Captain Kirk

De Deadbolt-ransomware die in januari nog vijfduizend NAS-systemen van fabrikant QNAP infecteerde en aanwezige data voor losgeld versleutelde is terug en heeft de afgelopen dagen elfhonderd NAS-systemen besmet. Dat meldt securitybedrijf Censys op basis van eigen onderzoek. Deadbolt maakte bij de aanvallen van januari gebruik van een bekende kwetsbaarheid in het besturingssysteem van de NAS-systemen. De update voor dit beveiligingslek was op 23 december vorig jaar beschikbaar gemaakt. Op 27 januari besloot QNAP om deze update als "aanbevolen versie" te bestempelen, waardoor die automatisch op NAS-systemen werd geïnstalleerd waar automatisch updaten stond ingeschakeld. Wat Deadbolt volgens Censys uniek maakt is de communicatie met het slachtoffer. In plaats van het gehele systeem te versleutelen, waardoor het niet meer werkt, richt de ransomware zich alleen op specifieke directories en laat een bericht in de webinterface achter met instructies. Vanwege deze aanpak kon Censys het aantal besmette NAS-systemen op het internet achterhalen. Eind januari telde Censys 130.000 QNAP NAS-systemen op internet, waarvan er 5.000 waren besmet. Nadat QNAP de update uitrolde daalde het aantal besmette systemen onder de driehonderd. De afgelopen dagen is er opeens een stijging zichtbaar en telt Censys ruim 1100 geïnfecteerde QNAP-systemen. Net als bij de aanval van januari eisen de aanvallers zo'n 1200 euro voor het ontsleutelen van de data. Het is echter onbekend of bij deze nieuwste aanval van een andere exploit gebruik wordt gemaakt, of dat het hier gaat om ongepatchte NAS-systemen die via de originele exploit besmet zijn geraakt. Op het forum van QNAP zijn nog steeds nieuwe mensen te vinden die melding van versleutelde NAS-systemen maken. bron: https://www.security.nl

HP waarschuwt eigenaren van verschillende printermodellen voor kritieke kwetsbaarheden waardoor remote code execution mogelijk is en een aanvaller op afstand code op de printers kan uitvoeren. Er zijn firmware-updates beschikbaar gemaakt om de problemen te verhelpen. Het gaat in totaal om vier beveiligingslekken waarvan drie als kritiek zijn aangemerkt (CVE-2022-24292, CVE-2022-24293 en CVE-2022-3942). De impact van de eerste twee van deze kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het andere lek, CVE-2022-3942, heeft een impactscore van 8.4. Deze kwetsbaarheid is echter in meer dan tweehonderd printermodellen aanwezig en betreft een buffer overflow die remote code execution mogelijk maakt. Het probleem is aanwezig in het LLMNR (Link-Local Multicast Name Resolution)-protocol van de printers. Verdere details zijn niet door HP gegeven. Naast het installeren van de firmware-update kunnen gebruikers er ook voor kiezen om LLMNR op de printer uit te schakelen. bron: https://www.security.nl

Medewerkers van chipgigant NVIDIA maakten voor het beschermen van hun accounts gebruik van zwakke wachtwoorden, zo stelt authenticatieprovider Specops Software op basis van eigen onderzoek. Recentelijk lukte het aanvallers om toegang tot systemen van NVIDIA te krijgen en daar ruim 70.000 e-mailadressen en wachtwoordhashes te stelen. Eerder stelde beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned dat een groot deel van de hashes was gekraakt, waardoor het wachtwoord bekend is. Specops stelt dat het 30.000 van de wachtwoorden in handen heeft. Aan de hand hiervan claimt het bedrijf dat NVIDIA-personeel van zwakke wachtwoorden gebruikmaakte. Zo staat in de top tien van basiswoorden op de eerste plek "nvidia", gevolgd door "nvidia3d" en "mellanox". Mellanox is een door NVIDIA overgenomen bedrijf. Verder komen in de top tien van Specops ook wachtwoorden voor als "welcome", "password", "mynvidia3d" en "qwerty". "Dat "nvidia" in deze lijst staat laat zien dat de organisatie voor de wachtwoordbeveiliging geen gebruikmaakte van een custom woordenboek", aldus de authenticatieprovider. Naar aanleiding van het incident werden alle NVIDIA-medewerkers verplicht om hun wachtwoord te wijzigen. bron: https://www.security.nl

Authenticatieprovider Okta onderzoekt of aanvallers mogelijk toegang tot systemen hebben gekregen, zo laat het bedrijf tegenover persbureau Reuters weten. Een groep aanvallers die zichzelf Lapsus$ noemt, en eerder verantwoordelijk was voor aanvallen op chipgigant NVIDIA, de Portugese mediagigant Impresa en het Braziliaanse ministerie van Volksgezondheid, plaatsten op hun Telegram-kanaal screenshots waaruit zou blijken dat ze toegang tot systemen van Okta hebben. Okta biedt oplossingen voor identity en access management. "Meer dan 15.000 wereldwijde merken vertrouwen de beveiliging van hun digitale interacties met werknemers en klanten toe aan Okta", zo laat het bedrijf op de eigen website weten. Okta had vorig jaar een omzet van 1,3 miljard dollar en telt vijfduizend medewerkers. Tegenover Reuters laat het bedrijf weten dat het bekend is met de screenshots en een onderzoek heeft ingesteld. Het bedrijf zal zodra beschikbaar verdere informatie geven. De aanvallers claimen dat ze het niet op Okta zelf hadden voorzien, maar op de klanten van de authenticatieprovider. Beveiligingsexperts waarschuwen Okta-klanten dan ook om zeer alert te zijn. Update Okta laat in een verklaring weten dat het eind januari een aanval op het account van een third party customer support engineer ontdekte die voor een subverwerker werkzaam was. Deze partij heeft het incident vervolgens onderzocht. "We denken dat de online gedeelde screenshots met het incident in januari te maken hebben", aldus Okta. bron: https://www.security.nl

