Captain Kirk

VMware meldt actief misbruik van een kritieke kwetsbaarheid in vCenter-servers waarvoor eind oktober een beveiligingsupdate verscheen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. De kritieke kwetsbaarheid (CVE-2023-34048) betreft een 'out-of-bounds write' in het DCERPC-protocol, waardoor een aanvaller code op de server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De enige vereiste voor het uitvoeren van een aanval is dat een aanvaller toegang tot de server heeft. VMware heeft deze week het beveiligingsbulletin van een update voorzien waarin het laat weten dat er inmiddels actief misbruik van het beveiligingslek wordt gemaakt. Verdere details over deze aanvallen zijn niet gegeven. In het verleden is er vaker misbruik gemaakt van kwetsbaarheden in vCenter. bron: https://www.security.nl

De Belgische afvalverwerker Limburg.net heeft vorige maand de persoonlijke gegevens van 311.000 personen gelekt. Aanvallers wisten op 13 december toegang te krijgen tot adresgegevens met het rijksregisternummer van 311.000 personen die op 1 januari 2014 of 1 januari 2015 als gezinshoofd stonden ingeschreven. Limburg.net is een organisatie die voor alle Limburgse gemeenten afval inzamelt en verwerkt. "De gelekte gegevens zijn de naam, adres en rijksregisternummer van het gezinshoofd. Andere gegevens zoals identiteitskaartnummers, paswoorden, inloggegevens, rekeningnummers of bankkaartnummers zitten niet in de gekopieerde bestanden", zo laat de afvalverwerker op de eigen website weten. Volgens Limburg.net bestaat de kans dat de gegevens illegaal via het 'darkweb' verspreid worden en op deze manier in handen vallen van personen met slechte bedoelingen. "Het darkweb is de diepste laag van het internet. Het is niet toegankelijk via de gebruikelijke zoekmachines", legt de afvalverwerker verder uit. "Als gevolg hiervan is het mogelijk dat criminelen u proberen te contacteren om aan persoonlijke informatie te raken, zoals wachtwoorden of bankgegevens. Ook informatie die u zelf vrijgeeft of publiek heeft staan op sociale mediaprofielen kan zo misbruikt worden. Het feit dat er tijdens de cyberaanval geen e-mailadressen, telefoonnummers, rekeningnummers, identiteitskaartnummers of bankkaartnummers gelekt zijn, maakt het moeilijker om u te contacteren of op te lichten." Verder waarschuwt Limburg.net dat veel Belgische instanties het rijksregisternummer gebruiken ter identiteitscontrole en de kans bestaat dat criminelen dat nummer gebruiken om zich als iemand anders voor te doen. "In principe is een rijksregisternummer alleen niet voldoende om verrichtingen of registraties te doen. Vaak vragen instanties een bevestiging via een eID of itsme of stellen ze extra controlevragen." De aanval is opgeëist door de criminelen achter de Medusa-ransomware. Als de afvalverwerker niet betaalt dreigt de ransomwaregroep de gestolen data openbaar te maken. Limburg.net laat tegenover Belgische media weten dat het niet van plan is om te betalen. bron: https://www.security.nl

Al ruim tweeduizend Ivanti Connect Secure VPN-appliances zijn via een zerodaylek besmet geraakt met een backdoor. Een beveiligingsupdate is nog niet beschikbaar, maar wel een mitigatie. Niet alle organisaties blijken die op de juiste manier toe te passen, waardoor ze opnieuw besmet raken, zo meldt securitybedrijf Volexity. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Twee zerodaylekken in de vpn-oplossing, CVE-2023-46805 en CVE-2024-21887, maken het mogelijk voor ongeauthenticeerde aanvallers om eerst de authenticatie te omzeilen en daarna willekeurige commando's op het apparaat uit te voeren. Zo is het mogelijk om een webshell te installeren en toegang tot het apparaat te behouden en verdere aanvallen uit te voeren. Volexity heeft een webshell die het GiftedVisitor noemt inmiddels op meer dan 2100 gecompromitteerde Ivanti-apparaten aangetroffen. Ivanti heeft aangegeven dat het de komende weken met updates komt. Als tijdelijke oplossing is er een mitigatie beschikbaar om systemen te beschermen. Het is wel belangrijk dat die op het juiste moment wordt doorgevoerd. Volexity zegt dat het van meerdere organisaties weet waarbij een schone Ivanti vpn-appliance werd uitgerold waarop de mitigatie was doorgevoerd, maar die opnieuw besmet raakte. Verder onderzoek wees uit dat deze organisaties eerst de mitigatie hadden doorgevoerd en daarna een back-up van de configuratiebestanden terugplaatsten. Daarmee wordt de mitigatie ongedaan gemaakt. Organisaties moeten dan ook eerst de back-up van de configuratie terugzetten en daarna pas de mitigatie toepassen. De zerodays worden al zeker sinds december door een groep aanvallers gebruikt. Inmiddels is er echter sprake van grootschalig misbruik, waarbij Volexity ook rekening houdt met ransomware-aanvallen. bron: https://www.security.nl

