Captain Kirk

Een kwetsbaarheid in de LUKS-encryptiesoftware voor Linux maakt het mogelijk voor een aanvaller met herhaaldelijke fysieke toegang tot een systeem om data zonder het gebruik van een passphrase te laten ontsleutelen. LUKS biedt volledige schijfversleuteling van systemen. Het is met LUKS mogelijk om een al versleuteld systeem opnieuw te versleutelen, bijvoorbeeld als er encryptie-instellingen moeten worden aangepast. Hiervoor is er de optie "reencrypt", die data ontsleutelt, versleutelt en opnieuw versleutelt, ook wanneer het systeem in gebruik is. Een aanvaller met fysieke toegang tot het systeem kan metadata op de schijf aanpassen om de decryptie van de schijf te simuleren, waarbij de her-encryptie is gecrasht, waarna een deel van de via LUKS versleutelde schijf permanent wordt ontsleuteld. Deze decryptie van de schijf vindt pas plaats nadat een gebruiker met zijn passphrase op het door de aanvaller aangepaste systeem inlogt. Er zijn echter geen zichtbare waarschuwingen voor de gebruiker dat data op schijf wordt ontsleuteld, behalve bij gebruik van het luksDump-commando. De gebruiker denkt zodoende dat de data op de schijf nog steeds is versleuteld, terwijl die in werkelijkheid deels wordt ontsleuteld. Na de ontsleuteling zou de aanvaller opnieuw toegang tot het systeem moeten krijgen om de ontsleutelde data te bemachtigen. Hiervoor is het echter niet nodig dat de gebruiker eerst inlogt, aangezien de ontsleutelde data al direct toegankelijk is. Op deze manier kan een aanvaller zonder kennis van de gebruiker zijn passphrase gigabytes aan data bemachtigen, waarschuwt LUKS-ontwikkelaar Milan Broz. Daarnaast is de aanval ook om te draaien. Een aanvaller kan zo de gebruiker eerst een deel van de schijf laten ontsleutelen. Vervolgens wijzigt de aanvaller de ontsleutelde data op de schijf, om die daarna weer door de gebruiker ongemerkt te laten versleutelen, wederom zonder kennis van de passphrase van de gebruiker, zegt Paul Ducklin van antivirusbedrijf Sophos in een analyse. Voor het beveiligingslek, aangeduid als CVE-2021-4122, zijn beveiligingsupdates uitgerold. bron: https://www.security.nl

Oracle zal tijdens de eerste patchronde van 2022 bijna vijfhonderd patches uitbrengen, zo heeft het bedrijf aangekondigd. Het softwarebedrijf komt vier keer per jaar met een Critical Patch Update. Tijdens de patchronde van dit kwartaal, die morgen gepland staat, rolt Oracle 483 patches uit. Sommige van de verholpen kwetsbaarheden bevinden zich in meerdere producten. De meeste beveiligingslekken zullen worden verholpen in de communicatiesoftware, financiële applicaties, MySQL en retail-applicaties. De impact van één of meerdere kwetsbaarheden in de communicatiesoftware van Oracle is op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. In het geval van de beveiligingslekken in Oracle Essbase is de maximale impactscore 9.9. Verder zijn er meerdere producten met kwetsbaarheden die een impactscore van 9.8 hebben. Oracle adviseert organisaties om de patches van de Critical Patch Update zo snel mogelijk te installeren. De volgende patchrondes voor dit jaar staan gepland voor 19 april, 19 juli en 18 oktober. bron: https://www.security.nl

Twee Nederlandse programmeurs hebben een tool ontwikkeld die het gebruik van van de e-mailstandaarden SPF, DKIM en DMARC checkt en uitlegt. De standaarden spelen een belangrijke rol bij het tegengaan van spoofing, spam en phishing. Vorig jaar bleek dat een deel van de e-maildomeinen van de vitale sector de e-mailstandaarden niet gebruikt of onvoldoende strikt heeft geconfigureerd. En niet alleen in de vitale sector, ook een deel van de Nederlandse ziekenhuizen en GGD's maakt geen gebruik va de eerder genoemde beveiligingsstandaarden en ook de overheid heeft dit nog niet overal op orde. Met de tool Learn and Test DMARC kunnen gebruikers het beveiligingsniveau van hun e-mail controleren en wordt uitgelegd hoe de standaarden precies werken. "We visualiseren het achtergrondproces (in leuke retro matrix-style) tussen servers zodat bezoekers kunnen zien welke beveiligingsmethoden (SPF, DKIM, DMARC) een rol spelen en hoe de validatie werkt", zegt ontwikkelaar Freddie Leeman tegenover Security.NL. De gratis tool is deze maand, nadat die op Hacker News werd genoemd, al door meer dan 70.000 mensen gebruikt. Voor het gebruik van Learn and Test DMARC volstaat het versturen van een e-mail, maar kan er ook van een voorbeeldmail gebruik worden gemaakt. Leeman hoopt dat de tool bijdraagt tot een betere adoptie van de e-mailstandaarden en daarmee tot een veiliger internet. De tool is inmiddels ook toegevoegd aan de checklist e-mailstandaarden van Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert. bron: https://www.security.nl

