Captain Kirk

Het onderzoeksteam van de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een systeem ontwikkeld dat malafide domeinnamen door middel van logoherkenning kan detecteren. Het LogoMotive-systeem bezoekt geautomatiseerd .nl-websites en maakt screenshots van de homepagina. Logo's op de homepagina worden vervolgens herkend en de resultaten geüpload naar een webapplicatie. Analisten kunnen zo controleren of het logo terecht of voor malafide doeleinden wordt gebruikt. Recentelijk is het systeem getest met logo's van de Rijksoverheid en Thuiswinkel.org. In beide pilots scande SIDN Labs meerdere keren alle 6.2 miljoen .nl-domeinnamen met LogoMotive. In totaal werden zo'n 11.700 domeinnamen met het Rijksoverheid-logo gevonden. Het Thuiswinkel Waarborg-logo werd op ongeveer 10.600 .nl-sites aangetroffen. Er werden via LogoMotive meer dan 260 websites gevonden die onterecht van de logo's gebruikmaakten. In de meeste gevallen ging het om het logo van ThuisWinkel.org. Tijdens de pilot werden ook 318 legitieme domeinnamen van de Rijksoverheid gevonden die nog niet in het domeinnaamregister van de Dienst Publiek en Communicatie (DPC) stonden. Naast het interne domeinnaamregister publiceert DPC ook een publiek websiteregister, waarin alle publieke overheidswebsites staan. Met deze registers controleert de overheid of alle Rijksoverheidsdomeinen aan veiligheidsstandaarden voldoen. Volgen SIDN Labs blijkt uit het onderzoek dat logodetectie een doeltreffend mechanisme is om snel nieuwe malafide sites te ontdekken, voordat ze slachtoffers kunnen maken. De helft van de phishingwebsites was op het moment van herkenning nog niet gemeld op populaire blocklists. "Het is ook nuttig voor partijen die zelf nog weinig monitoren op misbruik", aldus research engineer Thijs van den Hout. SIDN gaat LogoMotive binnen de eigen diensten gebruiken. Daarnaast wordt de code van het systeem beschikbaar gesteld voor academici en voor andere registry’s om het in hun dns-zones toe te passen. bron: https://www.security.nl

Een kwetsbaarheid in Windows waarvoor vorige maand een beveiligingsupdate verscheen wordt inmiddels actief bij aanvallen misbruikt, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Amerikaanse federale overheidsinstanties zijn opgedragen om de patch voor 15 april te installeren. Het beveiligingslek, aangeduid als CVE-2022-21999, bevindt zich in de Windows Print Spooler en maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. De kwetsbaarheid alleen is niet voldoende om een systeem over te nemen. Microsoft rolde op 8 februari een update voor het probleem uit en meldde toen dat er geen misbruik van werd gemaakt. Dat is inmiddels veranderd, aldus het CISA. Kwetsbaarheden in de Windows Print Spooler zijn in het verleden vaker gebruikt bij aanvallen. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit 66 kwetsbaarheden. Het grootste deel daarvan (63) betreft beveiligingslekken van vorig jaar en ouder. De kwetsbaarheden van dit jaar zijn naast de Windows Print Spooler aanwezig in firewalls van WatchGuard en Mitel MiCollab/MiVoice Business Express systemen. Het beveiligingslek in WatchGuard-firewalls werd gebruikt bij aanvallen door de Cyclops Blink-malware. De Mitel-kwetsbaarheid maakt het mogelijk om ddos-aanvallen te versterken. Ook voor deze problemen moeten overheidsinstanties de update binnen drie weken uitrollen. bron: https://www.security.nl

Amerikaanse nieuwsmedia, domeinregistrars, it-leveranciers, cryptobedrijven, softwareontwikkelaars en hostingproviders zijn aangevallen via een zerodaylek in Google Chrome, zo heeft Google bekendgemaakt. De kwetsbaarheid werd op 10 februari ontdekt en op 14 februari via een beveiligingsupdate in Chrome verholpen. Volgens Google maakten twee verschillende aanvalsgroepen, gelieerd aan de Noord-Koreaanse overheid, gebruik van het beveiligingslek. Via de kwetsbaarheid is het mogelijk om code op het systeem van gebruikers uit te voeren. Bij de eerste aanval ontvingen meer dan 250 personen, werkzaam voor media, domeinregistrars, hostingproviders en softwareleveranciers, een e-mail die zogenaamd van een recruiter van Disney, Google of Oracle afkomstig leek en naar een zogenaamde vacature leek te wijzen. De aanvallers hadden hierbij vacaturesites zoals Indeed en ZipRecruiter nagemaakt. Deze nagemaakte websites waren voorzien van een exploit die Chrome-gebruikers met vermoedelijk malware infecteerde. De tweede groep, die dezelfde kwetsbaarheid gebruikte, had het voorzien op cryptobedrijven en fintech-organisaties. Hierbij wisten de aanvallers de websites van twee legitieme fintech-bedrijven te compromitteren en van malafide code te voorzien die Chrome-gebruikers aanviel. Google is er niet in geslaagd om de code te achterhalen die na het uitvoeren van de exploit werd uitgevoerd. Het is echter aannemelijk dat het om malware gaat. Verder heeft Google alleen een exploit voor het aanvallen van Chrome-gebruikers gevonden, maar trof het techbedrijf naar eigen zeggen ook bewijs dat de aanvallers keken of bezoekers van Safari of Firefox gebruikmaakten, om hen vervolgens naar bekende exploit-servers door te sturen. Google heeft echter geen exploits van deze servers weten te achterhalen. Nadat Google een beveiligingsupdate voor de kwetsbaarheid op 14 februari uitrolde, bleven de aanvallers hun exploit gebruiken, wat volgens het techbedrijf aantoont hoe belangrijk het is om updates te installeren zodra die beschikbaar komen. bron: https://www.security.nl

