Captain Kirk

GitLab roept organisaties op om een kritieke kwetsbaarheid die remote command execution mogelijk maakt zo snel mogelijk te patchen. De impact van de kwetsbaarheid, aangeduid als CVE-2022-2884, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Via een malafide import kan een geauthenticeerde gebruiker willekeurige code uitvoeren. In de advisory spreekt GitLab zowel over "remote code execution" als "remote command execution". Vanwege de impact van een succesvolle aanval wordt organisaties aangeraden zo snel mogelijk te updaten naar GitLab 15.3.1, 15.2.3 of 15.1.5. Eind vorig jaar werd bekend dat een andere kritieke kwetsbaarheid in GitLab actief werd gebruikt bij aanvallen op organisaties. De Amerikaanse overheid gaf federale overheidsdiensten vervolgens een deadline om de betreffende patch te installeren. Voor zover bekend word er nog geen misbruik van CVE-2022-2884 gemaakt. bron: https://www.security.nl

De Chromium-browser van Linux-distributie Debian heeft wegens privacyredenen besloten om Google niet langer meer als standaard zoekmachine te gebruiken, maar DuckDuckGo in te stellen. De aanpassing werd onlangs aangekondigd op de mailinglist. Verschillende gebruikers klagen dat ze na de aanpassing een bericht ontvingen dat hun Chromium-browser door "hun organisatie" werd beheerd. Ook zijn er gebruikers die klagen dat met de nieuwste update ook de zoekmachine van bestaande installaties wordt aangepast. Sommige gebruikers stellen dat ze liever een overzicht van zoekmachines willen om vervolgens zelf een eigen keuze te maken, dan dat de browser dit voor hen doet. De beslissing om voor DuckDuckGo te kiezen zorgt dan ook voor verhitte reacties op Hacker News. bron: https://www.security.nl

Een kwetsbaarheid in firewalls en switches van Cisco maakt het mogelijk voor een ongeauthenticeerde aanvaller om code als root uit te voeren. Cisco heeft beveiligingsupdates uitgebracht om het beveiligingslek te verhelpen. De kwetsbaarheid bevindt zich in het Cisco Discovery Protocol, aanwezig in Cisco FXOS en Cisco NX-OS. Deze besturingssystemen draaien op de Firewpower-firewalls en Nexus-switches van het netwerkbedrijf. Via het Cisco Discovery Protocol (CDP) kunnen Cisco-apparaten informatie over andere op het netwerk aangesloten apparaten verzamelen. Het staat in veel gevallen standaard ingeschakeld. Door het versturen van een malafide CDP-pakket naar een kwetsbare switch of firewall kan een aanvaller willekeurige code met rootrechten op het apparaat uitvoeren of een denial of service veroorzaken. Het Cisco Discovery Protocol is een Layer 2-protocol. Om misbruik van de kwetsbaarheid te kunnen maken moet een aanvaller in hetzelfde "broadcast domain" als het aan te vallen apparaat zijn. Daardoor is de impact van de kwetsbaarheid (CVE-2022-20824) op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Zonder deze vereiste zou de impactscore hoger zijn. Eind 2020 werd bekend dat Cisco-apparaten via een kwetsbaarheid in het CDP actief werden aangevallen. bron: https://www.security.nl

