Captain Kirk

Proton, het bedrijf achter onder andere ProtonMail en ProtonVPN, heeft vandaag een "privacy-by-default ecosysteem" gelanceerd dat de verschillende aangeboden privacydiensten verenigt. Daarnaast zal Proton VPN in de tweede helft van dit jaar meer platforms gaan ondersteunen en met een browser-extensie komen. Dat heeft Proton-oprichter Andy Yen aangekondigd. Proton heeft besloten om de verschillende diensten die het aanbiedt, waaronder Proton Mail, Proton Drive en Proton Calendar, niet meer als losse diensten aan te bieden maar te verenigen. Dit moet voor een "privacy-by-default ecosysteem" zorgen dat met één Proton-account is te gebruiken, aldus Yen. Om het nieuwe ecosysteem te benadrukken zijn alle diensten van een nieuw logo voorzien. Proton zal als onderdeel van de lancering het abonnement van bestaande betalende vpn-klanten upgraden. Zo ontvangen gebruikers meer opslag en toegang tot betaalde features van de andere Proton-diensten. Verder is de vpn-dienst van plan om zowel de mobiele als desktopapplicaties onder handen te nemen. bron: https://www.security.nl

Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft zo'n tienduizend eigenaren van een QNAP-NAS gewaarschuwd dat het apparaat vanaf internet toegankelijk is en zo risico loopt om te worden aangevallen. Aanleiding is een recente waarschuwing van QNAP voor een nieuwe variant van de Deadbolt-ransomware. De ransomware infecteert NAS-systemen die vanaf het internet toegankelijk zijn en QTS versie 4.3.6 of QTS versie 4.4.1 draaien. Eenmaal actief versleutelt de ransomware bestanden voor losgeld. Naast het updaten van de QTS-versie adviseerde QNAP ook om de NAS-apparaten niet direct vanaf internet toegankelijk te maken. Het DIVD doet onderzoek naar kwetsbaarheden in software en waarschuwt organisaties wanneer ze kwetsbare software draaien of systemen verkeerd hebben geconfigureerd. Naar aanleiding van de nieuwe aanvalscampagne tegen QNAP-gebruikers heeft het DIVD een online scan uitgevoerd naar online toegankelijk NAS-apparaten. Gisteren werd naar zo'n tienduizend hosts een bericht gestuurd dat hun NAS vanaf het internet bereikbaar is. Daarnaast wordt deze gebruikers geadviseerd om port forwarding uit te schakelen om zo het probleem te verhelpen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Google Chrome maakt het mogelijk voor een aanvaller om willekeurige code op het systeem van gebruikers uit te voeren en in het ergste geval volledige systeemcontrole te krijgen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. Google heeft een update uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2022-1853, bevindt zich in Indexed DB, een programmeerinterface voor de opslag van data binnen de browser. Google geeft verder geen details over de bug, behalve dat die kan leiden tot een "use after free" waardoor het mogelijk is voor een aanvaller om code met de rechten van de ingelogde gebruiker uit te voeren. Het beveiligingslek werd op 12 mei door een anonieme onderzoeker aan Google gerapporteerd. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. De teller staat dit jaar pas op vier. In het geval van kritieke beveiligingslekken probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 102.0.5005.61 31 andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Door middel van een reeks kwetsbaarheden in videoconferentiesoftware Zoom was het mogelijk voor aanvallers om alleen door het versturen van een malafide chatbericht systemen van gebruikers over te nemen. Er was geen interactie van slachtoffers vereist, alleen het versturen van een speciaal geprepareerd bericht via het XMPP-protocol naar een gebruiker was voldoende. Dat meldt Google-onderzoeker Ivan Fratric die het beveiligingslek ontdekte. Het probleem werd veroorzaakt doordat de Zoom-client en de Zoom-server andere software gebruiken voor het verwerken van XML-code die via het XMPP-protocol wordt verstuurd. De inconsistentie in de manier waarop de client- en serversoftware met XML-code omgaan maakte het mogelijk voor een aanvaller om de Zoom-client van het slachtoffer verbinding te laten maken met een server van de aanvaller, waardoor er een man-in-the-middle-situatie ontstaat. Hiervoor hoeft een aanvaller alleen een bericht te versturen, het slachtoffer hoeft verder niets te doen. De Zoom-client zoekt periodiek naar updates op de Zoom-webserver, die vervolgens een locatie teruggeeft waar de eventueel beschikbare update is te downloaden. Doordat het malafide chatbericht ervoor zorgt dat de Zoom-client van het slachtoffer verbinding maakt met de server van de aanvaller, kan die een malafide update aanbieden. De Zoom-update bestaat uit een installer.exe en een .cab-bestand. De Zoom-client controleert echter of installer.exe digitaal is gesigneerd door Zoom. Daarnaast controleert installer.exe de hash van het .cab-bestand voordat de inhoud wordt uitgepakt. Dit moet het installeren van malafide updates voorkomen. Frantic ontdekte dat hij deze beperkingen kon omzeilen door middel van een downgrade-aanval. Wanneer de Zoom-client van het slachtoffer naar een update zoekt biedt Frantic de installer.exe en het .cab-bestand van Zoom versie 4.4 aan. De installer van deze versie is nog steeds digitaal gesigneerd, maar controleert niet het .cab-bestand. Daardoor is het mogelijk om de inhoud van het .cab-bestand door malware te vervangen die vervolgens door de Zoom-client van het slachtoffer wordt uitgevoerd. De in totaal vier kwetsbaarheden (CVE-2022-22784, CVE-2022-22785, CVE-2022-22786 en CVE-2022-22787) werden begin februari door de Google-onderzoeker aan Zoom gerapporteerd. Dezelfde maand kwam Zoom met een oplossing aan de serverkant. Eind april verscheen er een update voor de Zoom-client (5.10.4). Frantic merkt op dat de aanval is gedemonstreerd tegen de Windows-versie van Zoom, maar dat mogelijk een deel of de gehele aanval ook tegen andere platforms werkt. bron: https://www.security.nl

