Captain Kirk

Datalekzoekmachine Have I Been Pwned heeft een dataset ontvangen met 167 miljoen unieke wachtwoorden die afkomstig zijn van computers besmet met infostealer-malware. Dit soort malware is ontwikkeld om inloggegevens van geïnfecteerde pc's te stelen om daarna naar de aanvaller terug te sturen. Aanvallers beschikken vaak over logbestanden met grote hoeveelheden gecompromitteerde accounts. De dataset die Have I Been Pwned (HIBP) ontving bestaat uit honderden tekstbestanden die bij elkaar meer dan honderd gigabyte groot zijn. Het gaat om 167 miljoen unieke wachtwoorden en 71 miljoen e-mailadressen van gecompromitteerde accounts. HIBP-oprichter Troy Hunt heeft een screenshot gedeeld van een logbestand waarop te zien is hoe de infostealer-malware allerlei inloggegevens heeft gestolen van een gebruiker die onder andere bij Amazon en Facebook inlogde. Eigenaren van de 71 miljoen e-mailaccounts kunnen nu via Have I Been Pwned zoeken welke accounts, die aan hun e-mailadres gekoppeld zijn, door infostealer-malware zijn gecompromitteerd. Via HIBP kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de 71 miljoen e-mailaccounts was 72 procent al via een ander datalek bij de zoekmachine bekend. Naast de mogelijkheid om e-mailadressen in bekende datalekken te zoeken biedt HIBP ook een dienst genaamd 'Pwned Passwords'. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Van de 167 miljoen unieke wachtwoorden bleken er al 61 miljoen in de Pwned Passwords-lijst voor te komen. De overige 106 miljoen zijn nu aan de lijst toegevoegd. Naast gestolen inloggegevens geven de logbestanden ook een blik in iemands privéleven. Zo staan er tal van pornosites, politieke websites, religieuze websites en gezondheidsgerelateerde sites in de logbestanden. Dat maakt het volgens Hunt een gevoelig datalek en zijn door infostealer-malware gecompromitteerde accounts daarom niet door iedereen te doorzoeken, maar alleen door de eigenaar van het betreffende e-mailaccount, die eerst moet bevestigen de eigenaar van het account te zijn. bron: https://www.security.nl

De Britse registry Nominet is aangevallen via een kwetsbaarheid in de vpn-software van Ivanti, zo heeft de organisatie die de .uk-domeinnamen beheert zelf bekendgemaakt. In een e-mail aan klanten laat Nominet weten dat het eind vorige week verdachte activiteit op het netwerk ontdekte. De aanvallers waren binnengekomen via de vpn-software van Ivanti. Nominet gebruikt de software om personeel op afstand toegang tot systemen te geven. Nominet stelt verder dat de aanvallers misbruik maakten van een kwetsbaarheid waarvoor op het moment van de aanval geen beveiligingsupdate beschikbaar was. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Een stack-based buffer overflow in de vpn-oplossing maakt remote code execution mogelijk. Het beveiligingslek wordt aangeduid als CVE-2025-0282 en heeft op een schaal van 1 tot en met 10 een score van 9.0. Securitybedrijf Mandiant liet vorige week weten dat het halverwege december de eerste aanvallen heeft waargenomen die misbruik van de kwetsbaarheid maken. Ivanti kwam vorige week met beveiligingsupdates voor het probleem. Volgens Nominet zijn er geen aanwijzingen dat de aanvallers gegevens hebben gestolen. Ook zijn er geen backdoors of andere ongeautoriseerde toegang geïdentificeerd. Het onderzoek is nog gaande en Nominet zegt de vpn-toegang van personeel te hebben beperkt. bron: https://www.security.nl

