Captain Kirk

Microsoft heeft vandaag een nieuwe managed service gelanceerd waarbij het de eigen beveiligingsexperts aanbiedt aan organisaties. Die kunnen het securitypersoneel van ondernemingen ondersteunen of de taken van het personeel uit handen nemen. Microsoft Security Experts bestaat uit drie nieuwe managed services die organisaties als aanvulling op hun bestaande securityteams kunnen gebruiken. Microsoft Defender Experts for Hunting is bedoeld voor organisaties die hulp zoeken bij het vinden en vervolgens verhelpen van dreigingen in het netwerk, zoals ransomware. Organisaties kunnen zo een Microsoft-expert consulteren over een specifiek incident, een statelijke actor of een aanvalsvector. Microsoft Defender Experts for XDR (extended detection and response) is een service die ondersteuning biedt bij het onderzoeken van alerts en het reageren op incidenten. Microsoft Security Services for Enterprise combineert threat hunting en managed XDR en is vanaf vandaag beschikbaar. Microsoft Defender Experts for Hunting zal later deze zomer beschikbaar komen, gevolgd door een preview van Experts for XDR in de herfst. bron: https://www.security.nl

De Britse financiële toezichthouder FCA slaat alarm over beleggings- en investeringsfraude via remote desktop software zoals TeamViewer en AnyDesk. Sinds juli 2020 hebben criminelen door gebruik te maken van dergelijke software ruim 29 miljoen euro van Britse slachtoffers weten te stelen. Meer dan 2100 mensen maakten melding dat ze op deze manier waren bestolen. Slachtoffers werden benaderd door "financieel adviseurs" die vroegen om remote desktop software te installeren. Op deze manier zouden slachtoffers worden geholpen met hun eerste investering. Met de gegevens van slachtoffers en de remote toegang tot de computer werd in werkelijkheid geld van de rekening gestolen. Eén slachtoffer verloor op deze manier ruim 56.000 euro. Volgens de FCA maken criminelen misbruik van de groeiende bekendheid van verzoeken tot "screen sharing", zoals bij Teams en Zoom het geval is. Via een aparte pagina worden investeerders nu door de FCA voor beleggingsfraude gewaarschuwd. Uit onderzoek van de toezichthouder blijkt dat 47 procent van de respondenten het installeren van software waarmee derden toegang krijgen niet als een 'red flag' ziet. bron: https://www.security.nl

Op internet worden de privégegevens gedeeld van 21 miljoen gebruikers van verschillende vpn-diensten. Het gaat om namen, factuurgegevens, e-mailadressen, gebruikersnamen, landnamen, "willekeurig gegeneerde wachtwoordstrings" en abonnementsperiode, zo meldt vpnMentor dat over het delen van de gegevens op chatdienst Telegram bericht. Het betreft gebruikers van vpn-providers GeckoVPN, SuperVPN en ChatVPN. Vorig jaar kregen SuperVPN en GeckoVPN met een datalek te maken waarbij de gegevens van ruim twintig miljoen gebruikers online verschenen, maar volgens vpnMentor lijkt de nu gedeelde data van de vorig jaar gelekte gegevens te verschillen. De wachtwoordhashes die in de dataset zijn te vinden lijken gehasht en gesalt, of willekeurig. "Dit houdt in dat elke wachtwoordhash verschilt, wat ze lastiger te kraken maakt", aldus de onderzoekers. Vorige maand verschenen op Twitter al berichten dat de privégegevens op een "populair hackerforum" werden verhandeld. Afgelopen weekend werd de sql-dump van tien gigabyte op een Telegram-kanaal gedeeld. bron: https://www.security.nl

Criminelen maken actief misbruik van een kritiek kwetsbaarheid in F5 BIG-IP om organisaties aan te vallen, zo meldt het Australische Cyber Security Centre (ACSC). Op 4 mei verscheen er een update voor het beveiligingslek, aangeduid als CVE-2022-1388, dat het mogelijk maakt voor een ongeauthenticeerde aanvaller met toegang tot een BIG-IP om het systeem over te nemen of uit te schakelen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. In het verleden zijn kritieke kwetsbaarheden in het platform vaker bij aanvallen gebruikt. Volgens het ACSC is er inmiddels proof-of-concept exploitcode voor het lek online verschenen en maken aanvallers ook actief misbruik van de kwetsbaarheid bij aanvallen tegen Australische netwerken. Het ACSC zegt de situatie te monitoren en roept getroffen Australische organisaties op om zich te melden. Daarnaast wordt aangeraden de beschikbare update te installeren of anders een workaround toe te passen. Securitybedrijf Censys stelt dat er zo'n 2500 BIG-IP-apparaten op internet zijn te vinden. "Normaliter adviseer ik om eerst te patchen en later configuratieproblemen te verhelpen. Maar in dit geval is het andersom: Zorg ervoor dat de beheerdersinterface niet toegankelijk is. Is dat niet mogelijk, patch dan niet, maar schakel het systeem uit. Als de configuratie-interface veilig is, dan pas patchen", aldus Johannes Ullrich van het Internet Storm Center. bron: https://www.security.nl

