Captain Kirk

Versleutelde maildienst ProtonMail heeft een nieuw e-maildomein gekregen wat eenvoudiger voor gebruikers te gebruiken zou moeten zijn. Naast protonmail.com kunnen gebruikers straks ook van het domein proton.me gebruikmaken. Volgens de e-mailprovider was een kortere domeinnaam één van de meest verzochte features door gebruikers. De komende dagen kunnen gebruikers met een ProtonMail-account via de instellingen een gratis @proton.me-adres activeren. Tot 30 april is het proton.me-adres geassocieerd met de huidige gebruikersnaam van gebruikers gereserveerd en kan niemand die registreren. De maildienst laat niet weten wat er na deze datum met proton.me-adressen gebeurt. E-mails die naar een proton.me-adres worden gestuurd verschijnen gewoon in de inbox van het bijbehorende ProtonMail.com-account. Voor betalende gebruikers biedt ProtonMail ook het verkorte domein pm.me. bron: https://www.security.nl

Internetbedrijf Cloudflare heeft besloten om de captcha's die het internetgebruikers laat zien te vervangen door een systeem dat informatie over gebruikers en hun browser verzamelt om te bepalen of het om daadwerkelijk mensen gaat. Cloudflare biedt verschillende diensten, zoals ddos-bescherming en content delivery netwerken. Deze diensten bevinden zich tussen een website en diens bezoekers. Om te bepalen of verkeer naar de websites van klanten afkomstig is van mensen of bots maakt Cloudflare onder andere gebruik van captcha's. Deze oplossing wil het internetbedrijf gaan vervangen door een systeem genaamd "Managed Challenge". Hierbij wordt er eerst JavaScript in de browser van de bezoeker uitgevoerd om meer "signalen" over de bezoeker en zijn browser te verzamelen. De challenges die Cloudflare uitvoert zijn gebaseerd op de karakteristieken die de bezoeker uitzendt en initiële informatie die Cloudflare al over de bezoeker heeft. Daarbij wordt er zowel naar de browser gekeken als naar signalen die op menselijk gedrag moeten wijzen. Ook wordt er machine learning toegepast waarbij wordt gekeken naar gemeenschappelijke kenmerken van bezoekers die eerder captcha's wisten op te lossen. Nadat de challenges zijn uitgevoerd, die geen interactie van bezoekers vereisen, beoordeelt Cloudflare de verzamelde signalen. Wanneer het internetbedrijf denkt dat het om een mens gaat wordt de bezoeker naar de betreffende website doorgestuurd. In het geval de verzamelde signalen te zwak zijn, wordt er een "visuele puzzel" getoond waarmee de bezoeker kan bewijzen dat hij een mens is. Cloudflare is vorig jaar al begonnen met het testen van Managed Challenge en heeft het nu onder gehele Cloudflare-netwerk uitgerold. Het is de bedoeling dat aan het einde van het jaar bij minder dan één procent van de challenges een captcha wordt gebruikt en nagenoeg geen van de bezoekers meer een visuele puzzel moet oplossen. Klanten kunnen zelf kiezen of ze van een captcha of de Managed Challenge gebruik willen maken. bron: https://www.security.nl

Een verkeerd geconfigureerde vpn-appliance was de oorzaak dat aanvallers onlangs toegang tot systemen van satellietbedrijf Viasat konden krijgen om vervolgens tienduizenden modems met wiper-malware te infecteren. Dat heeft het bedrijf in een verklaring bekendgemaakt. De aanval deed zich eind februari voor en werd vooraf gegaan door een denial of service-aanval. Viasat stelt in een analyse van de aanval dat tienduizenden modems die online waren opeens offline gingen en niet meer terugkwamen. Verder onderzoek wees uit dat een aanvaller door een misconfiguratie van een vpn-appliance toegang tot een managementsegment van Viasats netwerk had gekregen. De aanvaller wist zich lateraal door het netwerk te bewegen naar een specifiek deel dat voor het netwerkbeheer wordt gebruikt. Vervolgens gebruikte de aanvaller deze netwerktoegang voor het gelijktijdig uitvoeren van beheercommando's op een groot aantal modems, zo claimt Viasat. Bij deze "destructieve commando's" werd belangrijke data in het flashgeheugen van de modems overschreven, waardoor die geen verbinding meer met het netwerk konden maken. Volgens Viasat is er geen permanent schade aangericht en zijn de modems via een fabrieksreset volledig te herstellen. Ondanks deze geclaimde resetoptie stelt Viasat tegelijkertijd dat het bijna dertigduizend modems naar distributeurs heeft verscheept om klanten weer online te krijgen. "Het blijft onduidelijk hoe legitieme commando's zo'n schadelijk effect op de modems konden hebben", zegt Max van Amerongen van securitybedrijf SentinelOne. Hij stelt dat het op grote schaal verstoren van systemen realistischer is via het uitrollen van een malafide update, script of bestand. "Het is ook lastig om voor te stellen hoe legitieme commando's voor zowel een denial of service kunnen zorgen als het onbruikbaar maken van de modems, maar die niet permanent beschadigen." SentinelOne ontdekte wiper-malware genaamd "AcidRain" die bij de aanval is ingezet. "Ondanks de verklaring van Viasat dat er geen supply-chain-aanval was of het gebruik van malafide code op de getroffen routers, komen we met de meer aannemelijke hypothese dat de aanvallers voor hun operatie AcidRain op deze apparaten uitvoerden", aldus Van Amerongen. In de media heeft Viasat inmiddels bevestigd dat de wiper-malware inderdaad tegen de modems van klanten is ingezet. bron: https://www.security.nl

