Captain Kirk

E-mailprovider Proton Mail biedt gebruikers vanaf vandaag de mogelijkheid om hun account met een fysieke beveiligingssleutel te beveiligen. Alle keys worden ondersteund, zolang ze de U2F- of FIDO2-standaard ondersteunen. Een fysieke beveiligingssleutel is een apparaatje dat bijvoorbeeld via usb, nfc of bluetooth met de computer verbinding maakt. Security keys maken gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst bij de betreffende website instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd. Bij Proton Mail zal de beveiligingssleutel als tweede factor bij het inloggen moeten worden gebruikt. Op dit moment ondersteunt de e-mailprovider time-based one-time passwords (TOTP) voor tweefactorauthenticatie (2FA). TOTP kan volgens Proton Mail lastig zijn, aangezien het password in een korte tijd moet worden ingevoerd. Daarnaast wordt met een fysieke sleutel aangetoond dat de gebruiker de key in bezit heeft om op zijn account in te loggen. Vanwege dit fysieke aspect zijn hardwarematige sleutels één van de veiligste methodes voor 2FA, aldus Proton Mail. bron: https://www.security.nl

Google heeft support voor passkeys aan Android en Chrome toegevoegd waardoor gebruikers straks zonder gebruikersnaam en wachtwoord op hun accounts en apps kunnen inloggen. Ook een tweede factor zoals sms-code, one-time password of push-bevestiging is dan niet meer nodig. Alleen een biometrische controle, pincode of ontgrendelingspatroon van het apparaat waarmee wordt ingelogd is voldoende, zo heeft het techbedrijf aangekondigd. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Voor het inloggen met een passkey moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. Wanneer een gebruiker zijn passkeys niet wil synchroniseren over meerdere apparaten is het nog steeds mogelijk om met passkeys in te loggen op een apparaat waar ze niet zijn opgeslagen. Zo is het bijvoorbeeld mogelijk om met een passkey die op een smartphone is gegenereerd op een website op een laptop in te loggen. Zolang de telefoon in de buurt van de laptop is en de gebruiker de inlogpoging goedkeurt op zijn telefoon, kan er vanaf de laptop op de website worden ingelogd. Wel kan de betreffende website aanbieden om ook op de laptop een passkey te genereren, zodat de telefoon de volgende keer niet nodig is om in te loggen. "Omdat passkeys gebonden zijn aan een website of app, zijn ze veilig voor phishingaanvallen. De browser en het besturingssysteem zorgen ervoor dat de passkey alleen is te gebruiken bij de website of app die ze heeft gegenereerd. Dit maakt de gebruiker niet langer verantwoordelijk voor het inloggen op de echte website of app", aldus Google. Het techbedrijf stelt dat passkeys het niet mogelijk maken om gebruikers of apparaten tussen websites te volgen, aangezien er voor elke website een passkey wordt gegenereerd. Ook wordt de biometrische informatie niet gedeeld met de app of website waarop wordt ingelogd. Verder worden de passkeys versleuteld op het toestel opgeslagen. Passkeys zijn nu beschikbaar in de bètaversie van Google Play Services en een vroege testversie van Chrome. Later dit jaar komen passkeys beschikbaar in "stable" versies van Android en browser. bron: https://www.security.nl

De nieuwste versies van OpenSSL die gisteren online verschenen en één kwetsbaarheid verhelpen zijn wegens een "ernstige regressie" een dag later alweer offline gehaald. Dat heeft Matt Caswell van het OpenSSL Project Team bekendgemaakt. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen grote gevolgen hebben, zoals het Heartbleed-lek in het verleden heeft aangetoond. Gisteren kwam OpenSSL met versies 1.1.1r en 3.0.6. Deze laatste versie verhelpt een kwetsbaarheid (CVE-2022-3358) waarvan de impact als "low" is beoordeeld. Daarnaast zijn in beide versies meerdere bugs verholpen. Via de mailinglist van OpenSSL laat Caswell weten dat besloten is om versies 1.1.1r en 3.0.6 wegens een "ernstige regressie" offline te halen. Deze regressie zou voor zover bekend geen securitygevolgen moeten hebben. Het onderzoek is echter nog gaande. Nu versies 1.1.1r en 3.0.6 offline zijn gehaald wordt gebruikers aangeraden om voor nu van versies 3.0.5 en 1.1.1q gebruik te blijven maken. Binnenkort komt er een nieuw plan voor de release van versies 3.0.7 en 1.1.1s. bron: https://www.security.nl