Google gaat ondersteuning van de FIDO-standaard aan Android en Chrome toevoegen zodat gebruikers straks zonder wachtwoord op applicaties en websites kunnen inloggen. De support moet later dit jaar in de browser en het besturingssysteem verschijnen en zal ervoor zorgen dat wachtwoorden straks niet meer nodig zijn, zo laat het techbedrijf weten. Wanneer Androidgebruikers straks via hun telefoon op een website of app willen inloggen hoeven ze alleen hun toestel te ontgrendelen. Het toestel zal hiervoor een passkey opslaan waarmee er toegang tot het online account wordt verkregen. Desktopgebruikers die op een website willen inloggen zullen eerst op hun telefoon een prompt krijgen waarin wordt gevraagd om het inloggen te bevestigen. Zodra dit is gedaan is de telefoon niet meer nodig en kan er voortaan door het ontgrendelen van alleen de computer worden ingelogd. De passkeys op de telefoon zijn via een cloudback-up naar een nieuwe telefoon over te zetten, mocht een toestel worden gestolen of verloren, laat Google verder weten. Het techbedrijf stelt dat de passkey een wachtwoordloze toekomst een stap dichterbij brengt. De Fast IDentity Online (FIDO)-Alliantie heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. Ook Apple en Microsoft werken hier aan mee. bron: https://www.security.nl

Het Tor Project heeft een nieuwe versie van de Tor-software uitgebracht die de snelheid van het Tor-netwerk drastisch moet verbeteren. Iets wat op dit moment een vaak genoemd probleem van het netwerk is. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. Dit moet de privacy van gebruikers beschermen maar kan er ook voor zorgen dat browsen via het netwerk traag is. Met "Congestion Control" wil het Tor Project dit probleem oplossen. Het elimineert de snelheidsbeperkingen van de huidige Tor-software en vermindert de latency door wachtrijen bij relay-servers te beperken, zo laat het Tor Project weten. Dit moet niet alleen voor een sneller Tor-netwerk zorgen, maar ook voor een beter gebruik van de beschikbare netwerkcapaciteit. Het Tor Project roept alle serverbeheerders in het Tor-netwerk op om te upgraden naar Tor 0.4.7. Pas als genoeg Tor-servers deze versie draaien zal de nieuwe technologie aan Tor Browser worden toegevoegd, de browser om het Tor-netwerk te kunnen gebruiken. Het Tor Project hoopt dat dit op 31 mei het geval zal zijn. bron: https://www.security.nl

NAS-fabrikant QNAP waarschuwt eigenaren van een NAS-systeem voor verschillende kwetsbaarheden waardoor aanvallers in het ergste geval NAS-apparaten op afstand kunnen overnemen. De kwetsbaarheden zijn beoordeeld als kritiek en 'high' en bevinden zich in onderdelen die in het verleden vaker bij aanvallen zijn misbruikt. QNAP roept gebruikers op om de beschikbare updates te installeren. In QTS, QuTS hero en QuTScloud heeft QNAP vier kwetsbaarheden verholpen die het mogelijk maken voor aanvallers om willekeurige commando's op NAS-systemen uit te voeren, toegang tot vertrouwelijke bestanden te krijgen, kwaadaardige code te injecteren en gebruikers naar een malafide pagina door te sturen die malware bevat. Hoe aanvallers de beveiligingslekken precies kunnen misbruiken laat QNAP niet weten. In Photo Station is een kwetsbaarheid gedicht die het mogelijk maakt om "de veiligheid van het systeem te compromitteren". Verdere details geeft QNAP niet. Photo Station is een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. Beveiligingslekken in deze software zijn in het verleden gebruikt bij ransomware-aanvallen. Een kritieke kwetsbaarheid in QVR maakt het mogelijk voor aanvallers om willekeurige commando's op NAS-systemen uit te voeren. QVR is een videosurveillancetool van QNAP. Tevens is de NAS-fabrikant met updates gekomen voor Video Station, waarmee twee kwetsbaarheden verholpen waardoor aanvallers toegang tot vertrouwelijke gegevens kunnen krijgen en ongeautoriseerde acties kunnen uitvoeren. bron: https://www.security.nl

