Captain Kirk

Gebruikers van een verouderde versie van Internet Explorer zijn het doelwit van aanvallen geworden waarbij hun systeem met malware werd besmet die wachtwoorden, creditcardgegevens en cookies buitmaakt. Dat meldt antivirusbedrijf Bitdefender in een analyse. De malware wordt RedLine Stealer genoemd en is in staat om inloggegevens uit Google Chrome, Mozilla Firefox en Opera te stelen, waaronder opgeslagen wachtwoorden en creditcardgegevens, browsercookies en auto-fill content. Verder kan de malware data van cryptowallet-extensies stelen, inloggegevens en chatlogs van Telegram en Discord, inloggegevens voor het Steam-platform, vpn-wachtwoorden voor NordVPN, OpenVPN en ProtonVPN, FTP-inloggegevens die in FileZilla zijn opgeslagen en tekst uit specifieke bestanden. De RedLine-malware zou sinds 2020 worden aangeboden en kan op verschillende manieren worden verspreid. Begin dit jaar detecteerde Bitdefender naar eigen zeggen een campagne waarbij gebruik werd gemaakt van de RIG-exploitkit. Deze exploitkit kan gebruikers met een ongepatchte versie van Internet Explorer automatisch met de Redline-malware infecteren. Dit gebeurt via CVE-2021-26411, een kwetsbaarheid in IE waarvoor Microsoft op 9 maart 2021 een beveiligingsupdate uitbracht. Het marktaandeel van Internet Explorer is al jaren aan het afnemen. Hoe succesvol de campagne was is dan ook onbekend. Gebruikers worden door Bitdefender opgeroepen hun software up-to-date te houden. bron: https://www.security.nl

Er was geen kritieke kwetsbaarheid aanwezig in VirusTotal waardoor remote code execution mogelijk is, zoals beveiligingsonderzoekers claimen. Dat laat Bernardo Quintero van VirusTotal via Twitter weten. VirusTotal is een online virusscandienst van Google waar gebruikers verdachte bestanden door zo'n zeventig verschillende antivirus-engines kunnen laten controleren. Deze week liet securitybedrijf Cysource weten dat remote code execution via het VirusTotal-platform mogelijk was. Via een kwetsbaarheid in ExifTool, software voor het bekijken en aanpassen van metadata in allerlei soorten bestanden, zou een aanvaller willekeurige code op het systeem kunnen uitvoeren als er een malafide afbeelding wordt geopend. Het gaat hier om een bekend beveiligingslek (CVE-2021-22204) waarvoor begin vorig jaar een update verscheen. De onderzoekers claimden dat ze via deze kwetsbaarheid commando's op het VirusTotal-platform konden uitvoeren en toegang tot vijftig hosts met hoge rechten hadden. Cysource stelt daarnaast dat ze het probleem vorig jaar april aan Google rapporteerden. Het techbedrijf zou de bugmelding ruim een maand later in juni hebben gesloten Volgens Cysource was VirusTotal begin januari van dit jaar niet meer kwetsbaar en liet Google het toe om over het beveiligingslek te publiceren. Via Twitter haalt Quintero uit naar de onderzoekers. Hij stelt dat het via de kwetsbaarheid niet mogelijk was om code op het VirusTotal-platform uit te voeren, maar er alleen controle over ongepatchte third-party antivirus toolboxes kon worden verkregen. Het ging hier niet om systemen van VirusTotal. Iets wat de onderzoekers wisten, aldus Quintero. Daarnaast klopt ook de tijdslijn niet die de onderzoekers noemen, zo laat hij verder weten. Cysource heeft nog niet op de kritiek van VirusTotal gereageerd en ook de eigen blogpost niet aangepast. bron: https://www.security.nl

Firepower-firewalls van Cisco bevatten verschillende kwetsbaarheden waardoor een aanvaller een denial of service kan veroorzaken. Een ongeauthenticeerde aanvaller kan zo op afstand apparaten laten herstarten, ervoor zorgen dat er geen nieuwe verbindingen meer mogelijk zijn of dat al het verkeer dat via de firewall gaat wordt gedropt. De impact van de vijf beveiligingslekken in de Cisco Firepower Threat Defense Software, aangeduid als CVE-2022-20767, CVE-2022-20760, CVE-2022-20757, CVE-2022-20751 en CVE-2022-20746, is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. Het is al een half jaar geleden dat er kwetsbaarheden met een impactlabel "high" in de Firepower-software is aangetroffen. De problemen worden veroorzaakt door het niet goed verwerken van TCP-flows, het niet goed omgaan met platformlimieten, het niet goed verwerken van inkomende requests, geheugenmanagement voor bepaalde Snort-events en regels voor de dns-reputatie. Voor zover bekend wordt er nog geen misbruik van de beveiligingslekken gemaakt. Cisco heeft updates beschikbaar gemaakt om de problemen te verhelpen. bron: https://www.security.nl