Onderzoekers hebben in een draagbare ssd-schijf van Verbatim verschillende kwetsbaarheden ontdekt, waardoor het mogelijk is voor een aanvaller om versleutelde data op het apparaat te achterhalen. Voor twee van de vier gevonden beveiligingslekken heeft Verbatim in juli een update uitgebracht. In het beveiligingsbulletin staan deze kwetsbaarheden echter niet specifiek vermeld. De Verbatim Store 'n' Go Secure Portable SSD is een draagbare usb-schijf met hardwarematige AES 256-bit encryptie en een ingebouwde keypad voor het invoeren van een passcode. Bij twintig mislukte inlogpogingen zou de ssd-schijf moeten worden vergrendeld en geformatteerd. De beveiligingsmaatregel blijkt echter niet naar behoren te werken. Na twintig mislukte inlogpogingen wordt de schijf namelijk niet gewist. Daardoor kan een aanvaller meer inlogpogingen doen (CVE-2022-28386) dan bedoeld. Verder vond onderzoeker Matthias Deeg van het Duitse securitybedrijf SySS dat de ssd-schijf door een "onveilig ontwerp" kwetsbaar is voor een offline bruteforce-aanval, waardoor het mogelijk is om ongeautoriseerde toegang tot de versleutelde data te krijgen (CVE-2022-28384). Dit impact van dit lek is als 'high' bestempeld en door Verbatim verholpen. Daarnaast kan een aanvaller met fysieke toegang tot de ssd-schijf malafide firmware uploaden waardoor er altijd een AES-key van de aanvaller wordt gebruikt voor het versleutelen van de data. Deze kwetsbaarheid is voor "interdiction" te misbruiken, waarbij een apparaat onderweg naar de beoogde gebruiker door bijvoorbeeld een inlichtingendienst wordt onderschept en aangepast. Voor dit probleem (CVE-2022-28383) kwam Verbatim niet met een oplossing. Verder maakte Verbatim gebruik van een onveilige AES-mode voor de versleuteling. Daardoor zou een aanvaller, door het observeren van bepaalde patronen, informatie aan de hand van de versleutelde data kunnen achterhalen. Voor deze kwetsbaarheid (CVE-2022-28386) is Verbatim wel met een update gekomen. bron: https://www.security.nl

Microsoft heeft aan alle ondersteunde versies van Windows een optie toegevoegd die lokale admin-accounts tegen bruteforce-aanvallen moet beschermen. Volgens Microsoft staan bruteforce-aanvallen in de top drie van meestgebruikte methodes om Windowsmachines aan te vallen. Systeembeheerders kunnen via een lockout policy instellen dat wanneer er teveel mislukte inlogpogingen op een account zijn, het account wordt vergrendeld. Er was echter geen optie beschikbaar waardoor het account van een lokale systeembeheerder kan worden vergrendeld. Hierdoor is het mogelijk voor aanvallers om via een onbeperkte bruteforce-aanval het wachtwoord van de lokale beheerder te achterhalen. Dit kan zowel via het remote desktop protocol (RDP) als het netwerk. Om het gebruik van bruteforce-aanvallen verder te beperken is er nu ook een account-lockout voor admin-accounts. Op nieuwe Windows 11-machines met versie 22H2 en de updates van oktober staat deze lockout policy standaard ingeschakeld. Beheerders kunnen de policy indien gewenst wel uitschakelen. Daarnaast stelt Microsoft nu ook eisen aan de complexiteit van het wachtwoord van lokale admin-accounts. Deze wachtwoorden moeten drie van de vier soorten karaktertypes (letter, hoofdletter, cijfer en symbool). Dit moet verdere bescherming tegen bruteforce-aanvallen bieden. bron: https://www.security.nl

Een Amerikaanse financiële instelling is afgelopen zomer het doelwit geworden van een aanval waarbij twee drones werden ingezet, waaronder één die was uitgerust met een WiFi Pineapple. Dat laat onderzoeker Greg Linares op Twitter weten. De WiFi Pineapple is te gebruiken als rogue access point (AP) voor het uitvoeren van man-in-the-middle-aanvallen. De niet nader genoemde financiële instelling ontdekte op de eigen interne Atlassian Confluence-site verdachte activiteit. Een medewerker van wie het MAC-adres was gebruikt om gedeeltelijke toegang tot het wifi-netwerk van het bedrijf te krijgen was ook kilometers verderop ingelogd. De gebruiker was zelf niet op het kantoor aanwezig, maar iemand anders in de buurt van het wifi-netwerk probeerde met het MAC-adres van deze gebruiker toegang te krijgen. Vervolgens werd besloten het wifi-signaal te traceren, wat leidde tot de ontdekking van twee drones op het dak van het kantoor met apparatuur voor het uitvoeren van aanvallen, waaronder een drone met een aangepaste WiFi Pineapple. De andere drone was voorzien van een Raspberry Pi, verschillende batterijen, een GPD-minilaptop, een 4G-modem en een ander wifi-apparaat. De drone met de WiFi Pineapple was gebruikt voor het onderscheppen van inloggegevens. Deze data was later gebruikt in de tools die vanaf de andere drone werden gebruikt. De aanvallers hadden geprobeerd toegang tot de interne Confluence-site te krijgen om met daar opgeslagen inloggegevens andere interne systemen aan te vallen. Naar schatting kostte de gebruikte setup van de aanvallers vijftienduizend dollar. Volgens Linares laat de aanval zien dat aanvallers bereid zijn om dergelijke bedragen te betalen voor het aanvallen van interne systemen. De onderzoeker was niet zelf betrokken bij het onderzoek naar de aanval, maar kent iemand die dat wel was. The Register meldt dat het met een persoon binnen de betrokken financiële instelling contact heeft gehad die het verhaal van Linares bevestigt. bron: https://www.security.nl