DuckDuckGo is onder vuur komen te liggen omdat het een overeenkomst met Microsoft heeft gesloten waardoor de DuckDuckGo-browser scripts van Microsoft op third-party websites niet blokkeert. Privacyonderzoeker Zach Edwards meldde op Twitter dat de DuckDuckGo-browser gebruikmaakt van een lijst met domeinen waarop Microsoft-scripts niet worden geblokkeerd. Het zou onder andere om Bing.com gaan. DuckDuckGo biedt een eigen op privacygerichte browser die stelt tracking tegen te gaan, maar nu blijkt dat Microsoft-scripts worden doorgelaten. Het gaat dan om scripts van Microsoft die websites besluiten toe te voegen, net zoals sites er bijvoorbeeld voor kunnen kiezen om Google-scripts toevoegen voor analytics. DuckDuckGo-oprichter Gabriel Weinberg benadrukt dat de overeenkomst met Microsoft losstaat van de DuckDuckGo-zoekmachine en dat het bezig is om die aan te passen. Weinberg stelt dat DuckDuckGo binnenkort met een update komt die meer bescherming tegen third-party Microsoft-scripts moet gaan bieden. Op Hacker News is inmiddels een discussie gaande tussen Weinberg en anderen. "Ik weet dat ons product niet perfect is en dat ook nooit zal zijn. We hebben met veel beperkingen te maken: platformbeperkingen, contractuele beperkingen (zoals in dit geval), beperkingen om dingen niet stuk te maken en de trackingwapenwedloop", merkt Weinberg op. Hij voegt toe dat de DuckDuckGo-browser desondanks de beste oplossing is voor doorsnee gebruikers die gewoon privacybescherming willen zonder dat dingen stuk gaan. "En dat is onze productvisie", aldus Weinberg. bron: https://www.security.nl

Zo'n vijfhonderd NAS-apparaten van fabrikant QNAP zijn vorige week versleuteld door de Deadbolt-ransomware. QNAP waarschuwde op 19 mei voor een nieuwe aanval door de Deadbolt-ransomware, waarvan begin dit jaar de eerste variant verscheen. De nieuwste versie richt zich op NAS-apparaten die een oudere versie van QNAPs QTS-besturingssysteem draaien. De NAS-fabrikant heeft niet laten weten via welk beveiligingslek de aanvallers toegang tot de apparaten weten te krijgen. Gebruikers wordt opgeroepen om naar de nieuwste QTS-versie te updaten en hun NAS niet vanaf het internet toegankelijk te maken. Analysebedrijf Censys voerde in de periode van 11 tot 18 mei een online scan uit en ontdekte bijna vijfhonderd besmette NAS-apparaten. De meeste besmette NAS-systemen bevinden zich in de Verenigde Staten, gevolgd door Duitsland en het Verenigd Koninkrijk. In plaats van het gehele systeem te versleutelen, waardoor het in principe offline gaat, richt de ransomware zich alleen op specifieke back-updirectories en voorziet de beheerdersinterface van een boodschap waarin staat dat slachtoffers losgeld moeten betalen als ze hun data terug willen. Op basis van de door de ransomware genoemde bitcoinwallets stelt Censys dat 132 slachtoffers bij elkaar een bedrag van 188.000 dollar hebben betaald, wat neerkomt op een gemiddeld losgeld van ruim 1400 euro per slachtoffer. bron: https://www.security.nl

De Duitse overheid heeft voor het eerst routers gericht op consumenten van een it-veiligheidskeurmerk voorzien. Onlangs werd dit ook al gedaan voor twee routers bedoeld voor kleine bedrijven. Dat meldt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. De twintig routers zijn allemaal gefabriceerd door netwerkfabrikant Lancom. De certificering van de routers is gebaseerd op technische richtlijnen van het BSI. Daarin staat onder andere dat routers het aanvalsoppervlak moeten verkleinen door ongebruikte poorten te sluiten, het apparaat van beveiligingsupdates wordt voorzien en er eisen worden gesteld aan de wachtwoorden gebruikers. Ook moet de router over een basale firewall beschikken en een ingelogde gebruiker de mogelijkheid geven om een fabriekreset uit te voeren. "Breedbandrouters vormen het hart van veel netwerken. Als een interface tussen het internet en thuis- of bedrijfsnetwerken spelen ze een belangrijke rol als het om cybersecurity gaat. In een onbeveiligde staat kunnen ze als gateway voor aanvallers dienen en als springplank voor verdere aanvallen", zegt BSI-directeur Arne Schönbohm. "Aan de andere kant kan een veilige router als intern en externe schild fungeren." Schönbohm is zeer te spreken dat het BSI voor de eerste keer een consumentenproduct van het it-veiligheidslabel heeft voorzien. "Op deze manier dragen we bij aan meer transparantie op de it-consumentenmarkt." Het keurmerk is voorzien van een link en qr-code die naar een specifieke productpagina op de website van het BSI wijzen. Op deze pagina staat informatie over securityfeatures die de fabrikant garandeert, zoals het verhelpen van bekende kwetsbaarheden en relevante veiligheidsinformatie. bron: https://www.security.nl