Microsoft heeft verschillende kwetsbaarheden in Linux gevonden waardoor een lokale aanvaller root kan worden. De beveiligingslekken, samen aangeduid als "Nimbuspwn", werden gevonden tijdens onderzoek naar services die als root draaien. Daarbij werd een vreemd patroon gezien in een systemd unit genaamd networkd-dispatcher. Networkd-dispatcher is een daemon die veranderingen in netwerkverbindingen van systemd-networkd bijhoudt. Systemd-networkd is een system daemon voor het beheer van netwerkconfiguraties. Het detecteert en configureert netwerkapparaten. Networkd-dispatcher luistert naar signalen van systemd-networkd. Afhankelijk van deze signalen worden scripts uitgevoerd die zich in bepaalde directories bevinden en als root worden uitgevoerd. Twee kwetsbaarheden maken het mogelijk voor een aanvaller om deze scripts te vervangen, waardoor zijn code als root wordt uitgevoerd. Via CVE-2022-29799, een path traversal kwetsbaarheid, is het mogelijk om uit de etc/networkd-dispatcher directory te ontsnappen. CVE-2022-29800 is een time-of-check-time-of-use (TOCTOU) race condition. Er zit een bepaalde tijd tussen het vinden van de scripts die moeten worden uitgevoerd en het daadwerkelijk uitvoeren ervan. Via de kwetsbaarheden kan een aanvaller de scripts vervangen waarvan networkd-dispatcher denkt dat ze van root zijn door scripts die dat niet zijn. De networkd-dispatcher zal deze scripts vervolgens als root uitvoeren. De aanval is alleen in bepaalde gevallen mogelijk, aldus Microsoft-onderzoeker Jonathan Bar Or. Zo moet de aanvaller een specifieke busnaam kunnen gebruiken, iets wat volgens de onderzoeker bij bijvoorbeeld Linux Mint het geval is. Microsoft waarschuwde de maintainer van networkd-dispatcher die inmiddels updates heeft uitgebracht. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarmee dertig beveiligingslekken in de browser worden verholpen en het nu mogelijk is om opmerkingen aan opgeslagen wachtwoorden toe te voegen. Enige tijd geleden introduceerde Google al de mogelijkheid om handmatig wachtwoorden aan de wachtwoordmanager toe te voegen. Door de nieuwe optie kunnen gebruikers opgeslagen wachtwoorden van allerlei opmerkingen voorzien, zoals wanneer het wachtwoord is opgeslagen of aanvullende informatie over de betreffende website of account. De feature werd begin dit jaar al aan een testversie van Chrome toegevoegd, maar is nu binnen de standaardversie beschikbaar. Gebruikers moeten die nog wel zelf inschakelen door middel van de flag "chrome://flags#password-notes". Verder zijn met Chrome 101.0.4951.41 voor Linux, macOS en Windows dertig kwetsbaarheden verholpen. De maximale impact van de beveiligingslekken is beoordeeld als "high". In deze gevallen kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Beveiligingsonderzoeker SeongHwan Park, die een kwetsbaarheid in de Vulkan graphics API ontdekte die Chrome kan gebruiken voor het weergeven van webcontent, kreeg voor zijn bugmelding 10.000 dollar van Google. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Dit kan echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

OpenSSL zou vandaag met beveiligingsupdates komen, maar de ontwikkelaars hebben besloten dit te verschuiven naar dinsdag 3 mei. Een reden is niet gegeven. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Vandaag zou OpenSSL met beveiligingsupdates komen voor één of meerdere kwetsbaarheden met een maximale impact van "Moderate". Het gaat dan om problemen als crashes in client-applicaties, kwetsbaarheden in minder populaire protocollen en lokale kwetsbaarheden. Dergelijke kwetsbaarheden worden meestal privé gehouden en in een volgende geplande release verholpen. Daarbij probeert OpenSSL meerdere kwetsbaarheden met deze impact tegelijkertijd te verhelpen. Voor kritieke beveiligingslekken komt OpenSSL wel met een aparte update. Matt Caswell van het OpenSSL Project Team laat vandaag op de mailinglist van OpenSSL weten dat besloten is om de release van OpenSSL 3.0.3 en 1.1.1o te verschuiven naar dinsdag 3 mei. bron: https://www.security.nl