Mozilla heeft een nieuwe feature aan Firefox Relay toegevoegd waardoor de dienst ook telefoonnummers van gebruikers kan afschermen. De optie is vooralsnog alleen beschikbaar in Canada en de Verenigde Staten. Via Firefox Relay kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. Vaak komt het ook voor dat bedrijven om telefoonnummers vragen. Deze persoonlijke informatie kan echter lekken en worden gebruikt voor spam en profilering. Net als met het beschermen van e-mailadressen is Firefox Relay nu ook in staat om telefoonnummers af te schermen. Hiervoor genereert de dienst een telefoonnummer dat gebruikers bij bijvoorbeeld een online registratie kunnen opgeven. Vervolgens worden sms-berichten en gesprekken naar dit nummer naar het echte telefoonnummer van de gebruiker doorgestuurd. Het gegenereerde telefoonnummer kan vijftig minuten aan inkomende telefoongesprekken verwerken en 75 sms-berichten. Voor deze nieuwe feature, inclusief het onbeperkt gebruik van de e-maildoostuurdienst, betalen gebruikers 48 dollar per jaar, of 5 dollar per maand. Alleen het gebruik van de betaalde e-maildoorstuurdienst kost 1 dollar per maand. Of en wanneer de nieuwe feature in andere regio's beschikbaar komt is nog niet bekend. bron: https://www.security.nl

Tijdens de patchdinsdag van oktober heeft Microsoft 85 kwetsbaarheden in de eigen producten verholpen, waaronder een actief aangevallen zerodaylek in Windows en een kritieke kwetsbaarheid waardoor Kubernetes-clusters zijn over te nemen. Updates voor twee zerodays in Exchange Server zijn niet verschenen. De patches zijn volgens Microsoft nog niet klaar. Het zerodaylek dat Microsoft deze maand heeft gepatcht, aangeduid als CVE-2022-41033, bevindt zich in de Windows COM+ Event System Service. Een aanvaller die al toegang tot een systeem heeft kan via de kwetsbaarheid in deze Windows-service zijn rechten verhogen en zo het systeem volledig overnemen. Het beveiligingslek was door een anonieme beveiligingsonderzoeker aan Microsoft gerapporteerd. Verdere details over de aanvallen zijn niet door het techbedrijf gegeven. Een andere kwetsbaarheid die deze maand de aandacht verdient bevindt zich in de cluster connect feature van Azure Arc-enabled Kubernetes clusters. Via dit beveiligingslek (CVE-2022-37968) kan een ongeauthenticeerde gebruiker zijn rechten verhogen en beheerderscontrole over de Kubernetes-cluster krijgen. Om op afstand misbruik van dit lek te maken moet een aanvaller wel het willekeurig gegenereerde dns-endpoint van een Azure Arc-enabled Kubernetes cluster weten. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10. Grote afwezige in de patchronde zijn updates voor twee actief aangevallen zerodaylekken in Exchange Server. Microsoft waarschuwde eind vorige maand voor de aanvallen en kwam met tijdelijke mitigaties waarmee organisaties zich kunnen beschermen. Via de kwetsbaarheid kan een aanvaller die over de inloggegevens van een mailbox beschikt Exchange-servers op afstand overnemen. De updates om de kwetsbaarheden te verhelpen zijn echter nog niet klaar, aldus Microsoft. Wanneer ze wel zullen verschijnen is nog onbekend. bron: https://www.security.nl

Vpn-provider ProtonVPN heeft een nieuwe protocol gepresenteerd voor het omzeilen van overheidsblokkades. Het Stealth-protocol zou in staat zijn om de meeste firewalls en methodes voor het blokkeren van vpn's te omzeilen, zo claimt ProtonVPN. Geregeld zijn er landen die niet toestaan dat de bevolking gebruikmaakt van vpn-diensten om bijvoorbeeld gecensureerde websites te bezoeken. Volgens ProtonVPN zijn traditionele vpn-protocolllen zoals OpenVPN, IKEv2 en WireGuard relatief eenvoudig op een netwerk te herkennen. Nu deep packet inspection (DPI) steeds breder beschikbaar komt zal het dan ook eenvoudiger voor autoritaire regimes worden om vpn-diensten die van deze protocollen gebruikmaken te blokkeren. In 2020 kwam ProtonVPN met "alternative routing" een manier om dergelijke vpn-blokkades te omzeilen. Regimes zitten echter ook niet stil, aldus de vpn-provider. Oplossingen om bestaande vpn-protocollen te obfusceren zouden dan ook niet goed meer werken. Het Stealth-protocl is helemaal van de grond af opgebouwd en zou bijna niet te detecteren zijn, aldus ProtonVPN. Hoe het nieuwe protocol precies werkt laat de vpn-provider niet weten. Stealth is voor zowel de gratis als betaalde vpn-dienst beschikbaar. Op dit moment is de maatregel alleen in te schakelen in de Android-app van ProtonVPN. Binnenkort zal die ook binnen de apps voor iOS, Linux, macOS en Windows zijn te gebruiken. bron: https://www.security.nl