Aanvallers maken actief misbruik van kwetsbaarheden in een driver van Dell en software van Trend Micro, wat grote gevolgen voor organisaties kan hebben. Dat melden de Amerikaanse en Japanse overheid alsmede Trend Micro zelf. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden. De lijst, die deadlines bevat wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update betreft zeven kwetsbaarheden. Het gaat onder andere om een zerodaylek in Trend Micro Apex Central waarvoor op 29 maart een update verscheen. Op dat moment werd er al misbruik van het lek gemaakt. Apex Central is een webconsole voor het gecentraliseerd beheren van Trend Micro-producten en -diensten op de gateway, mailserver, fileserver en desktops. Beheerders kunnen via Apex Central instellingen op zowel producten als endpoints aanpassen en doorvoeren. Daarnaast is het via de oplossing mogelijk om antivirus en andere beveiligingsdiensten binnen het netwerk te monitoren. Een kwetsbaarheid in Apex Central maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige bestanden te uploaden en zo code op het systeem uit te voeren. De impact van de remote code execution-kwetsbaarheid, aangeduid als CVE-2022-26871, is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. "Aangezien de kwetsbaarheid al wordt misbruikt, moeten gebruikers van de getroffen producten de update zo snel mogelijk installeren", aldus het Computer Emergency Response Team van de Japanse overheid. Het CISA wil dat Amerikaanse overheidsinstanties de patch voor 21 april hebben uitgerold. Dell-driver Een ander beveiligingslek op de lijst van het CISA bevindt zich in een driver van Dell. Vorig jaar bleek dat miljoenen Dell-computers kwetsbaar waren door een beveiligingslek (CVE-2021-21551) in een driver die wordt gebruikt bij het updaten van de firmware. Via de kwetsbaarheid kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en code met kernelrechten uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het geeft aanvallers de mogelijkheid om een systeem volledig te compromitteren. Afgelopen december meldde securitybedrijf Rapid7 dat de oplossing van Dell het probleem niet volledig verhelpt en de gedeeltelijk gepatchte driver aanvallers nog steeds kan helpen. Naast de kwetsbaarheid in de software van Dell en Trend Micro moeten Amerikaanse overheidsinstanties ook actief aangevallen beveiligingslekken in QNAP HBS 3, Windows, Dasan-routers en Sophos Firewall binnen drie weken hebben gepatcht. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid, heeft een aparte waarschuwing afgegeven voor een kritieke kwetsbaarheid in het populaire Spring Core Framework. De impact van mogelijk misbruik kan groot voor organisaties zijn, aldus de overheidsinstantie. Het Spring Framework is een veelgebruikt Java-platform voor het ontwikkelen van Java-applicaties. Die kunnen zowel standalone draaien of in webapplicatie-omgevingen als Tomcat. Een beveiligingslek in de software, met de naam Spring4Shell, laat een ongeauthenticeerde aanvaller willekeurige code op kwetsbare systemen uitvoeren. "Hiermee kan toegang tot gevoelige informatie binnen die applicatie worden verkregen", zo laat het NCSC weten. Ook kan de kwetsbaarheid mogelijk leiden tot de uitvoer van willekeurige code met verhoogde rechten op het onderliggende systeem. Volgens het Nationaal Cyber Security Centrum is de kans op misbruik groot en kan dit tot grote schade leiden. "De impact van mogelijk misbruik kan groot zijn, ga daarom na of uw organisatie gebruik maakt van een kwetsbare versie van Spring Core Framework", aldus het NCSC. Spring heeft inmiddels beveiligingsupdates uitgebracht. Gebruikers worden aangeraden om te updaten naar versies 5.3.18 of 5.2.20. Verschillende online bronnen melden dat er inmiddels actief misbruik van de kwetsbaarheid wordt gemaakt. Het NCSC zegt de situatie nauwgezet te monitoren. De overheidsinstantie staat in contact met (inter)nationale partners en doelgroepen om nadere informatie over dit incident snel te duiden en te delen. bron: https://www.security.nl

Verschillende securitybedrijven waarschuwen voor een kritieke kwetsbaarheid in het Java Spring Framework waardoor een ongeauthenticeerde aanvaller door het versturen van een request code op kwetsbare systemen kan uitvoeren. Het beveiligingslek heeft de naam "Spring4Shell" gekregen. Een beveiligingsupdate is nog niet beschikbaar. Volgens verschillende bronnen wordt er inmiddels actief misbruik van het lek gemaakt. Spring is een zeer populair framework voor het ontwikkelen van Java-applicaties. Er is online enige verwarring over het lek ontstaan, aangezien er ook een kwetsbaarheid in Spring Cloud is gevonden, aangeduid als CVE-2022-22963. Dit lek verschilt echter van Spring4Shell en heeft wel een beveiligingsupdate ontvangen, zo melden securitybedrijven Rapid7, Lunasec, Praetorian en Cyber Kendra. Het bestaan van Spring4Shell kwam aan het licht door een beveiligingsonderzoeker die een proof-of-concept exploit voor een onbekende kwetsbaarheid in het Spring Framework publiceerde en het mogelijk maakt voor ongeauthenticeerde aanvallers om code op kwetsbare systemen uit te voeren. De exploit werd snel verwijderd. Rapid7 laat echter weten dat de kwetsbaarheid echt is en ongeauthenticeerde remote code execution mogelijk maakt. Spring.IO, dat het Spring Framework ontwikkelt, heeft de kwetsbaarheid nog niet bevestigd. Er is ook nog geen CVE-nummer aan het beveiligingslek toegekend. Volgens Rapid7 zijn er wel mitigaties beschikbaar, maar zijn die niet in alle scenario's toepasbaar. "Exploitatie vereist een endpoint waarop DataBinder staat ingeschakeld (bijvoorbeeld een POST request dat data van de request body automatisch decodeert", stelt Praetorian. Het securitybedrijf adviseert als tijdelijke oplossing om verschillende gevaarlijke patronen aan een denylist toe te voegen, wat misbruik moet voorkomen. Het bedrijf zegt alle details over een exploit voor het lek met Spring.IO te hebben gedeeld en zal geen verdere informatie geven totdat updates beschikbaar zijn. Lunasec meldt in een blogpost dat alle gebruikers van Spring Core kwetsbaar zijn. Het securitybedrijf voegt toe dat de kwetsbaarheid niet zo ernstig is als Log4Shell. "Alle aanvalsscenario's zijn complexer en hebben, vanwege hoe Class Loader Manipulation-aanvallen in Java werken, meer mitigatiefactoren dan Log4Shell", aldus Lunasec-ceo Free Wortley. Update Spring heeft inmiddels updates uitgebracht. Het gaat om Spring Framework versies 5.3.18 en 5.2.20 waarmee het probleem wordt verholpen. Daarnaast komt er ook een update voor Spring Boot. Verdere zijn er initiële details bekendgemaakt, alsmede verschillende workarounds. Update 2 Het Nationaal Cyber Security Centrum (NCSC) en het Australische Cyber Security Centre (ACSC) hebben beveiligingsadviezen uitgebracht. Update 3 Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft inmiddels ook een advisory uitgebracht. De organisatie waarschuwt dat door het versturen van speciaal geprepareerde data naar een Spring Java-applicatie, zoals een webapplicatie, een aanvaller willekeurige code met de rechten van de getroffen applicatie kan uitvoeren. Afhankelijk van de applicatie kan het zijn dat een aanvaller zich niet hoeft te authenticeren. Update 4 De kwetsbaarheid wordt geïdentificeerd als CVE-2022-22965. Volgens de uitleg zijn applicaties die als Spring Boot executable worden uitgerold, wat de standaard is, niet kwetsbaar. Vanwege de aard van het beveiligingslek zouden er mogelijk andere mogelijkheden voor misbruik zijn. bron: https://www.security.nl

