Captain Kirk

Microsoft heeft een oplossing beschikbaar gemaakt voor een datumprobleem in Exchange Server waardoor er geen e-mail kan worden afgeleverd. Het probleem wordt veroorzaakt door een fout in de datumcontrole die sinds de wisseling naar het nieuwe jaar ervoor zorgt dat de malware-engine van Exchange crasht waardoor er e-mail in de transport queues blijft staan. De variabele waarin Exchange de datum wil opslaan is te klein voor de nieuwe datum, wat voor de crash zorgt. Om het probleem te verhelpen heeft Microsoft een script beschikbaar gesteld. Beheerders moeten dit script zelf uitvoeren. "Het implementeren van deze oplossing vereist actie van de klant, en het zal enige tijd kosten om de noodzakelijke aanpassingen te maken, geüpdatete bestanden te downloaden en de transport queues op te schonen", aldus Microsoft. Het is wel mogelijk om de verschillende acties met het scanengine-resetscript te automatiseren of die handmatig uit te voeren. "Of je de stappen nu automatisch of handmatig uitvoert, ze moeten op elke on-premise Exchange 2016- en Exchange 2019-server in je organisatie worden uitgevoerd", stelt Microsoft. Het is wel mogelijk om het geautomatiseerde script op meerdere servers tegelijkertijd uit te voeren. bron: https://www.security.nl

Dat is mooi!. Helaas dacht mijn oude camper van 25+ er dit jaar anders over. Die was voor mij niet meer rendabel om te repareren en is verkocht aaneen monteur gegaan die graag door gaat met veel liefde erin steken. Geeft dan toch nog beetje goed gevoel, hoewel ik er nog steeds van baal.

Een malware-exemplaar dat is ontwikkeld voor het stelen van allerlei gegevens van besmette systemen heeft honderdduizenden gestolen wachtwoorden gelekt, onder andere van wachtwoordmanager LastPass en e-mailaccounts. De e-mailadressen van bijna 442.000 gecompromitteerde accounts zijn aan datalekzoekmachine Have I Been Pwned toegevoegd. De RedLine Stealer kan allerlei in browsers opgeslagen data stelen, zoals gebruikersnamen en wachtwoorden, cookies en creditcardgegevens. Antivirusbedrijf AhnLab publiceerde eerder deze week een analyse waarin werd gesteld dat door RedLine Stealer gestolen vpn-gegevens waren gebruikt om een bedrijfsnetwerk te compromitteren. De medewerker van het niet nader genoemde bedrijf had de vpn-gegevens in zijn browser opgeslagen, waar ze door de malware werden gestolen. Drie maande na de diefstal werd er met de vpn-gegevens op het bedrijfsnetwerk ingelogd. Volgens beveiligingsonderzoeker Bob Diachenko is RedLine Stealer, sinds de malware begin 2020 op de markt kwam, een belangrijke bron voor de handel in gestolen identiteitsgegevens. Onlangs ontdekte Diachenko logbestanden van RedLine Stealer die voor iedereen op internet toegankelijk waren en meer dan zes miljoen records bleken te bevatten. Het ging onder andere om inloggegevens voor online wachtwoordmanager LastPass en e-mailaccounts, zoals Gmail. E-mailadressen van bijna 442.000 gecompromitteerde accounts zijn aan Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de nieuw toegevoegde e-mailadressen was 26 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

De Log4j-kwetsbaarheid is gebruikt bij een aanval op cryptoplatform Onus waarbij de persoonlijke gegevens van twee miljoen gebruikers werden gestolen. Dat laten Onus en securitybedrijf CyStack in een verklaring weten. Onus is één van de grootste cryptoplatformen in Vietnam en werkt met betaalsoftware van een derde partij genaamd Cyclos. Deze software maakt gebruik van loggingsoftware Log4j en was zodoende ook kwetsbaar. Volgens CyStack maakte een aanvaller misbruik van de Log4j-kwetsbaarheid in de Cyclos-software nog voor de leverancier Onus en andere klanten kon waarschuwen. Onus installeerde de beveiligingsupdate van Cyclos toen die beschikbaar kwam, maar op dat moment had de aanvaller al gegevens van twee miljoen gebruikers gestolen, stellen de onderzoekers. Het gaat om naam, e-mailadres, telefoonnummer, adresgegevens, KYC-informatie, versleutelde wachtwoorden, transactiegeschiedenis en "andere versleutelde informatie", aldus de uitleg van Onus. De aanvaller, die de gebruikersdata bij Onus claimt te hebben verwijderd, eiste vervolgens vijf miljoen dollar losgeld. Via de Log4j-kwetsbaarheid kreeg de aanvaller toegang een server van Onus waarop AWS-inloggegevens stonden. Het cryptoplatform had de AWS access key volledige toegang gegeven, waardoor de aanvaller alle S3-buckets van Onus kon compromitteren en verwijderen. De server bevatte daarnaast een script dat periodiek een back-up van de Onus-database naar een S3-bucket maakte. S3 is de cloudopslagdienst van Amazon. Het back-upscript bevatte de inloggegevens van de database, alsmede back-up SQL-bestanden. Zo kon de aanvaller toegang tot de Onus-database en gebruikersinformatie krijgen. Tevens installeerde de aanvallers een backdoor, aldus CyStack. Onus maakt excuses voor het datalek en noemt het een kans om de veiligheid van de eigen systemen verder te verbeteren en zo de veiligheid van gebruikers te garanderen. De gestolen gebruikersgegevens worden nu te koop aangeboden. bron: https://www.security.nl

