Captain Kirk

Google waarschuwt gebruikers van Chrome voor een kritieke kwetsbaarheid waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. De kwetsbaarheid, aangeduid als CVE-2022-0971, werd door een onderzoeker van Google zelf gevonden. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome, hoewel de teller dit jaar inmiddels op drie staat. Twee daarvan werden gevonden door Google-onderzoeker Sergei Glazunov. CVE-2022-0971 bevindt zich in de Blink-browserengine die Chrome gebruikt voor het weergeven van webcontent. Door de kwetsbaarheid kan een "use after free" ontstaan en is het mogelijk voor een aanvaller om code met de rechten van de ingelogde gebruiker uit te voeren. Het beveiligingslek werd op 21 februari door Glazunov aan Google gerapporteerd. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 99.0.4844.74 tien andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Meta heeft voor twaalf persoonlijke datalekken die in 2018 plaatsvonden van de Ierse privacytoezichthouder DPC een boete van 17 miljoen euro opgelegd gekregen. Tussen 7 juni en 4 december 2018 meldde Facebook in totaal twaalf keer een datalek bij de DPC. Daarop startte de Ierse privacytoezichthouder een onderzoek. De DPC ontdekte dat Facebook onvoldoende technische en organisatorische maatregelen had getroffen waarmee het de beveiligingsmaatregelen kon aantonen die het in de praktijk had genomen om data van Europese gebruikers, in het geval van de twaalf persoonlijke datalekken, te beschermen. Daarmee heeft het bedrijf de GDPR overtreden. Bij het bepalen van de strafmaat heeft de DPC met alle andere Europese privacytoezichthouders overlegd, wat uiteindelijk tot consensus over het bedrag van 17 miljoen euro leidde. Een woordvoerder van Meta laat tegenover persbureau Reuters weten dat het bedrijf de uitspraak zal bestuderen en de processen continu in ontwikkeling zijn. "De boete betreft administratieve werkwijzes van 2018 die we sindsdien hebben aangepast, niet een falen in het beschermen van de informatie van personen." Meta had vorig jaar een omzet van 118 miljard dollar. bron: https://www.security.nl

Googles online virusscandienst VirusTotal heeft de eigen browserextensie van een grote update voorzien waardoor die nu ook automatisch Indicators of Compromise (IoC), zoals hashes, domeinen, ip-adressen en url's, op websites kan identificeren. Via VirusTotal is het mogelijk om bestanden door zo'n zeventig verschillende virusscanners te laten controleren. De browserextensie van VirusTotal was oorspronkelijk bedoeld om dit proces te vereenvoudigen. VirusTotal biedt echter ook allerlei "threat intelligence", zoals informatie over ip-adressen, hashes en domeinen. De nieuwste versie van de browserextensie kan dergelijke IoC's nu automatisch herkennen, wat analyse eenvoudiger moet maken. "SOC-analisten en andere cybersecurity-responders kunnen nu eenvoudig threat reputation en context binnen hun SIEM, casemanagementsysteem en andere tools benaderen, zelfs wanneer er geen ingebouwde integratie voor VirusTotal aanwezig is. Dit zorgt voor een sneller, nauwkeuriger en zelfverzekerder incident response", zegt Emiliano Martinez van VirusTotal. De browserextensie is beschikbaar voor Mozilla Firefox en Google Chrome. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Citrix ShareFile waarvoor afgelopen september een beveiligingsupdate verscheen. Dat meldt securitybedrijf CrowdStrike op basis van eigen bevindingen. Citrix ShareFile is een oplossing voor het synchroniseren en delen van bestanden. Vorig jaar werd er een path traversal-kwetsbaarheid in de oplossing ontdekt waardoor een ongeauthenticeerde gebruiker een bestand op een aangevallen server kan overschrijven en zo op afstand code kan uitvoeren. De impact van het beveiligingslek, aangeduid als CVE-2021-22941, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens CrowdStrike maakt een groep criminelen genaamd "Prophet Spider" misbruik van de kwetsbaarheid in Citrix ShareFile om Microsoft Internet Information Services (IIS) webservers te compromitteren. Via het lek werd een webshell geïnstalleerd waarmee verdere aanvallen zijn uit te voeren. Het uiteindelijke doel van de waargenomen aanval is onbekend. De groep in kwestie zou het in verleden toegang tot systemen hebben verkocht, die vervolgens met ransomware werden besmet. De Amerikaanse overheid houdt een lijst van actief aangevallen kwetsbaarheden bij die inmiddels bijna vijfhonderd beveiligingslekken telt, maar het lek in Citrix ShareFile ontbreekt hierop. bron: https://www.security.nl