Microsoft heeft besloten om het verzamelen van telemetrie in het Windows Subsystem voor Android op Windows 11 standaard uit te schakelen. Het techbedrijf vraagt gebruikers nu om de optie zelf in te schakelen. Met het Windows Subsystem voor Android kunnen Windows 11-systemen Android-apps draaien die in de Amazon Appstore beschikbaar zijn. Met de nieuwste versie van het Subsystem voor Windows 11 Insiders staat het verzamelen van diagnostische gegevens nu standaard uit. Waarom dit is gedaan laat Microsoft niet weten, maar het ziet graag dat gebruikers dit zelf inschakelen. "Om Windows Subsystem voor Android beter te maken en zinvolle telemetrie over het gebruik van Android-apps te bieden, wil je deze optie dan alsjeblieft in de Windows Subsystem voor Android Settings-app inschakelen!", zo vraagt het Windows Insider Program Team aan gebruikers. bron: https://www.security.nl

Onderzoekers zijn er tijdens de jaarlijkse hackwedstrijd Pwn2Own Vancouver tien keer in geslaagd om succesvolle aanvallen tegen Ubuntu Desktop en Windows 11 uit te voeren. De gebruikte kwetsbaarheden zijn aan beide leveranciers gemeld, zodat die beveiligingsupdates kunnen ontwikkelen. Details over de beveiligingslekken zijn nog niet openbaar gemaakt. Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte software, zoals browsers, virtualisatiesoftware, kantoorsoftware, serversoftware en communicatiesoftware. Ook konden onderzoekers grote bedragen verdienen met aanvallen tegen een Tesla Model 3. De resultaten vielen dit jaar wat tegen in vergelijking met voorgaande jaren. Zo werden er in de browsercategorie alleen succesvolle aanvallen tegen Firefox en Safari gedemonstreerd en bestond de grootste "hack" uit een aanval op Microsoft Teams waarmee systemen zijn over te nemen. De meeste kwetsbaarheden die onderzoekers lieten zien zijn aanwezig in Ubuntu Desktop en Windows 11. Het gaat hierbij om "elevation of privilege", waardoor een aanvaller die al toegang tot een systeem zijn rechten kan verhogen. Doordat een aanvaller al toegang tot het systeem moet hebben is de impact van dergelijke aanvallen kleiner en leverden onderzoekers dan ook minder op. Voor een succesvolle aanval, waarbij een lek in de kernel moest worden gebruikt, werd 40.000 dollar betaald. Zes keer moest Windows 11 eraan geloven en vier keer was het raak bij Ubuntu Desktop. In totaal demonstreerden onderzoekers tijdens Pwn2Own Vancouver 25 onbekende kwetsbaarheden, wat goed was voor een prijzengeld van 1,1 miljoen dollar. De aanval op Microsoft Teams leverde met 150.000 dollar het meeste op. Leveranciers van de kwetsbare producten hebben negentig dagen de tijd gekregen om met patches te komen. Na deze deadline worden de details openbaar gemaakt. bron: https://www.security.nl

Eigenaren van twee vpn-routers van Netgear zijn gewaarschuwd, verschillende kwetsbaarheden in de apparaten zijn namelijk niet te verhelpen, zo stelt de fabrikant, die een vervanging voor de kwetsbare modellen aanbiedt. De beveiligingslekken zijn aanwezig in de BR200 en BR500 "insight managed business routers" en zorgen ervoor dat een aanvaller de apparaten kan overnemen. Voorwaarde is wel dat de gebruiker op de beheerdersinterface is ingelogd en een malafide website of link opent. "Vanwege technische beperkingen buiten onze controle zijn we niet in staat deze kwetsbaarheden te verhelpen. Hoewel er geen workarounds zijn, kun je mogelijk misbruik door de volgende maatregelen voorkomen", aldus Netgear. De netwerkfabrikant doet vervolgens verschillende aanbevelingen, waaronder het gebruik van virtuele lokale netwerken (VLANs), het gebruik van een MAC access control list om toegang tot de beheerdersinterface te beperken. Ook adviseert Netgear geen onbekende of verdachte links in browser of e-mailclient te openen en alle browsertabs te sluiten wanneer men op de beheerdersinterface is ingelogd. Als laatste doen gebruikers er verstandig aan om uit te loggen wanneer de router niet actief wordt beheerd. Eigenaren van de twee routermodellen kunnen gratis of met korting een vervangende router krijgen, afhankelijk van wanneer het apparaat is gekocht. bron: https://www.security.nl