Microsoft heeft tien mensen beschuldigd van het ontwikkelen van tooling waarmee de 'guardrails' van OpenAI-diensten werden omzeild, en het mogelijk was om onder andere via DALL-E 'schadelijke afbeeldingen' te genereren. Guardrails zijn beveiligingsmaatregelen die onbedoeld gebruik van 'AI-diensten' moeten voorkomen. Volgens Microsoft hebben de tien niet bij naam genoemde verdachten gestolen inloggegevens en zelfontwikkelde software gebruikt om in te breken op systemen waarop Microsoft Azure OpenAI-dienst draait. Vervolgens zouden er duizenden 'schadelijke afbeeldingen' zijn gegenereerd waarmee de gebruiksvoorwaarden werden overtreden, aldus het techbedrijf. Om wat voor afbeeldingen het gaat laat Microsoft niet weten. Microsoft stelt dat de verdachten inloggegevens van publieke websites scrapeten, waarmee ze toegang kregen tot accounts van betalende klanten. Het ging dan voornamelijk om gestolen Azure API keys en andere 'authenticatie-informatie'. Vervolgens werden de gecompromitteerde accounts en zelfontwikkelde software gebruikt om de werking van Microsofts 'AI-diensten' aan te passen. Deze aangepaste diensten werden daarna aan andere malafide actoren aangeboden, met instructies hoe ze de zelfgemaakte tools konden gebruiken voor het genereren van 'schadelijke en illegale content' via diensten zoals DALL-E. Microsoft heeft de toegang van de verdachten inmiddels geblokkeerd en van de rechter toestemming gekregen om een door de verdachten gebruikt domein in beslag te nemen. bron: https://www.security.nl

Gebruikers van iMessage zijn al een aantal maanden tijd het doelwit van phishingaanvallen waarbij aanvallers proberen om gebruikers de meegestuurde link te laten openen. Links in berichten van onbekende gebruikers zijn, als beveiligingsmaatregel, standaard niet klikbaar in iMessage. De phishingaanvallen gericht tegen iMessage-gebruikers bevatten instructies om ervoor te zorgen dat de link toch klikbaar en geopend wordt. Gebruikers worden namelijk gevraagd om het bericht met een 'Y' te beantwoorden, het bericht daarna te sluiten en opnieuw te openen. De link in het bericht zal dan klikbaar zijn. De instructies stellen verder dat de gebruiker de link ook kan kopiëren om vervolgens in de Safari-browser te openen. De tactiek wordt al maanden toegepast, zo blijkt uit berichten op X en Reddit. De berichten stellen onder andere dat de ontvanger tol moet betalen of dat er een pakketje niet kon worden afgeleverd. Volgens Bleeping Computer is er de afgelopen maanden een toename van deze berichten zichtbaar. bron: https://www.security.nl

Dat zou inderdaad de volgende adviserende stap zijn geweest.

Topic is gesloten maar wil toch dit even meegeven: HD uitbouwen is echt niet zo spannend. En met een setje als hieronder in de link kun je je HD heel eenvoudig uitlezen en bestanden kopiëren alsof het een USB-stick is. De kosten om het te proberen is het ook nniet. Gebruik zelf regelmatig een soort gelijk setje en heb mij al heel populair gemaakt onder collega's met kapotte pc's 😄 Gembird AUSI01 - Adapterkabel, IDE + SATA - USB

Dubbel scherm via de netwerkkabel begrijp ik niet helemaal. Zo met deze info denk ik aan het volgende: - heb je de HDMI-kabel al eens omgedraaid aangesloten? Dus de kant van de laptop in de tv en visaversa. - al geprobeerd het tweede scherm te selecteren met Windowstoets-P?

Wanneer je eerst wel contact kon maken met het netwerk en nu niet, zou je wifiadapter goed moeten zijn. Begrijp ik het goed dat je met de andere apparaten wel gewoon wifi-contact hebt? Dan zou het kunnen zijn dat het ip van de laptop al vergeven is aan een ander apparaat. Controleer in je router of de ip-adressen op dynamisch staan en niet op vast. Kijk dan ook even hoe vaak je router deze ip-adressen 'ververst'. Kijk daarbij ook gelijk of de kanalen waarover je wifi gaan niet gestoord worden door de routers in je omgeving. Wat je ook kan proberen is de naam van je router aanpassen en dan kijken of hij wel weer verschijnt. Nadeel is wel dat je al je apparaten weer opnieuw moet instellen. Ook is er een manier om al je wifi-instellingen in je laptop te schonen, maar dat is buiten mijn vakgebied, dus kan je niet even uitleggen hoe. Maar wifi is altijd gedoe en kwestie van trail and error. Los van dit alles vind ik het persoonlijk van Odido niet zo netjes dat ze je niet een stukje op weg kunnen of willen helpen an alleen maar de standaard check uit te voeren. Ik zou er nog een belletje aan wagen.