De Conti-ransomwaregroep maakt bij aanvallen op organisaties gebruik van meer dan dertig bekende kwetsbaarheden, zo blijkt uit chatgesprekken die onlangs op internet werden gelekt. Begin deze maand stelden de FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) dat meer dan duizend organisaties wereldwijd zijn aangevallen met de Conti-ransomware. Conti hanteert net als verschillende andere ransomware-exemplaren een ransomware-as-a-service (RaaS)-model, maar er is volgens de Amerikaanse diensten wel een verschil. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden geen percentage maar een loon. Om toegang tot de netwerken van hun slachtoffers te krijgen en de ransomware te verspreiden maken aanvallers gebruik van algemeen bekende methodes zoals het gebruik van spearphishing met Microsoft Office-documenten en malafide links, gestolen RDP-inloggegevens en bekende kwetsbaarheden. Eind februari verschenen interne chatlogs van de Conti-groep op internet, die inzicht geven in de opzet en werkwijze van de groep. Zo blijkt dat de aanvallers bij hun aanvallen van meer dan dertig bekende kwetsbaarheden gebruikmaken, melden securitybedrijven Tenable en BreachQuest. Via negen van deze beveiligingslekken, aanwezig in Fortinet FortiOS, Microsoft Exchange Server, Windows, VMware vSphere en VMware vCenter Server wordt er op afstand toegang tot systemen verkregen. De overige 24 beveiligingslekken, allemaal aanwezig in Windows, maken het mogelijk voor de aanvallers om hun rechten op het systeem te verhogen om zich uiteindelijk lateraal door het netwerk te bewegen. "Gegeven dat de groep en diens partners naast kwetsbaarheden verschillende manieren hebben om organisaties binnen te dringen, maar hogere rechten nodig hebben om schade aan te richten, is het niet verrassen dat de meeste kwetsbaarheden in hun toolkit is gericht op het verhogen van rechten", zegt onderzoeker Satnam Narang. Een groot deel van deze kwetsbaarheden is al jaren oud. Organisaties worden dan ook opgeroepen om hun software up-to-date te houden. bron: https://www.security.nl

Firefox-ontwikkelaar Mozilla heeft een visie voor de toekomst van het web gepresenteerd waarin het onder andere oproept om alles te versleutelen, de privacy van gebruikers te beschermen en mensen meer controle te geven. Critici stellen dat de browserbouwer ook naar zichzelf moet kijken. Volgens Mozilla is het web onderdeel van ieders leven geworden, maar heeft het ook met echte problemen te maken. Zo worden mensen continu bespioneerd door adverteerders en repressieve regimes, vaak op moment dat een open web juist het meest nodig is. Verder krijgen gebruikers te maken met "vijandige sites" die langzaam laden en van buitensporig complexe technologieën gebruikmaken, aldus Mozilla. Daarnaast is een groot deel van het web niet toegankelijk voor niet-Engelstalige sprekers en mensen met een handicap. Om het web te verbeteren moet er aan negen gebieden worden gewerkt, stelt Mozilla. Zo is het nodig om de privacy van gebruikers te beschermen. "Alles wat gebruikers doen op het web wordt getrackt en gesurveilleerd. Een echt open en veilig web vereist dat wat mensen doen privé blijft", aldus de Firefox-ontwikkelaar. Daarnaast is het nodig om gebruikers tegen malware te beschermen en alle communicatie van gebruikers te versleutelen. Verder moet het web op een veilige wijze worden uitgebreid. "Nieuwe mogelijkheden maken het web krachtiger, maar introduceren ook nieuwe risico's. De voordelen van nieuwe mogelijkheden moeten worden afgezet tegen deze risico's; sommige toepassingen zijn uiteindelijk niet geschikt voor het web en dat is prima", stelt Mozilla. Het web moet ook sneller en toegankelijker worden en gebruikers meer controle geven. Om dit te bereiken is samenwerking essentieel, voegt Mozilla toe. Kritiek Critici stellen dat de woorden van Mozilla mooi klinken, maar het uiteindelijk neerkomt op daden. Daarnaast ligt de Firefox-ontwikkelaar zelf ook onder vuur omdat het de afgelopen jaren allerlei aanpassingen aan de browser heeft doorgevoerd die gebruikers juist minder controle geven, aldus de critici. bron: https://www.security.nl

Dagelijks worden organisaties getroffen door ransomware, maar hoelang duurt het voordat systemen zijn versleuteld? Onderzoekers van softwarebedrijf Splunk besloten dit te onderzoeken en lieten honderd ransomware-exemplaren 100.000 bestanden versleutelen. Bij elkaar ging het om 53 gigabyte aan data. Gemiddeld nam dit 42 minuten in beslag. Er zitten echter grote verschillende tussen de verschillende ransomware-exemplaren. Voor het onderzoek werden honderd exemplaren van tien bekende ransomwarefamilies genomen. De snelste ransomware, LockBit, had iets meer dan vier minuten nodig, terwijl de traagste variant ruim 3,5 uur bezig was met het versleutelen van de 100.000 bestanden. De onderzoekers keken ook of betere hardware voor een snellere versleuteling zorgt. Dan blijkt dat meer werkgeheugen niet veel uitmaakt. De processorsnelheid kan wel een impact hebben, maar sommige ransomware-exemplaren zijn niet in staat om van multithreaded processors gebruik te maken. Een snellere harde schijf kan wel een verschil maken, maar waarschijnlijk in combinatie met een ransomware-exemplaar dat meerdere cpu-cores kan gebruiken. Gezien de snelheid waarmee ransomware grote hoeveelheden data kan versleutelen laat dit volgens de onderzoekers zien dat organisaties weinig tijd hebben om in actie te komen voordat de versleuteling is afgerond. bron: https://www.security.nl

