Captain Kirk

Windowscomputers moeten minimaal acht uur online zijn om betrouwbaar te kunnen updaten, zo stelt Microsoft op basis van eigen onderzoek. Systemen die hier niet aan voldoen kunnen beveiligingsupdates en andere patches niet succesvol installeren en lopen daardoor risico. Volgens data van Microsoft moet een systeem minimaal twee uur achter elkaar met internet zijn verbonden, en daarnaast nog eens zes uur online zijn, voor de succesvolle installatie van updates. Van de Windows 10-systemen die op een niet meer ondersteunde versie van Windows 10 draaien blijkt de helft niet lang genoeg online te zijn om betrouwbaar te kunnen updaten. Van de Windows 10-systemen met een wel ondersteunde Windows 10-versie loopt een kwart zestig dagen achter met beveiligingsupdates en is niet lang genoeg online. Microsoft stelt dat organisaties hun medewerkers kunnen aanmoedigen om systemen 's nachts niet uit te schakelen, zodat beveiligingsupdates zonder problemen kunnen worden gedownload en geïnstalleerd. Verder wordt gewezen naar het juist toepassen van power management. Bepaalde energie-instellingen kunnen een systeem te snel in hibernation plaatsen, waardoor het niet meer mogelijk wordt om updates buiten de actieve uren te installeren. bron: https://www.security.nl

De meeste gebruikers van Tor Browser kiezen de browser voor het beschermen van hun persoonlijke privacy, zo blijkt uit onderzoek onder meer dan vijftigduizend gebruikers dat door het Tor Project werd uitgevoerd. Via Tor Browser maken gebruikers verbinding met het Tor-netwerk, dat hun ip-adres afschermt en andere privacybeschermende technieken toepast. Via de browser is het ook mogelijk om gecensureerde websites te bezoeken. Het Tor Project, dat Tor Browser en het Tor-netwerk onderhoudt, wilde meer weten over hoe mensen de browser gebruiken en voor welke redenen. 81 procent van de deelnemers aan het onderzoek liet weten Tor Browser te gebruiken voor het beschermen van de persoonlijke privacy. Ideologische redenen volgen op een tweede plek (37 procent), gevolgd door het omzeilen van censuur (27 procent). Een kleine minderheid van de gebruikers, zo'n elf procent, gebruikt de browser elke dag. Zo'n 23 procent start Tor Browser tenminste één keer per dag. Een zelfde percentage doet dit minstens één keer per week. Een andere 23 procent start Tor Browser zeer zelden. Verder blijkt dat Tor Browser voor Android vaker wordt gebruikt dan Tor Browser voor Desktop. Om de privacy van gebruikers te beschermen loopt het verkeer van Tor-gebruikers over meerdere servers. Deze servers zijn afkomstig van vrijwilligers die het netwerk ondersteunen. Een veel gehoorde klacht is dat het Tor-netwerk traag is. Naast de soms trage snelheid is het ook het blokkeren van Tor Browser door websites een grote ergernis onder gebruikers. Het Tor Project heeft eerder al aangegeven dat het meer wil doen om de snelheid van het netwerk te verbeteren. bron: https://www.security.nl

Onderzoekers van Cisco hebben in een beveiligingscamera van fabrikant Reolink meer dan zeventig kwetsbaarheden ontdekt waardoor het mogelijk is voor aanvallers om de camera over te nemen, uit te schakelen, mee te kijken of beelden te verwijderen. De Reolink RLC-410W is een via wifi verbonden beveiligingscamera met onder andere bewegingssensoren en verschillende manieren om opnames op te slaan en te bekijken. De camera wordt ook in Nederland verkocht. De Cisco-onderzoekers vonden 66 beveiligingslekken waardoor het mogelijk is om zonder permissie een reboot van de beveiligingscamera te veroorzaken. Alleen het versturen van een speciaal geprepareerd http-request is voldoende om het server-proces uit te schakelen en een reboot te veroorzaken. De impact van deze beveiligingslekken is op een schaal van 1 tot en met 10 met een 8,6 beoordeeld. Daarnaast vonden de onderzoekers ook dat de camera kwetsbaar is voor command injection. Door het versturen van speciaal geprepareerde http-requests kan een aanvaller willekeurige code op het apparaat uitvoeren. De impactscore van deze zes beveiligingslekken is 9.1. Twee andere beveiligingslekken, mede door een hardcoded TLS-key, maken het mogelijk voor een aanvaller om zich als de camera voor te doen en zo inloggegevens te onderscheppen waarmee er beheerderstoegang tot de camera kan worden verkregen. Verder is het voor een ongeauthenticeerde aanvaller mogelijk om de sd-kaart in de camera te formatteren. Reolink werd op 6 december over de kwetsbaarheden gewaarschuwd en bracht op 19 januari een firmware-update uit. Gebruikers wordt aangeraden om naar de nieuwste versie te updaten. bron: https://www.security.nl

