Captain Kirk

Een nieuwe kwetsbaarheid in de Linux-kernel, met de naam Dirty Pipe, maakt het mogelijk voor ongeprivilegieerde lokale gebruikers om code in rootprocessen te injecteren en zo rootrechten te krijgen. Beveiligingsupdates zijn inmiddels voor allerlei distributies beschikbaar gemaakt. De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de onveilige interactie tussen een Linux-bestand, dat permanent op de harde schijf wordt opgeslagen, en een Linux-pipe, wat een databuffer in het geheugen is die als een bestand is te gebruiken. "Simpel gezegd, als je een pipe hebt waar je naar toe kunt schrijven en een bestand waarvan niet, dan kan het schrijven naar het geheugenbuffer van de pipe onbedoeld ook de gecachte pagina's van verschillende delen van het schijfbestand aanpassen", zegt beveiligingsexpert Paul Ducklin van Sophos. Hierdoor wordt de aangepaste cachebuffer door de kernel terug naar de schijf geschreven en de inhoud van het opgeslagen bestand permanent aangepast, ongeachte de permissies van het bestand. Een lokale gebruiker kan zo een SSH-key aan het root-account toevoegen, een rootshell aanmaken of een cronjob toevoegen die als backdoor draait en een nieuw gebruikersaccount met rootrechten toevoegt. De kwetsbaarheid, die ook wordt aangeduid als CVE-2022-0847, werd op 20 februari door Max Kellermann aan het securityteam van de Linux-kernel gerapporteerd. Een dag later werd ook het Android-securityteam ingelicht. Op 23 februari verschenen de eerste Linux-updates. Het probleem is verholpen in Linux 5.16.11, 5.15.25 en 5.10.102. Google heeft inmiddels een oplossing aan de Androidkernel toegevoegd. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. bron: https://www.security.nl

Microsoft heeft een kwetsbaarheid in antivirussoftware Defender for Endpoints verholpen waardoor het mogelijk is om informatie tussen de client en de service te spoofen. De Nederlandse beveiligingsonderzoeker Gijs Hollestelle ontdekte het spoofinglek en rapporteerde het probleem (CVE-2022-23278) aan Microsoft. "Deze kwetsbaarheid raakt alle platformen en de updates die we hebben uitgebracht zouden net als elke andere beveiligingsupdate moeten worden uitgerold", aldus Microsoft in een apart artikel over het spoofinglek. Zo zijn er updates voor alle versies van Defender for Endpoints beschikbaar. Het gaat dan ook om de versies voor Android, macOS en Linux. In het geval automatische updates staan ingeschakeld, wat standaard het geval is, is er geen verdere actie van gebruikers vereist. Wie automatische updates heeft uitgeschakeld wordt door Microsoft opgeroepen om die in te schakelen. Voor zover bekend wordt er geen misbruik van de kwetsbaarheid gemaakt. bron: https://www.security.nl

Onderzoekers hebben in verschillende APC Smart-UPS-modellen kritieke kwetsbaarheden ontdekt waardoor het mogelijk is om de noodstroomvoorziening uit te schakelen, de stroomtoevoer te manipuleren of de apparaten zelfs te vernietigen. Dat claimt securitybedrijf Armis. APC heeft firmware-updates uitgebracht om de problemen te verhelpen. Een Uninterruptible power supply (UPS) fungeert in het geval van stroomuitval als back-up. De Smart-UPS is een met de cloud verbonden oplossing, waardoor het onder andere mogelijk is om de apparaten op afstand te beheren en monitoren. Onderzoekers van Armis vonden drie kwetsbaarheden die het mogelijk maken om de apparaten op afstand aan te vallen. Twee van de kwetsbaarheden bevinden zich in de TLS-verbinding tussen de UPS en de cloud. Een aanvaller kan zich zo als de clouddienst voordoen en willekeurige code op de UPS uitvoeren. Het derde probleem wordt veroorzaakt door het niet voldoende controleren van firmware. Hierdoor is het mogelijk voor een aanvaller om ongesigneerde firmware op afstand op de UPS-apparaten te installeren. Zodra de UPS is gecompromitteerd kan een aanvaller verdere aanvallen op het netwerk uitvoeren of de UPS ontregelen. Daarbij stellen de onderzoekers dat het ook mogelijk is om de UPS zichzelf te laten vernietigen. Iets wat tijdens een experiment ook lukte, aldus een whitepaper over de kwetsbaarheden. Fabrikant Schneider Electric werd op 31 oktober vorig jaar ingelicht over de problemen en heeft inmiddels firmware-updates uitgerold. bron: https://www.security.nl