Een kritieke kwetsbaarheid in Microsoft Purview maakte het mogelijk voor aanvallers om gevoelige informatie van bedrijven en organisaties te stelen, zo laat Microsoft weten, dat het probleem inmiddels heeft opgelost. Microsoft Purview bestaat uit een reeks tools voor onder andere het beveiligen en beheren van gegevens, alsmede compliancebeheer en data governance. De oplossing was kwetsbaar voor Server-Side Request Forgery (SSRF). Server-side request forgery is een kwetsbaarheid waarbij een aanvaller de functionaliteit van een server kan misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. "De webserver ontvangt van een upstream-onderdeel een URL of soortgelijk request en haalt de inhoud van deze URL op, maar zorgt er niet voldoende voor dat het request naar de bedoelde bestemming wordt gestuurd", aldus de uitleg van de MITRE Corporation. Microsoft stelt dat de kwetsbaarheid, aangeduid als CVE-2025-21385, tot 'information disclosure' door een 'geautoriseerde aanvaller' kon leiden. Normaliter worden dergelijke beveiligingslekken waarbij het stelen van informatie mogelijk is niet als kritiek aangeduid, maar in dit geval heeft Microsoft dat wel gedaan. Klanten hoeven geen actie te ondernemen om tegen het beveiligingslek beschermd te zijn, zo laat Microsoft verder weten, dat ook meldt dat het geen misbruik heeft waargenomen. Verdere details zijn niet gegeven. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in de GFI KerioControl firewall, zo meldt securitybedrijf Censys op basis van data van securitybedrijf GreyNoise. De CRLF-kwetsbaarheid maakt cross-site scripting mogelijk, wat tot '1-click remote code execution' kan leiden. Wanneer een ingelogde firewallbeheerder op een malafide link klikt, is het mogelijk om via de upgradefunctie van de firewall een malafide bestand te uploaden, wat de aanvaller uiteindelijk roottoegang tot de firewall geeft. GFI kwam op 19 december met een beveiligingsupdate voor het probleem, aangeduid als CVE-2024-52875. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. De score hangt samen met de vereiste dat een aanvaller het doelwit op een malafide link moet laten klikken. Volgens Censys zijn er bijna 24.000 KerioControl-installaties vanaf het internet toegankelijk en mogelijk kwetsbaar. Proof-of-concept exploitcode is al een aantal weken online beschikbaar. GreyNoise stelt dat het inmiddels meerdere ip-adressen heeft gezien die geprobeerd hebben om misbruik van CVE-2024-52875 te maken. bron: https://www.security.nl

Kwetsbaarheden in het op privacy gerichte besturingssysteem Tails OS maken het mogelijk voor aanvallers om een malafide upgrade uit te voeren en de installatie zo permanent te compromitteren en de gebruiker te de-anonimiseren. Er is een nieuwe versie uitgebracht waarin de problemen zijn verholpen. Gebruikers die extra voorzichtig zijn worden aangeraden een handmatige upgrade uit te voeren in plaats van een automatische upgrade. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Tijdens een externe security-audit zijn meerdere kwetsbaarheden in het besturingssysteem aangetroffen. In Tails 6.10 en eerder kan een aanvaller die een met Tails meegeleverde applicatie weet te compromitteren een beveiligingslek in de Tails Upgrader misbruiken om een malafide upgrade te installeren en zo permanente controle over de Tails-installatie te krijgen. In de bovenstaande situatie kan een aanvaller die een met Tails meegeleverde applicatie heeft gecompromitteerd ook kwetsbaarheden in andere applicaties misbruiken om gebruikers te de-anonimiseren en hun browsegedrag te monitoren. Daarnaast zou een aanvaller de instellingen van de Persistent Storage kunnen aanpassen. Gebruikers die extra voorzichtig zijn worden aangeraden om een handmatige upgrade naar Tails 6.11 uit te voeren. Bij een handmatige upgrade wordt namelijk eventueel aanwezige malware geïnstalleerd door een aanvaller verwijderd. bron: https://www.security.nl