Het Tor Project, de organisatie verantwoordelijk voor het Tor-netwerk, was naar eigen zeggen niet goed toegerust om malafide servers in het Tor-netwerk te vinden. Ook erkent de organisatie dat het het Tor-netwerk de afgelopen jaren niet goed genoeg op malafide servers heeft gemonitord. Eén aanvaller kon daardoor maanden en mogelijk zelfs jaren zijn gang gaan. Later dit jaar komt er een nieuwe Tor Browser die als "game-changer" in de strijd tegen malafide servers moet dienen. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het verleden zijn er verschillende incidenten met malafide exitnodes geweest die man-in-the-middle-aanvallen op gebruikers uitvoerden. Eén aanvaller die achter deze malafide exitnodes zat wordt KAX17 genoemd. Eind december vorig jaar meldde een onderzoeker dat KAX17 sinds 2017 zowel entry guard-, middle relay- als exit-servers aan het Tor-netwerk heeft toegevoegd, waardoor hij Tor-gebruikers zou kunnen ontmaskeren. Volgens de onderzoeker hadden Tor-gebruikers een kans van 16 procent om met een guard-server van KAX17 verbinding te maken en zelfs een kans van 35 procent om met een middle relay-server te verbinden. Volgens het Tor Project kon deze aanvaller dankzij het eigen falen van de organisatie maanden en mogelijk zelfs jaren op het Tor-netwerk actief zijn. Hiervoor geeft het Tor Project verschillende redenen. Zo werd het Tor-netwerk niet goed genoeg op malafide servers gemonitord. Daarnaast vereist het vinden en verwijderen van malafide servers een vertrouwensband tussen alle betrokken partijen, namelijk vrijwilligers, Tor-personeel en directory authorities. Dat vertrouwen was niet altijd aanwezig, wat voor frustraties zorgde en het vinden en verwijderen van malafide servers nog lastiger maakte. De belangrijkste reden die het Tor Project echter geeft is dat het niet als een organisatie is opgezet om malafide server effectief te vinden en verwijderen. Zo ontbraken er middelen om de detectie te verbreden en het relaybeleid, netwerkmonitoring, contact met de community te verbeteren. Volgens het Tor Project verdienen de organisatorische tekortkomingen een aparte vermelding. Game-changer Het afgelopen jaar heeft het Tor Project naar eigen zeggen de coördinatie en organisatie om malafide servers te vinden verbeterd en zijn er ook nieuwe tools ontwikkeld. Dit zou het een stuk lastiger voor aanvallers hebben gemaakt om malafide servers aan het Tor-netwerk toe te voegen. Later dit jaar verschijnt er met Tor browser 11.5 een nieuw wapen tegen malafide servers, dat volgens het Tor Project een echter game-changer zal zijn. Bij deze versie zal de HTTPS-Only-mode namelijk standaard zijn ingeschakeld. Hierdoor maakt de browser standaard alleen verbinding met https-sites. Dit zou moeten voorkomen dat malafide exitnodes man-in-the-middle-aanvallen op Tor-gebruikers kunnen uitvoeren. Volgens het Tor Project neemt dit de prikkel voor aanvallers weg om via malafide servers dergelijke aanvallen uit te voeren. Verder verwacht het Tor Project veel van de verbeterde monitoring en het opbouwen van een sterke "relay community" om malafide servers tegen te gaan. bron: https://www.security.nl