De Duitse overheid adviseert burgers om alle accounts waar mogelijk met tweefactorauthenticatie (2FA) te beveiligen. Dit moet ongeautoriseerde toegang voorkomen, aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. De Duitse federatie van consumentenorganisaties, Verbraucherzentrale Bundesverband (VZBV), deed onderzoek naar meer dan tweehonderd digitale diensten en of die 2FA aanbieden en in welke vorm. Zo blijkt dat Duitse webshops en online apotheken hun klanten niet de optie geven om accounts met 2FA te beveiligen. Ook fitnesstrackers laten hierbij steken vallen. Volgens het BSI laat het onderzoek zien dat tweefactorauthenticatie alleen in een aantal gereguleerde sectoren wordt aangeboden. De Duitse overheidsinstantie vindt dan ook dat er nog een inhaalslag te maken is in de beveiliging van eindgebruikers. Waar mogelijk vindt het BSI dat eindgebruikers 2FA moeten instellen en niet bang moeten zijn om 2FA-methodes te gebruiken die ze nog niet kennen. bron: https://www.security.nl

Antvirusbedrijf Emsisoft heeft een gratis decryptietool voor de Diavol-ransomware ontwikkeld. Slachtoffers die over een versleuteld bestand en het originele onversleutelde bestand beschikken kunnen zo kosteloos al hun data terugkrijgen. Begin dit jaar kwam de FBI nog met een waarschuwing voor de Diavol-ransomware, die door de groep achter de beruchte Trickbot-malware zou zijn ontwikkeld. Eenmaal actief op een systeem versleutelt Diavol bestanden en eist een losgeldbedrag dat tussen de 10.000 en 500.000 dollar ligt. De aanvallers gaan in overleg met hun slachtoffers en hebben daarbij ook lagere betalingen geaccepteerd, zo laat de FBI weten. Ook is de Amerikaanse opsporingsdienst niet bekend met het lekken van gestolen informatie, ook al dreigen de aanvallers hier wel mee. Emsisoft is er met hulp van onderzoekers in geslaagd om een decryptietool voor de ransomware te ontwikkelen. De software vereist het originele bestand en de versleutelde versie en zal aan de hand hiervan een decryptiesleutel genereren, waarmee alle data is te ontsleutelen. "De encryptiesleutel is 2048 bytes lang en wordt willekeurig gegenereerd, maar de encryptie bestaat uit het XORren van bestanden in delen van 2048. Aangezien de encryptiesleutel voor meerdere bestanden wordt gebruikt en een XOR-operatie is, kunnen we bekende plaintext kwetsbaarheden gebruiken om de bestanden te herstellen", aldus onderzoekers van Walmart Global Tech. bron: https://www.security.nl

Microsoft heeft aan een testversie van Windows 11 een nieuwe policy voorzien waardoor het mogelijk is voor systeembeheerders om usb-schijven uit te sluiten van de ingebouwde encryptiesoftware BitLocker. Dit moet voorkomen dat dat ingebouwde opslag van videocamera's, stemrecorders, videoconferentiesystemen, medische apparatuur en andere apparaten automatisch of per ongeluk door BitLocker wordt versleuteld. Wanneer de policy staat ingeschakeld is het niet mogelijk om opslag, die op een speciale uitzonderingslijst staat aangegeven, te versleutelen. Beheerders moeten hiervoor wel eerst het speciale hardware-ID van de uit te zonderen apparaten verzamelen en aan de lijst toevoegen. Vervolgens is hiermee een apart profiel aan te maken en als policy te gebruiken. De feature is toegevoegd aan Windows 11 Insider Preview Build 22579. Wanneer de policy in de releaseversie van Windows 11 zal verschijnen is onbekend. bron: https://www.security.nl

