Captain Kirk

Mozilla heeft een nieuwe versie van Firefox uitgebracht die trackingparameters in url's kan strippen om het online volgen van gebruikers te voorkomen. Het gaat dan bijvoorbeeld om het Facebook click ID dat Facebook aan url's op het platform toevoegt en het mogelijk maakt om clicks naar externe sites te tracken. Parametertracking wordt niet alleen door Facebook toegepast, maar is overal op internet aanwezig, van nieuwsbrieven tot zoekmachines. Het gaat dan om url's als https://example.com?utm_source=newsletter1&utm_medium=email&utm_campaign=sale, https://example.com?fbclid=<61-char-long-unique-identifier> en https://google.com/search?q=my+search&gs_lcp=<128-char-long-unique-identifier>. Een jaar geleden kreeg Mozilla het verzoek om dergelijke trackingparameters in url's door Firefox te laten strippen. Met de lancering van Firefox 102 is dat nu het geval. Het gebeurt echter alleen in de 'strict mode' van de Enhanced Tracking Protection (ETP). Via ETP blokkeert Firefox allerlei trackers. Het is echter mogelijk om de privacyfeature strenger in te stellen, waardoor nu ook trackingparameters worden gestript. Mozilla meldde eerder nog dat de "Query Parameter Stripping" feature ook in de Private Browsing-mode van Firefox zou komen, maar dat is niet het geval. Verder zijn er met de nieuwste Firefox-versie 21 kwetsbaarheden in de browser verholpen. Updaten naar Firefox 102 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

De MITRE Corporation publiceert elk jaar de Top 25 van gevaarlijkste kwetsbaarheden en net als vorig jaar staat ook dit jaar "out-of-bounds write" op de eerste plek, gevolgd door cross-site scripting en SQL Injection. MITRE is de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden te identificeren. De organisatie stelt jaarlijks een Top 25 vast van gevaarlijke kwetsbaarheden die veel in software voorkomen, eenvoudig zijn te vinden en misbruiken, en aanvallers de mogelijkheid geven om systemen volledig over te nemen, data te stelen of een denial of service uit te voeren. Volgens MITRE biedt de Top 25 professionals een praktische en handige bron om risico's te mitigeren. Het gaat dan om programmeurs, testers, gebruikers, projectmanagers en beveiligingsonderzoekers. De Top 25 is gebaseerd op 38.000 kwetsbaarheden die in 2020 en 2021 werden gevonden. Vervolgens werd er een scoreformule gebruikt om de ranking van elke kwetsbaarheid te bepalen. Deze formule kijkt hoe vaak de betreffende kwetsbaarheid voorkomt en de beoogde impact wanneer die wordt misbruikt. Dan staat wederom out-of-bounds write bovenaan. Via deze klasse van kwetsbaarheden is het mogelijk voor een aanvaller om een applicatie te laten crashen of code op het systeem uit te voeren. Andere bekende kwetsbaarheden in de top tien zijn cross-site scripting, SQL Injection en path traversal. SQL Injection steeg met drie plekken naar de derde plek. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren. bron: https://www.security.nl

De ontwikkelaars van Thunderbird hebben vandaag een compleet vernieuwde versie van de populaire e-mailclient gelanceerd, die allerlei nieuwe features en gebruikersinterface bevat. Het gaat onder andere om een nieuw adresboek, een nieuwe lay-out voor contacten en een nieuwe import en export wizard, die het eenvoudiger moet maken om naar Thunderbird te migreren. Verder zijn de message headers aangepast, waardoor alleen de belangrijke informatie wordt benadrukt. Daarnaast zou de nieuwe vormgeving ook eenvoudiger te navigeren moeten zijn. Een andere belangrijke aanpassing is dat de in Thunderbird ingebouwde chatapplicatie nu ook het chatprotocol Matrix ondersteunt. Matrix is een protocol en platform dat versleutelde communicatie biedt. Thunderbird biedt al enige tijd ingebouwde support voor versleutelde communicatie via OpenPGP. Ook daarvoor zijn verschillende aanpassingen doorgevoerd: Commandline tools now included for OpenPGP debugging Thunderbird may now be built with OpenPGP support and a system librnp Added menu option to permanently decrypt OpenPGP encrypted messages to a folder OpenPGP: Public keys from email attachments and autocrypt headers now cached for future use Expired OpenPGP recipient keys now indicated in compose window OpenPGP Key Assistant enabled by default OpenPGP Key Properties now supports refreshing keys from key server Compose toolbar button for OpenPGP & S/MIME signing available via "Customize Toolbar" Volgens het ontwikkelteam heeft Thunderbird meer dan twintig miljoen gebruikers. Die zullen Thunderbird 102 echter handmatig via Thunderbird.net moeten downloaden. Het is niet mogelijk om automatisch vanaf Thunderbird 91 naar de nieuwe versie te upgraden, dit moet via een handmatige download plaatsvinden. De automatische update zal via een toekomstige versie wel mogelijk zijn, maar wanneer is niet bekendgemaakt. Verder verhelpen Thunderbird 102 en Thunderbird 91.11 meerdere kwetsbaarheden. bron: https://www.security.nl

