Captain Kirk

Microsoft heeft het updatebeleid van Exchange Server aangepast en zal voortaan twee keer per jaar een cumulative update (CU) uitbrengen in plaats van één elk kwartaal. Ook wordt erop verzoek van klanten geen cumulative update meer in december uitgebracht. Volgens Microsoft vonden klanten het elk kwartaal uitbrengen van een cumulative update te frequent. Cumulative updates bevatten bugfixes, nieuwe features en alle eerder uitgekomen beveiligingsupdates voor Exchange. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie wel een bepaalde cumulative update (CU) hebben geïnstalleerd. Klanten klaagden dat het lastig was om hun Exchange Server met een recente CU-versie up-to-date te houden. Daarnaast werd aangegeven dat december geen goede maand is voor het uitbrengen van een cumulative update. Dit was ook de reden dat Microsoft afgelopen december geen CU uitbracht. Destijds werd er echter geen reden gegeven. Vanwege de feedback is besloten twee keer per jaar een cumulative update uit te rollen, één in de eerste helft van het jaar en de ander in de tweede helft. Daarbij richt Microsoft zich op releases in april en oktober, maar dit kan afhankelijk van de update veranderen. De volgende CU zal in de tweede helft van 2022 verschijnen en alleen voor Exchange Server 2019 uitkomen, aangezien de mainstream-ondersteuning van Exchange Server 2013 en 2016 is gestopt. Microsoft stelt dat het elke zes maanden uitbrengen van een cumulative update voor sommige updates te lang is. In deze gevallen zal Microsoft met hotfixes komen. Wat betreft de ondersteuning van Exchange Server moeten servers de laatste of een na laatste CU hebben om beveiligingsupdates te blijven ontvangen. bron: https://www.security.nl

Versleutelde e-maildienst ProtonMail gaat nauwer samenwerken met het Tor Project, zodat de apps en diensten die het aanbiedt beter werken met het Tor-netwerk. Het Tor Project biedt bedrijven en organisaties die Tor binnen hun eigen product willen integreren een apart "lidmaatschapsprogramma". Via het programma kan er toegang worden verkregen tot een adviesgroep en wordt er informatie gedeeld over nog in ontwikkeling zijnde projecten. Sponsoren kunnen uit drie verschillende lidmaatschappen kiezen. Het goedkoopste lidmaatschap kost tussen de 10.000 en 50.000 dollar. Voor het tweede lidmaatschap moet tussen de 50.000 en 100.000 dollar worden betaald en "Shallot Onion" leden mogen jaarlijks 100.000 dollar of meer afrekenen. Alle lidmaatschappen bieden toegang tot de adviesgroep en webinars. Het verschil zit in de bijkomende promotie vanuit het Tor Project. ProtonMail heeft gekozen voor het goedkoopste lidmaatschap. "Dit laat ons nauwer met het Tor Project-team werken en de ervaring van de Proton web-apps over Tor verbeteren", zegt Proton-ceo Bart Butler. Als onderdeel van de samenwerking zijn er grote aanpassingen doorgevoerd aan de Tor-site van ProtonMail en zijn er Tor-sites voor Proton Calendar en Proton Drive gelanceerd. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het verleden zijn er verschillende incidenten met malafide exitnodes geweest die aanvallen op gebruikers uitvoerden. Tor biedt daarnaast de mogelijkheid voor het hosten van websites, de zogeheten onion-sites, die alleen vanaf het Tor-netwerk toegankelijk zijn. Er is een verschil tussen het gebruik van Tor Browser om een website op het 'normale' internet te bezoeken en het apart hosten van een onion-site op het Tor-netwerk die via Tor Browser wordt bezocht. In het eerste geval waarbij de 'normale' website via Tor Browser wordt bezocht is er nog altijd het risico van de exitnode. Door een website op het Tor-netwerk zelf te starten wordt dit risico weggenomen, omdat het verkeer op het Tor-netwerk blijft. bron: https://www.security.nl

Browserontwikkelaar Opera heeft de standaardversie van Opera voorzien van een nieuwe ingebouwde cryptowallet waarmee gebruikers hun cryptovaluta kunnen beheren. De wallet was eerst alleen beschikbaar in de Opera Crypto Browser, die specifiek voor cryptogebruikers is ontwikkeld. Volgens Opera moet de cryptowallet het gebruik van cryptovaluta voor mensen eenvoudiger maken en voor een toekomstbestendige "Web 3.0 browser" zorgen. Opera beschikte al over een ingebouwde cryptowallet, maar de nieuwe cryptowallet moet voor een betere web 3.0- en crypto-ervaring zorgen. Het gaat om een non-custodial cryptowallet die netwerkondersteuning voor Ethereum en Polygon biedt. Zo is het mogelijk om Ethereum te kopen, maar ook Matic- en Ethereum-tokens te kopen, versturen of om te wisselen. Daarnaast maakt de nieuwe wallet het mogelijk om zonder extensies direct met Ethereum en Polygon dApps verbinding te maken. DApps zijn gedecentraliseerde apps die autonoom kunnen opereren. De nieuwe wallet is beschikbaar in Opera 86. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP zijn kwetsbaar door verschillende beveiligingslekken in Apache HTTP Server. Beveiligingsupdates zijn nog niet beschikbaar, maar worden wel ontwikkeld, zo laat QNAP in een advisory weten. De Apache Software Foundation kwam op 14 maart met Apache httpd 2.4.53, waarmee meerdere kwetsbaarheden worden verholpen. Twee van deze beveiligingslekken zijn ook aanwezig in de software die op QNAP-systemen draait. Via deze kwetsbaarheden kan een aanvaller in theorie een buffer overflow veroorzaken of heap memory met eigen data overschrijven. QNAP meldt dat het de twee kwetsbaarheden aan het onderzoeken is en zo snel mogelijk met beveiligingsupdates komt. In de tussentijd zijn er mitigaties om de problemen te verhelpen. bron: https://www.security.nl