Een kwetsbaarheid in OpenSSL maakt het mogelijk voor aanvallers om NAS-systemen van fabrikant QNAP te laten crashen. Een firmware-update om het probleem te verhelpen is nog niet beschikbaar. Het beveiligingslek, aangeduid als CVE-2022-0778, bevindt zich in een functie die bij het verwerken van certificaten wordt gebruikt en kan voor een oneindige loop zorgen. OpenSSL is een softwarelibrary die applicaties kunnen gebruiken om communicatie te beveiligen. Het wordt ook gebruikt door de NAS-besturingssystemen van QNAP. Onlangs kwam OpenSSL met een beveiligingsupdate voor de kwetsbaarheid, die door Google-onderzoeker Tavis Ormandy is gevonden. QNAP laat in een security-advisory weten dat het een onderzoek is gestart en zo snel mogelijk met meer informatie en updates zal komen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om bij softwarebedrijf Globant broncode en projectdocumentatie bedoeld voor klanten te stelen, zo laat de onderneming in een korte verklaring weten. Die volgt op screenshots van de groep Lapsus$. De groep, die eerder wist in te breken bij Okta, Nvidia en Microsoft, claimt op het eigen Telegram-kanaal dat het beheerderstoegang heeft tot de Confluence-, Crucible-, GitHub- en Jira-omgevingen van Globant. De volledige devops-infrastructuur is volgens de groep gecompromitteerd. Zo werden inloggegevens voor deze omgevingen op internet gedeeld. Lapsus$ stelt dat de Confluence-omgeving van Globant duizenden documenten van klanten bevat. Tevens zette de groep zeventig gigabyte aan broncode en andere data online die bij Globant gestolen zou zijn. Het softwarebedrijf telt meer dan 23.000 medewerkers, is actief in achttien landen en werkt voor bedrijven zoals Google, Rockwell Automation, Electronic Arts en Santander. Globant heeft geen verdere details over het incident gedeeld. Zo is onbekend hoe de aanvallers toegang tot de data wisten te krijgen. Microsoft, dat zelf ook slachtoffer van de groep werd, zeg dat Lapsus$ op verschillende manieren toegang tot accounts en systemen weet te krijgen, waaronder het gebruik van de Redline-malware voor het stelen van wachtwoorden en sessietokens, het aanschaffen van gestolen inloggegevens, het betalen van medewerkers van aangevallen organisaties om toegang te verlenen of het doorzoeken van publieke code-repositories om zo inloggegevens te vinden. Onlangs meldde de politie van Londen dat in een onderzoek naar een hackersgroep zeven personen waren aangehouden. De naam Lapsus$ werd echter niet door de Britse autoriteiten genoemd. Tevens heeft de FBI de groep op de Most Wanted-website geplaatst en zoekt informatie over groepsleden. bron: https://www.security.nl

Wie een antiviruspakket zoekt heeft keus uit tientallen aanbieders, maar in de praktijk blijken ze elkaar weinig te ontlopen, zo stelt het Duitse AV-TEST Institute op basis van een test met achttien verschillende pakketten. Daarvan worden er veertien als "Top Product" bestempeld, waaronder het gratis Microsoft Defender dat standaard in Windows 10 zit ingebouwd. Ook het gratis Avast Free Antivirus haalt de maximale score. De antivirusprogramma's werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 407 "zero-day" malware-exemplaren en bijna 16.000 malware-exemplaren die in de laatste vier weken voor de test van februari werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,5 procent gehaald. De test met de ongeveer 16.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Elf virusscanners scoren op beide onderdelen 100 procent (Avast, AVG, Bitdefender, Kaspersky, Malwarebytes, McAfee, Microsoft, NortonLifeLock, PC Matic, Trend Micro en Vipre Security). Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. Protected.net zet met 4,5 punten de laagste detectiescore neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Alle pakketten weten hierbij de maximale 6 punten te scoren. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden meer dan een miljoen schone websites en bestanden gebruikt. Twaalf pakketten halen de maximale 6 punten. PC Matic eindigt op dit onderdeel met 5 punten onderaan. Van de achttien virusscanners weten er uiteindelijk elf op alle drie de vlakken maximaal te scoren (AhnLab, Avast, AVG, Avira, G Data, Kaspersky, McAfee, Microsoft, NortonLifeLock, Trend Micro en Vipre Security). Avast en Microsoft zijn beide gratis virusscanners. Microworld en Protected.net zijn elk met 16,5 punten hekkensluiter. Om als topproduct bestempeld te worden was het niet nodig om de maximale score te halen. Ook producten met 17,5 punten krijgen dit stempel. bron: https://www.security.nl