Gisterenavond kwam de Apache Foundation met een beveiligingsupdate voor een nieuwe kwetsbaarheid in Log4j, aangeduid als CVE-2021-44832, waardoor het in bepaalde gevallen mogelijk is voor een aanvaller om op afstand code op het systeem uit te voeren. Nu zijn er meer details over het beveiligingslek openbaar gemaakt. De kwetsbaarheid doet zich alleen voor wanneer een aanvaller controle over de configuratie van Log4j heeft. Daardoor is de impactscore van dit beveiligingslek met een 6.6 lager dan andere kwetsbaarheden in Log4j waardoor remote code execution mogelijk is. Log4j beschikt over een feature om een remote configuratiebestand te laden. Daarnaast is het mogelijk om Log4j zo te configureren dat het via een Java Naming and Directory Interface (JNDI) op afstand een database laadt. In plaats van een database is het echter ook mogelijk om malafide code op te geven die vervolgens door Log4j wordt uitgevoerd. Beveiligingsonderzoeker Yaniv Nizry van securitybedrijf Checkmarx rapporteerde het probleem op 27 december aan Apache, dat gisterenavond Log4j versie 2.17.1 uitbracht waarin het probleem is verholpen. bron: https://www.security.nl

Gebruikers van online wachtwoordmanager LastPass zijn het doelwit geworden van credential stuffing-aanvallen, zo laat het bedrijf weten. Op Hacker News maakten verschillende gebruikers melding dat ze van LastPass een e-mail hadden ontvangen dat er was geprobeerd om op hun account in te loggen. LastPass, dat gebruikers hun wachtwoorden in de cloud laat opslaan, verstuurt e-mails wanneer er een inlogpoging vanaf een andere locatie of apparaat is ondernomen. In een reactie op de meldingen van gebruikers stelt LastPass dat het om credential stuffing gaat. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. Er werd op Twitter ook gesuggereerd dat inloggegevens mogelijk via malware of phishing waren bemachtigd, maar dat is volgens LastPass ook niet het geval. Daarnaast zijn er voor zover bekend geen accounts bij de credential stuffing-aanval gecompromitteerd. Wat betreft de beveiligingswaarschuwingen die gebruikers ontvingen zijn die waarschijnlijk ten onrechte verstuurd. LastPass zegt dat het de waarschuwingssystemen heeft aangepast en het probleem nu is verholpen. Daarnaast waarschuwt LastPass gebruikers om geen wachtwoorden te hergebruiken en voor het master password, waarmee er toegang tot opgeslagen wachtwoorden wordt verkregen, een passphrase te kiezen. bron: https://www.security.nl

Er is een nieuwe kwetsbaarheid in Log4j gevonden waardoor in bepaalde gevallen remote code execution (RCE) mogelijk is. De Apache Software Foundation heeft vanavond een beveiligingsupdate uitgebracht (Log4j 2.17.1) om het probleem, aangeduid als CVE-2021-44832, te verhelpen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 6.6. Het beveiligingslek is aanwezig in Log4j2 versies 2.0-beta7 tot en met 2.17.0 (op versies 2.3.2 en 2.12.4 na) en doet zich voor wanneer een aanvaller het logging-configuratiebestand kan aanpassen en vervolgens een malafide configuratie kan aanmaken waarbij er wordt verwezen naar een Java Naming and Directory Interface (JNDI) URI die code uitvoert. Doordat een aanvaller het configuratiebestand moet kunnen aanpassen is de impact van de kwetsbaarheid lager beoordeeld dan eerdere RCE-kwetsbaarheden in Log4j. Beheerders wordt aangeraden om te updaten naar Log4j 2.3.2 (voor Java 6), 2.12.4 (voor Java 7) of 2.17.1 (voor Java 8 en nieuwer). bron: https://www.security.nl