Onderzoekers hebben malware ontdekt die beveiligingscamera's van fabrikant Merit Lilin via een twee jaar oude kwetsbaarheid weet te infecteren. De malware wordt BotenaGo. Een eerste variant beschikte over meer dan dertig exploits om routers van verschillende fabrikanten over te nemen. Recentelijk ontdekten onderzoekers van Nozomi Networks een nieuwe variant die het specifiek heeft voorzien op beveiligingscamera's van Lilin. Eenmaal actief zoekt de malware naar andere camera's en probeert vervolgens standaardwachtwoorden zoals admin, 1234 en root om in te loggen. Vervolgens gebruikt de malware een twee jaar oude kwetsbaarheid die remote code execution mogelijk maakt. In 2020 kwam Merit Lilin met firmware-updates voor verschillende kwetsbaarheden. De impact van deze beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. CVE-nummers werden niet door de fabrikant gegeven. Volgens Merit Lilin waren er destijds meer dan dertienduizend van de kwetsbare camera's in omloop. De firmware-update zorgt er onder andere voor dat gebruikers de standaard gebruikersnaam en wachtwoord na de update moeten aanpassen (pdf). Bij kwetsbare camera's zal de malware uiteindelijk een variant van de Mirai-malware installeren. Mirai kan besmette apparaten onder andere inzetten voor het uitvoeren van ddos-aanvallen. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP zijn doorbeveiligingslekken in Netatalk kwetsbaar voor aanvallen. Netatalk is een vrije, opensource-implementatie van het Apple Filing Protocol (AFP) en maakt het mogelijk voor Unix-achtige besturingssystemen om als fileserver voor Macs te fungeren. Eind vorige maand kwam het Netatalk-ontwikkelteam met een nieuwe versie waarin meerdere kwetsbaarheden zijn verholpen. Netatalk wordt ook gebruikt door QTS, QuTS hero en QuTScloud, de besturingssystemen die op NAS-systemen van QNAP draaien. Vier van de beveiligingslekken in Netatalk (CVE-2022-0194, CVE-2022-23121, CVE-2022-23122 en CVE-2022-23125) maken het mogelijk voor ongeauthenticeerde aanvallers om code op kwetsbare QNAP-systemen uit te voeren. QNAP heeft de impact van de beveiligingslekken als "high" bestempeld. De NAS-fabrikant stelt dat de kwetsbaarheden al zijn verholpen in QTS 4.5.4.2012 build 20220419 en nieuwer. Voor andere versies van de besturingssystemen worden nog beveiligingsupdates ontwikkeld. Wanneer die precies zullen verschijnen is nog onbekend. Als tijdelijke oplossing wordt het uitschakelen van AFP aangeraden. bron: https://www.security.nl

De Amerikaanse overheid heeft een waarschuwing afgegeven dat aanvallers actief misbruik maken van het Dirty Pipe-lek in Linux. Via het lek kan een lokale gebruiker rootrechten krijgen. Overheidsinstanties in de VS zijn opgedragen om het beveiligingslek voor 16 mei in hun systemen te verhelpen. De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de onveilige interactie tussen een Linux-bestand, dat permanent op de harde schijf wordt opgeslagen, en een Linux-pipe, wat een databuffer in het geheugen is die als een bestand is te gebruiken. Wanneer een gebruiker een pipe heeft om naar toe te schrijven en een bestand waarbij dit niet kan, dan kan het schrijven naar het geheugenbuffer van de pipe onbedoeld ook de gecachte pagina's van verschillende delen van het schijfbestand aanpassen. Hierdoor wordt de aangepaste cachebuffer door de kernel terug naar de schijf geschreven en de inhoud van het opgeslagen bestand permanent aangepast, ongeachte de permissies van het bestand. Een lokale gebruiker kan zo een SSH-key aan het root-account toevoegen, een rootshell aanmaken of een cronjob toevoegen die als backdoor draait en een nieuw gebruikersaccount met rootrechten toevoegt, maar ook het aanpassen van bestanden buiten een sandbox is mogelijk. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. Met de laatste update zijn erin totaal zeven nieuw aangevallen kwetsbaarheden aan de lijst toegevoegd. Het gaat naast het Dirty Pipe-lek in Linux ook om vier kwetsbaarheden in Windows waardoor een lokale aanvaller zijn rechten kan verhogen. Voor één van deze beveiligingslekken (CVE-2022-26904) kwam Microsoft twee weken geleden met een update. Volgens Microsoft werd het lek op het moment dat de patch uitkwam nog niet aangevallen. Dat is inmiddels veranderd, aldus het CISA, wat wederom aangeeft hoe snel aanvallers misbruik van geopenbaarde kwetsbaarheden maken. bron: https://www.security.nl