Aanvallers maken gebruik van een anti-cheatdriver van de videogame Genshin Impact om zo antivirussoftware bij organisaties uit te schakelen en daarna ransomware uit te rollen. De driver in kwestie is eenvoudig verkrijgbaar en onafhankelijk van de videogame te gebruiken. Daarnaast is het code signing certificaat van de driver nog altijd geldig, zo waarschuwt antivirusbedrijf Trend Micro. Genshin Impact is een action role-playing game voor verschillende platforms met meer dan 60 miljoen actieve spelers. Om valsspelen tegen te gaan maakt het spel gebruik van een speciale anti-cheatdriver genaamd "mhyprot2.sys". Via deze driver blijkt het mogelijk om vanuit user-mode naar kernel-mode te gaan en vervolgens commando's uit te voeren. Bij de aanval die Trend Micro onderzocht wist een aanvaller op deze manier de antivirussoftware uit te schakelen, waarna ransomware binnen de organisatie werd uitgerold. De betreffende driver kan echter voor allerlei malware worden gebruikt. Dat het mogelijk is om via de anti-cheatdriver rechten te verhogen is al twee jaar bekend en ook gemeld bij de gameontwikkelaar als kwetsbaarheid. Het probleem is echter nooit opgelost. Het certificaat gebruikt voor het signeren van de driver is ook nog altijd geldig en het is de vraag of het zal worden ingetrokken, zo stellen de onderzoekers. "Zoals eerder opgemerkt is deze driver zeer eenvoudig te verkrijgen en zal totdat die verdwijnt voor iedereen beschikbaar zijn", zegt onderzoeker Ryan Soliven. Hij stelt dat de driver nog lange tijd bij aanvallen kan worden gebruikt voor het verhogen van rechten. "Het intrekken van het certificaat en antivirusdetectie zouden mogelijk het misbruik kunnen tegengaan, maar er zijn op dit moment geen oplossingen aangezien het om een legitieme driver gaat." Het onderzoek naar het gebruik van de driver bij aanvallen is nog gaande. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht waarmee meerdere kwetsbaarheden in de browser zijn verholpen, waaronder een spoofinglek in de adresbalk en een bug waardoor niet werd getoond dat websites de microfoon gebruikten. Het spoofinglek, aangeduid als CVE-2022-38472, deed zich voor bij de verwerking van XSLT-foutmeldingen. Een aanvaller had hierdoor in de adresbalk een andere url kunnen tonen dan bij de geopende website hoorde. Zo zouden Firefox-gebruikers nietsvermoedend gevoelige gegevens op de verkeerde website kunnen invoeren, aldus Mozilla. Daarnaast was er een probleem met de Androidversie van Firefox. Wanneer een website toegang tot de microfoon wil moet een gebruiker hiervoor eerst toestemming geven. Is de toestemming gegeven en maakt de website gebruik van de microfoon voor het opnemen van audio, dan verschijnt erin de browser een opname-notificatie. Het is mogelijk voor een website om deze notificatie niet te tonen (CVE-2022-38474). Zo zou een website die eerder al toestemming had gehad opnames kunnen maken zonder dat gebruikers dit doorhebben. In totaal zijn er met Firefox 104 zes kwetsbaarheden verholpen. Updaten kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Onderzoekers hebben een nieuwe manier bedacht om data van air-gapped computers te stelen, waarbij gebruik wordt gemaakt van het led-lampje van de netwerkkaart van het besmette systeem. Net als eerdere onderzoeken om gegevens van offline computers te exfiltreren is ook dit onderzoek uitgevoerd door een onderzoeker van de Ben-Gurion University. Air-gapping is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Een bekend voorbeeld hiervan is Stuxnet. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes. Bijvoorbeeld door gebruik te maken van speakers, airconditioning, geluid van de harde schijf, ventilatoren, radiogolven, infraroodcamera's, scanners, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes, routerlampjes, magnetische velden, toetsenbordlampjes, wifi-signalen en SATA-kabels zijn gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. Bij de "ETHERLED" aanval (pdf) wordt er gebruik gemaakt van het led-lampje van de netwerkkaart van een besmet systeem. Malware op de besmette computer kan het lampje op verschillende manieren laten knipperen en van kleur veranderen. Op deze manier is het mogelijk om te stelen informatie, zoals wachtwoorden of encryptiesleutels, te encoderen. Als voorbeeld noemt onderzoeker Mordechai Guri het gebruik van morsecode. Door het led-lampje op een gecontroleerde manier te laten knipperen kan zo de data worden verstuurd. Een aanvaller zou het geknipper van het lampje bijvoorbeeld via een smartphone, beveiligingscamera of telelens op afstand kunnen opvangen en daarna het signaal decoderen. Daarbij stelt Guri dat afstanden van honderden meters haalbaar zijn. De snelheid waarmee informatie kan worden verstuurd is echter beperkt en ligt tussen de één en twee bit per seconde. ETHERLED is dan ook vooral bedoeld voor het stelen van wachtwoorden en encryptiesleutels. Wanneer malware de firmware van de netwerkkaart kan aanpassen is het mogelijk om via het led-lampje honderd bits per seconde te versturen. Daardoor is ook de diefstal van tekstbestanden mogelijk. Systemen met netwerkkaarten staan vaak lang op dezelfde plek, waardoor een aanvaller met zicht op de netwerkkaart voldoende tijd heeft om het signaal te ontvangen. Als oplossing om dergelijke aanvallen te voorkomen is het mogelijk om het led-lampje af te plakken of los te maken of speciaal raamfolie te gebruiken. bron: https://www.security.nl

Aanvallers stelen steeds vaker cookies om multifactorauthenticatie te omzeilen, wat aantoont hoe belangrijk het is om cookies geregeld te verwijderen en de browser te sluiten, zo stelt antivirusbedrijf Sophos. Zodra een gebruiker zich bij een website authenticeert ontvangt die een session cookie. Door dit cookie te stelen kan een aanvaller zich bij de betreffende website als de gebruiker authenticeren en zo toegang tot diens account krijgen. Er zijn allerlei malware-exemplaren in omloop die zich op het stelen van session cookies richten. Eerder dit jaar stelde securitybedrijf NCC Group dat de groep aanvallers die zichzelf Lapsus$ noemt en wist in te breken bij Microsoft, Nvidia, Okta en Samsung vooral gebruikmaakt van gestolen authenticatiecookies om toegang tot accounts en systemen te krijgen. Dergelijke cookies zouden ook op internet te koop worden aangeboden. De impact van gestolen cookies zou een stuk kleiner zijn als niet zoveel applicaties cookies gebruiken die zeer lang geldig zijn. Zeker wanneer een applicatie op het systeem actief blijft en niet wordt gesloten. Het geregeld verwijderen van cookies en sluiten van de browser kan dan ook helpen, aldus Sophos. Het verkorten van de levensduur van cookies houdt echter ook in dat gebruikers zich vaker opnieuw moeten authenticeren. bron: https://www.security.nl