Onderzoekers van de Universiteit van Glasgow hebben een systeem ontwikkeld waarbij ze door middel van een warmtebeeldcamera en machine learning de wachtwoorden kunnen achterhalen die mensen op een keyboard, smartphone of keypad van een geldautomaat hebben ingevoerd. Hoe korter het wachtwoord, des te succesvoller het systeem is met het achterhalen ervan. Via de warmtebeeldcamera is het mogelijk om de achtergebleven warmte op het oppervlak te detecteren. Door de intensiteit van warme gebieden op het keyboard te meten is het mogelijk om specifieke letters, getallen of symbolen te achterhalen. Daarvandaan kan een aanvaller vervolgens verschillende combinaties proberen om het wachtwoord van de gebruiker te kraken. Het ThermoSecure-systeem van de onderzoekers is in staat om 86 procent van de wachtwoorden te achterhalen wanneer de warmtebeelden binnen twintig seconden worden genomen. Na dertig seconden is dit naar 76 procent gedaald en na een minuut is het systeem nog bij 62 procent van de wachtwoorden succesvol. Ook blijkt dat het systeem minder effectief wordt bij langere wachtwoorden. Bij wachtwoorden van zes, acht, twaalf en zestien karakters haalt het systeem een gemiddeld nauwkeurigheidspercentage van respectievelijk 92 procent, 80 procent, 71 procent en 55 procent. Hoe sneller de warmtebeelden worden gemaakt hoe hoger de nauwkeurigheid. Volgens de onderzoekers zijn warmtebeeldcamera's tegenwoordig voor minder dan tweehonderd euro te vinden en wordt ook machine learning steeds toegankelijker. De onderzoekers doen verschillende aanbevelingen om aanvallen zoals die met hun systeem te voorkomen, waaronder een verbod op de verkoop van warmtebeeldcamera's zonder specifieke software om de bovenbeschreven aanval tegen te gaan. Eindgebruikers kunnen zichzelf beschermen door lange passphrases te gebruiken. Dit zijn wachtwoorden die uit meerdere woorden bestaan. Passphrases maken het lastiger om een nauwkeurig beeld te krijgen. Daarnaast produceren backlit-keyboards meer warmte, wat het ook lastiger maakt om de toetsaanslagen nauwkeurig af te lezen. bron: https://www.security.nl

Netwerkbeveiliger Fortinet waarschuwt organisaties en bedrijven voor actief misbruik van een kritieke kwetsbaarheid in FortiOS, FortiProxy en FortiSwitchManager en adviseert om netwerkapparaten op de aanwezigheid van aanvallers te controleren. Via het beveiligingslek, aangeduid als CVE-2022-40684, kan een ongeauthenticeerde aanvaller toegang tot de beheerdersinterface krijgen en daar allerlei acties uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Via de kwetsbaarheid kan een aanvaller deze apparaten compromitteren, wat grote gevolgen voor organisaties kan hebben. Een aantal dagen geleden bracht Fortinet een beveiligingsupdate uit voor het probleem. Vanwege het feit dat een aanvaller op afstand misbruik van het lek kan maken en er geen inloggegevens zijn vereist verzocht Fortinet klanten om de beveiligingsupdate meteen te installeren. In een gisteren gepubliceerd beveiligingsbulletin stelt Fortinet dat aanvallers nu actief misbruik van het beveiligingslek maken. Organisaties worden dan ook opgeroepen om aan de hand van loggegevens te controleren of hun netwerkapparaten niet zijn gecompromitteerd. Naast het installeren van de patch stelt Fortinet dat het uitschakelen van de HTTP/HTTPS admin-interface als workaround kan worden toegepast. bron: https://www.security.nl

Organisaties die zichzelf willen beschermen tegen twee actief aangevallen zerodaylekken in Exchange Server en de tijdelijke mitigatiemaatregel van Microsoft hebben doorgevoerd moeten die opnieuw aanpassen, zo laat het techbedrijf weten. Een beveiligingsupdate is nog altijd niet beschikbaar gemaakt en zal naar verwachting morgenavond verschijnen. Eind september waarschuwde Microsoft voor twee kwetsbaarheden waar aanvallers actief misbruik van maken om Exchange-servers te compromitteren en waarvoor nog altijd geen beveiligingsupdates beschikbaar zijn. De aanvallen zouden voor zover bekend al sinds augustus plaatsvinden. Microsoft kwam echter met tijdelijke mitigerende maatregelen, waaronder een URL-rewrite om bepaalde patronen in requests te detecteren en blokkeren. Hierdoor zouden de nu waargenomen aanvallen niet meer moeten werken. De URL-rewrite van Microsoft bleek echter eenvoudig te omzeilen, zo ontdekte een beveiligingsonderzoeker. Slechts het aanpassen van één karakter was voldoende. Microsoft kwam op 4 oktober met een aangepaste URL-rewrite. Op 7 oktober werd deze aangepaste URL-rewrite zelf aangepast, gevolgd door een nieuwe correctie op 8 oktober. Microsoft roept organisaties op om de laatste URL-rewrite te gebruiken. Een beveiligingsupdate is nog altijd niet door Microsoft beschikbaar gemaakt. De softwarefabrikant kan bij actief aangevallen kwetsbaarheden overgegaan tot een "out-of-band" update, waarbij de patch buiten de vaste patchdinsdag beschikbaar wordt gemaakt. Aangezien een dergelijke patch nog altijd niet is verschenen zal de betreffende update voor de twee Exchange-zerodaylekken zeer waarschijnlijk tijdens de patchdinsdag van oktober verschijnen, waarvan de patches vanaf morgenavond om 19.00 uur beschikbaar zijn. bron: https://www.security.nl