Versleutelde maildienst ProtonMail werkt aan een desktopapplicatie voor macOS, Linux en Windows. Op dit moment zijn er alleen ProtonMail-apps voor Android en iOS beschikbaar. Gebruikers op andere platformen zijn aangewezen op webmail. ProtonMail wil echter voor de desktop een aparte, op Electron gebaseerde applicatie maken. De ontwikkeling van deze applicatie bevindt zich nog in de beginfase en het is nog onbekend wanneer er een bètaversie of uiteindelijke release verschijnt. "Maar we weten dat een desktop-app hoog op het verlanglijstje van veel mensen staat", aldus Bart Butler van ProtonMail. Daarnaast werkt de e-mailprovider ook aan nieuwe versies van de Android- en iOS-apps. De Androidversie vereist echter meer werk, aangezien een groter deel van de app opnieuw wordt geschreven. Dit houdt in dat verschillende gevraagde Androidfeatures niet meteen in de eerste versie beschikbaar zullen zijn. Naast versleutelde e-mail biedt Proton ook een cloudopslagdienst in de vorm van Proton Drive. De bètaversie hiervan is op dit moment alleen beschikbaar voor betalende Proton-klanten. Volgende week zal die echter ook voor gratis gebruikers beschikbaar komen. De definitieve versie van Proton Drive zou over een aantal maanden moeten uitkomen, waarbij er ook aparte Drive-apps voor Android, iOS en Windows zullen verschijnen. Een macOS-versie is in ontwikkeling, maar laat langer op zich wachten. bron: https://www.security.nl

Een groep aanvallers is erin geslaagd om een deel van de broncode van Microsoft te stelen, zo heeft het techbedrijf in een blogposting bevestigd. De groep wordt Lapsus$ genoemd en wist toegang tot een account van Microsoft te krijgen en zo 37 gigabyte aan broncode buit te maken. Volgens Microsoft heeft de diefstal van de broncode geen gevolgen voor de veiligheid van producten of gebruikers. "Microsoft vertrouwt niet op de geheimhouding van code als een beveiligingsmaatregel en het bekijken van broncode leidt niet tot een verhoogd risico." Hoe de aanvallers toegang tot het specifieke account wisten te krijgen wordt niet door Microsoft gemeld. De groep zou op verschillende manieren accounts compromitteren, waaronder het gebruik van de Redline-malware voor het stelen van wachtwoorden en sessietokens, het aanschaffen van gestolen inloggegevens, het betalen van medewerkers van aangevallen organisaties om toegang te verlenen of het doorzoeken van publieke code-repositories om zo inloggegevens te vinden. Het gaat dan meestal om accounts voor vpn's, rdp-systemen, virtual desktop infrastructure (VDI) zoals Citrix of identiteitsproviders zoals Azure Active Directory en Okta. Zodra er toegang tot een netwerk is verkregen maken de aanvallers gebruik van kwetsbaarheden in intern toegankelijke servers, waaronder Jira, Gitlab en Confluence, om hun rechten te verhogen. Microsoft is ook bekend met gevallen waarbij de aanvallers de helpdesk van een organisatie belden om zo het wachtwoord van een account met verhoogde rechten te resetten. Het doel van de aanvallers is het stelen van data. Na de diefstal verwijderen de aanvallers gegevens en virtuele systemen en persen de aangevallen organisatie af. Volgens Microsoft is één van de belangrijkste maatregelen tegen de groep het gebruik van multifactorauthenticatie (MFA). Daarbij moeten zwakke MFA-opties zoals sms en secondaire e-mailadressen worden vermeden. bron: https://www.security.nl

De Deadbolt-ransomware die in januari nog vijfduizend NAS-systemen van fabrikant QNAP infecteerde en aanwezige data voor losgeld versleutelde is terug en heeft de afgelopen dagen elfhonderd NAS-systemen besmet. Dat meldt securitybedrijf Censys op basis van eigen onderzoek. Deadbolt maakte bij de aanvallen van januari gebruik van een bekende kwetsbaarheid in het besturingssysteem van de NAS-systemen. De update voor dit beveiligingslek was op 23 december vorig jaar beschikbaar gemaakt. Op 27 januari besloot QNAP om deze update als "aanbevolen versie" te bestempelen, waardoor die automatisch op NAS-systemen werd geïnstalleerd waar automatisch updaten stond ingeschakeld. Wat Deadbolt volgens Censys uniek maakt is de communicatie met het slachtoffer. In plaats van het gehele systeem te versleutelen, waardoor het niet meer werkt, richt de ransomware zich alleen op specifieke directories en laat een bericht in de webinterface achter met instructies. Vanwege deze aanpak kon Censys het aantal besmette NAS-systemen op het internet achterhalen. Eind januari telde Censys 130.000 QNAP NAS-systemen op internet, waarvan er 5.000 waren besmet. Nadat QNAP de update uitrolde daalde het aantal besmette systemen onder de driehonderd. De afgelopen dagen is er opeens een stijging zichtbaar en telt Censys ruim 1100 geïnfecteerde QNAP-systemen. Net als bij de aanval van januari eisen de aanvallers zo'n 1200 euro voor het ontsleutelen van de data. Het is echter onbekend of bij deze nieuwste aanval van een andere exploit gebruik wordt gemaakt, of dat het hier gaat om ongepatchte NAS-systemen die via de originele exploit besmet zijn geraakt. Op het forum van QNAP zijn nog steeds nieuwe mensen te vinden die melding van versleutelde NAS-systemen maken. bron: https://www.security.nl