Tijdens de patchdinsdag van maart heeft Microsoft 71 kwetsbaarheden verholpen, waaronder een kritiek beveiligingslek in Exchange Server dat remote code execution mogelijk maakt. Had Microsoft in februari een maand zonder kritieke updates, een zeldzaamheid, deze maand zijn het er slechts drie. Twee van deze updates zijn voor kritieke lekken in de HEVC- en VP9-videoextensies. Door het openen van een malafide video zou een aanvaller willekeurige code op het systeem kunnen uitvoeren. De impact van deze kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. De derde kritieke kwetsbaarheid, die in Exchange aanwezig is en wordt aangeduid als CVE-2022-23277, heeft een impactscore van 8.8. Het probleem speelt in Exchange 2013, 2016 en 2019. Een geauthenticeerde aanvaller kan code met verhoogde rechten uitvoeren. Hoewel er nog geen actief misbruik van de kwetsbaarheid wordt gemaakt, lijkt dat slechts een kwestie van tijd. Microsoft stelt namelijk dat misbruik "more likely" is en ook het Zero Day Initiative verwacht op korte termijn dat aanvallers het lek zullen gebruiken. Verder zijn er drie kwetsbaarheden in .NET and Visual Studio, Remote Desktop Client en de Windows Fax and Scan service verholpen die al voor het uitkomen van de beveiligingsupdates bekend waren. Er is volgens Microsoft echter geen misbruik van gemaakt. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die twee actief aangevallen zerodaylekken in de browser verhelpt. Het komt zelden voor dat Mozilla updates voor dergelijke kwetsbaarheden uitrolt. Zo kreeg Firefox vorig jaar voor zover bekend met geen enkele zeroday te maken. Via de kwetsbaarheden kan een aanvaller uit de sandbox van de browser breken en willekeurige code op het systeem uitvoeren. Om misbruik van de twee kritieke kwetsbaarheden te maken, aangeduid als CVE-2022-26485 en CVE-2022-26486, is er geen interactie van gebruikers vereist. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. De twee zerodaylekken zijn verholpen in Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3, Focus 97.3 en Thunderbird 91.6.2. Updaten zal in de meeste gevallen automatisch gebeuren. bron: https://www.security.nl

Het voorstel van de Europese Commissie om een digitale identiteit te introduceren bedreigt de veiligheid van het web, zo stelt Mozilla, dat zich aansluit bij kritiek van de Amerikaanse burgerrechtenbeweging EFF en tientallen experts. Vorig jaar kwam de Europese Commissie met een plan voor de invoering van een Europese digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren. Als onderdeel van het voorstel worden browserleveranciers verplicht om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers. Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden. Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen. "Deze aanpassing verzwakt de veiligheid van het web door te voorkomen dat browsers hun gebruikers tegen beveiligingsrisico's kunnen beschermen, zoals identiteitsdiefstal en financiële fraude, waar zich misdragende certificaatautoriteiten hen aan kunnen blootstellen", aldus Mozilla. De browserontwikkelaar waarschuwt dat het verplichten van browsers om bepaalde certificaatautoriteiten toe te voegen een precedent voor repressieve regimes zou scheppen. Mozilla heeft ook de open brief aan het Europees Parlement ondertekend waarin experts parlementariërs oproepen om het voorgestelde amendement aan te passen. "De brief laat zien dat de cybersecuritygemeenschap denkt dat deze maatregel een bedreiging voor de veiligheid van het web is en meer problemen creëert dan het oplost", besluit Mozilla. bron: https://www.security.nl

Cisco waarschuwt organisaties voor twee kritieke kwetsbaarheden in de Expressway- en TelePresence-oplossingen waardoor een aanvaller willekeurige code als root kan uitvoeren. Expressway is een gateway-oplossing waarmee gebruikers met elkaar kunnen communiceren, ongeacht of ze op het interne netwerk zitten of daarbuiten. TelePresence is een oplossing voor videoconferencing. Twee kwetsbaarheden in beide oplossingen maken het mogelijk voor een geauthenticeerde aanvaller om op het onderliggende besturingssysteem van een kwetsbaar apparaat willekeurige code als root uit te voeren. De beveiligingslekken worden door een onvoldoende controle van gebruikersinvoer veroorzaakt. De impact van beide kwetsbaarheden, aangeduid als CVE-2022-20754 en CVE-2022-20755, is op een schaal van 1 tot en met 10 met een 9.0 beoordeeld. Cisco heeft beveiligingsupdates uitgebracht om de lekken te verhelpen. bron: https://www.security.nl

