Captain Kirk

QNAP heeft NAS-gebruikers vandaag opgeroepen om het SMBv1-protocol op NAS-systemen uit te schakelen en gasten geen toegang tot gedeelde mappen te geven. Aanleiding is een kritieke kwetsbaarheid in Samba waardoor een aanvaller op afstand willekeurige commando's op systemen kan uitvoeren. Samba is een opensourceprogramma dat van het SMB-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. De eerste versie van het SMB-protocol dateert van 1983. Microsoft deed in 2020 nog een oproep om te stoppen met het gebruik van SMBv1. NAS-systemen van QNAP ondersteunen het protocol nog, wat in combinatie met de nu ontdekte kwetsbaarheid in Samba een risico is. QNAP is nog bezig met een onderzoek naar het beveiligingslek en zegt zo snel mogelijk met beveiligingsupdates en verdere informatie te zullen komen. In de tussentijd wordt aangeraden om SMBv1 uit te schakelen en gasten geen toegang tot gedeelde mappen te geven. Dit is via het controlepaneel in te stellen. bron: https://www.security.nl

Goed nieuws voor slachtoffers van de Maze- en Egregor-ransomware. Iemand die claimt de ontwikkelaar van beide ransomware-exemplaren te zijn heeft de decryptiesleutels gedeeld waardoor slachtoffers hun bestanden kunnen ontsleutelen. Beveiligingsexperts hebben inmiddels bevestigd dat de sleutels werken. Tal van organisaties werden door de Maze-ransomware getroffen, waaronder Canon, it-dienstverlener Cognizant, accountantskantoor HLB Belgium, it-dienstverlener Conduent. De Maze-groep was ook één van de eerste ransomwaregroepen die bij slachtoffers gestolen data publiceerde als er geen losgeld werd betaald. Een tactiek die veel andere ransomwaregroepen later ook toepasten. De Egregor-ransomware maakte ook allerlei slachtoffers, waaronder uitzendbureau Randstad. Vorig jaar wisten de Oekraïense autoriteiten meerdere personen aan te houden die achter de Egregor-ransomware zouden zitten. Op het forum van Bleeping Computer heeft nu iemand, die claimt de ontwikkelaar van de beide ransomware-exemplaren te zijn, de decryptiesleutels gedeeld. Securitybedrijf Emsisoft heeft inmiddels met deze sleutels een gratis decryptietool gemaakt waarmee slachtoffers hun bestanden kunnen ontsleutelen. bron: https://www.security.nl

Een zeer kritieke kwetsbaarheid in de software van SAP maakt het mogelijk voor aanvallers om SAP-servers op afstand over te nemen, wat grote gevolgen voor organisaties en bedrijven kan hebben. SAP roept organisaties op om het beveiligingslek zo snel mogelijk te verhelpen. Misbruik is eenvoudig en vereist geen authenticatie. Het versturen van een speciaal geprepareerde http-request volstaat, aldus securitybedrijf Onapsis dat het probleem ontdekte. Het beveiligingslek, aangeduid als CVE-2022-22536, is aanwezig in de SAP Internet Communication Manager (ICM). ICM biedt een webserver voor alle SAP-producten die met internet verbonden moeten zijn of via http(s) met elkaar communiceren. Het is daardoor een belangrijk onderdeel van de SAP-stack. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. Door het versturen van een speciaal geprepareerd pakket naar een SAP-server kan een ongeauthenticeerde aanvaller gevoelige informatie stelen, zoals inloggegevens en andere sessie-informatie. Misbruik kan tot een volledige systeemovername leiden. SAP-applicaties worden voor allerlei bedrijfsprocessen gebruikt. Via de kwetsbaarheid is het mogelijk om SAP-applicaties en -servers te compromitteren. Dit kan leiden tot diefstal van gevoelige gegevens, financiële fraude, verstoring van cruciale bedrijfsprocessen, ransomware en uitval van alle bedrijfsoperaties, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. SAP heeft beveiligingsupdates uitgebracht voor de SAP Web Dispatcher, SAP Content Server en SAP NetWeaver. bron: https://www.security.nl

Windows Explorer heeft een optie om EXIF-data van media-bestanden te verwijderen, maar de optie werkt niet goed waardoor informatie achterblijft, zo stelt de Belgische beveiligingsonderzoeker Didier Stevens. Hij heeft Microsoft inmiddels over het probleem ingelicht. Via het exchangeable image file format (EXIF) worden er door het fototoestel of smartphone allerlei gegevens aan foto's toegevoegd. Het gaat dan om informatie zoals datum en tijd van de opname, merk en model van de camera, naam van de eigenaar van de camera, camera-instellingen zoals belichtingstijd, diafragmagetal, diafragma, brandpuntsafstand en gps-gegevens zoals de breedtegraad en lengtegraad. Fotografen kunnen deze informatie gebruiken om hun foto's bijvoorbeeld te organiseren of te doorzoeken. EXIF-data kan echter ook allerlei informatie over de fotomaker prijsgeven. Er zijn verschillende tools om EXIF-data uit afbeeldingen te verwijderen, maar Microsoft biedt zelf via Windows Explorer de mogelijkheid om persoonlijke informatie uit bestanden weg te halen. Op het eerste gezicht lijkt Windows Explorer deze gegevens ook te verwijderen, maar uit onderzoek van Stevens blijkt dat zaken als type camera en gebruikte software in het bestand achterblijven en via een binary editor zichtbaar zijn. "Als je echt zeker wilt zijn dat alle metadata uit je mediabestanden zijn verwijderd, gebruik voor het moment dan geen Windows Explorer. Gebruik een andere tool. Idealiter een tool die de segmenten met metadata volledig verwijdert", aldus de onderzoeker. bron: https://www.security.nl

