Captain Kirk

Nog zo'n zes weken en dan stopt Microsoft op verschillende Windowsversies met de ondersteuning van Internet Explorer 11. Het techbedrijf roept organisaties op om niet te wachten tot 15 juni, de datum dat IE11 met "pensioen" gaat, maar om nu al in actie te komen en de browser eerder uit te faseren. "De beste manier om voorbereid te zijn op het uitschakelen van IE na 15 juni is om IE proactief binnen je organisatie voor 15 juni uit te faseren", zegt Microsofts Eric Van Aelstyn. In een artikel beschrijft Microsoft vier stappen die organisaties kunnen volgen om voor de aangekondigde deadline afscheid van de browser te nemen. Het gaat dan om het inschakelen van de IE-mode in Edge, waarmee interne IE-afhankelijke websites blijven werken, het plannen van een uitfaseringsdatum, het informeren van gebruikers en importeren van hun data en als laatste het organisatiebreed uitrollen van de "Disable IE policy". Vanaf 15 juni zal de IE11-desktopapplicatie niet meer op verschillende Windows 10-versies worden ondersteund. Wanneer gebruikers Internet Explorer toch starten zal Microsoft Edge worden geladen. Edge kan wanneer nodig via de IE-mode ook oude legacy IE-sites openen. bron: https://www.security.nl

NAS-fabrikant Synology waarschuwt voor kritieke kwetsbaarheden in de software die op NAS-systemen draait. Het gaat om beveiligingslekken in Netatalk, een vrije, opensource-implementatie van het Apple Filing Protocol (AFP). Via Netatalk kunnen Unix-achtige besturingssystemen als fileserver voor Macs fungeren. Eerder waarschuwde ook NAS-fabrikant QNAP voor de kwetsbaarheden in Netatalk. Synology maakt binnen de DiskStation Manager (DSM) en Synology Router Manager (SRM) die op NAS-systemen draait gebruik van Netatalk. Volgens het bedrijf kan een aanvaller via de beveiligingslekken gevoelige informatie stelen en mogelijk ook willekeurige code uitvoeren. Gebruikers van DSM 7.1 wordt aangeraden om te updaten naar DSM 7.1-42661-1 of nieuwer. Voor andere versies van DSM en SRM worden nog updates ontwikkeld. Eerder adviseerde QNAP om het Apple Filing Protocol op kwetsbare NAS-systemen tijdelijk uit te schakelen, maar dat advies wordt niet door Synology gegeven. QNAP heeft de problemen vooralsnog alleen in QTS 4.5.4.2012 build 20220419 en nieuwer verholpen. Voor andere versies van het QTS-besturingssystemen werkt QNAP nog aan patches. bron: https://www.security.nl

De helft van de WordPress-sites die aanvallers vorig jaar wisten over te nemen of met malware infecteerden was niet up-to-date, zo stelt securitybedrijf Sucuri op basis van eigen onderzoek. Dat is gebaseerd op bijna 47.000 opgeschoonde websites en meer dan 132 miljoen uitgevoerde scans van websites. Hoewel de helft van de besmette WordPress-sites een verouderde of onveilige versie draaide, was dit niet per definitie de reden dat de aanvallers binnen wisten te komen. De aanwezigheid van kwetsbare plug-ins en themes en onbeveiligde adminpanels is volgens het securitybedrijf een veel groter risico. Standaard biedt het beheerderspaneel van WordPress geen multifactorauthenticatie en stelt ook geen beperkingen aan het aantal mislukte inlogpogingen, waardoor bruteforce-aanvallen mogelijk zijn. "Het gebruik van kwetsbare onderdelen, zoals plug-ins en themes, blijft één van de twee voornaamste oorzaken van besmette websites, de ander is het gebruik van zwakke wachtwoorden, met name bij onbeveiligde adminpanels", aldus de onderzoekers. Van alle websites die Sucuri opschoonde waren WordPress-sites het vaakst up-to-date. De helft van deze websites draaide de meest recente versie. Bij andere platformen, zoals Prestashop, vBulletin en Typo3, bleek dat alle besmette sites ook niet up-to-date waren. Wanneer aanvallers toegang krijgen installeren ze meestal malware die bezoekers doorstuurt naar malafide websites of inloggegevens probeert te stelen. Verder installeren de aanvallers vaak een backdoor die andere activiteiten faciliteren, zoals het versturen van spam en het verbeteren van de zoekmachineranking van andere websites. Afsluitend stelt het securitybedrijf dat een goede beveiliging uiteindelijk uit een aantal basisprincipes bestaat, zoals het up-to-date houden van de omgeving en gebruik van sterke wachtwoorden. bron: https://www.security.nl

