Captain Kirk

Google heeft in Australië een boete van zestig miljoen dollar gekregen omdat het Australische Androidgebruikers misleidde over het verzamelen van locatiegegevens. Van begin 2017 tot eind 2018 kregen gebruikers van een Androidtelefoon te zien dat de instelling "Locatiegeschiedenis" de enige accountinstelling was waarmee kon worden ingesteld of Google persoonlijke informatie over de locatie verzamelde, bewaarde en gebruikte. In werkelijkheid bleek dat Google ook via een andere instelling genaamd "Web & App Activiteit persoonlijke identificeerbare locatiegegevens kon verzamelen. Deze instelling stond standaard ingeschakeld. Volgens de Australische toezichthouder ACCC heeft Google op deze wijze gebruikers misleid en de Australische consumentenwetgeving geschonden. "Persoonlijke locatiegegevens zijn voor sommige consumenten gevoelig en belangrijk, en sommige van de gebruikers zouden mogelijk andere keuzes over het verzamelen, opslaan en gebruiken van hun locatiegegevens hebben gemaakt als Google geen misleidende informatie had gegeven", aldus Gina Cass-Gottlieb van de ACCC. De toezichthouder schat dat 1,3 miljoen Australische Google-gebruikers de misleidende informatie te zien hebben gekregen. "Bedrijven moeten transparanti zijn over de soorten gegevens die ze verzamelen en hoe de data wordt verzameld en gebruikt, zodat consumenten een geinformeerde beslissing kunnen nemen over met wie ze die data delen", laat Cass-Gottlieb verder weten. Google heeft eind 2018 maatregelen genomen waardoor Australische gebruikers de misleidende schermen niet meer te zien krijgen. bron: https://www.security.nl

Het datalek bij Twitter dat vorig maand aan het licht kwam en onlangs door het bedrijf werd bevestigd is veel groter dan in eerste instantie gemeld. Een aanvaller wist niet de gegevens van 5,4 miljoen accounts te stelen zoals eerst werd gemeld, maar van 6,7 miljoen accounts, zo meldt beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned. Het gaat namelijk ook om gegevens van geschorste accounts. De datadiefstal was mogelijk door een kwetsbaarheid in het platform van Twitter en zorgde ervoor dat een aanvaller telefoonnummers en e-mailadressen van Twitter-accounts kon achterhalen, ook al had de gebruiker deze velden via de privacyinstellingen afgeschermd. In een verklaring bevestigde Twitter de datadiefstal en dat hierbij misbruik van een kwetsbaarheid is gemaakt. De bug werd vorig jaar juni in de code van het platform geïntroduceerd en in januari van dit jaar verholpen, nadat Twitter hier via het bugbountyprogramma op was gewezen. In de tussentijd had een aanvaller de kwetsbaarheid echter al gebruikt om gegevens van gebruikers te stelen en die vervolgens op internet te koop aan te bieden. Het gaat om profieltekst, e-mailadressen, geografische locaties, namen, telefoonnummers, profielfoto's en gebruikersnamen van 6,7 miljoen accounts. De gestolen profielinformatie is zowel van actieve als geschorste accounts, waarbij de 1,4 miljoen e-mailadressen van geschorste accounts op een aparte lijst werden aangeboden. De in totaal 6,7 miljoen unieke e-mailadressen van de getroffen Twitter-accounts zijn nu aan Have I Been Pwned toegevoegd. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de 6,7 miljoen e-mailadressen was 99 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Op internet zijn meer dan achtduizend VNC-servers te vinden die zonder authenticatie toegankelijk zijn, waardoor aanvallers eenvoudig van deze systemen misbruik kunnen maken, zo stelt securitybedrijf Cyble op basis van eigen onderzoek. Virtual Network Computing (VNC) is software om op afstand systemen mee te kunnen bedienen. Het kan bijvoorbeeld worden gebruikt voor beheren van een systeem of het helpen van gebruikers. Onderzoekers van Cyble ontdekten meer dan achtduizend servers waarvan de authenticatie is uitgeschakeld, waardoor iedereen eenvoudig toegang tot deze systemen kan krijgen. De meeste van deze systemen bevinden zich in China, Zweden en de Verenigde Staten. Aanvallers scannen ook actief naar VNC-servers op poort 5900 om aan te vallen, zo blijkt uit het cijfers van het Internet Storm Center. Ook cijfers van Cyble laten dit zien, waarbij de meeste aanvallen afkomstig zijn van Nederlandse ip-adressen. Al jaren geleden waarschuwden onderzoekers voor onbeveiligde VNC-servers op internet. Het aantal onbeveiligde VNC-servers dat nu werd gevonden is lager dan in voorgaande jaren het geval was, maar het gaat nog altijd om systemen van organisaties in de vitale infrastructuur, zoals waterzuiveringsinstallaties, fabrieken en onderzoeksinstellingen. De onderzoekers adviseren dan ook om vitale systemen achter een firewall te plaatsen en de toegankelijkheid van VNC-servers vanaf internet te beperken. bron: https://www.security.nl