De afgelopen dagen is er een toename van ransomware-aanvallen op NAS-systemen van fabrikant QNAP. Dat laat ID Ransomware tegenover Bleeping Computer weten. ID Ransomware is een dienst waar mensen door ransomware versleutelde bestanden of losgeldmeldingen kunnen uploaden om te te zien door welke ransomware ze zijn getroffen en of er een gratis decryptietool beschikbaar is. In een maand tijd ontving ID Ransomware 411 inzendingen van NAS-eigenaren die slachtoffer waren geworden van de eCh0raix-ransomware. Daarbij nam het aantal inzendingen vanaf 19 december toe, met op 21 december een piek van negentig slachtoffers die bij ID Ransomware aanklopten. In 2019 waarschuwde QNAP voor het eerst voor de eCh0raix-ransomware, die allerlei bestanden op het NAS-systeem versleutelt. In augustus van dit jaar werd er een nieuwe variant van eCh0raix ontdekt die naast QNAP-apparaten ook NAS-systemen van Synology kan infecteren. Wat de oorzaak van de laatste infectiepiek is, is onbekend. Sommige slachtoffers stellen dat de aanvallers toegang kregen via een kwetsbare versie van Photo Station. Daarnaast is bekend dat eCh0raix ook gebruikmaakt van beveiligingslekken in Hybrid Backup Sync (HBS 3). Eerder bracht QNAP updates voor deze kwetsbaarheden uit. Slachtoffers van de ransomware die hun bestanden terug willen moeten losgeld betalen, wat varieert van 1200 tot 3000 dollar. In mei van dit jaar werd duidelijk dat honderden eigenaren van een QNAP-apparaat die door ransomware waren getroffen het gevraagde losgeld betaalden, wat de criminelen achter de aanvallen destijds zo'n 350.000 dollar opleverde. bron: https://www.security.nl

Organisaties en bedrijven moeten tijdens de feestdagen alert zijn op aanvallen via het Log4j-lek, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC). Op dit moment ziet het NCSC naar eigen zeggen kleinschalig misbruik van het lek, maar de verwachting is dat dit misbruik zal toenemen. "Daarom blijven we waarschuwen voor aanvallen met een potentieel grote impact en adviseren organisaties nog steeds om zich onverminderd voor te bereiden op dergelijke scenario's. Dit advies blijft onverminderd van kracht, ook tijdens de feestdagen", zo laat het NCSC via de eigen website weten. Volgens securitybedrijf Tenable is tien procent van de onderzochte servers, webapplicaties, containers en IoT-apparaten kwetsbaar. "Eén op de tien bedrijfsservers loopt risico, Eén op de tien webapplicaties en ga zo door. Eén op de tien van bijna elk aspect van onze digitale infrastructuur loopt het risico op misbruik via Log4Shell", zegt onderzoeker Amit Yoran. bron: https://www.security.nl

Twee weken nadat details van de Log4j-kwetsbaarheid openbaar werden hebben de Five Eyes-landen een gezamenlijke advisory over het beveiligingslek gepubliceerd waarin ze stellen dat elke Log4j-applicatie als mogelijk gecompromitteerd beschouwd zou moeten worden. In de advisory geven Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse overheidsdiensten advies om met het beveiligingslek om te gaan. Het gaat uiteindelijk om drie stappen: het identificeren van kwetsbare applicaties, het installeren van updates en het zoeken naar eventueel misbruik van het beveiligingslek. Zo adviseren de instanties om kwetsbare applicaties als gecompromitteerd te beschouwen en te isoleren totdat ze zijn gepatcht en geverifieerd. Gegeven het grootschalig misbruik van het Log4j-lek stellen de overheidsinstanties dat alle organisaties hun Log4j-applicaties als gecompromitteerd zouden moeten beschouwen en onderzoek naar sporen van misbruik en compromittering moeten uitvoeren. Mocht er inderdaad sprake van misbruik zijn wordt aangeraden dit bij de autoriteiten te melden. bron: https://www.security.nl

Voor iedereen een hopelijk iets positiever,vrijer maar vooral zo gezond mogelijk nieuw jaar. En zoals iemand in mijn radioprogramm als zei: Wees vooral een beetje lief tegen elkaar.

