Captain Kirk

Beveiligingsonderzoeker John Page heeft een kwetsbaarheid in verschillende populaire ransomware-exemplaren ontdekt waardoor het mogelijk is om de malware voordat het versleutelen van bestanden begint uit te schakelen. Dat meldt de onderzoeker op Twitter en laat hij in verschillende YouTube-video's zien. Het beveiligingslek in kwestie betreft dll-hijacking. De ransomware-exemplaren zoeken in de huidige directory waar ze worden uitgevoerd naar dll-bestanden en voeren die uit. Door een speciaal geprepareerd dll-bestand in deze directory te plaatsen is het mogelijk om de ransomware uit te schakelen voordat die met het versleutelen van bestanden begint aldus de onderzoeker. "Antivirussoftware is voor het uitvoeren van de malware uit te schakelen, maar niet deze methode, aangezien er niets uit te schakelen is, Het dll-bestand staat gewoon op de harde schijf. Vanuit verdedigingsperspectief kun je, als onderdeel van een meerlaagse beveiligingsaanpak, het dll-bestand toevoegen aan een specifieke netwerkmap die belangrijke data bevat", merkt Page op. De onderzoeker maakte een proof-of-concept exploit om het beveiligingslek te demonstreren, maar merkt op dat het gebruik op eigen risico is. De kwetsbaarheid is onder andere aanwezig in de ransomware-exemplaren AvosLocker, REvil, LockBit en Conti. bron: https://www.security.nl

Onderzoekers hebben naar eigen zeggen een spionagegroep ontdekt die allerlei netwerkapparaten zoals ip-camera's, loadbalancers, SAN-arrays en wireless access point controllers van backdoors voorziet om zo vertrouwelijke e-mails bij organisaties te stelen. De groep, die door securitybedrijf Mandiant UNC3524 wordt genoemd, heeft het voorzien op personeel dat zich bezighoudt met fusies en overnames, grote zakelijke transacties en bedrijfsontwikkeling. Hoe de aanvallers precies toegang tot de omgeving van hun slachtoffers krijgen is onbekend. Zodra de initiële toegang is verkregen infecteren ze netwerkapparaten zoals SAN-arrays, loadbalancers en wireless access point controllers met een backdoor. Volgens de onderzoekers kiest de groep bewust voor deze apparaten omdat hier geen beveiligingssoftware op draait, waardoor ze langer onopgemerkt in het netwerk van organisaties kunnen verblijven. Deze besmette netwerkapparaten maken verbinding met een botnet dat weer uit besmette ip-camera's bestaat. Naast het infecteren van netwerkapparaten met een backdoor proberen de aanvallers zich lateraal door het netwerk te bewegen, waarbij het doel is om geprivilegieerde inloggegevens voor de e-mailomgeving te verkrijgen. Met de inloggegevens versturen ze Exchange Web Services (EWS) API-requests naar de lokale Microsoft Exchange- of Microsoft 365 Exchange Online-omgeving, waarbij specifieke mailboxes het doelwit zijn. Naast directieleden en personeel dat zich bezighoudt met fusies en overnames, grote zakelijke transacties en bedrijfsontwikkeling, vermoedt Mandiant dat ook het it-securityteam van aangevallen organisaties het doelwit van de aanvallers is, die zo kijken of ze al zijn ontdekt. Besmette camera's De command & control-systemen voor het aansturen van besmette apparaten bij organisaties waren met name legacy cameravergaderingssystemen van fabrikant LifeSize. Eén keer werd ook een gecompromitteerde D-Link ip-camera aangetroffen. De camerasystemen bleken ook met een backdoor te zijn besmet. De onderzoekers merken op dat de camerasystemen direct toegankelijk vanaf het internet waren, mogelijk door een verkeerde UPnP-configuratie. Vermoedelijk wisten de aanvallers via standaard inloggegevens toegang tot de camera's te krijgen. "Net als het gebruik van embedded netwerkapparaten kan UNC3524 detectie voorkomen door direct vanaf gecompromitteerde infrastructuur te opereren die direct met internet is verbonden, zoals ip-camera's waar traditionele antivirus- en beveiligingssoftware mogelijk niet aanwezig is", aldus onderzoeker Doug Bienstock. Organisaties wordt aangeraden om netwerkapparaten die geen monitoringstools ondersteunen te inventariseren en hier logging voor in te schakelen en de logs door te laten sturen naar een centrale locatie. Wie erachter de spionagegroep zit is onbekend. bron: https://www.security.nl

Microsoft heeft een versie van de eigen Defender-antivirussoftware voor mkb-bedrijven gelanceerd. Defender for Business is bedoeld voor bedrijven tot driehonderd medewerkers. De software kan naast Windows-systemen ook Android- en iOS-apparaten en MacOS-systemen monitoren. Later dit jaar zal de beveiligingssoftware ook ondersteuning krijgen voor het monitoren van Linux- en Windows-servers. Dit moet het mogelijk maken voor organisaties om clients en servers vanuit één omgeving te beheren. Volgens Microsoft zijn mkb-bedrijven kwetsbaar voor aanvallen omdat ze over minder middelen beschikken en geen gespecialiseerd securitypersoneel in dienst hebben. bron: https://www.security.nl