Microsoft heeft tijdens de patchdinsdag van februari 51 kwetsbaarheden verholpen waarvan er geen enkele als kritiek is aangemerkt, en dat is een zeldzaamheid. Elke tweede dinsdag van de maand komt Microsoft met beveiligingsupdates voor Windows en andere software. De ernst van verholpen beveiligingslekken wordt ingedeeld in vier categorieën: low, moderate, important en critical. In het geval van een kritieke kwetsbaarheid kan een aanvaller zonder interactie van de gebruiker code op het systeem uitvoeren. Dergelijke beveiligingslekken zijn zeer ernstig en dienen dan ook snel te worden verholpen. Geen enkele van de deze maand verholpen kwetsbaarheden is als kritiek aangemerkt, wat bijzonder is. "Wat opvallend is aan deze release is het ontbreken van kritieke patches. Van de uitgegeven patches zijn er vijftig als important beoordeeld en één als moderate. Mogelijk dat het eerder is gebeurd, maar ik kan geen voorbeeld van een maandelijkse release van Microsoft vinden die niet minstens één kritieke patch bevat", zegt Dustin Childs van het Zero Day Initiative. Jon Munshaw van Cisco noemt het ontbreken van kritieke updates tijdens een patchdinsdag een "grote zeldzaamheid". Een lek in Windows DNS Server, CVE-2022-21984, heeft op een schaal van 1 tot en met 10 met een 8,8 de hoogste impactscore gekregen. Via deze kwetsbaarheid kan een aanvaller op afstand code uitvoeren. Het probleem doet zich alleen voor wanneer dynamic updates zijn ingeschakeld, wat niet standaard is. Een kwetsbaarheid in Microsoft Outlook for Mac maakt het mogelijk voor een aanvaller om de beveiliging van de e-mailsoftware te omzeilen en zo het ip-adres van de gebruiker te achterhalen. De beveiligingsupdates van februari zijn onder andere voor Windows, Microsoft Office, OneDrive, Teams, Windows Hyper-V, Visual Studio Code, Edge en Microsoft Dynamics. Geen van de deze maand verholpen kwetsbaarheden is voor zover bekend voor het uitkomen van de updates aangevallen. De installatie van de updates zal op de meeste systemen automatisch plaatsvinden. bron: https://www.security.nl

Mozilla heeft vandaag een nieuwe versie van Firefox uitgebracht waarin meerdere kwetsbaarheden zijn verholpen, waaronder een beveiligingslek dat een gebruiker systeemrechten kan geven. Het plan voor het automatisch downloaden van bestanden is uitgesteld naar de volgende Firefox-versie. Met Firefox 97 zijn een dozijn kwetsbaarheden in de browser verholpen. In de updater-service van de Windowsversie van Firefox zit een kwetsbaarheid, aangeduid als CVE-2022-22753, waardoor een gebruiker schrijftoegang tot een willekeurige directory kan krijgen. Hierdoor kan de gebruiker uiteindelijk systeemrechten krijgen. De impact van dit beveiligingslek is beoordeeld met "high". Dat geldt ook voor een andere kwetsbaarheid (CVE-2022-22754) in alle Firefox-versies waardoor een malafide extensie via een update allerlei nieuwe permissies kan krijgen, zonder dat de gebruiker het dialoogvenster te zien krijgt waarin om toestemming wordt gevraagd. Verder was Mozilla van plan om met Firefox 97 een aanpassing door te voeren waardoor bestanden automatisch worden gedownload, zonder dat gebruikers nog een dialoogvenster te zien krijgen. Deze aanpassing is nu doorgeschoven naar Firefox 98. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie of Mozilla.org. bron: https://www.security.nl

Vorig jaar besloot Google bij 150 miljoen mensen met een Google-account tweefactorauthenticatie (2FA) in te schakelen, wat tot vijftig procent minder gekaapte accounts bij deze groep heeft gezorgd, zo heeft het techbedrijf vandaag bekendgemaakt. Google gaat de beveiligingsmaatregel dit jaar bij meer gebruikers inschakelen. Gebruikers bij wie 2FA staat ingeschakeld moeten na het inloggen met gebruikersnaam en wachtwoord ook nog op een andere manier bewijzen dat ze de eigenaar van het account zijn. Dit kan op verschillende manieren, zoals het bevestigen van een Google-prompt op de telefoon. Tweefactorauthenticatie wordt alleen ingeschakeld bij Google-accounts die over het juiste back-upmechanisme beschikken om een "naadloze overstap" naar 2FA te maken, zo stelt het techbedrijf. Volgens Google spreekt de afname van het aantal gekaapte accounts boekdelen over de effectiviteit van een tweede verificatievorm in het beschermen van data en persoonlijke informatie. Het techbedrijf wil dat alle gebruikers uiteindelijk van 2FA gebruik zullen maken. "Schakel het in, of wij zullen het doen!", stelt Google. Bij hoeveel gebruikers de beveiligingsmaatregel dit jaar zal worden ingeschakeld laat het bedrijf niet weten. bron: https://www.security.nl