Tientallen cybersecurity-experts en de Amerikaanse burgerrechtenbeweging EFF hebben het Europees Parlement gewaarschuwd voor een plan van de Europese Commissie dat browsers zou verplichten om onveilige certificaten te accepteren. Vorig jaar kwam de Europese Commissie met een plan voor de invoering van een Europese digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren. Als onderdeel van het voorstel worden browserleveranciers verplicht om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Volgens de experts en EFF zijn deze certificaten vanwege implementatiefouten nooit gemeengoed geworden en brengen ze de veiligheid van https-beveiliging in gevaar door browsers te verplichten om derde partijen die te vertrouwen die door zonder enige veiligheidsgaranties door overheden worden aangewezen. Dit zou volgens de experts de veiligheid van alle webgebruikers in gevaar brengen. De meeste browsers hanteren strenge voorwaarden waar certificaatautoriteiten, die certificaten uitgeven gebruikt voor beveiligde verbindingen, aan moeten voldoen. Door sommige websitecertificaten bestaande beveiligingseisen te laten omzeilen, vrezen de experts dat het risico toeneemt dat er onveilige of kwaadaardige certificaten worden uitgegeven waarmee het internetverkeer van gebruikers is te onderscheppen of die naar malafide websites zijn te leiden. Daarnaast zou het onmogelijk voor de cybersecuritygemeenschap zijn om snel op dergelijke certificaten te reageren. De experts en EFF stellen dat de bepaling van de Europese Commissie als doel heeft om de authenticatie op het web te verbeteren, maar dat het in de praktijk het tegenovergestelde effect heeft. "Door manieren te creëren om bestaande beveiligingscontroles in browsers te omzeilen, stelt de voorgestelde regelgeving gebruikers bloot aan een groter risico op aanvallen door cybercriminelen", aldus de experts in hun open brief aan het Europees Parlement (pdf). Ze roepen de parlementariërs dan ook op om het voorgestelde amendement aan te passen. Eerder liet het Nederlandse demissionaire kabinet weten positief te zijn over de invoering van een Europese identiteit, alsmede de eisen voor browserleveranciers. "Hiermee wordt de afhankelijkheid van browsers voor gebruikers beperkt en wordt eventuele onzekerheid over de betrouwbaarheid van websites weggehaald als ze voldoen aan de Europese standaarden", aldus het kabinet. bron: https://www.security.nl

De aanvallers die toegang wisten te krijgen tot systemen van chipfabrikant NVIDIA hebben daar e-mailadressen en NTLM-wachtwoordhashes van ruim 70.000 medewerkers buitgemaakt, zo meldt beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned. NVIDIA liet eerder al weten dat het de inbraak op 23 januari ontdekte en daarbij inloggegevens van medewerkers waren gestolen. Een aantal werd echter niet genoemd. De gestolen data werd vervolgens door de aanvallers online gezet. Volgens Hunt gaat het om meer dan 71.000 e-mailadressen en NTLM-wachtwoordhashes, waarvan een groot deel inmiddels gekraakt zou zijn. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Wanneer de gebruiker zich registreert en een wachtwoord opgeeft, wordt hier via een hashingalgoritme een hash van gemaakt. De hash wordt in de database opgeslagen. Dit voorkomt dat als bijvoorbeeld een systeem of website wordt gecompromitteerd en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft. Die zijn namelijk gehasht. Een ander kenmerk van hashes is dat een hashingalgoritme voor een gegeven wachtwoord altijd dezelfde hash zal genereren. Verschillende gebruikers die hetzelfde wachtwoord kiezen zullen ook dezelfde wachtwoordhash hebben. Eerder hebben onderzoekers aangetoond dat NTLM-hashes van korte wachtwoorden eenvoudig zijn te kraken. Hunt heeft de e-mailadressen nu aan Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 71.335 toegevoegde e-mailadressen was 17 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Theoretisch onderzoek naar het versterken van ddos-aanvallen dat vorig jaar door onderzoekers werd gepresenteerd is voor het eerst in de praktijk toegepast, zo claimt internetbedrijf Akamai. Afgelopen augustus kwamen onderzoekers van verschillende Amerikaanse universiteiten met hun onderzoek naar "TCP Middlebox Reflection" (pdf). Bij een reflection-aanval worden systemen van een derde partij gebruikt voor het aanvallen van een doelwit. De aanvallers sturen verkeer naar deze derde systemen, die het vervolgens doorsturen naar het doelwit en daarbij ook het verkeersvolume vergroten. Daardoor krijgt het doelwit veel meer verkeer te verduren en is de kans groter dat bijvoorbeeld een website offline gaat. Bij TCP Middlebox Reflection wordt er gebruikgemaakt van zogeheten "middleboxes". Het gaat onder andere om firewalls en contentfilteringsystemen. Dergelijke apparaten kunnen verkeer in real-time monitoren, filteren of aanpassen. In tegenstelling tot traditionele apparatuur zoals routers en switches kijken middleboxes niet alleen naar headers van pakketten, maar gebruiken deep packet inspection om de inhoud te analyseren. De onderzoekers ontdekten een verkeerde tcp-implementatie bij sommige middleboxes, waardoor het mogelijk is om de apparaten tcp-verkeer naar een opgegeven doelwit te laten sturen. Daarbij hoeft een aanvaller slechts een beperkte hoeveelheid verkeer naar de middlebox te sturen om vervolgens veel meer verkeer naar het doelwit door te sturen. Een enkel syn-pakket met een payload van 33 byte zorgt voor een response van 2156 bytes. Dit is een versterkingsfactor van 65, aldus Akamai. Het bedrijf zag onlangs een ddos-aanval die van deze techniek gebruikmaakte en voor 11 Gbps verkeer zorgde. Volgens onderzoekers zijn er honderdduizenden kwetsbare middleboxes op internet te vinden die voor het versterken van ddos-aanvallen zijn te gebruiken. Akamai verwacht dan ook dat aanvallers vaker van de techniek gebruik zullen maken. Het bedrijf merkt op dat bestaande maatregelen om reflectie-aanvallen te voorkomen ook tegen TCP Middlebox Reflection werken. bron: https://www.security.nl