Een kritieke kwetsbaarheid in firewalls van fabrikant Zyxel maakt het voor een ongeauthenticeerde aanvaller mogelijk om willekeurige code op het apparaat uit te voeren. Zyxel heeft updates uitgerold om het probleem te verhelpen, maar inmiddels is er ook exploitcode beschikbaar. De impact van de kwetsbaarheid, aangeduid als CVE-2022-30525, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zyxel roept gebruikers met klem op om de patch te installeren. Het probleem wordt veroorzaakt doordat de beheerdersinterface invoer van gebruikers niet goed controleert, waardoor het mogelijk is voor een aanvaller om willekeurige commando's op de firewall uit te voeren. Om de aanval op afstand uit te voeren moet de beheerdersinterface wel vanaf het internet toegankelijk zijn. Volgens securitybedrijf Rapid7, dat de kwetsbaarheid ontdekte, zijn erop internet meer dan 16.000 kwetsbare Zyxel-modellen te vinden. Het gaat om de USG FLEX 100, 100W, 200, 500 en 700, USG20-VPN en USG20W-VPN en ATP 100, 200, 500, 700 en 800. Rapid7 waarschuwde Zyxel op 13 april en stelde voor om de details van het beveiligingslek op 21 juni openbaar te maken. Op 28 april bracht Zyxel een firmware-update uit, zonder dit met Rapid7 te coördineren. Daarop nam het securitybedrijf contact op met Zyxel. De firewallfabrikant vroeg vervolgens een CVE-nummer aan om het lek mee te identificeren en ging akkoord met een nieuwe datum om de details te openbaren, wat gisteren was. Rapid7 is de ontwikkelaar van Metasploit, een opensourceframework voor het testen van de beveiliging van systemen en netwerken, dat geliefd is bij penetratietesters en securityprofessionals. Voor de kwetsbaarheid in de Zyxel-firewalls is nu een exploitmodule beschikbaar gemaakt. Organisaties worden dan ook opgeroepen om de update zo snel mogelijk te installeren en de beheerdersinterface niet vanaf internet toegankelijk te maken. bron: https://www.security.nl

Dagelijks krijgen internetgebruikers te maken met het oplossen van captcha's, maar criminelen maken daar gebruik van om ongewenste advertenties te tonen die uiteindelijk tot helpdeskfraude kunnen leiden. Dat laat securitybedrijf Sucuri weten. Internetgebruikers komen via gecompromitteerde WordPress-sites bij de advertenties terecht. Vorige maand telde Sucuri zo'n zesduizend geïnfecteerde WordPress-sites. Aanvallers weten door middel van kwetsbare themes en plug-ins kwaadaardige scripts aan de WordPress-sites toe te voegen. Zodra de betreffende website wordt bezocht zorgt het script ervoor dat de bezoeker automatisch naar een andere pagina wordt doorgestuurd. Deze doorgestuurde pagina lijkt op een captcha-pagina waar de bezoeker kan aangeven dat hij geen robot is. De zogenaamde captcha probeert de bezoeker zover te krijgen om pushnotificaties van de malafide site in te schakelen. Hierdoor kan de gebruiker ongewenste advertenties te zien krijgen ook als de website niet geopend is. De getoonde advertenties lijken daarnaast van het besturingssysteem afkomstig te zijn en niet van de browser. Volgens onderzoeker Krasimir Konov is deze werkwijze één van de meestvoorkomende manieren waarop aanvallers advertenties tonen die gebruikers laten weten dat er iets mis is met hun computer, zoals een besmetting, en het opgegeven telefoonnummer moet worden gebeld om het probleem op te lossen. Het opgegeven nummer is echter van helpdeskfraudeurs. bron: https://www.security.nl

Sinds afgelopen dinsdag zullen de Home- en Pro-edities van Windows 10 versie 20H2 en alle versies van Windows 10 versie 1909 geen beveiligingsupdates meer ontvangen. Microsoft is gestopt met de support van deze Windowsversies. Daardoor zijn systemen die deze versies draaien niet beschermd tegen de laatste securitydreigingen, zo laat Microsoft via het Windows message center weten. Om gebruikers te beschermen zal Windows Update op systemen van eindgebruikers en niet-beheerde zakelijke systemen automatisch een feature-update naar een wel ondersteunde Windows 10-versie uitvoeren. Dit vindt normaliter plaats een aantal maanden voordat de support van de betreffende Windows 10-versie afloopt. "Dit zorgt ervoor dat je systeem ondersteund blijft en maandelijkse updates ontvangt die vitaal zijn voor de veiligheid en gezondheid van het ecosysteem", aldus het techbedrijf. Microsoft benadrukt dat gebruikers zelf kunnen kiezen wanneer het systeem voor het uitvoeren van de feature-update moet worden herstart. Voorheen bracht Microsoft twee keer per jaar een grote feature-update uit voor Windows 10, die in het geval van de Home- en Pro-edities achttien maandenlang met beveiligingsupdates werden ondersteund. Sinds de lancering van Windows 10 versie 21H2 (Windows 10 November 2021 Update) verschijnt er nog maar één keer per jaar een grote feature-update die ook achttien maanden op patches kan rekenen. Windows 10 versie 20H2 verscheen op 20 oktober 2020, terwijl versie 1909 op 12 november 2019 uitkwam. Voor Windows Enterprise en Education hanteert Microsoft een langere supportperiode. De volledige support van Windows 10 Home en Pro eindigt op 14 oktober 2025. bron: https://www.security.nl