Dertig procent van de applicaties, servers en andere systemen die van Log4j gebruikmaken is nog altijd kwetsbaar, zo stelt securitybedrijf Qualys op basis van eigen onderzoek. Op 9 december werd er een kritiek lek in de Log4j2-library gevonden, waardoor het mogelijk is om systemen op afstand over te nemen. 72 uur na de bekendmaking van het beveiligingslek had Qualys naar eigen zeggen al bijna één miljoen aanvalspogingen gezien. Het bedrijf baseert zich op cijfers van het eigen cloudplatform, waarmee het "it assets" kan scannen. Log4Shell, zoals het beveiligingslek in Log4j wordt genoemd, werd in meer dan drie miljoen kwetsbare instances aangetroffen. Meer dan twee maanden later is dertig procent van de Log4j-instances nog altijd kwetsbaar. Uit het onderzoek bleek verder dat meer dan tachtig procent van de kwetsbare applicaties met Log4j open source is en meer dan de helft van de kwetsbare applicaties het stempel "end-of-support" heeft. Voor deze applicaties zullen dan ook waarschijnlijk geen beveiligingsupdates meer verschijnen. Het installeren van beveiligingsupdates of andere mitigaties duurde gemiddeld zeventien dagen. Systemen die vanaf afstand kon worden aangevallen werden daarbij sneller gepatcht (twaalf dagen) dan interne systemen. Log4Shell werd in meer dan 2800 webapplicaties aangetroffen. "Aangezien webapplicaties publiek toegankelijk zijn, was dit de voor veel bedrijven de eerste verdedigingslinie om vroege aanvallen af te slaan", zegt Mehul Revankar van Qualys. bron: https://www.security.nl

Microsoft waarschuwt organisaties en gebruikers voor het naderende einde van de support van Internet Explorer 11. Vanaf 15 juni zal de IE11-desktopapplicatie niet meer op verschillende Windows 10-versies worden ondersteund. Wanneer gebruikers Internet Explorer toch starten zal Microsoft Edge worden geladen. Volgens Microsoft is er een groeiend aantal websites dat Internet Explorer niet meer ondersteunt. Daarnaast zou Edge een snellere, modernere en veiligere "browsing-ervaring" bieden. Edge kan wanneer nodig ook oude legacy IE-sites openen. Na het uitfaseren van Internet Explorer 11 op 15 juni zal Microsoft de browser niet meer ondersteunen. Een toekomstige Windows 10-update zal IE11 uitschakelen en wanneer gebruikers de browser willen starten hen automatisch doorsturen naar Edge. Microsoft roept gebruikers en organisaties op om zich op het "pensioen" van IE11 voor te bereiden. Daarbij laat het techbedrijf weten dat de IE-mode binnen Edge in ieder geval tot en met 2029 zal worden ondersteund. Op Windows 7, Windows 8,1, Windows 10 LTSC en Windows 10 Server blijft Microsoft IE11 wel ondersteunen. bron: https://www.security.nl

Google heeft details gegeven over criminelen die toegang voor ransomwaregroepen regelen en hiervoor onder andere een zerodaylek in Internet Explorer gebruikten. Initial access brokers, zoals dergelijke partijen worden genoemd, spelen volgens Google een belangrijke rol bij het faciliteren van cybercrime. De broker regelt toegang tot systemen van organisaties, waarna deze toegang aan onder andere ransomwaregroepen wordt verkocht. De broker in kwestie, door Google Exotic Lily genoemd, zou meer van vijfduizend e-mails per dag naar 650 organisaties wereldwijd versturen. In eerste instantie ging het om partijen in de gezondheidszorg, it en cybersecurity, maar volgens Google valt de broker nu meer organisaties en industrieën aan. Voor de aanvallen maakt de broker gebruik van domeinen die op die van de aangevallen organisatie lijken. Vervolgens stuurt de broker een e-mail die van een medewerker van de betreffende organisatie afkomstig lijkt en linkt naar een document. In werkelijkheid gaat het om malware. Vorig jaar september ontdekten onderzoekers dat Exotic Lily hierbij een zerodaylek in Internet Explorer gebruikte. De kwetsbaarheid (CVE-2021-40444) bevond zich in MSHTML, de door Microsoft ontwikkelde browser-engine van Internet Explorer. MSHTML wordt ook door Office-applicaties gebruikt voor het weergeven van webcontent in documenten. Bij de aanvallen stuurden de aanvallers hun doelwit een Microsoft Office-bestand. Wanneer de gebruiker dit document opende werd er een kwaadaardig ActiveX-control geladen dat het systeem uiteindelijk met malware infecteerde. Na het versturen van documenten die het IE-lek gebruikten, en waarvoor Microsoft in september met een update kwam, besloot de broker over te stappen op het linken naar ISO-bestanden. Op basis van de communicatie van de broker blijkt die volgens Google standaard kantoortijden van negen tot vijf aan te houden, met weinig activiteit in het weekend. Op basis van de werkuren vermoedt Google dat de broker vanuit Centraal of Oost-Europa opereert. Naast informatie over de werkwijze heeft het techbedrijf ook indicators of compromise gegeven, zoals domeinen, ip-adressen en hashes van bestanden die de broker gebruikt. bron: https://www.security.nl

