Captain Kirk

Onderzoekers van de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, hebben meer dan 3,6 miljoen MySQL-servers gevonden die vanaf het internet op tcp-poort 3306 toegankelijk zijn. Het gaat onder andere om bijna 342.000 servers die in Nederland staan. De onderzoekers keken niet in hoeverre de gevonden databases toegankelijk zijn, maar stellen dat deze mate van blootstelling een potentieel aanvalsoppervlak is dat moet worden gesloten. Het grootste deel van de aangetroffen servers die via ipv4 toegankelijk zijn bevindt zich in de Verenigde Staten (740.000), gevolgd door China (296.000) en Polen (208.000). In Nederland werden 46.500 MySQL-servers met een uniek ipv4-nummer geteld. Wordt er echter gekeken naar MySQL-servers met een uniek ipv6-nummer, dan staat Nederland met bijna 296.000 servers op tweede plek, met wederom de Verenigde Staten als eerste (461.000). Verder blijkt dat MySQL versie 5.7.33-36 het vaakst op servers met een ipv4-adres wordt aangetroffen, terwijl versie 5.5.5-10.5.12-mariadb-cll-lve op de meeste servers met een ipv6-nummer draait. "Het is onwaarschijnlijk dat je MySQL-server externe verbindingen van het internet moet toestaan, en dus een mogelijk extern aanvalsoppervlak", aldus de Shadowserver Foundation. De organisatie heeft informatie over de gevonden servers beschikbaar gemaakt voor leden. Bedrijven en andere partijen die voor een toegankelijke MySQL-server worden gewaarschuwd krijgen het advies om verkeer naar de server te filteren en authenticatie op de server te implementeren. bron: https://www.security.nl

Op internet zijn talloze websites te vinden die vpn-providers beoordelen en voor het doorlinken naar de betreffende aanbieder betaald krijgen. Eén van de problemen bij "affiliate marketing" is dat wanneer gebruikers een referral link openen er attributie plaatsvindt zodat de betreffende uitgever, website of influencer kan worden betaald voor het doorsturen van de gebruiker naar de vpn-provider. Tijdens deze transactie wordt door een derde partij, een affiliate netwerkpartner, informatie verwerkt zoals een ip-adres en andere data over de gebruiker. Mozilla biedt sinds enige tijd ook een vpn-dienst aan, maar zag de huidige affiliate marketing naar eigen zeggen als probleem. Daarom heeft het een privacyvriendelijke oplossing ontwikkeld waarbij alleen de noodzakelijke data wordt verzameld om de betreffende netwerkpartner te kunnen belonen, zonder dat hierbij het ip-adres van de gebruiker lekt. Daarnaast laat Mozilla een waarschuwing zien wanneer gebruikers via een affiliate partner op de Mozilla-site terecht zijn gekomen en biedt vervolgens een opt-out zodat er geen data wordt verzameld. De software die Mozilla voor de affiliate marketing gebruikt is open source en via GitHub beschikbaar, wat volgens het softwarebedrijf voor transparantie moet zorgen. bron: https://www.security.nl

Er zitten weinig verschillen tussen virusscanners voor Windows 10, zo blijkt uit de nieuwste test van het AV-Test Institute. Voor de test werden achttien verschillende antiviruspakketten bedoeld voor eindgebruikers beoordeeld op het gebied van bescherming, prestaties en bruikbaarheid. Maar liefst vijftien virusscanners werden als "Top Product" bestempeld, waaronder de gratis virusscanners van Avast en Microsoft. Voor de drie testonderdelen konden de pakketten bij elkaar achttien punten verdienen. Bij de detectie van malware werd gekeken naar 408 "zero-day" malware-exemplaren en bijna 22.000 malware-exemplaren die in de laatste vier weken voor de test van april werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,5 procent gehaald. De test met de ongeveer 22.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. In tegenstelling tot eerdere tests wisten slechts vijf virusscanners op beide onderdelen 100 procent te scoren. Het gaat om Avast, AVG, Avira, Kaspersky en Trend Micro Om op dit onderdeel de maximale zes punten te halen was het echter niet noodzakelijk om ook alle malware te detecteren. Microwold zet met 5 punten de laagste detectiescore neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Op AVG na (5,5 punten) weten alle virusscanners hierbij de maximale 6 punten te scoren. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden anderhalf miljoen schone websites en bestanden gebruikt. Dertien pakketten halen de maximale 6 punten. PC Matic eindigt op dit onderdeel met 3,5 punten onderaan. Ook bij eerdere tests eindigde deze virusscanner op dit onderdeel als laatste. Van de achttien virusscanners weten er uiteindelijk acht op alle drie de vlakken maximaal te scoren (Avast, Avira, F-Secure, G Data, Kaspersky, McAfee, NortonLifeLock en Trend Micro). Avast is een gratis virusscanner. PC Matic eindigt met 15,5 punten als hekkensluiter. Om als topproduct bestempeld te worden was het niet nodig om de maximale score te halen. Ook producten met 17,5 punten, waaronder de in Windows ingebouwde virusscanner Defender, krijgen dit stempel. bron: https://www.security.nl