Gebruikers van Apache-software worden nog altijd aangevallen omdat ze van niet meer ondersteunde software gebruikmaken. Dit is een industriebreed probleem en ondermijnt de inzet van de Apache Software Foundation om kwetsbaarheden snel te verhelpen, zo stelt Mark Cox, vice-president security van de stichting. De Apache Software Foundation beheert meerdere softwareprojecten, waaronder de Apache-webserver, OpenOffice, SpamAssassin en het inmiddels wereldwijd bekende Log4j. Vorig jaar ontving de stichting 441 meldingen van nieuwe kwetsbaarheden. Een stijging ten opzichte van 2020 en 2019, toen het nog om respectievelijk 376 en 320 meldingen ging. Het gaat hierbij om zowel externe als interne meldingen. Per 1 januari van dit jaar zijn vijftig van de 441 meldingen nog steeds in onderzoek. Dit wil zeggen dat het betreffende softwareproject de melding nog niet heeft afgewezen of er een CVE-nummer aan heeft toegekend. Dit aantal is hoger dan normaal, aldus Cox en komt door het grote aantal meldingen van eind december. Aan de hand van de resterende 391 meldingen zijn er 183 CVE-nummers voor kwetsbaarheden toegekend. Dat waren erin 2020 nog 151, tegenover 122 in 2019. Hoewel de Apache Software Foundation de gevonden en gerapporteerde kwetsbaarheden snel verhelpt, blijkt dat gebruikers nog steeds via oude beveiligingslekken in verouderde Apache-software worden aangevallen. "Leveranciers, en dus hun gebruikers, maken nog steeds gebruik van end-of-life versies die bekende niet verholpen kwetsbaarheden bevatten", merkt Cox op. "Dit blijft een groot probleem en we zijn bezig om dit industriebreed probleem aan te pakken." bron: https://www.security.nl

Gebruikers van Microsoft Edge zijn het doelwit van een aanval waarbij wordt geprobeerd om het systeem via een zogenaamde browser-update met ransomware te infecteren. Voor het ontsleutelen van de data moet een bedrag van tussen de 2500 en 5000 dollar worden betaald, zo meldt Malwarebytes. De meeste ransomware-aanvallen die in het nieuws komen richten zich op grote organisaties en bedrijven. Eindgebruikers zijn echter ook nog steeds een doelwit. Bij de nu waargenomen aanvallen worden Edge-gebruikers via via malafide advertenties automatisch doorgestuurd naar een website die stelt dat ze handmatig een browser-update moeten installeren om de pagina te kunnen bekijken. In werkelijkheid bevat het aangeboden bestand de Magniber-ransomware die allerlei bestanden op het systeem versleutelt en losgeld voor de decryptie eist. Eind vorig jaar gebruikte de Magniber-groep nog malafide advertenties om ongepatchte gebruikers van Internet Explorer automatisch met ransomware te infecteren. Bij de nu waargenomen aanvallen, gericht tegen Zuid-Koreaanse Edge-gebruikers, moet het slachtoffer zelf de zogenaamde update installeren. bron: https://www.security.nl