Vorig jaar telde Google een recordaantal zerodaylekken waar actief misbruik van werd gemaakt. En hoewel detectie en bekendmaking van dergelijke kwetsbaarheden beter wordt doen softwareontwikkelaars volgens Google nog te weinig om het vinden en gebruiken van zerodays lastig te maken. Zerodays zijn kwetsbaarheden waar actief misbruik van wordt gemaakt en waarvoor nog geen beveiligingsupdate beschikbaar is. In totaal noteerde Google vorig jaar 58 zerodays in verschillende producten, waaronder het eigen Android en Chrome, maar ook iOS en Safari. Van de beveiligingslekken waren er 39, oftewel 67 procent, memory corruption kwetsbaarheden. Dergelijke kwetsbaarheden zijn al decennia de standaard voor het aanvallen van software en zijn nog steeds manier waarop aanvallers succes hebben. Het gaat dan om type kwetsbaarheden als use-after-free, buffer overflows en integer overflows. "Als industrie maken we zerodays niet lastig", zegt Maddie Stone van Google. Aanvallers hebben volgens haar nog steeds succes met dezelfde soort kwetsbaarheden die eerder zijn gebruikt en in onderdelen die eerder als aanvalsoppervlak zijn besproken. Volgens Stone moet het doel zijn dat aanvallers elke keer dat er een zeroday-exploit wordt ontdekt helemaal opnieuw moeten beginnen. Iets wat nog altijd niet het geval is. Daarnaast vermoedt Stone dat er softwareleveranciers zijn die verzwijgen dat er misbruik van een zerodaylek in hun software wordt gemaakt. "Totdat we zeker zijn dat alle leveranciers actief misbruik melden, blijft het een grote vraag hoeveel actief misbruikte zerodaylekken zijn ontdekt, maar niet door leveranciers zo worden genoemd." Verder stelt Stone dat de meeste mensen zich geen zorgen hoeven te maken dat ze zelf het doelwit van een zeroday-aanval worden, maar dat dergelijke aanvallen ons uiteindelijk allemaal raken. "Deze zerodays hebben een grote impact op de samenleving en we moeten dus blijven doen wat we kunnen om het lastiger voor aanvallers te maken met deze aanvallen succesvol te zijn." Eerder berichtte Security.NL in dit achtergrondartikel dat er vorig jaar een recordaantal zerodaylekken is waargenomen. bron: https://www.security.nl

Oracle heeft tijdens de patchronde van dit kwartaal een recordaantal van 520 kwetsbaarheden in meerdere producten verholpen. Niet eerder kwam het bedrijf in één keer met patches voor zoveel beveiligingslekken. De impact van drie van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Zeventig kwetsbaarheden hebben een impactscore van 9.8. Via dergelijke lekken is het mogelijk voor aanvallers om zonder authenticatie systemen op afstand over te nemen. De meeste kwetsbaarheden, 149 in totaal, zijn verholpen in producten die onder Oracle Communications vallen. Verder zijn er 54 kwetsbaarheden in Oracle Fusion Middleware gepatcht. Het gaat onder andere om Oracle HTTP Server en Oracle WebLogic Server. Dit laatste product is in het verleden geregeld het doelwit van aanvallen geweest, waarbij aanvallers kwetsbaarheden kort na het uitkomen van de update misbruikten. Oracle adviseert organisaties vanwege de dreiging van een succesvolle aanval om de beveiligingsupdates zo snel mogelijk te installeren. Het bedrijf blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Oracle brengt niet maandelijks maar elk kwartaal updates uit. De volgende patchronde staat gepland voor 19 juli 2022. bron: https://www.security.nl

De Amerikaanse overheid heeft opnieuw gewaarschuwd voor een kwetsbaarheid in de Windows Print Spooler waar aanvallers actief misbruik van maken. Eind maart werd een zelfde waarschuwing voor een ander beveiligingslek in het Windowsonderdeel gegeven. De kwetsbaarheid, aangeduid als CVE-2022-22718, bevindt zich in de Windows Print Spooler en maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Het beveiligingslek alleen is niet voldoende om een systeem over te nemen. Microsoft rolde op 8 februari een update voor het probleem uit en meldde toen dat er geen misbruik van werd gemaakt. Dat is inmiddels veranderd, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Kwetsbaarheden in de Windows Print Spooler zijn in het verleden vaker gebruikt bij aanvallen. Een ander lek in de Print Spooler waarvoor op 8 februari een patch verscheen, CVE-2022-21999, werd eerder al bij aanvallen ingezet. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. In het geval van CVE-2022-22718 moeten Amerikaanse overheidsinstanties deze kwetsbaarheid voor 10 mei in hun systemen hebben verholpen. bron: https://www.security.nl