Meta start deze week onder "sommige" gebruikers standaard end-to-end versleutelde chats, waardoor de inhoud van berichten alleen voor de afzender en ontvanger te lezen is. Daarnaast test het bedrijf ook de mogelijkheid om back-ups van Messenger-chats end-to-end versleuteld op te slaan. Dat heeft het bedrijf zelf aangekondigd. Facebook kwam onlangs onder vuur te liggen omdat het informatie over een 17-jarig meisje in de Verenigde Staten in een abortuszaak met de autoriteiten deelde, waaronder haar privéberichten. Gebruikers van Messenger hebben al de mogelijkheid om end-to-end versleuteld te communiceren, maar moeten dit zelf inschakelen. Bij sommige gebruikers wordt de end-to-end encryptie nu automatisch ingeschakeld. Meta zegt dat standaard end-to-end encryptie volgend jaar voor alle persoonlijke berichten en gesprekken wordt uitgerold. Een ander kritiekpunt was dat Messenger-back-ups niet end-to-end versleuteld werden opgeslagen. Voor Android en iOS wordt de end-to-end versleutelde opslag deze week getest, waarbij gebruikers hun back-up via een zelfgekozen pincode of gegenereerde code kunnen herstellen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om bij een grootschalige aanval meer dan duizend Zimbra-mailservers van een backdoor te voorzien. Dat stelt securitybedrijf Volexity, dat begin vorig jaar ook een grote aanval op Exchange-servers ontdekte. De getroffen Zimbra-mailservers zijn onder andere van overheden, ministeries, legeronderdelen en multinationals. Begin dit jaar kwam Zimbra met een beveiligingsupdate voor een path traversal-kwetsbaarheid (CVE-2022-27925). Via een malafide zip-bestand is het mogelijk om willekeurige bestanden op het systeem te overschrijven. In eerste instantie werd gemeld dat het beveiligingslek alleen is te misbruiken wanneer aanvallers over de inloggegevens van de beheerder beschikken. Volexity ontdekte bij onderzoek naar gecompromitteerde servers dat de kwetsbaarheid echter ook door een ongeauthenticeerde aanvaller is te misbruiken, wat de kans op misbruik vele malen groter maakt. Verder onderzoek wees uit dat aanvallers op grote schaal misbruik maakten van het lek om webshells op kwetsbare servers te installeren. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Volgens Volexity maakten eerst op spionage gerichte aanvallers misbruik van de kwetsbaarheid, maar hebben inmiddels ook andere actoren zich hierop gestort. Zimbra kwam eind juli met een update voor het lek (CVE-2022-37042) dat het mogelijk maakt om de authenticatie te omzeilen. De Zimbra-software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. bron: https://www.security.nl

Organisaties die deze maand hun Microsoft Exchange-servers willen patchen, onder andere vanwege een lek waardoor een aanvaller alle mailboxes kan overnemen, zijn verplicht om Windows Extended Protection in te schakelen. Dat heeft Microsoft aangekondigd. Deze beveiligingsmaatregel moet de bestaande Windows-authenticatie versterken om zo man-in-the-middle-aanvallen te voorkomen. De maatregel is vereist om verschillende kwetsbaarheden in Exchange te verhelpen. Tijdens de patchdinsdag van augustus heeft Microsoft meer beveiligingsbulletins voor Exchange uitgebracht. Een aantal van de kwetsbaarheden in Exchange is alleen te verhelpen door het inschakelen van Windows Extended Protection. Om organisaties bij dit proces te helpen heeft Microsoft een script beschikbaar gesteld. Wel adviseert het softwarebedrijf om eerst alle bekende problemen die in de scriptdocumentatie staan vermeld te bekijken voordat de beveiligingsmaatregel wordt ingeschakeld. bron: https://www.security.nl