Microsoft heeft een tool ontwikkeld waarmee het mogelijk is om MikroTik-routers op malware te scannen. Het gaat dan specifiek om de Trickbot-malware die onder andere een hoofdrol bij een aantal grote ransomware-incidenten speelde. Trickbot kan allerlei data en inloggegevens van besmette systemen stelen, maar wordt ook vaak gebruikt voor het installeren van andere malware. Net als allerlei andere malware maakt Trickbot gebruik van command & control (C2)-servers voor het aansturen van besmette machines. Om detectie van de malware en C2-servers te voorkomen zet Trickbot besmette MikroTik-routers in als proxy. Zodoende loopt het verkeer via een ander ip-adres, wat detectie kan bemoeilijken. Microsoft zegt dat het onlangs ontdekte hoe MikroTik-apparaten binnen de C2-infrastructuur van Trickbot worden gebruikt. Deze informatie werd vervolgens gebruikt voor het ontwikkelen van een scantool waarmee Trickbot-infecties op MikroTik-routers zijn te detecteren. Voor het compromitteren van MikroTik-routers maken de aanvallers gebruik van drie methodes, namelijk standaard MikroTik-wachtwoorden, bruteforce-aanvallen, waarbij ook unieke wachtwoorden werden gebruikt die waarschijnlijk van andere MikroTik-routers afkomstig zijn en als laatste een vier jaar oude kwetsbaarheid. Via dit beveiligingslek, aangeduid als CVE-2018-14847, kan een aanvaller willekeurige bestanden op de router uitlezen, waaronder het bestand dat de wachtwoorden bevat. Naast het ontwikkelen van een scantool voor het vinden van Trickbot-malware geeft Microsoft ook advies voor het verwijderen van een besmetting wanneer die wordt aangetroffen, alsmede maatregelen om toekomstige aanvallen te voorkomen. Zo moeten gebruikers het standaardwachtwoord door een sterk wachtwoord vervangen, toegang tot poort 8291 vanaf het internet blokkeren, het standaard poortnummer van SSH wijzigen, de laatste firmware installeren en een VPN voor remote beheer en toegang gebruiken. bron: https://www.security.nl

Naar aanleiding van een onderzoek dat in opdracht van de Nederlandse overheid en onderwijsorganisatie SURF werd uitgevoerd naar privacyrisico’s bij het gebruik van Zoom heeft de videobelsoftware alle hoge risico's verholpen, maar zes lage risico's zijn echter nog steeds aanwezig. Universiteiten en overheidsorganisaties kunnen deze risico's grotendeels zelf oplossen. Dat meldt de Haagse Privacy Company dat het onderzoek naar Zoom uitvoerde. Het onderzoek leverde negen hoge en drie lage privacyrisico's op voor de mensen die Zoom gebruiken. Zo zag Zoom zichzelf niet als verwerker voor de persoonsgegevens van de education en enterprise klanten, miste er transparantie welke persoonsgegevens Zoom verwerkte, konden gebruikers hun rechten onvoldoende uitoefenen, verzamelde Zoom teveel gegevens en werden gegevens te lang door Zoom bewaard. De onderzoekersresultaten en daarop volgende gesprekken tussen Zoom, SURF en de Privacy Company hebben ertoe geleid dat Zoom een groot aantal maatregelen heeft getroffen en toegezegd. De afspraken zijn vastgelegd in een nieuw contract, een nieuwe uitgebreide verwerkersovereenkomst en een ondertekend actieplan met tijdlijnen voor de afgesproken maatregelen. Zo treedt Zoom nu feitelijk en formeel op als verwerker voor alle persoonsgegevens, gelden de privacy-afspraken ook voor gastgebruikers die deelnemen aan een vergadering die door een universiteit is georganiseerd, zegt Zoom alle persoonsgegevens eind dit jaar exclusief in Europese datacentra te zullen verwerken, heeft Zoom informatie gepubliceerd over de soorten persoonsgegevens die ze verwerkt, zijn veel bewaartermijnen aanzienlijk ingekort en gaat Zoom inzageportalen bouwen. Lage privacyrisico's De hoge privacyrisico's zijn door Zoom verholpen, maar zes lage risico's zijn nog altijd aanwezig. Het gaat om toegang tot inhoudelijke gegevens door de Amerikaanse autoriteiten, doorgifte van agnostische, support en websitegegevens naar de VS, doorgifte van pseudonieme gegevens naar het Trust & Safety Team in de VS, gebrek aan transparantie over de account en diagnostische gegevens, hindernissen bij het uitoefenen van het inzagerecht en het personeelsvolgsysteem. Universiteiten en instellingen kunnen deze risico’s grotendeels zelf oplossen, aldus de Privacy Company. "Als Zoom en de Nederlandse universiteiten en overheidsorganisaties alle overeengekomen en aanbevolen maatregelen toepassen, zijn er geen bekende grote risico's meer voor de individuele gebruikers van de videobeldiensten van Zoom", zo concludeert het onderzoeksbedrijf. Privacy Company waarschuwt aanvullend voor het onderzoek dat Europese privacytoezichthouders naar het gebruik van clouddiensten uitvoeren. "Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Zoom alle gegevens in principe in Europese datacentra verwerkt, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Zoom diensten." bron: https://www.security.nl

