaties en appstores te gebruiken. Verder komt er een meldingsplicht om fusies en overnames te kunnen beoordelen. "Illegale online content" De DSA moet er onder andere voorzorgen dat digitale diensten hun verantwoordelijkheden qua activiteiten en informatie richting gebruikers verduidelijken. Verder wil de Europese Commissie door middel van de DSA de verspreiding van "illegale online content" bestrijden. "Wat illegaal offline is, zou illegaal online moeten zijn", aldus het Europees Parlement over de Digital Services Act. Het Europees Parlement claimt dat bij de bestrijding van dergelijke content fundamentele rechten, waaronder de vrijheid van meningsuiting en databescherming, worden gerespecteerd. "De DMA en DSA brengen digitale mogelijkheden voor iedereen dichterbij. We blijven innovatie stimuleren, zijn straks minder afhankelijk van grote platforms door meer markttoegang en gaan illegale inhoud, cybercriminaliteit en het misleiden van consumenten en ondernemers tegen", zegt minister Adriaansens van Economische Zaken. De DMA gaat volgend jaar in, de DSA volgt in 2024. bron: https://www.security.nl

Het OpenSSL-team heeft vandaag een beveiligingsupdate uitgebracht voor een "ernstige bug" die remote code execution mogelijk maakt, waardoor een aanvaller op afstand code op kwetsbare servers kan uitvoeren. Het probleem doet zich alleen voor in de 3.0-versie van OpenSSL. OpenSSL 1.1.1 en 1.0.2 zijn niet kwetsbaar. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen grote gevolgen hebben, zoals het Heartbleed-lek in het verleden heeft aangetoond. De kwetsbaarheid (CVE-2022-2274) waarvoor nu wordt gewaarschuwd werd geïntroduceerd met de 3.0.4 release van OpenSSL en bevindt zich in de RSA-implementatie voor processors die de Intel's Advanced Vector Extensions 512 (AVX512) ondersteunen. Verschillende algoritmes gebruiken deze instructieset voor het uitvoeren van berekeningen. Wanneer deze systemen van een RSA-implementatie met 2048-bit private keys gebruikmaken, zorgt de bug ervoor dat er tijdens het opzetten van een beveiligde verbinding waarbij gebruik wordt gemaakt van RSA private keys heap memory corruption ontstaat en een aanvaller code op de server kan uitvoeren. Het probleem speelt bij SSL/TLS-servers en andere servers die van 2048-bit RSA private keys gebruikmaken op een processor die AVX512-IFMA-instructies ondersteunt. Het gaat om processoren die de afgelopen jaren uitkwamen. Intel heeft echter besloten om AVX512-support op Alder Lake-processoren uit te schakelen. De kwetsbaarheid werd op 22 juni door beveiligingsonderzoeker Xi Ruoyao gevonden, die tevens de oplossing ontwikkelde. Volgens beveiligingsonderzoeker Guido Vranken is het triviaal voor een aanvaller om misbruik van het beveiligingslek te maken. De impact van het lek is echter beperkt doordat de meeste servers OpenSSL versie 1.1.1 draaien, niet de nieuwere 3-versie. Beheerders die versie 3.0.4 op hun servers draaien krijgen het advies om te updaten naar OpenSSL 3.0.5. bron: https://www.security.nl

Bij het verwijderen van antivirussoftware blijven er allerlei registersleutels, bestanden en extensies achter, wat voor problemen bij de installatie van een nieuwe virusscanner kan zorgen, zo stelt het Oostenrijkse testlab AV-Comparatives. De organisatie roept antivirusleveranciers dan ook op om de functionaliteit van hun uninstallers uit te breiden. AV-Comparatives voerde onderzoek uit naar de sporen die virusscanners na te zijn verwijderd achterlaten. Net als bij andere software komt het nog altijd voor dat er bestanden of andere verwijzingen na de deinstallatie zijn te vinden. "In het geval van antivirusprogramma's, die diep genesteld zijn in Windows, kan een onvolledige installatie met name problematisch zijn en ervoor zorgen dat nieuwe antivirus niet is te installeren als de installer sporen van het vorige product aantreft", aldus AV-Comparatives. Daarnaast blijkt dat veel antivirussoftware ook aanvullende software installeert, zoals bijvoorbeeld een wachtwoordmanager, vpn of browserextensie. In het geval van Bitdefender, NortonLifeLock en Vipre bleven er na de deinstallatie honderden megabytes aan bestanden achter. Verder laten de uninstallers van Avira, G Data, K7, Kaspersky, Malwarebytes, McAfee, NortonLifeLock en Trend Micro de eerder geïnstalleerde browserextensie op het systeem staan. Ook laten de virusscanners honderden registersleutels achter. Naast het uitbreiden van de functionaliteit van de uninstaller stelt AV-Comparatives dat antivirusbedrijven ook meer hulp zouden moeten geven bij het verwijderen van de software. Vier van de zestien antivirusleveranciers geeft geen enkele uitleg over hun uninstaller. bron: https://www.security.nl