Een kwetsbaarheid in printers van Kyocera maakt het mogelijk voor aanvallers om gebruikersnamen en wachtwoorden te bemachtigen en een beveiligingsupdate is niet beschikbaar. De enige vereiste voor het uitvoeren van een aanval is toegang tot een service gebruikt voor printerbeheer. Een aanvaller hoeft niet over inloggegevens te beschikken. Veel Kyocera-printers zijn zowel lokaal als op afstand via Net Viewer te beheren. Dit is een beheertool die wordt gebruikt om alle afdrukapparatuur lokaal en op afstand te controleren, onderhouden en bij te werken. Via Net Viewer kunnen beheerders firmware op alle aangesloten printers installeren. Net Viewer maakt gebruik van een API die normaliter alleen met authenticatie werkt. Onderzoekers van securitybedrijf Rapid7 ontdekten dat het mogelijk is om zonder authenticatie een request te versturen waarmee adresboeken zijn op te vragen. Deze adresboeken bevatten e-mailadressen, gebruikersnamen en wachtwoorden. Een aanvaller zou zo opgeslagen wachtwoorden voor FTP- en SMB-servers kunnen achterhalen. Afhankelijk van de instellingen kan een aanvaller ook alle eerder gemaakte en toekomstige prints en scans stelen. Rapid7 waarschuwde Kyocera op 16 november, maar de printerfabrikant heeft nog altijd geen firmware-updates beschikbaar gemaakt. De impact van het beveiligingslek, aangeduid als CVE-2022-1026, is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. Organisaties wordt dan ook aangeraden om de SOAP-interface op tcp-poort 9091 van kwetsbare printers uit te schakelen. Verder stellen de onderzoekers dat printers nooit direct vanaf het internet toegankelijk zouden moeten zijn. bron: https://www.security.nl

Nog drie maanden en dan gaat Internet Explorer met "pensioen", aanleiding voor Microsoft om bidrectionele cookies voor Edge te introduceren. Hoewel het marktaandeel van IE de afgelopen jaren sterk is gedaald maken nog allerlei bedrijven en organisaties gebruik van legacy apps die speciaal voor Internet Explorer zijn ontwikkeld. Vanaf 15 juni zal de IE11-desktopapplicatie niet meer op verschillende Windows 10-versies worden ondersteund. Wanneer gebruikers Internet Explorer toch starten zal Microsoft Edge worden geladen. Edge kan wanneer nodig via de IE-mode ook oude legacy IE-sites openen. Volgens Microsoft heeft de IE-mode van Edge al duizenden klanten geholpen. Binnen deze organisaties kunnen werknemers te maken krijgen met zowel moderne als legacy websites. "Het is voor een goede gebruikerservaring belangrijk dat de juiste data tussen websites wordt gedeeld", zegt Microsofts Eric Van Aelstyn. Om hierbij te helpen heeft Microsoft bidirectionele cookies aan Edge toegevoegd. Voorheen konden cookies in de IE-mode alleen sessie-informatie doorgeven van moderne sites aan legacy sites, maar niet andersom. Met de introductie van bidrectionele cookies is dat wel mogelijk. "Dat cookies in beide kanten informatie kunnen delen is met name belangrijk als je overgaat naar een grotere mix van moderne en legacy sites", aldus Van Aelstyn. Daarnaast kunnen beheerders in het Microsoft 365 admincenter handmatig aangeven voor welke cloudsites ze cookies willen delen. Na het uitfaseren van Internet Explorer 11 op 15 juni zal Microsoft de browser niet meer ondersteunen. bron: https://www.security.nl

Onderzoekers hebben malafide advertenties ontdekt die reclame voor OpenOffice lijken te maken, maar in werkelijkheid naar malware linken die ontwikkeld is voor het stelen van wachtwoorden en andere informatie. De aanvallers maken gebruik van Google Ads voor het tonen van de malafide advertenties in zoekresultaten van Google. De advertenties claimen naar de officiële website van OpenOffice te linken. Hiervoor hebben de aanvallers een domeinnaam geregistreerd die op die van OpenOffice lijkt en is de officiële website gekloond. De aangeboden software op deze gekloonde website is in werkelijkheid een malware-exemplaar genaamd "Mars". Deze malware is ontwikkeld voor het stelen van wachtwoorden, in de browser opgeslagen gegevens, data om toegang tot cryptowallets te krijgen, creditcardgegevens en systeeminformatie. De data die de malware verzamelt wordt geüpload naar een server. Onderzoekers van securitybedrijf Morphisec ontdekten een dergelijke server waarop de verzamelde gestolen data voor iedereen op internet toegankelijk is. Zo vonden ze gegevens van tientallen slachtoffers, waarvan het grootste deel uit Canada. Het ging onder andere om bedrijven waarvan de domeinwachtwoorden waren buitgemaakt. Ook werden inloggegevens van een Canadese zorgaanbieder en een aantal Canadese dienstverleners aangetroffen. Deze partijen zijn inmiddels ingelicht, aldus de onderzoekers. bron: https://www.security.nl