In Microsoft Exchange Server zitten drie kritieke kwetsbaarheden waardoor een aanvaller de mailboxes van alle gebruikers op de server kan overnemen. Vervolgens is het mogelijk om e-mails vanuit de mailboxes te versturen of te lezen en bijlagen te downloaden. Microsoft heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. De drie beveiligingslekken (CVE-2022-21980, CVE-2022- 24516 en CVE-2022-24477) vallen in de categorie "Elevation of Privilege" (EoP). Via dergelijke kwetsbaarheden kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. Aangezien een aanvaller bij EoP-lekken geauthenticeerd moet zijn wordt de impact van dergelijke kwetsbaarheden vaak lager ingeschaald dan beveiligingslekken waarmee systemen op afstand zijn over te nemen. Ook in het geval van de drie Exchange-lekken moet een aanvaller zich op de Exchange-server kunnen authenticeren. Toch heeft Microsoft de drie kwetsbaarheden als kritiek beoordeeld. In het verleden is gebleken dat aanvallers bijvoorbeeld door middel van phishing de benodigde inloggegevens van gebruikers kunnen stelen om zich zo bij de server te authenticeren. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.0 en Microsoft verwacht dat aanvallers er zeer waarschijnlijk misbruik van zullen maken bij aanvallen op organisaties. bron: https://www.security.nl

Tijdens de patchdinsdag van augustus heeft Microsoft opnieuw een zerodaylek in de Windows Support Diagnostic Tool ((MSDT) verholpen. Al voor het uitkomen van de beveiligingsupdate werd er misbruik gemaakt van de kwetsbaarheid, aangeduid als CVE-2022-34713. Eerder dit jaar maakten aanvallers ook al gebruik van een zerodaylek in MSDT voor het uitvoeren van aanvallen. Die kwetsbaarheid (CVE-2022-30190) werd op 14 juni gepatcht. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. De kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige code op systemen uit te voeren door MSDT via een url-protocol aan te roepen. Dit is bijvoorbeeld mogelijk vanuit een applicatie zoals Word, waarbij alleen het openen van een malafide document volstaat. Eenmaal geopend kan een aanvaller vanuit het malafide document de diagnostische tool op het systeem van de gebruiker aanroepen en zo willekeurige code uitvoeren met de rechten van de ingelogde gebruiker. Een gebruiker zou nog wel eerst moeten worden verleid om bijvoorbeeld een speciaal geprepareerd Word-document te openen. Het is op dit moment nog onduidelijk of de kwetsbaarheid het gevolg is van een onvolledige patch die Microsoft in juni uitrolde of dat het om een geheel nieuw probleem gaat. Organisaties en gebruikers worden opgeroepen om de update zo snel mogelijk te installeren. Op de meeste systemen zal dit automatisch gebeuren. bron: https://www.security.nl

Computers met Windows 11 of Server 2022 die van nieuwere processors gebruikmaken lopen risico op dataschade, zo waarschuwt Microsoft. Het gaat dan specifiek om Windowscomputers die de nieuwste Vector Advanced Encryption Standard (AES) (VAES) instructieset ondersteunen. Bij het gebruik van AES-XTS en AES-GCM, algoritmes, die worden gebruikt voor het versleutelen van opgeslagen data, kan zich "dataschade" voordoen. Om verdere dataschade te voorkomen bracht Microsoft in mei en begin juni updates uit. Het installeren van deze updates kan er echter voor zorgen dat systemen voor een periode van bijna een maand trager werken, aldus de uitleg van het techbedrijf. De verminderde prestaties zijn merkbaar bij het gebruik van encryptiesoftware BitLocker, TLS en diskdoorvoer. AES-gebaseerde operaties kunnen na de installatie van de updates twee keer langzamer zijn. Microsoft stelt dat de prestaties met de preview release van 23 juni en security release van 12 juli worden hersteld. Microsoft geeft geen lijst met processors die risico lopen, maar de VAES-instructieset is sinds de tiende generatie (Ice Lake) in Intel Core-processors aanwezig. Bij AMD wordt VAES sinds de Zen 3-gebaseerde Ryzen 5000-series ondersteund. bron: https://www.security.nl

Botnetbestrijder Abuse.ch heeft een partnerschap met Spamhaus Technology gesloten om zo te kunnen blijven voortbestaan. Abuse.ch is een platform dat zich met de bestrijding van botnets en malware bezighoudt. Het platform werd vijftien jaar geleden gestart door de Zwitserse beveiligingsonderzoeker Roman Hüssy. Abuse.ch werd mede vanwege de trackers van de Zeus- en SpyEye-botnets bekend. Informatie van het platform wordt door allerlei bedrijven, onderzoekers, Security Operations Centers, Computer Security Incident Response Teams en Computer Emergency Response Teams gebruikt om netwerken en systemen te beschermen. Inmiddels bestaat Abuse.ch uit vijftig servers en tweehonderd sandboxes. Elke maand genereert het platform honderddertig terabyte aan netwerkverkeer en verwerkt twee miljoen api-verzoeken per dag. Toch is het nog altijd een eenmansoperatie. Verschillende keren wist Hüssy een sponsor te vinden, maar volgens de Zwitser kan hij het project niet meer alleen in zijn vrije tijd doen. Hüssy zocht een licentiehouder en heeft die gevonden in Spamhaus Technology, dat zich bezighoudt met de bestrijding van spam. Spamhaus zal de infrastructuur van Abuse.ch versterken en de data van het platform voor grote organisaties in de vorm van een abonnement gaan aanbieden. Voor kleine organisaties zal de data van Abuse.ch gratis blijven. bron: https://www.security.nl