Mozilla heeft een update voor Firefox uitgebracht nadat Avast en AVG de browser als ransomware beschouwden en lieten crashen. Duizenden Firefox-gebruikers dachten echter dat het probleem bij de browser lag, zo laat Mozillas Gabriele Svelto weten. Twee dagen geleden zag Mozilla opeens een piek in het aantal crashes bij gebruikers. Verder onderzoek wees uit dat de antivirussoftware dacht dat een onderdeel van Firefox ransomware was. Mozilla kwam daarop met een oplossing en heeft die via Firefox 105.0.3 onder gebruikers uitgerold. De browserontwikkelaar heeft echter felle kritiek op Avast en AVG. "Avast denkt dat de Mercurial executable die we met Mozillas tooling voor Windows meeleveren ransomware is. In het geval je zou willen weten hoe slecht Avast is", stelt Svelto. Hij krijgt bijval van Ben Hearsum, staff engineer bij Mozilla. "Avast is één van de antivirusleveranciers die ook graag met Firefox-updates speelt. Op een gegeven moment herschreven ze update requests op zo'n manier, dat gebruikers geen updates meer kregen." Ook Thunderbird waarschuwt gebruikers voor de invloed die antivirussoftware van Avast, AVG en McAfee op updates kan hebben. Svelto adviseert Firefox-gebruikers om Avast te verwijderen en van Windows Defender gebruik te maken, dat standaard in Windows zit ingebouwd en volgens hem voldoende bescherming biedt en minder snel voor problemen zal zorgen. De nieuwste Firefox-update is beschikbaar via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Aanvallers maken actief misbruik van een zerodaylek in Zimbra Collaboration Suite om mailservers over te nemen. Een beveiligingsupdate is nog niet beschikbaar, een workaround wel. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Zimbra-mailservers zijn geregeld het doelwit van aanvallen, zo kwam de Amerikaanse overheid in augustus nog met een waarschuwing om de software up-to-date te houden. Zimbra maakt gebruik van antivirussoftware Amavis om archiefbestanden om malware te scannen. Het nu aangevallen probleem doet zich voor bij Zimbra-mailservers die archiveringstool cpio gebruiken voor het controleren van de inhoud van archiefbestanden. Door het versturen van een speciaal geprepareerd archiefbestand dat door cpio wordt uitgepakt kan een aanvaller naar elk pad op het filesystem schrijven waar de Zimbra-gebruiker toegang toe heeft. Op deze manier is het mogelijk om een webshell te installeren en zo willekeurige code op de mailserver uit te voeren. Dat het gebruik van cpio een beveiligingsrisico kan zijn, is al sinds 2015 bekend. Vorige maand kwam Zimbra zelf met een waarschuwing en advies om cpio te vervangen door archiveringstool pax. Pax is standaard geïnstalleerd op Ubuntu. Ubnuntu-gebaseerde installaties van Zimbra zijn dan ook niet kwetsbaar. Dat is wel het geval bij Zimbra-installaties gebaseerd op Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 en CentOS 8, zo meldt securitybedrijf Rapid7. Volgens het securitybedrijf is de overstap naar pax de beste optie, aangezien cpio niet veilig is te gebruiken omdat verschillende besturingssystemen een beveiligingsupdate voor het probleem met de archiveringstool hebben verwijderd. Zimbra heeft aangegeven dat het van plan is om de afhankelijkheid van cpio te verwijderen en pax de standaard te gaan maken. bron: https://www.security.nl

I

Microsoft heeft de Smartscreen-library die Edge gebruikt voor het detecteren van phishingsites en malafide bestanden naar eigen zeggen volledig vernieuwd, waardoor gebruikers van de browser nu beter beschermd zouden moeten worden. De library is volgens Microsoft volledig herschreven en maakt gebruik van nieuwe "phishingsensoren" en meer "threat intelligence" signalen om malafide sites te detecteren. De nieuwe Smartscreen-library zou gebruikers vanaf Edge 103 ook sneller tegen nieuwe dreigingen moeten beschermen. Voor bedrijven die met de nieuwe Smartscreen-library tegen compatibiliteitsproblemen aanlopen is de legacy versie van Defender Smartscreen nog beschikbaar. Hiervoor heeft Microsoft een tijdelijke policy toegevoegd die tot de komst van Microsoft Edge versie 108 is te gebruiken. bron: https://www.security.nl