Onderzoekers hebben in de antivirussoftware van Avast en AVG twee kwetsbaarheden ontdekt waardoor het mogelijk was voor aanvallers die al toegang tot het systeem hadden om als normale gebruiker code met kernelrechten uit te voeren en zo bijvoorbeeld virusscanners en andere beveiligingssoftware uit te schakelen, systeemonderdelen te overschrijven of het besturingssysteem te corrumperen. Daarnaast waren de beveiligingslekken te gebruiken om uit sandboxes te ontsnappen, bijvoorbeeld die van browsers. Zo zouden de kwetsbaarheden kunnen worden gebruikt om in combinatie met een ander lek in bijvoorbeeld een browser systemen op afstand over te nemen. De beveiligingslekken waren al tien jaar in de beveiligingssoftware aanwezig en raakten miljoenen gebruikers, zo stelt securitybedrijf SentinelOne dat de problemen ontdekte. De kwetsbaarheden, aangeduid als CVE-2022-26522 en CVE-2022-26523, waren aanwezig in de anti-rootkit driver van de virusscanners. SentinelOne waarschuwde Avast vorig jaar december. Het antivirusbedrijf kwam in februari met een beveiligingsupdate om de kwetsbaarheden te verhelpen. SentinelOne stelt dat er geen misbruik van de lekken is gemaakt. Eerder deze week meldde antivirusbedrijf Trend Micro dat een andere kwetsbaarheid in de Avast-driver gebruikt wordt door de AvosLocker-ransomware om beveiligingssoftware op aangevallen systemen uit te schakelen. Dit beveiligingslek werd volgens Avast vorig jaar juli verholpen. Deze maand kwam Microsoft met een beveiligingsupdate voor Windowsgebruikers om misbruik van de driver te voorkomen. bron: https://www.security.nl

Cisco waarschuwt organisaties voor vervalste switches en adviseert een software-upgrade uit te voeren om zo verkeerde hardware te detecteren. Volgens Cisco vormt de illegale grijze markt een groot risico voor organisaties die al dan niet bewust ongeautoriseerde tweedehands, third-party of gestolen netwerkapparatuur kopen. Met name Cisco's 2960X/2960XR-switches worden in dit circuit aangeboden. Cisco claimt dat vervalste switches ongewoon gedrag kunnen vertonen en "normale systeemoperaties" kunnen verstoren. Om vervalste hardware en software te detecteren maakt Cisco gebruik van verschillende maatregelen en technieken, waaronder secure boot, een hardware trust anchor, een secure unique device identifier (SUDI) en digitaal gesigneerde software images. Organisaties krijgen nu het advies om hun Cisco Catalyst 2960X/2960XR-switches te upgraden naar IOS-versie 15.2(7)E4 of nieuwer voordat ze het apparaat aan hun netwerk toevoegen. De genoemde IOS-versies maken gebruik van SUDI-verificatie om eventueel vervalste switches te detecteren. Verder adviseert Cisco om apparatuur alleen via geautoriseerde partners aan te schaffen. bron: https://www.security.nl

Alle ontwikkelaars die op de één of andere manier bijdragen aan code op GitHub.com zullen eind 2023 tweefactorauthenticatie (2FA) voor hun account moeten hebben ingeschakeld, zo laat het populaire platform voor softwareontwikkelaars vandaag weten. Volgens GitHub zijn accounts van softwareontwikkelaars geregeld het doelwit van aanvallen en is het beveiligen van deze accounts de eerste en belangrijkste stap in het beschermen van de software supply chain. "De meeste beveiligingsincidenten zijn niet het gevolg van exotische zeroday-aanvallen, maar eenvoudigere aanvallen zoals social engineering, wachtwoorddiefstal of -lekken en andere manieren waardoor aanvallers toegang tot accounts van slachtoffers krijgen en de middelen waar die toegang toe hebben", zegt Mike Hanley van GitHub. Via gecompromitteerde accounts kunnen aanvallers code stelen of kwaadaardige aanpassingen aan code toevoegen. Hanley stelt dat 2FA een belangrijke maatregel is om accounts te beschermen. Slechts 16,5 procent van de actieve GitHub-gebruikers heeft dit echter ingesteld en slechts 6,44 procent van de npm-gebruikers. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en eigendom van GitHub. Met de vandaag aangekondigde maatregel zal 2FA straks voor alle accounts verplicht zijn. De komende maanden zal GitHub meer details over de 2FA-plannen geven. bron: https://www.security.nl