De Duitse inlichtingendienst BfV heeft bedrijven in Duitsland gewaarschuwd voor cyberspionage door een groep aanvallers genaamd APT27. Deze groep zou vanuit China opereren en gebruikmaken van bekende kwetsbaarheden in Microsoft Exchange Server en Zoho AdSelf Service Plus om toegang tot de netwerken van organisaties te krijgen. Zodra er toegang is verkregen gebruiken de aanvallers de "Hyperbro-malware" voor het stelen van intellectueel eigendom en bedrijfsgeheimen. Hyperbro is een remote access tool (RAT) waarmee het mogelijk is om systemen op afstand te benaderen. Volgens de BfV kan niet worden uitgesloten dat de aanvallers, naast het stelen van informatie, ook netwerken van klanten van de aangevallen organisatie proberen te compromitteren. De Duitse geheime dienst merkt op dat APT27 al tenminste sinds 2010 actief is, maar dat er recentelijk een toename van het aantal aanvallen tegen Duitse doelwitten is waargenomen. Met de waarschuwing, gepubliceerde indicators of compromise en Yara-rules wil de BfV bedrijven tegen deze aanvallen wapenen en helpen bij het vinden van eventueel gecompromitteerde systemen en netwerken. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt moet honderdduizenden certificaten wegens een fout in de code die het gebruikt voor domeincontrole intrekken. Dat heeft de organisatie vandaag aangekondigd. Let's Encrypt geeft gratis tls-certificaten uit voor het opzetten van beveiligde verbindingen en identificeren van websites. Wanneer iemand een certificaat aanvraagt controleert Let's Encrypt dat de aanvrager ook eigenaar is van het betreffende domein waarvoor het certificaat wordt uitgegeven. Deze domeincontrole vindt via een zogeheten "challenge" plaats. Let's Encrypt ondersteunt verschillende soorten challenges. Eén hiervan is TLS-ALPN-01. Deze challenge werkt op basis van speciaal gemaakte certificaten die alleen voor de verificatie worden gebruikt, ook bekend als ALPN-certificaten. In de software die Let's Encrypt gebruikt voor het verifiëren van de certificaataanvragen werden in de implementatie van TLS-ALPN twee "onregelmatigheden" ontdekt. Daarop heeft Let's Encrypt een oplossing uitgerold. Vanwege de aangetroffen problemen moet Let's Encrypt alle via TLS-ALPN uitgegeven certificaten die voor de implementatie van de oplossing zijn uitgegeven intrekken. Het gaat om alle certificaten die voor 26 januari zijn uitgegeven. TLS-ALPN wordt niet standaard gebruikt en is volgens Let's Encrypt voor de meeste mensen ongeschikt. Vanwege de regels voor certificaatautoriteiten heeft Let's Encrypt vijf dagen om de certificaten in te trekken, waarmee aanstaande vrijdag 28 januari wordt begonnen. Volgens Let's Encrypt gaat het om minder dan 1 procent van de actieve certificaten. De certificaatautoriteit heeft meer dan 220 miljoen actieve uitgegeven certificaten in omloop. Let's Encrypt zal waar mogelijk gedupeerde gebruikers waarschuwen. bron: https://www.security.nl

Hardwarefabrikant QNAP heeft vandaag een waarschuwing gegeven voor aanvallen op NAS-systemen en roept gebruikers op om hun NAS niet direct toegankelijk vanaf het internet te maken. Aanleiding voor de oproep zijn aanvallen met een nieuw ransomware-exemplaar genaamd DeadBolt. Volgens QNAP heeft de Deadbolt-ransomware het voorzien op NAS-systemen die zonder beveiliging vanaf het internet toegankelijk zijn. Bij kwetsbare NAS-systemen versleutelt de ransomware bestanden en eist losgeld voor het ontsleutelen ervan. QNAP roept gebruikers op om te controleren of hun NAS vanaf het internet toegankelijk is. Dit is mogelijk via de Security Counselor op het NAS-systeem. Verder wordt aangeraden om port forwarding op de router en UPnP op de QNAP-NAS uit te schakelen. Hoe de ransomware NAS-systemen weet te infecteren is onbekend. Volgens de boodschap van de aanvallers wordt er gebruik gemaakt van een zerodaylek, maar details ontbreken op dit moment. Op het forum van QNAP hebben zich tientallen slachtoffers gemeld die gegevens op hun NAS zijn verloren. Slachtoffers van de Deadbolt-ransomware kunnen contact met QNAP opnemen. bron: https://www.security.nl