De Duitse overheid heeft een waarschuwing voor antivirussoftware van Kaspersky gegeven en adviseert organisaties om alternatieve producten te zoeken. Antivirussoftware zit vaak diep genesteld in het besturingssysteem en draait daarbij ook nog eens permanent in de achtergrond. Vanwege deze rol is vertrouwen in antivirusbedrijven cruciaal. "Als er twijfels over de betrouwbaarheid van de leverancier zijn, vormt antivirussoftware een bijzonder risico voor de it-infrastructuur die moet worden beschermd", zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Het BSI vreest daarbij dat het militaire conflict in Oekraïne kan leiden tot cyberaanvallen op Duitsland. "Een Russische it-leverancier kan zelf offensieve operaties uitvoeren, worden gedwongen om tegen de eigen wil systemen aan te vallen, zonder dat het hiervan weet worden bespioneerd als slachtoffer van een cyberoperatie of worden misbruikt als middel voor aanvallen tegen de eigen klanten", zo laat de Duitse overheidsinstantie weten. Het BSI merkt op dat alle gebruikers van antivirussoftware door dergelijke operaties kunnen worden getroffen en dat met name vitale infrastructuur risico loopt. Het BSI adviseert daarom om producten van Kasperksy door alternatieve oplossingen te vervangen. Dit moet wel goed worden voorbereid, aangezien een overstap zonder voorbereiding ertoe kan leiden dat systemen kwetsbaar zijn voor aanvallen. "Het overstappen naar andere producten kan gepaard gaan met tijdelijk verlies van gemak, functionaliteit en veiligheid." Organisaties dienen dan ook eerst een assessment uit te voeren en waar nodig contact met gecertificeerde leveranciers op te nemen. Update Kaspersky laat weten dat het besluit van het BSI niet is gebaseerd op een technische beoordeling, maar op politieke gronden.

NAS-systemen van QNAP zijn kwetsbaar voor de Dirty Pipe-kwetsbaarheid, die het mogelijk maakt voor een ongeprivilegieerde gebruiker om beheerder te worden, zo waarschuwt de fabrikant die snel met beveiligingsupdates zegt te zullen komen. Dirty Pipe is een beveiligingslek in de Linux-kernel waardoor een gebruiker of aanvaller met toegang tot het systeem root kan worden. De NAS-besturingssystemen van QNAP, QTS en QuTS Hero, maken gebruik van de Linux-kernel en hebben zodoende ook met Dirty Pipe te maken. In het geval van QTS en QuTS zorgt de kwetsbaarheid ervoor dat een ongeprivilegieerde gebruiker beheerdersrechten kan krijgen en kwaadaardige code kan injecteren. Het probleem speelt bij QTS 5.0.x en QuTS Hero h5.0.x. Versie 4.x van QTS is niet kwetsbaar. QNAP is naar eigen zeggen bezig met onderzoek naar de kwetsbaarheid en zal zo snel mogelijk met beveiligingsupdates en meer informatie komen. Op dit moment is er geen mitigatie voor het beveiligingslek beschikbaar. Gebruikers wordt aangeraden om de update, zodra die beschikbaar komt, meteen te installeren. bron: https://www.security.nl

Mozilla heeft de eigen Firefox Relay-dienst ook als extensie voor Google Chrome beschikbaar gemaakt. Daarnaast is het nu mogelijk om via de dienst e-mailbijlagen tot tien megabyte door te sturen. Via Firefox Relay kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. Gebruikers maken via Firefox Relay een alias aan. E-mails worden via de aangemaakte alias, eindigend op het domein mozmail.com, naar het echte e-mailadres van de gebruiker doorgestuurd. Zodoende komt het echte e-mailadres nooit in handen van de betreffende website. De gratis versie van Firefox Relay biedt gebruikers vijf aliassen. Die kunnen zowel via de webinterface als een extensie worden aangemaakt. Per alias kan worden ingesteld of e-mails naar het echte e-mailadres van de gebruiker moeten worden doorgestuurd of dat Mozilla ze moet blokkeren. Naast de introductie van een Chrome-extensie en de mogelijkheid om grote e-mailbijlagen door te sturen kunnen betalende gebruikers er nu voor kiezen om aanbiedingen van een website deels of volledig te blokkeren. Hoeveel mensen gebruik van Firefox Relay maken is onbekend, maar de Firefox-extensie van de doorstuurdienst telt bijna 122.000 gebruikers. bron: https://www.security.nl

