Captain Kirk

Kwetsbaarheden in de Windows Print Spooler worden steeds vaker bij aanvallen gebruikt, zo stelt antivirusbedrijf Kaspersky op basis van eigen cijfers. De Print Spooler is verantwoordelijk voor het verwerken van printjobs. Het afgelopen jaar zijn er meerdere kwetsbaarheden in dit Windowsonderdeel ontdekt, waarvan PrintNightmare de bekendste is. Ook de bekende Stuxnet-worm die systemen in de Iraanse uraniumverrijkingscentrale van Natanz saboteerde maakt onder andere misbruik van een lek in de Print Spooler. Beveiligingslekken in dit Windowsonderdeel zijn meestal niet genoeg om systemen op afstand over te nemen en worden vooral door aanvallers die al toegang tot een systeem hebben gebruikt om hun rechten te verhogen. Kaspersky zag tussen juli 2021 en april van dit jaar zo'n 65.000 aanvallen waarbij een kwetsbaarheid in de Print Spooler werd gebruikt. Ongeveer 31.000 van deze aanvallen vonden de afgelopen vier maanden plaats, van januari tot en met april. "Dit suggereert dat kwetsbaarheden in Windows Print Spooler een populaire aanvalsvector voor cybercriminelen blijven, wat inhoudt dat gebruikers alert moeten op beveiligingsupdates die Microsoft uitbrengt", zo laat het antivirusbedrijf weten. Onlangs kwamen de FBI en NSA met een overzicht van veel aangevallen kwetsbaarheden in 2021 waarin twee verschillende Print Spooler-lekken stonden. Gebruikers kunnen op systemen waar niet mee wordt geprint de Print Spooler-service uitschakelen. bron: https://www.security.nl

De Amerikaanse autoriteiten hebben samen met diensten uit Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk een waarschuwing gegeven voor aanvallen op managed serviceproviders (MSP's). Onder andere de FBI en NSA zeggen bekend te zijn met rapporten die een toename melden van aanvallen op MSP's en de diensten verwachten dat deze trend zal doorzetten. In het verleden zijn meerdere managed serviceproviders getroffen door zowel APT-groepen als ransomwaregroepen. Een bekend incident is dat met Kaseya, dat software aan MSP's levert. Via kwetsbaarheden in de Kaseya-software konden criminelen achter de REvil-ransomware wereldwijd klanten van MSP's met ransomware infecteren. Een ander voorbeeld is dat van een APT-groep genaamd APT10/Cloud Hopper die MSP's aanviel om zo bij klanten te spioneren. Om dergelijke aanvallen te voorkomen hebben de vijf landen een gezamenlijke Cybersecurity Advisory gepubliceerd met advies. Door de rol die MSP's vervullen hebben ze vaak vergaande toegang tot de systemen van klanten. Het kan zowel om middelgrote bedrijven gaan als vitale infrastructuur. Volgens de FBI en NSA kan het maanden duren voordat een aanval wordt opgemerkt. Organisaties wordt aangeraden om hun belangrijkste logbestanden dan ook zeker zes maanden te bewaren. MSP's krijgen verder het advies om data en diensten van klanten te scheiden en beheerderswachtwoorden niet te hergebruiken. Verder moeten overbodige accounts van MSP's worden uitgeschakeld. Iets wat bij het veranderen van MSP of opzeggen van het contract over het hoofd kan worden gezien, aldus de advisory. Daarnaast moeten organisaties controleren dat MSP-accounts niet zijn toegewezen aan interne beheerdersgroepen. bron: https://www.security.nl

Wanneer internetgebruikers ergens willen inloggen of een online formulier invullen kunnen gegevens als e-mailadressen en wachtwoorden naar adverteerders en andere derde partijen worden gestuurd nog voordat erop de knop verzenden of inloggen is geklikt, zo stellen onderzoekers van de Radboud Universiteit, de KU Leuven en de universiteit van Lausanne (pdf). Voor het onderzoek werden de 100.000 populairste websites op internet onderzocht. E-mailadressen van Europese gebruikers werden bij ruim achttienhonderd websites naar tracking-, marketing- en analyticsdomeinen doorgestuurd nog voordat gebruikers toestemming hadden gegeven of op versturen hadden geklikt. Werden dezelfde websites vanaf een Amerikaans ip-adres bezocht, dan ging het om bijna drieduizend websites. Verder bleek dat op meer dan vijftig websites third-party session replay scripts actief waren die het wachtwoord van gebruikers verzamelden. Deze scripts verzamelen de interactie van gebruikers met de website, waaronder toetsaanslagen en muisbewegingen. De onderzoekers rapporteerden dit. Vervolgens hebben twee third-party trackers, die samen actief zijn op vijf miljoen websites, updates uitgebracht om het probleem te verhelpen. Meta en TikTok In een vervolgonderzoek zagen de onderzoekers dat Meta en TikTok gehashte persoonlijke informatie van webformulieren verzamelen, zelfs wanneer de gebruiker het formulier niet verstuurt en geen toestemming geeft. De onderzoekers waarschuwden beide bedrijven. Meta kwam snel met een reactie waarin het aangaf dat het probleem was doorgezet naar een engineeringteam. TikTok heeft volgens de onderzoekers nog geen reactie gegeven, maar werd ook later ingelicht. "Gebaseerd op ons onderzoek moeten gebruikers ervan uitgaan dat de persoonlijke informatie die ze in webformulieren invullen door trackers kunnen worden verzameld, ook wanneer het formulier nooit wordt verstuurd. Gezien de omvang, inbreuk en onbedoelde neveneffecten, verdient het privacyprobleem dat we onderzochten meer aandacht van browserleveranciers, ontwikkelaars van privacytools en privacytoezichthouders", zo concluderen de onderzoekers. Die hebben naar aanleiding van het onderzoek een browser-extensie ontwikkeld genaamd LeakInspector. Daarmee kunnen websites en eindgebruikers derde partijen controleren die zonder hun toestemming of medeweten persoonlijke informatie uit webformulieren verzamelen. bron: https://www.security.nl