Tienduizenden Facebookgebruikers zijn het doelwit geworden van commerciële surveillancebedrijven, die toegang tot accounts probeerden te krijgen en telefoons en computers met malware probeerden te infecteren. Facebook heeft zo'n 50.000 mensen die doelwit waren inmiddels gewaarschuwd. Dat laat het techbedrijf in een nieuw rapport weten (pdf). In totaal identificeerde Facebook zeven surveillancebedrijven die het socialmediaplatform gebruikten voor het uitvoeren van aanvallen en vergaren van informatie van tienduizenden mensen. Deze bedrijven gebruikten honderden Facebookaccounts om met hun slachtoffers contact te maken. Zo werd geprobeerd om informatie te verkrijgen, een vertrouwensband op te bouwen, slachtoffers op links te laten klikken of die bestanden te laten downloaden. Het uiteindelijke doel van de aanvallers was om volledige controle over telefoons of computers van slachtoffers te krijgen, zodat die konden worden bespioneerd. "Op dat moment, afhankelijk van de exploit, heeft de aanvaller toegang tot alle data op de telefoon of computer van het slachtoffer, waaronder wachtwoorden, cookies, accesstokens, foto's, video's, berichten, adresboeken, en de mogelijkheid om stilletjes de microfoon, camera en locatietracking in te schakelen", aldus Facebook. Naast het waarschuwen van slachtoffers en doelwitten heeft Facebook ook de accounts van de surveillancebedrijven geblokkeerd en hen "Cease and Desist" brieven verstuurd. Daarnaast zijn details over de bedrijven en hun infrastructuur gedeeld met andere onderzoekers, platformen en beleidsmakers. bron: https://www.security.nl

Nieuwe Europese regels die volgend jaar gaan gelden zorgen ervoor dat particulieren wettelijke garantie hebben bij goederen met een digitaal element, zoals IoT-apparatuur, digitale diensten, zoals streaming- en cloudopslagdiensten, en digitale content, zoals e-books en muziekbestanden. Bij digitale diensten en inhoud is er ook recht op wettelijke garantie wanneer er niet met geld voor wordt betaald, maar met persoonsgegevens. Door de regels zijn leveranciers verplicht om ervoor te zorgen dat het product of dienst goed en veilig gedurende de normale levensduur is te gebruiken. "Aanbieders zijn daarom ook verplicht om updates te leveren. Dit moet zo lang als afgesproken en daarnaast zo lang als redelijk is. De aanbieder moet aangeven wanneer een update beschikbaar is en wat de gevolgen zijn als de consument de update niet installeert", aldus de Autoriteit Consument & Markt (ACM). Wanneer het gaat om diensten die doorlopend geleverd worden, zoals streaming- en cloudopslagdiensten, moeten die gedurende de hele gebruiksperiode goed functioneren. Bij problemen is de leverancier verplicht om die gratis op te lossen. Denkt de leverancier dat het probleem door de klant wordt veroorzaakt, dan zal hij dit het eerste jaar moeten bewijzen. De bewijslast voor de aanbieder is verlengd van 6 naar 12 maanden. Kan de aanbieder niet bewijzen dat de klant het probleem zelf heeft veroorzaakt, dan moet hij het alsnog oplossen. Bij doorlopende diensten heeft de aanbieder gedurende de gehele looptijd de bewijslast. Als hij niet kan bewijzen dat het probleem door de klant komt, moet hij het oplossen door reparatie, vervanging of geld terug te geven. "Het recht van consumenten op een goed werkend product is een basisregel binnen het consumentenrecht. Dit recht noemen we ook wel wettelijke garantie", zegt Edwin van Houten, directeur Consumenten van de ACM. "Dit recht geldt bij alle producten en straks ook voor digitale producten en diensten." De toezichthouder zal straks op de naleving van de nieuwe regels gaan handhaven en roept ondernemers op om zich al voor te bereiden. bron: https://www.security.nl

Een nieuwe kwetsbaarheid in Apache Log4j die deze week werd gevonden is veel ernstiger dan eerst werd gedacht. In eerste instantie leek het erop dat het beveiligingslek, aangeduid als CVE-2021-45046, alleen een denial of service (dos)-aanval mogelijk maakt. Nu blijkt dat remote code execution tot de mogelijkheden behoort, waardoor een aanvaller in bepaalde gevallen kwetsbare servers kan overnemen. Vorige week werd er werreldwijd gewaarschuwd voor een kritiek beveiligingslek in Log4j, dat inmiddels bekendstaat als Log4Shell en CVE-2021-44228. De impact van dit beveiligingslek werd op een schaal van 1 tot en met 10 met een 10.0 beoordeeld en werd verholpen met Log4j versie 2.15.0. Een aantal dagen later bleek dat deze versie het beveiligingslek CVE-2021-45046 bevatte. In bepaalde gevallen maakt dit het lek mogelijk voor aanvallers om een dos-aanval uit te voeren. De impact van deze kwetsbaarheid, verholpen in Log4j 2.16.0, is veel kleiner en werd beoordeeld met een 3.7. De impactscore is vandaag echter aangepast naar een 9.0, omdat in bepaalde niet-standaard configuraties remote code execution mogelijk is. Het grote beveiligingslek in Log4j van vorige week werd veroorzaakt doordat een aanvaller de logsoftware door middel van een message lookup kwaadaardige code kon laten downloaden en uitvoeren. Om dit te voorkomen werden in Log4j 2.15.0 remote verbindingen in message lookups, bijvoorbeeld een verbinding naar een server van de aanvaller, geblokkeerd. Verder werden message lookups standaard uitgeschakeld. Onderzoekers hebben nu ontdekt dat op andere plekken in de code van Log4j message lookups nog steeds mogelijk zijn, meldt securitybedrijf Lunasec. Daardoor kan een aanvaller kwetsbare servers nog steeds kwaadaardige code laten uitvoeren. Organisaties wordt dan ook aangeraden om te updaten naar versie 2.16.0. bron: https://www.security.nl