Microsoft gaat wegens malware- en ransomware-aanvallen macro's standaard in Office blokkeren waarbij gebruikers ze niet meer via een enkele muisklik kunnen inschakelen. Macro's laten gebruikers verschillende taken automatiseren. Het is echter ook mogelijk om via een macro code op het systeem uit te voeren en bijvoorbeeld malware te downloaden en installeren. Hier maken criminelen op grote schaal gebruik van. Veel grote ransomware-aanvallen, zoals die bij de Universiteit Maastricht, begonnen met een Office-document voorzien van een kwaadaardige macro. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's, maar gebruikers kunnen die met een enkele muisklik inschakelen. Vaak voegen aanvallers instructies voor het slachtoffer toe om macro's in te schakelen, bijvoorbeeld omdat dit nodig zou zijn om de inhoud van het document te bekijken. Om te voorkomen dat aanvallers op deze manier nog malware en ransomware kunnen verspreiden gaat Microsoft vanaf april een aanpassing in Access, Excel, PowerPoint, Visio en Word doorvoeren, zo heeft het bedrijf aangekondigd. Bij Office-documenten afkomstig van het internet zullen macro's op zo'n manier worden geblokkeerd dat die niet meer eenvoudig zijn te inschakelen. Office laat in dit geval een waarschuwing zien dat er sprake is van een beveiligingsrisico met een link naar een pagina die uitlegt waarom de macro is geblokkeerd. Op dit moment gebruikt Office bij de waarschuwing voor macro's nog de term "security warning". Dat zal straks "security risk" zijn. Ook is de kleur van de waarschuwing veranderd van geel naar rood. Gebruikers die macro's alsnog in het betreffende document willen inschakelen zullen hiervoor verschillende stappen moeten doorlopen. In voorbereiding op deze grote aanpassing roept Microsoft systeembeheerders en it'ers op om samen te werken met de eigen bedrijfsonderdelen die van macro's gebruikmaken, zoals de financiële afdeling, en met softwareleveranciers die met macro's in Office-bestanden werken. De aanpassing zal als eerste vanaf april in de previewversie (2203) van Office 2021, 2019, 2016 en 2013 worden doorgevoerd. In juni volgt de standaardversie, gevolgd door de Enterprise-versies in juli, september en januari 2023. bron: https://www.security.nl

Microsoft heeft besloten om de MSIX ms-appinstaller protocol handler in Windows wegens een actief aangevallen spoofinglek voorlopig uit te schakelen, wat gevolgen heeft voor organisaties en gebruikers die apps direct vanaf een webserver installeren of websites die dit aanbieden. De ms-appinstaller protocol handler laat gebruikers door het klikken op een link een applicatie installeren. Hierdoor is het niet langer nodig het volledige package te downloaden. Door het spoofinglek kan een aanvaller aangeven dat een malafide applicatie bijvoorbeeld van Adobe of Microsoft afkomstig is. Een gebruiker zou nog wel moeten worden verleid om de app te installeren. Volgens Microsoft maakt de Emotet/Trickbot/Bazaloader-malware misbruik van deze kwetsbaarheid. In december kwam het techbedrijf, in afwachting van de betreffende beveiligingsupdate, met een workaround. Nu heeft Microsoft besloten om de MSIX protocol handler uit te schakelen. Hierdoor kan de App Installer niet langer een app direct vanaf een webserver installeren. In plaats daarvan moeten gebruikers eerst de app downloaden om die vervolgens via de App Installer te installeren. Volgens Microsoft kan dit bij sommige packages voor een grotere downloadomvang zorgen. Daarnaast heeft de maatregel ook gevolgen voor met name grote organisaties. "We beseffen dat deze feature voor veel ondernemingen essentieel is", zegt Microsofts Dian Hartono. Er wordt daarom naast een update ook gekeken naar een Group Policy waardoor de feature weer op een veilige manier binnen organisaties is in te schakelen. Websites die van het ms-appinstaller protocol gebruikmaken wordt aangeraden om de link naar aangeboden applicaties aan te passen, zodat gebruikers het betreffende bestand gewoon downloaden. bron: https://www.security.nl