De Chrome-extensie van DuckDuckGo blokkeert nu ook nieuwe trackingmethodes van Google waarmee de techreus gebruikers gerichte advertenties wil tonen. Het gaat om technieken genaamd Topics en FLEDGE die Google onder veel Chrome-gebruikers wil inschakelen. Google is van plan om trackingcookies in Chrome uit te faseren en zoekt naar andere manieren om gebruikers toch gepersonaliseerde reclame te laten zien. Eerst kwam het techbedrijf met een oplossing genaamd FLoC (Federated Learning of Cohorts), maar besloot deze trackingmethode wegens felle kritiek niet door te voeren. De nieuwe trackingmethodes zijn volgens DuckDuckGo niet veel beter. "Het heeft nog steeds met dezelfde fundamentele privacyproblemen te maken van het automatisch delen van informatie over je online gedrag met websites en trackingbedrijven zonder je toestemming." Topics gebruikt de browsegeschiedenis van Chrome-gebruikers om automatisch informatie over interesses van de gebruiker te verzamelen en die met bedrijven, trackingbedrijven en websites te delen. FLEDGE zorgt ervoor dat Chrome op basis van het browsegedrag advertenties kan laten zien. "Chrome-gebruikers zullen mogelijk verrast zijn dat ze binnenkort automatisch aan de nieuwe trackingmethodes deelnemen", stelt DuckDuckGo. De zoekmachine merkt op dat Google de nieuwe trackingmethodes als meer privacyvriendelijk wegzet, maar dat tracking en profilering nog steeds tracking en profilering zijn. "Ongeacht hoe je het noemt." DuckDuckGo adviseert gebruikers die de trackingmethodes willen ontlopen om geen Chrome te gebruiken of de DuckDuckGo-extensie te gebruiken, aangezien die vanaf versie 2022.4.18 de Topics- en FLEDGE-interactie op websites blokkeert. Als derde mogelijkheid kunnen Chrome-gebruikers bepaalde opties binnen de browser aanpassen. bron: https://www.security.nl

De Duitse overheid heeft voor het eerst twee routers gecertificeerd die aan recent opgestelde veiligheidsrichtlijnen voldoen en binnen kleine bedrijven zijn te gebruiken. Het gaat om de "digitalisierungsbox" Smart 2 en Premium 2 van fabrikant Zyxel. Routers spelen een steeds grotere rol in de digitalisering en zijn daarmee een aantrekkelijk doelwit voor aanvallers, aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. "Breedbandrouters zijn de digitale hub voor elk kantoor. Ze zijn voor zowel kleine als grote bedrijven de gateway tot internet: zonder breedbandrouter is er geen datastroom, geen digitale samenwerking en geen videoconferenties", aldus de Duitse overheidsinstantie. "Het is daarom des te belangrijker dat breedbandrouters de juiste veiligheidseigenschappen hebben en gebruikers die kunnen herkennen." Door middel van certificaten kunnen fabrikanten dit aantonen. De certificering van de Zyxel-routers is gebaseerd op technische richtlijnen van het BSI. Daarin staat onder andere dat routers het aanvalsoppervlak moeten verkleinen door ongebruikte poorten te sluiten, het apparaat van beveiligingsupdates wordt voorzien en er eisen worden gesteld aan de wachtwoorden gebruikers. Ook moet de router over een basale firewall beschikken en een ingelogde gebruiker de mogelijkheid geven om een fabriekreset uit te voeren. Routerfabrikanten kunnen het BSI benaderen als hun apparatuur aan de eisen voldoet en ze die willen laten certificeren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in het BIG-IP-platform van F5 wordt actief gebruikt om het filesystem van de apparaten te wissen wat gevolgen heeft voor load balancing en websites. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. Op 4 mei kwam F5 met een beveiligingsupdate voor een kritieke kwetsbaarheid aangeduid als CVE-2022-1388. Via het beveiligingslek kan een ongeauthenticeerde aanvaller met toegang tot een BIG-IP het systeem overnemen of uitschakelen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "De kwetsbaarheid is noemenswaardig, omdat het ongeauthenticeerde aanvallers willekeurige systeemcommando's laat uitvoeren, bestanden laat aanmaken of verwijderen of services laat uitschakelen. In andere woorden, de aanvaller krijgt volledige controle over het apparaat", aldus Johannes Ullrich van het Internet Storm Center. Kort na het uitkomen van de beveiligingsupdate verschenen op internet proof-of-concept exploits en werd melding gemaakt van actief misbruik. Aanvallers gebruiken de kwetsbaarheid om webshells te installeren om zo toegang tot het apparaat te behouden en verdere aanvallen uit te voeren. Het Internet Storm Center (ISC) laat nu via Twitter weten dat een aanvaller actief bezig is om het filesystem van kwetsbare systemen te wissen. "Gegeven dat de webserver als root draait, lost dit het probleem van kwetsbare servers op en vernietigt elke kwetsbare BIG-IP-appliance", aldus het ISC. Beveiligingsonderzoeker Kevin Beaumont bevestigt de aanvallen en meldt dat veel kwetsbare apparaten die via zoekmachine Shodan waren te vinden nu niet meer reageren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale Amerikaanse overheidsinstanties gisteren verplicht om het beveiligingslek voor 31 mei te patchen. bron: https://www.security.nl