Internationale privacytoezichthouders slaan alarm over het hergebruik van wachtwoorden, aangezien criminelen hierdoor op accounts van internetgebruikers kunnen inloggen. Het gaat specifiek om credential stuffing-aanvallen. Bij dergelijke aanvallen worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Volgens de privacytoezichthouders van Canada, Gibraltar, Jersey, Turkije, het Verenigd Koninkrijk en Zwitserland vormen credential stuffing-aanvallen een groeiende dreiging voor de persoonlijke informatie van internetgebruikers. Daarom zijn de autoriteiten met een advies gekomen waarin ze eindgebruikers en organisaties laten weten hoe dergelijke aanvallen zijn te voorkomen, detecteren en mitigeren (pdf). Het gaat dan om het niet hergebruiken van wachtwoorden en het vermijden van korte en voorspelbare wachtwoorden. Tevens adviseren de privacytoezichthouders het gebruik van passphrases, wachtwoorden die uit meerdere woorden bestaan. De meest effectieve maatregel tegen credential stuffing is multifactorauthenticatie, zo laten de autoriteiten weten. Dit moet dan ook waar mogelijk worden ingesteld. bron: https://www.security.nl

De criminelen achter de LockBit-ransomware zijn een eigen bugbountyprogramma gestart, waarbij ze onder andere beloningen uitloven voor het melden van kwetsbaarheden in de website van de groep en het encryptieproces van de ransomware. Dat laten verschillende beveiligingsonderzoekers op Twitter weten. Volgens securitybedrijf NCC Group was de LockBit-groep de meest actieve ransomwaregroep in mei en zou zeker 95 organisaties hebben getroffen. Eerder dit jaar liet ook de FBI weten dat LockBit tot de meest actieve ransomwaregroepen behoort. Het komt nog altijd voor dat onderzoekers kwetsbaarheden in ransomware vinden waardoor bijvoorbeeld bestanden gratis zijn te ontsleutelen of het versleutelen van bestanden kan worden gestopt. Recentelijk toonde een onderzoeker hoe de LockBit-ransomware op een besmet systeem is uit te schakelen, zonder dat bestanden worden versleuteld. Op de eigen website laat de LockBit-groep nu weten dat het een bugbountyprogramma is gestart, met beloningen van tussen de duizend en één miljoen dollar. De beloningen zijn voor kwetsbaarheden in de website van de groep, problemen in het encryptieproces waardoor bestanden zonder decryptor zijn te ontsleutelen en kwetsbaarheden in TOX Messenger en het Tor-netwerk waardoor het ip-adres van de LockBit-server is te achterhalen. Daarnaast loven de criminelen ook beloningen uit voor "briljante ideeën" en het doxxen van de programmamanager. Wie de leider van de groep weet te identificeren zou één miljoen dollar krijgen. bron: https://www.security.nl

Nog iets meer dan negen maanden en dan stopt Microsoft met de ondersteuning van Exchange Server 2013. De mailserversoftware zal dan geen beveiligingsupdates meer ontvangen. Ook worden er vanaf 11 april 2023 geen tijdszone-updates en bugfixes meer doorgevoerd en kan er ook geen beroep meer op technische support voor problemen worden gedaan. Dat laat Microsoft nogmaals aan organisaties weten. Vanwege de risico's om niet meer ondersteunde software te gebruiken adviseert Microsoft organisaties om zo snel mogelijk naar Exchange Server 2019 of Microsoft 365 te migreren. Eind vorig jaar liet securitybedrijf Rapid7 weten dat er 69.000 Exchange 2013-servers op internet te vinden waren. Begin volgend jaar stopt Microsoft ook de ondersteuning van Windows 8.1. bron: https://www.security.nl

Opera heeft in de betaversie van de desktopbrowser de eigen betaalde "no-log" vpn-dienst Opera VPN Pro gelanceerd. De browser beschikte al enige tijd over een gratis vpn-optie, maar biedt gebruikers nu ook tegen betaling de mogelijkheid om meer dan drieduizend vpn-servers in meer dan dertig landen wereldwijd te gebruiken. Net als de gratis dienst zegt Opera dat het ook bij de betaalde vpn-dienst geen logs bijhoudt. "Wanneer je onze ingebouwde vpn-dienst gebruikt, loggen we geen informatie met betrekking tot je browsingactiviteiten en netwerkadres", zo staat in het privacybeleid. Daarin staat ook dat Opera een bedrijf heeft ingeschakeld om misbruik van de vpn-dienst te detecteren. VPN Pro is op zes apparaten tegelijkertijd te gebruiken en beschikbaar voor Android, Linux, macOS en Windows. Wanneer de releaseversie met de betaalde vpn-optie zal verschijnen is nog niet bekend. bron: https://www.security.nl