Er is een update voor e-mailclient Thunderbird verschenen waardoor bepaalde gebruikers weer versleuteld kunnen mailen. Dat was sinds 5 april namelijk niet meer mogelijk. Thunderbird biedt gebruikers de optie om versleuteld via OpenPGP te e-mailen. OpenPGP maakt gebruik van private en public keys, die eigenschappen bevatten zoals namen, e-mailadressen, aanvullende sub-keys en informatie over de geldigheid van de sleutel. Deze eigenschappen zijn digitaal ondertekend om te bewijzen dat ze zijn toegevoegd of veranderd door de eigenaar van de sleutel en niet door iemand anders. Wanneer de sleuteleigenaar bijvoorbeeld de verloopdatum van een OpenPGP-key aanpast wordt hiervoor een digitale handtekening gebruikt die wordt toegevoegd aan de sleutel. Voor deze handtekening kan het SHA-1-hashingalgoritme worden gebruikt. Sinds 2005 zijn er aanvallen op SHA-1 bekend en sinds 2011 wordt daarom aangeraden het algoritme uit te faseren. Met de lancering van Thunderbird 91.8.0 op 5 april was een aanpassing doorgevoerd die ervoor zorgt dat handtekeningen die van bepaalde onveilige algoritmes gebruikmaken worden geweigerd, afhankelijk van de datum waarop de handtekening is gemaakt. Hierdoor weigerde Thunderbird handtekeningen die van SHA1 gebruikmaken en na januari 2019 waren gecreëerd. Dit had als gevolg dat gebruikers deze keys niet meer konden gebruiken. Het Thunderbird-team had er rekening mee gehouden dat dit bij sommige gebruikers voor problemen zou zorgen, maar meer gebruikers dan verwacht lieten weten dat ze niet meer versleuteld konden mailen. Om deze gebruikers meer tijd te geven om SHA-1 uit te faseren accepteert Thunderbird 91.9.0 weer SHA-1-handtekeningen voor de eigenschappen van OpenPGP-keys. Daarom kunnen deze gebruikers weer hun keys gebruiken totdat SHA-1 volledig wordt uitgefaseerd in een toekomstige versie van de e-mailclient. Volgens Kai Engert van Thunderbird zijn SHA-1-aanvallen mogelijk, maar zijn de aanvallen die nu bekend zijn lastig toe te passen op OpenPGP-handtekeningen. bron: https://www.security.nl

Een spionagegroep die bekendstaat als APT28 en Fancy Bear heeft de afgelopen weken aanvallen via e-mail uitgevoerd waarbij geprobeerd werd om doelwitten met malware te infecteren die cookies en wachtwoorden uit browsers steelt, zo stelt Google op basis van eigen onderzoek. Volgens Googles Threat Analysis Group (TAG) waren de aanvallen gericht tegen Oekraïense gebruikers en bestonden uit e-mails die als bijlage een met wachtwoord beveiligd zip-bestand hadden. Het bestand bevat in werkelijkheid malware die wanneer geopend cookies en wachtwoorden uit Chrome, Edge en Firefox steelt en vervolgens via e-mail naar een al gecompromitteerd e-mailaccount stuurt. Google geeft periodiek een overzicht van aanvallen waarvan het stelt dat die door statelijke actoren en "Advanced Persistent Threats" (APTs) zijn uitgevoerd. In het overzicht van deze maand blijkt dat dergelijke aanvallers basale technieken gebruiken, zoals het gebruik van malafide linkjes en phishingdomeinen, om zo inloggegevens van doelwitten te stelen. Verder laat het techbedrijf weten dat een spionagegroep die aan het Chinese leger is gelieerd succesvolle aanvallen tegen Russische defensieleveranciers en -fabrikanten en een Russisch logistiek bedrijf heeft uitgevoerd. bron: https://www.security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen, maar gebruikers met een usb-stick zullen een handmatige upgrade moeten uitvoeren. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. Met de lancering van Tails 5.0 is de eerste Tails-versie verschenen gebaseerd op Debian 11. Daarnaast zijn er updates voor aanwezige applicaties doorgevoerd, zoals Audacity, LibreOffice en GIMP, en verschillende fixes, waaronder voor een probleem bij het ontgrendelen van versleutelde volumes waarvoor een zeer lange passphrase is gebruikt. Tails beschikt over de mogelijkheid om automatisch naar nieuwe versies te upgraden, maar dat is in het geval van Tails 5.0 niet mogelijk. "Alle gebruikers moeten een handmatige upgrade uitvoeren", zo staat in de release notes. bron: https://www.security.nl