Het voormalige hoofd security van Twitter heeft het Amerikaanse Congres en verschillende federale overheidsinstanties vorige maand gewaarschuwd voor grote misstanden in de beveiliging en privacybescherming van het platform. Zo zouden teveel medewerkers zonder toezicht vergaande controle tot systemen en informatie hebben, worden grote kwetsbaarheden verzwegen en zou Twitter data van gebruikers die hun accounts opheffen niet adequaat verwijderen. Dat meldt CNN vandaag. Peiter Zatko, alias Mudge, werd eind 2020 hoofd security bij Twitter. Begin dit jaar werd hij wegens "slechte prestaties" ontslagen. Zelf denkt Zatko dat hij is weggestuurd omdat hij grote misstanden in de beveiliging van het platform aan de kaak wilde stellen. Toen hij begon trof Zatko naar eigen zeggen een bedrijf met slechte security practices aan. Zo hadden duizenden medewerkers toegang tot de belangrijkste systemen en draaide de helft van de ongeveer 500.000 servers van Twitter verouderde software. Verder was Twitter kwetsbaar voor storingen en waren er onvoldoende redundanties en procedures om van crashes in datacenters te herstellen. Ook zou Twitter geen idee hebben hoeveel bots erop het platform actief zijn en geen interesse hebben om dit uit te zoeken, zo stelt Zatko verder. Het voormalige hoofd security claimt ook dat hij onder druk werd gezet om de impact van kwetsbaarheden richting het bestuur te bagatelliseren. Twitter ontkent de aantijgingen van Zatko en stelt dat security en privacy prioriteit bij het bedrijf zijn en er nog veel werk te verrichten is. Zatko was een lid van de hackersgroep L0pht en het hackerscollectief Cult of the Dead Cow. Hij werkte in 1995 mee aan de eerste onderzoeken naar buffer overflows, toen nog een nieuw soort beveiligingslek. In 1998 getuigde Zatko samen met andere leden van L0pht voor het Amerikaanse Congres over de slechte beveiliging van Amerikaanse overheidssystemen. Ze claimden dat ze het internet binnen 30 minuten uit de lucht konden halen. Voor zijn overstap naar Twitter was Zatko 'head security' bij betaalverwerker Stripe. Daarvoor werkte hij bij de Motorola Mobility’s Advanced Technology & Projects (ATAP) groep, onderdeel van Google en het Defense Advanced Research and Projects Agency (DARPA) van het Pentagon. bron: https://www.security.nl

Een kwetsbaarheid in firewalls van Palo Alto Networks waar begin deze maand een beveiligingsupdate voor verscheen wordt inmiddels actief door aanvallers gebruikt bij het uitvoeren van dos-aanvallen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het beveiligingslek (CVE-2022-0028) maakt het mogelijk voor aanvallers om aanvalsverkeer bedoeld voor het platleggen van bijvoorbeeld websites via de firewall te laten lopen, waarbij het verkeer ook nog eens wordt versterkt. Daarnaast kan de aanvaller op deze manier zijn eigen identiteit verbergen en de firewall als de bron van de aanval impliceren, zo laat Palo Alto zelf weten. Firewalls lopen alleen risico als url-filtering staat ingeschakeld en er een regel met een externe netwerkinterface is opgenomen. Volgens Palo Alto is dit geen normale configuratie voor url-filtering en zal het, wanneer ingesteld, een fout van de beheerder zijn. Desondanks maken aanvallers actief misbruik van de kwetsbaarheid, aldus het CISA. Dat roept Amerikaanse federale overheidsinstanties op om het beveiligingslek voor 12 september te hebben gepatcht. Palo Alto laat aanvullend weten dat het probleem ook bij firewalls van andere fabrikanten speelt. bron: https://www.security.nl

Een kwetsbaarheid in ChromeOS maakt het mogelijk voor aanvallers om door middel van malafide metadata in een audiobestand willekeurige code op het systeem uit te voeren, zo hebben onderzoekers van Microsoft ontdekt. Google heeft inmiddels een beveiligingsupdate voor het besturingssysteem uitgebracht. Het probleem, aangeduid als CVE-2022-2587, doet zich voor bij het afspelen van een audiobestand vanuit de browser of vanaf een aangesloten usb- of bluetooth-apparaat. Door middel van het manipuleren van de metadata in een audiobestand is het mogelijk om een "out of bounds write" te veroorzaken. Dit kan leiden tot een denial of service of in extreme gevallen remote code execution. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8 en heeft het label "kritiek" gekregen. Google stelt dat de impact van de kwetsbaarheid, die zich in de audioserver van ChromeOS bevindt, "high" is. Het gaat dan om verschillende scenario's waarbij code execution of ontsnapping uit de sandbox van het besturingssysteem mogelijk is. Het techbedrijf werd op 28 april door Microsoft over het beveiligingslek ingelicht en bracht op 15 juni een update uit. "Gegeven de potentiële impact van de kwetsbaarheid, gekoppeld met het feit dat die op afstand was te misbruiken, is het een beveiligingsrisico dat de gegeven prioriteit en snelheid waarmee de fix werd uitgerold rechtvaardigt", aldus Microsoft-onderzoeker Jonathan Bar Or. bron: https://www.security.nl