Direct messages die via Twitter worden verstuurd zouden end-to-end versleuteld moeten zijn, zo stelt Elon Musk, de nieuwe eigenaar van de microbloggingdienst. Op dit moment past Twitter geen end-to-end encryptie toe voor de privéberichten van gebruikers, waardoor derden die zouden kunnen lezen. Op Twitter stelt Musk dat direct messages end-to-end encryptie zoals Signal zouden moeten hebben. "Zodat niemand je berichten kan bespioneren of hacken." Recentelijk stelde de Amerikaanse burgerrechtenbeweging EFF dat Twitter de privéberichten die gebruikers onderling versturen end-to-end zou moeten versleutelen. "Het versleutelen van privéberichten zou veel doen voor het verbeteren van de veiligheid van gebruikers, en kan de redelijke angst wegnemen dat wie bij Twitter werkt, in de raad van bestuur zit of aandelen bezit, de berichten van gebruikers kan bespioneren", aldus de EFF. "Wanneer gebruikers meer controle hebben, maakt het minder uit wie eraan het hoofd staat, en dat is goed voor iedereen." bron: https://www.security.nl

Microsoft heeft een vroege testversie van de Edge-browser voorzien van een vpn-achtige oplossing, maar de functionaliteit van de dienst is vooralsnog beperkt. Met het Microsoft Edge Secure Network wordt er een versleutelde tunnel naar servers van internetbedrijf Cloudflare opgezet. Volgens Microsoft helpt dit bij het tegengaan van online tracking. "Door je webverkeer direct vanuit Microsoft Edge te versleutelen, voorkomen we dat je internetprovider browsingdata zoals bezochte websites kan verzamelen", aldus het techbedrijf. De dienst is alleen beschikbaar voor gebruikers die op de browser zijn ingelogd met hun Microsoft Account. Daarnaast biedt de dienst volgens een supportdocument maximaal één gigabyte aan dataverkeer per maand. De vpn-achtige dienst wordt in samenwerking met Cloudflare aangeboden. Volgens Microsoft verzamelt Cloudflare een beperkte hoeveelheid diagnostische gegevens en supportdata. Deze gegevens worden elke 25 uur verwijderd. Bleeping Computer testte Edge Secure Network, dat voor een selecte groep gebruikers van Edge Canary beschikbaar is. Vooralsnog is de conclusie dat het om een beperkte dienst gaat. Zo kunnen gebruikers niet hun locatie kiezen, waardoor het niet mogelijk is om bijvoorbeeld content van streamingdiensten te bekijken die niet in het land van de gebruiker toegankelijk is. Verder biedt de dienst op dit moment één gigabyte aan dataverkeer. Of en wanneer Edge Secure Network in de standaardversie van de browser wordt gelanceerd is op dit moment onbekend. bron: https://www.security.nl

Er wordt op dit moment op grote schaal misbruik gemaakt van een kritieke kwetsbaarheid in VMware Workspace One Access, zo claimt securitybedrijf Rapid7. Via het beveiligingslek, aangeduid als CVE-2022-22954, kan een ongeauthenticeerde aanvaller die toegang tot de webinterface heeft door middel van server-side template injection willekeurige code op het systeem uitvoeren. Voor de kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, bracht VMware op 6 april een beveiligingsupdate uit. Bij de waargenomen aanvallen installeren aanvallers backdoors en coinminers op systemen. Op 13 april meldde VMware dat aanvallers actief misbruik van het lek maken. Inmiddels is er sprake van grootschalig misbruik, aldus Rapid7. Het bedrijf noemt geen cijfers over het aantal aanvallen. Wel zouden computers die onderdeel van een botnet zijn scans naar kwetsbare VMware-systemen uitvoeren. Organisaties worden dan ook opgeroepen om de kwetsbaarheid meteen te patchen en niet op de reguliere patchcyclus te wachten. Eerder stelde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat alle federale overheidsinstanties de VMware-update voor 5 mei moeten hebben geïnstalleerd. bron: https://www.security.nl

De groep aanvallers die zichzelf Lapsus$ noemt en de afgelopen maanden wist in te breken bij Microsoft, Nvidia, Okta en Samsung maakt vooral gebruik van gestolen authenticatiecookies om toegang tot accounts en systemen te krijgen, zo stelt securitybedrijf NCC Group in een analyse. Ook zet de groep geregeld social engineering in. "Er wordt aangenomen dat het gebruik van gestolen authenticatiecookies, waarmee de aanvaller toegang tot een specifieke applicatie krijgt, de voornaamste bron van initiële toegang is", zegt David Brown van NCC Group. "Deze cookies zijn vaak in de vorm van Single sign-on (SSO) applicaties waarmee de aanvaller toegang tot andere applicaties kan krijgen en uiteindelijk maatregelen zoals multifactorauthenticatie kan omzeilen." Hoe Lapsus$ de cookies weet te stelen laat het securitybedrijf niet weten. Eerder meldde Microsoft dat de groep ook gebruikmaakt van de Redline-malware voor het stelen van wachtwoorden en sessietokens. Daarnaast zouden de benodigde authenticatiecookies op internet worden aangeschaft. Tevens maakt de groep veelvuldig gebruik van social engineering. Bij één incident response onderzoek zag NCC Group hoe de aanvallers gecompromitteerde e-mailaccounts van medewerkers gebruikten en daarmee de helpdesk vroegen om inloggegevens of hulp bij het inloggen op de vpn van de onderneming in kwestie. Aanbevelingen NCC Group doet verschillende aanbevelingen om aanvallen door de groep te voorkomen. Zo wordt aangeraden om de tijd dat MFA-tokens en sessiecookies geldig zijn te verkorten, MFA voor zowel clouddiensten als remote access oplossingen in te schakelen en ervoor zorgen dat ook in cloudomgevingen voldoende logging plaatsvindt. Verder wordt geadviseerd om geen sms voor MFA te gebruiken en repositories te beveiligen. Lapsus$ wist bij slachtoffers gigabytes aan broncode buit te maken. Verder doen organisaties er verstandig aan om al het personeel over social engineering te trainen. bron: https://www.security.nl