Eind dit jaar zal geen enkele klant van Exchange Online bij het inloggen meer gebruik kunnen maken van protocollen zoals POP en IMAP, zo heeft Microsoft aangekondigd. Het techbedrijf zal dan bij alle klanten Basic Authentication hebben uitgeschakeld. Volgens Microsoft is Basic Authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen. Eerder maakte Microsoft al bekend dat het op 1 oktober met Basic Auth in Exchange Online stopt. Dit zal echter een gefaseerd proces zijn, zo blijkt nu. Vanaf deze datum zal Microsoft namelijk willekeurig klanten kiezen die nog via bijvoorbeeld POP of IMAP op de mailomgeving inloggen. Vervolgens krijgen deze klanten een waarschuwing dat Basic Auth zal worden uitgeschakeld. Microsoft verwacht dat dit gehele proces eind dit jaar is afgerond. Vanwege de impact worden organisaties nu al opgeroepen om hun zaken voor 1 oktober op orde te hebben. Basic Authentication zal worden uitgeschakeld voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP en Remote PowerShell. Er is besloten om SMTP AUTH niet uit te schakelen. Microsoft laat verder weten dat organisaties na oktober niet meer om meer tijd kunnen vragen of een specifieke datum dat Basic Auth wordt uitgeschakeld. Wanneer Basic Authentication uitstaat kunnen e-mailclients of scripts die hier nog mee werken geen verbinding meer maken. Microsoft claimt dat Basic Auth één van de meest, als niet de meestgebruikte manier is waarop klanten worden gecompromitteerd en dat dit soort aanvallen toeneemt. "We hebben Basic Auth al in miljoenen omgevingen uitgeschakeld waar het niet werd gebruikt", aldus het Microsoft Exchange Team. "Elke dag dat in je omgeving Basic Auth is ingeschakeld loop je risico op aanvallen." bron: https://www.security.nl

De criminelen achter de AvosLocker-ransomware maken gebruik van een driver van antivirusbedrijf Avast om virusscanners en andere beveiligingssoftware op aangevallen systemen uit te schakelen. Dat laat antivirusbedrijf Trend Micro weten. De driver in kwestie moet systemen tegen rootkits beschermen. In het geval van AvosLocker gebruikt de ransomware de driver om aanwezige beveiligingssoftware te neutraliseren en detectie te voorkomen. Het gaat hierbij om de software van andere antivirusleveranciers. Volgens Trend Micro laat dit zien dat aanvallers, zodra ze toegang tot systemen hebben, steeds geraffineerder worden in het gebruik van legitieme tools om hun malafide activiteiten te verbergen. Trend Micro waarschuwde Avast. Het antivirusbedrijf stelt dat er een kwetsbaarheid in een oude versie van de driver aswArPot.sys aanwezig is. Dit beveiligingslek is vorig jaar juni verholpen. Avast heeft met Microsoft samengewerkt om ervoor te zorgen dat Windows 10 en 11 de oudere versie van de driver blokkeren, zodat die niet in het geheugen geladen kan worden. De Windows-update die hiervoor zorgt werd afgelopen februari als optionele update aangeboden en vorige maand als beveiligingsupdate. Windowsmachines die up-to-date zijn, zijn dan ook niet meer kwetsbaar voor deze aanval, aldus Avast in een reactie tegenover Trend Micro. bron: https://www.security.nl

Achttien jaar na de release van Firefox 1.0 heeft Mozilla vandaag Firefox 100 uitgebracht. Naast het verhelpen van verschillende kwetsbaarheden bevat de Androidversie ook een HTTPS-only mode die ervoor zorgt dat websites alleen via https worden benaderd en standaard staat ingeschakeld. Wanneer een website geen https gebruikt krijgen Androidgebruikers een waarschuwing en moeten ze een extra handeling uitvoeren om de htttp-website te bezoeken. Gebruikers kunnen de HTTPS-only mode ook uitschakelen. Verder zijn er met de lancering van Firefox 100 negen kwetsbaarheden in de browser verholpen die onder andere spoofingaanvallen mogelijk maken alsmede de browsegeschiedenis kunnen lekken. Volgens StatCounter heeft Firefox een wereldwijd marktaandeel van 3,4 procent. Op de desktop is dit bijna acht procent. Onder Nederlandse desktopgebruikers maakt 8,3 procent gebruik van Mozillas browser. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie of Mozilla.org. bron: https://www.security.nl