Microsoft heeft een waarschuwing gegeven voor een actief aangevallen zerodaylek in Windows waardoor het mogelijk is voor aanvallers om kwetsbare systemen over te nemen en een beveiligingsupdate is nog niet beschikbaar. Het beveiligingslek, aangeduid als CVE-2022-30190, bevindt zich in de Windows Support Diagnostic Tool (MSDT) en is onder andere via malafide Word-documenten te misbruiken. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. Het is mogelijk voor een aanvaller om willekeurige code op systemen uit te voeren door MSDT via een url-protocol aan te roepen. Dit is bijvoorbeeld mogelijk vanuit een applicatie zoals Word, waarbij alleen het opene van een malafide document volstaat. Eenmaal geopend kan een aanvaller vanuit het malafide document de diagnostische tool op het systeem van de gebruiker aanroepen en zo vervolgens willekeurige code uitvoeren met de rechten van de ingelogde gebruiker. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Als tijdelijke oplossing adviseert Microsoft om het MSDT-url-protocol uit te schakelen. Hierdoor is het kwetsbare onderdeel niet meer door een aanvaller aan te roepen. Hierdoor is het niet meer mogelijk om troubleshootprogramma's via een link te starten, maar deze tools zijn nog wel op andere manieren door de gebruiker zelf te openen. Verder heeft Microsoft een update aan Defender-antivirus toegevoegd om aanvallen die misbruik van de kwetsbaarheid maken te detecteren. Daarnaast biedt de Protected View van Office of Application Guard voor Office bescherming. Wanneer Microsoft met een update komt is nog onbekend. De patchdinsdag van juni staat gepland voor dinsdag 14 juni. bron: https://www.security.nl

Aanvallers hebben een nieuwe methode gevonden om systemen via malafide Microsoft Office-documenten met malware te infecteren, waarbij er geen gebruik wordt gemaakt van macro's. Daarbij kan alleen een preview van het document, zonder het bestand daadwerkelijk te openen, voldoende zijn om besmet te raken. Dat meldt beveiligingsonderzoeker Kevin Beaumont. Onderzoekers van nao_sec ontdekten via Googles online virusscandienst VirusTotal een .doc-document dat vanaf een Belarussisch ip-adres was geüpload. Het document gebruikte de Word remote template feature om een html-bestand van een webserver te downloaden, die het ms-msdt-protocol gebruikt om automatisch kwaadaardige code uit te voeren. Msdt staat voor Microsoft Support Diagnostic Tool en is een tool waarmee Microsoft informatie verzamelt en naar de eigen servers stuurt. In het geval van het kwaadaardige document was een malafide msdt-url toegevoegd die Microsoft Office automatisch verwerkt, waarna de gedownloade PowerShell-code wordt uitgevoerd. Dit gebeurt ook wanneer macro's zijn uitgeschakeld. De Protected View-beveiliging van Microsoft Office biedt bescherming, maar wanneer het document naar een .rtf-document wordt veranderd, wordt de kwaadaardige code uitgevoerd zonder het bestand te openen en biedt Protected View ook geen bescherming. Alleen het bekijken van het document via de preview in Windowsverkenner is voldoende. "Het is een zeroday die het uitvoeren van code in Office-producten mogelijk maakt. Wanneer er een makkelijke manier is om code direct vanuit Office uit te voeren, hebben mensen hier in het verleden misbruik van gemaakt om slechte dingen te doen", aldus Beaumont, die opmerkt dat de detectie door beveiligingsleveranciers slecht is. Meer dan een maand geleden blijkt dat een ander kwaadaardig document dat van de aanval gebruikmaakt naar VirusTotal is geüpload. Volgens het Internet Storm Center werkt de nieuwe aanval niet met alle Office-versies. Er zijn echter verschillende aanvallen tegen Office 2013, 2016, 2019 en 2021 gedemonstreerd. Beaumont merkt op dat ook Office 365 Semi-Annual Channel kwetsbaar is. De insider en meest recente versies van Office zouden niet kwetsbaar zijn, wat kan suggereren dat Microsoft in deze versies het probleem stilletjes heeft verholpen, maar dit is onbevestigd. Als tijdelijke oplossing wordt door Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit aangeraden om het ms-msdt-protocol via het Windows-register uit te schakelen en de preview-optie in Windowsverkenner uit te zetten. bron: https://www.security.nl