Het grootschalig misbruik van de Log4j-kwetsbaarheid waarvoor vorige maand nog werd gewaarschuwd heeft zich niet voorgedaan en het aantal waargenomen aanvallen is daarnaast sterk afgenomen, zo stelt antivirusbedrijf Sophos op basis van eigen onderzoek. De virusbestrijder verwacht dat ongepatchte Log4j-systemen wel nog jarenlang een doelwit zullen blijven. Sommige experts noemden het Log4j-lek de grootste kwetsbaarheid aller tijden en waarschuwden voor grootschalig misbruik. Dat misbruik heeft zich vooralsnog niet voorgedaan. Het aantal pogingen is zelfs sterk afgenomen, aldus Sophos. Het bedrijf baseert zich op de cijfers van 68.000 firewalls bij klanten die data delen. Daarvan zag negentien procent een Log4j-aanval voorbij komen. Bij de aanvallen die succesvol waren ging het in de meeste gevallen om de installatie van een cryptominer. Een mogelijke reden dat grootschalig misbruik is uitgebleven komt doordat exploits voor elke applicatie met kwetsbare Log4j-code moeten worden aangepast. Er is geen universele exploit die tegen alle Log4j-applicaties werkt. Ondanks het uitblijven van grootschalig misbruik kan het zijn dat aanvallers al via het lek toegang tot systemen hebben gekregen, maar die toegang nog niet verder hebben gebruikt. Daardoor blijft de initiële inbraak onopgemerkt. "Mede door het snelle handelen van veel organisaties lijkt de omvang van actief misbruik op dit moment mee te vallen. Maar dat wil niet zeggen dat het hierbij blijft. De verwachting is dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen blijven uitvoeren", waarschuwde het Nationaal Cyber Security Centrum (NCSC) vorige week. Afsluitend stelt onderzoeker Chester Wisniewski van Sophos dat de Log4j-kwetsbaarheid nog jaren een geliefd doelwit van pentesters en statelijke actoren zal blijven. Het identificeren en updaten van kwetsbare applicaties blijft dan ook belangrijk. Ook het NCSC adviseert organisaties om waakzaam te blijven en te blijven controleren of kwetsbare systemen worden gebruikt en waar nodig updates of mitigerende maatregelen toe te passen. bron: https://www.security.nl

Criminelen zijn erin geslaagd om kwaadaardige code aan de webwinkel van Segway toe te voegen die creditcardgegevens en andere persoonlijke informatie van klanten steelt. De fabrikant van de bekende gemotoriseerde step is over de situatie ingelicht, maar op het moment van schrijven is de code nog steeds aanwezig. Onderzoekers van antimalwarebedrijf Malwarebytes ontdekten dat bij het afrekenen van een Segway in de officiële webwinkel er verbinding wordt gemaakt met een verdacht domein. Dit domein is sinds vorig jaar november actief en wordt gebruikt door een bende criminelen die inbreekt op webwinkels om vervolgens een "web skimmer" aan de bestelpagina toe te voegen. Deze skimmer stuurt creditcardgegevens en andere ingevulde data door naar de criminelen. De webwinkel van Segway maakt gebruik van webwinkelsoftware Magento. Hoe de aanvallers de webshop wisten te compromitteren is onbekend. Volgens Malwarebytes is de Segway-webshop al zeker sinds 6 januari gecompromitteerd. Gisteren publiceerde het antimalwarebedrijf een blog over de aanwezigheid van de skimmer. Daarin wordt gemeld dat Segway is ingelicht, maar op het moment van schrijven is de kwaadaardige code nog steeds actief. bron: https://www.security.nl

Vier Amerikaanse staten hebben Google aangeklaagd voor het illegaal verzamelen van locatiegegevens. Volgens de procureurs-generaal van het District of Columbia, Texas, Washington en Indiana misleidde en manipuleerde het techbedrijf gebruikers om toegang tot hun locatiegegevens te krijgen, onder andere door het bijna onmogelijk te maken om het tracken van de locatie te stoppen. Volgens de aanklacht heeft Google sinds tenminste 2014 systematisch gebruikers misleid over hoe hun locatie wordt gevolgd en gebruikt en liet het techbedrijf hen geloven dat ze controle hadden over de informatie die Google over hen verzamelde. "In werkelijkheid is er geen manier voor consumenten om te voorkomen dat Google locatiegegevens verzamelt, opslaat en hiervan profiteert", aldus de procureurs-generaal. Die spreken van misleiding waar niet alleen Androidgebruikers mee te maken kregen, maar ook gebruikers van Google-producten zoals Google Search en Google Maps op iOS-toestellen en andere apparaten. Met de rechtszaak willen de Amerikaanse staten de "misleidende en onrechtmatige" praktijken van Google stoppen en het bedrijf met boetes hiervoor straffen. De aanklacht stelt dat Google gebruikers op vier punten schade heeft toegebracht. Zo is het onmogelijk voor gebruikers om zich voor het volgen van hun locatie af te melden. Google claimt dat het gebruikers "controle" geeft en hun keuze "respecteert". Zelfs wanneer een gebruiker zijn instellingen aanpast kan Google nog steeds zijn locatie volgens via apps op het toestel, wifi, bluetooth, het ip-adres en andere methodes, aldus de uitleg van de procureurs-generaal. Verder spreken de procureurs-generaal van het misleiden van Androidgebruikers. Die kunnen "Locatiediensten" op hun toestel uitschakelen, maar volgens de aanklacht omzeilt het techbedrijf deze instelling en blijft het manieren vinden om de locatie van gebruikers te verzamelen. Daarnaast maakt Google gebruik van "dark patterns" om de keuze van gebruikers te ondermijnen en het beschermen van hun privacy te voorkomen. Naast het stoppen van Googles werkwijze en het opleggen van boetes willen de vier Amerikaanse staten dat het techbedrijf ook de inkomsten afstaat die het met onrechtmatige locatietracking heeft verdiend. Google stelt dat de zaak is gebaseerd op onnauwkeurige claims en gedateerde aannames over de instellingen die het biedt. bron: https://www.security.nl