Kwetsbaarheden in de firewall-migratietool van Palo Alto Networks maken het mogelijk voor aanvallers om wachtwoorden en andere gevoelige data te stelen. Vorig jaar werden drie soortgelijke kwetsbaarheden actief misbruikt door aanvallers. Palo Alto Networks Expedition is een migratietool waarmee het mogelijk is om de configuratie van een firewall van een andere leverancier om te zetten naar een firewall van Palo Alto Networks. Een SQL Injection-kwetsbaarheid (CVE-2025-0103) in de software maakt het mogelijk voor een geauthenticeerde aanvaller om de inhoud van de Expedition-database te stelen. Het gaat dan om wachtwoordhashes, gebruikersnamen, firewallconfiguratie en API-keys. Ook maakt het lek het mogelijk voor aanvallers om willekeurige bestanden te lezen of aan te maken. Een command injection-kwetsbaarheid kan een geauthenticeerde aanvaller toegang tot cleartext wachtwoorden geven. De impact van CVE-2025-0103 is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. CVE-2025-0107 heeft een impactscore van 6.3. De kwetsbaarheden in Palo Alto Networks Expedition waar vorig jaar actief misbruik van werd gemaakt waren door een ongeauthenticeerde aanvaller te misbruiken en hadden daardoor een hogere impactscore. Expedition is sinds 31 december end-of-life. De nu aangekondigde kwetsbaarheden zijn al voor deze datum verholpen, zo stelt Palo Alto Networks. Voor nieuwe problemen zullen geen updates meer verschijnen. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt organisaties, net als een jaar geleden, voor een actief aangevallen kwetsbaarheid in Connect Secure VPN en roept op de nu beschikbaar gestelde update te installeren. Het beveiligingslek (CVE-2025-0282) laat een ongeauthenticeerde aanvaller via een stack-based buffer overflow op afstand code op de vpn-server uitvoeren. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Ivanti stelt dat de vpn-server van een 'beperkt aantal klanten' via CVE-2025-0282 is gecompromitteerd. Volgens het softwarebedrijf werden de aanvallen door middel van de Integrity Checker Tool (ICT) op dezelfde dag dat ze plaatsvonden geïdentificeerd. Wanneer dit was laat Ivanti niet weten. Het bedrijf zegt verder met getroffen klanten samen te werken. In het geval van een besmette vpn-server adviseert Ivanti het uitvoeren van een fabrieksreset. Verdere details over de aanvallen, aanvallers of getroffen klanten zijn niet gegeven. De ICT is een tool om gecompromitteerde vpn-servers mee te identificeren. In het verleden zijn aanvallers erin geslaagd deze tool te omzeilen en ook Ivanti erkent dat de oplossing activiteit van aanvallers niet altijd detecteert. Er wordt dan ook aangeraden de ICT in combinatie met andere monitoringtools te gebruiken. Vorig jaar waren Ivani vpn-servers ook het doelwit van aanvallen, waarop de Amerikaanse overheid met een waarschuwing kwam dat het gebruik van deze servers een 'aanzienlijk risico' met zich meebrengt. CVE-2025-0282 is naast Ivanti Connect Secure ook aanwezig in Ivanti Policy Secure en Ivanti Neurons for ZTA gateways. bron: https://www.security.nl

Het registreren van verlopen domeinnamen maakt het mogelijk om toegang tot allerlei gebackdoorde backdoors op systemen te krijgen, zo stellen onderzoekers van securitybedrijf watchTowr op basis van eigen onderzoek. De onderzoekers merken op dat veel van de backdoors die cybercriminelen gebruiken zelf ook van een backdoor zijn voorzien, waardoor de ontwikkelaar van de backdoor toegang tot systemen kan krijgen die door anderen zijn gecompromitteerd. Het gaat in veel gevallen om webshells die op gecompromitteerde webservers worden geïnstalleerd en aanvallers toegang tot de server geven. Voor de communicatie met de backdoors wordt vaak gebruikgemaakt van domeinnamen die vaak hardcoded in de betreffende backdoor staan. De onderzoekers analyseerden allerlei backdoors en zochten daarbij naar gebruikte domeinnamen, waarvan een groot aantal verlopen was. Het zou om meer dan vierduizend unieke backdoors gaan die nog actief op systemen zijn, maar waarvan de domeinnaam is verlopen of de gebruikte infrastructuur niet meer actief wordt gebruikt. De onderzoekers registreerden tientallen van deze domeinnamen en zagen vervolgens allerlei requests van gecompromitteerde systemen binnenkomen. Het ging onder andere om systemen van overheden in Bangladesh, China en Nigeria, alsmede verschillende universiteiten. De onderzoekers hebben de geregistreerde domeinnamen aan The Shadowserver Foundation overgedragen, een stichting die zich bezighoudt met de bestrijding van cybercrime. bron: https://www.security.nl