Microsoft heeft in een framework waarvan verschillende vooraf geïnstalleerde Android-apps gebruikmaken kwetsbaarheden ontdekt die zowel lokaal als op afstand zijn te misbruiken. Vanwege de systeemrechten die vooraf geïnstalleerde apps hebben is het zo mogelijk voor een aanvaller om via de kwetsbaarheden toegang tot de systeemconfiguratie en gevoelige informatie te krijgen, of in het ergste geval het apparaat over te nemen. Mce Systems, ontwikkelaar van het betreffende framework, heeft inmiddels updates uitgebracht. Verschillende Android-apps van telecomproviders, met miljoenen downloads, maken gebruik van het framework om problemen met Androidtelefoons vast te stellen. Dit moet gebruikers helpen die tegen problemen aanlopen. Zo heeft het framework toegang tot systeemonderdelen en kan systeemgerelateerde taken uitvoeren. Volgens Microsoft kan de uitgebreide toegang die het framework en apps hebben gebruikers helpen, maar kunnen ze ook een doelwit van aanvallers zijn. Een service waar het framework gebruik van maakt is op afstand door een aanvaller aan te roepen die zo verschillende kwetsbaarheden kan misbruiken. Daarmee zou het mogelijk zijn om een persistente backdoor te installeren of het toestel over te nemen. Alleen het bezoeken van een gecompromitteerde of malafide website of het openen van een malafide link zou hiervoor voldoende zijn. Er is geen verdere interactie van het slachtoffer vereist. De impact van de vier kwetsbaarheden die Microsoft ontdekte is op een schaal van 1 tot en met 10 beoordeeld tussen de 7.0 en 8.9. Voor de kwetsbare apps, onder andere van telecomgigant AT&T met meer dan tien miljoen downloads, zijn updates verschenen. Gebruikers worden dan ook opgeroepen om te updaten naar de laatste versie van de telecomprovider-apps op hun toestel. Daarnaast heeft Microsoft de bevindingen met Google gedeeld, zodat apps in de Play Store hier voortaan op worden gecontroleerd. bron: https://www.security.nl

Inloggegevens voor de netwerken, vpn-servers en e-mailaccounts van Amerikaanse universiteiten en hoge scholen worden op internet te koop aangeboden, zo waarschuwt de FBI (pdf). De wachtwoorden zijn voor enkele dollars tot bedragen van duizenden dollars te koop. De Amerikaanse opsporingsdienst wijst naar 36.000 gebruikersnamen en wachtwoorden voor .edu-mailaccounts die op een niet nader genoemd chatplatform werden aangetroffen. De diefstal van inloggegevens is volgens de FBI vaak het gevolg van een phishingaanval, ransomware of andere aanval. Om misbruik te voorkomen krijgen onderwijsinstellingen onder andere het advies multifactorauthenticatie voor zoveel mogelijk diensten toe te passen, met name voor vitale systemen, webmail, vpn's en accounts die voor het maken van back-ups verantwoordelijk zijn. Ook is het belangrijk om blootstelling van inloggegevens te verminderen door te beperken waar accounts en inloggegevens zijn te gebruiken. Verder is het nodig om externe verbindingen in kaart te brengen en meteen een onderzoek in te stellen wanneer een niet geautoriseerde remote desktop-oplossing op een werkstation wordt aangetroffen. bron: https://www.security.nl

Het op privacy gerichte besturingssysteem Tails waarschuwt gebruikers om de ingebouwde Tor Browser wegens een actief aangevallen kwetsbaarheid tijdelijk niet te gebruiken voor het invullen van wachtwoorden, versturen van privéberichten en andere gevoelige informatie. De kwetsbare versie van Tor Browser is aanwezig in de meest recente versie van Tails en oudere versies en zal pas op 31 mei via een nieuwe Tails-versie worden verholpen. Door de kwetsbaarheid kan een malafide website de ingebouwde beveiliging van Tor Browser omzeilen en toegang krijgen tot informatie op andere websites. De anonimiteit en versleuteling van Tor-verbindingen zijn volgens de Tails-ontwikkelaars niet in het geding. "Het is nog steeds veilig en anoniem om websites met Tails te bezoeken als je geen gevoelige informatie met ze deelt." Volgens de Tails-ontwikkelaars wordt er actief misbruik van het beveiligingslek gemaakt. Mozilla kwam op 20 mei met een beveiligingsupdate voor Firefox en ook de op Firefox-gebaseerde Tor Browser is inmiddels gepatcht. Het Tails-team zegt echter geen noodupdate te kunnen uitrollen en is daardoor gebonden aan de al vastgelegde releasedatum van Tails 5.1 die voor 31 mei gepland staat. In de tussentijd kunnen gebruikers het beveiligingsniveau van Tor Browser verhogen, waardoor JavaScript niet wordt uitgevoerd, wat misbruik van het lek voorkomt maar er ook voor kan zorgen dat websites niet meer werken. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. bron: https://www.security.nl

Proton, het bedrijf achter onder andere ProtonMail en ProtonVPN, heeft vandaag een "privacy-by-default ecosysteem" gelanceerd dat de verschillende aangeboden privacydiensten verenigt. Daarnaast zal Proton VPN in de tweede helft van dit jaar meer platforms gaan ondersteunen en met een browser-extensie komen. Dat heeft Proton-oprichter Andy Yen aangekondigd. Proton heeft besloten om de verschillende diensten die het aanbiedt, waaronder Proton Mail, Proton Drive en Proton Calendar, niet meer als losse diensten aan te bieden maar te verenigen. Dit moet voor een "privacy-by-default ecosysteem" zorgen dat met één Proton-account is te gebruiken, aldus Yen. Om het nieuwe ecosysteem te benadrukken zijn alle diensten van een nieuw logo voorzien. Proton zal als onderdeel van de lancering het abonnement van bestaande betalende vpn-klanten upgraden. Zo ontvangen gebruikers meer opslag en toegang tot betaalde features van de andere Proton-diensten. Verder is de vpn-dienst van plan om zowel de mobiele als desktopapplicaties onder handen te nemen. bron: https://www.security.nl

Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft zo'n tienduizend eigenaren van een QNAP-NAS gewaarschuwd dat het apparaat vanaf internet toegankelijk is en zo risico loopt om te worden aangevallen. Aanleiding is een recente waarschuwing van QNAP voor een nieuwe variant van de Deadbolt-ransomware. De ransomware infecteert NAS-systemen die vanaf het internet toegankelijk zijn en QTS versie 4.3.6 of QTS versie 4.4.1 draaien. Eenmaal actief versleutelt de ransomware bestanden voor losgeld. Naast het updaten van de QTS-versie adviseerde QNAP ook om de NAS-apparaten niet direct vanaf internet toegankelijk te maken. Het DIVD doet onderzoek naar kwetsbaarheden in software en waarschuwt organisaties wanneer ze kwetsbare software draaien of systemen verkeerd hebben geconfigureerd. Naar aanleiding van de nieuwe aanvalscampagne tegen QNAP-gebruikers heeft het DIVD een online scan uitgevoerd naar online toegankelijk NAS-apparaten. Gisteren werd naar zo'n tienduizend hosts een bericht gestuurd dat hun NAS vanaf het internet bereikbaar is. Daarnaast wordt deze gebruikers geadviseerd om port forwarding uit te schakelen om zo het probleem te verhelpen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Google Chrome maakt het mogelijk voor een aanvaller om willekeurige code op het systeem van gebruikers uit te voeren en in het ergste geval volledige systeemcontrole te krijgen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. Google heeft een update uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2022-1853, bevindt zich in Indexed DB, een programmeerinterface voor de opslag van data binnen de browser. Google geeft verder geen details over de bug, behalve dat die kan leiden tot een "use after free" waardoor het mogelijk is voor een aanvaller om code met de rechten van de ingelogde gebruiker uit te voeren. Het beveiligingslek werd op 12 mei door een anonieme onderzoeker aan Google gerapporteerd. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. De teller staat dit jaar pas op vier. In het geval van kritieke beveiligingslekken probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 102.0.5005.61 31 andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Door middel van een reeks kwetsbaarheden in videoconferentiesoftware Zoom was het mogelijk voor aanvallers om alleen door het versturen van een malafide chatbericht systemen van gebruikers over te nemen. Er was geen interactie van slachtoffers vereist, alleen het versturen van een speciaal geprepareerd bericht via het XMPP-protocol naar een gebruiker was voldoende. Dat meldt Google-onderzoeker Ivan Fratric die het beveiligingslek ontdekte. Het probleem werd veroorzaakt doordat de Zoom-client en de Zoom-server andere software gebruiken voor het verwerken van XML-code die via het XMPP-protocol wordt verstuurd. De inconsistentie in de manier waarop de client- en serversoftware met XML-code omgaan maakte het mogelijk voor een aanvaller om de Zoom-client van het slachtoffer verbinding te laten maken met een server van de aanvaller, waardoor er een man-in-the-middle-situatie ontstaat. Hiervoor hoeft een aanvaller alleen een bericht te versturen, het slachtoffer hoeft verder niets te doen. De Zoom-client zoekt periodiek naar updates op de Zoom-webserver, die vervolgens een locatie teruggeeft waar de eventueel beschikbare update is te downloaden. Doordat het malafide chatbericht ervoor zorgt dat de Zoom-client van het slachtoffer verbinding maakt met de server van de aanvaller, kan die een malafide update aanbieden. De Zoom-update bestaat uit een installer.exe en een .cab-bestand. De Zoom-client controleert echter of installer.exe digitaal is gesigneerd door Zoom. Daarnaast controleert installer.exe de hash van het .cab-bestand voordat de inhoud wordt uitgepakt. Dit moet het installeren van malafide updates voorkomen. Frantic ontdekte dat hij deze beperkingen kon omzeilen door middel van een downgrade-aanval. Wanneer de Zoom-client van het slachtoffer naar een update zoekt biedt Frantic de installer.exe en het .cab-bestand van Zoom versie 4.4 aan. De installer van deze versie is nog steeds digitaal gesigneerd, maar controleert niet het .cab-bestand. Daardoor is het mogelijk om de inhoud van het .cab-bestand door malware te vervangen die vervolgens door de Zoom-client van het slachtoffer wordt uitgevoerd. De in totaal vier kwetsbaarheden (CVE-2022-22784, CVE-2022-22785, CVE-2022-22786 en CVE-2022-22787) werden begin februari door de Google-onderzoeker aan Zoom gerapporteerd. Dezelfde maand kwam Zoom met een oplossing aan de serverkant. Eind april verscheen er een update voor de Zoom-client (5.10.4). Frantic merkt op dat de aanval is gedemonstreerd tegen de Windows-versie van Zoom, maar dat mogelijk een deel of de gehele aanval ook tegen andere platforms werkt. bron: https://www.security.nl