Bij verschillende aanvalscampagnes zijn criminelen erin geslaagd om duizenden zakelijke e-mailaccounts van industriële bedrijven te compromitteren en vervolgens te gebruiken voor het verspreiden van spyware. Dat meldt antivirusbedrijf Kaspersky op basis van eigen onderzoek. De aanvallers maken gebruik van commercieel verkrijgbare spyware zoals AgentTesla, HawkEye, Formbook, Azorult en Lokibot. De spyware wordt als e-mailbijlage verstuurd. Zodra slachtoffers de bijlage openen en de spyware het systeem succesvol weet te infecteren worden wachtwoorden en andere inloggegevens onderschept en naar de aanvallers teruggestuurd. Die krijgen zo toegang tot onder andere zakelijke e-mailaccounts. De toegang tot deze accounts wordt weer gebruikt voor het uitvoeren van nieuwe aanvallen, waarbij de spyware wordt verstuurd naar de contacten van de gecompromitteerde mailbox. Kaspersky identificeerde meer dan tweeduizend zakelijke e-mailaccounts van industriële bedrijven die waren gecompromitteerd en gebruikt als onderdeel van de spywarecampagne. De virusbestrijder schat dat inloggegevens van veel meer e-mailaccounts, naar schatting ruim zevenduizend, zijn gestolen en verkocht op internet of misbruikt voor andere doeleinden. De meeste van de aanvallen worden toegeschreven aan "low-skilled" individuen en groepen. De aanvallers hebben met name een financieel motief. Sommige zoeken specifiek naar inloggegevens van bedrijfsnetwerken, zoals SSH, RDP en VPN, om die te stelen en door te verkopen. Dergelijke data is vervolgens te gebruiken door ransomwaregroepen of statelijke actoren. bron: https://www.security.nl

De aanvallers achter de malware-aanval op Oekraïense organisaties, waarbij tal van systemen werden gesaboteerd, hadden zeer waarschijnlijk al maanden toegang tot de netwerken van hun slachtoffers, zo stelt Cisco in een analyse. Het bedrijf is betrokken bij het onderzoek naar de aanval. Aanvallers gebruikten bij de aanval een zogeheten "wiper" genaamd WhisperGate. De malware doet zich voor als ransomware, maar is ontwikkeld voor het wissen van de master boot record (MBR) en andere bestanden op het systeem. Hierdoor kan de computer niet meer het besturingssysteem opstarten. In tegenstelling tot de NotPetya-malware die in 2017 werd ingezet is WhisperGate schadelijker, aldus Cisco. Zo probeert de malware ook de C-partitie te overschrijven. Iets dat NotPetya niet deed. Hoe de aanvallers toegang tot de systemen en netwerken van hun slachtoffers kregen is nog niet duidelijk, maar mogelijk is dit met gestolen inloggegevens gedaan. Cisco stelt met hoge zekerheid dat de aanvallers al maanden of langer toegang tot de netwerken van hun slachtoffers hadden. "Dit is een kenmerk van een geraffineerde APT-aanval", zegt onderzoeker Chris Neal. Net als de Amerikaanse overheid adviseert ook Cisco dat organisaties systemen met verbindingen naar Oekraïne isoleren en monitoren. bron: https://www.security.nl

Beheerders van WordPress-sites zijn gewaarschuwd voor een backdoor die aanvallers hebben toegevoegd aan de themes en plug-ins van AccessPress Themes. AccessPress biedt 64 themes en 109 plug-ins voor WordPress die volgens het bedrijf op meer dan 360.000 WordPress-sites zijn geïnstalleerd. Aanvallers wisten in september vorig jaar toegang tot de websites van AccessPress te krijgen en voorzagen aangeboden themes en plug-ins van een backdoor. De backdoor was niet aanwezig in de extensies en themes die via WordPress.org werden aangeboden. De backdoor werd gevonden door WordPressbeveiliger Jetpack. Dat besloot meteen AccessPress te waarschuwen, maar kreeg geen reactie. Daarop werd het plug-inteam van WordPress.org gewaarschuwd. Verder onderzoek wees uit dat de websites van AccessPress Themes waren gecompromitteerd en er aan aanwezige themes en plug-ins een backdoor was toegevoegd waarmee aanvallers toegang tot de website krijgen. Voor de meeste plug-ins zijn inmiddels schone versies uitgebracht. Dat geldt echter niet voor tientallen themes, die inmiddels ook van WordPress.org zijn verwijderd. Beheerders wordt aangeraden deze themes van hun website te verwijderen en naar nieuwe versies van de plug-ins te upgraden. bron: https://www.security.nl