QNAP adviseert eigenaren van een NAS-systeem om UPnP port forwarding voor het apparaat op de router uit te schakelen. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren. Aangezien het bedoeld is om op lokale, vertrouwde netwerken te worden gebruikt implementeert het UPnP-protocol standaard geen enkele vorm van authenticatie of verificatie. Volgens QNAP is UPnP geen veilig protocol. "Het gebruikt netwerk UDP-multicasts, geen encryptie en geen authenticatie. Aangezien UPnP niet geauthenticeerd is, kan één apparaat port mapping voor een ander apparaat aanvragen. Hackers kunnen UPnP misbruiken om via malafide bestanden aanvallen uit te voeren, je systeem te infecteren en controle te krijgen", zo stelt de NAS-fabrikant. Eigenaren van een QNAP-NAS worden aangeraden om het apparaat achter een router en firewall te houden zonder publiek ip-adres. "Je moet handmatige port forward en UPnP port forwarding voor de QNAP NAS in je routerconfiguratie uitschakelen", aldus het advies. Volgens QNAP kunnen gebruikers beter de myQNAPcloud Link-service gebruiken voor het benaderen van hun NAS-systeem. Wel stelt de fabrikant dat de snelheid hierbij lager ligt, omdat het verkeer via de servers van QNAP gaat. Verder wordt gebruikers aangeraden om de vpn-server op hun router in te schakelen wanneer het nodig is om het NAS-systeem vanaf het internet te bereiken. bron: https://www.security.nl

Meer dan honderd verschillende modellen Lenovo-laptops met wereldwijd miljoenen gebruikers zijn kwetsbaar voor aanvallers omdat de fabrikant naar eigen zeggen 'per ongeluk' firmware-drivers aan de BIOS-image heeft toegevoegd. Daardoor kan een aanvaller beveiligingsmaatregelen van het SPI-flashgeheugen en de Secure Boot-feature uitschakelen, zo meldt antivirusbedrijf ESET dat de kwetsbaarheden ontdekte. De aanval is mogelijk doordat Lenovo verschillende drivers die worden gebruikt tijdens het productieproces 'per ongeluk' aan de productie BIOS-images heeft toegevoegd. Daarnaast zijn deze drivers niet voldoende gedeactiveerd. Een aanvaller die bijvoorbeeld via malware toegang tot het systeem heeft kan deze drivers activeren en vervolgens de bescherming van het SPI-flashgeheugen uitschakelen. Ook is het mogelijk om Secure Boot uit te zetten. Verder zou een aanvaller zo UEFI-malware in het SPI-flashgeheugen van het moederbord kunnen installeren die lastig te detecteren en verwijderen is. ESET waarschuwde Lenovo op 11 oktober vorig jaar. Gisteren kwam Lenovo met BIOS-updates en een security-advisory. Vandaag heeft ESET de details van de kwetsbaarheden (CVE-2021-3970, CVE-2021-3971 en CVE-2021-3972) openbaar gemaakt. bron: https://www.security.nl

Onderzoekers hebben een nieuwe zero-click iMessage-exploit ontdekt die is gebruikt om iPhones van Catalanen met de Pegasus-spyware te infecteren. Dat meldt Citizen Lab, een onderdeel van de universiteit van Toronto dat onderzoek doet naar het gebruik van politieke macht in cyberspace. Ook doet het veel onderzoek naar het gebruik van spyware tegen activisten, journalisten en dissidenten. Citizen Lab heeft naar eigen zeggen 63 Catalaanse personen geïdentificeerd die met de Pegasus-spyware van de NSO Group zijn geïnfecteerd. Het gaat om leden van het Europees Parlement, Catalaanse presidenten, wetgevers, juristen en leden van maatschappelijke organisaties. In sommige gevallen werden ook familieleden met de spyware geïnfecteerd. Volgens de onderzoekers zijn erbij de aanvallen die van 2017 tot en met 2020 plaatsvonden verschillende zero-click iMessage-exploits gebruikt. Deze exploits maken gebruik van kwetsbaarheden in iMessage waarbij er geen enkele interactie van het slachtoffer is vereist. Een aanvaller hoeft in dit geval alleen het telefoonnummer of Apple ID-gebruikersnaam van het slachtoffer te kennen om de iPhone met spyware te infecteren. Eén van de exploits waarvan gebruik werd gemaakt was niet eerder waargenomen en wordt door de onderzoekers Homage genoemd. Deze exploit zou eind 2019 zijn ingezet tegen iPhones met iOS 13.1.3 en ouder. Er zijn geen aanvallen tegen nieuwere iOS-versies waargenomen, waardoor de onderliggende kwetsbaarheid mogelijk in iOS 13.2 is verholpen, aldus de onderzoekers. Citizen Lab heeft de exploit bij Apple gemeld, alsmede forensische sporen gedeeld. Op dit moment zijn er volgens de onderzoekers geen aanwijzingen dat gebruikers met een up-to-date iPhone risico lopen. Naast het gebruik van iMessage werden slachtoffers ook geïnfecteerd via een kwetsbaarheid in WhatsApp en sms-berichten met malafide links. Citizen Lab kan niet met volle zekerheid zeggen wie erachter de aanvallen zit, maar stelt wel dat er een sterk verband is met de Spaanse overheid. De onderzoekers merken op dat het onderzoek naar de besmette telefoons arbeidsintensief is en van veel meer personen de toestellen niet zijn gecontroleerd. Daarnaast hebben de onderzoekers met de door hun gebruikte onderzoeksmethodes minder inzicht in Androidbesmettingen, terwijl er veel meer Androidgebruikers in de Catalaanse regio zijn. Er wordt dan ook vermoed dat het werkelijke aantal slachtoffers vele malen hoger is. Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid. bron: https://www.security.nl

