Captain Kirk

Microsoft heeft afscheid genomen van Internet Explorer 11 op Windows 10. De browser wordt niet meer ondersteund. IE11 op Windows 8.1, Windows 7 Extended Security Updates, Windows Server SAC, Windows 10 IoT Long-Term Servicing Channel (LTSC) Windows Server LTSC, Windows 10 client LTSC en Windows 10 China Government Edition kan wel op updates blijven rekenen. Het uitfaseren van Internet Explorer 11 vindt in twee fases plaats. Tijdens de eerste fase worden gebruikers bij het gebruik van IE11 doorgestuurd naar Microsoft Edge. Om binnen organisaties grote verstoringen te voorkomen zullen niet alle systemen tegelijkertijd naar Edge worden doorgestuurd. Op deze manier moeten eventuele problemen met bijvoorbeeld interne applicaties en websites snel zijn te identificeren. Deze "redirection" fase zal de komende maanden op alle Windows 10-systemen plaatsvinden waar IE11 wordt uitgefaseerd. Tijdens de tweede fase zal Internet Explorer 11 via een toekomstige Windows-update permanent worden uitgeschakeld. Dit zal via het standaard Windows-updateproces plaatsvinden. Microsoft adviseert organisaties echter om IE11 via de "Disable IE Policy" op een eigen gewenst moment zelf in hun omgeving uit te schakelen en dit niet te laten afhangen van de eerder genoemde Windows-update. Microsoft benadrukt dat Windows-updates niet voor de "redirection" fase worden gebruikt. Het techbedrijf roept organisaties dan ook op om Windows-updates niet over te slaan, aangezien die kritieke beveiligingsupdates voor het besturingssysteem bevatten. Wanneer de "redirection" fase is voltooid zal de Windows-update voor het permanent uitschakelen van IE11 worden uitgerold. De update zal Internet Explorer 11 niet van Windows 10-systemen verwijderen, aangezien de IE11-engine vereist is om de IE-mode van Microsoft Edge te laten werken, aldus Microsoft in een FAQ over de aankomende uitfasering. Via deze mode is het mogelijk om interne IE-afhankelijke websites van organisaties binnen Edge te openen. bron: https://www.security.nl

Microsoft komt later dit jaar met "grote aanpassingen" in de manier waarop zakelijke Windowssystemen diagnostische data verwerken, zo heeft het techbedrijf nogmaals aangekondigd. De aanpassingen gaan gelden voor systemen van Europese organisaties en bedrijven waar diagnostische data staat ingeschakeld. Microsoft verzamelt diagnostische data van Windowssystemen om naar eigen zeggen problemen te verhelpen en Windows up-to-date, veilig en werkend te houden. Ook stelt Microsoft dat de data wordt gebruikt voor het verbeteren van Windows en gerelateerde Microsoft-producten en -diensten. Het gaat dan om apparaat-, batterij- en netwerkgegevens, maar ook informatie over de hardware, externe apparaten, Windowsversie en opslag van het systeem. Onder druk van Europese privacytoezichthouders gaat Microsoft voor zakelijke gebruikers de dataverwerking van Windows-telemetrie veranderen. Zo wordt er gestopt met het gebruik van bepaalde policies om de verwerkingsoptie te configureren, zoals de "Allow commercial data pipeline” policy. In plaats daarvan komt het techbedrijf met een organisatiebrede configuratie gebaseerd op Azure Active Directory (Azure AD) om Microsofts rol in de dataverwerking te bepalen. De aanpassing komt als eerste beschikbaar voor Windowssystemen in het Dev Channel van het Windows Insider-programma. Dit zal op zijn vroegst in juli van dit jaar zijn. Voor andere Windowssystemen zullen details op een later moment volgen. De aanpassingen zullen voor deze systemen op zijn vroegst in het laatste kwartaal van dit jaar worden uitgerold. bron: https://www.security.nl

Er is een nieuwe versie van de beruchte Emotet-malware ontdekt die creditcardgegevens uit Google Chrome steelt. Andere browsers laat de malware met rust. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Onderzoekers van securitybedrijf Proofpoint en de Japanse politie melden dat Emotet van een nieuwe module gebruikmaakt waarmee in Google Chrome opgeslagen creditcardgegevens worden gestolen en teruggestuurd naar de aanvallers. De creditcardmodule werkt alleen tegen Chrome. Naast creditcardgegevens beschikt Emotet ook over modules voor het stelen van inloggegevens voor verschillende e-mailclients, waaronder Outlook en Thunderbird. Verder kan Emotet in Internet Explorer, Mozilla Firefox, Google Chrome, Safari en Opera opgeslagen wachtwoorden stelen. Vorig jaar vond er een internationale politie-operatie tegen het Emotet-botnet plaats. Door ingrijpen van de Nederlandse en Duitse politie werd de malware van een miljoen computers verwijderd. Inmiddels is de malware bezig met een comeback en weer begonnen met het op grote schaal versturen van malafide documenten om nieuwe slachtoffers te maken. bron: https://www.security.nl