Microsoft gaat gebruikers van Windows 8.1 binnenkort waarschuwen dat de support van het besturingssysteem op 10 januari 2023 stopt. Het platform zal daarna geen beveiligingsupdates meer ontvangen. Volgens analysebureau StatCounter maakt 2,6 procent van de Nederlandse Windowsgebruikers nog gebruik van Windows 8.1. Deze Windowsversie werd op 17 oktober 2013 gelanceerd. Windowsvolger Mary Jo Foley meldt dat Microsoft vanaf volgende maand gebruikers een melding zal tonen dat het einde van Windows 8.1 nadert. "Ter herinnering: Windows 8.1 bereikt het einde van de ondersteuning op 10 januari 2023, waarna technische hulp en software-updates niet meer worden verstrekt", aldus Microsoft op de eigen website. Het techbedrijf adviseert gebruikers om te updaten naar een Windowsversie die nog wel wordt ondersteund. Daarbij merkt Microsoft op dat computers die Windows 8.1 draaien waarschijnlijk niet in staat zijn om ook Windows 11 te kunnen draaien. Een andere optie is om eerst naar Windows 10 te upgraden en dan, wanneer mogelijk, naar Windows 11 over te stappen. Windows 10 zal tot 14 oktober 2025 beveiligingsupdates blijven ontvangen. In tegenstelling tot Windows 7 is Microsoft niet van plan om Extended Security Updates voor Windows 8.1 uit te brengen. bron: https://www.security.nl

Nog altijd worden organisaties succesvol aangevallen via de Log4j-kwetsbaarheid omdat organisaties nalaten beschikbare beveiligingsupdates te installeren, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Begin december vorig jaar werd bekend dat er een kritieke kwetsbaarheid in Log4j aanwezig was. Tot dan toe niet echt heel bekende loggingsoftware waarin geen grote problemen waren gevonden. De software bleek in zeer veel programma's te worden gebruikt. Bij de aanvallen waarvoor het CISA nu waarschuwt maken de aanvallers misbruik van de Log4j-kwetsbaarheid in VMware Horizon en Unified Access Gateway (UAG) servers. Het aanvallen van VMware Horizon en UAG-servers vindt al sinds december plaats. Hoewel beveiligingsupdates beschikbaar zijn, zijn er nog altijd organisaties die deze patches een half jaar later nog altijd niet hebben geïnstalleerd. Zodra aanvallers toegang tot een server hebben verkregen proberen ze de organisatie verder te compromitteren en zich lateraal door het netwerk te bewegen. Organisaties die de VMware-updates en workarounds van afgelopen december niet hebben toegepast moeten hun VMware Horizon-servers als gecompromitteerd beschouwen, zo stelt het CISA. Het is nodig om deze systemen meteen te isoleren en te onderzoeken. Wanneer blijkt dat de systemen niet zijn getroffen moeten ze zo snel mogelijk worden gepatcht. bron: https://www.security.nl

Driekwart van de populairste websites op internet staat zwakke wachtwoorden toe zoals 12345678, abc123456 en P@$$w0rd. Daarnaast belast bijna de helft van deze sites gebruikers door een speciaal karakter in hun wachtwoord te verplichten. Dat blijkt uit onderzoek van de Princeton University naar het wachtwoordbeleid van populaire websites. Voor het onderzoek keken de onderzoekers of de 120 populairste Engelstalige websites op internet zich aan best practices voor wachtwoorden houden. Het gaat dan om het blokkeren van zwakke wachtwoorden die in datalekken voorkomen of eenvoudig zijn te raden, het gebruik van een sterktemeter om gebruikers real-time feedback te geven over de sterkte van hun wachtwoord en het niet dwingen van gebruikers om speciale karaktertypes in hun wachtwoord te gebruiken. Slechts 15 van de 120 onderzochte topsites, waaronder Google, Adobe, Twitch, GitHub en Grammarly, blijken deze best practices te volgen. De onderzoekers maakten onder andere gebruik van een lijst met de veertig meest gelekte wachtwoorden. Zo staat de helft van de websites het gebruik van alle veertig zwakke wachtwoorden toe en nog eens negentien sites staan meer dan de helft van deze wachtwoorden toe. Verder maken slechts 23 van de 120 websites gebruik van een sterktemeter en verplicht meer dan de helft het gebruik van bepaalde karakters, zoals speciale karakters en cijfers. Uit andere onderzoeken blijkt dat het verplichten van langere wachtwoorden en juist geen specifieke karakters te verplichten voor sterkere wachtwoorden zorgt. Het Amerikaanse National Institute of Standards and Technology, een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, adviseert websites om gebruikers geen bepaalde karakters in hun wachtwoorden te verplichten. Aangezien wachtwoorden nog altijd een belangrijke rol spelen bij het inloggen op accounts adviseren de onderzoekers websites dan ook om zich te richten op de veiligheid en bruikbaarheid van wachtwoorden. Zo moeten websites zwakke wachtwoorden beter blokkeren, gedateerd wachtwoordbeleid met specifieke karakters afschaffen en verkeerd geconfigureerde sterktemeters aanpassen. "Wachtwoorden zijn uitdrukkelijk onderzocht, maar slechts weinig websites hebben wachtwoordbeleid geïmplementeerd dat de geleerde lessen weergeeft", zegt onderzoeker Kevin Lee. bron: https://www.security.nl