HP waarschuwt eigenaren van verschillende printermodellen voor kritieke kwetsbaarheden waardoor remote code execution mogelijk is en een aanvaller op afstand code op de printers kan uitvoeren. Er zijn firmware-updates beschikbaar gemaakt om de problemen te verhelpen. Het gaat in totaal om vier beveiligingslekken waarvan drie als kritiek zijn aangemerkt (CVE-2022-24292, CVE-2022-24293 en CVE-2022-3942). De impact van de eerste twee van deze kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het andere lek, CVE-2022-3942, heeft een impactscore van 8.4. Deze kwetsbaarheid is echter in meer dan tweehonderd printermodellen aanwezig en betreft een buffer overflow die remote code execution mogelijk maakt. Het probleem is aanwezig in het LLMNR (Link-Local Multicast Name Resolution)-protocol van de printers. Verdere details zijn niet door HP gegeven. Naast het installeren van de firmware-update kunnen gebruikers er ook voor kiezen om LLMNR op de printer uit te schakelen. bron: https://www.security.nl

Medewerkers van chipgigant NVIDIA maakten voor het beschermen van hun accounts gebruik van zwakke wachtwoorden, zo stelt authenticatieprovider Specops Software op basis van eigen onderzoek. Recentelijk lukte het aanvallers om toegang tot systemen van NVIDIA te krijgen en daar ruim 70.000 e-mailadressen en wachtwoordhashes te stelen. Eerder stelde beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned dat een groot deel van de hashes was gekraakt, waardoor het wachtwoord bekend is. Specops stelt dat het 30.000 van de wachtwoorden in handen heeft. Aan de hand hiervan claimt het bedrijf dat NVIDIA-personeel van zwakke wachtwoorden gebruikmaakte. Zo staat in de top tien van basiswoorden op de eerste plek "nvidia", gevolgd door "nvidia3d" en "mellanox". Mellanox is een door NVIDIA overgenomen bedrijf. Verder komen in de top tien van Specops ook wachtwoorden voor als "welcome", "password", "mynvidia3d" en "qwerty". "Dat "nvidia" in deze lijst staat laat zien dat de organisatie voor de wachtwoordbeveiliging geen gebruikmaakte van een custom woordenboek", aldus de authenticatieprovider. Naar aanleiding van het incident werden alle NVIDIA-medewerkers verplicht om hun wachtwoord te wijzigen. bron: https://www.security.nl

Authenticatieprovider Okta onderzoekt of aanvallers mogelijk toegang tot systemen hebben gekregen, zo laat het bedrijf tegenover persbureau Reuters weten. Een groep aanvallers die zichzelf Lapsus$ noemt, en eerder verantwoordelijk was voor aanvallen op chipgigant NVIDIA, de Portugese mediagigant Impresa en het Braziliaanse ministerie van Volksgezondheid, plaatsten op hun Telegram-kanaal screenshots waaruit zou blijken dat ze toegang tot systemen van Okta hebben. Okta biedt oplossingen voor identity en access management. "Meer dan 15.000 wereldwijde merken vertrouwen de beveiliging van hun digitale interacties met werknemers en klanten toe aan Okta", zo laat het bedrijf op de eigen website weten. Okta had vorig jaar een omzet van 1,3 miljard dollar en telt vijfduizend medewerkers. Tegenover Reuters laat het bedrijf weten dat het bekend is met de screenshots en een onderzoek heeft ingesteld. Het bedrijf zal zodra beschikbaar verdere informatie geven. De aanvallers claimen dat ze het niet op Okta zelf hadden voorzien, maar op de klanten van de authenticatieprovider. Beveiligingsexperts waarschuwen Okta-klanten dan ook om zeer alert te zijn. Update Okta laat in een verklaring weten dat het eind januari een aanval op het account van een third party customer support engineer ontdekte die voor een subverwerker werkzaam was. Deze partij heeft het incident vervolgens onderzocht. "We denken dat de online gedeelde screenshots met het incident in januari te maken hebben", aldus Okta. bron: https://www.security.nl

De Duitse overheid adviseert burgers om alle accounts waar mogelijk met tweefactorauthenticatie (2FA) te beveiligen. Dit moet ongeautoriseerde toegang voorkomen, aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. De Duitse federatie van consumentenorganisaties, Verbraucherzentrale Bundesverband (VZBV), deed onderzoek naar meer dan tweehonderd digitale diensten en of die 2FA aanbieden en in welke vorm. Zo blijkt dat Duitse webshops en online apotheken hun klanten niet de optie geven om accounts met 2FA te beveiligen. Ook fitnesstrackers laten hierbij steken vallen. Volgens het BSI laat het onderzoek zien dat tweefactorauthenticatie alleen in een aantal gereguleerde sectoren wordt aangeboden. De Duitse overheidsinstantie vindt dan ook dat er nog een inhaalslag te maken is in de beveiliging van eindgebruikers. Waar mogelijk vindt het BSI dat eindgebruikers 2FA moeten instellen en niet bang moeten zijn om 2FA-methodes te gebruiken die ze nog niet kennen. bron: https://www.security.nl