Na bijna tien maanden is er een grote nieuws release van de populaire securitytool Metasploit verschenen die honderden nieuwe modules, features en bugfixes bevat, waaronder een nieuwe netwerk capture plug-in en verbeterde support voor SMBv3. Dat meldt securitybedrijf Rapid7, ontwikkelaar van Metasploit. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Na de release van Metasploit 6.1 vorig jaar augustus is nu versie 6.2 uitgebracht. Die bevat 138 nieuwe modules voor het scannen van systemen en misbruiken van bekende kwetsbaarheden. Ook zijn 156 bugs verholpen en 148 verbeteringen en features toegevoegd. Het gaat onder andere om een nieuwe capture plug-in voor het onderscheppen van inloggegevens. Metasploit bood al geruime tijd protocolspecifieke modules die bij het onderscheppen van inloggegevens helpen. Gebruikers moesten deze plug-ins los van elkaar starten en configureren. Met Metasploit 6.2 is er een nieuwe capture plug-in die dit proces voor gebruikers stroomlijnt en dertien verschillende services start voor het onderscheppen van bijvoorbeeld ftp-, imap-, pop3-, telnet- en vnc-credentials. Verder is de ondersteuning van smbv3 verbeterd. Zo introduceert Metasploit 6.2 een nieuwe standalone tool voor het starten van een smb-server die read-only toegang tot de huidige directory geeft. Deze nieuwe smb-server ondersteunt SMBv1, 2 en 3, alsmede encryptie voor smbv3. Verder zijn de Metasploit-modules geüpdatet om SMBv3 te ondersteunen. Bestaande Metasploit-gebruikers kunnen via het msfupdate-commando naar de laatste versie updaten. Daarnaast is de securitytool via GitHub verkrijgbaar. bron: https://www.security.nl

Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben opnieuw kritieke kwetsbaarheden gevonden in een platform dat managed serviceproviders (MSP's) gebruiken voor het beheren van de systemen van hun klanten. Via de kwetsbaarheden in ITarian kan een aanvaller toegang tot de beheerdersinterface krijgen en kwaadaardige code op alle clients uitvoeren. De beveiligingslekken werden gevonden in de on-premis en SaaS-versies van ITarian en de Endpoint Manager Communication Client voor Windows. Door het combineren van de verschillende kwetsbaarheden kan een aanvaller een helpdeskticket aanmaken dat wanneer bekeken door een gebruiker met een geldig sessietoken code op alle clients met superuser-rechten uitvoert. ITarian werd op 6 januari over de beveiligingslekken ingelicht. Volgens het DIVD verliep de communicatie met ITarian moeizaam, maar zijn de kwetsbaarheden in de SaaS-versie en Agent-software verholpen. Twee kwetsbaarheden, CVE-2022-25151 en CVE-2022-25152, waardoor een aanvaller toegang tot de beheerdersinterface kan krijgen en code op alle agents kan uitvoeren, zijn nog steeds aanwezig in de on-premise versie van het ITarian-platform. De impact van CVE-2022-25152 is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De on-premise versie wordt al meer dan twee jaar niet meer door ITarian ondersteund, maar nog wel door het bedrijf als download aangeboden. Aangezien de software end-of-life is zal ITarian hiervoor geen patches uitbrengen. Vanwege de impact van de kwetsbaarheden en de mogelijkheden die het platform biedt adviseert het DIVD om een alternatieve oplossing te zoeken, de on-premise oplossing los te koppelen van het internet en niet te vertrouwen op het permissie- en toestemmingsmodel dat in ITarian zit verwerkt. Onderzoekers van het DIVD ontdekten eerder ook kritieke kwetsbaarheden in de MSP-software van Kaseya. Eén van deze beveiligingslekken werd uiteindelijk bij een wereldwijde ransomware-aanval op MSP-klanten gebruikt. bron: https://www.security.nl