Tijdens de eerste patchdinsdag van dit jaar is Microsoft in eerste instantie vergeten te melden dat één van de verholpen kwetsbaarheden al voor het uitkomen van de update actief werd aangevallen. Een aantal dagen later werd de ontbrekende informatie alsnog toegevoegd. De Amerikaanse overheid heeft federale overheidsinstanties nu verplicht om het beveiligingslek voor 18 februari te patchen. Microsoft komt elke tweede dinsdag van de maand met beveiligingsupdates voor Windows en andere software. Daarbij wordt ook vermeld of er al misbruik van de kwetsbaarheid plaatsvindt. Er is dan sprake van een zerodaylek. Geregeld voegt Microsoft op latere momenten informatie aan de beveiligingsbulletins toe. Dat het vergeet te melden dat het om een actief aangevallen kwetsbaarheid gaat is een zeldzaamheid. De kwetsbaarheid in kwestie, aangeduid als CVE-2022-21882, bevindt zich in de Windows-kernel. Via het lek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en beheerder- of systeemrechten krijgen. De kwetsbaarheid werd door een Chinese beveiligingsonderzoeker met het alias b2ahex gevonden. Op 11 januari kwam Microsoft met een beveiligingsupdate voor het probleem. In de beschrijving liet het techbedrijven initieel weten dat er geen misbruik van het lek werd gemaakt. Twee dagen later meldde Microsoft dat dit wel het geval was. "Op het moment dat de informatie oorspronkelijk werd gepubliceerd was Microsoft bekend met beperkte, gerichte aanvallen die misbruik van deze kwetsbaarheid proberen te maken." Verdere details over deze aanvallen zijn niet gegeven. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een overzicht van actief aangevallen kwetsbaarheden bij die federale overheidsinstanties verplicht moeten patchen. Afgelopen vrijdag werd CVE-2022-21882 op deze lijst geplaatst en moeten overheidsinstellingen de betreffende update voor 18 februari hebben uitgerold. bron: https://www.security.nl

De LockBit-ransomware, die onder ander de Nederlandse defensie- en politieleverancier Abiom en de Brabantse logistiek dienstverlener Van der Helm Logistics infecteerde, alsmede consultancybedrijf Accenture, besmet geen systemen met een Oost-Europese taalinstelling, zo stelt de FBI in een nieuw document (pdf). LockBit 2.0 wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het document geeft de FBI geen informatie over de gebruikte aanvalsvectoren. Eenmaal actief probeert Lockbit eerst beheerdersrechten te verkrijgen. Dan kijkt de ransomware naar de ingestelde systeem- en taalinstellingen. "Als een Oost-Europese taal wordt gedetecteerd stopt het programma zonder infectie", zo laat de Amerikaanse opsporingsdienst weten. Wordt er een andere taal gedetecteerd, dan start de besmetting en verwijdert Lockbit logbestanden en shadow kopieën op de schijf en zoekt het onder andere remote shares en externe schijven om die te versleutelen. Om infectie te voorkomen adviseert de FBI het gebruik van sterke wachtwoorden en multifactorauthenticatie, het verwijderen van onnodige administrative shares, het up-to-date houden van systemen, het gebruik van een host-based firewall en het inschakelen van protected files in Windows om aanpassingen aan essentiële bestanden te voorkomen. Ook wordt aangeraden command-line en scriptingactiviteiten en -permissies uit te schakelen. bron: https://www.security.nl

In de volgende versie van Google Chrome is het niet langer meer mogelijk voor websites en webapplicaties om via http de batterijstatus van apparaten op te vragen. Via de Battery Status API kunnen webontwikkelaars onder andere zien hoe ver de batterij is opgeladen en of die op dat moment wordt opgeladen. "Het is een krachtige feature die er al meer dan tien jaar is, en daardoor oorspronkelijk met andere veiligheidsbeperkingen is ontwikkeld", stelt Google. Het techbedrijf is bezig om krachtige features binnen de browser, zoals de batterijstatus, niet meer vanaf het onveilige http toegankelijk te maken. Naast de batterijstatus gaat het ook om bijvoorbeeld geolocatie, AppCache en of het apparaat ligt of staat. Met de lancering van Chrome 99 zal de Battery Status API niet langer meer werken vanaf onveilige locaties, zoals http-pagina's of https-iframes op http-pagina's. Chrome 99 zou op 1 maart moeten uitkomen. bron: https://www.security.nl

Aanvallers maken gebruik van een zerodaylek in e-mailsoftware Zimbra voor het stelen van e-mails en bijlagen. Volgens securitybedrijf Volexity zijn de aanvallen gericht tegen Europese overheidsinstanties en mediabedrijven. Zimbra is een collaborative software suite die onder andere een mailserversoftware bevat en een webmailclient. Bij de nu waargenomen aanvallen versturen de aanvallers e-mails die een malafide link bevatten. Deze link maakt misbruik van een cross-site scripting (XSS)-kwetsbaarheid in Zimbra. Wanneer een op Zimbra ingelogde gebruiker deze link opent wordt er JavaScript geladen waarmee e-mails en bijlagen worden gestolen. De e-mails van de aanvallers, die in december werden verstuurd, hadden verschillende onderwerpen, variërend van kerstwensen tot berichten van Amazon en uitnodigingen voor gesprekken over mensenrechten. De onderzoekers waarschuwen dat de kwetsbaarheid meer mogelijk maakt dan alleen het stelen van e-mail. Zo kunnen cookies worden gestolen om toegang tot de mailbox te behouden, kan de aanvaller phishingmails naar contacten van de gebruiker versturen en is het mogelijk om een prompt te tonen waarin een download met malware wordt aangeboden. Volgens Volexity zijn Zimbra 8.8.15 P29 en P30 kwetsbaar. Het probleem lijkt niet aanwezig te zijn in versie 9.0.0 van de software. Zimbra claimt dat tweehonderdduizend bedrijven en meer dan duizend overheidsinstanties en financiële instellingen met de software werken. Een CVE-nummer en beveiligingsupdate zijn nog niet beschikbaar. Zimbra zou wel over het probleem zijn ingelicht en dit hebben bevestigd. bron: https://www.security.nl