Verschillende blockchain- en cryptobedrijven zijn de afgelopen jaren het doelwit geworden van een door Noord-Korea gesponsorde advanced persistent threat (APT)-groep die hierbij besmette applicaties inzet, zo claimen de FBI, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Amerikaanse ministerie van Financiën. De groep wordt Lazarus genoemd, maar staat ook bekend als APT38, BlueNoroff en Stardust Chollima. Volgens de Amerikaanse autoriteiten heeft de groep sinds tenminste 2020 aanvallen uitgevoerd tegen cryptobeurzen, decentralized finance (DeFi)-protocollen, videogames waarmee cryptovaluta zijn te verdienen, cryptovaluta-handelsbedrijven, durfinvesteerders die in cryptovaluta investeren en personen die over grote hoeveelheden cryptovaluta en waardevolle non-fungible tokens (NFTs) beschikken. Voor het uitvoeren van de aanvallen maakt de APT-groep gebruik van social engineering via verschillende communicatieplatformen, waarbij personen worden verleid om getrojaniseerde cryptovaluta-applicaties voor macOS en Windows te downloaden. Via deze besmette programma's krijgen de aanvallers toegang tot het systeem van het slachtoffer en kunnen daarvandaan het verdere netwerk compromitteren. Uiteindelijk proberen de aanvallers frauduleuze blockchain-transacties uit te voeren, aldus de waarschuwing van de overheidsinstanties. Aangezien de aanvallers veel gebruikmaken van social engineering is het volgens de FBI en het CISA belangrijk om personeel over spearphishing te informeren. Zo doen de aanvallers zich bijvoorbeeld voor als recruiters en gebruiken e-mail en socialmediaplatformen om een vertrouwensband met het slachtoffer op te bouwen, voordat ze malafide documenten versturen. "Werknemers die cybersecurity aware zijn, zijn één van de beste verdedigingen tegen socialengineeringtechnieken zoals phishing", zo laten de overheidsinstanties verder weten. Ook wordt gewaarschuwd om voorzichtig te zijn met third-party downloads en dan met name het downloaden van cryptovaluta-applicaties. Gebruikers moeten hun downloads dan ook altijd controleren en zeker weten dat het bestand van een betrouwbare bron afkomstig is en niet van een derde leverancier. "Aanvallers laten steeds zien dat ze applicaties van malware kunnen voorzien om zo toegang tot systemen te krijgen", melden de FBI en het CISA, die tevens een reeks technische beveiligingsmaatregelen adviseren. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt heeft de Levchin-prijs gewonnen wegens de inzet voor encryptie. De prijs, bedacht door internetondernemer Max Levchin, wordt sinds 2015 elk jaar uitgereikt aan personen die zich hebben ingezet voor "real-world" crypto. Let's Encrypt geeft gratis tls-certificaten uit die websites gebruiken voor het opzetten van een versleutelde verbinding met bezoekers en identificatie. Sinds de lancering eind 2015 heeft Let's Encrypt meer dan 2,53 miljard certificaten uitgegeven en een belangrijke rol gespeeld bij de groei van het aantal https-sites. Op dit moment maken meer dan 280 miljoen websites gebruik van door Let's Encrypt uitgegeven certificaten, die negentig dagen geldig zijn, en worden er tussen de twee en drie miljoen certificaten per dag uitgegeven. In totaal wordt Let's Encrypt draaiende gehouden door slechts elf engineers en een klein team dat zich bezighoudt met het binnenhalen van sponsoring, communicatie en administratieve taken. "Dat zijn niet veel mensen voor een organisatie die honderden miljoenen websites wereldwijd bedient", zegt Josh Aas, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt. De certificaatautoriteit maakt zich klaar om uiteindelijk één miljard websites te kunnen bedienen. "Wanneer dat moment komt zal het team groter zijn, maar waarschijnlijk niet veel groter. Efficiëntie vinden we voor verschillende redenen belangrijk. De eerste is principe, we vinden het onze verplichting om met elke dollar die ons wordt toevertrouwd zoveel mogelijks goeds te doen. De tweede reden is noodzaak, het is niet eenvoudig om geld in te zamelen, en we moeten onze best doen om ons doel te bereiken met de middelen die we hebben", laat Aas verder weten. bron: https://www.security.nl