Best Manneke, Met de hulp van Kweezie Wabbit zla de laptop zeker sneller worden. Daarnaast helpt de tip van Eddy X zeker ook. Laat ik ook een kleine bijdrage leveren; het uitbreiden van het werkgeheugen zal zeker ook haar steentje bijdrage de laptop weer wat vlotter te krijgen.

Elke maand detecteert Defender Antivirus op honderdduizenden computers cryptojackers die de rekenkracht van de machines gebruiken voor het delven van cryptovaluta, zo laat Microsoft in een analyse weten. De malware zit vaak verborgen in getrojaniseerde applicaties en maakt steeds vaker gebruik van al aanwezige systeembestanden voor het uitvoeren van taken. Iets wat ook wel "living-off-the-land" wordt genoemd. Microsoft stelt dat het elke dag op meer dan 200.000 computers cryptojackers aantreft die misbruik van legitieme systeembestanden maken. Het gaat dan met name om notepad.exe, waar de cryptojackingcode in wordt geïnjecteerd. Het aantal machines waarop cryptojackers worden aangetroffen laat sinds april wel een daling zien. In de eerste drie maanden van dit jaar ging het nog om 900.000 unieke apparaten per maand, sinds april gaat het om zo'n 600.000 machines per maand, wat mogelijk samenhangt met de koers van cryptovaluta. bron: https://www.security.nl

De Amerikaanse overheid heeft een waarschuwing gegeven voor actief misbruikte kwetsbaarheden in SAP en Windows waarvan eerder nog niet bekend was dat ze bij aanvallen werden ingezet. Federale Amerikaanse overheidsinstanties zijn verplicht om de updates voor 8 september te installeren. Begin dit jaar kwam SAP met een update voor een kwetsbaarheid (CVE-2022-22536) in SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server en SAP Web Dispatcher. Een onderdeel van de software is kwetsbaar voor "http request smuggling" en maakt het mogelijk voor een ongeauthenticeerde aanvaller om systemen op afstand over te nemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Sap riep in februari organisaties op om de kwetsbaarheid direct te patchen. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers inmiddels actief misbruik van dit beveiligingslek om organisaties aan te vallen. Dat geldt ook voor twee kwetsbaarheden in Windows waar Microsoft in februari en mei van dit jaar updates voor uitbracht. Via een beveiligingslek in Active Directory Domain Services (CVE-2022-26923) kan een aanvaller met toegang tot een systeem een certificaat van Active Directory Certificate Services verkrijgen en zo zijn rechten verhogen tot die van SYSTEM. Het andere beveiligingslek in Windows (CVE-2022-21971) laat een aanvaller lokaal willekeurige code uitvoeren, hoewel Microsoft spreekt over remote code execution. Aangezien het lek niet op afstand is te misbruiken heeft het een lagere impactscore en beoordeling gekregen. Verder waarschuwt het CISA federale organisaties ook voor actief aangevallen kwetsbaarheden in Google Chrome en Apple iOS en macOS, maar daarvan was al bekend dat er misbruik plaatsvindt. bron: https://www.security.nl

Er is een nieuwe versie van het contentmanagementsysteem (CMS) Joomla verschenen die gebruikers ook via multifactorauthenticatie (MFA) laat inloggen. Joomla ondersteunde al tweefactorauthenticatie, maar heeft nu ook support voor MFA toegevoegd. Beheerders kunnen daardoor verschillende authenticatiemethodes voor het inloggen op hun website toevoegen, zoals een Yubi-key, webauthenticatiecode, verificatiecode of via e-mail verstuurde code. Bij multifactorauthenticatie in Joomla 4.2 moeten gebruikers eerst inloggen met gebruikersnaam en wachtwoord. Daarna verschijnt een volgend scherm om de tweede authenticatiemethode in te voeren. Het is daardoor niet meer mogelijk om een 2FA-code op dezelfde pagina als de inlogpagina in te voeren, zo laten de releasenotes weten. Volgens W3Techs draait 1,6 procent van alle websites op internet op Joomla. bron: https://www.security.nl