Aanvallers maken actief misbruik van een oude kritieke kwetsbaarheid in Oracle WebLogic Server of hebben dit gedaan, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Oracle kwam in april 2020 met een beveiligingsupdate voor het probleem, aangeduid als CVE-2020-2883. Dat aanvallers misbruik van het lek maken of hebben gemaakt was nog niet bekend. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. Zo zijn kwetsbaarheden in WebLogic soms al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare gecompromitteerde servers in het verleden voor onder andere cryptomining of het installeren van ransomware. Via CVE-2020-2883 kan een ongeauthenticeerde aanvaller kwetsbare WebLogic-servers op afstand overnemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Uit het beveiligingsbulletin van Oracle blijkt dat destijds zes verschillende beveiligingsonderzoekers de kwetsbaarheid hadden ontdekt en aan Oracle gerapporteerd. Oracle brengt elk kwartaal beveiligingsupdates uit en stelt daarbij altijd dat het berichten blijft ontvangen van aanvallen waarbij er misbruik is gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Het CISA heeft geen details over de waargenomen aanvallen gegeven. bron: https://www.security.nl

SonicWall heeft een authentication bypass in de SSLVPN-functionaliteit van SonicOS verholpen, het besturingssysteem dat op de firewalls van het bedrijf draait, en waarschuwt klanten volgens een bericht op Reddit voor 'naderend misbruik'. Op Reddit deelde iemand een bericht dat van SonicWall afkomstig zou zijn en partners van het securitybedrijf informeert over het beveiligingslek dat 'susceptible to actual exploitation' is. Via de authentication bypass kan een remote aanvaller de authenticatie omzeilen en zo toegang tot de vpn-server krijgen. De impact van het beveiligingslek (CVE-2024-53704) is op een schaal van 1 tot en met 10 beoordeeld met een 8.2. In het bericht stelt SonicWall dat SSL VPN-gebruikers ervan uit moeten gaan dat aanvallers op korte termijn misbruik van het lek kunnen maken en klanten die SSLVPN of SSH-management hebben ingeschakeld meteen de nieuwste firmware moeten installeren zodra die vandaag beschikbaar komt. Update SonicWall heeft het beveiligingsbulletin uitgebracht waarin het laat weten dat er geen actief misbruik van de kwetsbaarheid plaatsvindt. Het artikel is hierop aangepast. bron: https://www.security.nl

Google waarschuwt voor malware die met populaire applicaties zoals vpn-software gebundeld is en aanvallers vergaande controle over het systeem geeft. Volgens onderzoeker Tatsuhiko Ito is de PlayFulGhost-malware een backdoor die functionaliteit deelt met de Gh0st RAT-malware, waarvan de broncode in 2008 openbaar werd gemaakt. De malware wordt verspreid via phishingaanvallen en 'SEO poisoning'. Bij sommige van de phishingaanvallen versturen de aanvallers e-mails met het onderwerp 'gedragscode'. Gebruikers worden vervolgens gevraagd om de meegestuurde malafide RAR-bijlage te openen. Het bestand in de RAR-bijlage downloadt uiteindelijk de backdoor. De andere methode is SEO (search engine optimization) poisoning, waarbij criminelen de index van zoekmachines manipuleren, zodat zoekresultaten naar malafide websites hoger in de zoekresultaten verschijnen. Bij deze laatste methode wordt de malware gebundeld met populaire software, zoals de vpn-applicatie LetsVPN. De malafide bundel verschijnt bovenaan de zoekresultaten, waardoor het om een legitieme download lijkt te gaan, aldus Ito. Zodra gebruikers de bundel openen wordt uiteindelijk de PlayFulGhost-malware op het systeem gedownload. Eenmaal actief kan de malware toetsaanslagen opslaan, screenshots maken, audio opnemen, data in het clipboard kopiëren en verwijderen, informatie over QQ-accounts verzamelen, logbestanden verwijderen, aanvallers commando's laten uitvoeren, aanvullende malware installeren en meer. Opvallend aan de malware is dat die ook verschillende opties biedt die door Google als 'nuisance activity' worden omschreven. Het gaat dan om het aanpassen van de schermresolutie, het blokkeren van muis- en keyboardinvoer, het veranderen van de muisknoppenindeling, het verbergen van de taakbalk, openen en sluiten van de cd-romlade en het maken van piepgeluiden. bron: https://www.security.nl