Aanvallers maken op dit moment actief misbruik van twee kwetsbaarheden in VMware Workspace One Access waarvoor op 6 april een beveiligingsupdate verscheen, zo laten VMware en de Amerikaanse overheid weten. Workspace One is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. Met de patch van 6 april werden meerdere kwetsbaarheden in de software verholpen. Op 13 april liet VMware weten dat aanvallers misbruik maken van CVE-2022-22954. Via deze kwetsbaarheid is het mogelijk voor een ongeauthenticeerde aanvaller om door middel van server-side template injection willekeurige code op het systeem uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Inmiddels blijkt dat ook een tweede kwetsbaarheid actief bij aanvallen tegen het Workspace One-platform worden ingezet. Het gaat om CVE-2022-22960. Via dit beveiligingslek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en root worden. Deze kwetsbaarheid is mogelijk door verkeerde permissies in de supportscripts. De impactscore van deze kwetsbaarheid bedraagt 7.8. Organisaties worden opgeroepen om hun installaties te updaten. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties opgeroepen om de beveiligingsupdate voor 6 mei uit te rollen. bron: https://www.security.nl

Microsoft heeft gebruikers van Office 2013 erop gewezen dat over precies een jaar de ondersteuning van de kantoorsoftware stopt. Office 2013 zal dan geen beveiligingsupdates meer ontvangen. De kantoorsoftware werd op 29 januari 2013 gelanceerd. Microsoft voorzag Office 2013 vijf jaar van mainstream support, die op 10 april 2018 eindigde. De extended support stopt op 11 april 2023. Gebruikers en organisaties die nog van Office 2013 gebruikmaken worden door Microsoft opgeroepen om naar een nieuwere Office-versie te upgraden en daar niet mee te wachten. Op 11 april 2023 stopt Microsoft ook de ondersteuning van Exchange 2013, SharePoint Server 2013, Visio 2013 en nog een aantal andere producten. bron: https://www.security.nl

Internetbedrijf Akamai, het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, de Britse gezondheidszorg en tal van beveiligingsexperts waarschuwen voor een kritieke Windows-kwetsbaarheid waarvoor Microsoft afgelopen dinsdagavond een beveiligingsupdate uitbracht. Het beveiligingslek, aangeduid als CVE-2022-26809, is aanwezig in de Remote Procedure Call (RPC) runtime library en kan een aanvaller zonder enige interactie van gebruikers controle over systemen geven. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 dan ook beoordeeld met een 9.8. Alle Windows-systemen waar poort 445 toegankelijk is en een kwetsbare RPC runtime library draait zijn kwetsbaar. Volgens zoekmachine Shodan is bij zo'n 730.000 Windows-machines poort 445 toegankelijk vanaf het internet. Censys komt op zo'n 824.000 machines uit. Microsoft geeft als mitigatie het blokkeren van tcp-poort 445 op de perimeter-firewall. Tcp-poort 445 wordt namelijk gebruikt om een verbinding met het kwetsbare Windows-onderdeel te maken. Door poort 445 te blokkeren worden systemen achter de firewall beschermd. Iets wat volgens Microsoft de beste bescherming is tegen aanvallen vanaf het internet. "Systemen binnen de enterprise perimeter kunnen echter nog steeds kwetsbaar zijn", aldus het techbedrijf, dat verwacht dat misbruik van de kwetsbaarheid zeer waarschijnlijk is. Internetbedrijf Akamai adviseert ook om tcp-poort 445 voor systemen buiten de enterprise perimeter te blokkeren. Om laterale bewegingen van aanvallers binnen het netwerk te beperken wordt aangeraden om inkomend verkeer voor tcp-poort 445 alleen toe te staan op machines waar het noodzakelijk is, zoals domeincontrollers, printservers en fileservers. Verder wordt opgeroepen de update te installeren. Het CISA kwam eerder al met een melding van de patchdinsdag van april, die ook de update voor de bovengenoemde kwetsbaarheid bevat. Vanwege de ernst van het beveiligingslek is de Amerikaanse overheidsdienst ook nog met een aparte waarschuwing gekomen. De Britse gezondheidszorg verwacht snel misbruik van de kwetsbaarheid en roept ziekenhuizen en andere zorginstellingen op om de patch snel te installeren en ook verschillende beveiligingsexperts slaan op Twitter Twitter alarm over het lek, dat in theorie tot een computerworm kan leiden. bron: https://www.security.nl