Miljoenen Internet of Things-apparaten zijn door een beveiligingslek in een populaire c-library kwetsbaar voor aanvallen, zo claimt securitybedrijf Nozomi Networks. Een beveiligingsupdate is nog altijd niet beschikbaar. De kwetsbaarheid is aanwezig in de libraries uClibc en spin-off uClibc-ng. Het gaat om twee libraries voor het ontwikkelen van embedded Linux-systemen. Door het versturen van een speciaal geprepareerd request naar systemen waarop de kwetsbare libraries draaien is dns poisoning mogelijk. Hierbij zal het systeem een door de aanvaller opgegeven ip-adres bezoeken in plaats van het bedoelde ip-adres. Volgens de onderzoekers zijn hierdoor ook man-in-the-middle aanvallen mogelijk, omdat een aanvaller het verkeer van het kwetsbare systeem via een eigen server kan routeren. De kwetsbaarheid werd vorig jaar september bij het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid gemeld. Pas in maart lukte het een andere instantie om de maintainer van uClibc-ng te bereiken. Die stelde echter dat hij niet in staat is om de kwetsbaarheid te verhelpen en hoopt door openbaarmaking dat anderen hierbij kunnen helpen. Aangezien er nog altijd geen patch beschikbaar is heeft Nozomi geen details over kwetsbare apparaten gegeven, maar het bedrijf stelt dat miljoenen apparaten de libraries gebruiken. bron: https://www.security.nl

Beveiligingsonderzoeker John Page heeft een kwetsbaarheid in verschillende populaire ransomware-exemplaren ontdekt waardoor het mogelijk is om de malware voordat het versleutelen van bestanden begint uit te schakelen. Dat meldt de onderzoeker op Twitter en laat hij in verschillende YouTube-video's zien. Het beveiligingslek in kwestie betreft dll-hijacking. De ransomware-exemplaren zoeken in de huidige directory waar ze worden uitgevoerd naar dll-bestanden en voeren die uit. Door een speciaal geprepareerd dll-bestand in deze directory te plaatsen is het mogelijk om de ransomware uit te schakelen voordat die met het versleutelen van bestanden begint aldus de onderzoeker. "Antivirussoftware is voor het uitvoeren van de malware uit te schakelen, maar niet deze methode, aangezien er niets uit te schakelen is, Het dll-bestand staat gewoon op de harde schijf. Vanuit verdedigingsperspectief kun je, als onderdeel van een meerlaagse beveiligingsaanpak, het dll-bestand toevoegen aan een specifieke netwerkmap die belangrijke data bevat", merkt Page op. De onderzoeker maakte een proof-of-concept exploit om het beveiligingslek te demonstreren, maar merkt op dat het gebruik op eigen risico is. De kwetsbaarheid is onder andere aanwezig in de ransomware-exemplaren AvosLocker, REvil, LockBit en Conti. bron: https://www.security.nl

Onderzoekers hebben naar eigen zeggen een spionagegroep ontdekt die allerlei netwerkapparaten zoals ip-camera's, loadbalancers, SAN-arrays en wireless access point controllers van backdoors voorziet om zo vertrouwelijke e-mails bij organisaties te stelen. De groep, die door securitybedrijf Mandiant UNC3524 wordt genoemd, heeft het voorzien op personeel dat zich bezighoudt met fusies en overnames, grote zakelijke transacties en bedrijfsontwikkeling. Hoe de aanvallers precies toegang tot de omgeving van hun slachtoffers krijgen is onbekend. Zodra de initiële toegang is verkregen infecteren ze netwerkapparaten zoals SAN-arrays, loadbalancers en wireless access point controllers met een backdoor. Volgens de onderzoekers kiest de groep bewust voor deze apparaten omdat hier geen beveiligingssoftware op draait, waardoor ze langer onopgemerkt in het netwerk van organisaties kunnen verblijven. Deze besmette netwerkapparaten maken verbinding met een botnet dat weer uit besmette ip-camera's bestaat. Naast het infecteren van netwerkapparaten met een backdoor proberen de aanvallers zich lateraal door het netwerk te bewegen, waarbij het doel is om geprivilegieerde inloggegevens voor de e-mailomgeving te verkrijgen. Met de inloggegevens versturen ze Exchange Web Services (EWS) API-requests naar de lokale Microsoft Exchange- of Microsoft 365 Exchange Online-omgeving, waarbij specifieke mailboxes het doelwit zijn. Naast directieleden en personeel dat zich bezighoudt met fusies en overnames, grote zakelijke transacties en bedrijfsontwikkeling, vermoedt Mandiant dat ook het it-securityteam van aangevallen organisaties het doelwit van de aanvallers is, die zo kijken of ze al zijn ontdekt. Besmette camera's De command & control-systemen voor het aansturen van besmette apparaten bij organisaties waren met name legacy cameravergaderingssystemen van fabrikant LifeSize. Eén keer werd ook een gecompromitteerde D-Link ip-camera aangetroffen. De camerasystemen bleken ook met een backdoor te zijn besmet. De onderzoekers merken op dat de camerasystemen direct toegankelijk vanaf het internet waren, mogelijk door een verkeerde UPnP-configuratie. Vermoedelijk wisten de aanvallers via standaard inloggegevens toegang tot de camera's te krijgen. "Net als het gebruik van embedded netwerkapparaten kan UNC3524 detectie voorkomen door direct vanaf gecompromitteerde infrastructuur te opereren die direct met internet is verbonden, zoals ip-camera's waar traditionele antivirus- en beveiligingssoftware mogelijk niet aanwezig is", aldus onderzoeker Doug Bienstock. Organisaties wordt aangeraden om netwerkapparaten die geen monitoringstools ondersteunen te inventariseren en hier logging voor in te schakelen en de logs door te laten sturen naar een centrale locatie. Wie erachter de spionagegroep zit is onbekend. bron: https://www.security.nl