Anti-spamorganisatie Spamhaus gaat de blocklist-vermeldingen, waarop als malafide bestempelde ip-adressen staan, naar een nieuwe locatie verhuizen. Wanneer onderzoekers van Spamhaus ip-adressen of ip-reeksen als malafide beschouwen, bijvoorbeeld vanwege het versturen van spam of het hosten van cybercriminelen, worden die op de Spamhaus Blocklist (SBL) geplaatst. Het netwerk of hostingbedrijf dat voor het ip-adres verantwoordelijk is wordt via e-mail over de SBL-vermelding ingelicht. De e-mail bevat een link naar informatie waarom het ip-adres of ip-reeks op de Spamhaus Blocklist is geplaatst en hoe het ip-adres weer van de lijst kan worden gehaald. SBL-vermeldingen kunnen grote gevolgen hebben, omdat allerlei organisaties en bedrijven de blocklist gebruiken voor het weren van e-mail van ip-adressen die op de lijst staan. De SBL-vermeldingen werden altijd op www.spamhaus.org gehost, maar dat gaat veranderen. Ze zullen straks op een aparte website te vinden zijn, namelijk check.spamhaus.org. Aanleiding is de verouderde interface van www.spamhaus.org die in de toekomst zal worden aangepast. De Spamhaus-reputatiechecker die via check.spamhaus.org is te vinden beschikt nu al over een modernere interface. De verhuizing zou halverwege volgende maand moeten zijn afgerond. Om te voorkomen dat mensen straks denken dat de SBL-meldingen van Spamhaus een phishingaanval zijn, is de anti-spamorganisatie nu met de aankondiging gekomen. bron: https://www.security.nl

Google waarschuwt vandaag voor een groep aanvallers die slachtoffers een zogenaamde 'decryptietool' laat downloaden wat in werkelijkheid een backdoor is. Volgens het Amerikaanse techbedrijf gaat het om een vanuit Rusland opererende groep die zich in het verleden vooral met phishingaanvallen bezighield. De groep wordt door Google 'Coldriver' genoemd, maar staat ook bekend als UNC4057, Star Blizzard en Callisto. De groep doet zich volgens Google vaak voor als een expert in een bepaald gebied of claimt aan het slachtoffer gelieerd te zijn. Vervolgens wordt er een band opgebouwd, waarna de phishingaanval plaatsvindt. Het gaat dan om een link of document met een link die naar een phishingsite wijst. Bij de aanvallen waarvoor Google nu waarschuwt ontvangen slachtoffers een pdf document. Daarin staat echter onleesbare tekst. Wanneer slachtoffers reageren en stellen dat ze het document niet kunnen lezen reageert de groep met een link naar een 'decryptietool'. Deze tool is in werkelijkheid een backdoor, maar laat als afleidingsmanoeuvre een echt document zien. Via de backdoor kunnen de aanvallers willekeurige commando's op het systeem uitvoeren, cookies uit Google Chrome, Mozilla Firefox, Opera en Microsoft Edge stelen, bestanden up- en downloaden en naar documenten zoeken. Google heeft de door de groep gebruikte domeinen en bestanden aan de eigen Safe Browsing-dienst toegevoegd, zodat gebruikers van Chrome en andere browsers een waarschuwing te zien krijgen. bron: https://www.security.nl

Volgende week verschijnt Firefox 122 waarmee de browser ook het inloggen via passkeys ondersteunt. Passkeys zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. Steeds meer applicaties ondersteunen het gebruik van passkeys, maar in Firefox ontbrak dit. "Support voor passkeys is een topprioriteit voor ons, en het team is er actief mee bezig. Vanwege stabiliteitsproblemen hebben we besloten meer tijd aan het testen te besteden en de release uit te stellen", zo liet Mozilla eind vorig jaar weten, waarbij Firefox 122 als doel werd genoemd. Deze versie verschijnt volgende week dinsdag 23 januari. bron: https://www.security.nl

De Franse privacytoezichthouder CNIL heeft Yahoo een boete van tien miljoen euro gegeven wegens het plaatsen van cookies zonder toestemming en gebruikers niet de mogelijkheid geven om hun eerder gegeven toestemming in te trekken. Na klachten van gebruikers besloot CNIL onderzoek naar Yahoo.com en Yahoo Mail te doen. Yahoo.com liet gebruikers wel een cookiebanner zien, maar nog voordat er toestemming was gegeven had Yahoo al zo'n twintig cookies voor advertentiedoeleinden geplaatst. In het geval van Yahoo! Mail bleek dat gebruikers hun eerder gegeven toestemming voor het plaatsen van cookies niet vrijelijk konden intrekken. In dit geval zou er namelijk geen gebruik meer van de maildienst gemaakt kunnen worden. Het intrekken van toestemming mag geen nadelige gevolgen voor gebruikers hebben. In dit geval was dat wel zo, omdat ze geen gebruik van de dienst konden maken, aldus CNIL. De boete werd op 29 december vorig jaar opgelegd en is nu bekendgemaakt. Yahoo had in 2020 een omzet van 7,4 miljard dollar. bron: https://www.security.nl