Antvirusbedrijf Emsisoft heeft een gratis decryptietool voor de Diavol-ransomware ontwikkeld. Slachtoffers die over een versleuteld bestand en het originele onversleutelde bestand beschikken kunnen zo kosteloos al hun data terugkrijgen. Begin dit jaar kwam de FBI nog met een waarschuwing voor de Diavol-ransomware, die door de groep achter de beruchte Trickbot-malware zou zijn ontwikkeld. Eenmaal actief op een systeem versleutelt Diavol bestanden en eist een losgeldbedrag dat tussen de 10.000 en 500.000 dollar ligt. De aanvallers gaan in overleg met hun slachtoffers en hebben daarbij ook lagere betalingen geaccepteerd, zo laat de FBI weten. Ook is de Amerikaanse opsporingsdienst niet bekend met het lekken van gestolen informatie, ook al dreigen de aanvallers hier wel mee. Emsisoft is er met hulp van onderzoekers in geslaagd om een decryptietool voor de ransomware te ontwikkelen. De software vereist het originele bestand en de versleutelde versie en zal aan de hand hiervan een decryptiesleutel genereren, waarmee alle data is te ontsleutelen. "De encryptiesleutel is 2048 bytes lang en wordt willekeurig gegenereerd, maar de encryptie bestaat uit het XORren van bestanden in delen van 2048. Aangezien de encryptiesleutel voor meerdere bestanden wordt gebruikt en een XOR-operatie is, kunnen we bekende plaintext kwetsbaarheden gebruiken om de bestanden te herstellen", aldus onderzoekers van Walmart Global Tech. bron: https://www.security.nl

Microsoft heeft aan een testversie van Windows 11 een nieuwe policy voorzien waardoor het mogelijk is voor systeembeheerders om usb-schijven uit te sluiten van de ingebouwde encryptiesoftware BitLocker. Dit moet voorkomen dat dat ingebouwde opslag van videocamera's, stemrecorders, videoconferentiesystemen, medische apparatuur en andere apparaten automatisch of per ongeluk door BitLocker wordt versleuteld. Wanneer de policy staat ingeschakeld is het niet mogelijk om opslag, die op een speciale uitzonderingslijst staat aangegeven, te versleutelen. Beheerders moeten hiervoor wel eerst het speciale hardware-ID van de uit te zonderen apparaten verzamelen en aan de lijst toevoegen. Vervolgens is hiermee een apart profiel aan te maken en als policy te gebruiken. De feature is toegevoegd aan Windows 11 Insider Preview Build 22579. Wanneer de policy in de releaseversie van Windows 11 zal verschijnen is onbekend. bron: https://www.security.nl

Dertig procent van de applicaties, servers en andere systemen die van Log4j gebruikmaken is nog altijd kwetsbaar, zo stelt securitybedrijf Qualys op basis van eigen onderzoek. Op 9 december werd er een kritiek lek in de Log4j2-library gevonden, waardoor het mogelijk is om systemen op afstand over te nemen. 72 uur na de bekendmaking van het beveiligingslek had Qualys naar eigen zeggen al bijna één miljoen aanvalspogingen gezien. Het bedrijf baseert zich op cijfers van het eigen cloudplatform, waarmee het "it assets" kan scannen. Log4Shell, zoals het beveiligingslek in Log4j wordt genoemd, werd in meer dan drie miljoen kwetsbare instances aangetroffen. Meer dan twee maanden later is dertig procent van de Log4j-instances nog altijd kwetsbaar. Uit het onderzoek bleek verder dat meer dan tachtig procent van de kwetsbare applicaties met Log4j open source is en meer dan de helft van de kwetsbare applicaties het stempel "end-of-support" heeft. Voor deze applicaties zullen dan ook waarschijnlijk geen beveiligingsupdates meer verschijnen. Het installeren van beveiligingsupdates of andere mitigaties duurde gemiddeld zeventien dagen. Systemen die vanaf afstand kon worden aangevallen werden daarbij sneller gepatcht (twaalf dagen) dan interne systemen. Log4Shell werd in meer dan 2800 webapplicaties aangetroffen. "Aangezien webapplicaties publiek toegankelijk zijn, was dit de voor veel bedrijven de eerste verdedigingslinie om vroege aanvallen af te slaan", zegt Mehul Revankar van Qualys. bron: https://www.security.nl

Microsoft waarschuwt organisaties en gebruikers voor het naderende einde van de support van Internet Explorer 11. Vanaf 15 juni zal de IE11-desktopapplicatie niet meer op verschillende Windows 10-versies worden ondersteund. Wanneer gebruikers Internet Explorer toch starten zal Microsoft Edge worden geladen. Volgens Microsoft is er een groeiend aantal websites dat Internet Explorer niet meer ondersteunt. Daarnaast zou Edge een snellere, modernere en veiligere "browsing-ervaring" bieden. Edge kan wanneer nodig ook oude legacy IE-sites openen. Na het uitfaseren van Internet Explorer 11 op 15 juni zal Microsoft de browser niet meer ondersteunen. Een toekomstige Windows 10-update zal IE11 uitschakelen en wanneer gebruikers de browser willen starten hen automatisch doorsturen naar Edge. Microsoft roept gebruikers en organisaties op om zich op het "pensioen" van IE11 voor te bereiden. Daarbij laat het techbedrijf weten dat de IE-mode binnen Edge in ieder geval tot en met 2029 zal worden ondersteund. Op Windows 7, Windows 8,1, Windows 10 LTSC en Windows 10 Server blijft Microsoft IE11 wel ondersteunen. bron: https://www.security.nl