Gebruikers van een verouderde versie van Internet Explorer zijn het doelwit van aanvallen geworden waarbij hun systeem met malware werd besmet die wachtwoorden, creditcardgegevens en cookies buitmaakt. Dat meldt antivirusbedrijf Bitdefender in een analyse. De malware wordt RedLine Stealer genoemd en is in staat om inloggegevens uit Google Chrome, Mozilla Firefox en Opera te stelen, waaronder opgeslagen wachtwoorden en creditcardgegevens, browsercookies en auto-fill content. Verder kan de malware data van cryptowallet-extensies stelen, inloggegevens en chatlogs van Telegram en Discord, inloggegevens voor het Steam-platform, vpn-wachtwoorden voor NordVPN, OpenVPN en ProtonVPN, FTP-inloggegevens die in FileZilla zijn opgeslagen en tekst uit specifieke bestanden. De RedLine-malware zou sinds 2020 worden aangeboden en kan op verschillende manieren worden verspreid. Begin dit jaar detecteerde Bitdefender naar eigen zeggen een campagne waarbij gebruik werd gemaakt van de RIG-exploitkit. Deze exploitkit kan gebruikers met een ongepatchte versie van Internet Explorer automatisch met de Redline-malware infecteren. Dit gebeurt via CVE-2021-26411, een kwetsbaarheid in IE waarvoor Microsoft op 9 maart 2021 een beveiligingsupdate uitbracht. Het marktaandeel van Internet Explorer is al jaren aan het afnemen. Hoe succesvol de campagne was is dan ook onbekend. Gebruikers worden door Bitdefender opgeroepen hun software up-to-date te houden. bron: https://www.security.nl

Er was geen kritieke kwetsbaarheid aanwezig in VirusTotal waardoor remote code execution mogelijk is, zoals beveiligingsonderzoekers claimen. Dat laat Bernardo Quintero van VirusTotal via Twitter weten. VirusTotal is een online virusscandienst van Google waar gebruikers verdachte bestanden door zo'n zeventig verschillende antivirus-engines kunnen laten controleren. Deze week liet securitybedrijf Cysource weten dat remote code execution via het VirusTotal-platform mogelijk was. Via een kwetsbaarheid in ExifTool, software voor het bekijken en aanpassen van metadata in allerlei soorten bestanden, zou een aanvaller willekeurige code op het systeem kunnen uitvoeren als er een malafide afbeelding wordt geopend. Het gaat hier om een bekend beveiligingslek (CVE-2021-22204) waarvoor begin vorig jaar een update verscheen. De onderzoekers claimden dat ze via deze kwetsbaarheid commando's op het VirusTotal-platform konden uitvoeren en toegang tot vijftig hosts met hoge rechten hadden. Cysource stelt daarnaast dat ze het probleem vorig jaar april aan Google rapporteerden. Het techbedrijf zou de bugmelding ruim een maand later in juni hebben gesloten Volgens Cysource was VirusTotal begin januari van dit jaar niet meer kwetsbaar en liet Google het toe om over het beveiligingslek te publiceren. Via Twitter haalt Quintero uit naar de onderzoekers. Hij stelt dat het via de kwetsbaarheid niet mogelijk was om code op het VirusTotal-platform uit te voeren, maar er alleen controle over ongepatchte third-party antivirus toolboxes kon worden verkregen. Het ging hier niet om systemen van VirusTotal. Iets wat de onderzoekers wisten, aldus Quintero. Daarnaast klopt ook de tijdslijn niet die de onderzoekers noemen, zo laat hij verder weten. Cysource heeft nog niet op de kritiek van VirusTotal gereageerd en ook de eigen blogpost niet aangepast. bron: https://www.security.nl

Firepower-firewalls van Cisco bevatten verschillende kwetsbaarheden waardoor een aanvaller een denial of service kan veroorzaken. Een ongeauthenticeerde aanvaller kan zo op afstand apparaten laten herstarten, ervoor zorgen dat er geen nieuwe verbindingen meer mogelijk zijn of dat al het verkeer dat via de firewall gaat wordt gedropt. De impact van de vijf beveiligingslekken in de Cisco Firepower Threat Defense Software, aangeduid als CVE-2022-20767, CVE-2022-20760, CVE-2022-20757, CVE-2022-20751 en CVE-2022-20746, is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. Het is al een half jaar geleden dat er kwetsbaarheden met een impactlabel "high" in de Firepower-software is aangetroffen. De problemen worden veroorzaakt door het niet goed verwerken van TCP-flows, het niet goed omgaan met platformlimieten, het niet goed verwerken van inkomende requests, geheugenmanagement voor bepaalde Snort-events en regels voor de dns-reputatie. Voor zover bekend wordt er nog geen misbruik van de beveiligingslekken gemaakt. Cisco heeft updates beschikbaar gemaakt om de problemen te verhelpen. bron: https://www.security.nl