Smartphonegebruikers wereldwijd zouden een eerlijk keuzescherm te zien moeten krijgen voor het kiezen van hun zoekmachine en browser, zo vinden zoekmachines DuckDuckGo, Ecosia en Qwant. Vorig jaar besloot Google onder druk van de Europese Commissie verschillende aanpassingen aan het keuzescherm door te voeren waarmee Europese Androidgebruikers hun zoekmachine kunnen instellen. De EU legde Google in 2018 een miljardenboete op wegens oneerlijke concurrentie en misbruik van de marktmacht met Android. Daarop kwam Google met een keuzescherm voor de zoekmachine. Via dit keuzemenu, dat alleen bij de initiële setup van het toestel verschijnt, kan de zoekmachine voor het homescherm en Google Chrome worden ingesteld. In eerste instanties moeten zoekmachines bieden om in het keuzescherm te worden opgenomen. Na "feedback" van de Europese Commissie besloot Google verschillende aanpassingen aan het keuzescherm voor Europese Androidgebruikers door te voeren. Deelname voor zoekmachines is nu gratis en worden er op het scherm meer zoekmachines weergegeven. De drie zoekmachines hebben nu in een open brief tien principes genoemd die de gebruikerservaring bij het kiezen van een zoekmachine en browser moet verbeteren. Zo zou het keuzescherm altijd gratis en eenvoudig te vinden moeten zijn. Verder zou het keuzescherm ook periodiek aan gebruikers moeten worden getoond. Tevens zou een browser of zoekmachine van de "gatekeeper", zoals Google, geen "systeemstatus" mogen krijgen waardoor die niet van het systeem is te verwijderen. "Gatekeeperbedrijven zouden eerlijke keuzeschermen en effectieve manieren voor het wisselen wereldwijd moeten uitrollen", aldus de drie zoekmachines, die stellen dat de keuzes van gebruikers moeten worden gerespecteerd, en niet dat die keuzes voor hen standaard worden bepaald. bron: https://www.security.nl

Google heeft voor de vierde keer dit jaar een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Chrome. De kwetsbaarheid, aangeduid als CVE-2022-2294, bevindt zich in het WebRTC-onderdeel van Chrome, dat browsers van Real-Time Communicatie (RTC) voorziet, zoals online video. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid in kwestie was gevonden door een onderzoeker van antivirusbedrijf Avast en op 1 juli gerapporteerd aan Google. Verder verhelpt de nu uitgebrachte update ook twee andere kwetsbaarheden waarvan de impact door Google als "high" is beoordeeld. Google Chrome 103.0.5060.114 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Microsoft heeft op het netwerk van honderden organisaties een computerworm ontdekt die zich via usb-sticks verspreidt en waarvan het doel onbekend is. De malware wordt Raspberry Robin genoemd en werd afgelopen mei genoemd in een rapport van securitybedrijf Red Canary. Onlangs verstuurde Microsoft een advisory naar klanten van de zakelijke beveiligingssoftware Defender for Endpoint waarin het waarschuwde dat de worm op de netwerken van honderden organisaties is aangetroffen, zo meldt Bleeping Computer. Het gaat hier niet om een openbaar rapport, maar de infecties zouden in allerlei sectoren zijn aangetroffen. De malware maakt gebruik van lnk-bestanden op usb-sticks om zich te verspreiden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd. Of Raspberry Robin schone usb-sticks besmet om zich verder te verspreiden, en hoe dit precies plaatsvindt, is onbekend. Ook zijn de doelen van de aanvallers onduidelijk, aldus Red Canary. Wel kunnen de aanvallers via de malware op besmette systemen aanvullende aanvallen uitvoeren en verdere malware installeren. Volgens Microsoft zou de worm al sinds 2019 actief zijn. bron: https://www.security.nl

Ik ben een weekje druk geweest met werk, hoe stat het er nu mee?