De Duitse overheid heeft e-mailprovider Freenet van een digitaal veiligheidskeurmerk voorzien. Freenet voldoet volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, aan de benodigde veiligheidseisen op het gebied van transparantie, het verhelpen van kwetsbaarheden, veilige interfaces en standaarden zoals TLS en DANE, het niet gebruiken van verouderde of onveilige technologie en dataveiligheid. Met het veiligheidskeurmerk, dat twee jaar geldig is, kunnen eindgebruikers volgens het BSI eenvoudiger de veiligheidskenmerken van diensten en producten vaststellen. Freenet is pas de tweede e-mailprovider die het veiligheidskeurmerk ontvangt. Mail.de was de eerste mailaanbieder die door de keuring heen kwam. De Duitse overheid hoopt dat het keurmerk voor veiligere producten en dienst gaat zorgen. "Het zorgt voor transparantie en keuze. Hiermee geven we een duidelijk signaal af aan de consumentenmarkt dat informatiebeveiliging een belangrijk argument is voor de beslissing om ict-producten aan te schaffen en te gebruiken. We zijn ervan overtuigd dat we met het it-beveiligingslabel een flinke stap zetten naar meer veiligheid voor consumenten op internet!", zo liet BSI-directeur Arne Schönbohm eerder weten. bron: https://www.security.nl

Een groep cybercriminelen kaapt op besmette computers lopende e-mailgesprekken om zo malware te verspreiden die uiteindelijk tot grootschalige ransomware-infecties kan leiden. De tactiek werd eerder al toegepast door de criminelen achter de Emotet-malware, maar is ook in gebruik door een groep genaamd TA578. Op een al besmet systeem wordt er op lopende e-mailgesprekken gereageerd met bijvoorbeeld een factuur of document dat zo naar een nog niet besmet slachtoffer wordt gestuurd. Het meegestuurde of gelinkte bestand is in werkelijkheid de Bumblebee-malware. Deze malware fungeert als een "downloader" en kan aanvullende malware op het systeem downloaden, zoals ransomware. Verschillende groepen cybercriminelen hebben volgens securitybedrijf Proofpoint Bumblebee gebruikt voor het uitvoeren van ransomware-aanvallen. Het zou onder andere om de Conti-ransomwaregroep gaan. De afgelopen dagen publiceerden het Internet Storm Center en securitybedrijf NCC Group analyses van de malware en gebruikte verspreidingstactiek. Volgens Brad Duncan van het Internet Storm Center is het belangrijk om de aanvallers in een vroeg stadium te stoppen, aangezien dit verdere schade kan voorkomen. bron: https://www.security.nl

De nieuwste versie van e-mailclient Thunderbird die eind juni zou moeten verschijnen moet het eenvoudiger voor gebruikers maken om hun e-mailaccounts te beheren alsmede van andere e-mailclients zoals Outlook of SeaMonkey over te stappen. Ook wordt het nu eenvoudiger om Thunderbird zonder e-mailclient te gebruiken, bijvoorbeeld voor alleen de agendafunctionaliteit of als chatclient. Volgens het ontwikkelteam werkte het voor de eerste keer instellen van een account in Thunderbird naar behoren, maar kon dat niet worden gezegd van het configureren van aanvullende accounts. Iets dat in Thunderbird 102 is aangepakt. Verder zullen gebruikers na het installeren van de software niet meer worden gedwongen om een e-mailaccount aan te maken. Iets wat handig is voor gebruikers die Thunderbird zonder e-mailaccount willen gebruiken. Verder is aan Thunderbird 102 een nieuwe Import- en Exporttool toegevoegd, die het exporteren en importeren van accounts en data moet vereenvoudigen. Voorheen moesten gebruikers hiervoor een aparte add-on gebruiken of de data handmatig kopiëren, maar met versie 102 zit deze functionaliteit in de e-mailclient ingebakken. Verder zal Thunderbird 102 ook support voor het gedecentraliseerde Matrix-chatprotocol bevatten. De bètaversie van Thunderbird 102 staat voor eind mei gepland, de releaseversie voor eind juni. bron: https://www.security.nl

Google gaat gebruikers de komende tijd op meer plekken de mogelijkheid bieden om tijdens het inloggen op bijvoorbeeld hun laptop hun telefoon als fysieke beveiligingssleutel te gebruiken. Hiervoor moeten gebruikers wel op beide apparaten tijdens het inloggen bluetooth inschakelen. Dit moet volgens Google gebruikers beter tegen phishing beschermen. Het techbedrijf stelt dat phishingaanvallen zich de afgelopen tijd verder hebben ontwikkeld en aanvallers nu ook tweefactorauthenticatie (2FA)-codes proberen te onderscheppen die bijvoorbeeld via sms worden verstuurd. Hierbij gebruikt de aanvaller informatie van het slachtoffer om direct op de echte Google-pagina in te loggen en stuurt aanvullende authenticatiechallenges door naar het slachtoffer. Traditionele multifactorauthenticatie is beperkt in wat het tegen dergelijke aanvallen kan doen, zegt Daniel Margolis, van het Google Account Security Team. Een betere bescherming bieden fysieke securitysleutels, die ook de identiteit van de website waarop wordt ingelogd controleren. Het is echter niet realistisch om te verwachten dat iedereen van een fysieke securitysleutel gebruik gaat maken, aldus Margolis. Als oplossing wil Google nu de telefoon van gebruikers als fysieke beveiligingssleutel gebruiken. "Dit voorkomt dat een aanvaller je kan misleiden om een inlogpoging via hun browser goed te keuren, wat ons een extra beveiligingslaag tegen dergelijke "person in the middle" aanvallen geeft die wel werken tegen sms of Google Prompt", merkt Margolis op. Voor de koppeling maakt Google gebruik van bluetooth. De komende maanden gaat het techbedrijf de technologie op meer plekken uitrollen en zullen gebruikers dus ook vaker het verzoek krijgen om bluetooth in te schakelen. Margolis stelt dat de technologie het niet mogelijk maakt voor computers in de buurt om als de gebruiker in te loggen. "Het geeft alleen toestemming aan de computer waar je op inlogt. En we gebruiken het alleen om te verifiëren dat je telefoon in buurt is van het apparaat waarop je inlogt, dus je hoeft bluetooth alleen tijdens het inloggen te hebben ingeschakeld." bron: https://www.security.nl