Communicatieplatform Matrix heeft updates uitgebracht voor twee kritieke kwetsbaarheden in de implementatie van end-to-end encryptie in de software development kits (SDK's) van chatapps zoals Element, Beeper, Cinny, SchildiChat, Circuli en Synod.im. Gebruikers van deze chatapps worden opgeroepen om de beschikbaar gemaakte beveiligingsupdates te installeren en daarna pas de verificatie met nieuwe apparaten uit te voeren. Matrix is een protocol en platform dat versleutelde communicatie biedt. Onderzoekers van de University of London, University of Sheffield en Brave Software besloten de software te onderzoeken en ontdekten naar eigen zeggen verschillende praktisch te misbruiken cryptografische kwetsbaarheden in de end-to-end encryptie van Matrix. Het gaat hierbij niet om beveiligingslekken in het protocol zelf, maar in de implementatie daarvan. Via de kritieke beveiligingslekken zijn verschillende aanvallen uit te voeren. Misbruik van de kritieke kwetsbaarheden is echter alleen mogelijk via een malafide homeserver waarmee gebruikers verbinding maken. In het eerste aanvalsscenario kan een malafide homeserver gebruikers toevoegen aan end-to-end versleutelde chatrooms. Zodra de gebruiker is toegevoegd kan de homeserver alle toekomstige berichten die naar de chatroom worden verstuurd ontsleutelen. Bij het tweede aanvalsscenario kan een malafide homeserver een apparaat waar het de controle over heeft aan het account van een andere, af te luisteren gebruiker in de chatroom toevoegen. Alle gebruikers in de chatroom zullen zien dat dit een 'ongeverifieerd' apparaat is. Bestaande apparaten zullen hun inkomende sessies met dit nieuwe apparaat delen, wat decryptie van toekomstige berichten die naar de chatroom worden verstuurd mogelijk maakt. Een derde aanval maakt het mogelijk voor de beheerder van een malafide homeserver om een malafide key back-up aan het account van gebruikers toe te voegen om zo keys van deze gebruikers te stelen. Matrix stelt dat het niet met aanvallen bekend is die misbruik van de genoemde kwetsbaarheden maken, maar adviseert gebruikers om de instellingen van hun key back-ups te controleren. Wie zich zorgen maakt kan zijn online key back-up resetten. Matrix maakt verder excuses aan de community voor het ongemak en de verstoring die de kwetsbaarheden veroorzaakten. bron: https://www.security.nl

Microsoft waarschuwt organisaties en bedrijven voor twee actief aangevallen zerodaylekken in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller code op kwetsbare systemen kan uitvoeren. Een beveiligingsupdate is nog niet beschikbaar. Organisaties kunnen echter mitigerende maatregelen nemen om hun Exchange-servers te beschermen. De eerste kwetsbaarheid (CVE-2022-41040) is een Server-Side Request Forgery (SSRF) kwetsbaarheid. Hiermee kan een aanvaller de functionaliteit van een server misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. De tweede kwetsbaarheid (CVE-2022-41082) maakte remote code execution (RCE) mogelijk wanneer PowerShell voor de aanvaller toegankelijk is. Bij de waargenomen aanvallen werd eerst CVE-2022-41040 gebruikt om vervolgens via CVE-2022-41082 code op de Exchange-server uit te voeren. Om beide kwetsbaarheden te kunnen misbruiken moet een aanvaller geauthenticeerde toegang tot de Exchange-server hebben, bijvoorbeeld via een gecompromitteerd e-mailaccount. Zodra aanvallers een Exchange-server hebben gecompromitteerd installeren ze een webshell om toegang te behouden en verdere aanvallen uit te voeren, zo meldt securitybedrijf GTSC dat de zerodays ontdekte. Volgens beveiligingsonderzoeker Kevin Beaumont is een groot aantal Exchange-servers via de kwetsbaarheden van een backdoor voorzien. Aangezien beveiligingsupdates nog niet beschikbaar zijn adviseert Microsoft het instellen van bepaalde URL-rewrites, waarmee de huidige aanvallen zijn te voorkomen. Verder kan ook het blokkeren van bepaalde poorten gebruikt voor remote PowerShell de aanvallen beperken, aldus het techbedrijf. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.8 en 6.3. bron: https://www.security.nl

Switches en andere netwerkapparatuur van Cisco zijn door middel van een reeks denial of service (dos)-kwetsbaarheden op afstand plat te leggen. De netwerkgigant bracht gisteren beveiligingsupdates uit voor 22 beveiligingslekken in een groot aantal producten. Tien van de kwetsbaarheden maken een denial of service mogelijk en zorgen ervoor dat aanvallers op afstand de kwetsbare apparatuur kunnen laten herstarten. De impact van meerdere van deze kwetsbaarheden (CVE-2022-20870, CVE-2022-20856, CVE-2022-20848, CVE-2022-20847 en CVE-2022-20919) is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. De problemen zijn aanwezig in onder andere de Catalyst 3650, 3850, 9100, 9300, 9400, 9500, 9600 en 9800, alsmede Cisco-apparatuur die IOS of IOS XE draait en het CIP-protocol ingeschakeld heeft staan. Door het versturen van een speciaal geprepareerd pakket is het mogelijk om de apparaten te laten herstarten. Voor zover bekend wordt er geen misbruik van de kwetsbaarheden gemaakt, zo laat Cisco verder weten. bron: https://www.security.nl