Het Computer Emergency Reponse Team van de Japanse overheid (JPCERT) heeft een tool voor het detecteren van de Emotet-malware van een update voorzien, zodat voortaan ook 64-bit exemplaren worden gedetecteerd. De eerste versie van "EmoCheck", zoals de opensourcetool heet, verscheen in 2020 en was specifiek ontwikkeld voor het detecteren van Emotet. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Eerder deze maand lieten onderzoekers via Twitter weten dat nieuwe Emotet-exemplaren gebruikmaakten van 64-bit modules en loaders. Om ook deze varianten te detecteren heeft JPCERT EmoCheck van een update voorzien. De nieuwe versie is via GitHub te downloaden. bron: https://www.security.nl

Nog zo'n zes weken en dan stopt Microsoft op verschillende Windowsversies met de ondersteuning van Internet Explorer 11. Het techbedrijf roept organisaties op om niet te wachten tot 15 juni, de datum dat IE11 met "pensioen" gaat, maar om nu al in actie te komen en de browser eerder uit te faseren. "De beste manier om voorbereid te zijn op het uitschakelen van IE na 15 juni is om IE proactief binnen je organisatie voor 15 juni uit te faseren", zegt Microsofts Eric Van Aelstyn. In een artikel beschrijft Microsoft vier stappen die organisaties kunnen volgen om voor de aangekondigde deadline afscheid van de browser te nemen. Het gaat dan om het inschakelen van de IE-mode in Edge, waarmee interne IE-afhankelijke websites blijven werken, het plannen van een uitfaseringsdatum, het informeren van gebruikers en importeren van hun data en als laatste het organisatiebreed uitrollen van de "Disable IE policy". Vanaf 15 juni zal de IE11-desktopapplicatie niet meer op verschillende Windows 10-versies worden ondersteund. Wanneer gebruikers Internet Explorer toch starten zal Microsoft Edge worden geladen. Edge kan wanneer nodig via de IE-mode ook oude legacy IE-sites openen. bron: https://www.security.nl

NAS-fabrikant Synology waarschuwt voor kritieke kwetsbaarheden in de software die op NAS-systemen draait. Het gaat om beveiligingslekken in Netatalk, een vrije, opensource-implementatie van het Apple Filing Protocol (AFP). Via Netatalk kunnen Unix-achtige besturingssystemen als fileserver voor Macs fungeren. Eerder waarschuwde ook NAS-fabrikant QNAP voor de kwetsbaarheden in Netatalk. Synology maakt binnen de DiskStation Manager (DSM) en Synology Router Manager (SRM) die op NAS-systemen draait gebruik van Netatalk. Volgens het bedrijf kan een aanvaller via de beveiligingslekken gevoelige informatie stelen en mogelijk ook willekeurige code uitvoeren. Gebruikers van DSM 7.1 wordt aangeraden om te updaten naar DSM 7.1-42661-1 of nieuwer. Voor andere versies van DSM en SRM worden nog updates ontwikkeld. Eerder adviseerde QNAP om het Apple Filing Protocol op kwetsbare NAS-systemen tijdelijk uit te schakelen, maar dat advies wordt niet door Synology gegeven. QNAP heeft de problemen vooralsnog alleen in QTS 4.5.4.2012 build 20220419 en nieuwer verholpen. Voor andere versies van het QTS-besturingssystemen werkt QNAP nog aan patches. bron: https://www.security.nl