De geavanceerde Cyclops Blink-malware waar de Amerikaanse en Britse autoriteiten eind februari voor waarschuwden infecteert ook Asus-routers, zo meldt antivirusbedrijf Trend Micro. Asus heeft inmiddels een onderzoek ingesteld en zegt met een software-update te zullen komen. Volgens de FBI, NSA, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC) is de malware ontwikkeld door een groep genaamd Sandworm, die aan de Russische geheime dienst GRU gelieerd zou zijn. In eerste instantie werd gemeld dat alleen firewalls van fabrikant WatchGuard het doelwit waren. De malware zou op een zeer geraffineerde manier, door gebruik te maken van een zwakte in het firmware-updateproces van WatchGuard, apparaten permanent weten te infecteren. Het exacte doel van Cyclops Blink is onbekend. Nu blijkt echter dat ook Asus-routers onderdeel van het Cyclops Blink-botnet worden gemaakt. Net als bij de WatchGuard-firewalls kan de malware ook de firmware van Asus-routers overschrijven en zo fabrieksresets overleven. Volgens Trend Micro hebben de aanvallers het voorzien op apparaten die niet van vitale organisaties zijn of een duidelijk spionagedoel hebben. De onderzoekers denken dan ook dat het botnet mogelijk is bedoeld als infrastructuur voor het uitvoeren van verdere aanvallen tegen waardevolle doelwitten. Naast Asus en WatchGuard is er ook bewijs dat routers van een andere fabrikant verbinding met het Cyclops Blink-botnet maken, maar voor dit specifieke routermerk is er nog geen malware gevonden. Hoe de Asus-routers precies besmet kunnen raken is, net als bij de WatchGuard-firewalls, onbekend. Asus laat weten dat het een onderzoek is gestart en aan een oplossing werkt. Hoewel de malware een fabrieksreset kan overleven adviseert Asus uit voorzorg toch het uitvoeren van een fabrieksreset. Tevens wordt aangeraden de laatste firmware te installeren en een sterk beheerderswachtwoord te kiezen. Verder moet Remote Management worden uitgeschakeld. De optie staat standaard echter uit. bron: https://www.security.nl

Google slaat in de versie 4 van statistiekenprogramma Analytics geen ip-adressen van internetgebruikers meer op. Daarnaast zal het oudere versies van de software volgend jaar uitfaseren. Volgens het techbedrijf is dit nodig vanwege het huidige "dataprivacylandschap", waar gebruikers meer privacy en controle over hun data verwachten. Onlangs oordeelde de Franse privacytoezichthouder dat het gebruik van Google Analytics in strijd met de Europese privacywetgeving GDPR is. Een Franse website die van Googles statistiekenprogramma gebruikmaakt kreeg één maand de tijd om een alternatieve oplossing te zoeken. Eerder had ook de Oostenrijkse privacytoezichthouder geoordeeld dat een Oostenrijkse website die Analytics gebruikte in overtreding van de GDPR was. Volgens de toezichthouder wordt erbij het gebruik van Google Analytics persoonlijke data naar Google in de Verenigde Staten verstuurd, waaronder user identifiers, ip-adressen en browserparameters. In Google Analytics versie 4 worden voortaan geen ip-adressen meer opgeslagen, zo laat Google weten. Daarnaast is het statistiekenprogramma niet alleen afhankelijk van cookies. Websites kunnen per land de privacyinstellingen instellen en zo het verzamelen van gebruikersgegevens, zoals cookies en metadata, beperken. Google biedt verschillende versies van Analytics. Websites zullen echter naar Google Analytics 4 moeten overstappen om statistieken te blijven ontvangen. Volgend jaar juli stopt Google namelijk met Universal Analytics, terwijl op 1 oktober 2023 de stekker uit Universal Analytics 360 wordt getrokken. Websites worden dan ook opgeroepen om naar de nieuwe versie van Analytics te upgraden. bron: https://www.security.nl

Softwarebedrijf SolarWinds heeft klanten gewaarschuwd voor een aanval op Web Help Desk en adviseert om de oplossing tijdelijk niet vanaf het internet toegankelijk te maken. Web Help Desk (WHD) is een ticketingsysteem waarmee organisaties hun gebruikers en klanten tickets kunnen laten insturen. Vervolgens kan de organisatie de ingezonden tickets aan medewerkers toekennen. De WHD-installatie van een klant van SolarWinds werd onlangs doelwit van een aanval. De aanval werd door het endpoint detection and response (EDR) systeem van deze klant opgemerkt, waarna de klant SolarWinds waarschuwde. Het softwarebedrijf is een onderzoek naar de aanval gestart en is er nog niet in geslaagd om de aanval te reproduceren. Het onderzoek loopt echter nog. Uit voorzorg adviseert SolarWinds alle klanten waarvan de WHD-implementatie toegankelijk is vanaf het internet om die offline te halen totdat er meer bekend is. Wanneer het niet mogelijk is om de oplossing uit de publieke infrastructuur te verwijderen wordt aangeraden om van EDR-software gebruik te maken en de WHD-installatie te monitoren. Software van SolarWinds was het afgelopen jaar geregeld het doelwit van aanvallen. Het ging onder andere om Serv-U en het Orion-platform. bron: https://www.security.nl