Gebruikers van Google Chrome of een Androidtoestel zullen vanaf 6 maart een scherm te zien kunnen krijgen om hun zoekmachine in te stellen. In het geval van Android zal er ook een nieuwe keuzescherm voor de standaard in te stellen browser worden getoond. Dat is het gevolg van de Europese Digital Markets Act (DMA). "Onder de DMA moeten wij en andere aangewezen bedrijven aanvullende keuzeschermen laten zien", zo laat Google weten in een blogposting over de voorbereidingen op de DMA. Daarbij wordt ook verwezen naar een recent bijgewerkte Androidpagina over het keuzescherm. Vanaf 6 maart zal Google vanwege de DMA-verplichtingen tijdens de eerste setup van een Androidtoestel een nieuwe scherm voor het kiezen van een browser tonen, naast een keuzescherm voor de standaard zoekmachine. Tevens zal Google Chrome gebruikers op niet-Android-platforms een keuzescherm voor de zoekmachine laten zien. De getoonde opties kunnen per land verschillen. Na het uitvoeren van een fabrieksreset op Androidtoestellen zal het scherm weer opnieuw worden getoond. Door de DMA moeten gebruikers onder andere vooraf geïnstalleerde apps kunnen verwijderen. Ook mogen app-ontwikkelaars niet meer worden gedwongen om het betaalsysteem te gebruiken van appstores en mogen platforms eigen producten of diensten niet bevoordelen, bijvoorbeeld door ze bovenaan de zoekresultaten te zetten. Verder zorgt de DMA ervoor dat gebruikers eigen data van een platform naar een ander platform kunnen meenemen en chatdiensten interoperabel zijn. Volgens cijfers van StatCounter heeft de zoekmachine van Google in Nederland een marktaandeel van meer dan 92 procent. bron: https://www.security.nl

Elke Facebookgebruiker wordt door duizenden bedrijven gemonitord, zo stelt de Amerikaanse consumentenorganisatie Consumer Reports op basis van eigen onderzoek. Voor het onderzoek deelden meer dan zevenhonderd vrijwilligers de data die Facebook over hen had verzameld en bij het techbedrijf is op te vragen. Consumer Reports ontdekte dat in totaal 187.000 bedrijven informatie over deze 700 gebruikers naar Facebook hadden gestuurd. Elke deelnemer aan het onderzoek had gemiddeld 2230 bedrijven die data over hen naar Facebook stuurde. Bij sommige deelnemers ging het om meer dan 7000 bedrijven. De data is bijvoorbeeld afkomstig van websites die van de beruchte Meta-pixel gebruikmaken, maar het gaat ook om 'server-to-server tracking', aldus Consumer Reports. Eén bedrijf kwam in de data van 96 procent van de deelnemers voor. Het gaat om datahandelaar LiveRamp. Het zijn echter niet alleen datahandelaren die veel data over hun gebruikers met Facebook delen. Ook winkelketens Home Depot, Macy’s en Walmart komen veel voor. Soorten data De data die de Amerikaanse consumentenorganisatie aantrof is van twee soorten dataverzamelingen afkomstig: events en 'aangepaste doelgroepen'. Via aangepaste doelgroepen kunnen adverteerders klantenlijsten naar Meta uploaden en bevatten vaak identifiers zoals e-mailadressen en advertentie-ID's. Vervolgens is het mogelijk om deze personen op Facebook gerichte advertenties te tonen. "Events" bestaan uit interactie die een gebruiker met een merk had, bijvoorbeeld buiten Facebook of in de echte wereld. Het kan dan gaan om het bezoeken van een website of fysieke winkel of het aanschaffen van een product. De websites of apps in kwestie maken dan gebruik van Meta's trackingpixel om informatie met Meta te delen, of doen dit door middel van 'server-to-server tracking', waarbij de server van het bedrijf in kwestie data over wat gebruikers hebben gedaan naar de servers van Meta stuurt. Consumer Reports doet naar aanleiding van het onderzoek verschillende aanbevelingen. Zo zouden bedrijven moeten worden verplicht om dataminimalisatie toe te passen, waarbij ze alleen de absolute minimale hoeveelheid gegevens verzamelen om een dienst aan te kunnen bieden. Daarnaast moet Meta de kwaliteit en leesbaarheid van de data die het bedrijf voor gebruikers beschikbaar maakt verbeteren. bron: https://www.security.nl

Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn honderd miljoen unieke wachtwoorden toegevoegd, alsmede 71 miljoen e-mailadressen van gecompromitteerde accounts. De inloggegevens werden onder andere door malware buitgemaakt en in een verzamelde dataset op internet aangeboden en gebruikt voor het uitvoeren van credential stuffing-aanvallen, aldus beveiligingsonderzoeker en HIBP-oprichter Troy Hunt. Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de 71 miljoen gecompromitteerde e-mailadressen was een derde nog niet eerder in een bekend datalek voorgekomen. Iets wat volgens Hunt statistisch belangrijk is. "Het is niet de gewone verzameling van opnieuw gebruikte lijsten met een nieuwe strik eromheen die als het volgende belangrijke ding wordt aangeboden. Het is een aanzienlijke hoeveelheid nieuwe data." Veel lijsten met gestolen inloggegevens die op internet worden aangeboden bestaan uit eerder gedeelde gegevens die opnieuw worden verpakt. In dit geval gaat het om een aanzienlijke hoeveelheid nieuwe data, mede verkregen door malware die inloggegevens op besmette computers kon stelen. De "Naz.API" dataset, zoals de gestolen data wordt genoemd, bestaat uit e-mailadressen en wachtwoorden. De e-mailadressen zijn aan Have I Been Pwned toegevoegd, de wachtwoorden aan Pwned Passwords. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen. De honderd miljoen unieke wachtwoorden komen 1,3 miljard keer voor in de verzamelde datalekken, wat volgens Hunt laat zien dat mensen vaak hetzelfde wachtwoord voor meerdere online diensten gebruiken. bron: https://www.security.nl

VMware waarschuwt klanten voor een kritieke kwetsbaarheid in VMware Aria Automation, eerder nog bekend als vRealize Automation, die een geauthenticeerde aanvaller toegang tot 'remote organisaties en workflows' kan geven. Beveiligingsupdates zijn uitgebracht om het probleem te verhelpen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. VMware Aria Automation is een automatiseringsplatform voor het ontwikkelen en beheren van applicaties. De kwetsbaarheid, omschreven als 'missing access control', is aanwezig in versies voor versie 8.16. VMware werd door een externe partij over het probleem ingelicht en heeft nog geen aanwijzingen van misbruik gevonden. Verdere details over het beveiligingslek en hoe een aanvaller hier misbruik van kan maken zijn niet gegeven. Organisaties wordt aangeraden om te updaten naar versie 8.16. Kwetsbaarheden in VMware Aria zijn in het verleden vaker misbruikt door aanvallers. bron: https://www.security.nl

Tijdens de eerste patchronde van dit jaar heeft Oracle een groot aantal kwetsbaarheden in de eigen producten verholpen, waaronder meerdere kritieke beveiligingslekken waardoor aanvallers systemen zonder authenticatie en interactie van gebruikers op afstand kunnen overnemen. De kritieke problemen zijn onder andere aanwezig in Oracle MySQL, Essbase, Oracle Communications, Oracle Banking, Oracle Enterprise, Oracle Hyperion, JD Edwards EnterpriseOne, Oracle Retail en XCP Firmware. Het gaat om meerdere kwetsbaarheden waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8. Ook zijn er meerdere kritiek beveiligingslekken met een impactscore van 9.1 verholpen. Oracle zegt dat het geregeld berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren en alleen nog ondersteunde versies van de producten te blijven gebruiken. In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchrondes staan gepland voor 16 april, 16 juli en 25 oktober 2024. bron: https://www.security.nl

Mozilla lanceert volgende maand op 6 februari de vernieuwde en deels betaalde datalekdienst Mozilla Monitor, die nu nog bekendstaat als Firefox Monitor. Via de dienst, die gebruikmaakt van de database van datalekzoekmachine van Have I Been Pwned, kunnen gebruikers kijken of ze in een bekend datalek voorkomen. Gebruikers kunnen door het opgeven van hun e-mailadres controleren of ze slachtoffer van een datalek zijn. Mozilla Monitor zal deze mogelijkheid nog steeds gratis bieden zoals nu het geval is met Firefox Monitor, maar zal ook advies geven wat gebruikers in een dergelijk geval kunnen doen, zo meldt Mozillavolger Soeren Hentzschel. In de Verenigde Staten komt ook een betaalde versie van de dienst beschikbaar, Mozilla Monitor Plus. Via de betaalde versie kunnen gebruikers hun persoonlijke gegevens uit meer dan 190 personenzoekmachines laten verwijderen. Hiervoor werkt Mozilla samen met het bedrijf Onerep, dat vooralsnog alleen in de VS actief is. Mozilla biedt inmiddels meerdere betaalde diensten om inkomsten te genereren, waaronder Mozilla VPN en Firefox Relay. bron: https://www.security.nl