Onderzoekers hebben een manier gevonden om de data van gebruikers van cloudopslagdienst MEGA kunnen ontsleutelen. Het bedrijf heeft inmiddels een beveiligingsupdate uitgerold om de kwetsbaarheden te verhelpen. Voor het uitvoeren van de aanval had een aanvaller een man-in-the-middle-positie moeten hebben of de controle over de kerninfrastructuur van MEGA. MEGA is een cloudopslagdienst met naar eigen zeggen meer dan 250 miljoen geregistreerde gebruikers, tien miljoen dagelijks actieve gebruikers en 1000 petabyte aan opslag. Het bedrijf biedt gebruikers end-to-end encryptie en claimt dat het de data van gebruikers niet kan ontsleutelen. "Zolang je ervoor zorgt dat je wachtwoord voldoende sterk en uniek is, heeft niemand toegang tot je data bij MEGA. Zelfs in het uitzonderlijke onwaarschijnlijke geval dat de volledige infrastructuur van MEGA in beslag wordt genomen", zo claimt de cloudopslagdienst. Onderzoekers van de Applied Crypto Group van ETH Zurich hebben echter aangetoond dat het wel degelijk mogelijk is voor MEGA of een partij die de infrastructuur in handen heeft om de decryptiesleutel van gebruikers te achterhalen en zo hun bij MEGA opgeslagen data te ontsleutelen. In totaal bedachten de onderzoekers vijf verschillende aanvallen om de vertrouwelijkheid van gebruikersdata te compromitteren. MEGA maakt gebruik van verschillende encryptiesleutels voor het versleutelen van bestanden van gebruikers. Deze zogeheten "key hierarchy" begint met het wachtwoord van de gebruiker. De MEGA-clientsoftware gebruikt het gebruikerswachtwoord voor het genereren van een authenticatie key en een encryptie key. De authenticatie key wordt gebruikt voor het authenticeren van de gebruiker als die bij MEGA inlogt. De encryptie key versleutelt een willekeurig gegenereerde master key, die weer ander key materiaal van de gebruiker versleutelt. De onderzoekers ontdekten een praktische aanval om de RSA private key van de gebruiker te achterhalen. Dit is mogelijk doordat de integriteit van de versleutelde keys van gebruikers op de servers van MEGA niet is beschermd. Een aanvaller die controle over de MEGA-infrastructuur heeft kan de softwareclient op het systeem van de gebruiker misleiden om informatie te lekken waarmee de key is te achterhalen. Hiervoor zou een gebruiker zo'n 512 keer op zijn account moeten inloggen. Doordat de servercode van MEGA niet beschikbaar is, konden de onderzoekers geen proof-of-concept aanval implementeren waarbij een aanvaller de controle over de cloudopslagdienst heeft. In plaats daarvan voerden ze een man-in-the-middle-aanval uit door een kwaadaardig TLS-rootcertificaat op het systeem van het slachtoffer te installeren. Hiermee kan de aanvaller zich tegenover de gebruiker als MEGA voordoen. Responses van de server zijn in real-time aan te passen, aangezien die niet afhankelijk zijn van secrets die op de server zijn opgeslagen. In een video laten de onderzoekers zien hoe ze de eerste byte van de RSA private key van een gebruiker achterhalen. Om geen nadelige impact op de productieservers van MEGA te hebben werd de aanval hierna gestopt. "Ondanks het feit dat weinig gebruikers vaak genoeg inloggen om het scenario te laten werken, ondermijnt het probleem het meest fundamentele ontwerpdoel van MEGA, het verzekeren van de privacy van opgeslagen bestanden en berichten zolang er een uniek wachtwoord met voldoende entropie wordt gebruikt en geen van de endpoint-apparaten is gecompromitteerd", reageert MEGA in een blogpost. Het bedrijf heeft updates uitgebracht voor de problemen die de onderzoekers aantroffen, maar de gekozen oplossing verschilt van wat de onderzoekers adviseerden. De onderzoekers stellen dat de patches van MEGA geen directe bescherming tegen twee van de uitgewerkte aanvallen bieden. bron: https://www.security.nl