GitHub gaat alle beheerders van belangrijke en populaire npm-packages verplichten om in te loggen door middel van tweefactorauthenticatie (2FA) en voor de honderd populairste npm-packages is dit inmiddels het geval. Met de maatregel wil GitHub, dat eigenaar van npm is, de veiligheid van de npm registry vergroten. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages. De afgelopen jaren verschenen geregeld malafide npm-packages in de registry. In 2020 bleek dat meer dan negentig procent van npm-ontwikkelaars geen 2FA gebruikte om het eigen account te beveiligen. Om alle "high-impact" npm-packages te beschermen moeten de maintainers en uitgevers van deze packages via 2FA gaan inloggen. Voor de Top 100-packages is dat inmiddels gedaan. Van maintainers die op dit moment geen 2FA gebruiken is de websessie ingetrokken. Ze zullen eerst 2FA moeten instellen voordat ze bepaalde acties met hun account kunnen uitvoeren, zoals het wijzigen van e-mailadressen en toevoegen van nieuwe maintainers. Voor alle andere high-impact packages zal de 2FA-verplichting vanaf 1 maart gaan gelden. bron: https://www.security.nl

Cisco heeft een waarschuwing gegeven voor verschillende kritieke kwetsbaarheden in vpn-routers waardoor aanvallers apparaten op afstand kunnen overnemen. De impact van twee van de beveiligingslekken is op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. Cisco heeft firmware-updates uitgebracht om de problemen te verhelpen. De in totaal vijftien kwetsbaarheden zijn aanwezig in de RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345 en RV345P. Twee van de beveiligingslekken, aangeduid als CVE-2022-20699 en CVE-2022-20700, hebben een impactscore van 10.0. CVE-2022-20699 zorgt ervoor dat een aanvaller door het versturen van een speciaal geprepareerd http-request naar een router die als ssl vpn-gateway is ingesteld willekeurige code als root kan uitvoeren. In het geval van CVE-2022-20700 bevindt de kwetsbaarheid zich in de webinterface. Een aanvaller kan hierdoor root worden en willekeurige commando's op de router uitvoeren. Cisco roept beheerders op om de beschikbare firmware-update te installeren. Update Volgens securitybedrijf Tenable zijn 8400 vpn-routers van Cisco via zoekmachine Shodan op internet te vinden. bron: https://www.security.nl

De cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies zijn in strijd met de AVG, zo heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald. De websites maken gebruik van het Transparency and Consent Framework (TCF) van het Interactive Advertising Bureau Europe (IAB Europe), de branchevereniging voor de advertentie-industrie. Het TCF is een veelgebruikt mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt, en dat een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB). Sinds 2019 heeft de GBA meerdere klachten ontvangen die gericht waren tegen IAB Europe en erover gingen of het TCF wel aan de AVG voldoet. Het TCF moet organisaties die gebruikmaken van het OpenRTB-protocol helpen bij het naleven van de AVG. Het OpenRTB-protocol is een van de meest gebruikte protocollen voor "Real Time Bidding", waarbij gebruikersprofielen worden geveild voor het verkopen en aankopen van online advertentieruimte. Wanneer gebruikers een website of applicatie bezoeken die advertentieruimte bevat, kunnen techbedrijven via RTB gerichte advertenties laten zien die specifiek zijn afgestemd op het profiel van de betreffende persoon. bron: https://www.security.nl