Microsoft heeft tijdens de eerste patchdinsdag van 2022 een kritieke kwetsbaarheid in Windows verholpen die een computerworm mogelijk maakt. Het beveiligingslek, aangeduid als CVE-2022-21907, bevindt zich in de http protocol stack en maakt zonder enige interactie van gebruikers remote code execution mogelijk. Door het versturen van een speciaal geprepareerd netwerkpakket naar een kwetsbare server die gebruikmaakt van deze stack (http.sys) voor het verwerken van pakketten kan een aanvaller zijn code uitvoeren en het systeem overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst is het beveiligingslek met een 9,8 beoordeeld. Volgens Microsoft, dat door onderzoeker Mikhail Medvedev over het lek werd geïnformeerd, is misbruik van de kwetsbaarheid "waarschijnlijk". Het techbedrijf raadt organisaties dan ook aan om het patchen van servers prioriteit te geven. In het geval van Windows Server 2019 en Windows 10 versie 1809 staat de HTTP Trailer Support-feature, waarin de kwetsbaarheid aanwezig is, standaard niet ingeschakeld. Microsoft heeft updates beschikbaar gemaakt voor Windows 10, Windows 11, Server 2019, Server 2022 en Server 20H2. Vorig jaar verhielp Microsoft ook al een beveiligingslek in de http protocol stack die 'wormable' was. bron: https://www.security.nl

Microsoft komt met een nieuw notificatiesysteem om gebruikers en bedrijven over beveiligingsupdates te informeren. Wie via e-mail informatie over nieuwe patches en kwetsbaarheden wilde ontvangen had voorheen altijd een Live ID nodig. Dat gaat nu veranderen, aangezien gebruikers nu ook zonder Live ID een profiel kunnen aanmaken. Verder is het mogelijk om binnen het overzicht van beveiligingsupdates instellingen te maken. Verder zullen notificaties meer geautomatiseerd en gestroomlijnd worden, aldus Microsoft. Daarbij stapt het techbedrijf over op een geheel nieuw notificatiesysteem. Deze migratie zal in drie fases plaatsvinden, zo is een blogposting aangekondigd. Gebruikers kunnen ervoor kiezen om te worden geïnformeerd wanneer er een nieuwe kwetsbaarheid of grote aanpassing aan de Security Update Guide wordt toegevoegd en in het geval van kleinere aanpassingen. Fase één, waarbij gebruikers zich voor nieuwe notificaties kunnen aanmelden, is nu beschikbaar. De volgende fase, waarbij notificaties vanaf het oude en nieuwe systeem worden verstuurd, vindt volgende maand plaats. Uiteindelijk zal het oude notificatiesysteem worden uitgefaseerd. Wanneer dit precies zal zijn is nog onbekend. Microsoft zegt dat het pas zal overstappen wanneer voldoende mensen de nieuwe notificaties ontvangen. bron: https://www.security.nl

Er is een nieuwe versie van encryptiesoftware VeraCrypt verschenen die weer oudere Windowsversies ondersteunt. Vorige maand besloot VeraCrypt de support van Windows Vista, Windows 7, Windows 8 en Windows 8.1 te laten vallen. Windows XP werd echter nog wel met de release van december ondersteund. "Ik wilde de support voor Windows 7 niet laten vallen, maar Microsoft maakte het bijna onmogelijk om drivers te leveren zoals degene die VeraCrypt voor Windows 7 gebruikt, dus had ik geen keus", zegt VeraCrypt-ontwikkelaar Mounir Idrassi. Het probleem speelde met de certificering van de VeraCrypt-driver, maar er is nu toch een oplossing gevonden waardoor het mogelijk is de driver te signeren, laat Idrassi weten. Daardoor is het mogelijk om Windows Vista, 7, 8 en 8.1 weer te ondersteunen. In het geval van Windows 7 is het wel nodig dat gebruikers update KB3033929 of KB4474419 installeren. De support van Windows Vista vereist de aanwezigheid van update KB4039648 of KB4474419. VeraCrypt versie 1.25.7 is te downloaden via VeraCrypt.fr. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Het wordt voor het grootste deel door één persoon ontwikkeld. Via de software is het mogelijk om systemen volledig te versleutelen of versleutelde containers aan te maken. bron: https://www.security.nl