DuckDuckGo is onder vuur komen te liggen omdat het een overeenkomst met Microsoft heeft gesloten waardoor de DuckDuckGo-browser scripts van Microsoft op third-party websites niet blokkeert. Privacyonderzoeker Zach Edwards meldde op Twitter dat de DuckDuckGo-browser gebruikmaakt van een lijst met domeinen waarop Microsoft-scripts niet worden geblokkeerd. Het zou onder andere om Bing.com gaan. DuckDuckGo biedt een eigen op privacygerichte browser die stelt tracking tegen te gaan, maar nu blijkt dat Microsoft-scripts worden doorgelaten. Het gaat dan om scripts van Microsoft die websites besluiten toe te voegen, net zoals sites er bijvoorbeeld voor kunnen kiezen om Google-scripts toevoegen voor analytics. DuckDuckGo-oprichter Gabriel Weinberg benadrukt dat de overeenkomst met Microsoft losstaat van de DuckDuckGo-zoekmachine en dat het bezig is om die aan te passen. Weinberg stelt dat DuckDuckGo binnenkort met een update komt die meer bescherming tegen third-party Microsoft-scripts moet gaan bieden. Op Hacker News is inmiddels een discussie gaande tussen Weinberg en anderen. "Ik weet dat ons product niet perfect is en dat ook nooit zal zijn. We hebben met veel beperkingen te maken: platformbeperkingen, contractuele beperkingen (zoals in dit geval), beperkingen om dingen niet stuk te maken en de trackingwapenwedloop", merkt Weinberg op. Hij voegt toe dat de DuckDuckGo-browser desondanks de beste oplossing is voor doorsnee gebruikers die gewoon privacybescherming willen zonder dat dingen stuk gaan. "En dat is onze productvisie", aldus Weinberg. bron: https://www.security.nl

Zo'n vijfhonderd NAS-apparaten van fabrikant QNAP zijn vorige week versleuteld door de Deadbolt-ransomware. QNAP waarschuwde op 19 mei voor een nieuwe aanval door de Deadbolt-ransomware, waarvan begin dit jaar de eerste variant verscheen. De nieuwste versie richt zich op NAS-apparaten die een oudere versie van QNAPs QTS-besturingssysteem draaien. De NAS-fabrikant heeft niet laten weten via welk beveiligingslek de aanvallers toegang tot de apparaten weten te krijgen. Gebruikers wordt opgeroepen om naar de nieuwste QTS-versie te updaten en hun NAS niet vanaf het internet toegankelijk te maken. Analysebedrijf Censys voerde in de periode van 11 tot 18 mei een online scan uit en ontdekte bijna vijfhonderd besmette NAS-apparaten. De meeste besmette NAS-systemen bevinden zich in de Verenigde Staten, gevolgd door Duitsland en het Verenigd Koninkrijk. In plaats van het gehele systeem te versleutelen, waardoor het in principe offline gaat, richt de ransomware zich alleen op specifieke back-updirectories en voorziet de beheerdersinterface van een boodschap waarin staat dat slachtoffers losgeld moeten betalen als ze hun data terug willen. Op basis van de door de ransomware genoemde bitcoinwallets stelt Censys dat 132 slachtoffers bij elkaar een bedrag van 188.000 dollar hebben betaald, wat neerkomt op een gemiddeld losgeld van ruim 1400 euro per slachtoffer. bron: https://www.security.nl

De Duitse overheid heeft voor het eerst routers gericht op consumenten van een it-veiligheidskeurmerk voorzien. Onlangs werd dit ook al gedaan voor twee routers bedoeld voor kleine bedrijven. Dat meldt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. De twintig routers zijn allemaal gefabriceerd door netwerkfabrikant Lancom. De certificering van de routers is gebaseerd op technische richtlijnen van het BSI. Daarin staat onder andere dat routers het aanvalsoppervlak moeten verkleinen door ongebruikte poorten te sluiten, het apparaat van beveiligingsupdates wordt voorzien en er eisen worden gesteld aan de wachtwoorden gebruikers. Ook moet de router over een basale firewall beschikken en een ingelogde gebruiker de mogelijkheid geven om een fabriekreset uit te voeren. "Breedbandrouters vormen het hart van veel netwerken. Als een interface tussen het internet en thuis- of bedrijfsnetwerken spelen ze een belangrijke rol als het om cybersecurity gaat. In een onbeveiligde staat kunnen ze als gateway voor aanvallers dienen en als springplank voor verdere aanvallen", zegt BSI-directeur Arne Schönbohm. "Aan de andere kant kan een veilige router als intern en externe schild fungeren." Schönbohm is zeer te spreken dat het BSI voor de eerste keer een consumentenproduct van het it-veiligheidslabel heeft voorzien. "Op deze manier dragen we bij aan meer transparantie op de it-consumentenmarkt." Het keurmerk is voorzien van een link en qr-code die naar een specifieke productpagina op de website van het BSI wijzen. Op deze pagina staat informatie over securityfeatures die de fabrikant garandeert, zoals het verhelpen van bekende kwetsbaarheden en relevante veiligheidsinformatie. bron: https://www.security.nl

Microsoft heeft besloten om het verzamelen van telemetrie in het Windows Subsystem voor Android op Windows 11 standaard uit te schakelen. Het techbedrijf vraagt gebruikers nu om de optie zelf in te schakelen. Met het Windows Subsystem voor Android kunnen Windows 11-systemen Android-apps draaien die in de Amazon Appstore beschikbaar zijn. Met de nieuwste versie van het Subsystem voor Windows 11 Insiders staat het verzamelen van diagnostische gegevens nu standaard uit. Waarom dit is gedaan laat Microsoft niet weten, maar het ziet graag dat gebruikers dit zelf inschakelen. "Om Windows Subsystem voor Android beter te maken en zinvolle telemetrie over het gebruik van Android-apps te bieden, wil je deze optie dan alsjeblieft in de Windows Subsystem voor Android Settings-app inschakelen!", zo vraagt het Windows Insider Program Team aan gebruikers. bron: https://www.security.nl