Het Britse National Cyber Security Centre (NCSC) heeft vorig jaar een variant van de spionagemalware SparrowDoor op een niet nader genoemd Brits netwerk aangetroffen. Vandaag is een analyse van de variant gepubliceerd, die onder andere nu gegevens uit het clipboard kan stelen. Daarnaast zijn er indicators of compromise en Yara-rules beschikbaar gemaakt waarmee organisaties de malware binnen hun eigen netwerk kunnen detecteren. De eerste versie van SparrowDoor werd ontdekt door antivirusbedrijf ESET en zou onder andere tegen hotels wereldwijd zijn ingezet, alsmede tegen overheden. De aanvallers maakten gebruik van kwetsbaarheden in Microsoft Exchange, Microsoft SharePoint en Oracle Opera om bij organisaties in te breken. Getroffen organisaties bevonden zich onder andere in Canada, Israël, Frankrijk, Saudi-Arabië, Taiwan, Thailand en het Verenigd Koninkrijk. Wat het exacte doel van de aanvallers is liet ESET niet weten. Het Britse NCSC zegt dat het vorig jaar op een Brits netwerk een variant van SparrowDoor heeft aangetroffen. Deze versie kan data uit het clipboard stelen en controleert aan de hand van een hardcoded lijst of bepaalde antivirussoftware draait. Ook kan deze variant bij het opzetten van netwerkverbindingen het user account token imiteren. Waarschijnlijk wordt deze "downgrade" uitgevoerd om niet op te vallen, wat wel zo zou kunnen zijn als het bijvoorbeeld netwerkcommunicatie onder het SYSTEM-account zou uitvoeren. Een andere nieuwe eigenschap is het kapen van verschillende Windows API-functies. Wanneer de malware van "API hooking" en "token impersonation" gebruikmaakt is niet duidelijk, maar volgens het Britse NCSC maken de aanvallers bewuste operationele security-beslissingen. Verdere details over het aangevallen netwerk of wie erachter de malware zit worden niet gegeven. bron: https://www.security.nl

Het inloggen met een gebruikersnaam en wachtwoord is de meest onveilige vorm van authenticatie. Organisaties die hun accounts beter willen beschermen doen er dan ook verstandig aan om sterkere authenticatiemethoden te kiezen, zoals tweefactorauthenticatie (2FA) en de FIDO2-standaard van de FIDO Alliance. Dat stelt het Nationaal Cyber Security Centrum (NCSC) in een nieuwe factsheet genaamd "Volwassen authentiseren". Volgens het NCSC zijn accounts met verhoogde rechten binnen een systeem, zoals beheerdersaccounts, steeds vaker het doelwit van aanvallen. "Gezien deze ontwikkeling is het extra belangrijk om accounts op een gepaste manier te beveiligen. Het Cybersecuritybeeld Nederland 2021 onderschrijft het belang van goede authenticatie en laat zien dat het dreigingsniveau voor zwakke authenticatie hoog is", zo waarschuwt de overheidsdienst. Die adviseert dan ook sterkere authenticatiemethodes zoals 2FA. Niet alle vormen van 2FA zijn hetzelfde. Zo laat de factsheet weten dat tweefactorauthenticatie waarbij gebruik wordt gemaakt van een sms of e-mail de minst veilige 2FA-vorm zijn. Een aanvaller zou de via e-mail of sms verstuurde inlogcodes namelijk kunnen onderscheppen. Het gebruik van biometrische gegevens als tweede veiligheidslaag is minder gevoelig voor een dergelijke aanval, maar is onderhevig aan wetten en regels omtrent privacy zoals de Algemene verordening gegevensbescherming (AVG), aldus het NCSC. Verder adviseert de overheidsdienst om onderscheid tussen verschillende accounts te maken op basis van het bijbehorende risico. High-impact accounts, zoals die van beheerders, vereisen een andere beveiliging dan bijvoorbeeld gastaccounts. Organisaties kunnen op basis van een risicobeoordeling hun accounts indelen in low - medium - en high impact accounts. Vervolgens zijn de accounts met behulp van het volwassenheidsmodel voor authenticatie op een gepaste manier te beveiligen. Afsluitend raadt de factsheet aan om een maximaal aantal toegestane inlogpogingen per tijdseenheid in te stellen voor alle clients. Daarnaast zouden medewerkers zicht moeten hebben op hun inloggeschiedenis, zodat ze verdachte activiteiten sneller kunnen opmerken en rapporteren. bron: https://www.security.nl