PowerShell is essentieel voor het beveiligen van Windowssystemen. Organisaties moeten de scriptingtaal dan ook goed configureren in plaats van verwijderen of beperken, zo stelt de Amerikaanse geheime dienst NSA in een document dat mede door de Britse en Nieuw-Zeelandse autoriteiten is opgesteld (pdf). PowerShell is een scriptingtaal en commandlinetool die sinds Windows Vista in Windows aanwezig is en kan worden vergeleken met Bash. Volgens de NSA kan PowerShell organisaties en beveiligingsexperts helpen met forensisch onderzoek, het verbeteren van incidentrespons en het automatiseren van taken. PowerShell wordt echter ook gebruikt door criminelen die toegang tot systemen hebben gekregen, bijvoorbeeld voor de verdere verspreiding van ransomware. Dat neemt niet weg dat het blokkeren of verwijderen van PowerShell het beveiligen van systemen juist hindert, zo laat de NSA weten. Het monitoren van PowerShell-logs kan juist helpen bij het detecteren van mogelijk misbruik. Daarnaast kan PowerShell zo worden ingesteld dat het netwerken veiliger maakt en bijvoorbeeld tekortkomingen van AppLocker corrigeert. "PowerShell is essentieel voor het beveiligen van Windows, met name nieuwere versies hebben door middel van updates en verbeteringen eerdere beperkingen en zorgen opgelost", zo concludeert de NSA. Het verwijderen of beperken van PowerShell zou juist voorkomen dat systeembeheerders en verdedigers PowerShell kunnen gebruiken voor systeembeheer, forensisch onderzoek, automatisering en beveiliging. "PowerShell, samen met de beheerdersmogelijkheden en securitymaatregelen, zouden juist goed moeten worden beheerd en toegepast", zo besluit de NSA de conclusie. bron: https://www.security.nl

Het populaire archiveringsprogramma 7-Zip heeft eindelijk ondersteuning voor de Mark-of-the-Web (MOTW) beveiligingsfeature van Windows gekregen, maar gebruikers moeten die wel zelf inschakelen. MOTW zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. Verschillende applicaties zoals Microsoft Office ondersteunen Mark-of-the-Web. Deze ondersteuning ontbrak echter in 7-Zip. Dit tot ongenoegen van allerlei beveiligingsexperts. Wanneer gebruikers bijvoorbeeld een zip-bestand via internet downloaden en daarna de inhoud via 7-Zip uitpakken, wordt het Mark-of-the-Web niet doorgegeven aan de uitgepakte bestanden. Iets wat een beveiligingsrisico kan zijn. Zo zijn in het verleden 7-Zip-archieven gebruikt voor de verspreiding van malware. 7-Zip-ontwikkelaar Igor Pavlov heeft in de nieuwste versie van 7-Zip (22.00), die vorige week uitkwam, de feature eindelijk toegevoegd. Gebruikers moeten die wel zelf inschakelen, aangezien "Propagate Zone.Id stream", zoals het archiveringsprogramma Mark-of-the-Web noemt, standaard staat uitgeschakeld. bron: https://www.security.nl

Een drie jaar oud PHP-beveiligingslek in de software waar NAS-apparaten van fabrikant QNAP op draaien maakt het mogelijk voor aanvallers om op afstand code uit te voeren. De kwetsbaarheid, aangeduid als CVE-2019-11043, werd zoals het CVE-nummer weergeeft al in 2019 ontdekt. Voor verschillende Linux-distributies verschenen destijds beveiligingsupdates Vandaag meldt QNAP dat de kwetsbaarheid ook aanwezig is in verschillende versies van QTS, QuTS hero en QuTScloud. Dit zijn de besturingssystemen waar QNAP NAS-systemen op draaien die ook van PHP gebruikmaken. Via het beveiligingslek is remote code execution mogelijk en kan een aanvaller op afstand code op het NAS-systeem uitvoeren. Verdere details zijn niet door QNAP gegeven, behalve dat het probleem in QTS 5.0.1.2034 build 20220515 en nieuwer en QuTS hero h5.0.0.2069 build 20220614 en nieuwer is verholpen. Gebruikers wordt aangeraden om naar de laatste versie van het besturingssysteem te updaten. bron: https://www.security.nl

Apple heeft aan iOS en Safari een nieuwe technologie toegevoegd waarmee het naar eigen zeggen op een privacyvriendelijke manier advertentieclicks kan meten, maar Mozilla is zeer kritisch en noemt het een slechte afweging tussen de privacy van gebruikers en het beoogde doel. Standaard worden voor het meten van advertentieclicks cookies gebruikt, die user of device ID's bevatten. Daarmee is het mogelijk om gebruikers over meerdere websites te volgen. Verschillende browsers, waaronder Safari, hebben maatregelen tegen cross-site tracking genomen. Apple stelt dat het adverteerders ook de mogelijkheid wil bieden om het succes van online advertentiecampagnes te meten. Het bedrijf kwam als oplossing met Private Click Measurement (PCM). Door middel van een nieuwe API kan worden gemeten welke clicks tot een "conversie" leiden, zoals een verkoop of aanmelding. De browser houdt bij wanneer de gebruiker op een advertentie klikt en er een conversie plaatsvindt. De browser creëert dan een rapport dat tussen de 24 en 48 uur later via een anonimiseringsdienst naar de website met de advertentie en adverterende partij wordt gestuurd. Deze vertraging moet voorkomen dat websites kunnen achterhalen welke gebruiker op een advertentie heeft geklikt. Toch hoeft dit geen betere privacybescherming te bieden, aldus Mozilla. De rapportages kunnen namelijk alleen worden verstuurd wanneer de browser van de gebruiker actief is. Websites weten wanneer hun gebruikers actief zijn en kunnen gebruikersactiviteit correleren aan de momenten dat de rapporten binnenkomen. Iets dat volgens Mozilla kan helpen bij het identificeren van gebruikers met afwijkende browsing-uren. Daarnaast staat PCM een beperkt aantal identifiers aan clicks en trigger events toe, om zo de privacy van gebruikers te beschermen. Desondanks is het voor malafide websites nog steeds mogelijk om gebruikers via deze identifiers te volgen, stelt Mozilla. PCM biedt gebruikers dan ook geen garantie dat ze niet kunnen worden getrackt. Voor websites en adverteerders kent PCM dusdanig functionele beperkingen dat het lastig bruikbaar in de praktijk is. Mozilla verwacht dan ook dat weinig websites er gebruik van zullen maken. bron: https://www.security.nl