Onderzoekers zijn er tijdens de jaarlijkse hackwedstrijd Pwn2Own Vancouver tien keer in geslaagd om succesvolle aanvallen tegen Ubuntu Desktop en Windows 11 uit te voeren. De gebruikte kwetsbaarheden zijn aan beide leveranciers gemeld, zodat die beveiligingsupdates kunnen ontwikkelen. Details over de beveiligingslekken zijn nog niet openbaar gemaakt. Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte software, zoals browsers, virtualisatiesoftware, kantoorsoftware, serversoftware en communicatiesoftware. Ook konden onderzoekers grote bedragen verdienen met aanvallen tegen een Tesla Model 3. De resultaten vielen dit jaar wat tegen in vergelijking met voorgaande jaren. Zo werden er in de browsercategorie alleen succesvolle aanvallen tegen Firefox en Safari gedemonstreerd en bestond de grootste "hack" uit een aanval op Microsoft Teams waarmee systemen zijn over te nemen. De meeste kwetsbaarheden die onderzoekers lieten zien zijn aanwezig in Ubuntu Desktop en Windows 11. Het gaat hierbij om "elevation of privilege", waardoor een aanvaller die al toegang tot een systeem zijn rechten kan verhogen. Doordat een aanvaller al toegang tot het systeem moet hebben is de impact van dergelijke aanvallen kleiner en leverden onderzoekers dan ook minder op. Voor een succesvolle aanval, waarbij een lek in de kernel moest worden gebruikt, werd 40.000 dollar betaald. Zes keer moest Windows 11 eraan geloven en vier keer was het raak bij Ubuntu Desktop. In totaal demonstreerden onderzoekers tijdens Pwn2Own Vancouver 25 onbekende kwetsbaarheden, wat goed was voor een prijzengeld van 1,1 miljoen dollar. De aanval op Microsoft Teams leverde met 150.000 dollar het meeste op. Leveranciers van de kwetsbare producten hebben negentig dagen de tijd gekregen om met patches te komen. Na deze deadline worden de details openbaar gemaakt. bron: https://www.security.nl

Eigenaren van twee vpn-routers van Netgear zijn gewaarschuwd, verschillende kwetsbaarheden in de apparaten zijn namelijk niet te verhelpen, zo stelt de fabrikant, die een vervanging voor de kwetsbare modellen aanbiedt. De beveiligingslekken zijn aanwezig in de BR200 en BR500 "insight managed business routers" en zorgen ervoor dat een aanvaller de apparaten kan overnemen. Voorwaarde is wel dat de gebruiker op de beheerdersinterface is ingelogd en een malafide website of link opent. "Vanwege technische beperkingen buiten onze controle zijn we niet in staat deze kwetsbaarheden te verhelpen. Hoewel er geen workarounds zijn, kun je mogelijk misbruik door de volgende maatregelen voorkomen", aldus Netgear. De netwerkfabrikant doet vervolgens verschillende aanbevelingen, waaronder het gebruik van virtuele lokale netwerken (VLANs), het gebruik van een MAC access control list om toegang tot de beheerdersinterface te beperken. Ook adviseert Netgear geen onbekende of verdachte links in browser of e-mailclient te openen en alle browsertabs te sluiten wanneer men op de beheerdersinterface is ingelogd. Als laatste doen gebruikers er verstandig aan om uit te loggen wanneer de router niet actief wordt beheerd. Eigenaren van de twee routermodellen kunnen gratis of met korting een vervangende router krijgen, afhankelijk van wanneer het apparaat is gekocht. bron: https://www.security.nl

Een kritieke kwetsbaarheid in firewalls van fabrikant Zyxel maakt het voor een ongeauthenticeerde aanvaller mogelijk om willekeurige code op het apparaat uit te voeren. Zyxel heeft updates uitgerold om het probleem te verhelpen, maar inmiddels is er ook exploitcode beschikbaar. De impact van de kwetsbaarheid, aangeduid als CVE-2022-30525, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zyxel roept gebruikers met klem op om de patch te installeren. Het probleem wordt veroorzaakt doordat de beheerdersinterface invoer van gebruikers niet goed controleert, waardoor het mogelijk is voor een aanvaller om willekeurige commando's op de firewall uit te voeren. Om de aanval op afstand uit te voeren moet de beheerdersinterface wel vanaf het internet toegankelijk zijn. Volgens securitybedrijf Rapid7, dat de kwetsbaarheid ontdekte, zijn erop internet meer dan 16.000 kwetsbare Zyxel-modellen te vinden. Het gaat om de USG FLEX 100, 100W, 200, 500 en 700, USG20-VPN en USG20W-VPN en ATP 100, 200, 500, 700 en 800. Rapid7 waarschuwde Zyxel op 13 april en stelde voor om de details van het beveiligingslek op 21 juni openbaar te maken. Op 28 april bracht Zyxel een firmware-update uit, zonder dit met Rapid7 te coördineren. Daarop nam het securitybedrijf contact op met Zyxel. De firewallfabrikant vroeg vervolgens een CVE-nummer aan om het lek mee te identificeren en ging akkoord met een nieuwe datum om de details te openbaren, wat gisteren was. Rapid7 is de ontwikkelaar van Metasploit, een opensourceframework voor het testen van de beveiliging van systemen en netwerken, dat geliefd is bij penetratietesters en securityprofessionals. Voor de kwetsbaarheid in de Zyxel-firewalls is nu een exploitmodule beschikbaar gemaakt. Organisaties worden dan ook opgeroepen om de update zo snel mogelijk te installeren en de beheerdersinterface niet vanaf internet toegankelijk te maken. bron: https://www.security.nl