Heb je alle updates, dus ook van je apps, doorgevoerd of gekeken of er nieuwe updates zijn. een enkele keer kan een update niet helemaal goed zijn waardoor dit zou kunnen ontstaan. Vaak komt de uitgever van de app dan snel met een nieuwe update.

Omdat het een nieuwe tablet betreft waar je als klant van mag verwachten dat deze zonder problemen of rare hobbels zoals deze zou moeten werken, is mijn advies nu nog niet zelf te gaan rommelen, maar de tablet terug te sturen.

Even op een zijspoor, maar misschien handig voor wie dit topic ook leest: Deze mailware gaat sinds enkel weken rond. ook ik kreeg hem via de telefoon cadeau. En met mij velen. Wat er al aangegeven is: direct je wachtwoord veranderen, en nog verstandiger, op je Facebook MFA oftwel tweetraps vertificatie inschakelen.

Calvus heeft hier op het forum een mooi topic beschreven waarin uitgebreid het nieuwe jasje van Thunderbird wordt besproken.

De FBI en verschillende andere Amerikaanse overheidsinstanties hebben een gezamenlijke waarschuwing gegeven voor ransomware die voornamelijk via kwetsbare rdp-configuraties organisaties binnendringt. Het zou dan gaan om rdp-systemen die kwetsbaar voor bruteforce-aanvallen zijn. Daarnaast gebruiken de criminelen achter de MedusaLocker-ransomware ook e-mailbijlagen als aanvalsvector. MedusaLocker wordt aangeboden als Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De verspreider van de ransomware krijgt zo'n zestig procent van het losgeld, de rest gaat naar de ontwikkelaar. Eenmaal actief op een systeem schakelt MedusaLocker bepaalde beveiligings-, boekhoud en forensische software uit, zo laten de Amerikaanse overheidsdiensten weten. Vervolgens wordt de machine in veilige modus herstart om detectie door beveiligingssoftware te voorkomen. Hierna worden allerlei bestanden versleuteld en lokale back-ups en shadow kopieën verwijderd. Tevens schakelt de ransomware verschillende herstelopties van het besturingssysteem uit. In de waarschuwing geeft de FBI verschillende Indicators of Compromise, zoals gebruikte bitcoinwallets, e-mailadressen en ip-adressen, die organisaties kunnen gebruiken om zich te beschermen. Ook worden tips gegeven om infecties te voorkomen, zoals het uitschakelen van ongebruikte poorten, updaten van software, verplichten van multifactorauthenticatie en het focussen op cybersecurity awareness en training. bron: https://www.security.nl

In de eerste helft van dit jaar zijn er achttien zerodaylekken gebruikt bij aanvallen tegen organisaties en internetgebruikers. Zeker de helft van deze kwetsbaarheden had voorkomen kunnen worden als de betreffende softwareleverancier betere updates en regressietests had doorgevoerd, zo stelt Google. Het techbedrijf kreeg met de meeste zerodays (5) te maken, gevolgd door Apple (4), Microsoft (4), Mozilla (2), Atlassian (1), Sophos (1) en Trend Micro (1). Zerodays zijn kwetsbaarheden waar op het moment van de aanval geen update van de leverancier voor beschikbaar is. Volgens Google waren zeker negen zerodays varianten van eerder gepatchte kwetsbaarheden. Het techbedrijf stelt dat de helft van de waargenomen zerodaylekken in de eerste helft van dit jaar voorkomen had kunnen worden door betere patches en regressietests. Verder blijkt dat vier van de dit jaar ontdekte zerodays varianten zijn van zerodaylekken die vorig jaar al door aanvallers werden gebruikt. "Wanneer mensen aan zeroday-exploits denken hebben ze vaak het idee dat ze zo technologisch geavanceerd zijn dat er geen kans is om ze te vinden en voorkomen. De data laat een ander verhaal zien. Zeker de helft van de zerodays die we tot nu toe hebben gezien zijn nauw verwant aan eerder waargenomen bugs", aldus Maddie Stone van Google. Ze voegt toe dat veel van de zerodays het gevolg zijn van het niet volledig patchen van de hoofdoorzaak. Daardoor kunnen aanvallers op een andere manier opnieuw van het probleem misbruik maken. Volgens Stone is het belangrijk dat softwareontwikkelaars met uitgebreide en juiste fixes komen, zodat het lastiger wordt voor aanvallers om zerodaylekken te kunnen gebruiken. Om beter inzicht in de onderliggende problemen van zerodaylekken te krijgen heeft Google de "root cause analyses" van meerdere zerodays gepubliceerd en roept andere softwareleveranciers op om hetzelfde te doen. bron: https://www.security.nl