Een softwarebedrijf dat aan banken wereldwijd een automatiseringsplatform levert blijkt bij elke installatie van de Unix-agent een zelfde public ssh-key aan het rootaccount van het systeem toe te voegen. De bijbehorende private key die ook in de installatiebestanden is te vinden is niet beveiligd met een passphrase. Daarnaast blijkt dat het verwijderen van de automatiseringssoftware niet de toevoeging aan het authorized_keys bestand ongedaan maakt. SMA Technologies richt zich op de financiële sector en heeft naar eigen zeggen meer dan zeshonderd klanten in 24 landen. Deze banken en andere instellingen maken gebruik van het OpCon-automatiseringsplatform. Via het platform, dat uit clients en een server bestaat, zijn onder andere workflows binnen organisaties te automatiseren. De serversoftware is op Windows en Linux te installeren. In het geval van Linux-servers is er ook een Unix-agent. Bij de installatie van de OpCon Unix-agent en latere updates wordt er voor elke installatie een zelfde public ssh-key aan het authorized_keys bestand van het rootaccount toegevoegd. In dit bestand staan de ssh-keys waarmee op het betreffende account kan worden ingelogd. De bijbehorende private key bevindt zich ook in de installatiebestanden en is niet beveiligd met een passphrase. Een aanvaller die de beschikking over de private key heeft kan zo bij alle installaties als root inloggen, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Wanneer organisaties de OpCon-software verwijderen blijft de key gewoon in het authorized_keys bestand staan. SMA Technologies heeft een oplossing uitgebracht om het probleem te verhelpen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Google Chrome maakt het mogelijk voor aanvallers om systemen op afstand over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van gebruikers vereist. Google heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2022-2156, werd op 11 juni door Mark Brand van Google Project Zero aan het Chrome-team gerapporteerd. Het probleem bevindt zich in het "Base" onderdeel van de browser en maakt een use after free mogelijk waardoor een aanvaller buiten de sandbox van Chrome code op het systeem kan uitvoeren. In het ergste geval is daardoor volledige systeemovername mogelijk. Verder geeft Google geen details over de kwetsbaarheid. Hoewel kritieke beveiligingslekken weinig voorkomen in Chrome staat de teller dit jaar al op vijf, wat meer is dan in voorgaande jaren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 103.0.5060.53 dertien andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Gebruikers van Google Chrome zijn aan de hand van de browser-extensies die ze hebben geïnstalleerd door websites te tracken, zo heeft een beveiligingsonderzoeker aangetoond. Dit is mogelijk door middel van "web-accessible resources", bestanden binnen een browser-extensie die door websites of andere extensies benaderbaar zijn. Die kunnen deze informatie gebruikers voor het genereren van een fingerprint. Hoe meer extensies de gebruiker geïnstalleerd heeft, des te groter de kans dat het mogelijk is om een unieke fingerprint van de gebruiker te maken. Het is al jaren bekend dat gebruikers op deze manier zijn te volgen. Een beveiligingsonderzoeker met het alias 'z0ccc' heeft nu een website gemaakt die op basis van bijna twaalfhonderd extensies een fingerprint maakt en vervolgens laat zien hoeveel procent van de gebruikers dezelfde extensie hebben geïnstalleerd. Het gaat dan om extensies als AdBlock, uBlock Origin, LastPass, Adobe Acrobat, Cisco Webex Extension, Skype, Google Hangouts, DuckDuckGo Privacy Essentials, Dashlane, 1Password en Norton Password Manager. Om detectie te voorkomen genereren sommige extensies een secret token dat benodigd is om toegang tot de web accessible resources te krijgen. De onderzoeker ontdekte echter een timingmethode waarmee websites kunnen bepalen of een beschermde extensie is geïnstalleerd. De methode werkt niet bij Firefox, aangezien de browser voor elke gebruiker bij elke extensie een uniek ID genereert. bron: https://www.security.nl