Microsoft heeft verschillende kwetsbaarheden in Linux gevonden waardoor een lokale aanvaller root kan worden. De beveiligingslekken, samen aangeduid als "Nimbuspwn", werden gevonden tijdens onderzoek naar services die als root draaien. Daarbij werd een vreemd patroon gezien in een systemd unit genaamd networkd-dispatcher. Networkd-dispatcher is een daemon die veranderingen in netwerkverbindingen van systemd-networkd bijhoudt. Systemd-networkd is een system daemon voor het beheer van netwerkconfiguraties. Het detecteert en configureert netwerkapparaten. Networkd-dispatcher luistert naar signalen van systemd-networkd. Afhankelijk van deze signalen worden scripts uitgevoerd die zich in bepaalde directories bevinden en als root worden uitgevoerd. Twee kwetsbaarheden maken het mogelijk voor een aanvaller om deze scripts te vervangen, waardoor zijn code als root wordt uitgevoerd. Via CVE-2022-29799, een path traversal kwetsbaarheid, is het mogelijk om uit de etc/networkd-dispatcher directory te ontsnappen. CVE-2022-29800 is een time-of-check-time-of-use (TOCTOU) race condition. Er zit een bepaalde tijd tussen het vinden van de scripts die moeten worden uitgevoerd en het daadwerkelijk uitvoeren ervan. Via de kwetsbaarheden kan een aanvaller de scripts vervangen waarvan networkd-dispatcher denkt dat ze van root zijn door scripts die dat niet zijn. De networkd-dispatcher zal deze scripts vervolgens als root uitvoeren. De aanval is alleen in bepaalde gevallen mogelijk, aldus Microsoft-onderzoeker Jonathan Bar Or. Zo moet de aanvaller een specifieke busnaam kunnen gebruiken, iets wat volgens de onderzoeker bij bijvoorbeeld Linux Mint het geval is. Microsoft waarschuwde de maintainer van networkd-dispatcher die inmiddels updates heeft uitgebracht. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarmee dertig beveiligingslekken in de browser worden verholpen en het nu mogelijk is om opmerkingen aan opgeslagen wachtwoorden toe te voegen. Enige tijd geleden introduceerde Google al de mogelijkheid om handmatig wachtwoorden aan de wachtwoordmanager toe te voegen. Door de nieuwe optie kunnen gebruikers opgeslagen wachtwoorden van allerlei opmerkingen voorzien, zoals wanneer het wachtwoord is opgeslagen of aanvullende informatie over de betreffende website of account. De feature werd begin dit jaar al aan een testversie van Chrome toegevoegd, maar is nu binnen de standaardversie beschikbaar. Gebruikers moeten die nog wel zelf inschakelen door middel van de flag "chrome://flags#password-notes". Verder zijn met Chrome 101.0.4951.41 voor Linux, macOS en Windows dertig kwetsbaarheden verholpen. De maximale impact van de beveiligingslekken is beoordeeld als "high". In deze gevallen kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Beveiligingsonderzoeker SeongHwan Park, die een kwetsbaarheid in de Vulkan graphics API ontdekte die Chrome kan gebruiken voor het weergeven van webcontent, kreeg voor zijn bugmelding 10.000 dollar van Google. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Dit kan echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

OpenSSL zou vandaag met beveiligingsupdates komen, maar de ontwikkelaars hebben besloten dit te verschuiven naar dinsdag 3 mei. Een reden is niet gegeven. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Vandaag zou OpenSSL met beveiligingsupdates komen voor één of meerdere kwetsbaarheden met een maximale impact van "Moderate". Het gaat dan om problemen als crashes in client-applicaties, kwetsbaarheden in minder populaire protocollen en lokale kwetsbaarheden. Dergelijke kwetsbaarheden worden meestal privé gehouden en in een volgende geplande release verholpen. Daarbij probeert OpenSSL meerdere kwetsbaarheden met deze impact tegelijkertijd te verhelpen. Voor kritieke beveiligingslekken komt OpenSSL wel met een aparte update. Matt Caswell van het OpenSSL Project Team laat vandaag op de mailinglist van OpenSSL weten dat besloten is om de release van OpenSSL 3.0.3 en 1.1.1o te verschuiven naar dinsdag 3 mei. bron: https://www.security.nl

Het Tor Project, de organisatie verantwoordelijk voor het Tor-netwerk, was naar eigen zeggen niet goed toegerust om malafide servers in het Tor-netwerk te vinden. Ook erkent de organisatie dat het het Tor-netwerk de afgelopen jaren niet goed genoeg op malafide servers heeft gemonitord. Eén aanvaller kon daardoor maanden en mogelijk zelfs jaren zijn gang gaan. Later dit jaar komt er een nieuwe Tor Browser die als "game-changer" in de strijd tegen malafide servers moet dienen. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het verleden zijn er verschillende incidenten met malafide exitnodes geweest die man-in-the-middle-aanvallen op gebruikers uitvoerden. Eén aanvaller die achter deze malafide exitnodes zat wordt KAX17 genoemd. Eind december vorig jaar meldde een onderzoeker dat KAX17 sinds 2017 zowel entry guard-, middle relay- als exit-servers aan het Tor-netwerk heeft toegevoegd, waardoor hij Tor-gebruikers zou kunnen ontmaskeren. Volgens de onderzoeker hadden Tor-gebruikers een kans van 16 procent om met een guard-server van KAX17 verbinding te maken en zelfs een kans van 35 procent om met een middle relay-server te verbinden. Volgens het Tor Project kon deze aanvaller dankzij het eigen falen van de organisatie maanden en mogelijk zelfs jaren op het Tor-netwerk actief zijn. Hiervoor geeft het Tor Project verschillende redenen. Zo werd het Tor-netwerk niet goed genoeg op malafide servers gemonitord. Daarnaast vereist het vinden en verwijderen van malafide servers een vertrouwensband tussen alle betrokken partijen, namelijk vrijwilligers, Tor-personeel en directory authorities. Dat vertrouwen was niet altijd aanwezig, wat voor frustraties zorgde en het vinden en verwijderen van malafide servers nog lastiger maakte. De belangrijkste reden die het Tor Project echter geeft is dat het niet als een organisatie is opgezet om malafide server effectief te vinden en verwijderen. Zo ontbraken er middelen om de detectie te verbreden en het relaybeleid, netwerkmonitoring, contact met de community te verbeteren. Volgens het Tor Project verdienen de organisatorische tekortkomingen een aparte vermelding. Game-changer Het afgelopen jaar heeft het Tor Project naar eigen zeggen de coördinatie en organisatie om malafide servers te vinden verbeterd en zijn er ook nieuwe tools ontwikkeld. Dit zou het een stuk lastiger voor aanvallers hebben gemaakt om malafide servers aan het Tor-netwerk toe te voegen. Later dit jaar verschijnt er met Tor browser 11.5 een nieuw wapen tegen malafide servers, dat volgens het Tor Project een echter game-changer zal zijn. Bij deze versie zal de HTTPS-Only-mode namelijk standaard zijn ingeschakeld. Hierdoor maakt de browser standaard alleen verbinding met https-sites. Dit zou moeten voorkomen dat malafide exitnodes man-in-the-middle-aanvallen op Tor-gebruikers kunnen uitvoeren. Volgens het Tor Project neemt dit de prikkel voor aanvallers weg om via malafide servers dergelijke aanvallen uit te voeren. Verder verwacht het Tor Project veel van de verbeterde monitoring en het opbouwen van een sterke "relay community" om malafide servers tegen te gaan. bron: https://www.security.nl