Onderzoekers hebben een manier gevonden waardoor het mogelijk is om Zimbra-mailserver door middel van alleen een malafide RAR-bestand over te nemen. De enige vereiste is de aanwezigheid van een kwetsbare versie van de UnRar-software voor het uitpakken van RAR-bestanden. Een path traversal-kwetsbaarheid in UnRar maakt het mogelijk voor een aanvaller om door middel van een malafide RAR-bestand bestanden naar locaties te schrijven waar dat niet de bedoeling is. In het geval van Zimbra kan een aanvaller zodoende toegang krijgen tot elke verstuurde en ontvangen e-mail op de gecompromitteerde mailserver, inloggegevens van gebruikers stelen en code op de server uitvoeren. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Zoals gezegd is de enige vereiste voor het uitvoeren van de aanval de aanwezigheid van een kwetsbare UnRar-versie. Volgens onderzoekers van securitybedrijf SonarSource, die het probleem ontdekten, is de aanwezigheid van UnRar te verwachten, aangezien de software nodig is om RAR-bestanden uit te pakken en op malware en spam te kunnen controleren. Een path traversal-kwetsbaarheid in UnRar zorgt ervoor dat een aanvaller via een malafide RAR-bestand overal op het filesystem van de mailserver kan schrijven. De onderzoekers merken op dat het probleem niet direct ligt in de Zimbra-mailserversoftware, maar misbruik alleen mogelijk is vanwege de ruime permissies die Zimbra aan UnRar toekent. De kwetsbaarheid, aangeduid als CVE-2022-30333, is in UnRar 6.12 en nieuwer verholpen. Zimbra heeft aanpassingen aan de software doorgevoerd en roept beheerders op om voortaan van archiveringssoftware 7-Zip gebruik te maken en UnRar wanneer geïnstalleerd te verwijderen. Verder merken de onderzoekers op dat de meeste services waarvan Zimbra gebruikmaakt als de Zimbra-user draaien. Er is echter nog geen oplossing beschikbaar voor Zimbra-beheerders om de permissies van de verschillende services te hardenen. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die trackingparameters in url's kan strippen om het online volgen van gebruikers te voorkomen. Het gaat dan bijvoorbeeld om het Facebook click ID dat Facebook aan url's op het platform toevoegt en het mogelijk maakt om clicks naar externe sites te tracken. Parametertracking wordt niet alleen door Facebook toegepast, maar is overal op internet aanwezig, van nieuwsbrieven tot zoekmachines. Het gaat dan om url's als https://example.com?utm_source=newsletter1&utm_medium=email&utm_campaign=sale, https://example.com?fbclid=<61-char-long-unique-identifier> en https://google.com/search?q=my+search&gs_lcp=<128-char-long-unique-identifier>. Een jaar geleden kreeg Mozilla het verzoek om dergelijke trackingparameters in url's door Firefox te laten strippen. Met de lancering van Firefox 102 is dat nu het geval. Het gebeurt echter alleen in de 'strict mode' van de Enhanced Tracking Protection (ETP). Via ETP blokkeert Firefox allerlei trackers. Het is echter mogelijk om de privacyfeature strenger in te stellen, waardoor nu ook trackingparameters worden gestript. Mozilla meldde eerder nog dat de "Query Parameter Stripping" feature ook in de Private Browsing-mode van Firefox zou komen, maar dat is niet het geval. Verder zijn er met de nieuwste Firefox-versie 21 kwetsbaarheden in de browser verholpen. Updaten naar Firefox 102 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

De MITRE Corporation publiceert elk jaar de Top 25 van gevaarlijkste kwetsbaarheden en net als vorig jaar staat ook dit jaar "out-of-bounds write" op de eerste plek, gevolgd door cross-site scripting en SQL Injection. MITRE is de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden te identificeren. De organisatie stelt jaarlijks een Top 25 vast van gevaarlijke kwetsbaarheden die veel in software voorkomen, eenvoudig zijn te vinden en misbruiken, en aanvallers de mogelijkheid geven om systemen volledig over te nemen, data te stelen of een denial of service uit te voeren. Volgens MITRE biedt de Top 25 professionals een praktische en handige bron om risico's te mitigeren. Het gaat dan om programmeurs, testers, gebruikers, projectmanagers en beveiligingsonderzoekers. De Top 25 is gebaseerd op 38.000 kwetsbaarheden die in 2020 en 2021 werden gevonden. Vervolgens werd er een scoreformule gebruikt om de ranking van elke kwetsbaarheid te bepalen. Deze formule kijkt hoe vaak de betreffende kwetsbaarheid voorkomt en de beoogde impact wanneer die wordt misbruikt. Dan staat wederom out-of-bounds write bovenaan. Via deze klasse van kwetsbaarheden is het mogelijk voor een aanvaller om een applicatie te laten crashen of code op het systeem uit te voeren. Andere bekende kwetsbaarheden in de top tien zijn cross-site scripting, SQL Injection en path traversal. SQL Injection steeg met drie plekken naar de derde plek. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren. bron: https://www.security.nl