De helft van de WordPress-sites die aanvallers vorig jaar wisten over te nemen of met malware infecteerden was niet up-to-date, zo stelt securitybedrijf Sucuri op basis van eigen onderzoek. Dat is gebaseerd op bijna 47.000 opgeschoonde websites en meer dan 132 miljoen uitgevoerde scans van websites. Hoewel de helft van de besmette WordPress-sites een verouderde of onveilige versie draaide, was dit niet per definitie de reden dat de aanvallers binnen wisten te komen. De aanwezigheid van kwetsbare plug-ins en themes en onbeveiligde adminpanels is volgens het securitybedrijf een veel groter risico. Standaard biedt het beheerderspaneel van WordPress geen multifactorauthenticatie en stelt ook geen beperkingen aan het aantal mislukte inlogpogingen, waardoor bruteforce-aanvallen mogelijk zijn. "Het gebruik van kwetsbare onderdelen, zoals plug-ins en themes, blijft één van de twee voornaamste oorzaken van besmette websites, de ander is het gebruik van zwakke wachtwoorden, met name bij onbeveiligde adminpanels", aldus de onderzoekers. Van alle websites die Sucuri opschoonde waren WordPress-sites het vaakst up-to-date. De helft van deze websites draaide de meest recente versie. Bij andere platformen, zoals Prestashop, vBulletin en Typo3, bleek dat alle besmette sites ook niet up-to-date waren. Wanneer aanvallers toegang krijgen installeren ze meestal malware die bezoekers doorstuurt naar malafide websites of inloggegevens probeert te stelen. Verder installeren de aanvallers vaak een backdoor die andere activiteiten faciliteren, zoals het versturen van spam en het verbeteren van de zoekmachineranking van andere websites. Afsluitend stelt het securitybedrijf dat een goede beveiliging uiteindelijk uit een aantal basisprincipes bestaat, zoals het up-to-date houden van de omgeving en gebruik van sterke wachtwoorden. bron: https://www.security.nl

Gebruikers van een verouderde versie van Internet Explorer zijn het doelwit van aanvallen geworden waarbij hun systeem met malware werd besmet die wachtwoorden, creditcardgegevens en cookies buitmaakt. Dat meldt antivirusbedrijf Bitdefender in een analyse. De malware wordt RedLine Stealer genoemd en is in staat om inloggegevens uit Google Chrome, Mozilla Firefox en Opera te stelen, waaronder opgeslagen wachtwoorden en creditcardgegevens, browsercookies en auto-fill content. Verder kan de malware data van cryptowallet-extensies stelen, inloggegevens en chatlogs van Telegram en Discord, inloggegevens voor het Steam-platform, vpn-wachtwoorden voor NordVPN, OpenVPN en ProtonVPN, FTP-inloggegevens die in FileZilla zijn opgeslagen en tekst uit specifieke bestanden. De RedLine-malware zou sinds 2020 worden aangeboden en kan op verschillende manieren worden verspreid. Begin dit jaar detecteerde Bitdefender naar eigen zeggen een campagne waarbij gebruik werd gemaakt van de RIG-exploitkit. Deze exploitkit kan gebruikers met een ongepatchte versie van Internet Explorer automatisch met de Redline-malware infecteren. Dit gebeurt via CVE-2021-26411, een kwetsbaarheid in IE waarvoor Microsoft op 9 maart 2021 een beveiligingsupdate uitbracht. Het marktaandeel van Internet Explorer is al jaren aan het afnemen. Hoe succesvol de campagne was is dan ook onbekend. Gebruikers worden door Bitdefender opgeroepen hun software up-to-date te houden. bron: https://www.security.nl

Er was geen kritieke kwetsbaarheid aanwezig in VirusTotal waardoor remote code execution mogelijk is, zoals beveiligingsonderzoekers claimen. Dat laat Bernardo Quintero van VirusTotal via Twitter weten. VirusTotal is een online virusscandienst van Google waar gebruikers verdachte bestanden door zo'n zeventig verschillende antivirus-engines kunnen laten controleren. Deze week liet securitybedrijf Cysource weten dat remote code execution via het VirusTotal-platform mogelijk was. Via een kwetsbaarheid in ExifTool, software voor het bekijken en aanpassen van metadata in allerlei soorten bestanden, zou een aanvaller willekeurige code op het systeem kunnen uitvoeren als er een malafide afbeelding wordt geopend. Het gaat hier om een bekend beveiligingslek (CVE-2021-22204) waarvoor begin vorig jaar een update verscheen. De onderzoekers claimden dat ze via deze kwetsbaarheid commando's op het VirusTotal-platform konden uitvoeren en toegang tot vijftig hosts met hoge rechten hadden. Cysource stelt daarnaast dat ze het probleem vorig jaar april aan Google rapporteerden. Het techbedrijf zou de bugmelding ruim een maand later in juni hebben gesloten Volgens Cysource was VirusTotal begin januari van dit jaar niet meer kwetsbaar en liet Google het toe om over het beveiligingslek te publiceren. Via Twitter haalt Quintero uit naar de onderzoekers. Hij stelt dat het via de kwetsbaarheid niet mogelijk was om code op het VirusTotal-platform uit te voeren, maar er alleen controle over ongepatchte third-party antivirus toolboxes kon worden verkregen. Het ging hier niet om systemen van VirusTotal. Iets wat de onderzoekers wisten, aldus Quintero. Daarnaast klopt ook de tijdslijn niet die de onderzoekers noemen, zo laat hij verder weten. Cysource heeft nog niet op de kritiek van VirusTotal gereageerd en ook de eigen blogpost niet aangepast. bron: https://www.security.nl