Kwetsbaarheden in de Windows Print Spooler worden steeds vaker bij aanvallen gebruikt, zo stelt antivirusbedrijf Kaspersky op basis van eigen cijfers. De Print Spooler is verantwoordelijk voor het verwerken van printjobs. Het afgelopen jaar zijn er meerdere kwetsbaarheden in dit Windowsonderdeel ontdekt, waarvan PrintNightmare de bekendste is. Ook de bekende Stuxnet-worm die systemen in de Iraanse uraniumverrijkingscentrale van Natanz saboteerde maakt onder andere misbruik van een lek in de Print Spooler. Beveiligingslekken in dit Windowsonderdeel zijn meestal niet genoeg om systemen op afstand over te nemen en worden vooral door aanvallers die al toegang tot een systeem hebben gebruikt om hun rechten te verhogen. Kaspersky zag tussen juli 2021 en april van dit jaar zo'n 65.000 aanvallen waarbij een kwetsbaarheid in de Print Spooler werd gebruikt. Ongeveer 31.000 van deze aanvallen vonden de afgelopen vier maanden plaats, van januari tot en met april. "Dit suggereert dat kwetsbaarheden in Windows Print Spooler een populaire aanvalsvector voor cybercriminelen blijven, wat inhoudt dat gebruikers alert moeten op beveiligingsupdates die Microsoft uitbrengt", zo laat het antivirusbedrijf weten. Onlangs kwamen de FBI en NSA met een overzicht van veel aangevallen kwetsbaarheden in 2021 waarin twee verschillende Print Spooler-lekken stonden. Gebruikers kunnen op systemen waar niet mee wordt geprint de Print Spooler-service uitschakelen. bron: https://www.security.nl

De Amerikaanse autoriteiten hebben samen met diensten uit Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk een waarschuwing gegeven voor aanvallen op managed serviceproviders (MSP's). Onder andere de FBI en NSA zeggen bekend te zijn met rapporten die een toename melden van aanvallen op MSP's en de diensten verwachten dat deze trend zal doorzetten. In het verleden zijn meerdere managed serviceproviders getroffen door zowel APT-groepen als ransomwaregroepen. Een bekend incident is dat met Kaseya, dat software aan MSP's levert. Via kwetsbaarheden in de Kaseya-software konden criminelen achter de REvil-ransomware wereldwijd klanten van MSP's met ransomware infecteren. Een ander voorbeeld is dat van een APT-groep genaamd APT10/Cloud Hopper die MSP's aanviel om zo bij klanten te spioneren. Om dergelijke aanvallen te voorkomen hebben de vijf landen een gezamenlijke Cybersecurity Advisory gepubliceerd met advies. Door de rol die MSP's vervullen hebben ze vaak vergaande toegang tot de systemen van klanten. Het kan zowel om middelgrote bedrijven gaan als vitale infrastructuur. Volgens de FBI en NSA kan het maanden duren voordat een aanval wordt opgemerkt. Organisaties wordt aangeraden om hun belangrijkste logbestanden dan ook zeker zes maanden te bewaren. MSP's krijgen verder het advies om data en diensten van klanten te scheiden en beheerderswachtwoorden niet te hergebruiken. Verder moeten overbodige accounts van MSP's worden uitgeschakeld. Iets wat bij het veranderen van MSP of opzeggen van het contract over het hoofd kan worden gezien, aldus de advisory. Daarnaast moeten organisaties controleren dat MSP-accounts niet zijn toegewezen aan interne beheerdersgroepen. bron: https://www.security.nl