Opnieuw zijn in de Python Package Index (PyPI) malafide Python-packages aangetroffen die cookies, wachtwoorden, creditcardgegevens en andere data stelen, zo waarschuwen verschillende securitybedrijven. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Geregeld komt het voor dat aanvallers malafide packages uploaden en die voorzien van namen die erg lijken op die van legitieme packages. Zo ontdekte securitybedrijf Snyk onlangs twaalf packages die inloggegevens voor chatplatform Discord en cookies en gebruikersdata voor gameplatform Roblox stelen, alsmede de geschiedenis van bezochte websites en zoekopdrachten van gebruikers. Ook steelt de malware door de gebruiker ingevoerde creditcardgegevens. Eerder deze maand waarschuwde securitybedrijf Check Point voor tien malafide Python-packages in PyPI die zich voordeden als legitieme packages en data zoals wachtwoorden en API-tokens probeerden te stelen. Gisteren meldde antivirusbedrijf Kaspersky dat het twee packages had gevonden die zich wederom als een populaire, legitieme package voordeden en ontwikkeld waren om persoonlijke data en inloggegevens van programmeurs te stelen. Securitybedrijf Sonatype stelt dat het om drie packages gaat die zich voordoen als de populaire library "Requests". De aanvallers gebruikten hierbij packages met namen als "requesys", "requesrs" en "requesr". Programmeurs die niet goed opletten of een typfout maken kunnen zodoende de verkeerde package installeren. bron: https://www.security.nl

Gebruikers van Google Chrome zijn opnieuw het doelwit van een zeroday-aanval geworden. Google heeft een beveiligingsupdate uitgebracht die ook een kritieke kwetsbaarheid verhelpt waardoor aanvallers systemen op afstand kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website of te zien krijgen van een besmette advertentie is voldoende. Details over de waargenomen aanvallen, die Google zelf ontdekte, zijn niet door het techbedrijf gegeven. Dit jaar heeft Google al meerdere zerodaylekken in Chrome verholpen die al voor het uitkomen van de update werden misbruikt. Eerder was het raak in februari, maart, april en juli. De nieuwste zeroday (CVE-2022-2856) werd vorige maand door onderzoekers van Googles Threat Analysis Group gevonden. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Een andere kwetsbaarheid in de browser maakt het echter wel mogelijk om systemen op afstand over te nemen. Volgens Google wordt er van dit kritieke beveiligingslek, aangeduid als CVE-2022-2852, voor zover bekend geen misbruik gemaakt. Ook deze kwetsbaarheid werd door Google zelf gevonden. Hoewel kritieke beveiligingslekken weinig voorkomen in Chrome staat de teller dit jaar al op zes, wat meer is dan in voorgaande jaren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Naast het aangevallen zerodaylek en de kritieke kwetsbaarheid verhelpen Chrome 104.0.5112.101 voor Mac en Linux en Chrome 104.0.5112.102/101 voor Windows negen andere kwetsbaarheden. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Aanvallers maken op dit moment actief misbruik van verschillende kwetsbaarheden in de Zimbra Collaboration Suite. Systeembeheerders moeten hun servers dan ook vandaag nog updaten, mocht dat nog niet zijn gedaan, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Organisaties die de betreffende patches niet meteen na het uitkomen hebben geïnstalleerd moeten hun servers op de aanwezigheid van aanvallers controleren, zo adviseert de overheidsinstantie. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. De afgelopen maanden zijn verschillende kwetsbaarheden in de software gevonden (CVE-2022-27924, CVE-2022-27925, CVE-2022-37042, CVE-2022-30333 en CVE-2022-24682) waar aanvallers inmiddels actief misbruik van maken. Via de beveiligingslekken kunnen aanvallers inloggegevens en sessiecookies stelen en in het ergste geval kwetsbare Zimbra-servers volledig overnemen. Onlangs meldde securitybedrijf Volexity dat het meer dan duizend Zimbra-servers had aangetroffen die van een backdoor waren voorzien. Organisaties die beschikbare updates niet meteen hebben geïnstalleerd moeten volgens het CISA aannemen dat hun servers zijn gecompromitteerd en naar de aanwezigheid van eventuele aanvallers zoeken. In het geval van een gecompromitteerde Zimbra-server moeten organisaties informatie over de aanvallers verzamelen, de server in quarantaine plaatsen of offline halen, het systeem volledig opnieuw installeren en als laatste gebruikers van nieuwe inloggegevens voorzien. bron: https://www.security.nl

Een beveiligingsonderzoeker van Google heeft een kwetsbaarheid in Windows Defender ontdekt waardoor een aanvaller die al toegang tot een computer heeft systeemrechten kan krijgen. Microsoft had al beveiligingsupdates voor de in Windows ingebouwde virusscanner uitgebracht, maar had het bestaan van de kwetsbaarheid niet vermeld. Gisteren werd alsnog een beveiligingsbulletin voor het probleem gepubliceerd. Het beveiligingslek, aangeduid als CVE-2022-34711, bevindt zich in Windows Defender Credential Guard. Dit onderdeel van de antivirussoftware maakt gebruik van virtualisatie om inloggegevens van gebruikers in een beveiligde container op te slaan, los van het besturingssysteem. Dit moet voorkomen dat ze gestolen kunnen worden. Google-onderzoeker James Forshaw ontdekte de bovengenoemde kwetsbaarheid in het onderdeel waardoor "Elevation of Privilege" mogelijk is en een aanvaller die al toegang tot het systeem heeft systeemrechten kan krijgen. Daarmee is volledige controle over het systeem mogelijk. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Microsoft heeft geen verdere details gegeven, maar acht de kans klein dat aanvallers misbruik van het lek zullen maken. bron: https://www.security.nl