De Amerikaanse geheime dienst heeft wederom een kritieke kwetsbaarheid in Exchange ontdekt waardoor het mogelijk is om servers over te nemen. Microsoft heeft gisterenavond beveiligingsupdates uitgebracht en roept organisaties op om die meteen te installeren. Het beveiligingslek, aangeduid als CVE-2022-21846, is niet direct vanaf het internet te misbruiken. In plaats daarvan zou een aanvaller al toegang tot het netwerk van de Exchange-server moeten hebben. Naast aanvallers die al toegang tot het netwerk hebben zou het beveiligingslek ook door insiders zijn te misbruiken. Vervolgens is remote code execution mogelijk en kan de server worden afgenomen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9.0 beoordeeld en Microsoft verwacht dat misbruik waarschijnlijk is. Het is niet voor het eerst dat de NSA kwetsbaarheden in Microsoft Exchange Server vindt. Vorig jaar rapporteerde de Amerikaanse geheime dienst drie beveiligingslekken in Microsofts mailserversoftware aan het techbedrijf. Naast het door de NSA ontdekte lek heeft Microsoft ook twee andere kwetsbaarheden in Exchange verholpen die remote code execution mogelijk maken. Deze lekken hebben ook een impactscore van 9.0, maar zijn als "important" beoordeeld. Het gaat om CVE-2022-21855 en CVE-2022-21969. De kwetsbaarheden zijn aanwezig in Exchange Server 2013, 2016 en 2019. Microsoft is naar eigen zeggen nog niet bekend met misbruik van de kwetsbaarheden maar adviseert de patches meteen te installeren. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox Focus voor Android uitgerold en die voorzien van Total Cookie Protection, om zo de privacy van gebruikers beter te beschermen. Het is daarmee de eerste mobiele Firefox-browser die cross-site tracking moet voorkomen. Firefox blokkeert al enige tijd trackingcookies via Enhanced Tracking Protection (ETP). Hiervoor maakt de browser gebruik van een lijst met bekende trackers van trackerblocker Disconnect. Op dit moment blokkeert ETP zo'n drieduizend van de meestgebruikte en waargenomen trackers. De bescherming van ETP is echter afhankelijk van de Disconnect-lijst en dat die up-to-date is. Trackers kunnen de lijst eenvoudig omzeilen door nieuwe domeinnamen te registreren. Daarnaast kan het lang duren voordat een nieuw trackingdomein aan de lijst wordt toegevoegd. Total Cookie Protection moet ervoor zorgen dat tracking via cookies tot het verleden gaat behoren, aldus Mozilla. Cookies zijn nog altijd zeer effectief voor het volgen van internetgebruikers op het web. Een tracker die op meerdere websites als derde partij actief is kan voor het eigen trackingdomein third-party cookies bij bezoekers plaatsen. Zo is het mogelijk om internetgebruikers over meerdere websites te volgen. Met Total Cookie Protection worden alle cookies van een domein dat de gebruiker bezoekt in een aparte cookie jar opgeslagen, gescheiden van andere websites die hun eigen cookie jar hebben. Ook al is een tracker op meerdere websites actief, dan zullen de trackingcookies nog steeds beperkt zijn tot de cookie jar van de betreffende website. Volgens Mozilla heeft dit grote voordelen voor de privacy van gebruikers, omdat het nu mogelijk is om een uitgebreidere bescherming te bieden dan met de Disconnect-lijst het geval is, terwijl dit geen gevolgen heeft voor websites zolang ze geen cross-site access vereisen. "Zeg vaarwel tegen die vervelende advertenties die je overal volgen en verminder de hoeveelheid informatie die bedrijven over je verzamelen elke keer dat je online bent", aldus Mozillas Jenifer Boscacci. bron: https://www.security.nl

Miljoenen routers van verschillende leveranciers zijn kwetsbaar door een beveiligingslek in de NetUSB-kernelmodule van fabrikant KCodes en in sommige gevallen kan erop afstand misbruik van worden gemaakt. Dat stelt securitybedrijf SentinelOne dat het probleem ontdekte. Via NetUSB is het mogelijk om op een router aangesloten usb-apparaten, zoals een printer of externe harde schijf, vanaf andere apparaten op het netwerk te bedienen. De kernelmodule luistert op tcp-poort 20005 op ip-adres 0.0.0.0. Wanneer een firewall dit niet blokkeert is de module zowel vanaf het LAN als het WAN toegankelijk. Door het versturen van data naar de module is het mogelijk om een buffer overflow te veroorzaken, wat tot remote code execution in de kernel kan leiden. Daarbij is het niet nodig voor de aanvaller om zich eerst op de router te authenticeren. Een groot aantal fabrikanten maakt gebruik van NetUSB, waaronder Netgear, TP-Link, Tenda, EDiMAX, DLink en Western Digital. KCodes werd op 20 september vorig jaar over de kwetsbaarheid ingelicht. Op 19 november liet het bedrijf weten dat het een update naar alle leveranciers had gestuurd. Gebruikers zijn echter van hun routerfabrikant afhankelijk voor updates. De onderzoekers van SentinelOne stellen dat het ontwikkelen van een exploit voor het beveiligingslek vrij complex is. Routerfabrikant Netgear heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 met een 6,5 beoordeeld. Een aantal jaar geleden werd er ook een lek in NetUSB ontdekt waardoor een buffer overflow mogelijk was. bron: https://www.security.nl