Apple, Google, Cloudflare en andere techbedrijven willen de captcha's die nu geregeld op websites verschijnen vervangen door private access tokens. Critici zijn bang dat gebruikers van bepaalde browsers of platformen straks worden buitengesloten. Bij private access tokens werken vier partijen samen, waaronder de fabrikanten van telefoons en computers. Zodra de gebruiker een website bezoekt zal de webserver een private token challenge naar de gebruiker terugsturen. De webserver wil dat de gebruiker een token terugstuurt die van een vertrouwde token-uitgever afkomstig is. De gebruiker heeft dit token nog niet en vraagt vervolgens het token aan een "attester", wat de telefoon- of computerfabrikant kan zijn. Het token-verzoek is "blinded", waardoor het niet te koppelen is aan de challenge van de betreffende webserver. De telefoon- of computerfabrikant zal nu het account en apparaat van de gebruiker controleren. Wanneer de fabrikant de gebruiker aan de hand van zijn telefoon of computer heeft gecontroleerd wordt het token-verzoek doorgestuurd naar de token-uitgever. De uitgever weet hierbij niets van de gebruiker. Aangezien het token-verzoek van een vertrouwde attester afkomstig is, signeert de uitgever het token en stuurt die naar de attester. De attester stuurt het gesigneerde token weer naar de gebruiker. Op het toestel van de gebruiker wordt het token, in een proces dat "unblinding" wordt genoemd, omgezet zodat de webserver het token kan verifiëren. De webserver kan controleren dat het token door een vertrouwde uitgever is gesigneerd. Het is echter niet mogelijk om de gebruiker alleen aan de hand van het token te identificeren of herkennen. Apple zal private access tokens ondersteunen in Safari op iOS 16, iPad 16 en macOS 13. Critici zijn bang dat gebruikers van bijvoorbeeld Linux of Firefox worden buitengesloten. Cloudflare laat weten dat het met andere browserleveranciers en fabrikanten samenwerkt om die ook van private access tokens gebruik te laten maken. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in videoconferentiecamera Meeting Owl Pro en whiteboardcamera Whiteboard Owl, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De camera's worden wereldwijd door bedrijven en organisaties, onder andere in Nederland, gebruikt voor videoconferencing. Onderzoekers van modzero ontdekten verschillende kwetsbaarheden waardoor het mogelijk is om vertrouwelijke informatie van gebruikers te achterhalen of de camera's als rogue wireless gateway tot het bedrijfsnetwerk te gebruiken. De apparaten zijn namelijk door iedereen in de buurt via bluetooth als access point in te stellen. De camera creëert hierbij een nieuw wifi-netwerk terwijl het tegelijkertijd met de al geconfigureerde wifi-verbinding verbonden blijft. De onderzoekers van modzero ontdekten dat de Meeting Owl gebruikmaakt van hardcoded credentials. Hiermee kan elke gebruiker in de buurt van het apparaat via bluetooth de access point-mode inschakelen en er zo een rogue wireless gateway tot het bedrijfsnetwerk van maken. Deze kwetsbaarheid wordt aangeduid als CVE-2022-31460. Fabrikant Owl Labs werd in januari over de beveiligingslekken ingelicht. Het bedrijf liet weten dat alle problemen halverwege mei verholpen zouden zijn. Aangezien dat niet het geval was besloten de onderzoekers hun bevindingen op 31 mei openbaar te maken. Owl Labs kwam vervolgens op 3 en 6 juni met beveiligingsupdates voor zowel de camera als de Whiteboard Owl. Updates worden alleen automatisch geïnstalleerd wanneer de camera 's nachts is aangesloten op het wifi-netwerk en stopcontact. In een verklaring stelde Owl Labs dat de kans dat klanten via de kwetsbaarheden zijn aangevallen klein is. Het CISA laat nu weten dat dit wel het geval is. De Amerikaanse overheidsinstantie houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bevat de kwetsbaarheid in de Owl-camera's, alsmede 35 andere kwetsbaarheden. De andere beveiligingslekken zijn echter jaren oud. Amerikaanse overheidsinstanties moeten alle 36 kwetsbaarheden voor 22 juni hebben gepatcht. bron: https://www.security.nl

Zo'n 40.000 WordPress-sites lopen het risico om te worden overgenomen door middel van een kwetsbaarheid in de Download Manager-plug-in. Download Manager is een plug-in waarmee webmasters downloads vanaf hun WordPress-site kunnen volgen en beheren. Zo is bijvoorbeeld per gebruiker de hoeveelheid downloads of downloadsnelheid in te stellen. Daarnaast is de plug-in te gebruiken voor de verkoop van digitale producten. Meer dan 100.000 WordPress-sites maken gebruik van Download Manager. Een onderdeel van de plug-in bevat een cross-site scripting (XSS)-kwetsbaaheid, die door het niet goed omgaan met gebruikersinvoer wordt veroorzaakt. Door een gebruiker van de plug-in een malafide link te laten openen is het voor een aanvaller mogelijk om willekeurige code in de browser van het slachtoffer uit te voeren, zo meldt securitybedrijf Wordfence. Een aanvaller kan zo gevoelige informatie of cookie-waardes stelen en in het ergste geval beheerderstoegang krijgen of een backdoor toevoegen. In het geval van Download Manager zouden zowel klantgegevens als toegang tot de aangeboden digitale producten risico lopen. Een aanvaller die de sessiecookies van de beheerder via het lek weet te bemachtigen kan zo de instellingen van het betaalproces aanpassen en zelfs nepproducten toevoegen. Het beveiligingslek is aanwezig in versie 3.2.42 en ouder van de plug-in en verholpen met versie 3.2.43. Op het moment van schrijven hebben zo'n zestigduizend van de honderdduizend WordPress-sites waarop Download Manager draait de laatste versie geïnstalleerd, wat inhoudt dat zo'n veertigduizend sites nog risico lopen. bron: https://www.security.nl

De FBI heeft in samenwerking met de Cypriotische en Letse autoriteiten een online marktplaats offline gehaald waarop de persoonlijke gegevens van miljoenen mensen werden aangeboden. Volgens het Amerikaanse ministerie van Justitie was op de SSNDOB Marketplace de privédata van 24 miljoen Amerikanen te vinden, waaronder namen, geboortedata en social-securitynummers. De verkoop van deze data zou meer dan 19 miljoen dollar aan omzet hebben gegenereerd. De beheerders achter de marktplaats adverteerden hun diensten op verschillende fora. Gisteren werden middels een bevel vier domeinen van de website in beslag genomen waardoor de marktplaats zo goed als niet meer kan opereren, aldus de Amerikaanse autoriteiten. bron: https://www.security.nl

Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben vorige week ruim vijftienduizend waarschuwingen verstuurd naar beheerders van kwetsbare installaties van Confluence Server en Confluence Data Center. Er wordt actief misbruik gemaakt van een beveiligingslek in de software waardoor kwetsbare systemen op afstand zijn over te nemen. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. Vorige week waarschuwde Atlassian voor een zerodaylek in de software en op 3 juni kwam het softwarebedrijf met een beveiligingsupdate voor de kwetsbaarheid. Onder andere het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert organisaties om de update direct te installeren. Het DIVD scant op internet naar kwetsbare systemen zodat het betrokken organisaties kan waarschuwen. Daarnaast doet het beveiligingsonderzoek. Zo werden DIVD-onderzoekers wereldbekend door de vondst van een kritieke kwetsbaarheid in de software van Kaseya. Naast de Nederlandse organisatie voerde ook securitybedrijf Censys een scan uit. Daarbij werden ruim 9300 Confluences-installaties aangetroffen, waarvan er ook duizenden op het moment van de scan kwetsbaar waren. bron: https://www.security.nl

Softwarebedrijf Atlassian heeft beveiligingsupdates uitgerold voor een actief aangevallen zerodaylek in Confluence Server en Confluence Data Center. Organisaties wordt opgeroepen om de patches zo snel mogelijk te installeren. Naast de actief aangevallen kwetsbaarheid verhelpen de updates ook verschillende andere beveiligingslekken. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. Via de OGNL (Object Graph Navigation Language) injection kwetsbaarheid in de software kan een ongeauthenticeerde aanvaller willekeurige code op een Confluence-server of Confluence Data Center instance uitvoeren en zo controle over het systeem krijgen. Details over de kwetsbaarheid en aanvallen zijn nog niet gegeven. Het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert de updates ook direct te implementeren. Het NCSC houdt de situatie omtrent de kwetsbaarheid naar eigen zeggen nauwlettend in de gaten en zal verdere relevante informatie via de eigen website publiceren. De kwetsbaarheid is door de overheidsinstantie ingeschaald op High/High, wat inhoudt dat de kans op misbruik en mogelijke schade groot is. bron: https://www.security.nl

De volgende versie van Exchange Server zal pas in de tweede helft van 2025 verschijnen, wat mede komt door zeroday-aanvallen tegen de populaire mailserversoftware. Exchange 2016 en 2019 kunnen tot 14 oktober 2025 op beveiligingsupdates rekenen. Daarna zal alleen de nieuwe Exchange-versie worden ondersteund. Oorspronkelijk stond de volgende versie van Exchange Server voor de tweede helft van 2021 gepland. Een grootschalige zeroday-aanval in maart 2021 waarbij gebruik werd gemaakt van meerdere kwetsbaarheden in Exchange gooide roet in het eten. Daarnaast lanceerde Microsoft een bugbountyprogramma voor Exchange en bracht verschillende tools uit om de veiligheid van het product te vergroten en klanten te beschermen. "Hoewel we ons op security blijven richten, zijn we nu ook klaar om onze langetermijnroadmap voor Exchange Server te delen", zo laat het Exchange Team van Microsoft in een blogposting weten. Daarin staat dat de volgende Exchange-versie in de tweede helft van 2025 verschijnt en totdat moment de focus zal liggen op Exchange 2019. "Exchange-servers bevatten vaak de meest gevoelige bedrijfsdata, en hosten het bedrijfsadresboek, waarom het essentieel is om deze servers en data te beschermen. We blijven ons dus richten op de security van Exchange Servers en zullen verschillende security-gerelateerde investeringen doen", aldus het Exchange Team. Zo zal Microsoft "Modern authentication" aan on-premise Exchange Server-omgevingen gaan toevoegen. Het gaat hier om modernere authenticatiemethodes waarmee gebruikers op hun inbox kunnen inloggen. Later dit jaar komt het bedrijf met een tijdlijn voor de ondersteuning van Modern auth in de verschillende Outlook-clients. Verder zal Exchange Server 2019 volgend jaar TLS 1.3 gaan ondersteunen. bron: https://www.security.nl

Softwarebedrijf Atlassian waarschuwt organisaties voor een actief aangevallen zerodaylek in Confluence Server en Confluence Datacenter dat het mogelijk maakt om servers op afstand over te nemen en waarvoor nog geen beveiligingsupdates beschikbaar zijn. Hoelang er al misbruik van de kritieke kwetsbaarheid wordt gemaakt en tegen wie de aanvallen zijn gericht laat Atlassian niet weten. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. De software voor de laatste twee opties bevat een kritiek beveiligingslek aangeduid als CVE-2022-26134. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand code uitvoeren. Aangezien een patch nog niet beschikbaar is geeft Atlassian geen verdere details over het beveiligingslek. Als tijdelijke oplossing adviseert Atlassian om toegang tot Confluence Server- en Data Center-installaties vanaf het internet te beperken of Confluence Server- en Data Center-installaties uit te schakelen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security raadt organisaties aan om al het internetverkeer naar beide producten te blokkeren totdat er een update beschikbaar is. Securitybedrijf Volexity ontdekte de kwetsbaarheid nadat twee webservers van een klant waren gecompromitteerd. Via het beveiligingslek waren webshells op de servers geïnstalleerd waarmee aanvallers toegang tot de machines kunnen houden. Verder blijkt dat de aanvallers de gebruikerstabel uit de Confluence-database dumpten, webtoegang tot logbestanden aanpasten en aanvullende webshells installeerden. Volexity vermoedt dat de aanvallers vanuit China opereren. bron: https://www.security.nl