Cloudprovider DigitalOcean heeft klanten gewaarschuwd voor een datalek nadat aanvallers wisten in te breken bij e-mailmarketingbedrijf MailChimp. Vanwege het datalek heeft DigitalOcean het contract met MailChimp opgezegd. Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen, maar ook andere e-mailcommunicatie. Ook DigitalOcean maakte gebruik van de diensten van het bedrijf, mede voor het uitvoeren van wachtwoordresets, versturen van mailwaarschuwingen en e-mailbevestigingen. Vorige week ontdekte de cloudprovider dat een aanvaller het eigen MailChimp-account had gecompromitteerd, wat volgens DigitalOcean vermoedelijk een groter beveiligingsincident lijkt te zijn. Zo werden transactionele e-mails van DigitalOcean die via MailChimp werden verstuurd niet meer afgeleverd bij klanten. Het ging onder andere om wachtwoordresets en e-mailbevestigingen. De aanvaller kreeg via het gecompromitteerde DigitalOcean MailChimp-account toegang tot e-mailadressen van DigitalOcean-klanten. Vervolgens probeerde de aanvaller toegang tot de accounts van deze klanten te krijgen door in naam van klanten wachtwoordresets uit te voeren. Ten tijde van de aanval liet tenminste één klant weten dat het wachtwoord van zijn account was gereset. De cloudprovider meldt dat de accounts van deze klanten inmiddels zijn beveiligd. Naast de e-mailadressen zijn er geen andere klantgegevens buitgemaakt. Na de ontdekking op 8 augustus dat het eigen MailChimp-account was gecompromitteerd nam DigitalOcean contact op met MailChimp, maar de cloudprovider stelt dat het pas op 10 augustus een echte reactie ontving. MailChimp bevestigde dat een aanvaller toegang tot de interne tools van de e-mailmarketeer had gekregen. Vervolgens wist de aanvaller voor verschillende DigitalOcean-klanten-klanten wachtwoordresets uit te voeren. Doordat een aantal van deze klanten tweefactorauthenticatie gebruikte kreeg de aanvaller geen toegang tot hun account. Vanwege het datalek heeft DigitalOcean besloten om geen gebruik meer van de diensten van MailChimp te maken. Daarnaast stelt de cloudprovider dat het incident aantoont dat meer inzicht in de veiligheid van derde partijen nodig is en het gebruik van tweefactorauthenticatie door klanten moet worden uitgebreid. Eerder dit jaar wist een aanvaller ook al toegang tot een interne tool van MailChimp te krijgen om vervolgens van meer dan honderd accounts klantgegevens te stelen. bron: https://www.security.nl

Tientallen organisaties en "people of interest" zijn sinds het begin van dit jaar doelwit geworden van phishingaanvallen uitgevoerd door een vanuit Rusland opererende spionagegroep, zo claimt Microsoft. De groep wordt door het techbedrijf Seaborgium genoemd en zou zich onder andere richten op het stelen van e-mails en bijlagen uit mailboxes van slachtoffers. Voordat de spionagegroep met een phishingaanval begint vindt er eerst een verkenning van het doelwit plaats, voornamelijk gericht op contacten in het sociale netwerk of de invloedssfeer van het doelwit. Zo maken de aanvallers onder andere gebruik van LinkedIn om door middel van nepprofielen contact te leggen en een vertrouwensband op te bouwen. Vervolgens sturen de aanvallers berichten met bijlagen of links die naar een phishingsite linken. Zodra slachtoffers op deze website de inloggegevens van hun e-mailaccount invullen proberen de aanvallers e-mails en bijlagen uit de mailbox te stelen. Ook stelen de aanvallers forwarding rules in zodat binnengekomen e-mail automatisch naar een opgegeven e-mailadres wordt doorgestuurd. Microsoft zegt dat de aanvallers ook toegang tot mailinglistgegevens van "gevoelige groepen" hebben weten te krijgen, waaronder die van voormalige inlichtingenfunctionarissen. Deze data wordt vervolgens voor verdere aanvallen gebruikt. Volgens Microsoft zijn sinds het begin van dit jaar meer dan dertig organisaties en de persoonlijke accounts van een niet nader genoemd aantal "people of interest" doelwit geworden. Het gaat dan met name om organisaties in de Verenigde Staten en het Verenigd Koninkrijk, alsmede de Baltische staten, Scandinavië en Oost-Europa. Om dergelijke aanvallen tegen te gaan adviseert Microsoft het gebruik van multifactorauthenticatie (MFA) voor alle gebruikers en vanaf alle locaties. Verder wordt aangeraden om veiligere MFA-implementaties te gebruiken, zoals FIDO-tokens of de Microsoft Authenticator, en sms-gebaseerde MFA te vermijden. bron: https://www.security.nl