Het verdwijnen van Adobe Flash Player en het toegenomen marktaandeel van op Chromium-gebaseerde browsers hebben ervoor gezorgd dat Google Chrome vaker doelwit van zeroday-aanvallen is, zo stelt Google. Vorig jaar kreeg de browser van het techbedrijf met een recordaantal zerodaylekken te maken. Volgens Google zijn er verschillende redenen om deze toename te verklaren. Zo worden onderzoekers steeds beter in het vinden van zeroday-aanvallen, waardoor het mogelijk wordt om de gebruikte kwetsbaarheden te verhelpen. Een andere reden is dat er meer kwetsbaarheden vereist zijn voor een succesvolle aanval. Hadden deze aanvallen in het verleden genoeg aan één kwetsbaarheid, nu zijn er door toegevoegde beveiligingsmaatregelen minstens twee lekken nodig. Als het gaat om specifieke aanvallen tegen Chrome ziet Google twee redenen. De eerste is het verdwijnen van Adobe Flash Player, dat in 2015 en 2016 nog vaak voor zeroday-aanvallen werd gebruikt. "Nu Flash niet langer beschikbaar is, zijn aanvallers op een lastiger doelwit overgestapt, namelijk de browser zelf", zegt Adrian Taylor van het Chrome Security Team. De tweede reden is de dominantie van Chromium, de door Google ontwikkelde opensourcebrowser die de basis voor Google Chrome vormt. Ook andere partijen kunnen Chromium als basis voor hun browser gebruiken. Opera, Microsoft Edge Chromium en Vivaldi zijn enkele voorbeelden. "Wanneer aanvallers een bug in Chromium vinden kunnen ze nu een groter percentage gebruikers aanvallen", aldus Taylor. Een andere reden voor de aanvallen is volgens Taylor dat software nu eenmaal bugs bevat, waarvan een deel te misbruiken is. "Browsers zijn steeds vaker net zo complex als besturingssystemen, en bieden toegang tot je apparaten, bestandssysteem, 3d-rendering en gpu's, en meer complexiteit betekent meer bugs." bron: https://www.security.nl

Een nieuwe kwetsbaarheid in de Linux-kernel, met de naam Dirty Pipe, maakt het mogelijk voor ongeprivilegieerde lokale gebruikers om code in rootprocessen te injecteren en zo rootrechten te krijgen. Beveiligingsupdates zijn inmiddels voor allerlei distributies beschikbaar gemaakt. De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de onveilige interactie tussen een Linux-bestand, dat permanent op de harde schijf wordt opgeslagen, en een Linux-pipe, wat een databuffer in het geheugen is die als een bestand is te gebruiken. "Simpel gezegd, als je een pipe hebt waar je naar toe kunt schrijven en een bestand waarvan niet, dan kan het schrijven naar het geheugenbuffer van de pipe onbedoeld ook de gecachte pagina's van verschillende delen van het schijfbestand aanpassen", zegt beveiligingsexpert Paul Ducklin van Sophos. Hierdoor wordt de aangepaste cachebuffer door de kernel terug naar de schijf geschreven en de inhoud van het opgeslagen bestand permanent aangepast, ongeachte de permissies van het bestand. Een lokale gebruiker kan zo een SSH-key aan het root-account toevoegen, een rootshell aanmaken of een cronjob toevoegen die als backdoor draait en een nieuw gebruikersaccount met rootrechten toevoegt. De kwetsbaarheid, die ook wordt aangeduid als CVE-2022-0847, werd op 20 februari door Max Kellermann aan het securityteam van de Linux-kernel gerapporteerd. Een dag later werd ook het Android-securityteam ingelicht. Op 23 februari verschenen de eerste Linux-updates. Het probleem is verholpen in Linux 5.16.11, 5.15.25 en 5.10.102. Google heeft inmiddels een oplossing aan de Androidkernel toegevoegd. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. bron: https://www.security.nl