Cloudcommunicatieplatform Twilio waarschuwt klanten dat een aanvaller toegang tot hun gegevens heeft gekregen nadat personeel in een phishingbericht trapte. Het malafide bericht werd via sms naar zowel huidige als voormalige medewerkers van Twilio gestuurd en leek van de it-afdeling afkomstig, zo laat het bedrijf in een blogposting weten. Ontvangers werd gevraagd om via de meegestuurde link hun wachtwoord te wijzigen. De link wees naar een phishingsite die op de inlogpagina van Twilio leek. Meerdere werknemers trapten in de phishingaanval en vulden hun inloggegevens op de phishingsite in. Twilio noemt geen exact aantal. Met de ingevulde inloggegevens kreeg de aanvaller toegang tot interne systemen van het bedrijf en kon zo gegevens van klanten opvragen. Hoeveel klanten slachtoffer van het datalek zijn geworden laat Twilio niet weten. Ook meldt het bedrijf niet tot wat voor soort klantgegevens er toegang is verkregen en wat de gevolgen hiervan zijn. Twilio zegt dat het personeel een verplichte awarenesstraining over social engineering laat volgen. Verder wordt er gekeken naar technische maatregelen. Twilio biedt een platform voor telefonie, het versturen en ontvangen sms-berichten en andere communicatiefuncties. Het bedrijf telt 256.000 actieve klanten en had vorig jaar een omzet van 2,84 miljard dollar. bron: https://www.security.nl

Microsoft heeft de eigen Edge-browser van een update voorzien die ervoor zorgt dat gebruikers bij het bezoeken van minder populaire websites extra worden beschermd. Dat laat het techbedrijf in een nieuw supportdocument weten. Voorwaarde is wel dat de "Enhance your security on the web" optie is ingeschakeld. Edge biedt gebruikers via de "Enhance your security on the web" optie de mogelijkheid om extra beveiligingsmaatregelen binnen de browser in te schakelen. Het gaat dan om mitigaties voor het voorkomen van geheugen-gerelateerde kwetsbaarheden. Zo wordt just-in-time (JIT) JavaScript compilatie uitgeschakeld en aanvullende beveiligingsmaatregelen die het besturingssysteem biedt in de browser ingeschakeld, waaronder Hardware-enforced Stack Protection en Arbitrary Code Guard (ACG). De beveiligingsfeature staat standaard uitgeschakeld, maar biedt wanneer door de gebruiker ingeschakeld drie opties: basic, balanced en strict. Bij strict worden de extra beveiligingsmaatregelen op alle websites toegepast, terwijl dit bij balanced alleen geldt voor sites die gebruiker weinig bezoekt. Bij het basic-niveau wordt de bescherming voortaan op minder populaire websites toegepast. Hierbij wordt niet gekeken naar het gedrag van de gebruiker, maar gaat het om websites die volgens Microsoft in het algemeen "minder bezocht" zijn. De feature staat ingeschakeld vanaf Edge 104.0.1293.47. bron: https://www.security.nl

Tientallen organisaties zijn het slachtoffer van een aanval geworden waarbij aanvallers wisten binnen te dringen omdat een beveiligingsupdate voor een vijf jaar oude kwetsbaarheid in Microsoft Office niet was geïnstalleerd en gebruikers een malafide document openden, zo stelt antivirusbedrijf Kaspersky. De aanvallen waren gericht tegen fabrieken, defensiebedrijven, ontwerpbureaus, onderzoeksinstellingen, overheidsinstanties en ministeries in Belarus, Oekraïne en Rusland. Volgens Kaspersky wisten de aanvallers bij tientallen bedrijven binnen te dringen en van een aantal de compelte it-infrastructuur over te nemen. De aanvallers maakten gebruik van spearphishingmails, voorzien van niet-publieke informatie over de aangevallen organisatie. Dit houdt in dat de aanvallers mogelijk bij eerdere aanvallen informatie hebben bemachtigd. De spearphishingmails waren voorzien van een document met een exploit voor een vijf jaar oude kwetsbaarheid in Microsoft Office. Zodra gebruikers met een kwetsbare Office-installatie het document openden konden de aanvallers malware op het systeem installeren. Vervolgens werd geprobeerd om zich lateraal door het netwerk te bewegen en domaincontroller te worden. Voor het beveiligingslek in Office (CVE-2017-11882) is sinds 14 november 2017 een update beschikbaar. Waarom organisaties de update niet hadden geinstalleerd is niet bekend. Volgens Kaspersky zijn de aanvallen zeer waarschijnlijk door een Chineestalige spionagegroep uitgevoerd. De virusbestrijder adviseert organisaties onder andere om personeel te trainen, met name op het herkennen van phishingmails en veilig omgaan met Microsoft Office. bron: https://www.security.nl