Microsoft heeft een versie van de eigen Defender-antivirussoftware voor mkb-bedrijven gelanceerd. Defender for Business is bedoeld voor bedrijven tot driehonderd medewerkers. De software kan naast Windows-systemen ook Android- en iOS-apparaten en MacOS-systemen monitoren. Later dit jaar zal de beveiligingssoftware ook ondersteuning krijgen voor het monitoren van Linux- en Windows-servers. Dit moet het mogelijk maken voor organisaties om clients en servers vanuit één omgeving te beheren. Volgens Microsoft zijn mkb-bedrijven kwetsbaar voor aanvallen omdat ze over minder middelen beschikken en geen gespecialiseerd securitypersoneel in dienst hebben. bron: https://www.security.nl

Direct messages die via Twitter worden verstuurd zouden end-to-end versleuteld moeten zijn, zo stelt Elon Musk, de nieuwe eigenaar van de microbloggingdienst. Op dit moment past Twitter geen end-to-end encryptie toe voor de privéberichten van gebruikers, waardoor derden die zouden kunnen lezen. Op Twitter stelt Musk dat direct messages end-to-end encryptie zoals Signal zouden moeten hebben. "Zodat niemand je berichten kan bespioneren of hacken." Recentelijk stelde de Amerikaanse burgerrechtenbeweging EFF dat Twitter de privéberichten die gebruikers onderling versturen end-to-end zou moeten versleutelen. "Het versleutelen van privéberichten zou veel doen voor het verbeteren van de veiligheid van gebruikers, en kan de redelijke angst wegnemen dat wie bij Twitter werkt, in de raad van bestuur zit of aandelen bezit, de berichten van gebruikers kan bespioneren", aldus de EFF. "Wanneer gebruikers meer controle hebben, maakt het minder uit wie eraan het hoofd staat, en dat is goed voor iedereen." bron: https://www.security.nl

Microsoft heeft een vroege testversie van de Edge-browser voorzien van een vpn-achtige oplossing, maar de functionaliteit van de dienst is vooralsnog beperkt. Met het Microsoft Edge Secure Network wordt er een versleutelde tunnel naar servers van internetbedrijf Cloudflare opgezet. Volgens Microsoft helpt dit bij het tegengaan van online tracking. "Door je webverkeer direct vanuit Microsoft Edge te versleutelen, voorkomen we dat je internetprovider browsingdata zoals bezochte websites kan verzamelen", aldus het techbedrijf. De dienst is alleen beschikbaar voor gebruikers die op de browser zijn ingelogd met hun Microsoft Account. Daarnaast biedt de dienst volgens een supportdocument maximaal één gigabyte aan dataverkeer per maand. De vpn-achtige dienst wordt in samenwerking met Cloudflare aangeboden. Volgens Microsoft verzamelt Cloudflare een beperkte hoeveelheid diagnostische gegevens en supportdata. Deze gegevens worden elke 25 uur verwijderd. Bleeping Computer testte Edge Secure Network, dat voor een selecte groep gebruikers van Edge Canary beschikbaar is. Vooralsnog is de conclusie dat het om een beperkte dienst gaat. Zo kunnen gebruikers niet hun locatie kiezen, waardoor het niet mogelijk is om bijvoorbeeld content van streamingdiensten te bekijken die niet in het land van de gebruiker toegankelijk is. Verder biedt de dienst op dit moment één gigabyte aan dataverkeer. Of en wanneer Edge Secure Network in de standaardversie van de browser wordt gelanceerd is op dit moment onbekend. bron: https://www.security.nl