Google heeft details gegeven over criminelen die toegang voor ransomwaregroepen regelen en hiervoor onder andere een zerodaylek in Internet Explorer gebruikten. Initial access brokers, zoals dergelijke partijen worden genoemd, spelen volgens Google een belangrijke rol bij het faciliteren van cybercrime. De broker regelt toegang tot systemen van organisaties, waarna deze toegang aan onder andere ransomwaregroepen wordt verkocht. De broker in kwestie, door Google Exotic Lily genoemd, zou meer van vijfduizend e-mails per dag naar 650 organisaties wereldwijd versturen. In eerste instantie ging het om partijen in de gezondheidszorg, it en cybersecurity, maar volgens Google valt de broker nu meer organisaties en industrieën aan. Voor de aanvallen maakt de broker gebruik van domeinen die op die van de aangevallen organisatie lijken. Vervolgens stuurt de broker een e-mail die van een medewerker van de betreffende organisatie afkomstig lijkt en linkt naar een document. In werkelijkheid gaat het om malware. Vorig jaar september ontdekten onderzoekers dat Exotic Lily hierbij een zerodaylek in Internet Explorer gebruikte. De kwetsbaarheid (CVE-2021-40444) bevond zich in MSHTML, de door Microsoft ontwikkelde browser-engine van Internet Explorer. MSHTML wordt ook door Office-applicaties gebruikt voor het weergeven van webcontent in documenten. Bij de aanvallen stuurden de aanvallers hun doelwit een Microsoft Office-bestand. Wanneer de gebruiker dit document opende werd er een kwaadaardig ActiveX-control geladen dat het systeem uiteindelijk met malware infecteerde. Na het versturen van documenten die het IE-lek gebruikten, en waarvoor Microsoft in september met een update kwam, besloot de broker over te stappen op het linken naar ISO-bestanden. Op basis van de communicatie van de broker blijkt die volgens Google standaard kantoortijden van negen tot vijf aan te houden, met weinig activiteit in het weekend. Op basis van de werkuren vermoedt Google dat de broker vanuit Centraal of Oost-Europa opereert. Naast informatie over de werkwijze heeft het techbedrijf ook indicators of compromise gegeven, zoals domeinen, ip-adressen en hashes van bestanden die de broker gebruikt. bron: https://www.security.nl

Microsoft heeft een tool ontwikkeld waarmee het mogelijk is om MikroTik-routers op malware te scannen. Het gaat dan specifiek om de Trickbot-malware die onder andere een hoofdrol bij een aantal grote ransomware-incidenten speelde. Trickbot kan allerlei data en inloggegevens van besmette systemen stelen, maar wordt ook vaak gebruikt voor het installeren van andere malware. Net als allerlei andere malware maakt Trickbot gebruik van command & control (C2)-servers voor het aansturen van besmette machines. Om detectie van de malware en C2-servers te voorkomen zet Trickbot besmette MikroTik-routers in als proxy. Zodoende loopt het verkeer via een ander ip-adres, wat detectie kan bemoeilijken. Microsoft zegt dat het onlangs ontdekte hoe MikroTik-apparaten binnen de C2-infrastructuur van Trickbot worden gebruikt. Deze informatie werd vervolgens gebruikt voor het ontwikkelen van een scantool waarmee Trickbot-infecties op MikroTik-routers zijn te detecteren. Voor het compromitteren van MikroTik-routers maken de aanvallers gebruik van drie methodes, namelijk standaard MikroTik-wachtwoorden, bruteforce-aanvallen, waarbij ook unieke wachtwoorden werden gebruikt die waarschijnlijk van andere MikroTik-routers afkomstig zijn en als laatste een vier jaar oude kwetsbaarheid. Via dit beveiligingslek, aangeduid als CVE-2018-14847, kan een aanvaller willekeurige bestanden op de router uitlezen, waaronder het bestand dat de wachtwoorden bevat. Naast het ontwikkelen van een scantool voor het vinden van Trickbot-malware geeft Microsoft ook advies voor het verwijderen van een besmetting wanneer die wordt aangetroffen, alsmede maatregelen om toekomstige aanvallen te voorkomen. Zo moeten gebruikers het standaardwachtwoord door een sterk wachtwoord vervangen, toegang tot poort 8291 vanaf het internet blokkeren, het standaard poortnummer van SSH wijzigen, de laatste firmware installeren en een VPN voor remote beheer en toegang gebruiken. bron: https://www.security.nl

Naar aanleiding van een onderzoek dat in opdracht van de Nederlandse overheid en onderwijsorganisatie SURF werd uitgevoerd naar privacyrisico’s bij het gebruik van Zoom heeft de videobelsoftware alle hoge risico's verholpen, maar zes lage risico's zijn echter nog steeds aanwezig. Universiteiten en overheidsorganisaties kunnen deze risico's grotendeels zelf oplossen. Dat meldt de Haagse Privacy Company dat het onderzoek naar Zoom uitvoerde. Het onderzoek leverde negen hoge en drie lage privacyrisico's op voor de mensen die Zoom gebruiken. Zo zag Zoom zichzelf niet als verwerker voor de persoonsgegevens van de education en enterprise klanten, miste er transparantie welke persoonsgegevens Zoom verwerkte, konden gebruikers hun rechten onvoldoende uitoefenen, verzamelde Zoom teveel gegevens en werden gegevens te lang door Zoom bewaard. De onderzoekersresultaten en daarop volgende gesprekken tussen Zoom, SURF en de Privacy Company hebben ertoe geleid dat Zoom een groot aantal maatregelen heeft getroffen en toegezegd. De afspraken zijn vastgelegd in een nieuw contract, een nieuwe uitgebreide verwerkersovereenkomst en een ondertekend actieplan met tijdlijnen voor de afgesproken maatregelen. Zo treedt Zoom nu feitelijk en formeel op als verwerker voor alle persoonsgegevens, gelden de privacy-afspraken ook voor gastgebruikers die deelnemen aan een vergadering die door een universiteit is georganiseerd, zegt Zoom alle persoonsgegevens eind dit jaar exclusief in Europese datacentra te zullen verwerken, heeft Zoom informatie gepubliceerd over de soorten persoonsgegevens die ze verwerkt, zijn veel bewaartermijnen aanzienlijk ingekort en gaat Zoom inzageportalen bouwen. Lage privacyrisico's De hoge privacyrisico's zijn door Zoom verholpen, maar zes lage risico's zijn nog altijd aanwezig. Het gaat om toegang tot inhoudelijke gegevens door de Amerikaanse autoriteiten, doorgifte van agnostische, support en websitegegevens naar de VS, doorgifte van pseudonieme gegevens naar het Trust & Safety Team in de VS, gebrek aan transparantie over de account en diagnostische gegevens, hindernissen bij het uitoefenen van het inzagerecht en het personeelsvolgsysteem. Universiteiten en instellingen kunnen deze risico’s grotendeels zelf oplossen, aldus de Privacy Company. "Als Zoom en de Nederlandse universiteiten en overheidsorganisaties alle overeengekomen en aanbevolen maatregelen toepassen, zijn er geen bekende grote risico's meer voor de individuele gebruikers van de videobeldiensten van Zoom", zo concludeert het onderzoeksbedrijf. Privacy Company waarschuwt aanvullend voor het onderzoek dat Europese privacytoezichthouders naar het gebruik van clouddiensten uitvoeren. "Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Zoom alle gegevens in principe in Europese datacentra verwerkt, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Zoom diensten." bron: https://www.security.nl