Aanvallers zijn er onlangs in geslaagd om op systemen van chipfabrikant NVIDIA in te breken en daar inloggegevens van medewerkers en bedrijfsinformatie te stelen. Een deel van de data is inmiddels op internet gepubliceerd. Volgens NVIDIA, dat de inbraak op 23 januari ontdekte, heeft de datadiefstal naar verwachting geen gevolgen voor de bedrijfsvoering of de dienstverlening aan klanten. Een groep aanvallers genaamd Lapsu$ heeft de verantwoordelijkheid voor de aanval opgeëist en claimt één terabyte aan data te hebben buitgemaakt. Naar aanleiding van de aanval heeft NVIDIA naar eigen zeggen het eigen netwerk verder beveiligd, incident response experts ingeschakeld en politie gewaarschuwd. "We hebben geen bewijs dat er ransomware binnen de NVIDIA-omgeving is uitgerold of dat dit te maken heeft met het conflict tussen Rusland en Oekraïne", aldus een woordvoerder tegenover Yahoo News. De koers van NVIDIA daalde gisteren met vijf procent. De groep achter de aanval op NVIDIA claimde eerder verantwoordelijk te zijn voor aanvallen op de Portugese mediagigant Impresa en het Braziliaanse ministerie van Volksgezondheid. Details over hoe de aanvallers toegang tot de systemen van NVIDIA konden krijgen is niet bekendgemaakt. bron: https://www.security.nl

Google heeft Chrome 99 gelanceerd, waarmee er 28 kwetsbaarheden in de browser zijn verholpen. Eind deze maand verschijnt Chrome 100. De 28 verholpen beveiligingslekken hebben een maximale impact die Google als "high" classificeert. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google betaalde onderzoekers meer dan 100.000 dollar aan bugbounties voor het melden van de kwetsbaarheden. De hoogste beloning, 15.000 dollar, werd uitgekeerd voor een beveiligingslek in de MediaStream API, die wordt gebruikt voor het synchroniseren van mediastreams. Gebruikers krijgen het advies om te updaten naar Google Chrome 99.0.4844.51, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Op 29 maart verschijnt Chrome 100. Vanwege het driecijferige versienummer kan dit bij sommige websites voor problemen gaan zorgen. bron: https://www.security.nl

Nog een aantal maanden en dan kunnen third-party apps zoals e-mailclients en back-upsoftware gebruikers niet meer door middel van alleen een gebruikersnaam en wachtwoord op hun Google-account laten inloggen, zo heeft Google aangekondigd. Dit moet de accounts van gebruikers beter beschermen. Vanaf 30 mei wordt deze inlogmethode niet meer ondersteund, zo laat het techbedrijf weten. Third-party apps kunnen gebruikers vragen om via hun Google-account in te loggen. Op deze manier krijgt de app toegang tot het account van de gebruiker. Sommige apps doen dit door middel van alleen een gebruikersnaam en wachtwoord. "Via minder goed beveiligde apps kunnen hackers makkelijker toegang tot je account krijgen. Door logins via deze apps te blokkeren, kan je account beter worden beveiligd", stelt Google. De optie voor "Toegang door minder goed beveiligde apps" staat standaard uitgeschakeld. Gebruikers kunnen die echter zelf inschakelen om apps zo alsnog toegang te geven. Vanaf 30 mei zal dat niet meer kunnen. "We doen dit om je account te beschermen", legt het techbedrijf uit. Dit kan grote gevolgen voor gebruikers hebben. Zo beschouwt Google elke app die van het IMAP-protocol gebruikmaakt als "minder goed beveiligd". Gebruikers kunnen deze apps straks nog steeds gebruiken, zolang er maar niet met alleen een gebruikersnaam en wachtwoord wordt ingelogd. bron: https://www.security.nl