Microsoft heeft tijdens de patchdinsdag van mei in totaal 74 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek in Windows. Volgens Microsoft gaat het om een kwetsbaarheid in de Windows LSA (Local Security Authority), aangeduid als CVE-2022-26925, die spoofing mogelijk maakt. Via het spoofinglek kan een ongeauthenticeerde aanvaller een domeincontroller dwingen om zich via NTLM bij een andere server te authenticeren. Om misbruik van de kwetsbaarheid te kunnen maken is een man-in-the-middle-positie vereist, waarbij de aanvaller tussen de aangevallen server en de opgegeven server zit. Volgens onderzoekers gaat het om de PetitPotam-kwetsbaarheid die vorig jaar augustus door Microsoft werd verholpen, maar tussen december en maart van dit jaar zou zijn geherintroduceerd. Microsoft heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Als het spoofinglek wordt gecombineerd met andere NTLM relay-aanvallen op Active Directory Certificate Services (AD CS) gaat de impactscore naar 9.8, aldus Microsoft. Het beveiligingslek was door een onderzoeker van de Bertelsmann Printing Group gevonden en gerapporteerd. Naast het installeren van de beveiligingsupdate wijst Microsoft systeembeheerders ook naar KB5005413 en Advisory ADV210003 waarin maatregelen worden beschreven om NTLM relay-aanvallen te voorkomen. Het installeren van de beveiligingsupdates zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Gezichtsherkenningsbedrijf Clearview AI heeft in een zaak die was aangespannen door de Amerikaanse burgerrechtenbeweging ACLU een schikking getroffen, waardoor het gebruik van een massale database met tien miljard gezichtsafbeeldingen in de Verenigde Staten wordt beperkt. Met de database kunnen politiediensten onbekende verdachten herkennen. Meer dan zeshonderd Amerikaanse politie- en opsporingsdiensten zouden van Clearview gebruik hebben gemaakt. Het bedrijf wil de database uitbreiden naar honderd miljard gezichtsafbeeldingen, wat neerkomt op veertien foto's voor elk persoon op aarde. Volgens de ACLU overtreedt Clearview met de gezichtendatabase de Illinois Biometric Information Privacy Act (BIPA). De wet verbiedt het zonder toestemming opslaan van biometrische gegevens van gebruikers. Als onderdeel van de schikking zal Clearview AI de gezichtendatabase niet meer aan de meeste bedrijven en private partijen in de VS mogen aanbieden. Daarnaast stopt het bedrijf de komende vijf jaar met het bieden van toegang tot de database aan alle partijen in de Amerikaanse staat Illinois, waaronder politie. Tevens moet Clearview op de eigen website een opt-out-formulier toevoegen. Via dit formulier kunnen inwoners van Illinois een foto uploaden en een formulier invullen zodat hun gezichtsfoto's niet in de zoekresultaten van Clearview verschijnen, waaronder zoekopdrachten van opsporingsdiensten. Ook mag Clearview geen gratis proefaccounts meer aan individuele agenten aanbieden zonder kennis of toestemming van hun werkgever. "Clearview kan de unieke biometrische kenmerken van personen niet langer meer als een onbeperkte inkomstenbron behandelen", zegt Nathan Freed Wessler van de ACLU. "Voor deze overeenkomst negeerde Clearview het feit dat biometrische informatie is te misbruiken om voor gevaarlijke situaties en dreigingen te zorgen in de levens van slachtoffers van huiselijke en seksueel geweld. Dat is niet langer meer het geval", voegt Linda Xóchitl Tortolero toe, ceo van een organisatie die zich inzet voor Latijns-Amerikaanse vrouwen. bron: https://www.security.nl