Een kwetsbaarheid in de Agent-software van antivirusbedrijf McAfee maakt het mogelijk voor een aanvaller die al toegang tot een computer heeft om code met systeemrechten uit te voeren en zo volledige controle over de machine te krijgen. De McAfee Agent is geen beveiligingssoftware op zichzelf, maar communiceert tussen de beveiligingssoftware op het systeem en de McAfee ePO-server. De agent wordt met verschillende McAfee producten meegeleverd, waaronder Endpoint Security. De Agent-software maakt gebruik van een OpenSSL-onderdeel dat weer naar een directory wijst waar gebruikers zonder rechten controle over hebben. De McAfee Agent draait met systeemrechten. Door een speciaal geprepareerd openssl.cnf-bestand in deze directory te plaatsen kan een ongeprivilegieerde gebruiker code met systeemrechten uitvoeren. Het beveiligingslek, aangeduid als CVE-2022-0166, heeft een impactscore van 7,8 en werd gevonden door Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. McAfee heeft het probleem verholpen in versie 5.7.5 van de Agent-software. bron: https://www.security.nl

Sinds de lancering van de eerste Windows 10-versie is er het nodige veranderd op het gebied van patches en beveiligingsupdates, waardoor allerlei Windows-policies irrelevant of door betere opties zijn vervangen, aldus Microsoft. Het techbedrijf heeft daarom een lijst van 25 Windows-policies met betrekking tot de installatie van updates verzameld die organisaties niet moeten instellen. Volgens Microsoft hebben organisaties nu meer controle over het updaten van hun computers, zoals de installatie en het herstarten van machines. Veel organisaties maken gebruik van group policies om het updatebeleid voor hun omgeving te configureren. Door de aanpassingen die de afgelopen jaren zijn doorgevoerd zijn oudere policies irrelevant geworden of vervangen door een betere optie. Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken, niet meer werken zoals omschreven op systemen met Windows 10 versie 20H2 of nieuwer of wel werken, maar niet zo goed als de policies die een soortgelijke ervaring op een betere manier bieden. Systeembeheerders worden dan ook door Microsoft opgeroepen om hun policy-instellingen te controleren en alleen aanbevolen policies te gebruiken. bron: https://www.security.nl

Het Europees Parlement heeft ingestemd met de Digital Services Act (DSA) die onder andere illegale content en desinformatie moet aanpakken en meer opties voor trackingvrije advertenties moet bieden. Een voorstel om gerichte advertenties helemaal te verbieden werd verworpen. De Digital Services Act (DSA) eist dat illegale content, diensten en producten sneller offline worden gehaald door betere samenwerking met opsporingsautoriteiten en factcheckers. Ook worden platforms tot veel meer transparantie gedwongen. Gebruikers moeten informatie krijgen over de algoritmes die hun tijdlijn bepalen en wie er heeft betaald voor de specifieke advertenties die gebruikers zien. Een amendement van de Tracking Free Ads Coalition die zich inzet voor trackingvrije advertenties op internet werd wel aangenomen. Deze coalitie, bestaande uit een groep van negentien Europarlementariërs, wil via beleid het gebruik van persoonlijke data voor advertentiediensten reguleren. 25 organisaties ondersteunen de coalitie, waaronder Bits of Freedom, Freedom Internet en de Europese burgerrechtenorganisatie EDRi. Zo moet de tekst waarin om toestemming voor gerichte advertenties wordt gevraagd duidelijk zijn en uitleggen hoe de data van gebruikers wordt gebruikt. Het weigeren van deze toestemming zal net zo eenvoudig moeten zijn als het geven van toestemming. Wanneer mensen geen toestemming geven of die intrekken zullen ze andere opties krijgen om de betreffende website te gebruiken, waaronder de mogelijkheid voor trackingvrije advertenties. De Tracking Free Ads Coalition werd mede opgericht door Europarlementariër Paul Tang. "Ik ben erg blij met de enorme steun van links tot rechts om adverteerders te verbieden gebruik te maken van persoonlijke data van onze kinderen en van gevoelige persoonlijke data, zoals over religie, seksuele geaardheid of gezondheid. Zo zorgen we ervoor dat wat offline illegaal is, dat online ook wordt", merkt hij op. Volgens Tang was het wetsvoorstel van de Europese Commissie een goede eerste stap. "Maar het vandaag aangenomen parlementsvoorstel – ondanks de massale lobby van de Big Tech-industie - gaat ons digitale verkeer vele malen veiliger maken." Nu het parlement zijn positie heeft ingenomen, beginnen later deze maand de onderhandelingen met de Raad van de Europese Unie en de Europese Commissie. Als alles meezit kan de wet per 2023 in werking treden. bron: https://www.security.nl

Onderzoekers van antivirusbedrijf Kaspersky hebben UEFI-malware op het moederbord van een aangevallen systeem ontdekt. Doordat de malware zich bevindt in het SPI-flashgeheugen kan het het formatteren van de harde schijf of installatie van een nieuwe harde schijf overleven. Volgens de onderzoekers gaat het om de "meest geavanceerde" UEFI-malware ooit in het wild ontdekt. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Het doel van de malware is het aanpassen van de opstartvolgorde, zodat er een malafide driver binnen Windows wordt geladen. Deze driver wordt automatisch gestart bij het laden van Windows. Vervolgens downloadt de driver aanvullende malware. De infectieketen laat geen sporen achter op de harde schijf, aangezien alle onderdelen alleen in het geheugen draaien. Hoe aanvallers de UEFI-firmware wisten te infecteren is onbekend. De malware werd bij één niet nader genoemde organisatie aangetroffen. Kaspersky stelt dat het hier om een zeer gerichte aanval gaat uitgevoerd door een spionagegroep genaamd APT41. Deze groep, die ook bekendstaat als Winnti en Barium, houdt zich bezig met diefstal van broncode, certificaten om software te signeren, klantgegevens en bedrijfsinformatie. Volgens de onderzoekers probeerden de aanvallers met de UEFI-malware informatie van bepaalde machines te stelen. bron: https://www.security.nl