De ontwikkelaars van OpenSSL hebben nieuwe versies uitgebracht waarmee een kwetsbaarheid wordt verholpen die het mogelijk maakt om denial of service (dos)-aanvallen tegen onder andere TLS-servers en -clients uit te voeren. Het beveiligingslek, aangeduid als CVE-2022-0778, bevindt zich in een functie die bij het verwerken van certificaten wordt gebruikt en kan voor een oneindige loop zorgen. Het probleem doet zich in verschillende scenario's voor, zoals TLS-clients die servercertificaten verwerken, TLS-servers die clientcertificaten verwerken, hostingproviders die certificaten of private keys van klanten accepteren, certificaatautoriteiten die certificatieverzoeken van klanten verwerken, alsmede alle andere situaties waarbij OpenSSL wordt gebruikt voor het verwerken van ASN.1 elliptic curve parameters. "Aangezien het verwerken van het certificaat plaatsvindt voor de verificatie van de certificaathandtekening, kan elk proces dat extern aangeleverde certificaten verwerkt aan een denial of service-aanval worden blootgesteld", aldus de ontwikkelaars. De 'infinite loop' kan zich ook voordoen bij het verwerken van speciaal geprepareerde private keys, aangezien die ook specifieke elliptic curve parameters kunnen bevatten. De kwetsbaarheid is aanwezig in OpenSSL-versies 1.0.2, 1.1.1 en 3.0 en verholpen in versies 1.1.1n en 3.0.2. De impact van het beveiligingslek, dat door de bekende Google-onderzoeker Tavis Ormandy werd gevonden en gerapporteerd, is beoordeeld als "high". Dit het één na hoogste niveau wat OpenSSL aanhoudt. Voor beveiligingslekken die als high en critical zijn beoordeeld brengt het OpenSSL-team een nieuwe versie uit. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Aanvallers hebben vorig jaar een NGO door middel van een zwak wachtwoord, een kwetsbaarheid in Cisco’s Duo multifactorauthenticatie (MFA)-protocol en het PrintNightmare-lek in Windows weten te compromitteren, zo claimt de FBI. De aanvallers wisten via een bruteforce-aanval toegang tot een account met een eenvoudig, voorspelbaar wachtwoord te krijgen. De aangevallen organisatie maakte gebruik van een oplossing van MFA-leverancier Duo voor het beveiligen van accounts. Het gecompromitteerde account was echter vanwege een lange periode van inactiviteit afgemeld bij Duo, maar niet uitgeschakeld in de Active Directory van de NGO. De standaardconfiguratie van Duo maakt het mogelijk om een nieuw apparaat voor een inactief account aan te melden. Zo konden de aanvallers hun eigen apparaat aan het gecompromitteerde account toevoegen, aan de authenticatievereisten voldoen en zo toegang tot het NGO-netwerk krijgen. Vervolgens maakten de aanvallers gebruik van het PrintNightmare-lek in Windows om hun rechten te verhogen en beheerder te worden. Ook wijzigden de aanvallers het domeincontrollerbestand, waardoor Duo MFA calls niet naar de Duo-server gingen, maar naar localhost. Hierdoor kan de MFA-service de server niet benaderen om de MFA-login te valideren, wat in principe multifactorauthenticatie voor actieve domeinaccounts uitschakelde. "Omdat het standaardbeleid van Duo voor Windows "Fail open" is wanneer de MFA-server niet kan worden bereikt. "Fail open" kan bij elke MFA-implementatie voorkomen", aldus de FBI. Na het effectief uitschakelen van MFA wisten de aanvallers op de VPN van de organisatie in te loggen en RDP-verbindingen naar domeincontrollers op te zetten. Vervolgens werden inloggegevens van andere domeinaccounts gestolen en de MFA-configuratie aangepast, zodat er voor deze nieuw gecompromitteerde accounts geen MFA meer was vereist. De aanvallers maakten hierbij voornamelijk gebruik van interne Windows-tools. Uiteindelijk wisten de aanvallers zich lateraal door het netwerk te bewegen en toegang te krijgen tot de cloudopslag en e-mailaccounts van de NGO. Volgens de FBI was de aanval het werk van door de Russische staat gesponsorde aanvallers. Mitigaties De FBI adviseert organisaties om verschillende maatregelen te nemen om dergelijke aanvallen te voorkomen. Zo moet MFA voor alle gebruikers zonder uitzondering worden ingesteld. Voor de implementatie moet echter het configuratiebeleid worden gecontroleerd om "Fail open" en het opnieuw aanmelden van apparaten te voorkomen. Verder wordt organisaties geadviseerd om een time-out en lock-out voor herhaaldelijk mislukte inlogpogingen in te stellen en ervoor te zorgen dat inactieve accounts overal zijn uitgeschakeld, zowel in de Active Directory, MFA-oplossing als andere systemen. bron: https://www.security.nl