NAS-fabrikant QNAP heeft vandaag een gratis oplossing gelanceerd waarmee eigenaren van een NAS-apparaat hun WordPress-website kunnen back-uppen. 43 procent van alle websites op internet draait op WordPress. Volgens QNAP maken veel WordPress-gebruikers geen back-up van hun website omdat ze dit te lastig vinden, of vertrouwen op de back-updiensten van de hostingprovider. Daarbij zouden echter de risico's van beschadigde systemen of cyberaanvallen over het hoofd worden gezien. Met de Multi-Application Recovery Service (MARS) kunnen gebruikers hun WordPress-site back-uppen en weer terugzetten. Hiervoor is het eerst nodig om voor de WordPress-site een plug-in te installeren. Deze plug-in genereert een key waarmee de MARS-software die op het NAS-apparaat draait een back-up van de WordPress-site kan maken. "De toename van cyberaanvallen benadrukt het belang om websites te back-uppen", zegt Haru Lin van QNAP. "MARS maakt het back-uppen van websites zeer eenvoudig en is geoptimaliseerd voor het back-uppen van WordPress-bestanden naar een QNAP-NAS." bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die gebruikers weer de keus geeft wat ze met te downloaden bestanden willen doen. Met de lancering van Firefox 97 werd het klassieke downloadvenster, waarbij gebruikers de vraag kregen wat ze met het bestand wilden doen, vervangen door een automatische download van het bestand. Volgens Mozilla was het niet meer nodig om een dialoogvenster te tonen, aangezien downloads meestal een bewuste actie van de gebruiker zijn. "Het voor een tweede keer klikken om een download te starten is meestal onnodig", aldus de Firefox-ontwikkelaar destijds. Gebruikers konden de instelling zo aanpassen dat er altijd werd gevraagd om het bestand op te slaan, maar dit kwam niet overeen met het klassieke downloadvenster. Met Firefox 101 is dit hersteld. Daarnaast zijn in de browser dertien kwetsbaarheden verholpen. Het gaat onder andere om een aantal geheugenlekken waarvan Mozilla vermoedt dat ze met voldoende moeite het mogelijk maken voor een aanvaller om willekeurige code op het systeem uit te voeren. Daarnaast was het mogelijk voor een kwaadaardig iframe bij het sluiten van de fullscreenmode om een spoofingaanval uit te voeren. Updaten naar Firefox 101 kan via de automatische updatefunctie van de browser of Mozilla.org. bron: https://www.security.nl

Microsoft heeft een publieke testversie van Windows Autopatch gelanceerd dat bedrijven moet helpen bij het up-to-date houden van hun systemen. Windows Autopatch is een gratis dienst bedoeld voor ondernemingen die met Windows 10/11 Enterprise E3 werken en zal updates voor Windows, Office, Teams en andere 365-apps automatisch installeren. Grote organisaties zullen in veel gevallen updates eerst testen voordat ze die onder hun gebruikers uitrollen. Met Windows Autopatch wordt dit proces voor Office- en Windows-updates geautomatiseerd. Het systeem zal updates eerst onder een klein aantal computers binnen de organisatie uitrollen en hiervan het effect bekijken. Wanneer er geen problemen zijn wordt de update onder een groter aantal computers verspreid, totdat alle machines up-to-date zijn. Wanneer er wel problemen met een update zijn is het mogelijk voor gebruikers om Autopatch te pauzeren, maar kan de service dit zelf ook doen. Afhankelijk van de situatie kan de betreffende update worden teruggedraaid. Autopatch kan zowel quality als feature-updates installeren, alsmede drivers en firmware-updates die via Windows Update worden aangeboden. Daarnaast installeert de tool ook noodpatches voor kritieke kwetsbaarheden die buiten de Patch Tuesday worden aangeboden. Microsoft heeft nu een "public preview" van Autopatch uitgebracht zoday systeembeheerders ermee bekend kunnen raken. Eenmaal actief kunnen systeembeheerders via het Windows Autopatch message center zien welke updates zijn geïnstalleerd en welke nog gepland staan. Wanneer de definitieve versie van Autopatch verschijnt is nog niet bekend. bron: https://www.security.nl