Google heeft besloten om Apache Log4j onafgebroken op nieuwe kwetsbaarheden te controleren. Hiervoor zet het techbedrijf de eigen fuzzingdienst genaamd OSS-Fuzz in. Ook gaat het techbedrijf werken aan het automatisch detecteren van Log4j-achtige kwetsbaarheden. Vijf jaar geleden lanceerde Google de gratis fuzzingdienst OSS-Fuzz, waar inmiddels meer dan vijfhonderd opensourceprojecten gebruik van maken. De dienst heeft de afgelopen jaren in deze projecten meer dan zevenduizend kwetsbaarheden gevonden. Bij fuzzing wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. Via OSS-Fuzz worden geselecteerde opensourceprojecten onafgebroken gecontroleerd en Google heeft samen met securitybedrijf Code Intelligence nu ook Log4j aan deze controle toegevoegd. Verder wil Google kwetsbaarheden zoals die in Log4j beter op geautomatiseerde wijze kunnen detecteren. Code Intelligence heeft inmiddels de eigen fuzzer genaamd Jazzer voorzien van de mogelijkheid om remote JNDI lookups te detecteren, wat de kwetsbaarheid in Log4j mogelijk maakte. "Kwetsbaarheden zoals Log4Shell zijn een eye-opener voor de industrie wat betreft nieuwe aanvalsvectoren. Met OSS-Fuzz en Jazzer kunnen we dit soort kwetsbaarheden nu detecteren, zodat ze kunnen worden verholpen voordat ze een probleem in productiecode worden", zegt Jonathan Metzman van het Google Open Source Security Team. bron: https://www.security.nl

Microsoft heeft een waarschuwing gepubliceerd voor de Log4j-kwetsbaarheid in de eigen producten, zoals Minecraft, Microsoft Defender for IoT en verschillende Azure-services. De afgelopen dagen kwam Microsoft al met meerdere blogpostings over het beveiligingslek, maar nu is er ook een security-advisory gepubliceerd. Volgens het techbedrijf heeft het nog geen misbruik van de kwetsbaarheid in de eigen zakelijke diensten waargenomen. "Onze securityteams analyseren onze producten en diensten om te begrijpen waar Apache Log4j wordt gebruikt. Het onderzoek is nog gaande, maar als we enige impact voor onze diensten identificeren of acties die klanten moeten nemen, zullen we dit laten weten", aldus Microsoft. In het overzicht van kwetsbare producten staan Minecraft Java Edition, Microsoft Defender for IoT, Events Hub Extension en Cosmos DB Kafka Connector. Verder worden gebruikers van Azure Spring Cloud, Azure Databricks en Azure DevOps opgeroepen om beschikbare updates te installeren of mitigatiemaatregelen door te voeren. bron: https://www.security.nl

De in 2015 opgerichte certificaatautoriteit Let's Encrypt voorziet inmiddels meer dan 260 miljoen websites van gratis tls-certificaten. Sinds de oprichting is het percentage websites dat via https wordt geladen gestegen van 40 procent naar 83 procent wereldwijd. In de Verenigde Staten gaat het zelfs om 92 procent. Dat laat ISRG-directeur Josh Aas weten in een eindejaarsbrief. De Internet Security Research Group (ISRG) is de organisatie achter Let's Encrypt. De ISRG is een non-profitorganisatie en honderd procent afhankelijk van donaties. "Wereldwijde impact vereist geen cheques van miljoenen dollars", merkt Aas op. Sinds 2015 hebben tienduizenden mensen aan het ISRG gedoneerd "Soms gaat het om drie dollar per maand. Dat heeft bij elkaar opgeteld voor 17 miljoen dollar gezorgd dat we hebben gebruikt om het internet voor bijna iedereen te veranderen." De ISRG-directeur zegt trots te zijn dat het een financieel efficiënte organisatie is die met een paar miljoen dollars per jaar diensten aan miljarden mensen levert. bron: https://www.security.nl