Microsoft kwam op 12 april met een beveiligingsupdate voor een kritieke kwetsbaarheid in Windows en een mitigatie-advies dat organisaties zou moeten beschermen, maar dit advies is niet volledig en nu verwijderd. Via het beveiligingslek in de Remote Procedure Call (RPC) runtime library kan een aanvaller zonder enige interactie van gebruikers controle over systemen krijgen. De kwetsbaarheid is in theorie te misbruiken door een computerworm. De impact van de kwetsbaarheid, aangeduid als CVE-2022-26809, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Naast het installeren van de update adviseerde Microsoft als mitigatie om tcp-poort 445 op de perimeter-firewall te blokkeren, aangezien deze poort wordt gebruikt om verbinding met het kwetsbare Windows-onderdeel te maken. Door poort 445 te blokkeren worden systemen achter de firewall beschermd. Iets wat volgens Microsoft de beste bescherming is tegen aanvallen vanaf het internet. In een update van het beveiligingsbulletin laat Microsoft weten dat de aangeraden mitigatie niet tegen alle potentiële aanvalsscenario's bescherming biedt. Het mitigatie-advies "Block TCP port 445 at the enterprise perimeter firewall" is dan ook verwijderd. Volgens Microsoft gebruikte de onderzoeker die de kwetsbaarheid rapporteerde SMB als aanvalsvector om het lek in de RPC-service te misbruiken. Het advies om poort 445 te blokkeren zou in dit geval effectief zijn. "Hoewel het blokkeren van poorten 139 en 445 (SMB) op de perimeter-firewall een aanbevolen practice is, beschermt het niet tegen alle aanvalsscenario's voor deze specifieke kwetsbaarheid", laat Microsoft weten. Het techbedrijf is op dit moment niet bekend met andere specifieke aanvalsvectoren voor deze kwetsbaarheid. Verder stelt Microsoft dat het blokkeren van tcp-poort 135 op de firewall een aanbevolen practice is die ook de kans verkleint op potentiële andere aanvallen die van het genoemde Windows-lek misbruik maken. bron: https://www.security.nl

Google heeft onder druk van meerdere nationale Europese privacytoezichthouders een aanpassing doorgevoerd aan de keuze die het internetgebruikers biedt voor het weigeren van cookies. Voortaan is het mogelijk om via één klik alle cookies van Google te accepteren of te weigeren. De aanpassing is al doorgevoerd voor Franse YouTube-gebruikers en zal binnenkort voor alle Europese Google-gebruikers beschikbaar worden. De nieuwe optie volgt op gesprekken en specifieke aanwijzingen van de Franse privacytoezichthouder CNIL. Volgens Google moest het vanwege de nieuwe weigerknop de manier aanpassen waarop cookies werken op Google-sites en aanpassingen aan belangrijke Google-infrastructuur doorvoeren. Naast het weigeren of accepteren van alle cookies zullen gebruikers ook hun keuze kunnen verfijnen. bron: https://www.security.nl

Microsoft heeft het updatebeleid van Exchange Server aangepast en zal voortaan twee keer per jaar een cumulative update (CU) uitbrengen in plaats van één elk kwartaal. Ook wordt erop verzoek van klanten geen cumulative update meer in december uitgebracht. Volgens Microsoft vonden klanten het elk kwartaal uitbrengen van een cumulative update te frequent. Cumulative updates bevatten bugfixes, nieuwe features en alle eerder uitgekomen beveiligingsupdates voor Exchange. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie wel een bepaalde cumulative update (CU) hebben geïnstalleerd. Klanten klaagden dat het lastig was om hun Exchange Server met een recente CU-versie up-to-date te houden. Daarnaast werd aangegeven dat december geen goede maand is voor het uitbrengen van een cumulative update. Dit was ook de reden dat Microsoft afgelopen december geen CU uitbracht. Destijds werd er echter geen reden gegeven. Vanwege de feedback is besloten twee keer per jaar een cumulative update uit te rollen, één in de eerste helft van het jaar en de ander in de tweede helft. Daarbij richt Microsoft zich op releases in april en oktober, maar dit kan afhankelijk van de update veranderen. De volgende CU zal in de tweede helft van 2022 verschijnen en alleen voor Exchange Server 2019 uitkomen, aangezien de mainstream-ondersteuning van Exchange Server 2013 en 2016 is gestopt. Microsoft stelt dat het elke zes maanden uitbrengen van een cumulative update voor sommige updates te lang is. In deze gevallen zal Microsoft met hotfixes komen. Wat betreft de ondersteuning van Exchange Server moeten servers de laatste of een na laatste CU hebben om beveiligingsupdates te blijven ontvangen. bron: https://www.security.nl