Microsoft heeft vandaag een nieuwe managed service gelanceerd waarbij het de eigen beveiligingsexperts aanbiedt aan organisaties. Die kunnen het securitypersoneel van ondernemingen ondersteunen of de taken van het personeel uit handen nemen. Microsoft Security Experts bestaat uit drie nieuwe managed services die organisaties als aanvulling op hun bestaande securityteams kunnen gebruiken. Microsoft Defender Experts for Hunting is bedoeld voor organisaties die hulp zoeken bij het vinden en vervolgens verhelpen van dreigingen in het netwerk, zoals ransomware. Organisaties kunnen zo een Microsoft-expert consulteren over een specifiek incident, een statelijke actor of een aanvalsvector. Microsoft Defender Experts for XDR (extended detection and response) is een service die ondersteuning biedt bij het onderzoeken van alerts en het reageren op incidenten. Microsoft Security Services for Enterprise combineert threat hunting en managed XDR en is vanaf vandaag beschikbaar. Microsoft Defender Experts for Hunting zal later deze zomer beschikbaar komen, gevolgd door een preview van Experts for XDR in de herfst. bron: https://www.security.nl

De Britse financiële toezichthouder FCA slaat alarm over beleggings- en investeringsfraude via remote desktop software zoals TeamViewer en AnyDesk. Sinds juli 2020 hebben criminelen door gebruik te maken van dergelijke software ruim 29 miljoen euro van Britse slachtoffers weten te stelen. Meer dan 2100 mensen maakten melding dat ze op deze manier waren bestolen. Slachtoffers werden benaderd door "financieel adviseurs" die vroegen om remote desktop software te installeren. Op deze manier zouden slachtoffers worden geholpen met hun eerste investering. Met de gegevens van slachtoffers en de remote toegang tot de computer werd in werkelijkheid geld van de rekening gestolen. Eén slachtoffer verloor op deze manier ruim 56.000 euro. Volgens de FCA maken criminelen misbruik van de groeiende bekendheid van verzoeken tot "screen sharing", zoals bij Teams en Zoom het geval is. Via een aparte pagina worden investeerders nu door de FCA voor beleggingsfraude gewaarschuwd. Uit onderzoek van de toezichthouder blijkt dat 47 procent van de respondenten het installeren van software waarmee derden toegang krijgen niet als een 'red flag' ziet. bron: https://www.security.nl

Op internet worden de privégegevens gedeeld van 21 miljoen gebruikers van verschillende vpn-diensten. Het gaat om namen, factuurgegevens, e-mailadressen, gebruikersnamen, landnamen, "willekeurig gegeneerde wachtwoordstrings" en abonnementsperiode, zo meldt vpnMentor dat over het delen van de gegevens op chatdienst Telegram bericht. Het betreft gebruikers van vpn-providers GeckoVPN, SuperVPN en ChatVPN. Vorig jaar kregen SuperVPN en GeckoVPN met een datalek te maken waarbij de gegevens van ruim twintig miljoen gebruikers online verschenen, maar volgens vpnMentor lijkt de nu gedeelde data van de vorig jaar gelekte gegevens te verschillen. De wachtwoordhashes die in de dataset zijn te vinden lijken gehasht en gesalt, of willekeurig. "Dit houdt in dat elke wachtwoordhash verschilt, wat ze lastiger te kraken maakt", aldus de onderzoekers. Vorige maand verschenen op Twitter al berichten dat de privégegevens op een "populair hackerforum" werden verhandeld. Afgelopen weekend werd de sql-dump van tien gigabyte op een Telegram-kanaal gedeeld. bron: https://www.security.nl

Criminelen maken actief misbruik van een kritiek kwetsbaarheid in F5 BIG-IP om organisaties aan te vallen, zo meldt het Australische Cyber Security Centre (ACSC). Op 4 mei verscheen er een update voor het beveiligingslek, aangeduid als CVE-2022-1388, dat het mogelijk maakt voor een ongeauthenticeerde aanvaller met toegang tot een BIG-IP om het systeem over te nemen of uit te schakelen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. In het verleden zijn kritieke kwetsbaarheden in het platform vaker bij aanvallen gebruikt. Volgens het ACSC is er inmiddels proof-of-concept exploitcode voor het lek online verschenen en maken aanvallers ook actief misbruik van de kwetsbaarheid bij aanvallen tegen Australische netwerken. Het ACSC zegt de situatie te monitoren en roept getroffen Australische organisaties op om zich te melden. Daarnaast wordt aangeraden de beschikbare update te installeren of anders een workaround toe te passen. Securitybedrijf Censys stelt dat er zo'n 2500 BIG-IP-apparaten op internet zijn te vinden. "Normaliter adviseer ik om eerst te patchen en later configuratieproblemen te verhelpen. Maar in dit geval is het andersom: Zorg ervoor dat de beheerdersinterface niet toegankelijk is. Is dat niet mogelijk, patch dan niet, maar schakel het systeem uit. Als de configuratie-interface veilig is, dan pas patchen", aldus Johannes Ullrich van het Internet Storm Center. bron: https://www.security.nl