De Brave-browser krijgt een nieuwe optie waarmee gebruikers standaard de cookiebanners kunnen blokkeren waarmee websites aan bezoekers toestemming vragen voor het plaatsen van cookies. Op dit moment moeten gebruikers vaak nog een extensie installeren om dergelijke pop-ups niet meer te zien. In de huidige Nightly-versie van Brave en versie 1.45 die later deze maand verschijnt krijgen gebruikers de vraag of ze cookiebanners willen blokkeren. Zodra dit het geval is zal de browser een aantal regels downloaden om de cookiebanners te blokkeren en verbergen. Eenmaal actief zal Brave ook de weergave van websites aanpassen, om bijvoorbeeld overlays en andere elementen te verwijderen die onderdeel van de cookiebanners zijn. "Deze aanpak biedt de beste privacygaranties: er hoeft namelijk niet op het cookietoestemmingssysteem te worden vertrouwd voor het respecteren van je keuze, en zorgt ervoor dat je browser helemaal niet met het toestemmingssysteem hoeft te communiceren", aldus Brave. Een andere aanpak is het automatisch klikken op nee, maar volgens Brave zorgt dit voor een situatie waarbij de browser of extensie herhaaldelijk met de cookiebanner-aanbieder communiceert. Daarnaast blijkt uit onderzoek dat cookietoestemmingssystemen gebruikers nog steeds volgen, ook al weigeren die alle cookies (pdf). De browserontwikkelaar haalt in de aankondiging van de feature ook uit naar Google. Volgens Brave probeert de techgigant aanpassingen door te drukken die het lastiger maken om cookiebanners te blokkeren en ongewenste webcontent te filteren. Daarbij wordt onder andere gewezen naar Googles voorstel voor WebBundles en de veelbesproken Manifest V3-regels voor Chrome-extensies. Eerder kondigde ook Firefox aan dat het cookiebanners binnen de browser gaat blokkeren en werd begin deze maand bekend dat antivirusbedrijf Avast de browser-extensie I don't care about cookies heeft overgenomen, die ook een dergelijke functionaliteit biedt. bron: https://www.security.nl

Google start volgend jaar juni de eerste tests met het uitschakelen van Chrome-extensies bij gebruikers, zoals bijvoorbeeld adblockers. Het gaat dan om extensies die op Manifest V2 zijn gebaseerd. In januari 2024 zullen alle browser-extensies die nog op Manifest V2 zijn gebaseerd uit de Chrome Web Store worden verwijderd. Daarmee is de deadline voor deze extensies met een jaar verlengd. Dat heeft het techbedrijf vandaag bekendgemaakt. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google is druk bezig met de komst van Manifest V3. Eén van de aanpassingen in het nieuwe manifest betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Oorspronkelijk was Google van plan om sinds januari van dit jaar geen nieuwe Manifest V2-extensies in de Chrome Web Store te accepteren en zou Chrome vanaf januari 2023 helemaal geen Manifest V2-extensies meer kunnen draaien. De tijdslijn is nu iets aangepast. Vanaf januari 2023 accepteert de Chrome Web Store geen updates meer voor Manifest V2-extensies. Volgend jaar juni begint Google vervolgens de eerste tests met het uitschakelen van Manifest V2-extensies bij gebruikers. In januari 2024 zullen de nog aanwezige Manifest V2-extensies uit de Web Store worden verwijderd. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgerold die in totaal twintig kwetsbaarheden verhelpt, waaronder in de Developer Tools van de browser. De Chrome DevTools bestaat uit een verzameling van allerlei tools waarmee het mogelijk is om onderdelen van een geopende website of applicaties aan te passen. Het wordt onder andere gebruikt bij de ontwikkeling en debugging van webapplicaties. Het onderdeel van de browser gaat niet goed om met invoer waardoor een aanvaller code binnen de browser kan uitvoeren. Ook bij het verwerken van CSS-code, media en de Survey-feature is dit mogelijk. De impact van vijf van de twintig verholpen beveiligingslekken is beoordeeld met 'high'. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Verdere details over de kwetsbaarheden zijn nog niet door Google openbaar gemaakt. De update naar Chrome 106.0.5249.61 voor Linux en macOS en Chrome 106.0.5249.61/62 voor Windows zal op de meeste systemen automatisch worden geïnstalleerd. In het geval van kwetsbaarheden met een "high" impact kan dit echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Er is nog altijd geen nieuw akkoord voor het uitwisselen van data tussen bedrijven in de Europese Unie en de Verenigde Staten, waardoor ondernemingen de AVG blijven schenden, zo stelt de bekende privacyactivist Max Schrems. Daarnaast zorgt de aankondiging van een mogelijke overeenkomst dat toezichthouders minder streng handhaven, zo laat de activist verder weten. Nadat het Europees Hof van Justitie in 2020 het Privacy Shield-verdrag ongeldig verklaarde zijn er nieuwe afspraken nodig voor het uitwisselen van persoonsgegevens tussen de EU en de VS. Het Hof oordeelde dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet. Amerikaanse inlichtingendiensten kunnen volgens de wet toegang eisen tot data die op Amerikaanse servers staan. Ook kunnen zij data onderscheppen die via onderzeese kabels van de EU naar de VS stromen. Daarnaast is het voor Europeanen ook moeilijk om hier juridische stappen tegen te ondernemen bij een onafhankelijke toezichthouder of rechter. De EU en VS onderhandelen al enige tijd om tot een nieuw "adequaatheidsbesluit" te komen, waarmee de EU erkent dat in een land buiten de EU persoonsgegevens net zo goed beschermd worden als in de EU. De Amerikaanse autoriteiten stellen dat ze "ongekende" maatregelen willen nemen om de persoonlijke data van Europese burgers die naar de VS wordt verstuurd te beschermen. Eerder dit jaar werd er een "principeakkoord" aangekondigd, maar zes maanden later zijn er nog altijd geen concrete afspraken. Daardoor blijven Europese en Amerikaanse bedrijven de wet breken, zo stelt de privacyactivist. Sommige ondernemingen stappen inmiddels over naar providers die niet onder Amerikaanse wetgeving vallen, maar veel blijven de AVG overtreden in de hoop dat een nieuw akkoord de situatie zal oplossen. Sinds de uitspraak van het Europees Hof van Justitie zijn er twee jaar verstreken, maar houden bedrijven zich niet aan de nieuwe realiteit en vindt er ook geen gepaste handhaving plaats, claimt Schrems. Hij wijst ook naar de aankondiging van het principeakkoord als reden dat er nu minder wordt gehandhaafd. De activist verwacht dat ook het nieuwe akkoord aan het Hof zal worden voorgelegd wanneer de privacy niet voldoende gewaarborgd is. bron: https://www.security.nl