Microsoft heeft een kwetsbaarheid in macOS ontdekt genaamd "powerdir" waardoor ongeautoriseerde toegang tot beschermde data van gebruikers mogelijk is. Apple kwam op 13 december met een beveiligingsupdate voor het probleem, waarop Microsoft nu de details openbaar heeft gemaakt. De kwetsbaarheid maakt het mogelijk om Apples Transparency Consent and Control (TCC) framework te omzeilen. Het TCC-framework regelt tot welke zaken applicaties toegang hebben, zoals bijvoorbeeld bestanden en mappen, webcam, microfoon, bluetooth, spraakherkenning, locatie, kalender, iCloud-account en andere onderdelen. Normaliter krijgt een applicatie hier pas toegang tot nadat de gebruiker toestemming heeft gegeven. Om misbruik te voorkomen is TCC alleen toegankelijk voor apps met volledige schijftoegang. De door de gebruiker goedgekeurde of afgewezen permissies worden in een TCC-database bijgehouden. Onderzoekers van Microsoft ontdekten dat het mogelijk is om de home directory van een aangevallen gebruiker te veranderen en een valse TCC-database te plaatsen. Door middel van de valse database is het mogelijk voor een aanvaller om via al geïnstalleerde apps of malafide apps toegang tot gebruikersdata te krijgen en bijvoorbeeld screenshots te maken of de gebruiker via de microfoon af te luisteren. Om de aanval uit te kunnen voeren moet een aanvaller wel al toegang tot het systeem hebben. Microsoft roept macOS-gebruikers op om de beveiligingsupdate te installeren. bron: https://www.security.nl

Een spionagegroep die al jaren actief is en vanuit India zou opereren heeft onderzoekers onbedoeld een kijkje in een recente operatie gegeven nadat het per ongeluk een eigen systeem met malware infecteerde. De groep wordt Patchwork genoemd en gebruikte bij de laatste spionagecampagne malafide RTF-documenten om slachtoffers te infecteren. Deze documenten maken misbruik van een uit 2017 stammende kwetsbaarheid in Microsoft Office. Via de besmette documenten wordt de Badnews RAT (remote administration trojan) geïnstalleerd. Daarmee is het mogelijk om commando's uit te voeren, screenshots te maken, toetsaanslagen op te slaan en aanvullende malware op het systeem van slachtoffers te installeren. Deze RAT communiceert weer met een server van de aanvallers. Onderzoekers van Malwarebytes vonden het beheerderspaneel van deze RAT. Zo kregen ze niet alleen inzicht in de slachtoffers van Patchwork, ook zagen ze dat een systeem van de groep per ongeluk besmet was geraakt. Volgens de onderzoekers wisten de aanvallers met hun aanvalscampagne onder andere het ministerie van Defensie van Pakistan te infecteren, alsmede verschillende wetenschappelijke instellingen van het land. Tevens ontdekten de onderzoekers dat de aanvallers VirtualBox en VMware gebruiken voor webontwikkeling en testing en van vpn-diensten VPN Secure en CyberGhost om hun ip-adres te verbergen. Zo gebruikten de aanvallers deze vpn-diensten om in te loggen op de e-mailaccounts en andere gecompromitteerde accounts van hun slachtoffers. Afsluitend stellen de onderzoekers dat Patchwork niet zo geraffineerd is als Russische of Noord-Koreaanse spionagegroepen. bron: https://www.security.nl