De geavanceerde Cyclops Blink-malware waar de Amerikaanse en Britse autoriteiten eind februari voor waarschuwden infecteert ook Asus-routers, zo meldt antivirusbedrijf Trend Micro. Asus heeft inmiddels een onderzoek ingesteld en zegt met een software-update te zullen komen. Volgens de FBI, NSA, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC) is de malware ontwikkeld door een groep genaamd Sandworm, die aan de Russische geheime dienst GRU gelieerd zou zijn. In eerste instantie werd gemeld dat alleen firewalls van fabrikant WatchGuard het doelwit waren. De malware zou op een zeer geraffineerde manier, door gebruik te maken van een zwakte in het firmware-updateproces van WatchGuard, apparaten permanent weten te infecteren. Het exacte doel van Cyclops Blink is onbekend. Nu blijkt echter dat ook Asus-routers onderdeel van het Cyclops Blink-botnet worden gemaakt. Net als bij de WatchGuard-firewalls kan de malware ook de firmware van Asus-routers overschrijven en zo fabrieksresets overleven. Volgens Trend Micro hebben de aanvallers het voorzien op apparaten die niet van vitale organisaties zijn of een duidelijk spionagedoel hebben. De onderzoekers denken dan ook dat het botnet mogelijk is bedoeld als infrastructuur voor het uitvoeren van verdere aanvallen tegen waardevolle doelwitten. Naast Asus en WatchGuard is er ook bewijs dat routers van een andere fabrikant verbinding met het Cyclops Blink-botnet maken, maar voor dit specifieke routermerk is er nog geen malware gevonden. Hoe de Asus-routers precies besmet kunnen raken is, net als bij de WatchGuard-firewalls, onbekend. Asus laat weten dat het een onderzoek is gestart en aan een oplossing werkt. Hoewel de malware een fabrieksreset kan overleven adviseert Asus uit voorzorg toch het uitvoeren van een fabrieksreset. Tevens wordt aangeraden de laatste firmware te installeren en een sterk beheerderswachtwoord te kiezen. Verder moet Remote Management worden uitgeschakeld. De optie staat standaard echter uit. bron: https://www.security.nl

Google slaat in de versie 4 van statistiekenprogramma Analytics geen ip-adressen van internetgebruikers meer op. Daarnaast zal het oudere versies van de software volgend jaar uitfaseren. Volgens het techbedrijf is dit nodig vanwege het huidige "dataprivacylandschap", waar gebruikers meer privacy en controle over hun data verwachten. Onlangs oordeelde de Franse privacytoezichthouder dat het gebruik van Google Analytics in strijd met de Europese privacywetgeving GDPR is. Een Franse website die van Googles statistiekenprogramma gebruikmaakt kreeg één maand de tijd om een alternatieve oplossing te zoeken. Eerder had ook de Oostenrijkse privacytoezichthouder geoordeeld dat een Oostenrijkse website die Analytics gebruikte in overtreding van de GDPR was. Volgens de toezichthouder wordt erbij het gebruik van Google Analytics persoonlijke data naar Google in de Verenigde Staten verstuurd, waaronder user identifiers, ip-adressen en browserparameters. In Google Analytics versie 4 worden voortaan geen ip-adressen meer opgeslagen, zo laat Google weten. Daarnaast is het statistiekenprogramma niet alleen afhankelijk van cookies. Websites kunnen per land de privacyinstellingen instellen en zo het verzamelen van gebruikersgegevens, zoals cookies en metadata, beperken. Google biedt verschillende versies van Analytics. Websites zullen echter naar Google Analytics 4 moeten overstappen om statistieken te blijven ontvangen. Volgend jaar juli stopt Google namelijk met Universal Analytics, terwijl op 1 oktober 2023 de stekker uit Universal Analytics 360 wordt getrokken. Websites worden dan ook opgeroepen om naar de nieuwe versie van Analytics te upgraden. bron: https://www.security.nl