Een kwetsbaarheid in de Wireless LAN Controller van Cisco maakt het mogelijk om met zelfgemaakte inloggegevens als beheerder in te loggen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met 10.0. Het probleem wordt volgens Cisco veroorzaakt door een verkeerde implementatie van het algoritme dat ingevoerde wachtwoorden moet valideren. Hierdoor kan een aanvaller met zelfgemaakte inloggegevens de authenticatie omzeilen en als beheerder inloggen. Hiervoor moet wel de beheerdersinterface toegankelijk zijn. Daarnaast is de aanval alleen uit te voeren in een niet-standaard apparaatconfiguratie. De optie "macfilter radius compatibility" moet namelijk op "other" staan. In de default configuratie is dit niet het geval. De kwetsbaarheid, aangeduid als CVE-2022-20695, raakt verschillende Cisco-producten, waaronder de 3504, 5520 en 8540 Wireless Controller, Mobility Express en Virtual Wireless Controller (vWLC). Cisco heeft zowel updates als workarounds uitgebracht om het probleem te verhelpen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de populaire Elementor-plug-in voor WordPress maakt het mogelijk om websites op afstand over te nemen. Een beveiligingsupdate is sinds afgelopen dinsdag beschikbaar. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Meer dan vijf miljoen WordPress-sites maken gebruik van Elementor. In versie 3.6.0 tot en met 3.6.2 zit een kritiek lek waardoor elke geauthenticeerde gebruiker willekeurige PHP-code kan uploaden en uitvoeren. Met de lancering van versie 3.6.0 is een nieuwe onboarding-module toegevoegd voor het vereenvoudigen van de initiële setup van de plug-in. De module voert bepaalde acties pas uit als de gebruiker over een geldige nonce beschikt. Deze nonce_key was echter eenvoudig voor elke geauthenticeerde gebruiker te verkrijgen. Alleen het bekijken van de broncode van het admin dashboard was voldoende. Dit was ook mogelijk voor subscribers van de betreffende website. Met de nonce_key is het vervolgens mogelijk een functie aan te roepen om willekeurige PHP-code te uploaden en uit te voeren en zo de website over te nemen. De impact van de kwetsbaarheid, aangeduid als CVE-2022-1329, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De Elementor-ontwikkelaars werden op 29 maart ingelicht en kwamen op 12 april met versie 3.6.3 waarin het probleem is verholpen, zo meldt securitybedrijf Wordfence dat de kwetsbaarheid ontdekte. bron: https://www.security.nl

Microsoft is erin geslaagd om een botnet dat onder andere werd gebruikt voor het verspreiden van ransomware ernstig te verstoren. De rechter gaf het techbedrijf een bevel waarmee het bijna vierhonderd domeinen in handen kreeg die het ZLoader-botnet gebruikt voor het communiceren met besmette machines. Daarnaast heeft Microsoft een persoon geïdentificeerd die wordt verdacht van het ontwikkelen van een onderdeel van de ZLoader-malware. De malware was oorspronkelijk ontwikkeld voor het plegen van bankfraude en het stelen van inloggegevens, wachtwoorden en andere informatie. De malware bevatte ook een onderdeel dat antivirussoftware op het systeem uitschakelde om zo detectie te voorkomen. Later werd ZLoader als een "malware as a service" gebruikt, waarbij het onder andere ransomware begon te verspreiden. Via een gerechtelijk bevel kreeg Microsoft de controle over 65 hardcoded domeinen waarmee het botnet wordt aangestuurd, alsmede 319 domeinen die via een domain generation algorithm (DGA) worden gegeneerd. Deze domeinen fungeren als back-up als de hardcoded domeinen offline zijn. Microsoft zegt dat het ook nog via het DGA te genereren domeinen gaat blokkeren, wat moet voorkomen dat de botnetbeheerders met het botnet kunnen communiceren. Bij de operatie werkte Microsoft met verschillende securitybedrijven samen, waaronder ESET, Black Lotus Labs, Palo Alto Networks en Avast. Volgens Microsoft is het botnet nu een slag toegebracht, maar zullen de verantwoordelijke criminelen proberen om hun activiteiten via ZLoader weer voort te zetten. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de populaire webwinkelsoftware Adobe Commerce en Magento Open Source maakt het mogelijk voor aanvallers om webshops op afstand over te nemen. Adobe heeft beveiligingsupdates uitgebracht en roept webwinkels op om die snel te installeren, waarbij als suggestie binnen 72 uur wordt aangeraden. Honderdduizenden webshops draaien op Adobe Commerce, dat eerder nog bekendstond als Magento Commerce, en Magento Open Source. De afgelopen jaren is het geregeld voorgekomen dat webshops zijn gecompromitteerd via bekende kwetsbaarheden in beide producten. Het beveiligingslek waarvoor Adobe nu waarschuwt, CVE-2022-24093, wordt veroorzaakt door het niet goed valideren van gebruikersinvoer en maakt remote code execution mogelijk. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Adobe heeft de beveiligingsupdates de hoogste prioriteit gegeven. Een dergelijk prioritering wordt alleen gegeven aan aangevallen kwetsbaarheden of beveiligingslekken die een grotere kans hebben om te worden misbruikt. Webwinkels wordt geadviseerd de update "zo snel mogelijk" te installeren, waarbij Adobe als voorbeeld binnen 72 uur geeft. bron: https://www.security.nl