Ransomware-aanvallen kunnen grote gevolgen voor organisaties hebben en voor ernstige verstoringen zorgen. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid heeft eerder deze maand een incidentresponsplan gepubliceerd waarin wordt beschreven hoe organisaties met ransomware-aanvallen kunnen omgaan. "Want snelheid telt in het geval van een ransomware-aanval", aldus het NCSC. "Zeker op het moment dat je als organisatie kwaadwillenden op je netwerk aantreft en de ransomware nog niet uitgerold is. Dan is het zaak zorgvuldig – en niet overhaast - de incidentresponscyclus te doorlopen." Het incidentresponsplan gaat in op de voorbereiding op een ransomware-aanval, het identificeren van de aanval, het beperken van de ransomware, het verwijderen van de ransomware, herstellen van data en systemen en als laatste het delen van geleerde lessen. In het geval van een incident adviseert het NCSC om de afgesproken incidentrespons-procedures te volgen en planmatig te werk gaan. Volgens de overheidsinstantie hebben getroffen organisaties namelijk vaak de houding om de aanvallers zo snel mogelijk van het netwerk te verwijderen en verdere schade te beperken. "En dat moet natuurlijk ook gebeuren, maar zonder essentiële stappen over te slaan. Daarbij kan het behulpzaam zijn om vooraf al een stuk op weg te zijn met deze plannen en een ingevuld beginpunt te hebben", zo laat het NCSC weten. Het incidentresponsplan bevat ook allerlei aanbevelingen om een ransomware-aanval te voorkomen, zoals technische maatregelen. Het NCSC adviseert onder andere om macro’s in office-software centraal uit te schakelen, het openen van url's en afbeeldingen in e-mails uit te zetten, het gebruik van ongeautoriseerde usb-apparaten te blokkeren en het eenvoudig voor medewerkers te maken om verdachte e-mails te rapporteren. bron: https://www.security.nl

Een omvangrijk proxybotnet dat uit miljoenen gecompromitteerde apparaten bestond is mede met hulp van de Nederlandse autoriteiten ontmanteld. Dat laat het Amerikaanse ministerie van Justitie weten. Het Rsocks-botnet richtte zich in eerste instantie op Internet of Things (IoT)-apparaten, maar nam later ook andere soorten devices op de korrel, van Androidtoestellen tot traditionele computers. Hiervoor werden onder andere bruteforce-aanvallen gebruikt. Eenmaal besmet werden de machines onderdeel van het Rsocks-proxybotnet en vervolgens op internet te koop aangeboden. Criminelen konden tegen betaling de besmette machines als proxy gebruiken en hun verkeer via deze apparaten laten lopen. Voor het gebruik van tweeduizend Rsocks-proxy's per dag moest dertig dollar worden betaald, terwijl toegang tot negentigduizend proxy's tweehonderd doller per dag kostte. Volgens de Amerikaanse autoriteiten werden de besmette machines door criminelen gebruikt voor het uitvoeren van credential stuffing-aanvallen, het inloggen op gecompromitteerde socialmedia-accounts en het versturen van phishingmails. Door het gebruik van de proxy's bleef het echte ip-adres van de crimineel verborgen. Zowel eindgebruikers als grote organisaties werden slachtoffer van het botnet. De website waarop de proxy's te koop werden aangeboden is nu offline gehaald. Bij het ontmantelen van de infrastructuur van het botnet waren naast de Nederlandse autoriteiten ook opsporingsdiensten uit Duitsland, het Verenigd Koninkrijk en de Verenigde Staten betrokken. bron: https://www.security.nl

Microsoft heeft een nieuwe beveiligingsapplicatie gelanceerd die eindgebruikers moet helpen bij het monitoren van meerdere apparaten in hun huishouden, zoals laptops en smartphones. Defender for individuals geeft de beveiligingsstatus van verschillende systemen via één dashboard weer en biedt bescherming tegen phishing en malware. Daarbij worden zowel Android, iOS, macOS als Windows ondersteund. Zo kunnen gebruikers onder andere de status van de gebruikte antivirussoftware op de verschillende apparaten bekijken. Verder kunnen gebruikers beveiligingstips en waarschuwingen via de oplossing ontvangen. Microsoft stelt dat Defender for Individuals met meer features zal worden uitgebreid, waaronder bescherming tegen identiteitsdiefstal en een "secure online connection". De nieuwe beveiligingssoftware, die van dezelfde technologie als Microsofts zakelijke beveiligingssoftware gebruikmaakt, is beschikbaar voor abonnees van Microsoft 365 Personal en Family. bron: https://www.security.nl