Citrix waarschuwt organisaties voor twee actief aangevallen zerodaylekken in NetScaler ADC en Gateway waardoor een aanvaller een denial of service kan veroorzaken of via de managementinterface code kan uitvoeren. Klanten worden opgeroepen om de beschikbaar gemaakte beveiligingsupdates zo snel mogelijk te installeren. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Via kwetsbaarheid CVE- 2023-6548 is het mogelijk voor een geauthenticeerde aanvaller met toegang tot de managementinterface om code uit te voeren. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 5.5. De impactscore komt mede doordat een aanvaller geauthenticeerd moet zijn en toegang tot de managementinterface moet hebben. Citrix adviseert om deze interface niet vanaf het internet toegankelijk te maken. De tweede zeroday waarvoor Citrix waarschuwt is CVE-2023-6549 en maakt het mogelijk voor een aanvaller om een denial of service te veroorzaken. Dit beveiligingslek heeft een impactscore van 8.2 gekregen. Misbruik is mogelijk wanneer de appliance is geconfigureerd als Gateway (VPN virtual server, ICA Proxy, CVPN of RDP Proxy) of AAA virtual server. Citrix heeft verder geen details over de aanvallen gegeven en wil ook geen technische details over de kwetsbaarheden geven omdat dit aanvallers zou kunnen helpen. bron: https://www.security.nl

GitHub.com heeft wegens een kwetsbaarheid waardoor aanvallers toegang tot de omgevingsvariabelen van een productiecontainer kunnen krijgen besloten om verschillende keys te roteren. Daarnaast is er een beveiligingsupdate voor het probleem in GitHub Enterprise Server (GHES) uitgebracht. De kwetsbaarheid (CVE-2024-0200) werd op 26 december op GitHub.com verholpen, waarop het platform begon om alle mogelijk blootgestelde credentials te roteren. Het roteren van de credentials op GitHub.com zorgde eind december gedurende meerdere dagen voor verstoringen op het platform. Volgens GitHub heeft het roteren van de meeste keys geen gevolgen voor klanten, op een aantal na die het gisteren roteerde en extra handelingen kunnen vereisen. Zo is de GitHub commit signing key die wordt gebruikt voor het signen van commits op GitHub verlopen. Sinds gisteren wordt er voor alle commits een nieuwe key gebruikt. Vanaf 23 januari zullen nieuwe commits die nog met de vorige key zijn gesigneerd niet langer geverifieerd zijn. Ontwikkelaars die commits op GitHub.com buiten GitHub verifiëren, waaronder verificatie in GHES, moeten de nieuwe public key in hun omgeving importeren. Tevens zijn ook keys voor GitHub Actions, GitHub Codespaces en Dependabot vervangen. Gebruikers die nog van deze keys gebruikmaken kunnen met foutmeldingen te maken krijgen. GitHub stelt dat het geen aanwijzingen heeft gevonden dat aanvallers misbruik van de kwetsbaarheid hebben gemaakt, maar het vanwege procedures in alle gevallen keys roteert wanneer een derde partij daar toegang toe kan hebben gehad. Het beveiligingslek is zoals gezegd ook aanwezig in GitHub Enterprise Server, maar vereist daar dat een aanvaller over een bepaalde rol beschikt om het lek te kunnen misbruiken, wat volgens GitHub de kans op misbruik aanzienlijk verkleint. GitHub.com is een populair platform voor softwareontwikkelaars en softwareprojecten en is na een miljardenovername al enige tijd eigendom van Microsoft. bron: https://www.security.nl

Google heeft voor de eerste keer dit jaar een actief aangevallen zerodaylek in Chrome verholpen. Net als met de eerste zerodaylek van 2023 bevindt de kwetsbaarheid zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin al vaker zerodaylekken werden gevonden. De impact van de kwetsbaarheid, aangeduid als CVE-2024-0519, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gerapporteerd door een niet nader genoemde onderzoeker. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Google Chrome 120.0.6099.224/225 is beschikbaar voor Windows, voor Linux en macOS zijn respectievelijk versies 120.0.6099.224 en 120.0.6099.234 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Criminelen maken gebruik van verlengingsmails die van Norton AntiVirus afkomstig lijken om mensen op te lichten, waarbij één slachtoffer voor 34.000 dollar het schip in ging. De Amerikaanse Secret Service wist de rekening die de oplichter gebruikte echter te bevriezen. Het slachtoffer ontving eind vorig jaar een e-mail waarin werd gesteld dat er 350 dollar in rekening werd gebracht voor het verlengen van zijn abonnement van Norton AntiVirus. Om de verlenging te annuleren moest een opgegeven telefoonnummer worden gebeld, wat het slachtoffer deed. De oplichter aan de andere kant deed zich voor als Norton-medewerker en wist met hulp van het slachtoffer toegang tot zijn computer te krijgen. Vervolgens vroeg de oplichter of de 350 dollar was teruggestort, waarbij de oplichter toevoegde dat er per ongeluk een bedrag van 34.000 dollar was overgemaakt en of het slachtoffer dit kon terugstorten. In werkelijkheid had de oplichter via de toegang die hij tot de computer van het slachtoffer had 34.000 dollar van de ene rekening van het slachtoffer naar zijn andere rekening overgemaakt. Deze 34.000 dollar maakte het slachtoffer vervolgens over naar de rekening van de oplichter, zo blijkt uit het bevel dat de Secret Service bij een Amerikaanse rechtbank indiende om de rekening van de oplichter te bevriezen (pdf). Dergelijke scams komen al enige tijd voor en maken geregeld slachtoffers. Een ander slachtoffer werd vorig jaar voor 10.000 dollar opgelicht, terwijl een Canadese man voor 40.000 dollar werd bestolen. Norton waarschuwt via de eigen website voor de scam. bron: https://www.security.nl