Google gaat ondersteuning van de FIDO-standaard aan Android en Chrome toevoegen zodat gebruikers straks zonder wachtwoord op applicaties en websites kunnen inloggen. De support moet later dit jaar in de browser en het besturingssysteem verschijnen en zal ervoor zorgen dat wachtwoorden straks niet meer nodig zijn, zo laat het techbedrijf weten. Wanneer Androidgebruikers straks via hun telefoon op een website of app willen inloggen hoeven ze alleen hun toestel te ontgrendelen. Het toestel zal hiervoor een passkey opslaan waarmee er toegang tot het online account wordt verkregen. Desktopgebruikers die op een website willen inloggen zullen eerst op hun telefoon een prompt krijgen waarin wordt gevraagd om het inloggen te bevestigen. Zodra dit is gedaan is de telefoon niet meer nodig en kan er voortaan door het ontgrendelen van alleen de computer worden ingelogd. De passkeys op de telefoon zijn via een cloudback-up naar een nieuwe telefoon over te zetten, mocht een toestel worden gestolen of verloren, laat Google verder weten. Het techbedrijf stelt dat de passkey een wachtwoordloze toekomst een stap dichterbij brengt. De Fast IDentity Online (FIDO)-Alliantie heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. Ook Apple en Microsoft werken hier aan mee. bron: https://www.security.nl

Het Tor Project heeft een nieuwe versie van de Tor-software uitgebracht die de snelheid van het Tor-netwerk drastisch moet verbeteren. Iets wat op dit moment een vaak genoemd probleem van het netwerk is. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. Dit moet de privacy van gebruikers beschermen maar kan er ook voor zorgen dat browsen via het netwerk traag is. Met "Congestion Control" wil het Tor Project dit probleem oplossen. Het elimineert de snelheidsbeperkingen van de huidige Tor-software en vermindert de latency door wachtrijen bij relay-servers te beperken, zo laat het Tor Project weten. Dit moet niet alleen voor een sneller Tor-netwerk zorgen, maar ook voor een beter gebruik van de beschikbare netwerkcapaciteit. Het Tor Project roept alle serverbeheerders in het Tor-netwerk op om te upgraden naar Tor 0.4.7. Pas als genoeg Tor-servers deze versie draaien zal de nieuwe technologie aan Tor Browser worden toegevoegd, de browser om het Tor-netwerk te kunnen gebruiken. Het Tor Project hoopt dat dit op 31 mei het geval zal zijn. bron: https://www.security.nl

NAS-fabrikant QNAP waarschuwt eigenaren van een NAS-systeem voor verschillende kwetsbaarheden waardoor aanvallers in het ergste geval NAS-apparaten op afstand kunnen overnemen. De kwetsbaarheden zijn beoordeeld als kritiek en 'high' en bevinden zich in onderdelen die in het verleden vaker bij aanvallen zijn misbruikt. QNAP roept gebruikers op om de beschikbare updates te installeren. In QTS, QuTS hero en QuTScloud heeft QNAP vier kwetsbaarheden verholpen die het mogelijk maken voor aanvallers om willekeurige commando's op NAS-systemen uit te voeren, toegang tot vertrouwelijke bestanden te krijgen, kwaadaardige code te injecteren en gebruikers naar een malafide pagina door te sturen die malware bevat. Hoe aanvallers de beveiligingslekken precies kunnen misbruiken laat QNAP niet weten. In Photo Station is een kwetsbaarheid gedicht die het mogelijk maakt om "de veiligheid van het systeem te compromitteren". Verdere details geeft QNAP niet. Photo Station is een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. Beveiligingslekken in deze software zijn in het verleden gebruikt bij ransomware-aanvallen. Een kritieke kwetsbaarheid in QVR maakt het mogelijk voor aanvallers om willekeurige commando's op NAS-systemen uit te voeren. QVR is een videosurveillancetool van QNAP. Tevens is de NAS-fabrikant met updates gekomen voor Video Station, waarmee twee kwetsbaarheden verholpen waardoor aanvallers toegang tot vertrouwelijke gegevens kunnen krijgen en ongeautoriseerde acties kunnen uitvoeren. bron: https://www.security.nl