Onderzoekers van Cisco hebben in de gerber-viewer Gerbv verschillende kritieke kwetsbaarheden ontdekt waardoor een aanvaller willekeurige code op systemen kan uitvoeren en een beveiligingsupdate is niet beschikbaar. Gerbv is een opensourceprogramma waarmee gebruikers gerber-bestanden kunnen bekijken. Deze bestanden bevatten informatie over Printed Circuit Board (PCB)-ontwerpen. Sommige PCB-fabrikanten gebruiken software zoals Gerbv in hun webinterface als tool om gerber-bestanden naar afbeeldingen om te zetten. Gebruikers kunnen gerber-bestanden uploaden naar de fabrikant, die vervolgens via Gerbv worden omgezet naar afbeeldingen. Deze afbeeldingen zijn vervolgens in de browser te bekijken, zodat gebruikers kunnen zien of hun upload aan de verwachtingen voldoet. Gerbv bevat verschillende kwetsbaarheden waardoor een aanvaller via een speciaal geprepareerd gerber-bestand een "out-of-bounds write" kan veroorzaken, wat het uitvoeren van willekeurige code mogelijk maakt. De impact van vier van de in Gerbv gevonden beveiligingslekken, CVE-2021-40401, CVE-2021-40391, CVE-2021-40393 en CVE-2021-40394, zijn op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. Gerbv is als losse gui-applicatie te gebruiken of als library. Daarnaast zijn de kwetsbaarheden ook aanwezig in geforkte versie van de gerber-viewer. De onderzoekers werkten samen met de Gerbv-ontwikkelaars, maar een beveiligingsupdate is vooralsnog niet beschikbaar. bron: https://www.security.nl

Symantec heeft naar eigen zeggen de meest geavanceerde backdoor ooit van een aan China gelieerde spionagegroep ontdekt die voor een campagne tegen overheden en vitale infrastructuur is ingezet en aanvallers laat communiceren met systemen die niet direct vanaf het internet toegankelijk zijn. Dat meldt het securitybedrijf in een analyse. De backdoor wordt Daxin genoemd en komt in de vorm van een Windows-kerneldriver, iets wat tegenwoordig een zeldzaamheid is, aldus de onderzoekers. Daxin zou zijn ontwikkeld voor spionage tegen extra beveiligde doelwitten en beschikt over features die aan de geavanceerde Regin-malware doen denken. Eenmaal actief op een systeem kunnen aanvallers via de backdoor bestanden lezen en schrijven. Ook is het mogelijk om willekeurige processen te starten. Wat Daxin echter doet opvallen is de manier waarop het communiceert en onopgemerkt blijft. De backdoor kan communiceren door legitieme tcp/ip-verbindingen te kapen. Hiervoor monitort Daxin al het inkomend tcp-verkeer op bepaalde patronen. Wanneer de backdoor een dergelijk patroon herkent, verbreekt het de verbinding met de legitieme ontvanger en neemt de verbinding over. De gekaapte tcp-verbinding wordt vervolgens voor de communicatie gebruikt en laat de aanvallers ook communiceren met netwerken waarvoor strengere firewalleregels gelden. Ook voorkomt het de kans dat analisten van een security operations center (SOC) de malware ontdekken. Daxin is ook in staat om de communicatie over een reeks besmette computers binnen de aangevallen organisatie te laten lopen. De aanvallers kunnen zo communiceren met computers op zeer beveiligde netwerken waar een directe internetverbinding niet beschikbaar is. De eerste versie van Daxin dateert van 2013, de laatste aanvallen met de malware werden afgelopen november waargenomen. Pas de latere varianten beschikken over alle geavanceerde features. Hoe doelwitten precies besmet raken laat Symantec niet weten. Ook de connectie met China wordt niet verduidelijkt. Het securitybedrijf zegt binnenkort met meer informatie te komen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties op om de analyse van Daxin te bekijken. bron: https://www.security.nl