In minder dan twee maanden tijd zijn meer dan veertigduizend computers via illegale software besmet geraakt met een cryptominer, zo stelt antivirusbedrijf Doctor Web. De malware zit verborgen in illegale versies van onder andere Adobe-software en Microsoft Office die via Telegram-kanalen en websites worden aangeboden. Eenmaal actief voegt de malware-loader zich toe aan de uitzonderingen van Windows Defender en zorgt ervoor dat de computer niet kan worden uitgeschakeld of in slaapstand kan. Het doel van de malware is om de rekenkracht van de computer te gebruiken voor het minen van cryptovaluta. Daarnaast wordt ook een rootkit geïnstalleerd die Windows Update uitschakelt, toegang tot websites blokkeert en verschillende maatregelen neemt om detectie van de cryptominer door de gebruiker te voorkomen. Zo wordt bijvoorbeeld het cryptominingproces gestopt wanneer de gebruiker software draait om processen op de computer te monitoren. bron: https://www.security.nl

Twee zerodaylekken in Ivanti Connect Secure VPN waarvoor nog geen beveiligingsupdate beschikbaar is worden op grote schaal misbruikt, waarbij al zeker zeventienhonderd systemen zijn gecompromitteerd, zo laat securitybedrijf Volexity weten. Een workaround die systemen moet beschermen is er wel, maar op bijna zevenduizend systemen is die niet doorgevoerd, aldus de Shadowserver Foundation. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Via de zerodaylekken worden er webshells op het vpn-systeem geïnstalleerd, waarmee er toegang tot het gecompromitteerde systeem wordt behouden en verdere aanvallen mogelijk zijn. Daarnaast bleek dat de aanvallers logbestanden op het systeem hadden verwijderd en logging hadden uitgeschakeld. De zerodays (CVE-2023-46805 en CVE-2024-21887) zijn voor zover bekend al sinds december gebruikt voor het aanvallen van organisaties, waarbij deze eerste aanvallen aan één groep worden toegeschreven. Sinds de bekendmaking van de kwetsbaarheden is het aantal aanvallen sterk gestegen. Daarbij maken nu ook verschillende andere groepen aanvallers misbruik van het beveiligingslek. Volgens de Shadowserver Foundation zijn er zeventienduizend Connect Secure VPN-systemen op internet te vinden, waarvan er 6800 de tijdelijke workaround niet hebben doorgevoerd. Organisaties die de beschermingsmaatregel nog niet hebben doorgevoerd worden opgeroepen om dit meteen te doen en de ingebouwde Integrity Check Tool te draaien om de aanwezigheid van malware te detecteren. Ivanti heeft aangegeven de eerste updates in de week van 22 januari beschikbaar te maken, waarbij de laatste versie voor de week van 19 februari gepland staat. bron: https://www.security.nl

Criminelen maken misbruik van een kwetsbaarheid in Windows SmartScreen om malware te installeren die allerlei informatie uit wachtwoordmanagers en authenticators steelt, alsmede cryptowallets en andere programma's. Dat laat antivirusbedrijf Trend Micro weten. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Via de kwetsbaarheid (CVE-2023-36025) is het mogelijk om ervoor te zorgen dat er geen waarschuwingen worden getoond. Microsoft kwam afgelopen november met beveiligingsupdates voor het probleem, dat toen al bij zeroday-aanvallen werd misbruikt. Nu wordt de kwetsbaarheid ook gebruikt door criminelen achter de Phemedrone Stealer, malware speciaal ontwikkeld voor het stelen van allerlei informatie van besmette systemen. Bij de aanvallen maken de aanvallers gebruik van malafide .url-bestanden. Zodra gebruikers daarop klikken wordt een malafide .cpl-bestand gedownload. Normaliter zou Windows SmartScreen waarschuwen voordat malafide bestanden van een onbetrouwbare bron worden uitgevoerd, maar door misbruik van CVE-2023-36025 te maken wordt deze waarschuwing niet getoond en het malafide cpl-bestand uitgevoerd. Dit bestand zorgt uiteindelijk voor het downloaden van de Phemedrone Stealer. De malware steelt wachtwoorden, cookies en autofill-informatie uit apps zoals LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile en Microsoft Authenticator, alsmede allerlei cryptowallets. Ook worden authenticatie-tokens uit de Discord-app gestolen om zo toegang tot het account van de gebruiker te krijgen. Tevens steelt de malware informatie uit de Steam-, Telegram- en FilleZill-accounts van de gebruiker en worden er allerlei bestanden uit specifieke locaties gestolen, zoals Mijn Documenten en Desktop. Organisaties die de update voor CVE-2023-36025 nog niet hebben geïnstalleerd worden door Trend Micro opgeroepen om dit alsnog te doen. bron: https://www.security.nl