Criminelen hebben dit jaar honderdduizenden euro's weten te stelen door middel van de Phorpiex-malware die het clipboard van besmette computers aanpast. Dat meldt securitybedrijf Check Point op basis van geanalyseerde walletadressen. Phorpiex verspreidt zich via usb-sticks, freeware, phishingmails en malware die al op het systeem actief is. De Phorpiex-malware monitort vervolgens de inhoud van het clipboard. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. Phorpiex verandert het gekopieerde adres in dat van de aanvaller, zodat die het geld ontvangt. In totaal ondersteunt de malware meer dan dertig soorten cryptovaluta. De onderzoekers ontdekten verschillende wallets waar Phorpiex gebruik van maakt. In totaal bleek de malware alleen dit jaar al 969 cryptotransacties te hebben gekaapt voor een bedrag van bijna een half miljoen dollar. Gebruikers wordt dan ook aangeraden om goed op te letten wanneer ze een walletadres kopiëren en plakken. bron: https://www.security.nl

Een ernstig beveiligingslek in een populaire plug-in raakt zo'n twee miljoen WordPress-sites, hoewel het werkelijke aantal nog hoger kan liggen. All in One SEO for WordPress moet ervoor zorgen dat websites een betere ranking in zoekmachines krijgen. De plug-in is op meer dan drie miljoen websites geïnstalleerd. De plug-in bevat twee kwetsbaarheden waardoor een aanvaller in het ergste geval code op de server kan uitvoeren en de website kan overnemen, zo meldt WordPressbeveiliger Jetpack. Het gevaarlijkste beveiligingslek, CVE-2021-25036, heeft op een schaal van 1 tot en met 10 een impactscore van 9,9. Via de kwetsbaarheid kunnen gebruikers met low-privileged accounts, zoals abonnees, hun rechten verhogen en kwaadaardige code op de server uitvoeren. Het andere beveiligingslek, waarvan de impact met een 7,7 is beoordeeld, betreft geauthenticeerde SQL-injection. Gebruikers met een low-privileged account kunnen toegang tot vertrouwelijke data uit de database krijgen, zoals gebruikersnamen en gehashte wachtwoorden. De kwetsbaarheden zijn aanwezig in versie 4 van de plug-in en verholpen met versie 4.1.5.3 die vorige week uitkwam. Volgens statistieken heeft All in One SEO for WordPress meer dan drie miljoen actieve installaties. Zo'n zestig procent draait versie 4 van de plug-in. Van 29 procent wordt het versienummer niet vermeld. bron: https://www.security.nl

De kwetsbaarheid in Apache Log4j is negen minuten na de openbaarmaking van het beveiligingslek op 9 december voor het eerst misbruikt, zo stelt internetbedrijf Cloudflare. Inmiddels zijn de eerste ransomware-aanvallen via het lek waargenomen en maken ook statelijke actoren er misbruik van, aldus Microsoft. Afgelopen maandag meldde Cloudflare nog dat het eerste misbruik van de Log4j-kwetsbaarheid op 1 december was waargenomen. Eerder stelde Cisco dat het activiteit van aanvallers met betrekking tot het beveiligingslek op 2 december had gezien. Cloudflare heeft nu iets meer details gegeven en stelt dat het op 1 december alleen "beperkte tests" van de kwetsbaarheid heeft waargenomen. Het eerste daadwerkelijke waargenomen misbruik vond negen minuten na de openbaarmaking van de kwetsbaarheid plaats, toen een onderzoeker de details via Twitter en GitHub deelde. Volgens Cloudflare laat dit zien hoe snel aanvallers zich op nieuw gevonden kwetsbaarheden storten. Volgens antivirusbedrijf Bitdefender zijn de meeste Log4j-aanvallen gericht tegen Linux-servers, maar zijn er ook aanvallen tegen Windows-servers waargenomen. Bij deze aanvallen probeerden aanvallers de Khonsari-ransomware te installeren. Deze ransomware versleutelt allerlei bestanden op de server. Volgens securitybedrijf Cado Security is de ransomware zeer beperkt verspreid en is het onwaarschijnlijk dat veel organisaties erdoor zijn getroffen. Microsoft meldt via de eigen website dat inmiddels ook statelijke actoren uit China, Iran, Noord-Korea en Turkije van de Log4j-kwetsbaarheid gebruikmaken. Een Chinese groep genaamd Hafnium zou via het beveiligingslek niet nader genoemde virtualisatie-infrastructuur aanvallen. Verder stelt Microsoft dat ook meerdere criminele groepen het lek gebruiken om toegang tot systemen te krijgen en deze toegang mogelijk doorverkopen aan ransomwaregroepen. bron: https://www.security.nl