Een groep aanvallers die verantwoordelijk was voor de grote Exchange-aanval van vorig jaar en ook andere zerodaylekken heeft gebruikt om toegang tot organisaties te krijgen, maakt gebruik van "verborgen" geplande taken om toegang tot hun slachtoffers te behouden, zo laat Microsoft weten. Volgens het techbedrijf waren het afgelopen jaar onder andere telecombedrijven, internetproviders en datadiensten het doelwit van de groep, die Hafnium wordt genoemd. Bij slachtoffers ontdekte Microsoft een malware-exemplaar genaamd Tarrask dat via de Windows Task Scheduler taken aanmaakt om toegang tot de computer te behouden. Via de Taakplanner is het mogelijk om allerlei taken uit te voeren. De malware gebruikt dit echter als een "persistence mechanism", zo laat Microsoft weten. Zo worden bij het aanmaken van een nieuwe taak verschillende registersleutels aangemaakt. Om detectie van deze taak te voorkomen verwijdert de malware de SD-waarde van de registersleutel. SD staat voor Security Descriptor en bepaalt welke gebruikers de betreffende taak kunnen uitvoeren. Door het verwijderen van de SD-waarde verdwijnt de taak uit de Taakplanner en de schtasks command line tool. De taak is in principe verborgen, tenzij het betreffende registerpad handmatig wordt bekeken, aldus Microsoft. Volgens het techbedrijf laat het gebruik van de Windows Taakplanner op deze manier zien dat de Hafnium-groep een unieke kennis van het Windows-subsysteem heeft en deze expertise gebruikt om de activiteiten op besmette systemen te verbergen en toegang te behouden. "We erkennen dat geplande taken een effectieve tool voor aanvallers zijn om bepaalde taken te automatiseren om persistentie te bereiken", aldus Microsoft, dat met de nu gepubliceerde blogposting meer bewustzijn over deze techniek wil creëren. Daarnaast geeft het techbedrijf tips om de beschreven activiteiten van de Hafnium-groep te detecteren. bron: https://www.security.nl

Vpn-provider ProtonVPN inspecteert het netwerkverkeer dat loopt via de gratis vpn-servers die het aanbiedt. Netwerkverkeer van en naar betaalde vpn-servers wordt niet geïnspecteerd, zo blijkt uit een audit van de "no-logs" policy van het bedrijf. Tal van vpn-providers claimen dat ze geen data of metadata van gebruikers loggen. ProtonVPN heeft een externe audit naar het eigen no-logs beleid laten uitvoeren. Volgens het auditrapport (pdf) logt ProtonVPN geen data betreffende dns-verkeer of andere metadata. Ook houdt de vpn-provider geen logs bij over welke diensten gebruikers gebruiken. Eén uitzondering is de detectie en het blokkeren van bittorrentverkeer op de gratis vpn-servers. "ProtonVPN inspecteert het netwerkverkeer op de gratis vpn-servers", aldus het auditrapport. Dit wordt gedaan om bittorrentverkeer te blokkeren dat de prestaties van de gratis servers kan beïnvloeden. Dit heeft volgens de auditors geen gevolgen voor de privacy van gebruikers. ProtonVPN logt geen informatie over de gedetecteerde of geblokkeerde verbindingen, zo stellen ze. Er is ook geen sprake van deep traffic inspection, alleen het soort netwerkverkeer wordt gedetecteerd. De inhoud van de netwerkpakketjes, zoals de naam van de betreffende torrent, wordt niet geanalyseerd of gelogd, zo laten de auditors verder weten. De auditors stellen ook dat ProtonVPN geen informatie bijhoudt over de vpn-servers waarmee gebruikers zijn verbonden. Voor het inloggen op de vpn-servers wordt een willekeurige gebruikersnaam en wachtwoord gegenereerd waarmee de gebruiker niet lokaal aan de kant van de vpn-server is te identificeren. Technische zou dit wel op de API-server kunnen, maar ProtonVPN stelt dat een dergelijk mechanisme op het moment van de audit niet was geïmplementeerd. bron: https://www.security.nl