Softwarebedrijf SolarWinds heeft klanten gewaarschuwd voor een aanval op Web Help Desk en adviseert om de oplossing tijdelijk niet vanaf het internet toegankelijk te maken. Web Help Desk (WHD) is een ticketingsysteem waarmee organisaties hun gebruikers en klanten tickets kunnen laten insturen. Vervolgens kan de organisatie de ingezonden tickets aan medewerkers toekennen. De WHD-installatie van een klant van SolarWinds werd onlangs doelwit van een aanval. De aanval werd door het endpoint detection and response (EDR) systeem van deze klant opgemerkt, waarna de klant SolarWinds waarschuwde. Het softwarebedrijf is een onderzoek naar de aanval gestart en is er nog niet in geslaagd om de aanval te reproduceren. Het onderzoek loopt echter nog. Uit voorzorg adviseert SolarWinds alle klanten waarvan de WHD-implementatie toegankelijk is vanaf het internet om die offline te halen totdat er meer bekend is. Wanneer het niet mogelijk is om de oplossing uit de publieke infrastructuur te verwijderen wordt aangeraden om van EDR-software gebruik te maken en de WHD-installatie te monitoren. Software van SolarWinds was het afgelopen jaar geregeld het doelwit van aanvallen. Het ging onder andere om Serv-U en het Orion-platform. bron: https://www.security.nl

De ontwikkelaars van OpenSSL hebben nieuwe versies uitgebracht waarmee een kwetsbaarheid wordt verholpen die het mogelijk maakt om denial of service (dos)-aanvallen tegen onder andere TLS-servers en -clients uit te voeren. Het beveiligingslek, aangeduid als CVE-2022-0778, bevindt zich in een functie die bij het verwerken van certificaten wordt gebruikt en kan voor een oneindige loop zorgen. Het probleem doet zich in verschillende scenario's voor, zoals TLS-clients die servercertificaten verwerken, TLS-servers die clientcertificaten verwerken, hostingproviders die certificaten of private keys van klanten accepteren, certificaatautoriteiten die certificatieverzoeken van klanten verwerken, alsmede alle andere situaties waarbij OpenSSL wordt gebruikt voor het verwerken van ASN.1 elliptic curve parameters. "Aangezien het verwerken van het certificaat plaatsvindt voor de verificatie van de certificaathandtekening, kan elk proces dat extern aangeleverde certificaten verwerkt aan een denial of service-aanval worden blootgesteld", aldus de ontwikkelaars. De 'infinite loop' kan zich ook voordoen bij het verwerken van speciaal geprepareerde private keys, aangezien die ook specifieke elliptic curve parameters kunnen bevatten. De kwetsbaarheid is aanwezig in OpenSSL-versies 1.0.2, 1.1.1 en 3.0 en verholpen in versies 1.1.1n en 3.0.2. De impact van het beveiligingslek, dat door de bekende Google-onderzoeker Tavis Ormandy werd gevonden en gerapporteerd, is beoordeeld als "high". Dit het één na hoogste niveau wat OpenSSL aanhoudt. Voor beveiligingslekken die als high en critical zijn beoordeeld brengt het OpenSSL-team een nieuwe versie uit. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Aanvallers hebben vorig jaar een NGO door middel van een zwak wachtwoord, een kwetsbaarheid in Cisco’s Duo multifactorauthenticatie (MFA)-protocol en het PrintNightmare-lek in Windows weten te compromitteren, zo claimt de FBI. De aanvallers wisten via een bruteforce-aanval toegang tot een account met een eenvoudig, voorspelbaar wachtwoord te krijgen. De aangevallen organisatie maakte gebruik van een oplossing van MFA-leverancier Duo voor het beveiligen van accounts. Het gecompromitteerde account was echter vanwege een lange periode van inactiviteit afgemeld bij Duo, maar niet uitgeschakeld in de Active Directory van de NGO. De standaardconfiguratie van Duo maakt het mogelijk om een nieuw apparaat voor een inactief account aan te melden. Zo konden de aanvallers hun eigen apparaat aan het gecompromitteerde account toevoegen, aan de authenticatievereisten voldoen en zo toegang tot het NGO-netwerk krijgen. Vervolgens maakten de aanvallers gebruik van het PrintNightmare-lek in Windows om hun rechten te verhogen en beheerder te worden. Ook wijzigden de aanvallers het domeincontrollerbestand, waardoor Duo MFA calls niet naar de Duo-server gingen, maar naar localhost. Hierdoor kan de MFA-service de server niet benaderen om de MFA-login te valideren, wat in principe multifactorauthenticatie voor actieve domeinaccounts uitschakelde. "Omdat het standaardbeleid van Duo voor Windows "Fail open" is wanneer de MFA-server niet kan worden bereikt. "Fail open" kan bij elke MFA-implementatie voorkomen", aldus de FBI. Na het effectief uitschakelen van MFA wisten de aanvallers op de VPN van de organisatie in te loggen en RDP-verbindingen naar domeincontrollers op te zetten. Vervolgens werden inloggegevens van andere domeinaccounts gestolen en de MFA-configuratie aangepast, zodat er voor deze nieuw gecompromitteerde accounts geen MFA meer was vereist. De aanvallers maakten hierbij voornamelijk gebruik van interne Windows-tools. Uiteindelijk wisten de aanvallers zich lateraal door het netwerk te bewegen en toegang te krijgen tot de cloudopslag en e-mailaccounts van de NGO. Volgens de FBI was de aanval het werk van door de Russische staat gesponsorde aanvallers. Mitigaties De FBI adviseert organisaties om verschillende maatregelen te nemen om dergelijke aanvallen te voorkomen. Zo moet MFA voor alle gebruikers zonder uitzondering worden ingesteld. Voor de implementatie moet echter het configuratiebeleid worden gecontroleerd om "Fail open" en het opnieuw aanmelden van apparaten te voorkomen. Verder wordt organisaties geadviseerd om een time-out en lock-out voor herhaaldelijk mislukte inlogpogingen in te stellen en ervoor te zorgen dat inactieve accounts overal zijn uitgeschakeld, zowel in de Active Directory, MFA-oplossing als andere systemen. bron: https://www.security.nl