Google waarschuwt gebruikers van Chrome voor een kritieke kwetsbaarheid waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. De kwetsbaarheid, aangeduid als CVE-2022-0971, werd door een onderzoeker van Google zelf gevonden. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome, hoewel de teller dit jaar inmiddels op drie staat. Twee daarvan werden gevonden door Google-onderzoeker Sergei Glazunov. CVE-2022-0971 bevindt zich in de Blink-browserengine die Chrome gebruikt voor het weergeven van webcontent. Door de kwetsbaarheid kan een "use after free" ontstaan en is het mogelijk voor een aanvaller om code met de rechten van de ingelogde gebruiker uit te voeren. Het beveiligingslek werd op 21 februari door Glazunov aan Google gerapporteerd. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 99.0.4844.74 tien andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Meta heeft voor twaalf persoonlijke datalekken die in 2018 plaatsvonden van de Ierse privacytoezichthouder DPC een boete van 17 miljoen euro opgelegd gekregen. Tussen 7 juni en 4 december 2018 meldde Facebook in totaal twaalf keer een datalek bij de DPC. Daarop startte de Ierse privacytoezichthouder een onderzoek. De DPC ontdekte dat Facebook onvoldoende technische en organisatorische maatregelen had getroffen waarmee het de beveiligingsmaatregelen kon aantonen die het in de praktijk had genomen om data van Europese gebruikers, in het geval van de twaalf persoonlijke datalekken, te beschermen. Daarmee heeft het bedrijf de GDPR overtreden. Bij het bepalen van de strafmaat heeft de DPC met alle andere Europese privacytoezichthouders overlegd, wat uiteindelijk tot consensus over het bedrag van 17 miljoen euro leidde. Een woordvoerder van Meta laat tegenover persbureau Reuters weten dat het bedrijf de uitspraak zal bestuderen en de processen continu in ontwikkeling zijn. "De boete betreft administratieve werkwijzes van 2018 die we sindsdien hebben aangepast, niet een falen in het beschermen van de informatie van personen." Meta had vorig jaar een omzet van 118 miljard dollar. bron: https://www.security.nl

Googles online virusscandienst VirusTotal heeft de eigen browserextensie van een grote update voorzien waardoor die nu ook automatisch Indicators of Compromise (IoC), zoals hashes, domeinen, ip-adressen en url's, op websites kan identificeren. Via VirusTotal is het mogelijk om bestanden door zo'n zeventig verschillende virusscanners te laten controleren. De browserextensie van VirusTotal was oorspronkelijk bedoeld om dit proces te vereenvoudigen. VirusTotal biedt echter ook allerlei "threat intelligence", zoals informatie over ip-adressen, hashes en domeinen. De nieuwste versie van de browserextensie kan dergelijke IoC's nu automatisch herkennen, wat analyse eenvoudiger moet maken. "SOC-analisten en andere cybersecurity-responders kunnen nu eenvoudig threat reputation en context binnen hun SIEM, casemanagementsysteem en andere tools benaderen, zelfs wanneer er geen ingebouwde integratie voor VirusTotal aanwezig is. Dit zorgt voor een sneller, nauwkeuriger en zelfverzekerder incident response", zegt Emiliano Martinez van VirusTotal. De browserextensie is beschikbaar voor Mozilla Firefox en Google Chrome. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Citrix ShareFile waarvoor afgelopen september een beveiligingsupdate verscheen. Dat meldt securitybedrijf CrowdStrike op basis van eigen bevindingen. Citrix ShareFile is een oplossing voor het synchroniseren en delen van bestanden. Vorig jaar werd er een path traversal-kwetsbaarheid in de oplossing ontdekt waardoor een ongeauthenticeerde gebruiker een bestand op een aangevallen server kan overschrijven en zo op afstand code kan uitvoeren. De impact van het beveiligingslek, aangeduid als CVE-2021-22941, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens CrowdStrike maakt een groep criminelen genaamd "Prophet Spider" misbruik van de kwetsbaarheid in Citrix ShareFile om Microsoft Internet Information Services (IIS) webservers te compromitteren. Via het lek werd een webshell geïnstalleerd waarmee verdere aanvallen zijn uit te voeren. Het uiteindelijke doel van de waargenomen aanval is onbekend. De groep in kwestie zou het in verleden toegang tot systemen hebben verkocht, die vervolgens met ransomware werden besmet. De Amerikaanse overheid houdt een lijst van actief aangevallen kwetsbaarheden bij die inmiddels bijna vijfhonderd beveiligingslekken telt, maar het lek in Citrix ShareFile ontbreekt hierop. bron: https://www.security.nl

De Duitse overheid heeft een waarschuwing voor antivirussoftware van Kaspersky gegeven en adviseert organisaties om alternatieve producten te zoeken. Antivirussoftware zit vaak diep genesteld in het besturingssysteem en draait daarbij ook nog eens permanent in de achtergrond. Vanwege deze rol is vertrouwen in antivirusbedrijven cruciaal. "Als er twijfels over de betrouwbaarheid van de leverancier zijn, vormt antivirussoftware een bijzonder risico voor de it-infrastructuur die moet worden beschermd", zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Het BSI vreest daarbij dat het militaire conflict in Oekraïne kan leiden tot cyberaanvallen op Duitsland. "Een Russische it-leverancier kan zelf offensieve operaties uitvoeren, worden gedwongen om tegen de eigen wil systemen aan te vallen, zonder dat het hiervan weet worden bespioneerd als slachtoffer van een cyberoperatie of worden misbruikt als middel voor aanvallen tegen de eigen klanten", zo laat de Duitse overheidsinstantie weten. Het BSI merkt op dat alle gebruikers van antivirussoftware door dergelijke operaties kunnen worden getroffen en dat met name vitale infrastructuur risico loopt. Het BSI adviseert daarom om producten van Kasperksy door alternatieve oplossingen te vervangen. Dit moet wel goed worden voorbereid, aangezien een overstap zonder voorbereiding ertoe kan leiden dat systemen kwetsbaar zijn voor aanvallen. "Het overstappen naar andere producten kan gepaard gaan met tijdelijk verlies van gemak, functionaliteit en veiligheid." Organisaties dienen dan ook eerst een assessment uit te voeren en waar nodig contact met gecertificeerde leveranciers op te nemen. Update Kaspersky laat weten dat het besluit van het BSI niet is gebaseerd op een technische beoordeling, maar op politieke gronden.