Google heeft Chromeversie 100 gelanceerd waarmee onder andere 28 kwetsbaarheden in de browser worden verholpen. Het is ook de laatste Chromeversie met een onbeperkte user-agent-string. De maximale impact van de beveiligingslekken is beoordeeld als "high". Voor zover bekend is nog geen van de kwetsbaarheden gebruikt bij aanvallen. In het geval van beveiligingslekken met het label "high" kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. User-Agent Tevens laat Google weten dat Chrome 100 de laatste versie van de browser is met een onbeperkte user agent-string. De user-agent-string, die met elk http-request wordt verstuurd, bevat informatie over onder andere het besturingssysteem van de gebruiker, gebruikte browser en versienummer, apparaatmodel en onderliggende architectuur. De combinatie van deze parameters en grote aantal mogelijke waardes zorgt ervoor dat internetgebruikers alleen aan de hand van hun user-agent zijn te identificeren. Google stelt dat de user-agent het fingerprinten van gebruikers mogelijk maakt. Daarnaast kan het voor compatibiliteitsproblemen zorgen wanneer browsers verkeerde informatie via de user-agent doorgeven. Google is van plan om de informatie die via de user-agent wordt verstrekt geleidelijk te beperken. Websites zullen dan niet meer zien welke specifieke browserversie of besturingssysteem iemand gebruikt. De test waarmee websites de volledig beperkte user-agent konden testen zal op 19 april eindigen. Daarna zal de user-agent steeds verder worden beperkt, zo laat Google weten. Updaten naar Chrome 100.0.4896.60 zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Securitybedrijf Sophos waarschuwt klanten voor een kritieke kwetsbaarheid in de firewallsoftware waar aanvallers actief misbruik van maken. Het beveiligingslek in Sophos Firewall laat een aanvaller op afstand de authenticatie in de User Portal en Webadmin omzeilen om vervolgens willekeurige code op het systeem uit te voeren. De impact van het beveiligingslek, aangeduid als CVE-2022-1040, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sophos maakte op 25 maart een beveiligingsupdate beschikbaar, maar kwam gisteren met aanvullende informatie. Het securitybedrijf laat weten dat de kwetsbaarheid is gebruikt bij aanvallen tegen een klein aantal specifieke organisaties in Zuid-Azië. De aangevallen organisaties zijn inmiddels ingelicht. Sophos zegt met verdere informatie te zullen komen. Naast het installeren van de beveiligingsupdate adviseert Sophos als workaround om de User Portal en Webadmin niet toegankelijk vanaf het internet te maken. bron: https://www.security.nl

Identiteitsprovider Okta, waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen te geven, negeerde signalen dat hun omgeving was gecompromitteerd, zo stelt beveiligingsonderzoeker Bill Demirkapi op basis van onderzoeksdocumenten van securitybedrijf Mandiant. Demirkapi deelde de documenten via Twitter. Onlangs plaatsten aanvallers van de Lapsus$-groep screenshots op internet dat ze toegang tot het account van een Okta-supportmedewerker hadden en onder andere wachtwoorden konden resetten. Op 22 maart kwam Okta met een vier regels tellende verklaring dat het account van een support-engineer was gecompromitteerd en de getoonde screenshots daarmee verband hielden. Verder deed Okta voorkomen dat het om een beperkt incident ging dat onder controle was. Details werden verder niet gegeven. Later die dag kwam Okta met een aanvullende verklaring dat mogelijk 366 klanten door de aanval waren getroffen. Ondanks de mogelijke gevolgen stelde Okta dat klanten geen corrigerende maatregelen hoefden te nemen. Internetbedrijf Cloudflare, dat één van de getroffen klanten was, ging wel tot actie over en resette de wachtwoorden van medewerkers. Op 25 maart publiceerde Okta een tijdslijn waaruit blijkt dat het bedrijf op 20 januari het gecompromitteerde account ontdekte. Klanten werden echter twee maandenlang niet gewaarschuwd. Op 17 maart ontving Okta het rapport van de derde partij voor wie de support-engineer werkt. Dit bedrijf, Sitel, verzorgt de klantensupport voor Okta. Toch werden klanten nog steeds niet gewaarschuwd. Pas nadat de aanvallers de screenshots publiceerden kwam de identiteitsprovider met een verklaring richting klanten. De aanvallers stelden in een reactie op de verklaring dat de impact veel groter is dan Okta doet voorkomen. Zo hadden ze naar eigen zeggen wachtwoorden en multifactorauthenticatie van 95 procent van de klanten kunnen resetten. Daarnaast zou de gecompromitteerde support-engineer toegang tot 8600 Slack-kanalen hebben. Ook vanuit andere kanten kwam er felle kritiek op de verklaringen van Okta. De documenten die Demirkapi via Twitter deelt laten zien hoe de aanvallers te werk gingen en kant-en-klare tools van GitHub voor het grootste deel van hun aanvallen gebruikten. Daarnaast vonden de aanvallers een Excel-document genaamd "DomAdmins-LastPass.xls" waarmee ze backdoor-gebruikers aan de omgeving van Sitel konden toevoegen. Verder voegden de aanvallers doorstuurregels toe, zodat e-mail naar bepaalde accounts naar hen werd doorgestuurd. "Je wist dat een machine van één van je klantensupportleveranciers was gecompromitteerd in januari. Waarom onderzocht je dit niet?", vraagt Demirkapi aan Okta. De onderzoeker voegt toe dat de mogelijkheid om een aanval te detecteren zinloos is wanneer er niet op wordt gereageerd. "Zelfs wanneer Okta het Madiant-rapport in maart ontving waarin de aanval werd beschreven, negeerden ze de signalen dat hun omgeving was gecompromitteerd totdat Lapsus$ hun inactiviteit in de schijnwerpers zette." In een FAQ over het incident laat Okta weten dat het een fout heeft gemaakt door klanten niet in januari te waarschuwen. bron: https://www.security.nl