Mozilla is een nieuw onderzoek gestart waarbij het vrijwillig gedeelde data van Firefoxgebruikers gebruikt om te kijken hoe Facebook mensen op het internet volgt. Hiervoor werkt de browserontwikkelaar samen met The Markup, een non-profitmediaorganisatie die onderzoekt hoe instanties en instituten technologie gebruiken om de samenleving te veranderen. Om de werkwijze van Facebook in kaart te brengen en te kijken hoe het techbedrijf mensen op internet door middel van trackingpixels volgt, wil Mozilla de data van Firefoxgebruikers bestuderen. Die kunnen ervoor kiezen om aan het "Facebook Pixel Hunt" onderzoek deel te nemen en zo hun browsegegevens te delen. Daarmee willen Mozilla en The Markup verschillende onderzoeksvragen beantwoorden, zoals het soort data dat de Facebook-pixel verzamelt, welke websites deze data delen, wat deze data over mensen zegt, andere manieren waarop Facebook mensen volgt en hoe wijdverbreid het trackingnetwerk van Facebook is. Volgens Mozilla heeft Facebook herhaaldelijk onderzoeken naar de mechanismes op het socialmediaplatform ondermijnd. Zo sloot Facebook de accounts van academici die onderzoek naar politieke advertenties deden. Met de data van Firefoxgebruikers wil Mozilla naar eigen zeggen de problemen van "informatieasymmetrie" op het internet aantonen en licht schijnen op de online surveillancesystemen die bedrijven zoals Facebook toepassen. Om aan het onderzoek deel te kunnen nemen moet Firefoxgebruikers eerst de Mozilla Rally add-on installeren en daarna het betreffende onderzoek selecteren. Deelname aan het onderzoek kan op elk moment worden gestopt. bron: https://www.security.nl

Antivirusbedrijf Avira is onder vuur komen te liggen over een cryptominer die het maanden geleden aan de eigen antivirussoftware toevoegde en standaard staat uitgeschakeld. Vorig jaar oktober kondigde Avira aan dat het een nieuwe feature aan de virusscanner had toegevoegd genaamd Avira Crypto. Via deze cryptominer, bij de lancering alleen beschikbaar voor gebruikers in de Verenigde Staten, Canada en het Verenigd Koninkrijk, wordt de rekenkracht van de computer gebruikt voor het delven van cryptovaluta. Avira brengt hiervoor kosten in rekening, namelijk vijftien procent van de gedolven cryptovaluta. Gebruikers moeten de feature zelf inschakelen. Dit weekend kwam it-journalist Brian Krebs met een artikel over de cryptominer, waarna Avira door Twitteraars en lezers van Hacker News onder vuur kwam te liggen. Zo wordt de feature "crimineel" en "hebzuchtig" genoemd. Ook zeggen mensen dat ze Avira voortaan links laten liggen. Eerder kwam ook NortonLifeLock onder vuur te liggen vanwege het toevoegen van een cryptominer aan de antivirussoftware. Sommige virusscanners beschouwen een onderdeel van deze cryptominer als kwaadaardig of potentieel ongewenste software. Eind 2020 werd Avira nog voor een bedrag van 360 miljoen dollar door NortonLifeLock overgenomen. Of Avira van dezelfde cryptominer gebruikmaakt is onbekend. Ook heeft het antivirusbedrijf nog niet gereageerd op de ontstane commotie. bron: https://www.security.nl

De Britse gezondheidsdienst NHS heeft een waarschuwing afgegeven voor aanvallers die misbruik maken van de Log4j-kwetsbaarheid in VMware Horizon. VMware Horizon is virtualisatiesoftware voor het draaien van virtuele desktops en apps in de cloud. De software maakt gebruik van Apache Tomcat dat weer van Log4j gebruikmaakt. VMware heeft vorig jaar december al beveiligingsupdates uitgerold om de Log4j-kwetsbaarheid in het Horizon-platform te verhelpen. Aanvallers zoeken actief naar kwetsbare, nog niet gepatchte Horizon-servers, zo stelt de National Health Service (NHS). Vervolgens wordt het Log4j-lek gebruikt om een kwaadaardig Java-bestand uit te voeren dat een webshell in de VM Blast Secure Gateway service injecteert. Via deze webshell behouden de aanvallers toegang tot de server en kunnen vervolgens verdere aanvallen uitvoeren, zoals het stelen van gegevens en verspreiden van ransomware. De NHS heeft in de waarschuwing details vermeld hoe organisaties gecompromitteerde Horizon-servers kunnen detecteren. bron: https://www.security.nl

Gelukkig hebben de semi-pro's ook een display en sommige een trilfunctie. Dus ik kan wel even vooruit...:) En mocht ik doof worden voor mijn stationnetje...dan draai ik alleen nog maar "Sound of silence" - Simon & Garfunkel.

Vooral in een oldtimer is een hele mooie ervaring. Maar nee, er komt voorlopig geen vervanger. Ik heb niet meer heel veel tijd om te knutselen en sleutelen wat zo een oldtimer wel nodig heeft. Mijn andere hobby's (eigen radiostationnetje en veel op pad met metaal detector) slokken nu de tijd op. Maar wie weet...