Een groot aantal routers die zijn voorzien van een Realtek-chip zijn kwetsbaar voor aanvallen waardoor het mogelijk is om de apparaten plat te leggen of in het ergste geval op afstand over te nemen en een firmware-update is nog niet beschikbaar. Het versturen van een speciaal geprepareerde sip-pakkett naar een willekeurige poort is voldoende en ook apparaten waarvan de beheerdersinterface niet toegankelijk is lopen risico. Het probleem speelt onder andere bij routers van D-Link en Zyxel. De kwetsbaarheid (CVE-2022-27255) werd vorige week tijdens de DefCon-conferentie in Las Vegas door onderzoekers van securitybedrijf Faraday Security besproken. Het beveiligingslek is aanwezig in de Realtek software development kit (SDK) die fabrikanten gebruiken voor routers voorzien van de RTL819x-serie Realtek-chips. Deze SDK wordt gebruikt voor basale routerfunctionaliteit, zoals de beheerdersinterface en de netwerkstack. Fabrikanten kunnen vervolgens hun eigen features aan het apparaat toevoegen. Een kwetsbaarheid in de eCos SDK van Realtek maakt het mogelijk om de apparaten op afstand te laten crashen of overnemen. Het probleem is aanwezig met de standaardinstellingen en vereist alleen dat het apparaat vanaf internet toegankelijk is. Er is geen interactie van gebruikers vereist en ook hoeft de webinterface niet toegankelijk te zijn om een apparaat aan te vallen. Voor zover nu bekend zijn 31 modellen van tenminste negentien leveranciers kwetsbaar, waaronder Tenda, D-Link, Zyxel, Intelbras, Nisuta en MT-Link. De onderzoekers vonden ruim 63.000 potentieel kwetsbare routers waarvan het adminpanel vanaf internet toegankelijk is, maar zoals gezegd is dit niet vereist voor een succesvolle aanval. Realtek kwam eind maart met een patch voor het probleem (pdf). Routerleveranciers moeten deze patch echter in hun routerfirmware verwerken en vervolgens een firmware-update uitbrengen. Veel leveranciers hebben echter nog geen update uitgebracht, aldus de onderzoekers in hun presentatie (pdf). Gebruikers die zich willen beschermen kunnen ongevraagde udp-requests blokkeren, zo stelt het Internet Storm Center. bron: https://www.security.nl

Een aanvaller is erin geslaagd om door middel van SQL-injection de privégegevens van klanten van ShitExpress te stelen, een website die tegen betaling een doosje dierenpoep naar een opgegeven adres bezorgt. Het gaat om e-mailadressen, een persoonlijk bericht van de afzender en andere bestelgegevens. Het zou bij elkaar om data van 29.000 bestellingen gaan. De klantendatabase was door middel van SQL-injection te downloaden. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren. In een verklaring tegenover Bleeping Computer erkent de website dat een script kwetsbaar was voor SQL-injection. "Het is onze schuld, een menselijke fout die iedereen kan overkomen." Het probleem werd door een klant van de website gevonden en is inmiddels verholpen. De gelekte gegevens worden nu op internet aangeboden, maar bevatten geen betaalgegevens. Betalingen voor de website worden via een externe betaalverwerker verwerkt. bron: https://www.security.nl

De kwaliteit van beveiligingsupdates laat volgens securitybedrijf ZDI de laatste jaren zo te wensen over dat het softwareleveranciers voortaan minder tijd geeft om het oorspronkelijke probleem te verhelpen. Eerder luidde ook Google al de noodklok over onvolledige patches waardoor het oorspronkelijke beveiligingslek bijvoorbeeld via een omweg alsnog is te misbruiken. Het Zero Day Initiative (ZDI) betaalt onderzoekers voor het melden van kwetsbaarheden in allerlei producten. Deze informatie deelt het ZDI met de betrekkende softwareleverancier, zodat die een update kan ontwikkelen. Daarnaast gebruikt het securitybedrijf de informatie voor de eigen beveiligingsproducten. Nadat het ZDI softwareleveranciers heeft geïnformeerd over een kwetsbaarheid krijgen die honderdtwintig dagen de tijd om het probleem te verhelpen. Daarna maakt het securitybedrijf de details van het lek bekend. Dit moet leveranciers ertoe zetten om tijdig updates te ontwikkelen. De updates die leveranciers ontwikkelen blijken echter niet altijd volledig. Zo stelde Google eind juni dat in de eerste helft van dit jaar er achttien zerodaylekken zijn gebruikt bij aanvallen tegen organisaties en internetgebruikers. Het gaat hier om kwetsbaarheden waar op het moment van de aanval geen update voor beschikbaar is. Zeker de helft van deze beveiligingslekken had voorkomen kunnen worden als de betreffende softwareleverancier betere updates en regressietests had doorgevoerd, zo stelt Google. Vorig jaar kwam het techbedrijf ook al met een dergelijke conclusie. Onvolledige updates zorgen ervoor dat bedrijven niet meer goed het risico voor hun systemen kunnen inschatten, aldus het ZDI. Het securitybedrijf heeft sinds 2005 meer dan tienduizend kwetsbaarheden gerapporteerd en wil met een aangepaste patch-deadline softwareontwikkelaars nu betere updates laten ontwikkelen. Wanneer blijkt dat een update voor een kritieke kwetsbaarheid eenvoudig is te omzeilen en misbruik wordt verwacht, krijgt de softwareleverancier voortaan nog maar dertig dagen om met een grondige oplossing voor het initiële probleem te komen. Mocht de oorspronkelijke update enige bescherming bieden en is misbruik mogelijk, dan zal het ZDI in deze gevallen de details na zestig dagen openbaar maken. In alle andere gevallen zullen details over onvolledige updates na negentig dagen worden geopenbaard. Het ZDI zegt "failed patches" ook nauwlettender in de gaten te zullen houden, waarop het de deadline mogelijk verder zal aanpassen. bron: https://www.security.nl