Onderzoekers hebben in de antivirussoftware van Avast en AVG twee kwetsbaarheden ontdekt waardoor het mogelijk was voor aanvallers die al toegang tot het systeem hadden om als normale gebruiker code met kernelrechten uit te voeren en zo bijvoorbeeld virusscanners en andere beveiligingssoftware uit te schakelen, systeemonderdelen te overschrijven of het besturingssysteem te corrumperen. Daarnaast waren de beveiligingslekken te gebruiken om uit sandboxes te ontsnappen, bijvoorbeeld die van browsers. Zo zouden de kwetsbaarheden kunnen worden gebruikt om in combinatie met een ander lek in bijvoorbeeld een browser systemen op afstand over te nemen. De beveiligingslekken waren al tien jaar in de beveiligingssoftware aanwezig en raakten miljoenen gebruikers, zo stelt securitybedrijf SentinelOne dat de problemen ontdekte. De kwetsbaarheden, aangeduid als CVE-2022-26522 en CVE-2022-26523, waren aanwezig in de anti-rootkit driver van de virusscanners. SentinelOne waarschuwde Avast vorig jaar december. Het antivirusbedrijf kwam in februari met een beveiligingsupdate om de kwetsbaarheden te verhelpen. SentinelOne stelt dat er geen misbruik van de lekken is gemaakt. Eerder deze week meldde antivirusbedrijf Trend Micro dat een andere kwetsbaarheid in de Avast-driver gebruikt wordt door de AvosLocker-ransomware om beveiligingssoftware op aangevallen systemen uit te schakelen. Dit beveiligingslek werd volgens Avast vorig jaar juli verholpen. Deze maand kwam Microsoft met een beveiligingsupdate voor Windowsgebruikers om misbruik van de driver te voorkomen. bron: https://www.security.nl

Cisco waarschuwt organisaties voor vervalste switches en adviseert een software-upgrade uit te voeren om zo verkeerde hardware te detecteren. Volgens Cisco vormt de illegale grijze markt een groot risico voor organisaties die al dan niet bewust ongeautoriseerde tweedehands, third-party of gestolen netwerkapparatuur kopen. Met name Cisco's 2960X/2960XR-switches worden in dit circuit aangeboden. Cisco claimt dat vervalste switches ongewoon gedrag kunnen vertonen en "normale systeemoperaties" kunnen verstoren. Om vervalste hardware en software te detecteren maakt Cisco gebruik van verschillende maatregelen en technieken, waaronder secure boot, een hardware trust anchor, een secure unique device identifier (SUDI) en digitaal gesigneerde software images. Organisaties krijgen nu het advies om hun Cisco Catalyst 2960X/2960XR-switches te upgraden naar IOS-versie 15.2(7)E4 of nieuwer voordat ze het apparaat aan hun netwerk toevoegen. De genoemde IOS-versies maken gebruik van SUDI-verificatie om eventueel vervalste switches te detecteren. Verder adviseert Cisco om apparatuur alleen via geautoriseerde partners aan te schaffen. bron: https://www.security.nl

Alle ontwikkelaars die op de één of andere manier bijdragen aan code op GitHub.com zullen eind 2023 tweefactorauthenticatie (2FA) voor hun account moeten hebben ingeschakeld, zo laat het populaire platform voor softwareontwikkelaars vandaag weten. Volgens GitHub zijn accounts van softwareontwikkelaars geregeld het doelwit van aanvallen en is het beveiligen van deze accounts de eerste en belangrijkste stap in het beschermen van de software supply chain. "De meeste beveiligingsincidenten zijn niet het gevolg van exotische zeroday-aanvallen, maar eenvoudigere aanvallen zoals social engineering, wachtwoorddiefstal of -lekken en andere manieren waardoor aanvallers toegang tot accounts van slachtoffers krijgen en de middelen waar die toegang toe hebben", zegt Mike Hanley van GitHub. Via gecompromitteerde accounts kunnen aanvallers code stelen of kwaadaardige aanpassingen aan code toevoegen. Hanley stelt dat 2FA een belangrijke maatregel is om accounts te beschermen. Slechts 16,5 procent van de actieve GitHub-gebruikers heeft dit echter ingesteld en slechts 6,44 procent van de npm-gebruikers. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en eigendom van GitHub. Met de vandaag aangekondigde maatregel zal 2FA straks voor alle accounts verplicht zijn. De komende maanden zal GitHub meer details over de 2FA-plannen geven. bron: https://www.security.nl