Onderzoekers hebben in de UEFI-firmware van verschillende computerleveranciers kwetsbaarheden ontdekt waardoor een aanvaller die al toegang tot het systeem heeft beveiligingsmaatregelen kan omzeilen en lastig te detecteren en verwijderen rootkits en backdoors kan installeren. De in totaal 23 kwetsbaarheden zijn aanwezig in de UEFI-firmware van Insyde, waar weer allerlei computerleveranciers van gebruikmaken. UEFI biedt een interface tussen het besturingssysteem en de firmware van het systeem. Voor het verwerken van systeembrede functies, zoals energiebeheer, maakt UEFI-software gebruik van de System Management Mode (SMM). De rechten van SMM, ook wel Ring 2 genoemd, zijn hoger dan de rechten van de kernel van het besturingssysteem (Ring 0). Door de kwetsbaarheden kan een aanvaller willekeurige code in SMM-mode uitvoeren. Hierdoor is het mogelijk om bijvoorbeeld malware te installeren die de herinstallatie van het besturingssysteem overleeft en het mogelijk maakt om antivirussoftware, Secure Boot en virtualisatie-gebaseerde isolatie te omzeilen. Om misbruik van de kwetsbaarheden te maken moet een aanvaller wel adminrechten op het aangevallen systeem hebben. Volgens securitybedrijf Binarly, dat de kwetsbaarheden ontdekte, zijn UEFI-implementaties van Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel en Bull Atos kwetsbaar. Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit meldt dat de kwetsbaarheden zijn bevestigd in de UEFI-implementaties van Fujitsu en Bull Atos, maar dat dezelfde software ook aanwezig is in de implementaties van veel andere leveranciers. Het CERT/CC heeft echter nog niet bevestigd dat deze andere leveranciers ook daadwerkelijk kwetsbaar zijn. Gebruikers wordt aangeraden om de laatste firmware-update van hun leverancier te installeren. bron: https://www.security.nl

De Apache Software Foundation is teleurgesteld over het grote aantal gebruikers van Log4j 1, de eerste versie van de inmiddels wereldwijd bekende loggingsoftware die sinds augustus 2015 niet meer wordt ondersteund. Gebruikers werden opgeroepen om te upgraden naar Log4j 2. Desondanks wordt Log4j 1 nog veel gebruikt. "Het is teleurstellend om te zien hoeveel gebruikers nog steeds op Log4j 1.x zitten. Het leidt af van de reactie op de Log4j 2.x-problemen", zegt Christian Grobmeier van Apache Software Foundation en onderdeel van het Log4j-team tegenover The Record. Ondanks het gebruik van deze versie heeft alle aandacht voor de kwetsbaarheden in Log4j 2 er wel voor gezorgd dat mensen nu meer aandacht besteden aan hun dependencies en de libraries die ze dagelijks gebruiken, aldus Grobmeier. Hij is het er niet mee eens dat de Log4j-kwetsbaarheid door sommige mensen als het ergste beveiligingslek ooit wordt genoemd. "Er zijn aardig wat grote beveiligingsproblemen in de industrie geweest." Ook vindt Grobmeier dat de kwetsbaarheid in Log4j 2, die op een schaal van 1 tot en met 10 met een 10 werd beoordeeld, geen "eenvoudige" kwetsbaarheid is en wel zou zijn gevonden wanneer het Log4j-team over meer financiële middelen beschikte. Een ander veel gehoord kritiekpunt was dat Log4j door een klein aantal mensen wordt onderhouden. Op de vraag of meer "ogen" hadden meegeholpen bij het vinden van meer kwetsbaarheden antwoordt Grobmeier dat meer geld geen magische oplossing is voor het vinden van alle beveiligingsproblemen. Wel staat het Apache-team open voor beveiligingsexperts die willen meezoeken naar kwetsbaarheden in Log4j en andere projecten. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die meerdere beveiligingslekken verhelpt, waaronder opnieuw een kwetsbaarheid in de beveiligingsfunctie Safe Browsing. Via deze feature waarschuwt Google gebruikers voor malafide websites en downloads, zoals phishingsites en besmette apps. Recentelijk werd er een kritiek beveiligingslek in deze beveiligingsfunctie gevonden. De nu door Google verholpen kwetsbaarheid is beoordeeld als 'high'. Via dergelijke kwetsbaarheden kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Ook de 26 andere beveiligingslekken die Google met de nu uitgebrachte update verhelpt zijn maximaal beoordeeld als high. De onderzoeker die het beveiligingslek in Safe Browsing rapporteerde ontving voor zijn melding een beloning van 20.000 dollar. Een zelfde bedrag keerde Google uit voor een kwetsbaarheid in Reader Mode. Details over de beveiligingslekken zijn verder niet gegeven. Updaten naar Chrome 98.0.4758.80/81/82 voor Windows en Chrome 98.0.4758.80 voor macOS en Linux zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

De gratis e-maildienst die zoekmachine DuckDuckGo vorig jaar lanceerde ondersteunt nu ook replies vanaf Duck-adressen. Email Protection, zoals de dienst heet, is een forwardingdienst die e-mails op een persoonlijk duck.com e-mailadres filtert en doorstuurt naar het echte e-mailadres van de gebruiker. Volgens DuckDuckGo komt het vaak voor dat websites e-mailadressen van hun gebruikers uploaden naar Facebook en Google voor gerichte advertenties, of dat het e-mailadres van een gebruiker door een datalek op straat komt te liggen. Door het gebruik van een e-mailforward blijft het echte e-mailadres beschermd. Daarnaast zijn de duck.com e-mailadressen eenvoudig uit te schakelen wanneer die teveel spam ontvangen. Er is nu een nieuwe feature aan de e-maildienst toegevoegd waardoor gebruikers vanaf hun Duck.com-adres kunnen antwoorden. In een uitleg over de feature staat dat bij het beantwoorden vanaf Duck-adressen het antwoord via Duck.com wordt verstuurd. Daarbij krijgt de ontvanger het Duck-adres te zien waar de oorspronkelijk e-mail naar was toegestuurd. In het geval gebruikers een Duck-adres hebben aangemaakt waarbij e-mails worden doorgestuurd naar een uniek domein zonder SPF-records, worden replies vanaf Duck-adressen niet ondersteund. Het Sender Policy Framework (SPF) moet e-maildomeinen tegen spoofing beschermen. Email Protection is beschikbaar in de apps van DuckDuckGo en bevindt zich nog in de bètafase. Geïnteresseerde gebruikers kunnen zich via een wachtlijst aanmelden. bron: https://www.security.nl