De FBI waarschuwt organisaties voor aanvallen met de Zeppelin-ransomware, die met name tegen medische bedrijven en zorginstellingen is ingezet, maar ook defensiebedrijven, vitale infrastructuur, techbedrijven en onderwijsinstellingen. De aanvallers eisen vervolgens losgeld dat varieert van een paar duizend dollar tot meer dan een miljoen dollar. Om toegang tot de netwerken van een organisatie te krijgen maken de aanvallers achter deze ransomware gebruik van RDP (remote desktopprotocol), bekende kwetsbaarheden in firewalls van fabrikant SonicWall en phishing. Zodra er toegang is verkregen zijn de aanvallers één tot twee weken bezig om het netwerk van het doelwit in kaart te brengen, waaronder de locatie van back-ups en cloudopslag. Voordat de aanvallers overgaan tot het uitrollen van de ransomware op systemen van de betreffende organisatie wordt er eerst allerlei gevoelige informatie gestolen. Mocht het slachtoffer niet betalen dan dreigen de aanvallers deze informatie openbaar te maken, zo laat de Amerikaanse opsporingsdienst in de waarschuwing over de Zeppelin-ransomware weten. De FBI geeft organisaties ook verschillende adviezen om aanvallen te voorkomen. Zo wordt organisaties aangeraden om geen periodieke wachtwoordwijzigingen door te voeren. Dit zorgt ervoor dat personeel vaak "wachtwoordpatronen" gaat hanteren die eenvoudig door cybercriminelen te ontcijferen zijn. In plaats daarvan wordt juist het gebruik van passphrases aangeraden. bron: https://www.security.nl

Kwetsbaarheden in de populaire videoconferentiesoftware Zoom maken het mogelijk voor een lokale aanvaller of standaardgebruiker om volledige controle over macOS-systemen te krijgen. Zoom heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Het initiële beveiligingslek (CVE-2022-28751) bevindt zich in het updateproces van Zoom voor macOS en zorgt ervoor dat een aanvaller die al toegang tot het systeem heeft of een standaardgebruiker op eenvoudige wijze rootrechten kan krijgen. Het beveiligingslek werd gevonden door beveiligingsonderzoeker Patrick Wardle, die zijn bevindingen afgelopen vrijdag tijdens de DefCon-conferentie in Las Vegas demonstreerde. De updatefunctie van Zoom controleert of aangeboden updates wel door Zoom zijn gesigneerd. De controle die Zoom uitvoerde was eenvoudig te misleiden door de updater een bestand aan te bieden met dezelfde naam als het Zoom-certificaat. Hierdoor zou een aanvaller de updater eenvoudig malware kunnen laten uitvoeren en zo rootrechten krijgen. Wardle waarschuwde Zoom afgelopen december voor de kwetsbaarheid. Het softwarebedrijf kwam vervolgens met een update, maar die bleek een andere bug te bevatten waardoor de initiële kwetsbaarheid weer was te misbruiken. Het bleek mogelijk om via de Zoom-tool updater.app een oude, kwetsbare versie van zoom te installeren, waarna de initiële kwetsbaarheid weer was te misbruiken om root te worden. De onderzoeker wachtte vervolgens acht maanden met het publiceren van zijn onderzoek, zo laat de onderzoeker tegenover The Verge weten. Tijdens zijn presentatie van zijn bevindingen presenteerde Wardle ook een andere kwetsbaarheid in de Zoom-installer waardoor het voor een aanvaller wederom mogelijk was om de updater malware te laten installeren, waarbij de malafide code met de rechten van de updater werd uitgevoerd. Wardle gaf zijn presentatie op vrijdag en Zoom kwam zaterdag met een update voor het beveiligingslek aangeduid als CVE-2022-28756. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.8 en heeft van Zoom het label "high" gekregen. Gebruikers wordt aangeraden om te updaten naar Zoom Client for Meetings voor macOS versie 5.11.5. bron: https://www.security.nl