Er wordt actief misbruik gemaakt van het ProxyToken-lek in Microsoft Exchange Server waarvoor vorig jaar een update verscheen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Via het lek kan een ongeauthenticeerde aanvaller inkomende e-mails stelen. Alle federale Amerikaanse overheidsinstanties moeten de beveiligingsupdate om het probleem te verhelpen voor 1 februari hebben geïnstalleerd. Microsoft kwam op 13 juli vorig jaar met een update voor het ProxyToken-lek, dat ook wordt aangeduid als CVE-2021-33766. Door de kwetsbaarheid kan een aanvaller, wanneer die een speciaal geprepareerd request naar de Exchange Server stuurt, de configuratie van mailboxes van willekeurige gebruikers aanpassen en een doorstuurregel aanmaken waardoor inkomende e-mails naar een e-mailaccount van de aanvaller worden doorgestuurd. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste uitbreiding betreft dertien kwetsbaarheden. Naast het ProxyToken-lek gaat het ook om kwetsbaarheden in BIG-IP, Nagios, Drupal, Apache Airflow, Oracle Corporate Business Intelligence Enterprise Edition, Aviatrix en October CMS. bron: https://www.security.nl

Om gebruikers tegen aanvallen te beschermen heeft Microsoft besloten om Excel 4.0-macro's standaard in Excel uit te schakelen, zo laat het techbedrijf in een blogposting weten. Deze macroversie werd in 1992 geïntroduceerd en laat gebruikers allerlei taken binnen Excel automatiseren. De versie is inmiddels vervangen door macroversie 5.0. Toch maken aanvallers nog steeds op grote schaal gebruik van Excel 4.0-macro's om gebruikers met malware te infecteren. Standaard blokkeert Office het uitvoeren van macro's, maar laat gebruikers die via een paar muisklikken weer inschakelen. Met de nu doorgevoerde maatregel worden Excel 4.0-macro's helemaal geblokkeerd. Gebruikers moeten een specifieke optie in de instellingen van Excel eerst inschakelen om Excel 4.0-macro's toch uit te kunnen voeren. "Dit zal onze klanten helpen om zich tegen gerelateerde securitydreigingen te beschermen", stelt Microsofts Catherine Pidgeon. Systeembeheerders hebben daarnaast via Group Policies de mogelijkheid om het gebruik van alle XLM-macro's binnen hun organisatie te blokkeren, waaronder in nieuw aangemaakte bestanden door gebruikers. bron: https://www.security.nl

Een kritieke kwetsbaarheid in een belangrijke beveiligingsfunctie van Google Chrome maakt remote code execution mogelijk, waardoor een aanvaller in het ergste geval het systeem van gebruikers kan overnemen. Daarbij volstaat het bezoeken van een gecompromitteerde of kwaadaardige website of het te zien krijgen van een besmette advertentie. Er is geen verdere interactie van de gebruiker vereist. Het beveiligingslek, aangeduid als CVE-2022-0289, bevindt zich in Safe Browsing. Via deze feature waarschuwt Google gebruikers voor malafide websites en downloads, zoals phishingsites en besmette apps. Google onderzoeker Sergei Glazunov ontdekte op 5 januari een "use after free" in de beveiligingsfunctie, waardoor een aanvaller code op het onderliggende systeem kan uitvoeren. De impact van het beveiligingslek is als kritiek beoordeeld. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome, maar begin dit jaar werd er ook al een dergelijk beveiligingslek in de browser verholpen. Naast het beveiligingslek in Safe Browsing vond Glazunov ook een kwetsbaarheid in een andere beveiligingsfunctie van Chrome, namelijk Site Isolation. Deze beveiligingsfunctie zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. Dit zorgt voor een betere afscherming tussen websites dan de bestaande Chrome-sandbox kan bieden. In deze feature trof de Google-onderzoeker ook een "use after free" kwetsbaarheid aan, alleen is de impact daarvan beperkt tot het uitvoeren van code binnen de browser. Het beveiligingslek werd daardoor niet beoordeeld als kritiek, maar kreeg het label "high". Via dergelijke kwetsbaarheden kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google betaalde de eigen medewerker 20.000 dollar voor het beveiligingslek in Site Isolation. Een beloning voor de kwetsbaarheid in Safe Browsing is nog niet bekendgemaakt. Met Chrome 97.0.4692.99 zijn in totaal 26 beveiligingslekken verholpen. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