De afgelopen weken zijn duizenden WordPress-sites via een kwetsbaarheid in de plug-in Popup Builder besmet geraakt met malware, zo stelt securitybedrijf Sucuri. Popup Builder is een plug-in waarmee WordPress-sites pop-ups kunnen maken die aan bezoekers worden getoond. Meer dan tweehonderdduizend websites maken er gebruik van. Begin vorige maand werd bekend dat er een stored cross-site scripting kwetsbaarheid in de plug-in aanwezig is. Daarmee kan een ongeauthenticeerde aanvaller dezelfde acties uitvoeren als een ingelogde beheerder, waaronder het installeren van willekeurige plug-ins en toevoegen van nieuwe beheerders. Op 7 december verscheen er een beveiligingsupdate voor de kwetsbaarheid. Uit cijfers van WordPress.org blijkt dat zeker de helft van de WordPress-sites met Popup Builder de update niet heeft geïnstalleerd. Nog geen week na het uitkomen van de patch begonnen aanvallers misbruik van de kwetsbaarheid te maken. Daarbij wordt malafide code aan WordPress-sites toegevoegd en een malafide plug-in geïnstalleerd die als backdoor fungeert. De toegevoegde malafide code stuurt bezoekers door naar malafide websites en zorgt voor pushnotificatiespam. Volgens Sucuri zijn inmiddels meer dan 6200 websites gecompromitteerd. bron: https://www.security.nl

E-mailprovider Proton Mail heeft uitgehaald naar de data die de nieuwe versie van Microsoft Outlook voor Windows verzamelt en met derde partijen deelt. Volgens het Zwitserse bedrijf is er sprake van surveillance voor financieel gewin. De nieuwe Outlook voor Windows vraagt toestemming om data met 772 partijen te delen. Die kunnen gegevens voor onder andere gerichte advertenties gebruiken, als het verkrijgen van locatiegegevens, meldt Proton Mail. "Deze laatste versie van Outlook bevestigt dat meer van de winsten van Big Tech afhankelijk worden van het verzamelen van persoonlijke data", stelt Edward Komenda van Proton Mail. Eerder meldde het Duitse Heise Online dat de nieuwe Outlook toegang tot inloggegevens van third-party e-mailproviders kan krijgen als gebruikers bijvoorbeeld hun Yahoo- of Gmail-account synchroniseren. "Microsoft geeft zichzelf toegang tot je e-mailaccount zonder dat je dit weet, zodat het je e-mails kan scannen en analyseren - en ze met derde partijen delen", claimt Proton Mail verder. "Met de lancering van deze nieuwe Outlook als een dataverzamelings- en advertentiedienst, heeft Microsoft laten zien dat het niet verschilt van de Googles en Metas van deze wereld. Als deze bedrijven privacy de standaard zouden maken, zouden ze de omzet verliezen waaraan ze verslaafd zijn geworden." Uit het privacybeleid blijkt dat Microsoft allerlei gegevens kan verzamelen, zoals naam en contactgegevens, wachtwoorden, demografische data, betalingsgegevens, abonnement- en licentiegegevens, zoekopdrachten, apparaat- en gebruiksgegevens, foutrapporten en prestatiegegevens, spraakgegevens, tekst-, inkt- en typgegevens afbeeldingen, locatiegegevens, content, feedback en beoordelingen en verkeersgegevens. Deze data kan vervolgen worden gedeeld met dienstverleners, betalingsverwerkers en advertentiediensten. Deze week meldde Zwitserse media dat de Zwitserse inlichtingendienst op grote schaal massasurveillance toepast. In een reactie stelt Proton Mail dat dit, vanwege genomen beveiligingsmaatregelen en het als eigen internetprovider opereert, geen gevolgen voor gebruikers voor de e-maildienst heeft. bron: https://www.security.nl