Ik sluit mij bij Passer aan. Gebruik al jaren op meerdere systemen Windows Defender naar goede tevredenheid

Ik neem aan dat je probleem is opgelost. Moest in mijn vakantie nog wel even aan dit topic denken. Na updates "stroomde" mijn CAT-gsm ook sneller leeg dan normaal. Heb toen ook aantal aps uitgezet. Na diverse updates van aantal apps lijkt het probleem te zijn opgelost. Nogmaals; aangezien je al een tijdje niet gereageerd hebt, neem ik aan dat het probleem is opgelost en sluit ik het topic. Wil je toch nog reageren of over dit probleem een vraag hebben, stuur dan even een PM.

DuckDuckGo gaat binnenkort ook trackingscripts van Microsoft in de eigen browser en extensie blokkeren zo is vandaag bekendgemaakt. DuckDuckGo kwam onlangs onder vuur te liggen omdat het third-party scripts van Microsoft op websites niet blokkeert. Het gaat hierbij om trackingscripts die websites zelfs plaatsen. De op privacygerichte zoekmachine biedt ook een eigen browser en extensie die trackingscripts van bijvoorbeeld Facebook en Google blokkeren. Scripts van Microsoft werden echter doorgelaten. Dit zorgde voor de nodige kritiek. DuckDuckGo-oprichter Gabriel Weinberg liet op Twitter weten dat DuckDuckGo vanwege een overeenkomst met Microsoft de scripts van het techbedrijf niet mocht blokkeren. De overeenkomst met Microsoft betreft het gebruik van Bing als bron voor de DuckDuckGo-zoekmachine. Weinberg stelt dat DuckDuckGo een dergelijke afspraak niet met andere bedrijven heeft en de trackingscripts van Microsoft komende week binnen de extensies en browser worden geblokkeerd. Daarnaast is er een aparte pagina die uitlegt hoe trackingscripts binnen DuckDuckGo worden geblokkeerd. bron: https://www.security.nl

NAS-fabrikant QNAP is onder vuur van een Amerikaans securitybedrijf komen te liggen omdat het nauwelijks informatie over verholpen kwetsbaarheden deelt, wat klanten minder veilig zou maken. Begin april van dit jaar liet het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten dat er actief misbruik werd gemaakt van een kwetsbaarheid (CVE-2020-2509) in het QTS-besturingssysteem van QNAP. Via het beveiligingslek is remote code execution mogelijk en kan een aanvaller willekeurige code op kwetsbare NAS-apparaten uitvoeren. Het probleem werd in november 2020 voor nieuwere NAS-modellen en in april 2021 in oudere NAS-modellen door QNAP verholpen. Volgens QNAP gaat het om een kritieke kwetsbaarheid, maar verdere details werden niet gegeven. Eind april van dit jaar kwamen het CISA en de FBI met een lijst van vaak aangevallen kwetsbaarheden in 2021, waarop ook de QNAP-kwetsbaarheid werd genoemd. Er is echter geen publieke exploit voor dit beveiligingslek bekend en geen enkele andere organisatie heeft misbruik van de kwetsbaarheid gemeld, aldus securitybedrijf Rapid7. Dat besloot vervolgens onderzoek naar CVE-2020-2509 te doen en ontdekte daarbij naar eigen zeggen een geheel nieuwe kwetsbaarheid. Of dit ook daadwerkelijk zo is, is onbekend. De kwetsbaarheid die Rapid7-onderzoeker Jake Baines ontdekte maakt misbruik van de mogelijkheid voor een aanvaller om QNAP-apparaten naar updates te laten zoeken, waarbij er vervolgens met een malafide updateserver van de aanvaller verbinding wordt gemaakt. Dit is mogelijk omdat oudere versies van het QTS-besturingssysteem dat op de NAS-apparaten draait via http verbinding maakt met update.qnap.com. Via een man-in-the-middle-aanval of dns-hijacking kan een aanvaller het verzoek onderscheppen en naar zijn eigen server doorsturen. Vervolgens kan hij het NAS-apparaat een malafide XML-bestand laten downloaden waarmee command injection mogelijk is, waardoor een aanvaller zijn commando's op het NAS-apparaat kan uitvoeren. Rapid7 waarschuwde QNAP, dat vervolgens naar het beveiligingsbulletin voor CVE-2020-2509 wees. De kwetsbaarheid die Baines ontdekte is met deze update verholpen, maar de onderzoeker denkt toch dat het om een ander probleem gaat. Door een gebrek aan informatie aan de kant van QNAP kan dit echter niet worden bevestigd. "QNAP is het aan klanten en de beveiligingsindustrie verplicht om uitgebreide informatie te verstrekken. Leveranciers die verantwoordelijk zijn voor de veiligheid van hun producten, zijn ook verantwoordelijk voor het informeren van de community over de ernst van kwetsbaarheden in die producten. Wanneer ze dit niet doen, bijvoorbeeld door bulletins niet van basale informatie te voorzien zoals CVSS-scores, onthouden ze gebruikers volledige autonomie over de keuzes die ze maken over de risico's voor hun netwerken. Dit maakt ons allemaal minder veilig", aldus Baines. bron: https://www.security.nl