Securitybedrijf Emsisoft heeft een gratis tool uitgebracht die slachtoffers van de Deadbolt-ransomware moet helpen bij het ontsleutelen van hun QNAP-systeem. De tool werkt alleen als slachtoffers het losgeld hebben betaald. Vorige week raakte naar schatting zo'n vijfduizend NAS-systemen van fabrikant QNAP besmet met de Deadbolt-ransomware. Deze ransomware maakt misbruik van een kwetsbaarheid in de QTS-firmware om bestanden op het NAS-apparaat te versleutelen. Slachtoffers moeten zo'n duizend euro losgeld betalen voor het ontsleutelen van hun bestanden. Afgelopen donderdag installeerde QNAP op tal van kwetsbare NAS-systemen de meest recente firmware-update waarmee de gebruikte kwetsbaarheid wordt verholpen. Daarnaast plaatst deze firmware-update de Deadbolt-ransomware in quarantaine. Dit heeft gevolgen voor gebruikers, aangezien daarmee ook de Deadbolt-pagina van het NAS-systeem verdwijnt die nodig is voor de decryptie van bestanden. QNAP liet weten dat het gebruikers kan helpen bij het terugplaatsen van deze pagina. Emsisoft heeft echter een gratis decryptietool uitgebracht die versleutelde bestanden ook zonder de Deadbolt-pagina kan ontsleutelen. Gebruikers moeten echter wel over de decryptiesleutel beschikken om de tool te kunnen gebruiken. bron: https://www.security.nl

Nog zeker een half miljoen WordPress-sites zijn kwetsbaar door een kritieke kwetsbaarheid in een populaire plug-in. Via het beveiligingslek, aanwezig in de plug-in Essential Addons for Elementor, kan een aanvaller kwetsbare websites op afstand overnemen. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn allerlei uitbreidingen beschikbaar, waaronder Essential Addons. Deze uitbreiding voorziet Elementor van meer dan tachtig elementen en extensies. Een kwetsbaarheid in de uitbreiding zorgt ervoor dat een willekeurige gebruiker, ongeacht authenticatie en autorisatie, een bestand met malafide PHP-code kan uploaden waardoor remote code execution mogelijk is. Het beveiligingslek werd op 25 januari door securitybedrijf Patchstack aan de ontwikkelaars gemeld. Die kwamen op 28 januari met versie 5.0.5 waarin de kwetsbaarheid volledig is verholpen. Essential Addons is op meer dan een miljoen WordPress-sites geïnstalleerd. Volgens cijfers van WordPress draait 53 procent van de installaties versie 4.9 of ouder, die ook kwetsbaar zijn. Het zou dan om 530.000 websites gaan. Sinds het uitkomen van de update is de plug-in 443.000 keer gedownload, wat suggereert dat de meeste installaties met versie 5 inmiddels zijn geüpdatet. bron: https://www.security.nl

Er is een kritieke kwetsbaarheid in een VFS-module van Samba gevonden waardoor een aanvaller op afstand op kwetsbare systemen code als root kan uitvoeren. Samba heeft beveiligingsupdates uitgebracht om de kwetsbaarheid, aangeduid als CVE-2021-44142, te verhelpen. Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Via verschillende Virtual File System (VFS) modules is het mogelijk om de mogelijkheden van Samba verder uit te breiden. Een van deze modules is vfs_fruit, die voor betere compatibiliteit met Apple Server Message Block (SMB) clients en interoperabiliteit met Netatalk 3 Apple Filing Protocol (AFP) fileservers zorgt. Een remote aanvaller met schrijftoegang tot de extended file attributes van vfs_fruit kan willekeurige code met de rechten van de Samba-daemon uitvoeren, wat meestal root is. De kwetsbaarheid werd gevonden door de bekende beveiligingsonderzoeker Orange Tsai van securitybedrijf DEVCORE. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. Beheerders wordt aangeraden om te updaten naar 4.13.17, 4.14.12 of 4.15.5. Een andere oplossing is het uitschakelen van vfs_fruit. bron: https://www.security.nl