Dagelijks krijgen internetgebruikers te maken met het oplossen van captcha's, maar criminelen maken daar gebruik van om ongewenste advertenties te tonen die uiteindelijk tot helpdeskfraude kunnen leiden. Dat laat securitybedrijf Sucuri weten. Internetgebruikers komen via gecompromitteerde WordPress-sites bij de advertenties terecht. Vorige maand telde Sucuri zo'n zesduizend geïnfecteerde WordPress-sites. Aanvallers weten door middel van kwetsbare themes en plug-ins kwaadaardige scripts aan de WordPress-sites toe te voegen. Zodra de betreffende website wordt bezocht zorgt het script ervoor dat de bezoeker automatisch naar een andere pagina wordt doorgestuurd. Deze doorgestuurde pagina lijkt op een captcha-pagina waar de bezoeker kan aangeven dat hij geen robot is. De zogenaamde captcha probeert de bezoeker zover te krijgen om pushnotificaties van de malafide site in te schakelen. Hierdoor kan de gebruiker ongewenste advertenties te zien krijgen ook als de website niet geopend is. De getoonde advertenties lijken daarnaast van het besturingssysteem afkomstig te zijn en niet van de browser. Volgens onderzoeker Krasimir Konov is deze werkwijze één van de meestvoorkomende manieren waarop aanvallers advertenties tonen die gebruikers laten weten dat er iets mis is met hun computer, zoals een besmetting, en het opgegeven telefoonnummer moet worden gebeld om het probleem op te lossen. Het opgegeven nummer is echter van helpdeskfraudeurs. bron: https://www.security.nl

Sinds afgelopen dinsdag zullen de Home- en Pro-edities van Windows 10 versie 20H2 en alle versies van Windows 10 versie 1909 geen beveiligingsupdates meer ontvangen. Microsoft is gestopt met de support van deze Windowsversies. Daardoor zijn systemen die deze versies draaien niet beschermd tegen de laatste securitydreigingen, zo laat Microsoft via het Windows message center weten. Om gebruikers te beschermen zal Windows Update op systemen van eindgebruikers en niet-beheerde zakelijke systemen automatisch een feature-update naar een wel ondersteunde Windows 10-versie uitvoeren. Dit vindt normaliter plaats een aantal maanden voordat de support van de betreffende Windows 10-versie afloopt. "Dit zorgt ervoor dat je systeem ondersteund blijft en maandelijkse updates ontvangt die vitaal zijn voor de veiligheid en gezondheid van het ecosysteem", aldus het techbedrijf. Microsoft benadrukt dat gebruikers zelf kunnen kiezen wanneer het systeem voor het uitvoeren van de feature-update moet worden herstart. Voorheen bracht Microsoft twee keer per jaar een grote feature-update uit voor Windows 10, die in het geval van de Home- en Pro-edities achttien maandenlang met beveiligingsupdates werden ondersteund. Sinds de lancering van Windows 10 versie 21H2 (Windows 10 November 2021 Update) verschijnt er nog maar één keer per jaar een grote feature-update die ook achttien maanden op patches kan rekenen. Windows 10 versie 20H2 verscheen op 20 oktober 2020, terwijl versie 1909 op 12 november 2019 uitkwam. Voor Windows Enterprise en Education hanteert Microsoft een langere supportperiode. De volledige support van Windows 10 Home en Pro eindigt op 14 oktober 2025. bron: https://www.security.nl

De Duitse overheid heeft e-mailprovider Freenet van een digitaal veiligheidskeurmerk voorzien. Freenet voldoet volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, aan de benodigde veiligheidseisen op het gebied van transparantie, het verhelpen van kwetsbaarheden, veilige interfaces en standaarden zoals TLS en DANE, het niet gebruiken van verouderde of onveilige technologie en dataveiligheid. Met het veiligheidskeurmerk, dat twee jaar geldig is, kunnen eindgebruikers volgens het BSI eenvoudiger de veiligheidskenmerken van diensten en producten vaststellen. Freenet is pas de tweede e-mailprovider die het veiligheidskeurmerk ontvangt. Mail.de was de eerste mailaanbieder die door de keuring heen kwam. De Duitse overheid hoopt dat het keurmerk voor veiligere producten en dienst gaat zorgen. "Het zorgt voor transparantie en keuze. Hiermee geven we een duidelijk signaal af aan de consumentenmarkt dat informatiebeveiliging een belangrijk argument is voor de beslissing om ict-producten aan te schaffen en te gebruiken. We zijn ervan overtuigd dat we met het it-beveiligingslabel een flinke stap zetten naar meer veiligheid voor consumenten op internet!", zo liet BSI-directeur Arne Schönbohm eerder weten. bron: https://www.security.nl