Onderzoekers hebben malware ontdekt die beveiligingscamera's van fabrikant Merit Lilin via een twee jaar oude kwetsbaarheid weet te infecteren. De malware wordt BotenaGo. Een eerste variant beschikte over meer dan dertig exploits om routers van verschillende fabrikanten over te nemen. Recentelijk ontdekten onderzoekers van Nozomi Networks een nieuwe variant die het specifiek heeft voorzien op beveiligingscamera's van Lilin. Eenmaal actief zoekt de malware naar andere camera's en probeert vervolgens standaardwachtwoorden zoals admin, 1234 en root om in te loggen. Vervolgens gebruikt de malware een twee jaar oude kwetsbaarheid die remote code execution mogelijk maakt. In 2020 kwam Merit Lilin met firmware-updates voor verschillende kwetsbaarheden. De impact van deze beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. CVE-nummers werden niet door de fabrikant gegeven. Volgens Merit Lilin waren er destijds meer dan dertienduizend van de kwetsbare camera's in omloop. De firmware-update zorgt er onder andere voor dat gebruikers de standaard gebruikersnaam en wachtwoord na de update moeten aanpassen (pdf). Bij kwetsbare camera's zal de malware uiteindelijk een variant van de Mirai-malware installeren. Mirai kan besmette apparaten onder andere inzetten voor het uitvoeren van ddos-aanvallen. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP zijn doorbeveiligingslekken in Netatalk kwetsbaar voor aanvallen. Netatalk is een vrije, opensource-implementatie van het Apple Filing Protocol (AFP) en maakt het mogelijk voor Unix-achtige besturingssystemen om als fileserver voor Macs te fungeren. Eind vorige maand kwam het Netatalk-ontwikkelteam met een nieuwe versie waarin meerdere kwetsbaarheden zijn verholpen. Netatalk wordt ook gebruikt door QTS, QuTS hero en QuTScloud, de besturingssystemen die op NAS-systemen van QNAP draaien. Vier van de beveiligingslekken in Netatalk (CVE-2022-0194, CVE-2022-23121, CVE-2022-23122 en CVE-2022-23125) maken het mogelijk voor ongeauthenticeerde aanvallers om code op kwetsbare QNAP-systemen uit te voeren. QNAP heeft de impact van de beveiligingslekken als "high" bestempeld. De NAS-fabrikant stelt dat de kwetsbaarheden al zijn verholpen in QTS 4.5.4.2012 build 20220419 en nieuwer. Voor andere versies van de besturingssystemen worden nog beveiligingsupdates ontwikkeld. Wanneer die precies zullen verschijnen is nog onbekend. Als tijdelijke oplossing wordt het uitschakelen van AFP aangeraden. bron: https://www.security.nl