QNAP verklaart installatie van firmware-update op NAS-systemen QNAP heeft meer informatie gegeven over de firmware-update die het vorige week op tal van NAS-systemen installeerde om die zo tegen de Deadbolt-ransomware te beschermen. Deadbolt maakt misbruik van een kwetsbaarheid in de QTS-firmware waardoor het mogelijk is voor aanvallers om willekeurige code op systemen uit te voeren. Het beveiligingslek werd afgelopen december verholpen. Vorige week waarschuwde QNAP gebruikers voor de Deadbolt-ransomware. Kort daarna lieten allerlei gebruikers weten dat hun NAS-systeem ongevraagd was geüpdatet en ze de installatie van automatische updates nooit zelf hadden ingeschakeld. Sommige gebruikers spraken zelfs van een backdoor. QNAP heeft vandaag meer informatie over het proces gegeven. Met de lancering van QTS 4.5 voegde QNAP een optie toe voor de automatische installatie van updates. Deze optie stond standaard uitgeschakeld. Vorig jaar juni verscheen QTS 4.5.3 waarin QNAP de optie voor de installatie van "aanbevolen versies" standaard inschakelde. Dit stond in de release notes vermeld. Om gebruikers tegen de Deadbolt-ransomware te beschermen besloot QNAP vorige week om de firmware-update van december als een "aanbevolen" update te bestempelen, waardoor die automatisch bij gebruikers kon worden geïnstalleerd. "De aanbevolen versie geldt niet voor elke update. Daardoor beseften mensen niet dat de installatie van aanbevolen updates op hun NAS stond ingeschakeld", zegt een medewerker van QNAP vandaag op het forum van de NAS-fabrikant. In een verdere verklaring erkent QNAP dat services die op de NAS draaien tijdens de update kunnen worden onderbroken. "We zoeken continu naar manieren om onze producten te verbeteren. Toekomstige software-updates kunnen aanpassingen bevatten die gebruikers beter het updateproces laten beheren", aldus het bedrijf. Dat stelt verder dat gebruikers het automatisch updaten kunnen uitschakelen. bron: https://www.security.nl

QNAP heeft naar eigen zeggen achterhaald hoe de Deadbolt-ransomware wereldwijd NAS-systemen infecteert, maar details zijn nog niet openbaar gemaakt, behalve dat de laatste firmware-update deze vectoren verhelpt. Volgens Censys zijn nog vierduizend door Deadbolt versleutelde NAS-systemen vanaf het internet toegankelijk. Op het hoogtepunt waren dat er vijfduizend. Vorige week woensdag kwam QNAP met een waarschuwing voor de Deadbolt-ransomware en adviseerde NAS-gebruikers om hun systeem niet direct vanaf het internet toegankelijk te maken. Deadbolt versleutelt bestanden op NAS-systemen en eist zo'n duizend euro losgeld voor het ontsleutelen. De aanvallers achter de ransomware claimen dat ze van een zerodaylek gebruikmaken voor het infecteren van QNAP-systemen. Geforceerde firmware-update Na de waarschuwing lieten gebruikers weten dat QNAP zonder hun toestemming een firmware-update had geïnstalleerd. De communicatie vanuit QNAP hierover is nogal gebrekkig te noemen. Zo vindt die plaats via Reddit en is op z'n minst onduidelijk. In een eerste verklaring vier dagen geleden liet een QNAP-medewerker weten dat bij NAS-systemen waar het installeren van "recommended updates" was ingeschakeld, er een firmware-update automatisch was geïnstalleerd om gebruikers tegen de ransomware te beschermen. QNAP heeft vorig jaar april een update uitgebracht die er vanaf dan voor zorgt dat "recommended firmware-updates" automatisch worden geïnstalleerd. Gebruikers wezen dan ook naar deze optie als verklaring voor de installatie van de firmware-update. Verschillende gebruikers stelden dat ze de automatische installatie van updates hadden uitgeschakeld. In een andere verklaring lijkt QNAP toch te stellen dat het om een geforceerde update gaat. Volgens de QNAP-medewerker is erin het configuratiescherm van het NAS-systeem een melding getoond dat de installatie van aanbevolen updates binnenkort zou worden ingeschakeld om gebruikers tegen de Deadbolt-ransomware te beschermen. Veel gebruikers zouden deze boodschap echter hebben gemist. Gebruikers zijn niet blij over deze werkwijze en spreken van een backdoor. "Ik weet zeker dat ik auto-updates had uitgeschakeld. Maar klaarblijkelijk is er een backdoor aanwezig waardoor ze updates kunnen doorvoeren", zegt een ontevreden gebruiker. Andere gebruikers melden dat de geforceerde update bij hen voor problemen zorgt. De betreffende firmware-update verhelpt meerdere kwetsbaarheden in onder andere Samba, de opensourcesoftware die van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Of en welke van deze beveiligingslekken Deadbolt misbruik maakt is op dit moment nog onduidelijk. Daarnaast plaatst de vorige week uitgerolde update de Deadbolt-ransomware in quarantaine. Dit heeft gevolgen voor gebruikers, aangezien daarmee ook de Deadbolt-pagina van het NAS-systeem verdwijnt die nodig is voor de decryptie van bestanden. QNAP laat weten dat de helpdesk deze pagina kan terugplaatsen, zodat gebruikers die het losgeld betalen en over een decryptiesleutel beschikken hun bestanden kunnen ontsleutelen. bron: https://www.security.nl