Er is een update voor e-mailclient Thunderbird verschenen waardoor bepaalde gebruikers weer versleuteld kunnen mailen. Dat was sinds 5 april namelijk niet meer mogelijk. Thunderbird biedt gebruikers de optie om versleuteld via OpenPGP te e-mailen. OpenPGP maakt gebruik van private en public keys, die eigenschappen bevatten zoals namen, e-mailadressen, aanvullende sub-keys en informatie over de geldigheid van de sleutel. Deze eigenschappen zijn digitaal ondertekend om te bewijzen dat ze zijn toegevoegd of veranderd door de eigenaar van de sleutel en niet door iemand anders. Wanneer de sleuteleigenaar bijvoorbeeld de verloopdatum van een OpenPGP-key aanpast wordt hiervoor een digitale handtekening gebruikt die wordt toegevoegd aan de sleutel. Voor deze handtekening kan het SHA-1-hashingalgoritme worden gebruikt. Sinds 2005 zijn er aanvallen op SHA-1 bekend en sinds 2011 wordt daarom aangeraden het algoritme uit te faseren. Met de lancering van Thunderbird 91.8.0 op 5 april was een aanpassing doorgevoerd die ervoor zorgt dat handtekeningen die van bepaalde onveilige algoritmes gebruikmaken worden geweigerd, afhankelijk van de datum waarop de handtekening is gemaakt. Hierdoor weigerde Thunderbird handtekeningen die van SHA1 gebruikmaken en na januari 2019 waren gecreëerd. Dit had als gevolg dat gebruikers deze keys niet meer konden gebruiken. Het Thunderbird-team had er rekening mee gehouden dat dit bij sommige gebruikers voor problemen zou zorgen, maar meer gebruikers dan verwacht lieten weten dat ze niet meer versleuteld konden mailen. Om deze gebruikers meer tijd te geven om SHA-1 uit te faseren accepteert Thunderbird 91.9.0 weer SHA-1-handtekeningen voor de eigenschappen van OpenPGP-keys. Daarom kunnen deze gebruikers weer hun keys gebruiken totdat SHA-1 volledig wordt uitgefaseerd in een toekomstige versie van de e-mailclient. Volgens Kai Engert van Thunderbird zijn SHA-1-aanvallen mogelijk, maar zijn de aanvallen die nu bekend zijn lastig toe te passen op OpenPGP-handtekeningen. bron: https://www.security.nl

Een spionagegroep die bekendstaat als APT28 en Fancy Bear heeft de afgelopen weken aanvallen via e-mail uitgevoerd waarbij geprobeerd werd om doelwitten met malware te infecteren die cookies en wachtwoorden uit browsers steelt, zo stelt Google op basis van eigen onderzoek. Volgens Googles Threat Analysis Group (TAG) waren de aanvallen gericht tegen Oekraïense gebruikers en bestonden uit e-mails die als bijlage een met wachtwoord beveiligd zip-bestand hadden. Het bestand bevat in werkelijkheid malware die wanneer geopend cookies en wachtwoorden uit Chrome, Edge en Firefox steelt en vervolgens via e-mail naar een al gecompromitteerd e-mailaccount stuurt. Google geeft periodiek een overzicht van aanvallen waarvan het stelt dat die door statelijke actoren en "Advanced Persistent Threats" (APTs) zijn uitgevoerd. In het overzicht van deze maand blijkt dat dergelijke aanvallers basale technieken gebruiken, zoals het gebruik van malafide linkjes en phishingdomeinen, om zo inloggegevens van doelwitten te stelen. Verder laat het techbedrijf weten dat een spionagegroep die aan het Chinese leger is gelieerd succesvolle aanvallen tegen Russische defensieleveranciers en -fabrikanten en een Russisch logistiek bedrijf heeft uitgevoerd. bron: https://www.security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen, maar gebruikers met een usb-stick zullen een handmatige upgrade moeten uitvoeren. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart. Met de lancering van Tails 5.0 is de eerste Tails-versie verschenen gebaseerd op Debian 11. Daarnaast zijn er updates voor aanwezige applicaties doorgevoerd, zoals Audacity, LibreOffice en GIMP, en verschillende fixes, waaronder voor een probleem bij het ontgrendelen van versleutelde volumes waarvoor een zeer lange passphrase is gebruikt. Tails beschikt over de mogelijkheid om automatisch naar nieuwe versies te upgraden, maar dat is in het geval van Tails 5.0 niet mogelijk. "Alle gebruikers moeten een handmatige upgrade uitvoeren", zo staat in de release notes. bron: https://www.security.nl

Eind dit jaar zal geen enkele klant van Exchange Online bij het inloggen meer gebruik kunnen maken van protocollen zoals POP en IMAP, zo heeft Microsoft aangekondigd. Het techbedrijf zal dan bij alle klanten Basic Authentication hebben uitgeschakeld. Volgens Microsoft is Basic Authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen. Eerder maakte Microsoft al bekend dat het op 1 oktober met Basic Auth in Exchange Online stopt. Dit zal echter een gefaseerd proces zijn, zo blijkt nu. Vanaf deze datum zal Microsoft namelijk willekeurig klanten kiezen die nog via bijvoorbeeld POP of IMAP op de mailomgeving inloggen. Vervolgens krijgen deze klanten een waarschuwing dat Basic Auth zal worden uitgeschakeld. Microsoft verwacht dat dit gehele proces eind dit jaar is afgerond. Vanwege de impact worden organisaties nu al opgeroepen om hun zaken voor 1 oktober op orde te hebben. Basic Authentication zal worden uitgeschakeld voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP en Remote PowerShell. Er is besloten om SMTP AUTH niet uit te schakelen. Microsoft laat verder weten dat organisaties na oktober niet meer om meer tijd kunnen vragen of een specifieke datum dat Basic Auth wordt uitgeschakeld. Wanneer Basic Authentication uitstaat kunnen e-mailclients of scripts die hier nog mee werken geen verbinding meer maken. Microsoft claimt dat Basic Auth één van de meest, als niet de meestgebruikte manier is waarop klanten worden gecompromitteerd en dat dit soort aanvallen toeneemt. "We hebben Basic Auth al in miljoenen omgevingen uitgeschakeld waar het niet werd gebruikt", aldus het Microsoft Exchange Team. "Elke dag dat in je omgeving Basic Auth is ingeschakeld loop je risico op aanvallen." bron: https://www.security.nl