De Amerikaanse overheid heeft een waarschuwing afgegeven dat aanvallers actief misbruik maken van het Dirty Pipe-lek in Linux. Via het lek kan een lokale gebruiker rootrechten krijgen. Overheidsinstanties in de VS zijn opgedragen om het beveiligingslek voor 16 mei in hun systemen te verhelpen. De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de onveilige interactie tussen een Linux-bestand, dat permanent op de harde schijf wordt opgeslagen, en een Linux-pipe, wat een databuffer in het geheugen is die als een bestand is te gebruiken. Wanneer een gebruiker een pipe heeft om naar toe te schrijven en een bestand waarbij dit niet kan, dan kan het schrijven naar het geheugenbuffer van de pipe onbedoeld ook de gecachte pagina's van verschillende delen van het schijfbestand aanpassen. Hierdoor wordt de aangepaste cachebuffer door de kernel terug naar de schijf geschreven en de inhoud van het opgeslagen bestand permanent aangepast, ongeachte de permissies van het bestand. Een lokale gebruiker kan zo een SSH-key aan het root-account toevoegen, een rootshell aanmaken of een cronjob toevoegen die als backdoor draait en een nieuw gebruikersaccount met rootrechten toevoegt, maar ook het aanpassen van bestanden buiten een sandbox is mogelijk. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. Met de laatste update zijn erin totaal zeven nieuw aangevallen kwetsbaarheden aan de lijst toegevoegd. Het gaat naast het Dirty Pipe-lek in Linux ook om vier kwetsbaarheden in Windows waardoor een lokale aanvaller zijn rechten kan verhogen. Voor één van deze beveiligingslekken (CVE-2022-26904) kwam Microsoft twee weken geleden met een update. Volgens Microsoft werd het lek op het moment dat de patch uitkwam nog niet aangevallen. Dat is inmiddels veranderd, aldus het CISA, wat wederom aangeeft hoe snel aanvallers misbruik van geopenbaarde kwetsbaarheden maken. bron: https://www.security.nl

Het Britse National Cyber Security Centre (NCSC) heeft vorig jaar een variant van de spionagemalware SparrowDoor op een niet nader genoemd Brits netwerk aangetroffen. Vandaag is een analyse van de variant gepubliceerd, die onder andere nu gegevens uit het clipboard kan stelen. Daarnaast zijn er indicators of compromise en Yara-rules beschikbaar gemaakt waarmee organisaties de malware binnen hun eigen netwerk kunnen detecteren. De eerste versie van SparrowDoor werd ontdekt door antivirusbedrijf ESET en zou onder andere tegen hotels wereldwijd zijn ingezet, alsmede tegen overheden. De aanvallers maakten gebruik van kwetsbaarheden in Microsoft Exchange, Microsoft SharePoint en Oracle Opera om bij organisaties in te breken. Getroffen organisaties bevonden zich onder andere in Canada, Israël, Frankrijk, Saudi-Arabië, Taiwan, Thailand en het Verenigd Koninkrijk. Wat het exacte doel van de aanvallers is liet ESET niet weten. Het Britse NCSC zegt dat het vorig jaar op een Brits netwerk een variant van SparrowDoor heeft aangetroffen. Deze versie kan data uit het clipboard stelen en controleert aan de hand van een hardcoded lijst of bepaalde antivirussoftware draait. Ook kan deze variant bij het opzetten van netwerkverbindingen het user account token imiteren. Waarschijnlijk wordt deze "downgrade" uitgevoerd om niet op te vallen, wat wel zo zou kunnen zijn als het bijvoorbeeld netwerkcommunicatie onder het SYSTEM-account zou uitvoeren. Een andere nieuwe eigenschap is het kapen van verschillende Windows API-functies. Wanneer de malware van "API hooking" en "token impersonation" gebruikmaakt is niet duidelijk, maar volgens het Britse NCSC maken de aanvallers bewuste operationele security-beslissingen. Verdere details over het aangevallen netwerk of wie erachter de malware zit worden niet gegeven. bron: https://www.security.nl

Het inloggen met een gebruikersnaam en wachtwoord is de meest onveilige vorm van authenticatie. Organisaties die hun accounts beter willen beschermen doen er dan ook verstandig aan om sterkere authenticatiemethoden te kiezen, zoals tweefactorauthenticatie (2FA) en de FIDO2-standaard van de FIDO Alliance. Dat stelt het Nationaal Cyber Security Centrum (NCSC) in een nieuwe factsheet genaamd "Volwassen authentiseren". Volgens het NCSC zijn accounts met verhoogde rechten binnen een systeem, zoals beheerdersaccounts, steeds vaker het doelwit van aanvallen. "Gezien deze ontwikkeling is het extra belangrijk om accounts op een gepaste manier te beveiligen. Het Cybersecuritybeeld Nederland 2021 onderschrijft het belang van goede authenticatie en laat zien dat het dreigingsniveau voor zwakke authenticatie hoog is", zo waarschuwt de overheidsdienst. Die adviseert dan ook sterkere authenticatiemethodes zoals 2FA. Niet alle vormen van 2FA zijn hetzelfde. Zo laat de factsheet weten dat tweefactorauthenticatie waarbij gebruik wordt gemaakt van een sms of e-mail de minst veilige 2FA-vorm zijn. Een aanvaller zou de via e-mail of sms verstuurde inlogcodes namelijk kunnen onderscheppen. Het gebruik van biometrische gegevens als tweede veiligheidslaag is minder gevoelig voor een dergelijke aanval, maar is onderhevig aan wetten en regels omtrent privacy zoals de Algemene verordening gegevensbescherming (AVG), aldus het NCSC. Verder adviseert de overheidsdienst om onderscheid tussen verschillende accounts te maken op basis van het bijbehorende risico. High-impact accounts, zoals die van beheerders, vereisen een andere beveiliging dan bijvoorbeeld gastaccounts. Organisaties kunnen op basis van een risicobeoordeling hun accounts indelen in low - medium - en high impact accounts. Vervolgens zijn de accounts met behulp van het volwassenheidsmodel voor authenticatie op een gepaste manier te beveiligen. Afsluitend raadt de factsheet aan om een maximaal aantal toegestane inlogpogingen per tijdseenheid in te stellen voor alle clients. Daarnaast zouden medewerkers zicht moeten hebben op hun inloggeschiedenis, zodat ze verdachte activiteiten sneller kunnen opmerken en rapporteren. bron: https://www.security.nl