Microsoft heeft een kwetsbaarheid in antivirussoftware Defender for Endpoints verholpen waardoor het mogelijk is om informatie tussen de client en de service te spoofen. De Nederlandse beveiligingsonderzoeker Gijs Hollestelle ontdekte het spoofinglek en rapporteerde het probleem (CVE-2022-23278) aan Microsoft. "Deze kwetsbaarheid raakt alle platformen en de updates die we hebben uitgebracht zouden net als elke andere beveiligingsupdate moeten worden uitgerold", aldus Microsoft in een apart artikel over het spoofinglek. Zo zijn er updates voor alle versies van Defender for Endpoints beschikbaar. Het gaat dan ook om de versies voor Android, macOS en Linux. In het geval automatische updates staan ingeschakeld, wat standaard het geval is, is er geen verdere actie van gebruikers vereist. Wie automatische updates heeft uitgeschakeld wordt door Microsoft opgeroepen om die in te schakelen. Voor zover bekend wordt er geen misbruik van de kwetsbaarheid gemaakt. bron: https://www.security.nl

Onderzoekers hebben in verschillende APC Smart-UPS-modellen kritieke kwetsbaarheden ontdekt waardoor het mogelijk is om de noodstroomvoorziening uit te schakelen, de stroomtoevoer te manipuleren of de apparaten zelfs te vernietigen. Dat claimt securitybedrijf Armis. APC heeft firmware-updates uitgebracht om de problemen te verhelpen. Een Uninterruptible power supply (UPS) fungeert in het geval van stroomuitval als back-up. De Smart-UPS is een met de cloud verbonden oplossing, waardoor het onder andere mogelijk is om de apparaten op afstand te beheren en monitoren. Onderzoekers van Armis vonden drie kwetsbaarheden die het mogelijk maken om de apparaten op afstand aan te vallen. Twee van de kwetsbaarheden bevinden zich in de TLS-verbinding tussen de UPS en de cloud. Een aanvaller kan zich zo als de clouddienst voordoen en willekeurige code op de UPS uitvoeren. Het derde probleem wordt veroorzaakt door het niet voldoende controleren van firmware. Hierdoor is het mogelijk voor een aanvaller om ongesigneerde firmware op afstand op de UPS-apparaten te installeren. Zodra de UPS is gecompromitteerd kan een aanvaller verdere aanvallen op het netwerk uitvoeren of de UPS ontregelen. Daarbij stellen de onderzoekers dat het ook mogelijk is om de UPS zichzelf te laten vernietigen. Iets wat tijdens een experiment ook lukte, aldus een whitepaper over de kwetsbaarheden. Fabrikant Schneider Electric werd op 31 oktober vorig jaar ingelicht over de problemen en heeft inmiddels firmware-updates uitgerold. bron: https://www.security.nl

Tijdens de patchdinsdag van maart heeft Microsoft 71 kwetsbaarheden verholpen, waaronder een kritiek beveiligingslek in Exchange Server dat remote code execution mogelijk maakt. Had Microsoft in februari een maand zonder kritieke updates, een zeldzaamheid, deze maand zijn het er slechts drie. Twee van deze updates zijn voor kritieke lekken in de HEVC- en VP9-videoextensies. Door het openen van een malafide video zou een aanvaller willekeurige code op het systeem kunnen uitvoeren. De impact van deze kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. De derde kritieke kwetsbaarheid, die in Exchange aanwezig is en wordt aangeduid als CVE-2022-23277, heeft een impactscore van 8.8. Het probleem speelt in Exchange 2013, 2016 en 2019. Een geauthenticeerde aanvaller kan code met verhoogde rechten uitvoeren. Hoewel er nog geen actief misbruik van de kwetsbaarheid wordt gemaakt, lijkt dat slechts een kwestie van tijd. Microsoft stelt namelijk dat misbruik "more likely" is en ook het Zero Day Initiative verwacht op korte termijn dat aanvallers het lek zullen gebruiken. Verder zijn er drie kwetsbaarheden in .NET and Visual Studio, Remote Desktop Client en de Windows Fax and Scan service verholpen die al voor het uitkomen van de beveiligingsupdates bekend waren. Er is volgens Microsoft echter geen misbruik van gemaakt. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die twee actief aangevallen zerodaylekken in de browser verhelpt. Het komt zelden voor dat Mozilla updates voor dergelijke kwetsbaarheden uitrolt. Zo kreeg Firefox vorig jaar voor zover bekend met geen enkele zeroday te maken. Via de kwetsbaarheden kan een aanvaller uit de sandbox van de browser breken en willekeurige code op het systeem uitvoeren. Om misbruik van de twee kritieke kwetsbaarheden te maken, aangeduid als CVE-2022-26485 en CVE-2022-26486, is er geen interactie van gebruikers vereist. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. De twee zerodaylekken zijn verholpen in Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3, Focus 97.3 en Thunderbird 91.6.2. Updaten zal in de meeste gevallen automatisch gebeuren. bron: https://www.security.nl