Maintainers van de vijfhonderd populairste npm-packages in de npm Registry zijn vanaf nu verplicht om op hun account in te loggen met tweefactorauthenticatie (2FA). Dat heeft GitHub aangekondigd. In februari werd de maatregel al ingesteld voor de honderd populairste npm-packages. Met de maatregel wil GitHub, dat eigenaar van npm is, naar eigen zeggen de veiligheid van de npm registry vergroten. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. De afgelopen jaren verschenen geregeld malafide npm-packages in de Registry. In 2020 bleek dat meer dan negentig procent van npm-ontwikkelaars geen 2FA gebruikte om het eigen account te beveiligen. Om alle "high-impact" npm-packages te beschermen moeten de maintainers en uitgevers van deze packages via 2FA gaan inloggen. Dat geldt nu voor de top 500-packages. Van maintainers die op dit moment geen 2FA gebruiken is de websessie ingetrokken. Ze zullen eerst 2FA moeten instellen voordat ze bepaalde acties met hun account kunnen uitvoeren, zoals het wijzigen van e-mailadressen en toevoegen van nieuwe maintainers. GitHub.com Verder zal GitHub voor alle ontwikkelaars die op de één of andere manier bijdragen aan code op GitHub.com eind 2023 tweefactorauthenticatie (2FA) voor hun account verplichten. Volgens GitHub zijn accounts van softwareontwikkelaars geregeld het doelwit van aanvallen en is het beveiligen van deze accounts de eerste en belangrijkste stap in het beschermen van de software supply chain. "De meeste beveiligingsincidenten zijn niet het gevolg van exotische zeroday-aanvallen, maar eenvoudigere aanvallen zoals social engineering, wachtwoorddiefstal of -lekken en andere manieren waardoor aanvallers toegang tot accounts van slachtoffers krijgen en de middelen waar die toegang toe hebben", liet Mike Hanley van GitHub begin deze maand weten. Via gecompromitteerde accounts kunnen aanvallers code stelen of kwaadaardige aanpassingen aan code toevoegen. bron: https://www.security.nl

Onderzoekers van de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, hebben meer dan 3,6 miljoen MySQL-servers gevonden die vanaf het internet op tcp-poort 3306 toegankelijk zijn. Het gaat onder andere om bijna 342.000 servers die in Nederland staan. De onderzoekers keken niet in hoeverre de gevonden databases toegankelijk zijn, maar stellen dat deze mate van blootstelling een potentieel aanvalsoppervlak is dat moet worden gesloten. Het grootste deel van de aangetroffen servers die via ipv4 toegankelijk zijn bevindt zich in de Verenigde Staten (740.000), gevolgd door China (296.000) en Polen (208.000). In Nederland werden 46.500 MySQL-servers met een uniek ipv4-nummer geteld. Wordt er echter gekeken naar MySQL-servers met een uniek ipv6-nummer, dan staat Nederland met bijna 296.000 servers op tweede plek, met wederom de Verenigde Staten als eerste (461.000). Verder blijkt dat MySQL versie 5.7.33-36 het vaakst op servers met een ipv4-adres wordt aangetroffen, terwijl versie 5.5.5-10.5.12-mariadb-cll-lve op de meeste servers met een ipv6-nummer draait. "Het is onwaarschijnlijk dat je MySQL-server externe verbindingen van het internet moet toestaan, en dus een mogelijk extern aanvalsoppervlak", aldus de Shadowserver Foundation. De organisatie heeft informatie over de gevonden servers beschikbaar gemaakt voor leden. Bedrijven en andere partijen die voor een toegankelijke MySQL-server worden gewaarschuwd krijgen het advies om verkeer naar de server te filteren en authenticatie op de server te implementeren. bron: https://www.security.nl

Op internet zijn talloze websites te vinden die vpn-providers beoordelen en voor het doorlinken naar de betreffende aanbieder betaald krijgen. Eén van de problemen bij "affiliate marketing" is dat wanneer gebruikers een referral link openen er attributie plaatsvindt zodat de betreffende uitgever, website of influencer kan worden betaald voor het doorsturen van de gebruiker naar de vpn-provider. Tijdens deze transactie wordt door een derde partij, een affiliate netwerkpartner, informatie verwerkt zoals een ip-adres en andere data over de gebruiker. Mozilla biedt sinds enige tijd ook een vpn-dienst aan, maar zag de huidige affiliate marketing naar eigen zeggen als probleem. Daarom heeft het een privacyvriendelijke oplossing ontwikkeld waarbij alleen de noodzakelijke data wordt verzameld om de betreffende netwerkpartner te kunnen belonen, zonder dat hierbij het ip-adres van de gebruiker lekt. Daarnaast laat Mozilla een waarschuwing zien wanneer gebruikers via een affiliate partner op de Mozilla-site terecht zijn gekomen en biedt vervolgens een opt-out zodat er geen data wordt verzameld. De software die Mozilla voor de affiliate marketing gebruikt is open source en via GitHub beschikbaar, wat volgens het softwarebedrijf voor transparantie moet zorgen. bron: https://www.security.nl