Microsoft kwam op 12 april met een beveiligingsupdate voor een kritieke kwetsbaarheid in Windows en een mitigatie-advies dat organisaties zou moeten beschermen, maar dit advies is niet volledig en nu verwijderd. Via het beveiligingslek in de Remote Procedure Call (RPC) runtime library kan een aanvaller zonder enige interactie van gebruikers controle over systemen krijgen. De kwetsbaarheid is in theorie te misbruiken door een computerworm. De impact van de kwetsbaarheid, aangeduid als CVE-2022-26809, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Naast het installeren van de update adviseerde Microsoft als mitigatie om tcp-poort 445 op de perimeter-firewall te blokkeren, aangezien deze poort wordt gebruikt om verbinding met het kwetsbare Windows-onderdeel te maken. Door poort 445 te blokkeren worden systemen achter de firewall beschermd. Iets wat volgens Microsoft de beste bescherming is tegen aanvallen vanaf het internet. In een update van het beveiligingsbulletin laat Microsoft weten dat de aangeraden mitigatie niet tegen alle potentiële aanvalsscenario's bescherming biedt. Het mitigatie-advies "Block TCP port 445 at the enterprise perimeter firewall" is dan ook verwijderd. Volgens Microsoft gebruikte de onderzoeker die de kwetsbaarheid rapporteerde SMB als aanvalsvector om het lek in de RPC-service te misbruiken. Het advies om poort 445 te blokkeren zou in dit geval effectief zijn. "Hoewel het blokkeren van poorten 139 en 445 (SMB) op de perimeter-firewall een aanbevolen practice is, beschermt het niet tegen alle aanvalsscenario's voor deze specifieke kwetsbaarheid", laat Microsoft weten. Het techbedrijf is op dit moment niet bekend met andere specifieke aanvalsvectoren voor deze kwetsbaarheid. Verder stelt Microsoft dat het blokkeren van tcp-poort 135 op de firewall een aanbevolen practice is die ook de kans verkleint op potentiële andere aanvallen die van het genoemde Windows-lek misbruik maken. bron: https://www.security.nl

Google heeft onder druk van meerdere nationale Europese privacytoezichthouders een aanpassing doorgevoerd aan de keuze die het internetgebruikers biedt voor het weigeren van cookies. Voortaan is het mogelijk om via één klik alle cookies van Google te accepteren of te weigeren. De aanpassing is al doorgevoerd voor Franse YouTube-gebruikers en zal binnenkort voor alle Europese Google-gebruikers beschikbaar worden. De nieuwe optie volgt op gesprekken en specifieke aanwijzingen van de Franse privacytoezichthouder CNIL. Volgens Google moest het vanwege de nieuwe weigerknop de manier aanpassen waarop cookies werken op Google-sites en aanpassingen aan belangrijke Google-infrastructuur doorvoeren. Naast het weigeren of accepteren van alle cookies zullen gebruikers ook hun keuze kunnen verfijnen. bron: https://www.security.nl

Microsoft heeft het updatebeleid van Exchange Server aangepast en zal voortaan twee keer per jaar een cumulative update (CU) uitbrengen in plaats van één elk kwartaal. Ook wordt erop verzoek van klanten geen cumulative update meer in december uitgebracht. Volgens Microsoft vonden klanten het elk kwartaal uitbrengen van een cumulative update te frequent. Cumulative updates bevatten bugfixes, nieuwe features en alle eerder uitgekomen beveiligingsupdates voor Exchange. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie wel een bepaalde cumulative update (CU) hebben geïnstalleerd. Klanten klaagden dat het lastig was om hun Exchange Server met een recente CU-versie up-to-date te houden. Daarnaast werd aangegeven dat december geen goede maand is voor het uitbrengen van een cumulative update. Dit was ook de reden dat Microsoft afgelopen december geen CU uitbracht. Destijds werd er echter geen reden gegeven. Vanwege de feedback is besloten twee keer per jaar een cumulative update uit te rollen, één in de eerste helft van het jaar en de ander in de tweede helft. Daarbij richt Microsoft zich op releases in april en oktober, maar dit kan afhankelijk van de update veranderen. De volgende CU zal in de tweede helft van 2022 verschijnen en alleen voor Exchange Server 2019 uitkomen, aangezien de mainstream-ondersteuning van Exchange Server 2013 en 2016 is gestopt. Microsoft stelt dat het elke zes maanden uitbrengen van een cumulative update voor sommige updates te lang is. In deze gevallen zal Microsoft met hotfixes komen. Wat betreft de ondersteuning van Exchange Server moeten servers de laatste of een na laatste CU hebben om beveiligingsupdates te blijven ontvangen. bron: https://www.security.nl