Onderzoekers hebben een malware-exemplaar ontdekt dat een legitiem certificaat van de Filipijnse marine gebruikt om versleuteld met de aanvallers te communiceren. Het certificaat is inmiddels verlopen, maar zou al zeker sinds juni 2020 bij aanvallen zijn gebruikt, zo stelt antivirusbedrijf Avast in een analyse. Volgens onderzoekers van de virusbestrijder hadden de aanvallers zeer waarschijnlijk toegang tot de privésleutel van het certificaat, dat was uitgegeven voor *.navy.mil.ph. Het certificaat was geldig van 15 december 2019 tot 15 december 2020. De malware waar Avast over bericht is een remote access tool (RAT). Eenmaal actief maakt de malware het mogelijk voor aanvallers om via een versleutelde TLS-verbinding met de besmette machine te communiceren. De malware maakt echter eerst verbinding met de server van de aanvallers en zet alleen een communicatiekanaal op wanneer de server over het certificaat van de Filipijnse marine beschikt. Avast waarschuwde de Filipijnse marine en kreeg later te horen dat het probleem was verholpen en er geen verdere hulp van het antivirusbedrijf was vereist. "Omdat dit nu bij actieve aanvallen wordt ingezet, hebben we besloten onze bevindingen meteen openbaar te maken, zodat organisaties zichzelf kunnen beschermen", aldus het Avast Threat Intelligence Team. bron: https://www.security.nl

Een kwetsbaarheid in de My Cloud-apparaten van harde schijffabrikant Western Digital (WD) maakt het mogelijk voor een aanvaller om op afstand code met rootrechten uit te voeren. WD heeft een firmware-update beschikbaar gemaakt en roept gebruikers op om die spoedig te installeren. My Cloud is het besturingssysteem dat onder andere op de NAS-systemen en netwerkschijven van WD draait en ervoor zorgt dat gebruikers hun thuis opgeslagen data vanaf het internet kunnen benaderen. Op 31 januari waarschuwde Samba voor een kritieke kwetsbaarheid in de eigen VFS-module. Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Via verschillende Virtual File System (VFS) modules is het mogelijk om de mogelijkheden van Samba verder uit te breiden. Een van deze modules is vfs_fruit, die voor betere compatibiliteit met Apple Server Message Block (SMB) clients en interoperabiliteit met Netatalk 3 Apple Filing Protocol (AFP) fileservers zorgt. Een kwetsbaarheid in de module, aangeduid als CVE-2021-44142, laat een aanvaller op afstand op kwetsbare systemen code als root uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. De kwetsbare Samba-module is ook aanwezig in My Cloud OS 5. WD heeft nu firmware-updates uitgerold waarin de Samba-update is doorgevoerd en het probleem verholpen. Gebruikers wordt aangeraden de update snel te installeren. bron: https://www.security.nl

Het onderzoeksteam van de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een systeem ontwikkeld dat malafide domeinnamen door middel van logoherkenning kan detecteren. Het LogoMotive-systeem bezoekt geautomatiseerd .nl-websites en maakt screenshots van de homepagina. Logo's op de homepagina worden vervolgens herkend en de resultaten geüpload naar een webapplicatie. Analisten kunnen zo controleren of het logo terecht of voor malafide doeleinden wordt gebruikt. Recentelijk is het systeem getest met logo's van de Rijksoverheid en Thuiswinkel.org. In beide pilots scande SIDN Labs meerdere keren alle 6.2 miljoen .nl-domeinnamen met LogoMotive. In totaal werden zo'n 11.700 domeinnamen met het Rijksoverheid-logo gevonden. Het Thuiswinkel Waarborg-logo werd op ongeveer 10.600 .nl-sites aangetroffen. Er werden via LogoMotive meer dan 260 websites gevonden die onterecht van de logo's gebruikmaakten. In de meeste gevallen ging het om het logo van ThuisWinkel.org. Tijdens de pilot werden ook 318 legitieme domeinnamen van de Rijksoverheid gevonden die nog niet in het domeinnaamregister van de Dienst Publiek en Communicatie (DPC) stonden. Naast het interne domeinnaamregister publiceert DPC ook een publiek websiteregister, waarin alle publieke overheidswebsites staan. Met deze registers controleert de overheid of alle Rijksoverheidsdomeinen aan veiligheidsstandaarden voldoen. Volgen SIDN Labs blijkt uit het onderzoek dat logodetectie een doeltreffend mechanisme is om snel nieuwe malafide sites te ontdekken, voordat ze slachtoffers kunnen maken. De helft van de phishingwebsites was op het moment van herkenning nog niet gemeld op populaire blocklists. "Het is ook nuttig voor partijen die zelf nog weinig monitoren op misbruik", aldus research engineer Thijs van den Hout. SIDN gaat LogoMotive binnen de eigen diensten gebruiken. Daarnaast wordt de code van het systeem beschikbaar gesteld voor academici en voor andere registry’s om het in hun dns-zones toe te passen. bron: https://www.security.nl

Een kwetsbaarheid in Windows waarvoor vorige maand een beveiligingsupdate verscheen wordt inmiddels actief bij aanvallen misbruikt, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Amerikaanse federale overheidsinstanties zijn opgedragen om de patch voor 15 april te installeren. Het beveiligingslek, aangeduid als CVE-2022-21999, bevindt zich in de Windows Print Spooler en maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. De kwetsbaarheid alleen is niet voldoende om een systeem over te nemen. Microsoft rolde op 8 februari een update voor het probleem uit en meldde toen dat er geen misbruik van werd gemaakt. Dat is inmiddels veranderd, aldus het CISA. Kwetsbaarheden in de Windows Print Spooler zijn in het verleden vaker gebruikt bij aanvallen. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit 66 kwetsbaarheden. Het grootste deel daarvan (63) betreft beveiligingslekken van vorig jaar en ouder. De kwetsbaarheden van dit jaar zijn naast de Windows Print Spooler aanwezig in firewalls van WatchGuard en Mitel MiCollab/MiVoice Business Express systemen. Het beveiligingslek in WatchGuard-firewalls werd gebruikt bij aanvallen door de Cyclops Blink-malware. De Mitel-kwetsbaarheid maakt het mogelijk om ddos-aanvallen te versterken. Ook voor deze problemen moeten overheidsinstanties de update binnen drie weken uitrollen. bron: https://www.security.nl