Mozilla heeft een aanpassing aan Firefox doorgevoerd die moet voorkomen dat vertrouwelijke data via het clipboard van Windows 10 lekt. Microsoft heeft in Windows 10 een nieuwe feature geïntroduceerd genaamd Cloud Clipboard. Wanneer deze feature staat ingeschakeld zal data in het clipboard naar de cloud worden gekopieerd, en wordt zo in bepaalde scenario's toegankelijk vanaf andere computers. "Ctrl+C in Windows 10 doet niet langer meer wat het deed in Windows 3.0", zegt Mozillas Sergey Galich. "Windows kan nu ook de gekopieerde data in de Clipboard History bewaren en die met meerdere apparaten synchroniseren." De feature kan bijvoorbeeld handig zijn wanneer er informatie van de ene computer naar de andere moet worden gekopieerd. "Het tijdelijke effect van Ctrl+C is niet langer tijdelijk", waarschuwt Galich. Hierdoor kan bijvoorbeeld een gekopieerd wachtwoord ongemerkt voor altijd in de lokale geschiedenis bewaard blijven. Daarnaast kan belangrijke gekopieerde data op het ene systeem een week later in het clipboard van dezelfde gebruiker, alleen dan vanaf een andere pc, nog steeds toegankelijk zijn. Hierdoor bestaat het risico dat gevoelige data van het ene systeem via andere apparaten lekt. Om ervoor te zorgen dat data in het clipboard lokaal en tijdelijk blijft, en niet wordt gedeeld met de Clipboard History of het Cloud Clipboard, maakt Firefox vanaf versie 94 gebruik van een specifiek clipboardformaat. Iets wat eerdere versies van de browser niet deden. De kwetsbaarheid (CVE-2021-38505) is ook in Firefox ESR en Thunderbird verholpen. bron: https://www.security.nl

Door een kwetsbaarheid in surveillancesoftware Proctorio was het mogelijk voor aanvallers om toegang tot onder andere de webcam en e-mailaccounts van gebruikers te krijgen. Eén muisklik op een verkeerde link zou voldoende zijn geweest, zo ontdekten beveiligingsonderzoekers Daan Keuper en Thijs Alkemade van it-bedrijf Computest. Verschillende Nederlandse universiteiten en hogescholen maken gebruik van Proctorio bij het afnemen van online tentamens en examens. De software monitort tijdens het examen continu de webcam, microfoon, webverkeer, beeldscherm, muis en keyboard. Studenten moet een browserplug-in installeren om de software te kunnen gebruiken. Proctorio is beschikbaar voor Microsoft Edge, Google Chrome, Opera en Brave. De Chrome-extensie was kwetsbaar voor Universal Cross-Site Scripting, zo ontdekten Alkemade en Keuper. In tegenstelling tot normale cross-site scripting, waarbij er misbruik wordt gemaakt van kwetsbare webapplicaties, maakt universal cross-site scripting misbruik van kwetsbaarheden binnen de browser. Hierdoor is het mogelijk om het gedrag van de browser aan te passen en bijvoorbeeld beveiligingsfeatures te omzeilen of uit te schakelen. Een aanvaller kan op deze manier niet alleen toegang tot een gecompromitteerde sessie van een kwetsbare webpagina krijgen, maar tot sessies van alle websites die op dat moment zijn geopend. Via de kwetsbaarheid in de Proctorio-extensie was het mogelijk voor een malafide website om toegang tot bijvoorbeeld de webcam van de gebruiker te krijgen. Zodra Proctorio actief wordt het extensie-icoon in de browserbalk groen. Door het versturen van een message was het echter mogelijk om het icoon weer grijs te maken, ook al bleef Proctorio gewoon draaien. In een analyse van de kwetsbaarheid laten de onderzoekers zien hoe ze toegang tot de webcam en Gmail-inbox van gebruikers kunnen krijgen, waarbij een enkele muisklik volstaat. Het beveiligingslek werd op 18 juni aan Proctorio gemeld. Op 25 juni liet het bedrijf weten dat de kwetsbaarheid was verholpen. Iets dat de onderzoekers op 3 augustus bevestigden. Google Chrome installeert automatisch updates voor geïnstalleerde extensies. Gebruikers hoeven dan ook geen actie te ondernemen. Wel adviseren de onderzoekers om extensies te verwijderen zodra ze niet langer nodig zijn. bron: https://www.security.nl