Versleutelde e-maildienst ProtonMail gaat nauwer samenwerken met het Tor Project, zodat de apps en diensten die het aanbiedt beter werken met het Tor-netwerk. Het Tor Project biedt bedrijven en organisaties die Tor binnen hun eigen product willen integreren een apart "lidmaatschapsprogramma". Via het programma kan er toegang worden verkregen tot een adviesgroep en wordt er informatie gedeeld over nog in ontwikkeling zijnde projecten. Sponsoren kunnen uit drie verschillende lidmaatschappen kiezen. Het goedkoopste lidmaatschap kost tussen de 10.000 en 50.000 dollar. Voor het tweede lidmaatschap moet tussen de 50.000 en 100.000 dollar worden betaald en "Shallot Onion" leden mogen jaarlijks 100.000 dollar of meer afrekenen. Alle lidmaatschappen bieden toegang tot de adviesgroep en webinars. Het verschil zit in de bijkomende promotie vanuit het Tor Project. ProtonMail heeft gekozen voor het goedkoopste lidmaatschap. "Dit laat ons nauwer met het Tor Project-team werken en de ervaring van de Proton web-apps over Tor verbeteren", zegt Proton-ceo Bart Butler. Als onderdeel van de samenwerking zijn er grote aanpassingen doorgevoerd aan de Tor-site van ProtonMail en zijn er Tor-sites voor Proton Calendar en Proton Drive gelanceerd. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het verleden zijn er verschillende incidenten met malafide exitnodes geweest die aanvallen op gebruikers uitvoerden. Tor biedt daarnaast de mogelijkheid voor het hosten van websites, de zogeheten onion-sites, die alleen vanaf het Tor-netwerk toegankelijk zijn. Er is een verschil tussen het gebruik van Tor Browser om een website op het 'normale' internet te bezoeken en het apart hosten van een onion-site op het Tor-netwerk die via Tor Browser wordt bezocht. In het eerste geval waarbij de 'normale' website via Tor Browser wordt bezocht is er nog altijd het risico van de exitnode. Door een website op het Tor-netwerk zelf te starten wordt dit risico weggenomen, omdat het verkeer op het Tor-netwerk blijft. bron: https://www.security.nl

Browserontwikkelaar Opera heeft de standaardversie van Opera voorzien van een nieuwe ingebouwde cryptowallet waarmee gebruikers hun cryptovaluta kunnen beheren. De wallet was eerst alleen beschikbaar in de Opera Crypto Browser, die specifiek voor cryptogebruikers is ontwikkeld. Volgens Opera moet de cryptowallet het gebruik van cryptovaluta voor mensen eenvoudiger maken en voor een toekomstbestendige "Web 3.0 browser" zorgen. Opera beschikte al over een ingebouwde cryptowallet, maar de nieuwe cryptowallet moet voor een betere web 3.0- en crypto-ervaring zorgen. Het gaat om een non-custodial cryptowallet die netwerkondersteuning voor Ethereum en Polygon biedt. Zo is het mogelijk om Ethereum te kopen, maar ook Matic- en Ethereum-tokens te kopen, versturen of om te wisselen. Daarnaast maakt de nieuwe wallet het mogelijk om zonder extensies direct met Ethereum en Polygon dApps verbinding te maken. DApps zijn gedecentraliseerde apps die autonoom kunnen opereren. De nieuwe wallet is beschikbaar in Opera 86. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP zijn kwetsbaar door verschillende beveiligingslekken in Apache HTTP Server. Beveiligingsupdates zijn nog niet beschikbaar, maar worden wel ontwikkeld, zo laat QNAP in een advisory weten. De Apache Software Foundation kwam op 14 maart met Apache httpd 2.4.53, waarmee meerdere kwetsbaarheden worden verholpen. Twee van deze beveiligingslekken zijn ook aanwezig in de software die op QNAP-systemen draait. Via deze kwetsbaarheden kan een aanvaller in theorie een buffer overflow veroorzaken of heap memory met eigen data overschrijven. QNAP meldt dat het de twee kwetsbaarheden aan het onderzoeken is en zo snel mogelijk met beveiligingsupdates komt. In de tussentijd zijn er mitigaties om de problemen te verhelpen. bron: https://www.security.nl