Firepower-firewalls van Cisco bevatten verschillende kwetsbaarheden waardoor een aanvaller een denial of service kan veroorzaken. Een ongeauthenticeerde aanvaller kan zo op afstand apparaten laten herstarten, ervoor zorgen dat er geen nieuwe verbindingen meer mogelijk zijn of dat al het verkeer dat via de firewall gaat wordt gedropt. De impact van de vijf beveiligingslekken in de Cisco Firepower Threat Defense Software, aangeduid als CVE-2022-20767, CVE-2022-20760, CVE-2022-20757, CVE-2022-20751 en CVE-2022-20746, is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. Het is al een half jaar geleden dat er kwetsbaarheden met een impactlabel "high" in de Firepower-software is aangetroffen. De problemen worden veroorzaakt door het niet goed verwerken van TCP-flows, het niet goed omgaan met platformlimieten, het niet goed verwerken van inkomende requests, geheugenmanagement voor bepaalde Snort-events en regels voor de dns-reputatie. Voor zover bekend wordt er nog geen misbruik van de beveiligingslekken gemaakt. Cisco heeft updates beschikbaar gemaakt om de problemen te verhelpen. bron: https://www.security.nl

Microsoft heeft verschillende kwetsbaarheden in Linux gevonden waardoor een lokale aanvaller root kan worden. De beveiligingslekken, samen aangeduid als "Nimbuspwn", werden gevonden tijdens onderzoek naar services die als root draaien. Daarbij werd een vreemd patroon gezien in een systemd unit genaamd networkd-dispatcher. Networkd-dispatcher is een daemon die veranderingen in netwerkverbindingen van systemd-networkd bijhoudt. Systemd-networkd is een system daemon voor het beheer van netwerkconfiguraties. Het detecteert en configureert netwerkapparaten. Networkd-dispatcher luistert naar signalen van systemd-networkd. Afhankelijk van deze signalen worden scripts uitgevoerd die zich in bepaalde directories bevinden en als root worden uitgevoerd. Twee kwetsbaarheden maken het mogelijk voor een aanvaller om deze scripts te vervangen, waardoor zijn code als root wordt uitgevoerd. Via CVE-2022-29799, een path traversal kwetsbaarheid, is het mogelijk om uit de etc/networkd-dispatcher directory te ontsnappen. CVE-2022-29800 is een time-of-check-time-of-use (TOCTOU) race condition. Er zit een bepaalde tijd tussen het vinden van de scripts die moeten worden uitgevoerd en het daadwerkelijk uitvoeren ervan. Via de kwetsbaarheden kan een aanvaller de scripts vervangen waarvan networkd-dispatcher denkt dat ze van root zijn door scripts die dat niet zijn. De networkd-dispatcher zal deze scripts vervolgens als root uitvoeren. De aanval is alleen in bepaalde gevallen mogelijk, aldus Microsoft-onderzoeker Jonathan Bar Or. Zo moet de aanvaller een specifieke busnaam kunnen gebruiken, iets wat volgens de onderzoeker bij bijvoorbeeld Linux Mint het geval is. Microsoft waarschuwde de maintainer van networkd-dispatcher die inmiddels updates heeft uitgebracht. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarmee dertig beveiligingslekken in de browser worden verholpen en het nu mogelijk is om opmerkingen aan opgeslagen wachtwoorden toe te voegen. Enige tijd geleden introduceerde Google al de mogelijkheid om handmatig wachtwoorden aan de wachtwoordmanager toe te voegen. Door de nieuwe optie kunnen gebruikers opgeslagen wachtwoorden van allerlei opmerkingen voorzien, zoals wanneer het wachtwoord is opgeslagen of aanvullende informatie over de betreffende website of account. De feature werd begin dit jaar al aan een testversie van Chrome toegevoegd, maar is nu binnen de standaardversie beschikbaar. Gebruikers moeten die nog wel zelf inschakelen door middel van de flag "chrome://flags#password-notes". Verder zijn met Chrome 101.0.4951.41 voor Linux, macOS en Windows dertig kwetsbaarheden verholpen. De maximale impact van de beveiligingslekken is beoordeeld als "high". In deze gevallen kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Beveiligingsonderzoeker SeongHwan Park, die een kwetsbaarheid in de Vulkan graphics API ontdekte die Chrome kan gebruiken voor het weergeven van webcontent, kreeg voor zijn bugmelding 10.000 dollar van Google. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Dit kan echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

OpenSSL zou vandaag met beveiligingsupdates komen, maar de ontwikkelaars hebben besloten dit te verschuiven naar dinsdag 3 mei. Een reden is niet gegeven. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Vandaag zou OpenSSL met beveiligingsupdates komen voor één of meerdere kwetsbaarheden met een maximale impact van "Moderate". Het gaat dan om problemen als crashes in client-applicaties, kwetsbaarheden in minder populaire protocollen en lokale kwetsbaarheden. Dergelijke kwetsbaarheden worden meestal privé gehouden en in een volgende geplande release verholpen. Daarbij probeert OpenSSL meerdere kwetsbaarheden met deze impact tegelijkertijd te verhelpen. Voor kritieke beveiligingslekken komt OpenSSL wel met een aparte update. Matt Caswell van het OpenSSL Project Team laat vandaag op de mailinglist van OpenSSL weten dat besloten is om de release van OpenSSL 3.0.3 en 1.1.1o te verschuiven naar dinsdag 3 mei. bron: https://www.security.nl