Wanneer internetgebruikers ergens willen inloggen of een online formulier invullen kunnen gegevens als e-mailadressen en wachtwoorden naar adverteerders en andere derde partijen worden gestuurd nog voordat erop de knop verzenden of inloggen is geklikt, zo stellen onderzoekers van de Radboud Universiteit, de KU Leuven en de universiteit van Lausanne (pdf). Voor het onderzoek werden de 100.000 populairste websites op internet onderzocht. E-mailadressen van Europese gebruikers werden bij ruim achttienhonderd websites naar tracking-, marketing- en analyticsdomeinen doorgestuurd nog voordat gebruikers toestemming hadden gegeven of op versturen hadden geklikt. Werden dezelfde websites vanaf een Amerikaans ip-adres bezocht, dan ging het om bijna drieduizend websites. Verder bleek dat op meer dan vijftig websites third-party session replay scripts actief waren die het wachtwoord van gebruikers verzamelden. Deze scripts verzamelen de interactie van gebruikers met de website, waaronder toetsaanslagen en muisbewegingen. De onderzoekers rapporteerden dit. Vervolgens hebben twee third-party trackers, die samen actief zijn op vijf miljoen websites, updates uitgebracht om het probleem te verhelpen. Meta en TikTok In een vervolgonderzoek zagen de onderzoekers dat Meta en TikTok gehashte persoonlijke informatie van webformulieren verzamelen, zelfs wanneer de gebruiker het formulier niet verstuurt en geen toestemming geeft. De onderzoekers waarschuwden beide bedrijven. Meta kwam snel met een reactie waarin het aangaf dat het probleem was doorgezet naar een engineeringteam. TikTok heeft volgens de onderzoekers nog geen reactie gegeven, maar werd ook later ingelicht. "Gebaseerd op ons onderzoek moeten gebruikers ervan uitgaan dat de persoonlijke informatie die ze in webformulieren invullen door trackers kunnen worden verzameld, ook wanneer het formulier nooit wordt verstuurd. Gezien de omvang, inbreuk en onbedoelde neveneffecten, verdient het privacyprobleem dat we onderzochten meer aandacht van browserleveranciers, ontwikkelaars van privacytools en privacytoezichthouders", zo concluderen de onderzoekers. Die hebben naar aanleiding van het onderzoek een browser-extensie ontwikkeld genaamd LeakInspector. Daarmee kunnen websites en eindgebruikers derde partijen controleren die zonder hun toestemming of medeweten persoonlijke informatie uit webformulieren verzamelen. bron: https://www.security.nl

De Chrome-extensie van DuckDuckGo blokkeert nu ook nieuwe trackingmethodes van Google waarmee de techreus gebruikers gerichte advertenties wil tonen. Het gaat om technieken genaamd Topics en FLEDGE die Google onder veel Chrome-gebruikers wil inschakelen. Google is van plan om trackingcookies in Chrome uit te faseren en zoekt naar andere manieren om gebruikers toch gepersonaliseerde reclame te laten zien. Eerst kwam het techbedrijf met een oplossing genaamd FLoC (Federated Learning of Cohorts), maar besloot deze trackingmethode wegens felle kritiek niet door te voeren. De nieuwe trackingmethodes zijn volgens DuckDuckGo niet veel beter. "Het heeft nog steeds met dezelfde fundamentele privacyproblemen te maken van het automatisch delen van informatie over je online gedrag met websites en trackingbedrijven zonder je toestemming." Topics gebruikt de browsegeschiedenis van Chrome-gebruikers om automatisch informatie over interesses van de gebruiker te verzamelen en die met bedrijven, trackingbedrijven en websites te delen. FLEDGE zorgt ervoor dat Chrome op basis van het browsegedrag advertenties kan laten zien. "Chrome-gebruikers zullen mogelijk verrast zijn dat ze binnenkort automatisch aan de nieuwe trackingmethodes deelnemen", stelt DuckDuckGo. De zoekmachine merkt op dat Google de nieuwe trackingmethodes als meer privacyvriendelijk wegzet, maar dat tracking en profilering nog steeds tracking en profilering zijn. "Ongeacht hoe je het noemt." DuckDuckGo adviseert gebruikers die de trackingmethodes willen ontlopen om geen Chrome te gebruiken of de DuckDuckGo-extensie te gebruiken, aangezien die vanaf versie 2022.4.18 de Topics- en FLEDGE-interactie op websites blokkeert. Als derde mogelijkheid kunnen Chrome-gebruikers bepaalde opties binnen de browser aanpassen. bron: https://www.security.nl