Vorig jaar telde Google een recordaantal zerodaylekken waar actief misbruik van werd gemaakt. En hoewel detectie en bekendmaking van dergelijke kwetsbaarheden beter wordt doen softwareontwikkelaars volgens Google nog te weinig om het vinden en gebruiken van zerodays lastig te maken. Zerodays zijn kwetsbaarheden waar actief misbruik van wordt gemaakt en waarvoor nog geen beveiligingsupdate beschikbaar is. In totaal noteerde Google vorig jaar 58 zerodays in verschillende producten, waaronder het eigen Android en Chrome, maar ook iOS en Safari. Van de beveiligingslekken waren er 39, oftewel 67 procent, memory corruption kwetsbaarheden. Dergelijke kwetsbaarheden zijn al decennia de standaard voor het aanvallen van software en zijn nog steeds manier waarop aanvallers succes hebben. Het gaat dan om type kwetsbaarheden als use-after-free, buffer overflows en integer overflows. "Als industrie maken we zerodays niet lastig", zegt Maddie Stone van Google. Aanvallers hebben volgens haar nog steeds succes met dezelfde soort kwetsbaarheden die eerder zijn gebruikt en in onderdelen die eerder als aanvalsoppervlak zijn besproken. Volgens Stone moet het doel zijn dat aanvallers elke keer dat er een zeroday-exploit wordt ontdekt helemaal opnieuw moeten beginnen. Iets wat nog altijd niet het geval is. Daarnaast vermoedt Stone dat er softwareleveranciers zijn die verzwijgen dat er misbruik van een zerodaylek in hun software wordt gemaakt. "Totdat we zeker zijn dat alle leveranciers actief misbruik melden, blijft het een grote vraag hoeveel actief misbruikte zerodaylekken zijn ontdekt, maar niet door leveranciers zo worden genoemd." Verder stelt Stone dat de meeste mensen zich geen zorgen hoeven te maken dat ze zelf het doelwit van een zeroday-aanval worden, maar dat dergelijke aanvallen ons uiteindelijk allemaal raken. "Deze zerodays hebben een grote impact op de samenleving en we moeten dus blijven doen wat we kunnen om het lastiger voor aanvallers te maken met deze aanvallen succesvol te zijn." Eerder berichtte Security.NL in dit achtergrondartikel dat er vorig jaar een recordaantal zerodaylekken is waargenomen. bron: https://www.security.nl

Oracle heeft tijdens de patchronde van dit kwartaal een recordaantal van 520 kwetsbaarheden in meerdere producten verholpen. Niet eerder kwam het bedrijf in één keer met patches voor zoveel beveiligingslekken. De impact van drie van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Zeventig kwetsbaarheden hebben een impactscore van 9.8. Via dergelijke lekken is het mogelijk voor aanvallers om zonder authenticatie systemen op afstand over te nemen. De meeste kwetsbaarheden, 149 in totaal, zijn verholpen in producten die onder Oracle Communications vallen. Verder zijn er 54 kwetsbaarheden in Oracle Fusion Middleware gepatcht. Het gaat onder andere om Oracle HTTP Server en Oracle WebLogic Server. Dit laatste product is in het verleden geregeld het doelwit van aanvallen geweest, waarbij aanvallers kwetsbaarheden kort na het uitkomen van de update misbruikten. Oracle adviseert organisaties vanwege de dreiging van een succesvolle aanval om de beveiligingsupdates zo snel mogelijk te installeren. Het bedrijf blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Oracle brengt niet maandelijks maar elk kwartaal updates uit. De volgende patchronde staat gepland voor 19 juli 2022. bron: https://www.security.nl

De Amerikaanse overheid heeft opnieuw gewaarschuwd voor een kwetsbaarheid in de Windows Print Spooler waar aanvallers actief misbruik van maken. Eind maart werd een zelfde waarschuwing voor een ander beveiligingslek in het Windowsonderdeel gegeven. De kwetsbaarheid, aangeduid als CVE-2022-22718, bevindt zich in de Windows Print Spooler en maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Het beveiligingslek alleen is niet voldoende om een systeem over te nemen. Microsoft rolde op 8 februari een update voor het probleem uit en meldde toen dat er geen misbruik van werd gemaakt. Dat is inmiddels veranderd, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Kwetsbaarheden in de Windows Print Spooler zijn in het verleden vaker gebruikt bij aanvallen. Een ander lek in de Print Spooler waarvoor op 8 februari een patch verscheen, CVE-2022-21999, werd eerder al bij aanvallen ingezet. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. In het geval van CVE-2022-22718 moeten Amerikaanse overheidsinstanties deze kwetsbaarheid voor 10 mei in hun systemen hebben verholpen. bron: https://www.security.nl

QNAP adviseert eigenaren van een NAS-systeem om UPnP port forwarding voor het apparaat op de router uit te schakelen. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren. Aangezien het bedoeld is om op lokale, vertrouwde netwerken te worden gebruikt implementeert het UPnP-protocol standaard geen enkele vorm van authenticatie of verificatie. Volgens QNAP is UPnP geen veilig protocol. "Het gebruikt netwerk UDP-multicasts, geen encryptie en geen authenticatie. Aangezien UPnP niet geauthenticeerd is, kan één apparaat port mapping voor een ander apparaat aanvragen. Hackers kunnen UPnP misbruiken om via malafide bestanden aanvallen uit te voeren, je systeem te infecteren en controle te krijgen", zo stelt de NAS-fabrikant. Eigenaren van een QNAP-NAS worden aangeraden om het apparaat achter een router en firewall te houden zonder publiek ip-adres. "Je moet handmatige port forward en UPnP port forwarding voor de QNAP NAS in je routerconfiguratie uitschakelen", aldus het advies. Volgens QNAP kunnen gebruikers beter de myQNAPcloud Link-service gebruiken voor het benaderen van hun NAS-systeem. Wel stelt de fabrikant dat de snelheid hierbij lager ligt, omdat het verkeer via de servers van QNAP gaat. Verder wordt gebruikers aangeraden om de vpn-server op hun router in te schakelen wanneer het nodig is om het NAS-systeem vanaf het internet te bereiken. bron: https://www.security.nl