Het voorstel van de Europese Commissie om een digitale identiteit te introduceren bedreigt de veiligheid van het web, zo stelt Mozilla, dat zich aansluit bij kritiek van de Amerikaanse burgerrechtenbeweging EFF en tientallen experts. Vorig jaar kwam de Europese Commissie met een plan voor de invoering van een Europese digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren. Als onderdeel van het voorstel worden browserleveranciers verplicht om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers. Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden. Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen. "Deze aanpassing verzwakt de veiligheid van het web door te voorkomen dat browsers hun gebruikers tegen beveiligingsrisico's kunnen beschermen, zoals identiteitsdiefstal en financiële fraude, waar zich misdragende certificaatautoriteiten hen aan kunnen blootstellen", aldus Mozilla. De browserontwikkelaar waarschuwt dat het verplichten van browsers om bepaalde certificaatautoriteiten toe te voegen een precedent voor repressieve regimes zou scheppen. Mozilla heeft ook de open brief aan het Europees Parlement ondertekend waarin experts parlementariërs oproepen om het voorgestelde amendement aan te passen. "De brief laat zien dat de cybersecuritygemeenschap denkt dat deze maatregel een bedreiging voor de veiligheid van het web is en meer problemen creëert dan het oplost", besluit Mozilla. bron: https://www.security.nl

Cisco waarschuwt organisaties voor twee kritieke kwetsbaarheden in de Expressway- en TelePresence-oplossingen waardoor een aanvaller willekeurige code als root kan uitvoeren. Expressway is een gateway-oplossing waarmee gebruikers met elkaar kunnen communiceren, ongeacht of ze op het interne netwerk zitten of daarbuiten. TelePresence is een oplossing voor videoconferencing. Twee kwetsbaarheden in beide oplossingen maken het mogelijk voor een geauthenticeerde aanvaller om op het onderliggende besturingssysteem van een kwetsbaar apparaat willekeurige code als root uit te voeren. De beveiligingslekken worden door een onvoldoende controle van gebruikersinvoer veroorzaakt. De impact van beide kwetsbaarheden, aangeduid als CVE-2022-20754 en CVE-2022-20755, is op een schaal van 1 tot en met 10 met een 9.0 beoordeeld. Cisco heeft beveiligingsupdates uitgebracht om de lekken te verhelpen. bron: https://www.security.nl

Tientallen cybersecurity-experts en de Amerikaanse burgerrechtenbeweging EFF hebben het Europees Parlement gewaarschuwd voor een plan van de Europese Commissie dat browsers zou verplichten om onveilige certificaten te accepteren. Vorig jaar kwam de Europese Commissie met een plan voor de invoering van een Europese digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren. Als onderdeel van het voorstel worden browserleveranciers verplicht om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Volgens de experts en EFF zijn deze certificaten vanwege implementatiefouten nooit gemeengoed geworden en brengen ze de veiligheid van https-beveiliging in gevaar door browsers te verplichten om derde partijen die te vertrouwen die door zonder enige veiligheidsgaranties door overheden worden aangewezen. Dit zou volgens de experts de veiligheid van alle webgebruikers in gevaar brengen. De meeste browsers hanteren strenge voorwaarden waar certificaatautoriteiten, die certificaten uitgeven gebruikt voor beveiligde verbindingen, aan moeten voldoen. Door sommige websitecertificaten bestaande beveiligingseisen te laten omzeilen, vrezen de experts dat het risico toeneemt dat er onveilige of kwaadaardige certificaten worden uitgegeven waarmee het internetverkeer van gebruikers is te onderscheppen of die naar malafide websites zijn te leiden. Daarnaast zou het onmogelijk voor de cybersecuritygemeenschap zijn om snel op dergelijke certificaten te reageren. De experts en EFF stellen dat de bepaling van de Europese Commissie als doel heeft om de authenticatie op het web te verbeteren, maar dat het in de praktijk het tegenovergestelde effect heeft. "Door manieren te creëren om bestaande beveiligingscontroles in browsers te omzeilen, stelt de voorgestelde regelgeving gebruikers bloot aan een groter risico op aanvallen door cybercriminelen", aldus de experts in hun open brief aan het Europees Parlement (pdf). Ze roepen de parlementariërs dan ook op om het voorgestelde amendement aan te passen. Eerder liet het Nederlandse demissionaire kabinet weten positief te zijn over de invoering van een Europese identiteit, alsmede de eisen voor browserleveranciers. "Hiermee wordt de afhankelijkheid van browsers voor gebruikers beperkt en wordt eventuele onzekerheid over de betrouwbaarheid van websites weggehaald als ze voldoen aan de Europese standaarden", aldus het kabinet. bron: https://www.security.nl