Versleutelde e-maildienst ProtonMail gaat nauwer samenwerken met het Tor Project, zodat de apps en diensten die het aanbiedt beter werken met het Tor-netwerk. Het Tor Project biedt bedrijven en organisaties die Tor binnen hun eigen product willen integreren een apart "lidmaatschapsprogramma". Via het programma kan er toegang worden verkregen tot een adviesgroep en wordt er informatie gedeeld over nog in ontwikkeling zijnde projecten. Sponsoren kunnen uit drie verschillende lidmaatschappen kiezen. Het goedkoopste lidmaatschap kost tussen de 10.000 en 50.000 dollar. Voor het tweede lidmaatschap moet tussen de 50.000 en 100.000 dollar worden betaald en "Shallot Onion" leden mogen jaarlijks 100.000 dollar of meer afrekenen. Alle lidmaatschappen bieden toegang tot de adviesgroep en webinars. Het verschil zit in de bijkomende promotie vanuit het Tor Project. ProtonMail heeft gekozen voor het goedkoopste lidmaatschap. "Dit laat ons nauwer met het Tor Project-team werken en de ervaring van de Proton web-apps over Tor verbeteren", zegt Proton-ceo Bart Butler. Als onderdeel van de samenwerking zijn er grote aanpassingen doorgevoerd aan de Tor-site van ProtonMail en zijn er Tor-sites voor Proton Calendar en Proton Drive gelanceerd. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het verleden zijn er verschillende incidenten met malafide exitnodes geweest die aanvallen op gebruikers uitvoerden. Tor biedt daarnaast de mogelijkheid voor het hosten van websites, de zogeheten onion-sites, die alleen vanaf het Tor-netwerk toegankelijk zijn. Er is een verschil tussen het gebruik van Tor Browser om een website op het 'normale' internet te bezoeken en het apart hosten van een onion-site op het Tor-netwerk die via Tor Browser wordt bezocht. In het eerste geval waarbij de 'normale' website via Tor Browser wordt bezocht is er nog altijd het risico van de exitnode. Door een website op het Tor-netwerk zelf te starten wordt dit risico weggenomen, omdat het verkeer op het Tor-netwerk blijft. bron: https://www.security.nl

Browserontwikkelaar Opera heeft de standaardversie van Opera voorzien van een nieuwe ingebouwde cryptowallet waarmee gebruikers hun cryptovaluta kunnen beheren. De wallet was eerst alleen beschikbaar in de Opera Crypto Browser, die specifiek voor cryptogebruikers is ontwikkeld. Volgens Opera moet de cryptowallet het gebruik van cryptovaluta voor mensen eenvoudiger maken en voor een toekomstbestendige "Web 3.0 browser" zorgen. Opera beschikte al over een ingebouwde cryptowallet, maar de nieuwe cryptowallet moet voor een betere web 3.0- en crypto-ervaring zorgen. Het gaat om een non-custodial cryptowallet die netwerkondersteuning voor Ethereum en Polygon biedt. Zo is het mogelijk om Ethereum te kopen, maar ook Matic- en Ethereum-tokens te kopen, versturen of om te wisselen. Daarnaast maakt de nieuwe wallet het mogelijk om zonder extensies direct met Ethereum en Polygon dApps verbinding te maken. DApps zijn gedecentraliseerde apps die autonoom kunnen opereren. De nieuwe wallet is beschikbaar in Opera 86. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP zijn kwetsbaar door verschillende beveiligingslekken in Apache HTTP Server. Beveiligingsupdates zijn nog niet beschikbaar, maar worden wel ontwikkeld, zo laat QNAP in een advisory weten. De Apache Software Foundation kwam op 14 maart met Apache httpd 2.4.53, waarmee meerdere kwetsbaarheden worden verholpen. Twee van deze beveiligingslekken zijn ook aanwezig in de software die op QNAP-systemen draait. Via deze kwetsbaarheden kan een aanvaller in theorie een buffer overflow veroorzaken of heap memory met eigen data overschrijven. QNAP meldt dat het de twee kwetsbaarheden aan het onderzoeken is en zo snel mogelijk met beveiligingsupdates komt. In de tussentijd zijn er mitigaties om de problemen te verhelpen. bron: https://www.security.nl