Het Tor Project, de organisatie verantwoordelijk voor het Tor-netwerk, was naar eigen zeggen niet goed toegerust om malafide servers in het Tor-netwerk te vinden. Ook erkent de organisatie dat het het Tor-netwerk de afgelopen jaren niet goed genoeg op malafide servers heeft gemonitord. Eén aanvaller kon daardoor maanden en mogelijk zelfs jaren zijn gang gaan. Later dit jaar komt er een nieuwe Tor Browser die als "game-changer" in de strijd tegen malafide servers moet dienen. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het verleden zijn er verschillende incidenten met malafide exitnodes geweest die man-in-the-middle-aanvallen op gebruikers uitvoerden. Eén aanvaller die achter deze malafide exitnodes zat wordt KAX17 genoemd. Eind december vorig jaar meldde een onderzoeker dat KAX17 sinds 2017 zowel entry guard-, middle relay- als exit-servers aan het Tor-netwerk heeft toegevoegd, waardoor hij Tor-gebruikers zou kunnen ontmaskeren. Volgens de onderzoeker hadden Tor-gebruikers een kans van 16 procent om met een guard-server van KAX17 verbinding te maken en zelfs een kans van 35 procent om met een middle relay-server te verbinden. Volgens het Tor Project kon deze aanvaller dankzij het eigen falen van de organisatie maanden en mogelijk zelfs jaren op het Tor-netwerk actief zijn. Hiervoor geeft het Tor Project verschillende redenen. Zo werd het Tor-netwerk niet goed genoeg op malafide servers gemonitord. Daarnaast vereist het vinden en verwijderen van malafide servers een vertrouwensband tussen alle betrokken partijen, namelijk vrijwilligers, Tor-personeel en directory authorities. Dat vertrouwen was niet altijd aanwezig, wat voor frustraties zorgde en het vinden en verwijderen van malafide servers nog lastiger maakte. De belangrijkste reden die het Tor Project echter geeft is dat het niet als een organisatie is opgezet om malafide server effectief te vinden en verwijderen. Zo ontbraken er middelen om de detectie te verbreden en het relaybeleid, netwerkmonitoring, contact met de community te verbeteren. Volgens het Tor Project verdienen de organisatorische tekortkomingen een aparte vermelding. Game-changer Het afgelopen jaar heeft het Tor Project naar eigen zeggen de coördinatie en organisatie om malafide servers te vinden verbeterd en zijn er ook nieuwe tools ontwikkeld. Dit zou het een stuk lastiger voor aanvallers hebben gemaakt om malafide servers aan het Tor-netwerk toe te voegen. Later dit jaar verschijnt er met Tor browser 11.5 een nieuw wapen tegen malafide servers, dat volgens het Tor Project een echter game-changer zal zijn. Bij deze versie zal de HTTPS-Only-mode namelijk standaard zijn ingeschakeld. Hierdoor maakt de browser standaard alleen verbinding met https-sites. Dit zou moeten voorkomen dat malafide exitnodes man-in-the-middle-aanvallen op Tor-gebruikers kunnen uitvoeren. Volgens het Tor Project neemt dit de prikkel voor aanvallers weg om via malafide servers dergelijke aanvallen uit te voeren. Verder verwacht het Tor Project veel van de verbeterde monitoring en het opbouwen van een sterke "relay community" om malafide servers tegen te gaan. bron: https://www.security.nl

Onderzoekers hebben malware ontdekt die beveiligingscamera's van fabrikant Merit Lilin via een twee jaar oude kwetsbaarheid weet te infecteren. De malware wordt BotenaGo. Een eerste variant beschikte over meer dan dertig exploits om routers van verschillende fabrikanten over te nemen. Recentelijk ontdekten onderzoekers van Nozomi Networks een nieuwe variant die het specifiek heeft voorzien op beveiligingscamera's van Lilin. Eenmaal actief zoekt de malware naar andere camera's en probeert vervolgens standaardwachtwoorden zoals admin, 1234 en root om in te loggen. Vervolgens gebruikt de malware een twee jaar oude kwetsbaarheid die remote code execution mogelijk maakt. In 2020 kwam Merit Lilin met firmware-updates voor verschillende kwetsbaarheden. De impact van deze beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. CVE-nummers werden niet door de fabrikant gegeven. Volgens Merit Lilin waren er destijds meer dan dertienduizend van de kwetsbare camera's in omloop. De firmware-update zorgt er onder andere voor dat gebruikers de standaard gebruikersnaam en wachtwoord na de update moeten aanpassen (pdf). Bij kwetsbare camera's zal de malware uiteindelijk een variant van de Mirai-malware installeren. Mirai kan besmette apparaten onder andere inzetten voor het uitvoeren van ddos-aanvallen. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP zijn doorbeveiligingslekken in Netatalk kwetsbaar voor aanvallen. Netatalk is een vrije, opensource-implementatie van het Apple Filing Protocol (AFP) en maakt het mogelijk voor Unix-achtige besturingssystemen om als fileserver voor Macs te fungeren. Eind vorige maand kwam het Netatalk-ontwikkelteam met een nieuwe versie waarin meerdere kwetsbaarheden zijn verholpen. Netatalk wordt ook gebruikt door QTS, QuTS hero en QuTScloud, de besturingssystemen die op NAS-systemen van QNAP draaien. Vier van de beveiligingslekken in Netatalk (CVE-2022-0194, CVE-2022-23121, CVE-2022-23122 en CVE-2022-23125) maken het mogelijk voor ongeauthenticeerde aanvallers om code op kwetsbare QNAP-systemen uit te voeren. QNAP heeft de impact van de beveiligingslekken als "high" bestempeld. De NAS-fabrikant stelt dat de kwetsbaarheden al zijn verholpen in QTS 4.5.4.2012 build 20220419 en nieuwer. Voor andere versies van de besturingssystemen worden nog beveiligingsupdates ontwikkeld. Wanneer die precies zullen verschijnen is nog onbekend. Als tijdelijke oplossing wordt het uitschakelen van AFP aangeraden. bron: https://www.security.nl