De aanvallers die achter de zeroday-aanval op Ivanti Connect Secure VPN zitten maakten hierbij gebruik van gecompromitteerde Cyberoam VPN-appliances die zich in hetzelfde land als hun slachtoffers bevonden, om zo vermoedelijk detectie te voorkomen. Dat laat securitybedrijf Mandiant weten. Ivanti waarschuwde woensdag voor twee zerodaylekken waardoor aanvallers Ivanti Connect Secure VPN-appliances kunnen overnemen. Deze apparaten stonden eerder nog bekend als Pulse Secure. Ivanti Connect Secure is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Via de zeroday-aanval werden er webshells op het vpn-systeem geïnstalleerd, waarmee er toegang tot het gecompromitteerde systeem wordt behouden en verdere aanvallen mogelijk zijn. Daarnaast bleek dat de aanvallers logbestanden op het systeem hadden verwijderd en logging hadden uitgeschakeld. Volgens Mandiant vinden de aanvallen al sinds december plaats door een vermoedelijk statelijke actor. Het securitybedrijf is bij het onderzoek naar de aanvallen betrokken, net als securitybedrijf Volexity dat eerder al met een analyse van de aanval kwam. Net als Volexity stelt ook Mandiant dat de aanvallers gekaapte Cyberoam VPN-appliances als command & control gebruikten voor het aansturen van gecompromitteerde Ivanti VPN's. Daarbij meldt Mandiant dat de gekaapte Cyberoam VPN-appliances end-of-life zijn en zich in hetzelfde land bevinden als organisaties die via de Ivanti-kwetsbaarheden werden aangevallen. "Dat heeft de aanvaller waarschijnlijk geholpen om beter detectie te voorkomen", aldus onderzoeker Tyler McLellan. Ivanti heeft een workaround beschikbaar gesteld waarmee organisaties zich kunnen beschermen. Beveiligingsupdates volgen later. bron: https://www.security.nl

GitLab waarschuwt voor een kritieke kwetsbaarheid waardoor een aanvaller accounts van gebruikers eenvoudig kan overnemen. Het blijkt mogelijk om e-mails voor het resetten van het accountwachtwoord op een ongeverifieerd e-mailadres te laten afleveren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. In het geval gebruikers voor hun account tweefactorauthenticatie (2FA) hebben ingeschakeld is het nog steeds mogelijk voor een aanvaller om het wachtwoord te resetten, maar niet om het account over te nemen, aangezien er nog een tweede factor is vereist om in te loggen. GitLab zegt niet bekend te zijn met misbruik van de kwetsbaarheid (CVE-2023-7028) en roept organisaties op die het platform zelf hosten om hun eigen logbestanden te controleren. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Organisaties kunnen GitLab op hun eigen server of servers installeren of door GitLab laten beheren. De kwetsbaarheid is volgens GitLab vorig jaar mei geïntroduceerd. Organisaties en gebruikers worden opgeroepen om zo snel mogelijk de update te installeren en voor belangrijk accounts 2FA in te schakelen. bron: https://www.security.nl

Digitale burgerrechtenbewegingen maken zich zorgen over een encryptiediscussie die de Europese Commissie achter gesloten deuren voert en zou moeten leiden tot een “access by design” verplichting in de ontwikkeling van alle privacytechnologieën. De in totaal 21 organisaties pleiten in een open brief voor meer transparantie en deelname van alle 'stakeholders'. De Europese Commissie heeft een High-Level Group (HLG) opgericht bestaande uit afgevaardigden van nationale opsporingsdiensten met als doel het bespreken van 'toegang tot data voor effectieve rechtshandhaving'. "Het doel van deze groep is het vinden van manieren waardoor de EU politiediensten juridisch en technisch toegang tot meer data kan geven, alsmede het omzeilen van encryptie andere essentiële beveiligingsfeatures in al onze digitale apparaten", aldus digitale burgerrechtenbeweging EDRi. De overleggen van deze groep vinden achter gesloten deuren plaats. Verschillende maatschappelijke organisaties hebben vorig jaar aangeboden om mee te overleggen, om zo hun visie en expertise over het onderwerp te delen. Deze verzoeken werden afgewezen, waarbij alleen schriftelijke inbreng werd geaccepteerd, die indien relevant mogelijk op een later moment tot een uitnodiging zou kunnen leiden. De burgerrechtenbewegingen stellen dat ze in de tussentijd ontdekten dat verschillende 'industriespelers' wel waren uitgenodigd. Dat zou tot een ongebalanceerde belangenbehartiging kunnen leiden, zo waarschuwen de organisaties. Die maken zich met name zorgen over het doel van de HLG, om voor een 'security by design' aanpak voor al het Europese beleid en wetgeving te zorgen. "We begrijpen dat dit frame een poging is om voor opsporingsdiensten een 'access by design' verplichting in de ontwikkeling van alle privacytechnologieën door te voeren, wat een ernstige belemmering zou zijn voor mensen om hun fundamentele rechten op privacy, databescherming, vrijheid van meningsuiting, informatie en vereniging, uit te oefenen. Het kan ook onvoorziene, schadelijke gevolgen voor de veiligheid van de vitale infrastructuur hebben waar we allemaal op vertrouwen bij het gebruik van elektronische communicatiediensten en digitale apparaten. Daarom is het zo belangrijk dit debat in openheid te voeren", aldus de burgerrechtenbewegingen. bron: https://www.security.nl