Er zitten weinig verschillen tussen virusscanners voor Windows 10, zo blijkt uit de nieuwste test van het AV-Test Institute. Voor de test werden achttien verschillende antiviruspakketten bedoeld voor eindgebruikers beoordeeld op het gebied van bescherming, prestaties en bruikbaarheid. Maar liefst vijftien virusscanners werden als "Top Product" bestempeld, waaronder de gratis virusscanners van Avast en Microsoft. Voor de drie testonderdelen konden de pakketten bij elkaar achttien punten verdienen. Bij de detectie van malware werd gekeken naar 408 "zero-day" malware-exemplaren en bijna 22.000 malware-exemplaren die in de laatste vier weken voor de test van april werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,5 procent gehaald. De test met de ongeveer 22.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. In tegenstelling tot eerdere tests wisten slechts vijf virusscanners op beide onderdelen 100 procent te scoren. Het gaat om Avast, AVG, Avira, Kaspersky en Trend Micro Om op dit onderdeel de maximale zes punten te halen was het echter niet noodzakelijk om ook alle malware te detecteren. Microwold zet met 5 punten de laagste detectiescore neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Op AVG na (5,5 punten) weten alle virusscanners hierbij de maximale 6 punten te scoren. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden anderhalf miljoen schone websites en bestanden gebruikt. Dertien pakketten halen de maximale 6 punten. PC Matic eindigt op dit onderdeel met 3,5 punten onderaan. Ook bij eerdere tests eindigde deze virusscanner op dit onderdeel als laatste. Van de achttien virusscanners weten er uiteindelijk acht op alle drie de vlakken maximaal te scoren (Avast, Avira, F-Secure, G Data, Kaspersky, McAfee, NortonLifeLock en Trend Micro). Avast is een gratis virusscanner. PC Matic eindigt met 15,5 punten als hekkensluiter. Om als topproduct bestempeld te worden was het niet nodig om de maximale score te halen. Ook producten met 17,5 punten, waaronder de in Windows ingebouwde virusscanner Defender, krijgen dit stempel. bron: https://www.security.nl

Microsoft heeft een waarschuwing gegeven voor een actief aangevallen zerodaylek in Windows waardoor het mogelijk is voor aanvallers om kwetsbare systemen over te nemen en een beveiligingsupdate is nog niet beschikbaar. Het beveiligingslek, aangeduid als CVE-2022-30190, bevindt zich in de Windows Support Diagnostic Tool (MSDT) en is onder andere via malafide Word-documenten te misbruiken. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. Het is mogelijk voor een aanvaller om willekeurige code op systemen uit te voeren door MSDT via een url-protocol aan te roepen. Dit is bijvoorbeeld mogelijk vanuit een applicatie zoals Word, waarbij alleen het opene van een malafide document volstaat. Eenmaal geopend kan een aanvaller vanuit het malafide document de diagnostische tool op het systeem van de gebruiker aanroepen en zo vervolgens willekeurige code uitvoeren met de rechten van de ingelogde gebruiker. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Als tijdelijke oplossing adviseert Microsoft om het MSDT-url-protocol uit te schakelen. Hierdoor is het kwetsbare onderdeel niet meer door een aanvaller aan te roepen. Hierdoor is het niet meer mogelijk om troubleshootprogramma's via een link te starten, maar deze tools zijn nog wel op andere manieren door de gebruiker zelf te openen. Verder heeft Microsoft een update aan Defender-antivirus toegevoegd om aanvallen die misbruik van de kwetsbaarheid maken te detecteren. Daarnaast biedt de Protected View van Office of Application Guard voor Office bescherming. Wanneer Microsoft met een update komt is nog onbekend. De patchdinsdag van juni staat gepland voor dinsdag 14 juni. bron: https://www.security.nl

Aanvallers hebben een nieuwe methode gevonden om systemen via malafide Microsoft Office-documenten met malware te infecteren, waarbij er geen gebruik wordt gemaakt van macro's. Daarbij kan alleen een preview van het document, zonder het bestand daadwerkelijk te openen, voldoende zijn om besmet te raken. Dat meldt beveiligingsonderzoeker Kevin Beaumont. Onderzoekers van nao_sec ontdekten via Googles online virusscandienst VirusTotal een .doc-document dat vanaf een Belarussisch ip-adres was geüpload. Het document gebruikte de Word remote template feature om een html-bestand van een webserver te downloaden, die het ms-msdt-protocol gebruikt om automatisch kwaadaardige code uit te voeren. Msdt staat voor Microsoft Support Diagnostic Tool en is een tool waarmee Microsoft informatie verzamelt en naar de eigen servers stuurt. In het geval van het kwaadaardige document was een malafide msdt-url toegevoegd die Microsoft Office automatisch verwerkt, waarna de gedownloade PowerShell-code wordt uitgevoerd. Dit gebeurt ook wanneer macro's zijn uitgeschakeld. De Protected View-beveiliging van Microsoft Office biedt bescherming, maar wanneer het document naar een .rtf-document wordt veranderd, wordt de kwaadaardige code uitgevoerd zonder het bestand te openen en biedt Protected View ook geen bescherming. Alleen het bekijken van het document via de preview in Windowsverkenner is voldoende. "Het is een zeroday die het uitvoeren van code in Office-producten mogelijk maakt. Wanneer er een makkelijke manier is om code direct vanuit Office uit te voeren, hebben mensen hier in het verleden misbruik van gemaakt om slechte dingen te doen", aldus Beaumont, die opmerkt dat de detectie door beveiligingsleveranciers slecht is. Meer dan een maand geleden blijkt dat een ander kwaadaardig document dat van de aanval gebruikmaakt naar VirusTotal is geüpload. Volgens het Internet Storm Center werkt de nieuwe aanval niet met alle Office-versies. Er zijn echter verschillende aanvallen tegen Office 2013, 2016, 2019 en 2021 gedemonstreerd. Beaumont merkt op dat ook Office 365 Semi-Annual Channel kwetsbaar is. De insider en meest recente versies van Office zouden niet kwetsbaar zijn, wat kan suggereren dat Microsoft in deze versies het probleem stilletjes heeft verholpen, maar dit is onbevestigd. Als tijdelijke oplossing wordt door Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit aangeraden om het ms-msdt-protocol via het Windows-register uit te schakelen en de preview-optie in Windowsverkenner uit te zetten. bron: https://www.security.nl