De populairste malware-exemplaren waar criminelen gebruik van maken zijn ontwikkeld om wachtwoorden en andere informatie te stelen en zijn vaak al jaren oud, zo claimen de Amerikaanse en Australische autoriteiten in een overzicht van de elf meestgebruikte malware-exemplaren van 2021. Volgens het Australische Cyber Security Centre (ACSC) en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) zijn Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot en GootLoader vorig jaar het vaakst bij aanvallen ingezet. De meeste van deze exemplaren zijn al vele jaren oud. Zo zijn Ursnif en Qakbot volgens beide overheidsdiensten al sinds 2007 actief. De ontwikkelaars van de malware blijven echter bezig en voegen steeds nieuwe features en aanpassingen door, om zo onder andere detectie door antivirussoftware te voorkomen. Het grootste deel van de malware-exemplaren die het ACSC en CISA noemen zijn ontwikkeld om inloggegevens en vertrouwelijke informatie te stelen. Verschillende exemplaren, zoals Trickbot, Qakbot en GootLoader, kunnen ook aanvullende malware installeren. Zo wordt TrickBot verantwoordelijk gehouden voor tal van grote ransomware-aanvallen. De criminelen achter de Conti-ransomware maken vaak gebruik van toegang die via TrickBot is verkregen om hun ransomware uit te rollen. Volgens de overheidsdiensten werden in de eerste helft van 2021 zo'n 450 organisaties wereldwijd het slachtoffer van aanvallen met de Conti-ransomware. Naast een overzicht van de elf populairste malware-exemplaren en Snort-signatures om ze te detecteren, geven het ACSC en CISA ook adviezen om infecties te voorkomen. Het gaat dan om zaken als het installeren van beveiligingsupdates, het gebruik van multifactorauthenticatie, het monitoren en beveiligen van RDP, maken van offline back-ups en het trainen van personeel. bron: https://www.security.nl

De Amerikaanse autoriteiten waarschuwen voor een actief aangevallen kwetsbaarheid in de Zimbra-mailserversoftware waardoor een ongeauthenticeerde aanvaller op afstand plain text inloggegevens van e-mailaccounts kan stelen zonder enige interactie van gebruikers. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Een kwetsbaarheid in de mailserversoftware, aangeduid als CVE-2022-27924, maakt het mogelijk om waardes in de cache aan te passen. Hiervoor hoeft een aanvaller alleen een speciaal geprepareerd http-request naar de server te sturen. Zo is de opgeslagen route naar bijvoorbeeld de IMAP-server te veranderen in een server van de aanvallers. Wanneer een gebruiker vervolgens inlogt zullen zijn inloggegevens naar de malafide opgegeven server worden doorgestuurd, zonder dat een gebruiker dit doorheeft. Daarbij hoeft een aanvaller niet eens het e-mailadres van een doelwit te weten. De aanval werkt niet tegen gebruikers die alleen van de Zimbra-webmailclient gebruikmaken. Doelwitten moeten via het IMAP- of POP-protocol inloggen. Zimbra werd op 11 maart van dit jaar over de kwetsbaarheid ingelicht en heeft inmiddels beveiligingsupdates uitgebracht om het probleem te verhelpen. De Shadowserver Foundation waarschuwde in juni dat het 30.000 mogelijk kwetsbare Zimbra-installaties op internet had gevonden, waarvan ruim driehonderd in Nederland. Gisterenavond maakte het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bekend dat aanvallers actief misbruik maken van het lek en roept federale overheidsinstanties op om de update voor 25 augustus te installeren. bron: https://www.security.nl