Een kwetsbaarheid in de vpn-software van Mozilla maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om systeemrechten te krijgen en zo de machine volledig over te nemen. Mozilla heeft een beveiligingsupdate voor de vpn-software uitgebracht om het probleem te verhelpen. Het is de eerste keer dat een lek in Mozillas vpn-software de impact "high" heeft gekregen. Het beveiligingslek wordt veroorzaakt doordat Mozilla VPN een OpenSSL-configuratie van een onveilige directory kan laden. Een gebruiker of aanvaller met beperkte rechten en toegang tot het systeem kan dit gebruiken om willekeurige code met systeemrechten op het systeem uit te voeren. Daardoor is het mogelijk om volledige controle over de machine te krijgen. De kwetsbaarheid werd door beveiligingsonderzoeker DoHyun Lee aan Mozilla gerapporteerd. Mozillas vpn-dienst is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Sinds de lancering heeft Mozilla drie kwetsbaarheden in de cliëntsoftware verholpen. De impact daarvan was echter als "low" en "moderate" bestempeld, wat op een beperkte impact duidt. De nu verholpen kwetsbaarheid, aangeduid als CVE-2022-0517, is het eerste high-lek in de software. Gebruikers wordt aangeraden om te updaten naar Mozilla VPN 2.7.1. bron: https://www.security.nl

Proximus biedt een aantal stappenplannen aan voor de diverse Outlook-versies. Let vooral op de poortinstelling. Die kunnen nog wel eens het verschil maken tussen wel of niet ontvangen en kunnen zenden. Via onderstaande link wordt je met een aantal stappen door het instelproces geleid. Misschien heb je hier wat aan.: E-mail instellen op je gsm, tablet of pc

Gebruikers van Visual Voicemail zijn gewaarschuwd, want dergelijke diensten versturen inloggegevens zoals wachtwoorden, gebruiksnamen en serverhost onversleuteld via sms. Een aanvaller die sms-berichten kan onderscheppen kan zo toegang tot voicemails krijgen, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Visual Voicemail verscheen voor het eerst in iOS en is een combinatie van sms en imap. Het maakt het mogelijk om voicemails op de telefoon te downloaden en vervolgens in een programma weer te geven. Zodoende hoeft een gebruiker voicemailberichten niet achterelkaar af te luisteren. Wanneer een dergelijke client een status-sms verstuurt, zal de provider reageren met alle inloggegevens die nodig zijn om op de imap-server in te loggen. Een aanvaller die de mogelijkheid heeft om sms-berichten te onderscheppen kan zo gebruikersnaam en wachtwoord in handen krijgen en voicemailberichten lezen. Het onderscheppen van sms zou volgens het CERT/CC op verschillende manieren kunnen, zoals tijdelijke toegang tot de simkaart, het gebruik van een malafide zendmast of de gebruiker een malafide app laten installeren die sms-toegang heeft. Het CERT/CC stelt dat er geen praktische oplossing voor het probleem is. Wanneer mogelijk doen gebruikers er verstandig aan om periodiek hun wachtwoord te wijzigen en Visual Voicemail-data snel te verwijderen. bron: https://www.security.nl

Bij het resetten van een Windowssysteem kunnen bestanden achterblijven, ook al hebben gebruikers ervoor gekozen om alles te verwijderen, zo laat Microsoft weten. Windows biedt een "Reset this PC" optie waarbij het mogelijk is om persoonlijke bestanden te houden of alles bij de reset te verwijderen. In het geval van de "Remove everything" optie kunnen er toch bestanden achterblijven. Het probleem doet zich voor bij mappen die zogeheten "Reparse data" bevatten. Een bestand of directory kan een reparse point bevatten, wat een verzameling van gebruikers-gedefinieerde data is. Wanneer een applicatie een reparse point aanmaakt, slaat het deze data op, plus een reparse tag, die de opgeslagen data identificeert. Bij zowel een handmatige als een remote reset van een Windowssysteem blijven bestanden in mappen met reparse data achter. Het probleem speelt onder andere bij OneDrive en OneDrive for Busines. Ondanks de reset blijven daardoor gedownloade of lokaal gesynchroniseerde gewoon op het systeem staan. Microsoft zegt aan een oplossing te werken en zal wanneer beschikbaar meer informatie verstrekken. In het geval van OneDrive wordt als tijdelijke maatregel aangeraden om OneDrive voor de reset van het systeem te unlinken. Het probleem speelt bij zowel Windows 10 als Windows 11. Vorige week waarschuwde Microsoft MVP Rudy Ooms al dat bij een Windows-reset bestanden in de Windows.old-map achterblijven. bron: https://www.security.nl