Gebruikers van oude Firefox-versies worden opgeroepen om hun browser voor 14 maart van dit jaar te updaten, omdat anders alle extensies worden uitgeschakeld en streamingdiensten mogelijk stoppen met werken. Ook lopen gebruikers dan het risico op man-in-the-middle (MiTM) -aanvallen. Op 14 maart zal namelijk een rootcertificaat gebruikt voor het verifiëren van gesigneerde content en extensies voor verschillende Mozilla-projecten, waaronder Firefox, verlopen. Door niet te updaten naar Firefox 128 of Firefox 115.13 ESR of nieuwer zal dit grote gevolgen hebben. Zo zullen geïnstalleerde extensies worden uitgeschakeld en kan er mogelijk geen DRM-beschermde content meer worden afgespeeld, wat gevolgen heeft voor het gebruik van streamingdiensten. De nieuwste Firefox-versie beschikt over een nieuw rootcertificaat. Een ander probleem is dat allerlei andere onderdelen stoppen met werken, waaronder het herkennen van ingetrokken of frauduleus uitgetrokken certificaten, wat tot MiTM-aanvallen en phishing kan leiden. Ook zal de browser dan niet meer waarschuwen voor gecompromitteerde wachtwoorden. bron: https://www.security.nl

Antivirusbedrijf ESET waarschuwt gebruikers van Windows 10 om nu al te upgraden naar Windows 11 of een alternatief besturingssysteem en zo een naderend 'securityfiasco' te voorkomen. "Het is vijf minuten voor twaalf om een securityfiasco voor 2025 te voorkomen. We raden alle gebruikers ten zeerste aan om niet tot oktober te wachten, maar om meteen naar Windows 11 over te stappen of een alternatief besturingssysteem te kiezen als hun apparaat niet naar de nieuwste Windowsversie is te updaten", zegt Thorsten Urbanski van ESET. Volgens de virusbestrijder zijn alleen in Duitsland al 32 miljoen computers die Windows 10 draaien. Op 14 oktober stopt Microsoft de ondersteuning van deze Windowsversie. "De situatie is gevaarlijker dan toen de support voor Windows 7 begin 2020 eindigde", gaat Urbanski verder. "Zelfs voor de officiële datum, tegen het einde van 2019, gebruikte nog slechts twintig procent van de gebruikers Windows 7. Meer dan zeventig procent gebruikte toen het nieuwe Windows 10. De huidige situatie is zeer gevaarlijk." Op dit moment draait Windows 10 volgens StatCounter nog op bijna 63 procent van de Windows-desktops. Volgens Urbanski zijn ook cybercriminelen met deze cijfers bekend en wachten ze op het moment dat de support van Microsoft eindigt. In Duitsland heeft Windows 10 nog een marktaandeel van 65 procent. In Oostenrijk en Zwitserland is dat respectievelijk 63 en 56 procent, merkt Urbanski op. Zowel eindgebruikers als bedrijven kunnen tegen betaling een onderhoudscontract afsluiten om langer beveiligingsupdates te blijven ontvangen. Voor eindgebruikers bedraagt deze extra supportperiode één jaar. Bedrijven en organisaties kunnen maximaal drie jaar lang extra patches ontvangen. Urbanski stelt dat ook bedrijven zo snel mogelijk moeten overstappen. "Het verlengen van de support is kostbaar. Het gewoon laten draaien van de machines is grove nalatigheid. Met name deze verouderde systemen zijn kwetsbaar voor cyberaanvallen." bron: https://www.security.nl