De aanvallers die toegang wisten te krijgen tot systemen van chipfabrikant NVIDIA hebben daar e-mailadressen en NTLM-wachtwoordhashes van ruim 70.000 medewerkers buitgemaakt, zo meldt beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned. NVIDIA liet eerder al weten dat het de inbraak op 23 januari ontdekte en daarbij inloggegevens van medewerkers waren gestolen. Een aantal werd echter niet genoemd. De gestolen data werd vervolgens door de aanvallers online gezet. Volgens Hunt gaat het om meer dan 71.000 e-mailadressen en NTLM-wachtwoordhashes, waarvan een groot deel inmiddels gekraakt zou zijn. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Wanneer de gebruiker zich registreert en een wachtwoord opgeeft, wordt hier via een hashingalgoritme een hash van gemaakt. De hash wordt in de database opgeslagen. Dit voorkomt dat als bijvoorbeeld een systeem of website wordt gecompromitteerd en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft. Die zijn namelijk gehasht. Een ander kenmerk van hashes is dat een hashingalgoritme voor een gegeven wachtwoord altijd dezelfde hash zal genereren. Verschillende gebruikers die hetzelfde wachtwoord kiezen zullen ook dezelfde wachtwoordhash hebben. Eerder hebben onderzoekers aangetoond dat NTLM-hashes van korte wachtwoorden eenvoudig zijn te kraken. Hunt heeft de e-mailadressen nu aan Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 71.335 toegevoegde e-mailadressen was 17 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Theoretisch onderzoek naar het versterken van ddos-aanvallen dat vorig jaar door onderzoekers werd gepresenteerd is voor het eerst in de praktijk toegepast, zo claimt internetbedrijf Akamai. Afgelopen augustus kwamen onderzoekers van verschillende Amerikaanse universiteiten met hun onderzoek naar "TCP Middlebox Reflection" (pdf). Bij een reflection-aanval worden systemen van een derde partij gebruikt voor het aanvallen van een doelwit. De aanvallers sturen verkeer naar deze derde systemen, die het vervolgens doorsturen naar het doelwit en daarbij ook het verkeersvolume vergroten. Daardoor krijgt het doelwit veel meer verkeer te verduren en is de kans groter dat bijvoorbeeld een website offline gaat. Bij TCP Middlebox Reflection wordt er gebruikgemaakt van zogeheten "middleboxes". Het gaat onder andere om firewalls en contentfilteringsystemen. Dergelijke apparaten kunnen verkeer in real-time monitoren, filteren of aanpassen. In tegenstelling tot traditionele apparatuur zoals routers en switches kijken middleboxes niet alleen naar headers van pakketten, maar gebruiken deep packet inspection om de inhoud te analyseren. De onderzoekers ontdekten een verkeerde tcp-implementatie bij sommige middleboxes, waardoor het mogelijk is om de apparaten tcp-verkeer naar een opgegeven doelwit te laten sturen. Daarbij hoeft een aanvaller slechts een beperkte hoeveelheid verkeer naar de middlebox te sturen om vervolgens veel meer verkeer naar het doelwit door te sturen. Een enkel syn-pakket met een payload van 33 byte zorgt voor een response van 2156 bytes. Dit is een versterkingsfactor van 65, aldus Akamai. Het bedrijf zag onlangs een ddos-aanval die van deze techniek gebruikmaakte en voor 11 Gbps verkeer zorgde. Volgens onderzoekers zijn er honderdduizenden kwetsbare middleboxes op internet te vinden die voor het versterken van ddos-aanvallen zijn te gebruiken. Akamai verwacht dan ook dat aanvallers vaker van de techniek gebruik zullen maken. Het bedrijf merkt op dat bestaande maatregelen om reflectie-aanvallen te voorkomen ook tegen TCP Middlebox Reflection werken. bron: https://www.security.nl