Amerikaanse nieuwsmedia, domeinregistrars, it-leveranciers, cryptobedrijven, softwareontwikkelaars en hostingproviders zijn aangevallen via een zerodaylek in Google Chrome, zo heeft Google bekendgemaakt. De kwetsbaarheid werd op 10 februari ontdekt en op 14 februari via een beveiligingsupdate in Chrome verholpen. Volgens Google maakten twee verschillende aanvalsgroepen, gelieerd aan de Noord-Koreaanse overheid, gebruik van het beveiligingslek. Via de kwetsbaarheid is het mogelijk om code op het systeem van gebruikers uit te voeren. Bij de eerste aanval ontvingen meer dan 250 personen, werkzaam voor media, domeinregistrars, hostingproviders en softwareleveranciers, een e-mail die zogenaamd van een recruiter van Disney, Google of Oracle afkomstig leek en naar een zogenaamde vacature leek te wijzen. De aanvallers hadden hierbij vacaturesites zoals Indeed en ZipRecruiter nagemaakt. Deze nagemaakte websites waren voorzien van een exploit die Chrome-gebruikers met vermoedelijk malware infecteerde. De tweede groep, die dezelfde kwetsbaarheid gebruikte, had het voorzien op cryptobedrijven en fintech-organisaties. Hierbij wisten de aanvallers de websites van twee legitieme fintech-bedrijven te compromitteren en van malafide code te voorzien die Chrome-gebruikers aanviel. Google is er niet in geslaagd om de code te achterhalen die na het uitvoeren van de exploit werd uitgevoerd. Het is echter aannemelijk dat het om malware gaat. Verder heeft Google alleen een exploit voor het aanvallen van Chrome-gebruikers gevonden, maar trof het techbedrijf naar eigen zeggen ook bewijs dat de aanvallers keken of bezoekers van Safari of Firefox gebruikmaakten, om hen vervolgens naar bekende exploit-servers door te sturen. Google heeft echter geen exploits van deze servers weten te achterhalen. Nadat Google een beveiligingsupdate voor de kwetsbaarheid op 14 februari uitrolde, bleven de aanvallers hun exploit gebruiken, wat volgens het techbedrijf aantoont hoe belangrijk het is om updates te installeren zodra die beschikbaar komen. bron: https://www.security.nl

De Conti-ransomwaregroep maakt bij aanvallen op organisaties gebruik van meer dan dertig bekende kwetsbaarheden, zo blijkt uit chatgesprekken die onlangs op internet werden gelekt. Begin deze maand stelden de FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) dat meer dan duizend organisaties wereldwijd zijn aangevallen met de Conti-ransomware. Conti hanteert net als verschillende andere ransomware-exemplaren een ransomware-as-a-service (RaaS)-model, maar er is volgens de Amerikaanse diensten wel een verschil. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden geen percentage maar een loon. Om toegang tot de netwerken van hun slachtoffers te krijgen en de ransomware te verspreiden maken aanvallers gebruik van algemeen bekende methodes zoals het gebruik van spearphishing met Microsoft Office-documenten en malafide links, gestolen RDP-inloggegevens en bekende kwetsbaarheden. Eind februari verschenen interne chatlogs van de Conti-groep op internet, die inzicht geven in de opzet en werkwijze van de groep. Zo blijkt dat de aanvallers bij hun aanvallen van meer dan dertig bekende kwetsbaarheden gebruikmaken, melden securitybedrijven Tenable en BreachQuest. Via negen van deze beveiligingslekken, aanwezig in Fortinet FortiOS, Microsoft Exchange Server, Windows, VMware vSphere en VMware vCenter Server wordt er op afstand toegang tot systemen verkregen. De overige 24 beveiligingslekken, allemaal aanwezig in Windows, maken het mogelijk voor de aanvallers om hun rechten op het systeem te verhogen om zich uiteindelijk lateraal door het netwerk te bewegen. "Gegeven dat de groep en diens partners naast kwetsbaarheden verschillende manieren hebben om organisaties binnen te dringen, maar hogere rechten nodig hebben om schade aan te richten, is het niet verrassen dat de meeste kwetsbaarheden in hun toolkit is gericht op het verhogen van rechten", zegt onderzoeker Satnam Narang. Een groot deel van deze kwetsbaarheden is al jaren oud. Organisaties worden dan ook opgeroepen om hun software up-to-date te houden. bron: https://www.security.nl

Firefox-ontwikkelaar Mozilla heeft een visie voor de toekomst van het web gepresenteerd waarin het onder andere oproept om alles te versleutelen, de privacy van gebruikers te beschermen en mensen meer controle te geven. Critici stellen dat de browserbouwer ook naar zichzelf moet kijken. Volgens Mozilla is het web onderdeel van ieders leven geworden, maar heeft het ook met echte problemen te maken. Zo worden mensen continu bespioneerd door adverteerders en repressieve regimes, vaak op moment dat een open web juist het meest nodig is. Verder krijgen gebruikers te maken met "vijandige sites" die langzaam laden en van buitensporig complexe technologieën gebruikmaken, aldus Mozilla. Daarnaast is een groot deel van het web niet toegankelijk voor niet-Engelstalige sprekers en mensen met een handicap. Om het web te verbeteren moet er aan negen gebieden worden gewerkt, stelt Mozilla. Zo is het nodig om de privacy van gebruikers te beschermen. "Alles wat gebruikers doen op het web wordt getrackt en gesurveilleerd. Een echt open en veilig web vereist dat wat mensen doen privé blijft", aldus de Firefox-ontwikkelaar. Daarnaast is het nodig om gebruikers tegen malware te beschermen en alle communicatie van gebruikers te versleutelen. Verder moet het web op een veilige wijze worden uitgebreid. "Nieuwe mogelijkheden maken het web krachtiger, maar introduceren ook nieuwe risico's. De voordelen van nieuwe mogelijkheden moeten worden afgezet tegen deze risico's; sommige toepassingen zijn uiteindelijk niet geschikt voor het web en dat is prima", stelt Mozilla. Het web moet ook sneller en toegankelijker worden en gebruikers meer controle geven. Om dit te bereiken is samenwerking essentieel, voegt Mozilla toe. Kritiek Critici stellen dat de woorden van Mozilla mooi klinken, maar het uiteindelijk neerkomt op daden. Daarnaast ligt de Firefox-ontwikkelaar zelf ook onder vuur omdat het de afgelopen jaren allerlei aanpassingen aan de browser heeft doorgevoerd die gebruikers juist minder controle geven, aldus de critici. bron: https://www.security.nl