Er is geen ACE-kwetsbaarheid in het populaire archiveringsprogramma 7-Zip aanwezig zoals op X wordt beweerd, zo stelt ontwikkelaar Igor Pavlov. Eerder deze week verscheen op X een bericht van een account met de naam 'NSA_Employee39'. Het account claimde dat er een onbekende ACE-kwetsbaarheid in 7-Zip aanwezig is en wees daarbij naar een zogenaamde exploit. Zowel experts als Pavlov stellen dat de geclaimde kwetsbaarheid niet echt is. Volgens de 7-Zip-ontwikkelaar gaat het om een 'fake exploit' gegenereerd door een 'AI'. Het is dan ook onduidelijk wat de vermeende kwetsbaarheid is. ACE is een bestandstype voor het comprimeren van data. In het verleden zijn er kwetsbaarheden in het ACE-compressieformaat gevonden en gebruikt bij aanvallen. Dat was echter tegen het archiveringsprogramma WinRAR. Het openen van een malafide ACE-bestand zorgde ervoor dat een aanvaller malafide code op het systeem van gebruikers kon plaatsen. Vorige maand liet de maintainer van het veelgebruikte curl-project weten dat hij geregeld door 'AI' verzonnen bugmeldingen ontvangt. 7-Zip kwam vorig jaar nog in het nieuws omdat het stilletjes een buffer overflow-kwetsbaarheid en ander beveiligingslek in het programma was gedicht, zonder dit te melden in de releasenotes of op andere manier aan gebruikers te laten weten. bron: https://www.security.nl

Vorig jaar waren er minder kwetsbaarheden waar actief misbruik van werd gemaakt, en waar op het moment van de aanval geen update voor beschikbaar was, dan het jaar daarvoor, zo stelt Google. Het techbedrijf houdt een overzicht bij van actief aangevallen beveiligingslekken dat teruggaat tot 2014. Vorig jaar registreerde Google 31 kwetsbaarheden zonder patch op het moment van de aanval. In 2023 waren dat er nog 56. De meeste actief aangevallen kwetsbaarheden registreerde Google vorig jaar in de eigen producten (11), gevolgd door Microsoft (9) en Apple (5). Het gaat onder andere om beveiligingslekken in Google Chrome, Android, Windows, WebKit en iOS. Een jaar eerder in 2023 voerde Apple de lijst nog aan (20), met daarachter Microsoft (14) en Google (11). Een verklaring voor de afname is nog niet door Google gegeven. Het techbedrijf komt vaak later in januari met een eigen analyse. 2021 was het jaar waarin Google de meeste actief aangevallen kwetsbaarheden zonder update registreerde, 69 in totaal. Toen was het Microsoft dat de lijst aanvoerde (21) met Google op de tweede plek (17) en Apple als derde (14). Veel van de kwetsbaarheden in het overzicht van Google zijn gebruikt door spywareleveranciers of zijn toegeschreven aan statelijke actoren die ze bij spionageaanvallen zouden hebben ingezet. bron: https://www.security.nl