NAS-systemen van QNAP zijn kwetsbaar voor de Dirty Pipe-kwetsbaarheid, die het mogelijk maakt voor een ongeprivilegieerde gebruiker om beheerder te worden, zo waarschuwt de fabrikant die snel met beveiligingsupdates zegt te zullen komen. Dirty Pipe is een beveiligingslek in de Linux-kernel waardoor een gebruiker of aanvaller met toegang tot het systeem root kan worden. De NAS-besturingssystemen van QNAP, QTS en QuTS Hero, maken gebruik van de Linux-kernel en hebben zodoende ook met Dirty Pipe te maken. In het geval van QTS en QuTS zorgt de kwetsbaarheid ervoor dat een ongeprivilegieerde gebruiker beheerdersrechten kan krijgen en kwaadaardige code kan injecteren. Het probleem speelt bij QTS 5.0.x en QuTS Hero h5.0.x. Versie 4.x van QTS is niet kwetsbaar. QNAP is naar eigen zeggen bezig met onderzoek naar de kwetsbaarheid en zal zo snel mogelijk met beveiligingsupdates en meer informatie komen. Op dit moment is er geen mitigatie voor het beveiligingslek beschikbaar. Gebruikers wordt aangeraden om de update, zodra die beschikbaar komt, meteen te installeren. bron: https://www.security.nl

Mozilla heeft de eigen Firefox Relay-dienst ook als extensie voor Google Chrome beschikbaar gemaakt. Daarnaast is het nu mogelijk om via de dienst e-mailbijlagen tot tien megabyte door te sturen. Via Firefox Relay kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. Gebruikers maken via Firefox Relay een alias aan. E-mails worden via de aangemaakte alias, eindigend op het domein mozmail.com, naar het echte e-mailadres van de gebruiker doorgestuurd. Zodoende komt het echte e-mailadres nooit in handen van de betreffende website. De gratis versie van Firefox Relay biedt gebruikers vijf aliassen. Die kunnen zowel via de webinterface als een extensie worden aangemaakt. Per alias kan worden ingesteld of e-mails naar het echte e-mailadres van de gebruiker moeten worden doorgestuurd of dat Mozilla ze moet blokkeren. Naast de introductie van een Chrome-extensie en de mogelijkheid om grote e-mailbijlagen door te sturen kunnen betalende gebruikers er nu voor kiezen om aanbiedingen van een website deels of volledig te blokkeren. Hoeveel mensen gebruik van Firefox Relay maken is onbekend, maar de Firefox-extensie van de doorstuurdienst telt bijna 122.000 gebruikers. bron: https://www.security.nl

Het verdwijnen van Adobe Flash Player en het toegenomen marktaandeel van op Chromium-gebaseerde browsers hebben ervoor gezorgd dat Google Chrome vaker doelwit van zeroday-aanvallen is, zo stelt Google. Vorig jaar kreeg de browser van het techbedrijf met een recordaantal zerodaylekken te maken. Volgens Google zijn er verschillende redenen om deze toename te verklaren. Zo worden onderzoekers steeds beter in het vinden van zeroday-aanvallen, waardoor het mogelijk wordt om de gebruikte kwetsbaarheden te verhelpen. Een andere reden is dat er meer kwetsbaarheden vereist zijn voor een succesvolle aanval. Hadden deze aanvallen in het verleden genoeg aan één kwetsbaarheid, nu zijn er door toegevoegde beveiligingsmaatregelen minstens twee lekken nodig. Als het gaat om specifieke aanvallen tegen Chrome ziet Google twee redenen. De eerste is het verdwijnen van Adobe Flash Player, dat in 2015 en 2016 nog vaak voor zeroday-aanvallen werd gebruikt. "Nu Flash niet langer beschikbaar is, zijn aanvallers op een lastiger doelwit overgestapt, namelijk de browser zelf", zegt Adrian Taylor van het Chrome Security Team. De tweede reden is de dominantie van Chromium, de door Google ontwikkelde opensourcebrowser die de basis voor Google Chrome vormt. Ook andere partijen kunnen Chromium als basis voor hun browser gebruiken. Opera, Microsoft Edge Chromium en Vivaldi zijn enkele voorbeelden. "Wanneer aanvallers een bug in Chromium vinden kunnen ze nu een groter percentage gebruikers aanvallen", aldus Taylor. Een andere reden voor de aanvallen is volgens Taylor dat software nu eenmaal bugs bevat, waarvan een deel te misbruiken is. "Browsers zijn steeds vaker net zo complex als besturingssystemen, en bieden toegang tot je apparaten, bestandssysteem, 3d-rendering en gpu's, en meer complexiteit betekent meer bugs." bron: https://www.security.nl