Er wordt op dit moment op grote schaal misbruik gemaakt van een kritieke kwetsbaarheid in VMware Workspace One Access, zo claimt securitybedrijf Rapid7. Via het beveiligingslek, aangeduid als CVE-2022-22954, kan een ongeauthenticeerde aanvaller die toegang tot de webinterface heeft door middel van server-side template injection willekeurige code op het systeem uitvoeren. Voor de kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, bracht VMware op 6 april een beveiligingsupdate uit. Bij de waargenomen aanvallen installeren aanvallers backdoors en coinminers op systemen. Op 13 april meldde VMware dat aanvallers actief misbruik van het lek maken. Inmiddels is er sprake van grootschalig misbruik, aldus Rapid7. Het bedrijf noemt geen cijfers over het aantal aanvallen. Wel zouden computers die onderdeel van een botnet zijn scans naar kwetsbare VMware-systemen uitvoeren. Organisaties worden dan ook opgeroepen om de kwetsbaarheid meteen te patchen en niet op de reguliere patchcyclus te wachten. Eerder stelde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat alle federale overheidsinstanties de VMware-update voor 5 mei moeten hebben geïnstalleerd. bron: https://www.security.nl

De groep aanvallers die zichzelf Lapsus$ noemt en de afgelopen maanden wist in te breken bij Microsoft, Nvidia, Okta en Samsung maakt vooral gebruik van gestolen authenticatiecookies om toegang tot accounts en systemen te krijgen, zo stelt securitybedrijf NCC Group in een analyse. Ook zet de groep geregeld social engineering in. "Er wordt aangenomen dat het gebruik van gestolen authenticatiecookies, waarmee de aanvaller toegang tot een specifieke applicatie krijgt, de voornaamste bron van initiële toegang is", zegt David Brown van NCC Group. "Deze cookies zijn vaak in de vorm van Single sign-on (SSO) applicaties waarmee de aanvaller toegang tot andere applicaties kan krijgen en uiteindelijk maatregelen zoals multifactorauthenticatie kan omzeilen." Hoe Lapsus$ de cookies weet te stelen laat het securitybedrijf niet weten. Eerder meldde Microsoft dat de groep ook gebruikmaakt van de Redline-malware voor het stelen van wachtwoorden en sessietokens. Daarnaast zouden de benodigde authenticatiecookies op internet worden aangeschaft. Tevens maakt de groep veelvuldig gebruik van social engineering. Bij één incident response onderzoek zag NCC Group hoe de aanvallers gecompromitteerde e-mailaccounts van medewerkers gebruikten en daarmee de helpdesk vroegen om inloggegevens of hulp bij het inloggen op de vpn van de onderneming in kwestie. Aanbevelingen NCC Group doet verschillende aanbevelingen om aanvallen door de groep te voorkomen. Zo wordt aangeraden om de tijd dat MFA-tokens en sessiecookies geldig zijn te verkorten, MFA voor zowel clouddiensten als remote access oplossingen in te schakelen en ervoor zorgen dat ook in cloudomgevingen voldoende logging plaatsvindt. Verder wordt geadviseerd om geen sms voor MFA te gebruiken en repositories te beveiligen. Lapsus$ wist bij slachtoffers gigabytes aan broncode buit te maken. Verder doen organisaties er verstandig aan om al het personeel over social engineering te trainen. bron: https://www.security.nl

Het Computer Emergency Reponse Team van de Japanse overheid (JPCERT) heeft een tool voor het detecteren van de Emotet-malware van een update voorzien, zodat voortaan ook 64-bit exemplaren worden gedetecteerd. De eerste versie van "EmoCheck", zoals de opensourcetool heet, verscheen in 2020 en was specifiek ontwikkeld voor het detecteren van Emotet. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Eerder deze maand lieten onderzoekers via Twitter weten dat nieuwe Emotet-exemplaren gebruikmaakten van 64-bit modules en loaders. Om ook deze varianten te detecteren heeft JPCERT EmoCheck van een update voorzien. De nieuwe versie is via GitHub te downloaden. bron: https://www.security.nl