Dagelijks worden organisaties getroffen door ransomware, maar hoelang duurt het voordat systemen zijn versleuteld? Onderzoekers van softwarebedrijf Splunk besloten dit te onderzoeken en lieten honderd ransomware-exemplaren 100.000 bestanden versleutelen. Bij elkaar ging het om 53 gigabyte aan data. Gemiddeld nam dit 42 minuten in beslag. Er zitten echter grote verschillende tussen de verschillende ransomware-exemplaren. Voor het onderzoek werden honderd exemplaren van tien bekende ransomwarefamilies genomen. De snelste ransomware, LockBit, had iets meer dan vier minuten nodig, terwijl de traagste variant ruim 3,5 uur bezig was met het versleutelen van de 100.000 bestanden. De onderzoekers keken ook of betere hardware voor een snellere versleuteling zorgt. Dan blijkt dat meer werkgeheugen niet veel uitmaakt. De processorsnelheid kan wel een impact hebben, maar sommige ransomware-exemplaren zijn niet in staat om van multithreaded processors gebruik te maken. Een snellere harde schijf kan wel een verschil maken, maar waarschijnlijk in combinatie met een ransomware-exemplaar dat meerdere cpu-cores kan gebruiken. Gezien de snelheid waarmee ransomware grote hoeveelheden data kan versleutelen laat dit volgens de onderzoekers zien dat organisaties weinig tijd hebben om in actie te komen voordat de versleuteling is afgerond. bron: https://www.security.nl

Versleutelde maildienst ProtonMail werkt aan een desktopapplicatie voor macOS, Linux en Windows. Op dit moment zijn er alleen ProtonMail-apps voor Android en iOS beschikbaar. Gebruikers op andere platformen zijn aangewezen op webmail. ProtonMail wil echter voor de desktop een aparte, op Electron gebaseerde applicatie maken. De ontwikkeling van deze applicatie bevindt zich nog in de beginfase en het is nog onbekend wanneer er een bètaversie of uiteindelijke release verschijnt. "Maar we weten dat een desktop-app hoog op het verlanglijstje van veel mensen staat", aldus Bart Butler van ProtonMail. Daarnaast werkt de e-mailprovider ook aan nieuwe versies van de Android- en iOS-apps. De Androidversie vereist echter meer werk, aangezien een groter deel van de app opnieuw wordt geschreven. Dit houdt in dat verschillende gevraagde Androidfeatures niet meteen in de eerste versie beschikbaar zullen zijn. Naast versleutelde e-mail biedt Proton ook een cloudopslagdienst in de vorm van Proton Drive. De bètaversie hiervan is op dit moment alleen beschikbaar voor betalende Proton-klanten. Volgende week zal die echter ook voor gratis gebruikers beschikbaar komen. De definitieve versie van Proton Drive zou over een aantal maanden moeten uitkomen, waarbij er ook aparte Drive-apps voor Android, iOS en Windows zullen verschijnen. Een macOS-versie is in ontwikkeling, maar laat langer op zich wachten. bron: https://www.security.nl

Een groep aanvallers is erin geslaagd om een deel van de broncode van Microsoft te stelen, zo heeft het techbedrijf in een blogposting bevestigd. De groep wordt Lapsus$ genoemd en wist toegang tot een account van Microsoft te krijgen en zo 37 gigabyte aan broncode buit te maken. Volgens Microsoft heeft de diefstal van de broncode geen gevolgen voor de veiligheid van producten of gebruikers. "Microsoft vertrouwt niet op de geheimhouding van code als een beveiligingsmaatregel en het bekijken van broncode leidt niet tot een verhoogd risico." Hoe de aanvallers toegang tot het specifieke account wisten te krijgen wordt niet door Microsoft gemeld. De groep zou op verschillende manieren accounts compromitteren, waaronder het gebruik van de Redline-malware voor het stelen van wachtwoorden en sessietokens, het aanschaffen van gestolen inloggegevens, het betalen van medewerkers van aangevallen organisaties om toegang te verlenen of het doorzoeken van publieke code-repositories om zo inloggegevens te vinden. Het gaat dan meestal om accounts voor vpn's, rdp-systemen, virtual desktop infrastructure (VDI) zoals Citrix of identiteitsproviders zoals Azure Active Directory en Okta. Zodra er toegang tot een netwerk is verkregen maken de aanvallers gebruik van kwetsbaarheden in intern toegankelijke servers, waaronder Jira, Gitlab en Confluence, om hun rechten te verhogen. Microsoft is ook bekend met gevallen waarbij de aanvallers de helpdesk van een organisatie belden om zo het wachtwoord van een account met verhoogde rechten te resetten. Het doel van de aanvallers is het stelen van data. Na de diefstal verwijderen de aanvallers gegevens en virtuele systemen en persen de aangevallen organisatie af. Volgens Microsoft is één van de belangrijkste maatregelen tegen de groep het gebruik van multifactorauthenticatie (MFA). Daarbij moeten zwakke MFA-opties zoals sms en secondaire e-mailadressen worden vermeden. bron: https://www.security.nl