De ontwikkelaars van Thunderbird hebben vandaag een compleet vernieuwde versie van de populaire e-mailclient gelanceerd, die allerlei nieuwe features en gebruikersinterface bevat. Het gaat onder andere om een nieuw adresboek, een nieuwe lay-out voor contacten en een nieuwe import en export wizard, die het eenvoudiger moet maken om naar Thunderbird te migreren. Verder zijn de message headers aangepast, waardoor alleen de belangrijke informatie wordt benadrukt. Daarnaast zou de nieuwe vormgeving ook eenvoudiger te navigeren moeten zijn. Een andere belangrijke aanpassing is dat de in Thunderbird ingebouwde chatapplicatie nu ook het chatprotocol Matrix ondersteunt. Matrix is een protocol en platform dat versleutelde communicatie biedt. Thunderbird biedt al enige tijd ingebouwde support voor versleutelde communicatie via OpenPGP. Ook daarvoor zijn verschillende aanpassingen doorgevoerd: Commandline tools now included for OpenPGP debugging Thunderbird may now be built with OpenPGP support and a system librnp Added menu option to permanently decrypt OpenPGP encrypted messages to a folder OpenPGP: Public keys from email attachments and autocrypt headers now cached for future use Expired OpenPGP recipient keys now indicated in compose window OpenPGP Key Assistant enabled by default OpenPGP Key Properties now supports refreshing keys from key server Compose toolbar button for OpenPGP & S/MIME signing available via "Customize Toolbar" Volgens het ontwikkelteam heeft Thunderbird meer dan twintig miljoen gebruikers. Die zullen Thunderbird 102 echter handmatig via Thunderbird.net moeten downloaden. Het is niet mogelijk om automatisch vanaf Thunderbird 91 naar de nieuwe versie te upgraden, dit moet via een handmatige download plaatsvinden. De automatische update zal via een toekomstige versie wel mogelijk zijn, maar wanneer is niet bekendgemaakt. Verder verhelpen Thunderbird 102 en Thunderbird 91.11 meerdere kwetsbaarheden. bron: https://www.security.nl

Internationale privacytoezichthouders slaan alarm over het hergebruik van wachtwoorden, aangezien criminelen hierdoor op accounts van internetgebruikers kunnen inloggen. Het gaat specifiek om credential stuffing-aanvallen. Bij dergelijke aanvallen worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Volgens de privacytoezichthouders van Canada, Gibraltar, Jersey, Turkije, het Verenigd Koninkrijk en Zwitserland vormen credential stuffing-aanvallen een groeiende dreiging voor de persoonlijke informatie van internetgebruikers. Daarom zijn de autoriteiten met een advies gekomen waarin ze eindgebruikers en organisaties laten weten hoe dergelijke aanvallen zijn te voorkomen, detecteren en mitigeren (pdf). Het gaat dan om het niet hergebruiken van wachtwoorden en het vermijden van korte en voorspelbare wachtwoorden. Tevens adviseren de privacytoezichthouders het gebruik van passphrases, wachtwoorden die uit meerdere woorden bestaan. De meest effectieve maatregel tegen credential stuffing is multifactorauthenticatie, zo laten de autoriteiten weten. Dit moet dan ook waar mogelijk worden ingesteld. bron: https://www.security.nl