De Amerikaanse overheid heeft een waarschuwing afgegeven dat aanvallers actief misbruik maken van het Dirty Pipe-lek in Linux. Via het lek kan een lokale gebruiker rootrechten krijgen. Overheidsinstanties in de VS zijn opgedragen om het beveiligingslek voor 16 mei in hun systemen te verhelpen. De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de onveilige interactie tussen een Linux-bestand, dat permanent op de harde schijf wordt opgeslagen, en een Linux-pipe, wat een databuffer in het geheugen is die als een bestand is te gebruiken. Wanneer een gebruiker een pipe heeft om naar toe te schrijven en een bestand waarbij dit niet kan, dan kan het schrijven naar het geheugenbuffer van de pipe onbedoeld ook de gecachte pagina's van verschillende delen van het schijfbestand aanpassen. Hierdoor wordt de aangepaste cachebuffer door de kernel terug naar de schijf geschreven en de inhoud van het opgeslagen bestand permanent aangepast, ongeachte de permissies van het bestand. Een lokale gebruiker kan zo een SSH-key aan het root-account toevoegen, een rootshell aanmaken of een cronjob toevoegen die als backdoor draait en een nieuw gebruikersaccount met rootrechten toevoegt, maar ook het aanpassen van bestanden buiten een sandbox is mogelijk. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. Met de laatste update zijn erin totaal zeven nieuw aangevallen kwetsbaarheden aan de lijst toegevoegd. Het gaat naast het Dirty Pipe-lek in Linux ook om vier kwetsbaarheden in Windows waardoor een lokale aanvaller zijn rechten kan verhogen. Voor één van deze beveiligingslekken (CVE-2022-26904) kwam Microsoft twee weken geleden met een update. Volgens Microsoft werd het lek op het moment dat de patch uitkwam nog niet aangevallen. Dat is inmiddels veranderd, aldus het CISA, wat wederom aangeeft hoe snel aanvallers misbruik van geopenbaarde kwetsbaarheden maken. bron: https://www.security.nl

Het Britse National Cyber Security Centre (NCSC) heeft vorig jaar een variant van de spionagemalware SparrowDoor op een niet nader genoemd Brits netwerk aangetroffen. Vandaag is een analyse van de variant gepubliceerd, die onder andere nu gegevens uit het clipboard kan stelen. Daarnaast zijn er indicators of compromise en Yara-rules beschikbaar gemaakt waarmee organisaties de malware binnen hun eigen netwerk kunnen detecteren. De eerste versie van SparrowDoor werd ontdekt door antivirusbedrijf ESET en zou onder andere tegen hotels wereldwijd zijn ingezet, alsmede tegen overheden. De aanvallers maakten gebruik van kwetsbaarheden in Microsoft Exchange, Microsoft SharePoint en Oracle Opera om bij organisaties in te breken. Getroffen organisaties bevonden zich onder andere in Canada, Israël, Frankrijk, Saudi-Arabië, Taiwan, Thailand en het Verenigd Koninkrijk. Wat het exacte doel van de aanvallers is liet ESET niet weten. Het Britse NCSC zegt dat het vorig jaar op een Brits netwerk een variant van SparrowDoor heeft aangetroffen. Deze versie kan data uit het clipboard stelen en controleert aan de hand van een hardcoded lijst of bepaalde antivirussoftware draait. Ook kan deze variant bij het opzetten van netwerkverbindingen het user account token imiteren. Waarschijnlijk wordt deze "downgrade" uitgevoerd om niet op te vallen, wat wel zo zou kunnen zijn als het bijvoorbeeld netwerkcommunicatie onder het SYSTEM-account zou uitvoeren. Een andere nieuwe eigenschap is het kapen van verschillende Windows API-functies. Wanneer de malware van "API hooking" en "token impersonation" gebruikmaakt is niet duidelijk, maar volgens het Britse NCSC maken de aanvallers bewuste operationele security-beslissingen. Verdere details over het aangevallen netwerk of wie erachter de malware zit worden niet gegeven. bron: https://www.security.nl