Een groep cybercriminelen kaapt op besmette computers lopende e-mailgesprekken om zo malware te verspreiden die uiteindelijk tot grootschalige ransomware-infecties kan leiden. De tactiek werd eerder al toegepast door de criminelen achter de Emotet-malware, maar is ook in gebruik door een groep genaamd TA578. Op een al besmet systeem wordt er op lopende e-mailgesprekken gereageerd met bijvoorbeeld een factuur of document dat zo naar een nog niet besmet slachtoffer wordt gestuurd. Het meegestuurde of gelinkte bestand is in werkelijkheid de Bumblebee-malware. Deze malware fungeert als een "downloader" en kan aanvullende malware op het systeem downloaden, zoals ransomware. Verschillende groepen cybercriminelen hebben volgens securitybedrijf Proofpoint Bumblebee gebruikt voor het uitvoeren van ransomware-aanvallen. Het zou onder andere om de Conti-ransomwaregroep gaan. De afgelopen dagen publiceerden het Internet Storm Center en securitybedrijf NCC Group analyses van de malware en gebruikte verspreidingstactiek. Volgens Brad Duncan van het Internet Storm Center is het belangrijk om de aanvallers in een vroeg stadium te stoppen, aangezien dit verdere schade kan voorkomen. bron: https://www.security.nl

De nieuwste versie van e-mailclient Thunderbird die eind juni zou moeten verschijnen moet het eenvoudiger voor gebruikers maken om hun e-mailaccounts te beheren alsmede van andere e-mailclients zoals Outlook of SeaMonkey over te stappen. Ook wordt het nu eenvoudiger om Thunderbird zonder e-mailclient te gebruiken, bijvoorbeeld voor alleen de agendafunctionaliteit of als chatclient. Volgens het ontwikkelteam werkte het voor de eerste keer instellen van een account in Thunderbird naar behoren, maar kon dat niet worden gezegd van het configureren van aanvullende accounts. Iets dat in Thunderbird 102 is aangepakt. Verder zullen gebruikers na het installeren van de software niet meer worden gedwongen om een e-mailaccount aan te maken. Iets wat handig is voor gebruikers die Thunderbird zonder e-mailaccount willen gebruiken. Verder is aan Thunderbird 102 een nieuwe Import- en Exporttool toegevoegd, die het exporteren en importeren van accounts en data moet vereenvoudigen. Voorheen moesten gebruikers hiervoor een aparte add-on gebruiken of de data handmatig kopiëren, maar met versie 102 zit deze functionaliteit in de e-mailclient ingebakken. Verder zal Thunderbird 102 ook support voor het gedecentraliseerde Matrix-chatprotocol bevatten. De bètaversie van Thunderbird 102 staat voor eind mei gepland, de releaseversie voor eind juni. bron: https://www.security.nl

Google gaat gebruikers de komende tijd op meer plekken de mogelijkheid bieden om tijdens het inloggen op bijvoorbeeld hun laptop hun telefoon als fysieke beveiligingssleutel te gebruiken. Hiervoor moeten gebruikers wel op beide apparaten tijdens het inloggen bluetooth inschakelen. Dit moet volgens Google gebruikers beter tegen phishing beschermen. Het techbedrijf stelt dat phishingaanvallen zich de afgelopen tijd verder hebben ontwikkeld en aanvallers nu ook tweefactorauthenticatie (2FA)-codes proberen te onderscheppen die bijvoorbeeld via sms worden verstuurd. Hierbij gebruikt de aanvaller informatie van het slachtoffer om direct op de echte Google-pagina in te loggen en stuurt aanvullende authenticatiechallenges door naar het slachtoffer. Traditionele multifactorauthenticatie is beperkt in wat het tegen dergelijke aanvallen kan doen, zegt Daniel Margolis, van het Google Account Security Team. Een betere bescherming bieden fysieke securitysleutels, die ook de identiteit van de website waarop wordt ingelogd controleren. Het is echter niet realistisch om te verwachten dat iedereen van een fysieke securitysleutel gebruik gaat maken, aldus Margolis. Als oplossing wil Google nu de telefoon van gebruikers als fysieke beveiligingssleutel gebruiken. "Dit voorkomt dat een aanvaller je kan misleiden om een inlogpoging via hun browser goed te keuren, wat ons een extra beveiligingslaag tegen dergelijke "person in the middle" aanvallen geeft die wel werken tegen sms of Google Prompt", merkt Margolis op. Voor de koppeling maakt Google gebruik van bluetooth. De komende maanden gaat het techbedrijf de technologie op meer plekken uitrollen en zullen gebruikers dus ook vaker het verzoek krijgen om bluetooth in te schakelen. Margolis stelt dat de technologie het niet mogelijk maakt voor computers in de buurt om als de gebruiker in te loggen. "Het geeft alleen toestemming aan de computer waar je op inlogt. En we gebruiken het alleen om te verifiëren dat je telefoon in buurt is van het apparaat waarop je inlogt, dus je hoeft bluetooth alleen tijdens het inloggen te hebben ingeschakeld." bron: https://www.security.nl