NAS-fabrikant QNAP heeft opnieuw gewaarschuwd voor ransomware-aanvallen tegen NAS-apparaten. Het zou daarbij gaan om NAS-systemen die versie 4.x van het QTS-besturingssysteem draaien. Verdere details zijn nog niet bekend. Net als eerder dit jaar gaat het om de Deadbolt-ransomware die NAS-systemen infecteert en bestanden vervolgens voor losgeld versleutelt. Bij de eerdere aanvallen met de Deadbolt-ransomware bleek dat er misbruik werd gemaakt van bekende kwetsbaarheden. QNAP adviseert gebruikers dan ook om meteen te updaten naar de laatste versie van QTS of QuTS hero. In het geval de ransomware al heeft toegeslagen wordt aangeraden om de ingebouwde Malware Remover te updaten. Hiermee krijgen gebruikers niet hun bestanden terug. De Malware Remover verwijdert alleen de losgeldmelding van het systeem. Securitybedrijf Censys waarschuwde eind mei dat de Deadbolt-ransomware weer honderden QNAP-apparaten had geïnfecteerd, maar kon ook niet zeggen hoe de besmettingen hadden plaatsgevonden. QNAP laat afsluitend weten dat het nog bezig is met het onderzoek naar de aanvallen en zo snel mogelijk met meer informatie komt. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de firewall-oplossing van securitybedrijf Sophos is zeker drie weken voor het uitkomen van een beveiligingsupdate misbruikt voor man-in-the-middle (MITM)-aanvallen. Dat laat securitybedrijf Volexity weten. Sophos kwam op 25 maart met de update en meldde een aantal dagen later dat de kwetsbaarheid was gebruikt voor het aanvallen van specifieke organisaties in Zuid-Azië. Via het beveiligingslek kan een aanvaller op afstand en zonder inloggegevens de authenticatie omzeilen en vervolgens willekeurige code op de firewall uitvoeren. Daarmee heeft een aanvaller volledige controle over het systeem. De impact van het beveiligingslek, aangeduid als CVE-2022-1040, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volexity zegt dat misbruik van het lek al sinds 5 maart plaatsvindt. Bij de waargenomen aanvallen gebruiken de aanvallers de kwetsbaarheid om een webshell op de firewall te installeren en zo toegang tot het systeem te behouden. Vervolgens wordt er een MITM-aanval op computers binnen de aangevallen organisatie uitgevoerd. Zodra gebruikers van deze organisaties bepaalde websites willen bezoeken worden ze doorgestuurd naar een server van de aanvallers, die zo inloggegevens en sessiecookies kunnen stelen om verdere toegang tot webservers te krijgen. Volgens Volexity hebben de aanvallers het daarbij voorzien op de WordPress-installatie waarmee de betreffende organisaties hun eigen websites onderhouden. Zodra de aanvallers beheerderstoegang tot de WordPress-site hebben gekregen installeren ze een plug-in voor het uploaden van PHP-bestanden. Het gaat in dit geval wederom om een webshell waarmee ze toegang tot de webserver krijgen. Het securitybedrijf claimt dat vanuit China opererende spionagegroepen achter de aanvallen zitten. bron: https://www.security.nl

Een kwetsbaarheid in FreeBSD maakt het mogelijk voor aanvallers om systemen via wifi volledig over te nemen en willekeurige code in de kernel uit te voeren. Daarbij is er geen enkele interactie van gebruikers vereist. FreeBSD kwam afgelopen april met een beveiligingsupdate. Details over de kwetsbaarheid (CVE-2022-23088) alsmede een proof-of-concept exploit zijn nu openbaar gemaakt. Bij het scannen van beschikbare wifi-netwerken luistert een systeem naar managementframes die door het wifi-accesspoint in de buurt worden uitgezonden. Er zijn verschillende soorten managementframes. Bij één van deze types, het beacon frame, werd de optielengte niet goed door de wifi-stack van FreeBSD gecontroleerd. Door het versturen van een beacon frame met een "oversized" optielengte is het mogelijk om een kernel heap overflow te veroorzaken en zo code in de kernel uit te voeren. Een aanvaller kan op deze manier een kernelbackdoor creëren die via het versturen van wifi-frames is te gebruiken, zo laat de onderzoeker weten die het probleem ontdekte. De kwetsbaarheid was al dertien jaar in de wifi-stack van FreeBSD aanwezig, zo meldt het Zero Day Initiative dat de bugmelding ontving en doorzette naar FreeBSD. bron: https://www.security.nl

Wegens een actief aangevallen kwetsbaarheid in de WordPress-plug-in Ninja Forms heeft WordPress op bijna 800.000 websites een update geforceerd. Dat laat securitybedrijf Wordfence weten. Ninja Forms is een plug-in waarmee WordPress-sites eenvoudig contactformulieren kunnen toevoegen. Meer dan een miljoen websites maken er gebruik van. Op 14 juni verscheen er een nieuwe versie van de plug-in die "security enhancements" introduceerde voor het omgaan met tag-waardes. Verdere details werden niet gegeven. Onderzoekers van Wordfence ontdekten dat met de versie een kritieke kwetsbaarheid is verholpen waardoor een aanvaller zonder enige inloggegevens willekeurige code op de website kan uitvoeren of willekeurige bestanden kan verwijderen. Volgens de onderzoekers zijn er aanwijzingen dat aanvallers actief misbruik van de kwetsbaarheid maken. Om verder misbruik te voorkomen geeft Wordfence dan ook geen informatie over het beveiligingslek. Hoewel er geen officiële verklaring is gekomen lijkt WordPress de betreffende update inmiddels op zo'n 800.000 websites te hebben geïnstalleerd. De downloadgrafiek van Ninja Forms laat namelijk op 15 juni een extreme piek van 680.000 downloads zien, terwijl nieuw uitgekomen versies normaliter veel minder downloads krijgen. Het komt vaker voor dat WordPress in het geval van kritieke kwetsbaarheden in veelgebruikte plug-ins ingrijpt en updates forceert. Gebruikers die de update niet hebben ontvangen kunnen die ook handmatig installeren. bron: https://www.security.nl