De Amerikaanse en Britse autoriteiten hebben een waarschuwing gegeven voor een spionagegroep die wereldwijd doelen door middel van zip-bestanden aanvalt. De groep wordt MuddyWater genoemd en is gelieerd aan de Iraanse inlichtingendienst, zo stellen de FBI, het Cybersecurity and Infrastructure Security Agency (CISA), de U.S. Cyber Command Cyber National Mission Force (CNMF) en het Britse National Cyber Security Centre (NCSC). De groep heeft het voorzien op publieke en private organisaties in verschillende sectoren, waaronder telecom, defensie, olie en gas, in Afrika, Azië, Europa en Noord-Amerika. Voor het aanvallen van deze organisaties maakt de groep onder andere gebruik van bekende kwetsbaarheden in Microsoft Exchange en spearphishing. Bij deze gerichte phishingaanvallen verstuurt de groep zip-bestanden. De zip-bestanden bevatten een Excel-document met een kwaadaardige macro die, wanneer door de gebruiker ingeschakeld, malware installeert, of een pdf-document dat malware probeert te installeren. Om aanvallen door de groep tegen te gaan adviseren de Amerikaanse en Britse autoriteiten het gebruik van application control software om te beperken welke applicaties en code gebruikers kunnen uitvoeren. "E-mailbijlagen en bestanden die via links in e-mails worden gedownload bevatten vaak uitvoerbare code", aldus de waarschuwing. Daarin wordt organisaties ook aangeraden om hyperlinks in e-mail helemaal uit te schakelen en externe e-mails van een banner te voorzien. Tevens krijgen organisaties het advies om gebruikers te trainen en het gebruik van beheerdersrechten te beperken. "Gebruikers die met beheerdersrechten het internet browsen, e-mail gebruiken en code uitvoeren zijn een aantrekkelijk doelwit voor spearphishing, omdat hun systeem, zodra het is geïnfecteerd, aanvallers lateraal door het netwerk laat bewegen, aanvullende toegang geeft en zeer gevoelige informatie laat benaderen", staat verder in de waarschuwing vermeld. De FBI, CISA, CNMF en het NCSC geven in de waarschuwing ook verschillende indicators of compromise waarmee organisaties de malware binnen hun netwerken kunnen detecteren. bron: https://www.security.nl

Antivirusbedrijven waarschuwen voor een nieuw malware-exemplaar genaamd HermeticWiper dat systemen saboteert door de Master Boot Record (MBR) en partities te beschadigen, waardoor de computer niet meer opstart. De malware is met een legitiem certificaat gesigneerd en maakt gebruik van een legitieme driver van het programma EaseUS Partition Master. HermeticWiper is tegen Oekraïense doelwitten ingezet, aldus de antivirusbedrijven. De naam HermeticWiper is afkomstig van het gebruikte certificaat waarmee de malware is gesigneerd. Dit certificaat is namelijk uitgegeven aan het Cypriotische bedrijf Hermetica Digital Ltd. Mogelijk dat de aanvallers een lege vennootschap of niet meer actief bedrijf gebruikten voor het verkrijgen van het certificaat, laat securitybedrijf SentinelOne weten. Eenmaal actief corrumpeert de malware eerst de MBR. De Master Boot Record bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. Door de MBR te corrumperen kan het systeem niet meer starten. Na deze actie richt de malware zich op de partities van de harde schijf. Zo wordt eerst de Volume Shadow Copy Service (VSS) uitgeschakeld, waarna zowel FAT- als NTFS-partities worden gecorrumpeerd. "Dit zorgt ervoor dat systemen met zowel MBR- als GPT-schijven worden getroffen, net zoals WhisperKill werkte", stellen onderzoekers van Cisco. WhisperKill is andere wiper-malware die eerder tegen Oekraïense doelwitten is ingezet. Na bovenstaande acties voert HermeticWiper een reboot uit om zo het wissen van het systeem te voltooien. Hoe de malware precies wordt verspreid is onbekend. Antivirusbedrijf ESET meldt dat de aanvallers in één geval al toegang tot het netwerk van een slachtoffer hadden. bron: https://www.security.nl

IK ga er vanuit dat je vraag beantwoord is en sluit daarom het topic. Wil je het toch weer open hebben stuur dan een van ons even een PM.