Wereldwijd zijn duizenden GlobalProtect vpn-servers van Palo Alto Networks kwetsbaar voor aanvallen doordat organisaties de standaard master key niet hebben gewijzigd. De master key wordt gebruikt voor het versleutelen van onder andere private keys en wachtwoorden in het configuratiebestand. Het kan echter ook toegang tot de server geven. Palo Alto Networks adviseert organisaties om bij de installatie een nieuwe master key te configureren. "Dit zorgt ervoor dat een aanvaller geen toegang tot al je apparaten heeft in het geval hij de master key van één apparaat achterhaalt", aldus een blogposting op de website van Palo Alto. De standaard master key die Palo Alto gebruikt is al jaren bekend. Een beveiligingsonderzoeker met het alias "rqu" schreef onlangs een tool en ontdekte dat nagenoeg alle organisaties de master key van hun GlobalProtect vpn-servers niet hebben gewijzigd. Wanneer de key bij een aanvaller bekend is kan die commando's met rootrechten uitvoeren, zo waarschuwt beveiligingsonderzoeker Kevin Beaumont op Twitter. Vorig jaar kwam Palo Alto met een beveiligingsupdate die moet voorkomen dat een aanvaller die de master key kent willekeurige code met rootrechten op servers kan uitvoeren. Beaumont stelt dat veel organisaties deze update niet hebben geïnstalleerd. Daarnaast merkt de onderzoeker op dat veel organisaties de master key waarschijnlijk bewust niet wijzigen. Wanneer een nieuwe master key is ingesteld zal die na een bepaalde tijd verlopen. Beheerders moeten voor het verstrijken een nieuwe key hebben geconfigureerd, anders zal de firewall waarop GlobalProtect draait naar de onderhoudsmodus rebooten, wat beheerders geen andere optie laat dan het uitvoeren van een fabrieksreset. Een situatie die zich met de standaard ingestelde key niet voordoet. Vanwege het risico op misbruik wordt organisaties aangeraden de master key toch te wijzigen. bron: https://www.security.nl

Aanvallers die slachtoffers via social engineering met malware proberen te infecteren maken hierbij vaak gebruik van pictogrammen van Adobe Acrobat en Skype, zo stelt VirusTotal op basis van eigen onderzoek. VirusTotal is de online virusscandienst van Google waarmee verdachte bestanden door tientallen virusscanners zijn te controleren. Volgens VirusTotal is er een geleidelijke toename van de hoeveelheid malware die op visuele wijze legitieme applicaties nabootst, waarbij Skype en Adobe Acrobat het vaakst worden gebruikt. Voor het onderzoek keek VirusTotal naar geüploade malware-exemplaren en van welke pictogrammen ze gebruik maken. Naast Adobe Acrobat en Skype zijn ook VLC en 7-Zip erg geliefd bij aanvallers. VirusTotal keek ook naar het totaal aantal geüploade bestanden met een bepaald pictogram en welk percentage daarvan malware was. Dan wordt de lijst wederom aangevoerd door Adobe Acrobat en Skype, gevolgd door 7-Zip, CCleaner en Steam. De online virusscandienst stelt dat het belangrijk is om te weten welke technieken malware toepast om er iets aan te kunnen doen (pdf). bron: https://www.security.nl

Het aantal aangiften van internetfraude, phishing, ransomware en andere vormen van cybercrime in België is vorig jaar verder gestegen, zo laat de Belgische federale politie vandaag weten. Er kwamen in 2021 ruim 47.000 aangiften van "informaticacriminaliteit" binnen, een stijging van zeven procent ten opzichte van 2020. Het gaat dan om zaken als het inbreken op systemen, datadiefstal en aanvallen met ransomware. Ook phishing blijft nog altijd een probleem in België. Vorig jaar deden ruim 8300 slachtoffers aangifte. Een stijging van bijna elf procent ten opzichte van 2020. Verder werden er 152 gevallen van ransomware geregistreerd, terwijl dat er een jaar eerder nog 124 waren. In 2017, 2018 en 2019 werd er echter vaker aangifte van ransomware gedaan. "Een steevaste stijger in de criminaliteitsstatistieken is al jaren de cybercriminaliteit. Naarmate onze samenleving meer en meer gebruik maakt van het internet en van technologie, doen ook criminelen hier steeds vaker een beroep op. Dat was in 2021 niet anders", aldus de Belgische politie. De stijging was vorig jaar wel minder groot dan in de jaren daarvoor. Naast misdrijven die onder de categorie cybercrime vallen zijn er ook andere, ‘klassieke’ misdrijven die in toenemende mate via internet gepleegd worden. Het gaat dan bijvoorbeeld om internetfraude, zoals aankoopfraude, vriendschapsfraude en identiteitsfraude. Vorig jaar werden ruim 38.000 gevallen van internetfraude geregistreerd, een toename van bijna vier procent ten opzichte van 2020. "De toekomst is digitaal, en dus ook de criminaliteit. De trend van de afgelopen jaren zet zich voort: criminelen gebruiken steeds vaker het internet voor hun criminele activiteiten. De politie blijft niet achter. We investeren de komende jaren verder in ict, en rekruteren gespecialiseerde ict-profielen", zegt de Belgische minister van Binnenlandse Zaken Annelies Verlinden. bron: https://www.security.nl