Hardwarefabrikant QNAP waarschuwt dat gebruikers onmiddellijk hun NAS-systeem tegen aanvallen moeten beveiligen, anders lopen ze het risico dat bestanden worden versleuteld en aanvallers de apparaten overnemen. Volgens QNAP zijn allerlei soorten netwerkapparaten het doelwit van brutefoce- en ransomware-aanvallen en lopen met name op internet aangesloten apparaten zonder bescherming risico. In een vandaag verschenen waarschuwing adviseert QNAP gebruikers om eerst te controleren of hun NAS-systeem vanaf het internet toegankelijk is. Wanneer dit het geval is wordt aangeraden om port forwarding op de router en UPnP op het NAS-systeem uit te schakelen. Vorig jaar werden QNAP-gebruikers meerdere keren het doelwit van aanvallen, waarbij aanvallers onder andere misbruik maakten van bekende kwetsbaarheden in de QNAP-software. Wat exact de reden is voor QNAP om gebruikers vandaag te waarschuwen laat de fabrikant niet weten, maar eind december was er een toename van ransomware-aanvallen op QNAP-systemen. bron: https://www.security.nl

FlexBooker, een online oplossing voor het beheer van afspraken, heeft de privégegevens van ruim 3,7 miljoen gebruikers gelekt, die nu op internet worden aangeboden. Via FlexBooker kunnen bedrijven en organisaties afspraken met klanten, gebruikers en medewerkers inplannen. Vorige maand kreeg de website met een datalek te maken waarbij data van meer dan 3,75 miljoen gebruikers werd buitgemaakt. Het gaat onder andere om e-mailadressen, namen, telefoonnummers en voor een klein aantal accounts ook wachtwoordhashes en gedeeltelijke creditcarddata. De gegevens konden door een gecompromitteerd AWS-account worden gestolen en worden nu op internet verhandeld. De gestolen e-mailadressen zijn aan datalekzoekmachine Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de meer dan 3,75 miljoen toegevoegde e-mailadressen was 69 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Een beveiligingslek in de vpn-software van QNAP maakt het mogelijk voor aanvallers om NAS-systemen van de fabrikant over te nemen. QNAP heeft een beveiligingsupdate beschikbaar gesteld om het probleem te verhelpen. Via QVPN is het mogelijk om op NAS-systemen van QNAP een vpn-server te draaien. Deze software is gratis voor QNAP-gebruikers beschikbaar. Een kwetsbaarheid in QVPN maakt het mogelijk voor aanvallers om willekeurige code op het NAS-systeem uit voeren, zo laat QNAP vandaag weten. Het beveiligingslek is verholpen in QVPN Service versie 3.0.760 die onlangs uitkwam. Verdere details over de kwetsbaarheid, zoals hoe een aanvaller hier misbruik van zou kunnen maken, zijn niet door QNAP gegeven. Gebruikers wordt aangeraden om naar de nieuwste versie van de software te updaten. bron: https://www.security.nl

De Franse privacytoezichthouder CNIL heeft Facebook en Google een boete van in totaal 210 miljoen euro opgelegd wegens cookie-overtredingen. Volgens CNIL is het niet eenvoudig voor gebruikers van google.fr en youtube.com om cookies te weigeren. De websites hebben een knop voor het accepteren van cookies, maar bieden geen soortgelijke eenvoudige oplossing voor het weigeren van cookies. Er zijn verschillende clicks vereist om alle cookies te weigeren, aldus de Franse privacytoezichthouder. Hierdoor ontmoedigt Google gebruikers om cookies te weigeren en stuurt ze richting het accepteren van de akkoordknop. Dit is een inbreuk op de vrije toestemming van internetgebruikers en een schending van de Franse databeschermingswetgeving, aldus CNIL. Dat legde Google een boete van 150 miljoen euro op. Daarnaast moet het techbedrijf Franse gebruikers binnen drie maanden de optie geven om cookies net zo makkelijk te weigeren als ze te accepteren. Anders zal het techbedrijf een boete van 100.000 euro per dag krijgen. Facebook kreeg voor een zelfde overtreding een boete van 60 miljoen euro opgelegd. Volgens CNIL maakt Facebook het niet eenvoudig voor gebruikers om cookies te weigeren en geeft ze het gevoel dat het weigeren helemaal niet mogelijk is. Net als Google krijgt ook Facebook drie maanden de tijd om ervoor te zorgen dat het weigeren van cookies net zo eenvoudig wordt als het accepteren ervan, anders dreigt een boete van 100.000 euro per dag. bron: https://www.security.nl