Er is een sterke afname van het aantal scans en aanvalspogingen die misbruik van de Log4j-kwetsbaarheid maken. Aanvallers en onderzoekers hebben hun interesse in Log4j verloren, zo stelt het Intern Storm Center (ISC) op basis van eigen onderzoek. Vorige maand kwam antivirusbedrijf Sophos al met een zelfde melding. Op 9 december verscheen erop Twitter een, inmiddels verwijderd, bericht over een kwetsbaarheid in Log4j. Tot dan toe niet echt heel bekende loggingsoftware waarin geen grote problemen waren gevonden. Het beveiligingslek kreeg de naam Log4Shell en werd door sommige experts de grootste kwetsbaarheid aller tijden genoemd. Ook werd er gewaarschuwd voor grootschalig misbruik. Dat misbruik heeft zich vooralsnog niet voorgedaan. In de weken na het uitkomen van de update was er een toename van het aantal scans en aanvallen. Netwerkbeveiliger Fortinet zag in december een enorme hoeveelheid Log4Shell-activiteit (pdf). Sinds januari is er echter een duidelijke afname zichtbaar. "Na verloop van tijd hebben aanvallers en onderzoekers hun interesse in Log4j verloren", stelt Johannes Ullrich van het ISC. "Mede door het snelle handelen van veel organisaties lijkt de omvang van actief misbruik op dit moment mee te vallen. Maar dat wil niet zeggen dat het hierbij blijft", meldde het Nationaal Cyber Security Centrum (NCSC) vorige maand. Het NCSC verwacht dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen blijven uitvoeren. "Het is daarom van belang om waakzaam te blijven", aldus de overheidsinstantie. bron: https://www.security.nl

NAS-fabrikant Asustor heeft wegens een ransomware-aanval op NAS-systemen een beveiligingsupdate uitgebracht en ddns-dienst myasustor.com tijdelijk uitgeschakeld. De afgelopen dagen werden NAS-systemen van Asustor het doelwit van de Deadbolt-ransomware, die data op de systemen voor losgeld versleutelt. Eerder werden NAS-systemen van QNAP door deze ransomware getroffen. Het was onduidelijk hoe criminelen de NAS-systemen met de Deadbolt-ransomware konden versleutelen, maar nu blijkt dat er gebruik is gemaakt van kwetsbaarheden in de NAS-software. Details over deze beveiligingslekken zijn nog niet openbaar gemaakt. Wel roept Asustor gebruikers op om de nieuwste firmware te installeren. Na installatie van deze update (ADM 3.5.9) zal het niet langer mogelijk zijn om te downgraden. Verder heeft de NAS-fabrikant besloten om de ddns-dienst myasustor.com tijdelijk uit te schakelen. Dynamic Domain Name System (ddns) zorgt ervoor dat dynamische ip-adressen aan een vast domein worden gekoppeld, zodat de gebruiker alleen het domein hoeft te onthouden. Via myasustor.com kunnen gebruikers zo hun NAS-systeem benaderen. Vooralsnog is het niet mogelijk voor slachtoffers om de versleutelde data te ontsleutelen. Gebruikers wordt tevens geadviseerd een sterk wachtwoord te gebruiken en de standaard webserver-, https- en http-poorten te wijzigen. Tevens moeten SSH en SFTP, wanneer niet in gebruik, worden uitgeschakeld en dienen gebruikers regelmatig back-ups te maken. Vanwege het toenemend aantal ransomware-aanvallen zegt Asustor het eigen beleid tegen het licht te zullen houden om zo het vertrouwen van klanten te herwinnen. Ook maakt het bedrijf excuses voor het ongemak. bron: https://www.security.nl

De ontwikkelaars van het populaire contentmanagementsysteem (CMS) Drupal hebben besloten om de ondersteuning van Drupal7 opnieuw te verlengen zodat het platform in ieder geval tot november 2023 beveiligingsupdates zal blijven ontvangen. Het grootste deel van de op Drupal-gebaseerde websites draait namelijk nog steeds op deze Drupal-versie. Drupal 7 verscheen in januari 2011. Op 25 februari 2019 kondigde het Drupal-team aan dat in november 2021 de ondersteuning van Drupal 7 zou eindigen. Ruim een jaar later op 24 juni 2020 werd mede vanwege de coronapandemie besloten om de ondersteuning tot 28 november 2022 te verlengen. Gisteren maakte het Drupal-team bekend dat opnieuw is besloten de support te verlengen, aangezien de meeste Drupal-sites nog steeds op Drupal 7 draaien. "Aan het eind van de dag hebben we een moreel belang om zoveel van deze sites als mogelijk te beschermen", zo stelt het ontwikkelteam. Volgend jaar juli zal worden besloten of de support van Drupal 7 met nog een jaar zal worden verlengd. Deze beslissing zal mede worden gemaakt op basis van het aantal Drupal 7-sites en de maintainers van deze versie. Volgens marktvorser W3Techs draait 58 procent van de Drupal-sites op Drupal 7. bron: https://www.security.nl