Aanvallers zijn er onlangs in geslaagd om op systemen van chipfabrikant NVIDIA in te breken en daar inloggegevens van medewerkers en bedrijfsinformatie te stelen. Een deel van de data is inmiddels op internet gepubliceerd. Volgens NVIDIA, dat de inbraak op 23 januari ontdekte, heeft de datadiefstal naar verwachting geen gevolgen voor de bedrijfsvoering of de dienstverlening aan klanten. Een groep aanvallers genaamd Lapsu$ heeft de verantwoordelijkheid voor de aanval opgeëist en claimt één terabyte aan data te hebben buitgemaakt. Naar aanleiding van de aanval heeft NVIDIA naar eigen zeggen het eigen netwerk verder beveiligd, incident response experts ingeschakeld en politie gewaarschuwd. "We hebben geen bewijs dat er ransomware binnen de NVIDIA-omgeving is uitgerold of dat dit te maken heeft met het conflict tussen Rusland en Oekraïne", aldus een woordvoerder tegenover Yahoo News. De koers van NVIDIA daalde gisteren met vijf procent. De groep achter de aanval op NVIDIA claimde eerder verantwoordelijk te zijn voor aanvallen op de Portugese mediagigant Impresa en het Braziliaanse ministerie van Volksgezondheid. Details over hoe de aanvallers toegang tot de systemen van NVIDIA konden krijgen is niet bekendgemaakt. bron: https://www.security.nl

Google heeft Chrome 99 gelanceerd, waarmee er 28 kwetsbaarheden in de browser zijn verholpen. Eind deze maand verschijnt Chrome 100. De 28 verholpen beveiligingslekken hebben een maximale impact die Google als "high" classificeert. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google betaalde onderzoekers meer dan 100.000 dollar aan bugbounties voor het melden van de kwetsbaarheden. De hoogste beloning, 15.000 dollar, werd uitgekeerd voor een beveiligingslek in de MediaStream API, die wordt gebruikt voor het synchroniseren van mediastreams. Gebruikers krijgen het advies om te updaten naar Google Chrome 99.0.4844.51, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Op 29 maart verschijnt Chrome 100. Vanwege het driecijferige versienummer kan dit bij sommige websites voor problemen gaan zorgen. bron: https://www.security.nl

Nog een aantal maanden en dan kunnen third-party apps zoals e-mailclients en back-upsoftware gebruikers niet meer door middel van alleen een gebruikersnaam en wachtwoord op hun Google-account laten inloggen, zo heeft Google aangekondigd. Dit moet de accounts van gebruikers beter beschermen. Vanaf 30 mei wordt deze inlogmethode niet meer ondersteund, zo laat het techbedrijf weten. Third-party apps kunnen gebruikers vragen om via hun Google-account in te loggen. Op deze manier krijgt de app toegang tot het account van de gebruiker. Sommige apps doen dit door middel van alleen een gebruikersnaam en wachtwoord. "Via minder goed beveiligde apps kunnen hackers makkelijker toegang tot je account krijgen. Door logins via deze apps te blokkeren, kan je account beter worden beveiligd", stelt Google. De optie voor "Toegang door minder goed beveiligde apps" staat standaard uitgeschakeld. Gebruikers kunnen die echter zelf inschakelen om apps zo alsnog toegang te geven. Vanaf 30 mei zal dat niet meer kunnen. "We doen dit om je account te beschermen", legt het techbedrijf uit. Dit kan grote gevolgen voor gebruikers hebben. Zo beschouwt Google elke app die van het IMAP-protocol gebruikmaakt als "minder goed beveiligd". Gebruikers kunnen deze apps straks nog steeds gebruiken, zolang er maar niet met alleen een gebruikersnaam en wachtwoord wordt ingelogd. bron: https://www.security.nl

Onderzoekers van Cisco hebben in de gerber-viewer Gerbv verschillende kritieke kwetsbaarheden ontdekt waardoor een aanvaller willekeurige code op systemen kan uitvoeren en een beveiligingsupdate is niet beschikbaar. Gerbv is een opensourceprogramma waarmee gebruikers gerber-bestanden kunnen bekijken. Deze bestanden bevatten informatie over Printed Circuit Board (PCB)-ontwerpen. Sommige PCB-fabrikanten gebruiken software zoals Gerbv in hun webinterface als tool om gerber-bestanden naar afbeeldingen om te zetten. Gebruikers kunnen gerber-bestanden uploaden naar de fabrikant, die vervolgens via Gerbv worden omgezet naar afbeeldingen. Deze afbeeldingen zijn vervolgens in de browser te bekijken, zodat gebruikers kunnen zien of hun upload aan de verwachtingen voldoet. Gerbv bevat verschillende kwetsbaarheden waardoor een aanvaller via een speciaal geprepareerd gerber-bestand een "out-of-bounds write" kan veroorzaken, wat het uitvoeren van willekeurige code mogelijk maakt. De impact van vier van de in Gerbv gevonden beveiligingslekken, CVE-2021-40401, CVE-2021-40391, CVE-2021-40393 en CVE-2021-40394, zijn op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. Gerbv is als losse gui-applicatie te gebruiken of als library. Daarnaast zijn de kwetsbaarheden ook aanwezig in geforkte versie van de gerber-viewer. De onderzoekers werkten samen met de Gerbv-ontwikkelaars, maar een beveiligingsupdate is vooralsnog niet beschikbaar. bron: https://www.security.nl