Een ontwikkelaar heeft een op DOOM-gebaseerde captcha voor websites ontwikkeld. Om te bewijzen dat men geen bot is moeten gebruikers eerst drie monsters afschieten op de "nightmare" moeilijkheidsgraad van het spel. De captcha, gemaakt door Guillermo Rauch, is gebaseerd op een minimale port van de shareware versie van DOOM. De 'doom-captcha, waarvan de broncode via GitHub openbaar is gemaakt, maakt onder andere gebruik van WebAssembly en een JavaScript-gebaseerde captcha user-interface. Het idee is niet geheel nieuw, al in 2021 kwam een andere ontwikkelaar met een 'DOOM Captcha' waarbij drie monsters moesten worden afgeschoten. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om 36 extensies voor Google Chrome, met in totaal 2,6 miljoen gebruikers, via een phishingaanval te kapen en vervolgens te voorzien van malafide code die Facebook-inloggegevens van het systeem steelt. Eén van de getroffen Chrome-extensies was van cybersecuritybedrijf Cyberhaven, waar al eerder over werd bericht. Onder de andere getroffen extensies bevinden zich mede VPNCity, Reader Mode, ChatGPT Assistant, Search Copilot AI Assistant for Chrome, Email Hunter, ChatGPT App, Web3Password Manager en Where is Cookie?, zo meldt Extension Total. De aanvallers gebruikten een phishingmail gericht aan extensie-ontwikkelaars waarin werd gesteld dat hun extensie het beleid van de Chrome Web Store had overtreden en verwijderd zou worden. De e-mail was voorzien van een knop die naar het 'beleid' van de Chrome Web Store linkte. In werkelijkheid linkte de knop naar een OAuth-applicatie genaamd 'Privacy Policy Extension'. Deze applicatie vroeg gebruikers om de permissie om hun Chrome-extensies te bewerken en publiceren in de Chrome Web Store. Meerdere extensie-ontwikkelaars gingen hiermee akkoord, waarna de aanvallers een malafide versie van de extensie naar de Chrome Web Store publiceerden. Google Chrome installeert automatisch updates voor geïnstalleerde extensies. Dit staat standaard ingeschakeld. De besmette update probeert vervolgens inloggegevens van Facebook-accounts te stelen en terug naar de aanvallers te sturen. Extensie-ontwikkelaars zijn voor de phishingaanval gewaarschuwd. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in industriële routers van fabrikant Four-Faith en het is onduidelijk of er updates beschikbaar zijn om het probleem te verhelpen, zo meldt securitybedrijf VulnCheck. Het gaat onder andere om de F3x24 en F3x36, die mede voor onbemande systemen worden gebruikt. Een kwetsbaarheid in de routers, aangeduid als CVE-2024-12856, laat een aanvaller commando's op het systeem uitvoeren. Voorwaarde is wel dat een aanvaller zich eerst heeft geauthenticeerd. Bij de waargenomen aanvallen werd er gebruik gemaakt van het standaard wachtwoord dat niet was gewijzigd. Vervolgens werd het beveiligingslek gebruikt voor het opzetten van een reverse shell. Verdere details over de aanvallen zijn niet door VulnCheck gegeven. Het securitybedrijf waarschuwde Four-Faith op 20 december over de kwetsbaarheid en adviseert klanten om contact met de routerfabrikant op te nemen over hoe het probleem is te verhelpen. Op internet zouden mogelijk vijftienduizend routers van Four-Faith te vinden zijn. bron: https://www.security.nl

GrapheneOS heeft een nieuwe feature toegevoegd waardoor gebruikers een vingerafdruk plus pincode als secundaire unlockmethode kunnen instellen. De optie blijft 48 uur na de laatste primaire unlock geldig. GrapheneOS is een op Android-gebaseerd besturingssysteem voor Pixel-telefoons. De nieuwe feature zou handig kunnen zijn voor gebruikers die een sterke passphrase als primaire unlockmethode hebben ingeschakeld, aldus de makers. Deze gebruikers hoeven hierdoor niet steeds hun passphrase in te voeren om hun telefoon te ontgrendelen, maar kunnen dit dan via de combinatie van een pincode en vingerafdruk doen. De primaire unlockmethode is nog steeds verplicht als de telefoon wordt herstart en de secundaire unlockmethode blijft 48 uur na de laatste primaire unlock actief. Gebruikers die hun passphrase niet in het openbaar willen invoeren kunnen de 48-uurs timers van de secundaire unlockmethode refreshen om het te blijven gebruiken. Daarnaast komt er ook een optie waarmee gebruikers bij een dergelijke refresh het maximaal aantal mislukte vingerafdrukpogingen kunnen instellen. De makers stellen dat ze het idee voor de '2-factor fingerprint unlock feature' al sinds 2015 hebben, maar het zeer lastig was om die correct te implementeren en meerdere upstream Android-bugs verholpen moesten worden. "Het lockscreen is nu nog robuuster, ook als je het niet gebruikt", zo laten de makers verder weten. Die noemen de nieuwe ontgrendelmethode één van de 'flagship features' van GrapheneOS. bron: https://www.security.nl