Browserontwikkelaar Opera heeft de betaalde vpn-dienst die het eerder al voor Android uitbracht nu ook voor macOS en Windows beschikbaar gemaakt. De browser beschikte al enige tijd over een gratis vpn-optie, maar biedt gebruikers nu ook tegen betaling de mogelijkheid om meer dan drieduizend vpn-servers in meer dan dertig landen wereldwijd te gebruiken. Net als de gratis dienst zegt Opera dat het ook bij de betaalde vpn-dienst geen logs bijhoudt. De betaalde versie is met één account op zes verschillende apparaten te gebruiken. Daarnaast biedt Opera tot 31 augustus de mogelijkheid om de betaalde vpn-dienst één maand gratis uit te proberen. VPN Pro kost normaliter 66 euro per jaar, maar Opera biedt gebruikers nu een korting. bron: https://www.security.nl

Een kritieke kwetsbaarheid in vpn-routers van Cisco maakt het mogelijk voor aanvallers om de apparaten op afstand volledig over te nemen of te laten herstarten waardoor een denial-of-service ontstaat, zo waarschuwt de netwerkfabrikant die beveiligingsupdates heeft uitgebracht om het probleem te verhelpen. Het beveiligingslek, aangeduid als CVE-2022-20842, is aanwezig in de webinterface van Cisco Small Business RV-routers RV340, RV340W, RV345 en RV345P. De webinterface blijkt gebruikersinvoer niet goed te controleren. Door het versturen van een speciaal geprepareerd http packet kan een ongeauthenticeerde aanvaller willekeurige code met rootrechten uitvoeren, wat inhoudt dat er volledige controle over het apparaat is. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Daarnaast is Cisco ook met een update voor een andere kritieke kwetsbaarheid gekomen (CVE-2022-20827) die in de webfilter-database van verschillende modellen vpn-routers aanwezig is (RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345 en RV345P). Ook via dit beveiligingslek kan een ongeauthenticeerde aanvaller op afstand willekeurige code met rootrechten uitvoeren. De impactscore is met een 9.0 iets lager beoordeeld. Cisco roept organisaties op om de beschikbaar gestelde updates te installeren. bron: https://www.security.nl

Een nieuw Europees wetsvoorstel dat communicatiediensten verplicht om alle communicatie van hun gebruikers te scannen op kindermisbruik vormt een bedreiging voor end-to-end encryptie, zo laat de Autoriteit Persoonsgegevens vandaag weten. Vorige week meldde Security.NL al dat de Europese privacytoezichthouders zich ernstig zorgen maken over het scanplan van de Europese Commissie en dat dit een serieus risico vormt voor de fundamentele rechten van 450 miljoen Europeanen. De Europese privacytoezichthouder EDPS en het Europees Comité voor gegevensbescherming (EDPB), waarin alle nationale Europese privacytoezichthouders zijn verenigd, kwamen afgelopen vrijdag met een gezamenlijke opinie over het wetsvoorstel waarin ze stelden dat het moet worden aangepast. Volgens de EDPS en EDPB vormt het voorstel van de Europese Commissie in zijn huidige vorm een groter risico voor individuen en de samenleving in zijn geheel dan voor criminelen die voor kindermisbruik worden vervolgd. De toezichthouders maken zich zeer grote zorgen over de impact die de voorgestelde maatregelen op de privacy en persoonlijke data van personen zullen hebben. Vandaag bericht de Autoriteit Persoonsgegevens over de opinie en zorgen die er bij de toezichthouders over het voorstel zijn. "Versleuteling is essentieel voor de bescherming van het privéleven, het communicatiegeheim en de vrijheid van meningsuiting", aldus de AP. "Het voorstel brengt het risico met zich mee dat communicatiediensten meekijken bij álle communicatie tussen mensen in Europa." Door communicatiediensten te verplichten de berichten en gesprekken van gebruikers te scannen op kindermisbruik bedreigt de wet encryptie, zo laat de privacytoezichthouder verder weten. Bij end-to-end encryptie is de inhoud van de communicatie alleen toegankelijk voor de afzender en ontvanger. "Het wetsvoorstel zal er waarschijnlijk toe leiden dat de communicatiediensten ook een sleutel moeten hebben", merkt de AP op. Dit zou een einde van end-to-end encryptie betekenen, aangezien de encryptie dan niet meer end-to-end versleuteld is. bron: https://www.security.nl