Microsoft heeft tijdens de patchdinsdag van april 128 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek in Windows en drie kwetsbaarheden die 'wormable' zijn. Het zerodaylek, aangeduid als CVE-2022-24521, bevindt zich in de Windows Common Log File System Driver en zorgt ervoor dat een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Het beveiligingslek maakt het niet mogelijk om een systeem op afstand over te nemen. Details over de waargenomen aanvallen worden niet gegeven. Het beveiligingslek werd gevonden door een onderzoeker van securitybedrijf Crowdstrike en de Amerikaanse geheime dienst NSA en gerapporteerd aan Microsoft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. De gevaarlijkste kwetsbaarheden waarvoor Microsoft deze maand updates uitrolde, met een impactscore van 9.8, zijn aanwezig in de RPC Runtime Library en het Windows Network File System. Ze maken het in bepaalde omstandigheden mogelijk om systemen zonder enige interactie van gebruikers over te nemen. In theorie zouden de kwetsbaarheden, die aanwezig zijn in alle ondersteunde Windowsversies, door een computerworm zijn te gebruiken. "In ieder geval tussen machines waar RPC toegankelijk is", zegt Dustin Childs van het Zero Day Initiative over het lek in de RPC Runtime Library (CVE-2022-26809). Een aanval zou alleen over tcp-poort 135 mogelijk zijn, die volgens Childs meestal op de netwerkperimeter wordt geblokkeerd. Aanvallers zouden het lek wel kunnen gebruiken om zich lateraal door een al gecompromitteerd netwerk te bewegen. De andere twee "wormable" kwetsbaarheden (CVE-2022-24491 en CVE-2022-24497) zijn aanwezig in het Windows Network File System en maken ook remote code execution zonder interactie van gebruikers mogelijk. Voorwaarde is wel dat voor het systeem de "NFS role" staat ingeschakeld. Een computerworm zou zich zo zonder interactie van gebruikers tussen NFS-servers kunnen verspreiden. Childs roept organisaties dan ook op om de updates voor deze drie kwetsbaarheden snel uit te rollen en ook Microsoft verwacht dat aanvallers misbruik van de lekken zullen gaan maken. De patches worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Verschillende politie- en opsporingsdiensten hebben het populaire cybercrimeforum RaidForums.com offline gehaald en de vermeende beheerder van het forum aangehouden, alsmede twee van zijn handlangers. Via het forum werd onder andere gehandeld in gestolen databases, creditcardgegevens, inloggegevens en andere data. Het in 2015 gelanceerde forum telde meer dan vijfhonderdduizend gebruikers. RaidForums kwam geregeld in het nieuws nadat er gestolen databases van onder andere Amerikaanse en Britse bedrijven te koop werden aangeboden. De FBI, Secret Service, Europol, het Britse National Crime Agency (NCA) alsmede politiediensten uit Zweden, Duitsland, Roemenië en Portugal zijn een jaar bezig geweest om de infrastructuur en personen achter het forum in kaart te brengen. Tijdens de laatste fase van "Operation Tourniquet" werden servers van RaidForums en de domeinnaam in beslag genomen en konden drie verdachten worden aangehouden, waaronder de vermeende beheerder van het forum, zo laat Europol vandaag weten. Het Britse NCA meldt dat de verdachte beheerder een 21-jarige Brit is die vorige maand in zijn woning kon worden aangehouden. Tijdens zijn aanhouding zijn duizenden ponden en dollars aan contanten in beslag genomen en zijn cryptovaluta ter waarde van meer dan een half miljoen dollar bevroren. bron: https://www.security.nl

Mozilla gaat in een nieuwe versie van Firefox voorkomen dat iframes die zich in een sandbox bevinden protocollen kunnen aanroepen om zo externe applicaties op de desktop of smartphone te starten. Verschillende applicaties maken gebruik van een eigen protocol of url-handler voor het starten van de applicatie via een bepaalde url. Er zijn situaties waarbij iframes dergelijke url's kunnen aanroepen en zo de betreffende applicatie op het systeem van de gebruiker kunnen starten. Malafide adverteerders zouden hier misbruik van kunnen maken. Firefox maakt gebruik van een sandbox om te beperken wat er via een iframe kan worden gedaan, zoals het voorkomen van pop-ups, het uitvoeren van plug-ins en scripts en het handhaven van de same-origin policy. Het blijkt echter mogelijk om via een gesandboxt iframe externe protocol-handlers aan te roepen. Mozilla heeft nu besloten om dit door het toevoegen van een patch te voorkomen. "Dit houdt in dat gesandboxte derde partijen niet langer externe applicaties op de desktop of telefoon kunnen openen", zegt Mozillas Niklas Baumgardner. De patch die hiervoor zorgt is toegevoegd aan een vroege testversie van Firefox. Wanneer die in de releaseversie verschijnt is nog onbekend. bron: https://www.security.nl

De afgelopen weken wisten aanvallers meerdere schone WordPress-installaties met malware te infecteren, waarbij ze vermoedelijk logs of informatie van certificaatautoriteit Let's Encrypt gebruikten. Na de installatie van WordPress moet die nog worden geconfigureerd. Het gebeurt al lange tijd dat aanvallers erin slagen om nog niet geconfigureerde WordPress-installaties te kapen. "Dit kan omdat WordPress geen beperkingen voor het configureren kent zodra de bestanden op de website zijn geladen kun je die met een database op een andere server configureren, zodat je geen toegang tot bestaande inloggegevens voor de website hoeft te hebben", stelt securitybedrijf White Fir Design. In de meeste gevallen zullen mensen na de installatie van WordPress die ook meteen configureren. De afgelopen weken verschenen echter meerdere meldingen van WordPress-gebruikers die stelden dat hun installatie werd geïnfecteerd kort na het aanvragen van een tls-certificaat voor hun website bij Let's Encrypt. Let's Encrypt is een certificaatautoriteit die gratis tls-certificaten uitgeeft die zijn te gebruiken voor het opzettten van een beveiligde verbinding en het identificeren van de website. Let's Encrypt maakt gebruik van Certificate Transparency (CT), een systeem dat de uitgifte van tls-certificaten logt en monitort. Hiervoor slaat Let's Encrypt alle uitgegeven certificaten in CT-logs op. Het vermoeden is nu dat aanvallers deze CT-logs continu bekijken om zo WordPress-websites te vinden die nog niet zijn geconfigureerd. De aanvallers configureren deze websites en voegen een malafide script toe. Het gaat om een webshell waarmee aanvallers op afstand code kunnen uitvoeren. De gecompromitteerde WordPress-sites worden vervolgens voor het uitvoeren van ddos-aanvallen gebruikt. bron: https://www.security.nl