De criminelen achter de LockBit-ransomware zijn een eigen bugbountyprogramma gestart, waarbij ze onder andere beloningen uitloven voor het melden van kwetsbaarheden in de website van de groep en het encryptieproces van de ransomware. Dat laten verschillende beveiligingsonderzoekers op Twitter weten. Volgens securitybedrijf NCC Group was de LockBit-groep de meest actieve ransomwaregroep in mei en zou zeker 95 organisaties hebben getroffen. Eerder dit jaar liet ook de FBI weten dat LockBit tot de meest actieve ransomwaregroepen behoort. Het komt nog altijd voor dat onderzoekers kwetsbaarheden in ransomware vinden waardoor bijvoorbeeld bestanden gratis zijn te ontsleutelen of het versleutelen van bestanden kan worden gestopt. Recentelijk toonde een onderzoeker hoe de LockBit-ransomware op een besmet systeem is uit te schakelen, zonder dat bestanden worden versleuteld. Op de eigen website laat de LockBit-groep nu weten dat het een bugbountyprogramma is gestart, met beloningen van tussen de duizend en één miljoen dollar. De beloningen zijn voor kwetsbaarheden in de website van de groep, problemen in het encryptieproces waardoor bestanden zonder decryptor zijn te ontsleutelen en kwetsbaarheden in TOX Messenger en het Tor-netwerk waardoor het ip-adres van de LockBit-server is te achterhalen. Daarnaast loven de criminelen ook beloningen uit voor "briljante ideeën" en het doxxen van de programmamanager. Wie de leider van de groep weet te identificeren zou één miljoen dollar krijgen. bron: https://www.security.nl

Nog iets meer dan negen maanden en dan stopt Microsoft met de ondersteuning van Exchange Server 2013. De mailserversoftware zal dan geen beveiligingsupdates meer ontvangen. Ook worden er vanaf 11 april 2023 geen tijdszone-updates en bugfixes meer doorgevoerd en kan er ook geen beroep meer op technische support voor problemen worden gedaan. Dat laat Microsoft nogmaals aan organisaties weten. Vanwege de risico's om niet meer ondersteunde software te gebruiken adviseert Microsoft organisaties om zo snel mogelijk naar Exchange Server 2019 of Microsoft 365 te migreren. Eind vorig jaar liet securitybedrijf Rapid7 weten dat er 69.000 Exchange 2013-servers op internet te vinden waren. Begin volgend jaar stopt Microsoft ook de ondersteuning van Windows 8.1. bron: https://www.security.nl

Opera heeft in de betaversie van de desktopbrowser de eigen betaalde "no-log" vpn-dienst Opera VPN Pro gelanceerd. De browser beschikte al enige tijd over een gratis vpn-optie, maar biedt gebruikers nu ook tegen betaling de mogelijkheid om meer dan drieduizend vpn-servers in meer dan dertig landen wereldwijd te gebruiken. Net als de gratis dienst zegt Opera dat het ook bij de betaalde vpn-dienst geen logs bijhoudt. "Wanneer je onze ingebouwde vpn-dienst gebruikt, loggen we geen informatie met betrekking tot je browsingactiviteiten en netwerkadres", zo staat in het privacybeleid. Daarin staat ook dat Opera een bedrijf heeft ingeschakeld om misbruik van de vpn-dienst te detecteren. VPN Pro is op zes apparaten tegelijkertijd te gebruiken en beschikbaar voor Android, Linux, macOS en Windows. Wanneer de releaseversie met de betaalde vpn-optie zal verschijnen is nog niet bekend. bron: https://www.security.nl

Microsoft gaat gebruikers van Windows 8.1 binnenkort waarschuwen dat de support van het besturingssysteem op 10 januari 2023 stopt. Het platform zal daarna geen beveiligingsupdates meer ontvangen. Volgens analysebureau StatCounter maakt 2,6 procent van de Nederlandse Windowsgebruikers nog gebruik van Windows 8.1. Deze Windowsversie werd op 17 oktober 2013 gelanceerd. Windowsvolger Mary Jo Foley meldt dat Microsoft vanaf volgende maand gebruikers een melding zal tonen dat het einde van Windows 8.1 nadert. "Ter herinnering: Windows 8.1 bereikt het einde van de ondersteuning op 10 januari 2023, waarna technische hulp en software-updates niet meer worden verstrekt", aldus Microsoft op de eigen website. Het techbedrijf adviseert gebruikers om te updaten naar een Windowsversie die nog wel wordt ondersteund. Daarbij merkt Microsoft op dat computers die Windows 8.1 draaien waarschijnlijk niet in staat zijn om ook Windows 11 te kunnen draaien. Een andere optie is om eerst naar Windows 10 te upgraden en dan, wanneer mogelijk, naar Windows 11 over te stappen. Windows 10 zal tot 14 oktober 2025 beveiligingsupdates blijven ontvangen. In tegenstelling tot Windows 7 is Microsoft niet van plan om Extended Security Updates voor Windows 8.1 uit te brengen. bron: https://www.security.nl