SolarWinds heeft een actief aangevallen zerodaylek in Serv-U verholpen dat voor Log4j-aanvallen werd gebruikt, zo meldt Microsoft. Vorig jaar ontdekte het techberdrijf ook al actief misbruik van een zerodaylek in Serv-U. Via deze software kunnen organisaties een server opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. Tijdens het monitoren van Log4j-aanvallen ontdekte Microsoft-onderzoeker Jonathan Bar Or dat aanvallers gebruikmaakten van een onbekende kwetsbaarheid in Serv-U voor het uitvoeren van Log4j-aanvallen. Het beveiligingslek, aangeduid als CVE-2021-35247, is aanwezig in de webinterface van Serv-U. Het inlogscherm voor LDAP-authenticatie blijkt de invoer van gebruikers niet goed te controleren. Door gebruik te maken van bepaalde karakters is het mogelijk voor een aanvaller om een LDAP-query uit te voeren die voor Log4j-aanvallen is te gebruiken, alsmede LDAP-injectie, stelt Bar Or. Volgens SolarWinds is LDAP-injectie niet mogelijk, omdat de LDAP-servers de betreffende karakters negeren. Het Lightweight Directory Access Protocol (LDAP) is een protocol dat het makkelijker maakt om gebruikers te managen en toegang te geven tot bepaalde bronnen. SolarWinds heeft nu Serv-U 15.3 uitgerold waarin het probleem is verholpen. bron: https://www.security.nl

Versleutelde e-maildienst ProtonMail heeft een nieuwe feature toegevoegd die gebruikers een betere bescherming tegen e-mailtracking moet bieden. Zo worden voortaan trackingpixels in e-mailberichten automatisch geblokkeerd. Via trackingpixels is het mogelijk om te zien wanneer een e-mail is geopend, hoe vaak, vanaf welk apparaat en de locatie en ip-adres van de ontvanger. Deze data wordt zonder toestemming van de ontvanger verzameld, zegt Lydia Pang van ProtonMail. De e-maildienst laat gebruikers voortaan zien hoeveel trackers erin een e-mailbericht zijn geblokkeerd. Naast het blokkeren van trackingpixels verbergt ProtonMail voortaan ook het ip-adres van de ontvanger voor derde partijen. Gebruikers hebben wel de keuze om het blokkeren van e-mailtracking uit te schakelen. bron: https://www.security.nl

Twee kwetsbaarheden in Zoom maakten het mogelijk voor aanvallers om zonder interactie van gebruikers hun gesprekken af te luisteren en hun systemen en Zoom-servers te compromitteren. De beveiligingslekken, die door Google-onderzoeker Natalie Silvanovich waren gevonden, zijn inmiddels door Zoom verholpen. De onderzoeker hekelt met name het feit dat Zoom geen gebruikmaakte van ASLR, een belangrijke maatregel om misbruik van kwetsbaarheden tegen te gaan. Silvanovich deed in het verleden onder andere onderzoek naar WhatsApp, FaceTime en Signal, waarbij ze specifiek zocht naar "zero-click" kwetsbaarheden. Misbruik van deze beveiligingslekken vereist geen enkele interactie van gebruikers. Ze had Zoom echter weinig aandacht gegeven omdat ze dacht dat een aanval tegen de Zoom-client meerdere clicks van een gebruiker vereiste. Vorig jaar lieten Nederlandse onderzoekers zien dat Zoom-gebruikers wel op afstand zijn aan te vallen, waarop Silvanovich haar onderzoek startte. Ze ontdekte twee kwetsbaarheden, namelijk een buffer overflow in de Zoom-clients en Zoom MMR-server en een informatielek in de Zoom MMR-server. Zoom biedt organisaties de optie om binnen hun eigen omgeving een "Zoom On-Premise deployments" te gebruiken. Deze oplossing bestaat uit een Meeting Connector Controller en de Multimedia Router (MMR). Volgens Silvanovich waren de kwetsbaarheden in Zooms MMR-server met name zorgelijk, aangezien deze server de audio- en videocontent verwerkt. Misbruik van de beveiligingslekken maakt het mogelijk voor een aanvaller om Zoom-meetings te monitoren die geen gebruik van end-to-end-encryptie maken. Misbruik van de beveiligingslekken zijn alleen mogelijk wanneer de aanvaller en het doelwit een "Zoom Contact" van elkaar zijn. In dit geval hebben beide gebruikers elkaar via de Zoom-gebruikersinterface als contact toegevoegd. Vervolgens is het mogelijk om deze persoon via Zoom een bericht te sturen of te bellen, net als met iemands telefoonnummer kan. Silvanovich merkt op dat het niet lastig is voor een aanvaller om een doelwit zover te krijgen dat die aan een Zoom-gesprek meedoet, zelfs als dat meerdere clicks zou vereisen. "En de manier waarop sommige organisaties Zoom gebruiken biedt interessante aanvalsscenario's", stelt de onderzoeker verder. Ontbreken van ASLR Ze hekelt ook het ontbreken van ASLR in het Zoom MMR-proces, aangezien dit het risico vergroot dat een aanvaller het kan compromitteren. Address space layout randomization (ASLR) is een techniek die het lastiger maakt voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties veel lastiger maken. "ASLR is de belangrijkste mitigatie in het voorkomen van exploitatie van geheugencorruptie en de meeste andere mitigaties maken er op enig niveau gebruik van om effectief te zijn. Voor de meeste software is er geen goede reden dat het staat uitgeschakeld", aldus Silvanovich. "Alle software geschreven voor platformen die ASLR ondersteunen zouden het, en andere basale geheugenmitigaties, ingeschakeld moeten hebben." Zoom heeft recentelijk besloten ASLR in te schakelen. Verder merkt de Google-onderzoeker op dat het Zoom Security Team haar heeft geholpen met toegang tot de serversoftware en het configureren ervan, maar dat het onduidelijk is of deze support ook voor andere onderzoekers beschikbaar is. "Zoom en andere bedrijven die closed-source securitygevoelige software produceren zouden moeten overwegen hoe ze hun software toegankelijk voor beveiligingsonderzoekers maken", besluit Silvanovich haar analyse. bron: https://www.security.nl