Organisaties die van Log4j gebruikmaken doen er verstandig aan om hun systemen extra op eventueel misbruik te controleren, zo adviseert Microsoft. Het techbedrijf verwacht gezien het aantal kwetsbare diensten en software dat het nog lang kan duren voordat alle systemen zijn beveiligd en gepatcht, waardoor continue waakzaamheid van organisaties is vereist. Door de aard van Log4j zijn niet alleen applicaties kwetsbaar die van de loggingsoftware gebruikmaken, maar ook alle diensten die weer met deze applicaties werken. Daardoor weten organisaties mogelijk niet hoe wijdverbreid het probleem in hun omgeving is, aldus Microsoft. Inmiddels zouden zowel statelijke actoren als doorsnee cybercriminelen misbruik van de Log4j-kwetsbaarheden maken. Tijdens de laatste week van december bleef het aantal aanvalspogingen hoog, stelt Microsoft verder. "We hebben gezien dat veel aanvallers exploits voor deze kwetsbaarheden aan hun bestaande malwarekits en tactieken toevoegen, van coinminers tot hand-on-keyboard-aanvallen. Organisaties beseffen mogelijk niet hoe hun omgevingen misschien al zijn gecompromitteerd." Microsoft adviseert dan ook een extra controle van systemen waarop kwetsbare Log4j-versies draaien. Het techbedrijf stelt dat de brede beschikbaarheid van exploitcode en scanningtechnieken een echt en concreet gevaar voor bedrijfsomgevingen vormt. Vanwege de vele software en diensten die zijn getroffen en de snelheid waarmee updates verschijnen en worden toegepast kan het nog lang duren voordat de situatie is verholpen, wat inhoudt dat bedrijven blijvend alert moeten zijn. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die 37 kwetsbaarheden in de browser verhelpt, waaronder een kritiek beveiligingslek waarmee aanvallers kwetsbare systemen kunnen overnemen. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. Via dergelijke beveiligingslekken kan een aanvaller willekeurige code op het systeem van de gebruiker uitvoeren waarbij alleen het bezoeken van een website voldoende is. Er is geen verdere interactie van de gebruiker of een tweede kwetsbaarheid vereist. Vorig jaar werden er in totaal vier kritieke kwetsbaarheden door externe onderzoekers in Chrome gevonden en aan Google gerapporteerd. Het jaar daarvoor waren het er drie en in 2019 ging het om een zelfde aantal. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details over het lek, aangeduid als CVE-2022-0096, worden pas na zestig dagen openbaar gemaakt. De kwetsbaarheid bevindt zich in het deel van de browser gebruikt voor dataopslag en maakt een use after free mogelijk, waardoor een aanvaller zijn code op het systeem van gebruikers kan uitvoeren. Onderzoeker Yangkang van securitybedrijf 360 meldde het probleem op 30 november vorig jaar bij Google. Welke beloning de onderzoeker voor zijn melding krijgt is nog niet bekend. Updaten naar Chrome 97.0.4692.71 voor Linux, macOS en Windows zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

De Belgische overheid gaat 78 miljoen extra investeren in cybersecurity, zo heeft de Belgische premier Alexander De Croo in de krant La Dernière Heure laten weten. België zal volgens De Croo meer dan een half miljard euro investeren in de digitalisering van de federale overheid. Er gaat nog eens honderd miljoen euro naar de regio's voor de ontwikkeling van de vereiste infrastructuur, zoals de uitrol van glasvezel en 5G. "En we zijn van plan om 78 miljoen euro extra te investeren in cyberbeveiliging”, aldus de premier. Die stelt dat het beveiligen van de vitale infrastructuur en gegevens de kern van elke digitale strategie moeten zijn. De Belgische minister van Defensie Ludivine Dedonder stelt dat ook voor de strijdkrachten de grootste dreiging digitaal is. "Het enige dat je nodig hebt is een computer, een internetverbinding en een profiel met veel toegevoegde waarde”, laat ze weten. Het Belgische leger zal daarom vijftig miljoen euro extra investeren in de aanschaf van materieel, de versterking van de infrastructuur en de beveiliging van de installaties, zo meldt het Belgische persbureau Belga. bron: https://www.security.nl