Het inloggen met een gebruikersnaam en wachtwoord is de meest onveilige vorm van authenticatie. Organisaties die hun accounts beter willen beschermen doen er dan ook verstandig aan om sterkere authenticatiemethoden te kiezen, zoals tweefactorauthenticatie (2FA) en de FIDO2-standaard van de FIDO Alliance. Dat stelt het Nationaal Cyber Security Centrum (NCSC) in een nieuwe factsheet genaamd "Volwassen authentiseren". Volgens het NCSC zijn accounts met verhoogde rechten binnen een systeem, zoals beheerdersaccounts, steeds vaker het doelwit van aanvallen. "Gezien deze ontwikkeling is het extra belangrijk om accounts op een gepaste manier te beveiligen. Het Cybersecuritybeeld Nederland 2021 onderschrijft het belang van goede authenticatie en laat zien dat het dreigingsniveau voor zwakke authenticatie hoog is", zo waarschuwt de overheidsdienst. Die adviseert dan ook sterkere authenticatiemethodes zoals 2FA. Niet alle vormen van 2FA zijn hetzelfde. Zo laat de factsheet weten dat tweefactorauthenticatie waarbij gebruik wordt gemaakt van een sms of e-mail de minst veilige 2FA-vorm zijn. Een aanvaller zou de via e-mail of sms verstuurde inlogcodes namelijk kunnen onderscheppen. Het gebruik van biometrische gegevens als tweede veiligheidslaag is minder gevoelig voor een dergelijke aanval, maar is onderhevig aan wetten en regels omtrent privacy zoals de Algemene verordening gegevensbescherming (AVG), aldus het NCSC. Verder adviseert de overheidsdienst om onderscheid tussen verschillende accounts te maken op basis van het bijbehorende risico. High-impact accounts, zoals die van beheerders, vereisen een andere beveiliging dan bijvoorbeeld gastaccounts. Organisaties kunnen op basis van een risicobeoordeling hun accounts indelen in low - medium - en high impact accounts. Vervolgens zijn de accounts met behulp van het volwassenheidsmodel voor authenticatie op een gepaste manier te beveiligen. Afsluitend raadt de factsheet aan om een maximaal aantal toegestane inlogpogingen per tijdseenheid in te stellen voor alle clients. Daarnaast zouden medewerkers zicht moeten hebben op hun inloggeschiedenis, zodat ze verdachte activiteiten sneller kunnen opmerken en rapporteren. bron: https://www.security.nl

Microsoft kwam op 12 april met een beveiligingsupdate voor een kritieke kwetsbaarheid in Windows en een mitigatie-advies dat organisaties zou moeten beschermen, maar dit advies is niet volledig en nu verwijderd. Via het beveiligingslek in de Remote Procedure Call (RPC) runtime library kan een aanvaller zonder enige interactie van gebruikers controle over systemen krijgen. De kwetsbaarheid is in theorie te misbruiken door een computerworm. De impact van de kwetsbaarheid, aangeduid als CVE-2022-26809, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Naast het installeren van de update adviseerde Microsoft als mitigatie om tcp-poort 445 op de perimeter-firewall te blokkeren, aangezien deze poort wordt gebruikt om verbinding met het kwetsbare Windows-onderdeel te maken. Door poort 445 te blokkeren worden systemen achter de firewall beschermd. Iets wat volgens Microsoft de beste bescherming is tegen aanvallen vanaf het internet. In een update van het beveiligingsbulletin laat Microsoft weten dat de aangeraden mitigatie niet tegen alle potentiële aanvalsscenario's bescherming biedt. Het mitigatie-advies "Block TCP port 445 at the enterprise perimeter firewall" is dan ook verwijderd. Volgens Microsoft gebruikte de onderzoeker die de kwetsbaarheid rapporteerde SMB als aanvalsvector om het lek in de RPC-service te misbruiken. Het advies om poort 445 te blokkeren zou in dit geval effectief zijn. "Hoewel het blokkeren van poorten 139 en 445 (SMB) op de perimeter-firewall een aanbevolen practice is, beschermt het niet tegen alle aanvalsscenario's voor deze specifieke kwetsbaarheid", laat Microsoft weten. Het techbedrijf is op dit moment niet bekend met andere specifieke aanvalsvectoren voor deze kwetsbaarheid. Verder stelt Microsoft dat het blokkeren van tcp-poort 135 op de firewall een aanbevolen practice is die ook de kans verkleint op potentiële andere aanvallen die van het genoemde Windows-lek misbruik maken. bron: https://www.security.nl

Google heeft onder druk van meerdere nationale Europese privacytoezichthouders een aanpassing doorgevoerd aan de keuze die het internetgebruikers biedt voor het weigeren van cookies. Voortaan is het mogelijk om via één klik alle cookies van Google te accepteren of te weigeren. De aanpassing is al doorgevoerd voor Franse YouTube-gebruikers en zal binnenkort voor alle Europese Google-gebruikers beschikbaar worden. De nieuwe optie volgt op gesprekken en specifieke aanwijzingen van de Franse privacytoezichthouder CNIL. Volgens Google moest het vanwege de nieuwe weigerknop de manier aanpassen waarop cookies werken op Google-sites en aanpassingen aan belangrijke Google-infrastructuur doorvoeren. Naast het weigeren of accepteren van alle cookies zullen gebruikers ook hun keuze kunnen verfijnen. bron: https://www.security.nl