Microsoft heeft in een framework waarvan verschillende vooraf geïnstalleerde Android-apps gebruikmaken kwetsbaarheden ontdekt die zowel lokaal als op afstand zijn te misbruiken. Vanwege de systeemrechten die vooraf geïnstalleerde apps hebben is het zo mogelijk voor een aanvaller om via de kwetsbaarheden toegang tot de systeemconfiguratie en gevoelige informatie te krijgen, of in het ergste geval het apparaat over te nemen. Mce Systems, ontwikkelaar van het betreffende framework, heeft inmiddels updates uitgebracht. Verschillende Android-apps van telecomproviders, met miljoenen downloads, maken gebruik van het framework om problemen met Androidtelefoons vast te stellen. Dit moet gebruikers helpen die tegen problemen aanlopen. Zo heeft het framework toegang tot systeemonderdelen en kan systeemgerelateerde taken uitvoeren. Volgens Microsoft kan de uitgebreide toegang die het framework en apps hebben gebruikers helpen, maar kunnen ze ook een doelwit van aanvallers zijn. Een service waar het framework gebruik van maakt is op afstand door een aanvaller aan te roepen die zo verschillende kwetsbaarheden kan misbruiken. Daarmee zou het mogelijk zijn om een persistente backdoor te installeren of het toestel over te nemen. Alleen het bezoeken van een gecompromitteerde of malafide website of het openen van een malafide link zou hiervoor voldoende zijn. Er is geen verdere interactie van het slachtoffer vereist. De impact van de vier kwetsbaarheden die Microsoft ontdekte is op een schaal van 1 tot en met 10 beoordeeld tussen de 7.0 en 8.9. Voor de kwetsbare apps, onder andere van telecomgigant AT&T met meer dan tien miljoen downloads, zijn updates verschenen. Gebruikers worden dan ook opgeroepen om te updaten naar de laatste versie van de telecomprovider-apps op hun toestel. Daarnaast heeft Microsoft de bevindingen met Google gedeeld, zodat apps in de Play Store hier voortaan op worden gecontroleerd. bron: https://www.security.nl

Inloggegevens voor de netwerken, vpn-servers en e-mailaccounts van Amerikaanse universiteiten en hoge scholen worden op internet te koop aangeboden, zo waarschuwt de FBI (pdf). De wachtwoorden zijn voor enkele dollars tot bedragen van duizenden dollars te koop. De Amerikaanse opsporingsdienst wijst naar 36.000 gebruikersnamen en wachtwoorden voor .edu-mailaccounts die op een niet nader genoemd chatplatform werden aangetroffen. De diefstal van inloggegevens is volgens de FBI vaak het gevolg van een phishingaanval, ransomware of andere aanval. Om misbruik te voorkomen krijgen onderwijsinstellingen onder andere het advies multifactorauthenticatie voor zoveel mogelijk diensten toe te passen, met name voor vitale systemen, webmail, vpn's en accounts die voor het maken van back-ups verantwoordelijk zijn. Ook is het belangrijk om blootstelling van inloggegevens te verminderen door te beperken waar accounts en inloggegevens zijn te gebruiken. Verder is het nodig om externe verbindingen in kaart te brengen en meteen een onderzoek in te stellen wanneer een niet geautoriseerde remote desktop-oplossing op een werkstation wordt aangetroffen. bron: https://www.security.nl

Het op privacy gerichte besturingssysteem Tails waarschuwt gebruikers om de ingebouwde Tor Browser wegens een actief aangevallen kwetsbaarheid tijdelijk niet te gebruiken voor het invullen van wachtwoorden, versturen van privéberichten en andere gevoelige informatie. De kwetsbare versie van Tor Browser is aanwezig in de meest recente versie van Tails en oudere versies en zal pas op 31 mei via een nieuwe Tails-versie worden verholpen. Door de kwetsbaarheid kan een malafide website de ingebouwde beveiliging van Tor Browser omzeilen en toegang krijgen tot informatie op andere websites. De anonimiteit en versleuteling van Tor-verbindingen zijn volgens de Tails-ontwikkelaars niet in het geding. "Het is nog steeds veilig en anoniem om websites met Tails te bezoeken als je geen gevoelige informatie met ze deelt." Volgens de Tails-ontwikkelaars wordt er actief misbruik van het beveiligingslek gemaakt. Mozilla kwam op 20 mei met een beveiligingsupdate voor Firefox en ook de op Firefox-gebaseerde Tor Browser is inmiddels gepatcht. Het Tails-team zegt echter geen noodupdate te kunnen uitrollen en is daardoor gebonden aan de al vastgelegde releasedatum van Tails 5.1 die voor 31 mei gepland staat. In de tussentijd kunnen gebruikers het beveiligingsniveau van Tor Browser verhogen, waardoor JavaScript niet wordt uitgevoerd, wat misbruik van het lek voorkomt maar er ook voor kan zorgen dat websites niet meer werken. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. bron: https://www.security.nl