De Duitse overheid heeft voor het eerst twee routers gecertificeerd die aan recent opgestelde veiligheidsrichtlijnen voldoen en binnen kleine bedrijven zijn te gebruiken. Het gaat om de "digitalisierungsbox" Smart 2 en Premium 2 van fabrikant Zyxel. Routers spelen een steeds grotere rol in de digitalisering en zijn daarmee een aantrekkelijk doelwit voor aanvallers, aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. "Breedbandrouters zijn de digitale hub voor elk kantoor. Ze zijn voor zowel kleine als grote bedrijven de gateway tot internet: zonder breedbandrouter is er geen datastroom, geen digitale samenwerking en geen videoconferenties", aldus de Duitse overheidsinstantie. "Het is daarom des te belangrijker dat breedbandrouters de juiste veiligheidseigenschappen hebben en gebruikers die kunnen herkennen." Door middel van certificaten kunnen fabrikanten dit aantonen. De certificering van de Zyxel-routers is gebaseerd op technische richtlijnen van het BSI. Daarin staat onder andere dat routers het aanvalsoppervlak moeten verkleinen door ongebruikte poorten te sluiten, het apparaat van beveiligingsupdates wordt voorzien en er eisen worden gesteld aan de wachtwoorden gebruikers. Ook moet de router over een basale firewall beschikken en een ingelogde gebruiker de mogelijkheid geven om een fabriekreset uit te voeren. Routerfabrikanten kunnen het BSI benaderen als hun apparatuur aan de eisen voldoet en ze die willen laten certificeren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in het BIG-IP-platform van F5 wordt actief gebruikt om het filesystem van de apparaten te wissen wat gevolgen heeft voor load balancing en websites. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. Op 4 mei kwam F5 met een beveiligingsupdate voor een kritieke kwetsbaarheid aangeduid als CVE-2022-1388. Via het beveiligingslek kan een ongeauthenticeerde aanvaller met toegang tot een BIG-IP het systeem overnemen of uitschakelen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "De kwetsbaarheid is noemenswaardig, omdat het ongeauthenticeerde aanvallers willekeurige systeemcommando's laat uitvoeren, bestanden laat aanmaken of verwijderen of services laat uitschakelen. In andere woorden, de aanvaller krijgt volledige controle over het apparaat", aldus Johannes Ullrich van het Internet Storm Center. Kort na het uitkomen van de beveiligingsupdate verschenen op internet proof-of-concept exploits en werd melding gemaakt van actief misbruik. Aanvallers gebruiken de kwetsbaarheid om webshells te installeren om zo toegang tot het apparaat te behouden en verdere aanvallen uit te voeren. Het Internet Storm Center (ISC) laat nu via Twitter weten dat een aanvaller actief bezig is om het filesystem van kwetsbare systemen te wissen. "Gegeven dat de webserver als root draait, lost dit het probleem van kwetsbare servers op en vernietigt elke kwetsbare BIG-IP-appliance", aldus het ISC. Beveiligingsonderzoeker Kevin Beaumont bevestigt de aanvallen en meldt dat veel kwetsbare apparaten die via zoekmachine Shodan waren te vinden nu niet meer reageren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale Amerikaanse overheidsinstanties gisteren verplicht om het beveiligingslek voor 31 mei te patchen. bron: https://www.security.nl

Microsoft heeft tijdens de patchdinsdag van mei in totaal 74 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek in Windows. Volgens Microsoft gaat het om een kwetsbaarheid in de Windows LSA (Local Security Authority), aangeduid als CVE-2022-26925, die spoofing mogelijk maakt. Via het spoofinglek kan een ongeauthenticeerde aanvaller een domeincontroller dwingen om zich via NTLM bij een andere server te authenticeren. Om misbruik van de kwetsbaarheid te kunnen maken is een man-in-the-middle-positie vereist, waarbij de aanvaller tussen de aangevallen server en de opgegeven server zit. Volgens onderzoekers gaat het om de PetitPotam-kwetsbaarheid die vorig jaar augustus door Microsoft werd verholpen, maar tussen december en maart van dit jaar zou zijn geherintroduceerd. Microsoft heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Als het spoofinglek wordt gecombineerd met andere NTLM relay-aanvallen op Active Directory Certificate Services (AD CS) gaat de impactscore naar 9.8, aldus Microsoft. Het beveiligingslek was door een onderzoeker van de Bertelsmann Printing Group gevonden en gerapporteerd. Naast het installeren van de beveiligingsupdate wijst Microsoft systeembeheerders ook naar KB5005413 en Advisory ADV210003 waarin maatregelen worden beschreven om NTLM relay-aanvallen te voorkomen. Het installeren van de beveiligingsupdates zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Gezichtsherkenningsbedrijf Clearview AI heeft in een zaak die was aangespannen door de Amerikaanse burgerrechtenbeweging ACLU een schikking getroffen, waardoor het gebruik van een massale database met tien miljard gezichtsafbeeldingen in de Verenigde Staten wordt beperkt. Met de database kunnen politiediensten onbekende verdachten herkennen. Meer dan zeshonderd Amerikaanse politie- en opsporingsdiensten zouden van Clearview gebruik hebben gemaakt. Het bedrijf wil de database uitbreiden naar honderd miljard gezichtsafbeeldingen, wat neerkomt op veertien foto's voor elk persoon op aarde. Volgens de ACLU overtreedt Clearview met de gezichtendatabase de Illinois Biometric Information Privacy Act (BIPA). De wet verbiedt het zonder toestemming opslaan van biometrische gegevens van gebruikers. Als onderdeel van de schikking zal Clearview AI de gezichtendatabase niet meer aan de meeste bedrijven en private partijen in de VS mogen aanbieden. Daarnaast stopt het bedrijf de komende vijf jaar met het bieden van toegang tot de database aan alle partijen in de Amerikaanse staat Illinois, waaronder politie. Tevens moet Clearview op de eigen website een opt-out-formulier toevoegen. Via dit formulier kunnen inwoners van Illinois een foto uploaden en een formulier invullen zodat hun gezichtsfoto's niet in de zoekresultaten van Clearview verschijnen, waaronder zoekopdrachten van opsporingsdiensten. Ook mag Clearview geen gratis proefaccounts meer aan individuele agenten aanbieden zonder kennis of toestemming van hun werkgever. "Clearview kan de unieke biometrische kenmerken van personen niet langer meer als een onbeperkte inkomstenbron behandelen", zegt Nathan Freed Wessler van de ACLU. "Voor deze overeenkomst negeerde Clearview het feit dat biometrische informatie is te misbruiken om voor gevaarlijke situaties en dreigingen te zorgen in de levens van slachtoffers van huiselijke en seksueel geweld. Dat is niet langer meer het geval", voegt Linda Xóchitl Tortolero toe, ceo van een organisatie die zich inzet voor Latijns-Amerikaanse vrouwen. bron: https://www.security.nl