De criminelen achter de AvosLocker-ransomware maken gebruik van een driver van antivirusbedrijf Avast om virusscanners en andere beveiligingssoftware op aangevallen systemen uit te schakelen. Dat laat antivirusbedrijf Trend Micro weten. De driver in kwestie moet systemen tegen rootkits beschermen. In het geval van AvosLocker gebruikt de ransomware de driver om aanwezige beveiligingssoftware te neutraliseren en detectie te voorkomen. Het gaat hierbij om de software van andere antivirusleveranciers. Volgens Trend Micro laat dit zien dat aanvallers, zodra ze toegang tot systemen hebben, steeds geraffineerder worden in het gebruik van legitieme tools om hun malafide activiteiten te verbergen. Trend Micro waarschuwde Avast. Het antivirusbedrijf stelt dat er een kwetsbaarheid in een oude versie van de driver aswArPot.sys aanwezig is. Dit beveiligingslek is vorig jaar juni verholpen. Avast heeft met Microsoft samengewerkt om ervoor te zorgen dat Windows 10 en 11 de oudere versie van de driver blokkeren, zodat die niet in het geheugen geladen kan worden. De Windows-update die hiervoor zorgt werd afgelopen februari als optionele update aangeboden en vorige maand als beveiligingsupdate. Windowsmachines die up-to-date zijn, zijn dan ook niet meer kwetsbaar voor deze aanval, aldus Avast in een reactie tegenover Trend Micro. bron: https://www.security.nl

Achttien jaar na de release van Firefox 1.0 heeft Mozilla vandaag Firefox 100 uitgebracht. Naast het verhelpen van verschillende kwetsbaarheden bevat de Androidversie ook een HTTPS-only mode die ervoor zorgt dat websites alleen via https worden benaderd en standaard staat ingeschakeld. Wanneer een website geen https gebruikt krijgen Androidgebruikers een waarschuwing en moeten ze een extra handeling uitvoeren om de htttp-website te bezoeken. Gebruikers kunnen de HTTPS-only mode ook uitschakelen. Verder zijn er met de lancering van Firefox 100 negen kwetsbaarheden in de browser verholpen die onder andere spoofingaanvallen mogelijk maken alsmede de browsegeschiedenis kunnen lekken. Volgens StatCounter heeft Firefox een wereldwijd marktaandeel van 3,4 procent. Op de desktop is dit bijna acht procent. Onder Nederlandse desktopgebruikers maakt 8,3 procent gebruik van Mozillas browser. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie of Mozilla.org. bron: https://www.security.nl

Miljoenen Internet of Things-apparaten zijn door een beveiligingslek in een populaire c-library kwetsbaar voor aanvallen, zo claimt securitybedrijf Nozomi Networks. Een beveiligingsupdate is nog altijd niet beschikbaar. De kwetsbaarheid is aanwezig in de libraries uClibc en spin-off uClibc-ng. Het gaat om twee libraries voor het ontwikkelen van embedded Linux-systemen. Door het versturen van een speciaal geprepareerd request naar systemen waarop de kwetsbare libraries draaien is dns poisoning mogelijk. Hierbij zal het systeem een door de aanvaller opgegeven ip-adres bezoeken in plaats van het bedoelde ip-adres. Volgens de onderzoekers zijn hierdoor ook man-in-the-middle aanvallen mogelijk, omdat een aanvaller het verkeer van het kwetsbare systeem via een eigen server kan routeren. De kwetsbaarheid werd vorig jaar september bij het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid gemeld. Pas in maart lukte het een andere instantie om de maintainer van uClibc-ng te bereiken. Die stelde echter dat hij niet in staat is om de kwetsbaarheid te verhelpen en hoopt door openbaarmaking dat anderen hierbij kunnen helpen. Aangezien er nog altijd geen patch beschikbaar is heeft Nozomi geen details over kwetsbare apparaten gegeven, maar het bedrijf stelt dat miljoenen apparaten de libraries gebruiken. bron: https://www.security.nl