Meerdere servers van het Belgische ministerie van Defensie zijn na de Log4j-aanval van 16 december nog steeds offline en het herstel zal nog tot februari duren, zo meldt de Belgische krant De Morgen op basis van een bron binnen de militaire inlichtingendienst ADIV. Vorige week werd bekend dat het ministerie na vier weken weer met de buitenwereld kan mailen. HR-toepassingen en het opzoeken van informatie op internet zijn nog altijd niet beschikbaar. "We zullen nog tot februari bezig zijn met de opkuis. De belangrijkste servers zijn weer online, maar lang niet allemaal. Zo werkt het hr-systeem nog niet. Tot de heropstart klaar is, kun je weinig zeggen. Ook al omdat we nog niet weten welke server als eerste is gehackt. Die geeft je informatie over het begin van de aanval", aldus de bron. Volgens De Morgen lijkt de schade van de aanval zelf relatief beperkt te zijn. Vooralsnog is een handvol besmette servers gevonden. Het gaat onder andere om de webservers voor de websites van het Belgische leger en ADIV. De militaire geheime dienst denk dat het om een opzettelijke verstoringsoperatie gaat. Het is nog altijd de vraag hoe de aanvallers konden toeslaan. Het Belgische Centrum voor Cybersecurity (CCB) waarschuwde op 13 december voor de Log4j-kwetsbaarheid, drie dagen voor de aanval. bron: https://www.security.nl

Microsoft heeft de nieuwste testversie van Edge voorzien van een feature die moet helpen bij het voorkomen van zeroday-aanvallen. Het gaat om een browsingmode waarbij de veiligheid van de browser prioriteit krijgt en een extra beschermingslaag wordt toegevoegd, aldus de omschrijving van Microsoft. Beheerders kunnen de feature via verschillende Group Policies binnen hun omgevingen inschakelen. Eenmaal ingeschakeld zorgt de feature ervoor dat Edge gebruikmaakt van verschillende beveiligingsmaatregelen, waaronder Hardware-enforced Stack Protection, Arbitrary Code Guard (ACG) en Content Flow Guard (CFG). Dit zijn technieken die misbruik van kwetsbaarheden binnen de browser lastiger moeten maken. Via de Group Policies kunnen beheerders ook instellen voor welke domeinen de feature wel of niet wordt gebruikt. "Deze feature is een grote stap voorwaarts, omdat het ons onvoorziene actieve zero-days (gebaseerd op historische trends) laat mitigeren", stelt Microsoft verder. De feature is te testen in versie 98.0.1108.23 van het Microsoft Edge Beta Channel. Wanneer de browsingmode in de definitieve Edge-versie beschikbaar komt is nog niet bekend. bron: https://www.security.nl

De Firefox Relay-dienst van Mozilla is toegevoegd aan een blocklist voor wegwerp e-maildomeinen, tot grote onvrede van gebruikers. Via Firefox Relay kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. Gebruikers maken via Firefox Relay een alias aan. E-mails worden via de aangemaakte alias, eindigend op het domein mozmail.com, naar het echte e-mailadres van de gebruiker doorgestuurd. Zodoende komt het echte e-mailadres nooit in handen van de betreffende website. Verschillende partijen houden echter blocklists bij van domeinen van relay- en tijdelijke e-maildiensten. Bedrijven en organisaties gebruiken deze blocklists om te voorkomen dat gebruikers zich met een relay of wegwerp e-mailadres registreren. Zo worden gebruikers gedwongen om zich alsnog met hun eigen e-mailadres te registreren. Een aantal dagen geleden besloten de beheerders van een dergelijke blocklist om het domein relay.firefox.com toe te voegen. Vervolgens werd gesteld dat eigenlijk het domein mozmail.com zou moeten worden toegevoegd, aangezien de relay-mails vanaf dit domein afkomstig zijn. Nadat dit op Hacker News werd gemeld kregen de beheerders van de lijst een golf van kritiek te verduren. De reacties waren zo fel dat werd besloten om geen reacties meer toe te laten. "De reden dat wegwerp e-mailadressen bestaan en populair zijn, is omdat diensten het vertrouwen van gebruikers hebben misbruikt om hun e-mailadres niet voor dubieuze zaken te gebruiken. Dit wordt verder vergroot door slordige security, dat leidt tot het lekken van de persoonlijke e-mailadressen van mensen", aldus een gebruiker op Hacker News. bron: https://www.security.nl