Met de komst van nieuwe regels voor browser-extensies hindert Google de werking van adblockers in Chrome, zo stelt Vivaldi, dat zich met de kritiek aansluit bij Mozilla, burgerrechtenbeweging EFF en verschillende adblocker-ontwikkelaars. Vivaldi is net als Chrome op Chromium gebaseerd, de door Google ontwikkelde opensourcebrowser, en beschikt over een ingebouwde adblocker. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Vanaf volgend jaar januari zal versie drie (V3) van het manifest van kracht worden. Eén van de aanpassingen in het nieuwe manifest betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API in Manifest V3 voorgesteld genaamd declarativeNetRequest (DNR). Die zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een adblocker. Voor statische regels hanteert Chrome in Manifest V3 een limiet van 30.000 regels per extensie en een totale limiet van 330.000 regels voor alle geïnstalleerde extensies bij elkaar. In het geval de limiet wordt overschreden zal Chrome ingrijpen en bepaalde regels, waarin staat welke url's van adverteerders en trackers te filteren, aanpassen. In het ergste geval kan zelfs het standaardfilter van een adblocker worden uitgeschakeld omdat het meer dan 30.000 regels bevat. Voor dynamische regels, waarmee de gebruiker zijn eigen regels en filters aan een adblocker kan toevoegen, geldt een limiet van vijfduizend. Wanneer deze limiet wordt overschreden zal de adblocker alleen de eerste vijfduizend regels toepassen en blijft de rest uitgeschakeld. De adblocker in Vivaldi maakt net als andere adblockers gebruik van de webRequest API. De ontwikkelaar van de Vivaldi-adblocker stelt dat er verschillende "architecturale beslissingen" zijn genomen om de adblocker ongeacht de aanpassingen in Manifest V3 functioneel te houden. "Natuurlijk is er altijd een mogelijkheid dat de onderliggende Chromium-architectuur in de toekomst wordt aangepast , wat ons tot extra werkzaamheden dwingt om het te laten werken", zegt ontwikkelaar Julien Picalausa. Vivaldi-gebruikers kunnen ook externe adblockers installeren. Het is volgens Picalausa de vraag hoe effectief die blijven. "Adblockers als extensie zijn vaak afhankelijk van andere API's die die in Manifest V3 worden verwijderd, en waarschijnlijk lastiger zijn terug te brengen, dus er is geen garantie dat het behouden van de blocking versie van webRequest zonder ingrijpen van de extensie-beheerders voldoende zal zijn." De Vivaldi-ontwikkelaar merkt op dat de overstap naar Manifest V3 het lastiger zal maken om adblockers en privacy-extensies binnen Chrome te draaien. "Hoewel sommige gebruikers geen verschil zullen merken, zullen gebruikers met meerdere extensies of die custom filterlijsten gebruiken tegen de kunstmatige beperkingen van Google kunnen aanlopen." Mocht Google verdere beperkingen introduceren, zegt Picalausa dat Vivaldi zal kijken om die te verwijderen. bron: https://www.security.nl

Beste Bogeydope, Mijn advies is precies gelijk aan die van Passer. Met de standaard mogelijkheden en gezond gebruik, zit je prima. ook ik maakte vroege gebruik van een aparte firewall en apart anti virus. Maar gebruik nu al jaren Defender en de standaard firewall naar tevredenheid.