Tijdens de laatste patchdinsdag van 2021 heeft Microsoft een actief aangevallen zerodaylek in de Windows AppX Installer verholpen. Het beveiligingslek maakt spoofing mogelijk, waardoor een aanvaller kan aangeven dat een malafide applicatie bijvoorbeeld van Adobe of Microsoft afkomstig is. Een gebruiker zou nog wel moeten worden verleid om de app te installeren. Beveiligingsonderzoekers lieten eind november weten dat de Emotet-malware misbruik van het spoofinglek maakt. Zo werden er e-mails verstuurd die naar een pdf-document leken te wijzen. Bij het bekijken van de zogenaamde pdf werd er een applicatie aangeboden die van Adobe afkomstig leek, maar in werkelijkheid malware was. Naast het zerodaylek heeft Microsoft ook updates uitgebracht voor vijf kwetsbaarheden waarvan de details al voor het uitkomen van de patches openbaar waren. Er is volgens het techbedrijf echter geen misbruik van de beveiligingslekken gemaakt. Via de kwetsbaarheden kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen. Het gaat onder andere om een kwetsbaarheid in de Windows Print Spooler (CVE-2021-41333) waarin de afgelopen maanden meerdere beveiligingslekken werden aangetroffen. Vier andere kritieke kwetsbaarheden die de aandacht verdienen bevinden zich in Internet Storage Name Service (iSNS) server, Microsoft 4K Wireless Display Adapter, Visual Studio Code WSL en de Microsoft Office-app. Via deze beveiligingslekken is remote code execution mogelijk . De eerste drie kwetsbaarheden hebben een impactscore van 9,8 gekregen, het lek in de Office-app scoort een 9,6. In totaal heeft Microsoft dit jaar 887 CVE-kwetsbaarheden verholpen, een 29 procent afname ten opzichte van 2020, meldt het Zero Day Initiative. Dit is wel exclusief beveiligingslekken in Edge Chromium. De gisteren verschenen beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

In Apache Log4j is een nieuwe kwetsbaarheid gevonden waardoor het mogelijk is om denial of service (dos)-aanvallen uit te voeren tegen servers waarop Log4j draait. Afgelopen maandag verscheen er al een beveiligingsupdate voor de kwetsbaarheid (CVE-2021-45046), waarvan de impact veel kleiner is dan het beveiligingslek (CVE-2021-44228) dat vorige week uitgebreid in het nieuws kwam en aanvallers de controle over kwetsbare servers kan geven. Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 3,7 beoordeeld en is aanwezig in alle Log4j-versies van 2.0-beta9 tot en met 2.12.1 en 2.13.0 tot en met 2.15.0. Beheerders wordt aangeraden om te updaten naar Log4j versie 2.12.2 of 2.16.0 die afgelopen maandag verscheen. In Log4j 2.16.0 staat toegang tot de Java Naming and Directory Interface (JNDI) API standaard aangeschakeld en moeten JNDI-lookups expliciet worden ingeschakeld. Verder is de message lookups feature volledig verwijderd en is de toegang tot protocollen standaard beperkt. bron: https://www.security.nl

De Apache Software Foundation heeft een nieuwe versie van log4j2 uitgerold waarin JNDI standaard staat uitgeschakeld en de ondersteuning van Message Lookups volledig is verwijderd. Log4j2 is een populaire logging-library die door een groot aantal Java-applicaties wordt gebruikt. Log4j kan verschillende soorten lookups uitvoeren, onder andere via de Java Naming and Directory Interface (JNDI) API. Via deze Java-API is het mogelijk voor een Java-applicatie om data en resources op te vragen in de vorm van Java-objecten. In het geval van Log4j gebruikt de library de JNDI-API om via een serviceprovider, zoals LDAP (Lightweight Directory Access Protocol), informatie op te vragen die wordt gelogd. De kritieke kwetsbaarheid in Log4j, die de afgelopen dagen uitgebreid in het nieuws is geweest, zorgt ervoor dat het mogelijk is voor een aanvaller om Log4j, via de JNDI, een kwaadaardig Java-object vanaf bijvoorbeeld een LDAP-server te laten downloaden dat vervolgens op de aangevallen applicatie- of loggingserver wordt uitgevoerd. Daarmee kan een aanvaller de server compromitteren. "De meeste mensen geven log4j de schuld dat het JNDI in de eerste plaats had toegevoegd en/of leggen de schuld bij een gebrek aan support voor het project waardoor dergelijk gevaarlijk gedrag zo eenvoudig toegankelijk was", zegt onderzoeker Jeff Dileo van securitybedrijf NCC Group. Hij denkt dat een van de ontwikkelaars ooit heeft besloten om JNDI als "enterprise" feature toe te voegen. In log4j2 versie 2.16.0 staat JNDI standaard uitgeschakeld en is de support voor lookups in messages volledig verwijderd. Daarmee wordt voorkomen dat een aanvaller log4j de opdracht kan geven om via de JNDI malafide code te laden en uit te voeren. bron: https://www.security.nl