Symantec heeft naar eigen zeggen de meest geavanceerde backdoor ooit van een aan China gelieerde spionagegroep ontdekt die voor een campagne tegen overheden en vitale infrastructuur is ingezet en aanvallers laat communiceren met systemen die niet direct vanaf het internet toegankelijk zijn. Dat meldt het securitybedrijf in een analyse. De backdoor wordt Daxin genoemd en komt in de vorm van een Windows-kerneldriver, iets wat tegenwoordig een zeldzaamheid is, aldus de onderzoekers. Daxin zou zijn ontwikkeld voor spionage tegen extra beveiligde doelwitten en beschikt over features die aan de geavanceerde Regin-malware doen denken. Eenmaal actief op een systeem kunnen aanvallers via de backdoor bestanden lezen en schrijven. Ook is het mogelijk om willekeurige processen te starten. Wat Daxin echter doet opvallen is de manier waarop het communiceert en onopgemerkt blijft. De backdoor kan communiceren door legitieme tcp/ip-verbindingen te kapen. Hiervoor monitort Daxin al het inkomend tcp-verkeer op bepaalde patronen. Wanneer de backdoor een dergelijk patroon herkent, verbreekt het de verbinding met de legitieme ontvanger en neemt de verbinding over. De gekaapte tcp-verbinding wordt vervolgens voor de communicatie gebruikt en laat de aanvallers ook communiceren met netwerken waarvoor strengere firewalleregels gelden. Ook voorkomt het de kans dat analisten van een security operations center (SOC) de malware ontdekken. Daxin is ook in staat om de communicatie over een reeks besmette computers binnen de aangevallen organisatie te laten lopen. De aanvallers kunnen zo communiceren met computers op zeer beveiligde netwerken waar een directe internetverbinding niet beschikbaar is. De eerste versie van Daxin dateert van 2013, de laatste aanvallen met de malware werden afgelopen november waargenomen. Pas de latere varianten beschikken over alle geavanceerde features. Hoe doelwitten precies besmet raken laat Symantec niet weten. Ook de connectie met China wordt niet verduidelijkt. Het securitybedrijf zegt binnenkort met meer informatie te komen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties op om de analyse van Daxin te bekijken. bron: https://www.security.nl

Een kwetsbaarheid in de vpn-software van Mozilla maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om systeemrechten te krijgen en zo de machine volledig over te nemen. Mozilla heeft een beveiligingsupdate voor de vpn-software uitgebracht om het probleem te verhelpen. Het is de eerste keer dat een lek in Mozillas vpn-software de impact "high" heeft gekregen. Het beveiligingslek wordt veroorzaakt doordat Mozilla VPN een OpenSSL-configuratie van een onveilige directory kan laden. Een gebruiker of aanvaller met beperkte rechten en toegang tot het systeem kan dit gebruiken om willekeurige code met systeemrechten op het systeem uit te voeren. Daardoor is het mogelijk om volledige controle over de machine te krijgen. De kwetsbaarheid werd door beveiligingsonderzoeker DoHyun Lee aan Mozilla gerapporteerd. Mozillas vpn-dienst is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Sinds de lancering heeft Mozilla drie kwetsbaarheden in de cliëntsoftware verholpen. De impact daarvan was echter als "low" en "moderate" bestempeld, wat op een beperkte impact duidt. De nu verholpen kwetsbaarheid, aangeduid als CVE-2022-0517, is het eerste high-lek in de software. Gebruikers wordt aangeraden om te updaten naar Mozilla VPN 2.7.1. bron: https://www.security.nl

Proximus biedt een aantal stappenplannen aan voor de diverse Outlook-versies. Let vooral op de poortinstelling. Die kunnen nog wel eens het verschil maken tussen wel of niet ontvangen en kunnen zenden. Via onderstaande link wordt je met een aantal stappen door het instelproces geleid. Misschien heb je hier wat aan.: E-mail instellen op je gsm, tablet of pc