Vorig jaar telde Google een recordaantal zerodaylekken waar actief misbruik van werd gemaakt. En hoewel detectie en bekendmaking van dergelijke kwetsbaarheden beter wordt doen softwareontwikkelaars volgens Google nog te weinig om het vinden en gebruiken van zerodays lastig te maken. Zerodays zijn kwetsbaarheden waar actief misbruik van wordt gemaakt en waarvoor nog geen beveiligingsupdate beschikbaar is. In totaal noteerde Google vorig jaar 58 zerodays in verschillende producten, waaronder het eigen Android en Chrome, maar ook iOS en Safari. Van de beveiligingslekken waren er 39, oftewel 67 procent, memory corruption kwetsbaarheden. Dergelijke kwetsbaarheden zijn al decennia de standaard voor het aanvallen van software en zijn nog steeds manier waarop aanvallers succes hebben. Het gaat dan om type kwetsbaarheden als use-after-free, buffer overflows en integer overflows. "Als industrie maken we zerodays niet lastig", zegt Maddie Stone van Google. Aanvallers hebben volgens haar nog steeds succes met dezelfde soort kwetsbaarheden die eerder zijn gebruikt en in onderdelen die eerder als aanvalsoppervlak zijn besproken. Volgens Stone moet het doel zijn dat aanvallers elke keer dat er een zeroday-exploit wordt ontdekt helemaal opnieuw moeten beginnen. Iets wat nog altijd niet het geval is. Daarnaast vermoedt Stone dat er softwareleveranciers zijn die verzwijgen dat er misbruik van een zerodaylek in hun software wordt gemaakt. "Totdat we zeker zijn dat alle leveranciers actief misbruik melden, blijft het een grote vraag hoeveel actief misbruikte zerodaylekken zijn ontdekt, maar niet door leveranciers zo worden genoemd." Verder stelt Stone dat de meeste mensen zich geen zorgen hoeven te maken dat ze zelf het doelwit van een zeroday-aanval worden, maar dat dergelijke aanvallen ons uiteindelijk allemaal raken. "Deze zerodays hebben een grote impact op de samenleving en we moeten dus blijven doen wat we kunnen om het lastiger voor aanvallers te maken met deze aanvallen succesvol te zijn." Eerder berichtte Security.NL in dit achtergrondartikel dat er vorig jaar een recordaantal zerodaylekken is waargenomen. bron: https://www.security.nl

Oracle heeft tijdens de patchronde van dit kwartaal een recordaantal van 520 kwetsbaarheden in meerdere producten verholpen. Niet eerder kwam het bedrijf in één keer met patches voor zoveel beveiligingslekken. De impact van drie van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Zeventig kwetsbaarheden hebben een impactscore van 9.8. Via dergelijke lekken is het mogelijk voor aanvallers om zonder authenticatie systemen op afstand over te nemen. De meeste kwetsbaarheden, 149 in totaal, zijn verholpen in producten die onder Oracle Communications vallen. Verder zijn er 54 kwetsbaarheden in Oracle Fusion Middleware gepatcht. Het gaat onder andere om Oracle HTTP Server en Oracle WebLogic Server. Dit laatste product is in het verleden geregeld het doelwit van aanvallen geweest, waarbij aanvallers kwetsbaarheden kort na het uitkomen van de update misbruikten. Oracle adviseert organisaties vanwege de dreiging van een succesvolle aanval om de beveiligingsupdates zo snel mogelijk te installeren. Het bedrijf blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Oracle brengt niet maandelijks maar elk kwartaal updates uit. De volgende patchronde staat gepland voor 19 juli 2022. bron: https://www.security.nl

De Amerikaanse overheid heeft opnieuw gewaarschuwd voor een kwetsbaarheid in de Windows Print Spooler waar aanvallers actief misbruik van maken. Eind maart werd een zelfde waarschuwing voor een ander beveiligingslek in het Windowsonderdeel gegeven. De kwetsbaarheid, aangeduid als CVE-2022-22718, bevindt zich in de Windows Print Spooler en maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Het beveiligingslek alleen is niet voldoende om een systeem over te nemen. Microsoft rolde op 8 februari een update voor het probleem uit en meldde toen dat er geen misbruik van werd gemaakt. Dat is inmiddels veranderd, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Kwetsbaarheden in de Windows Print Spooler zijn in het verleden vaker gebruikt bij aanvallen. Een ander lek in de Print Spooler waarvoor op 8 februari een patch verscheen, CVE-2022-21999, werd eerder al bij aanvallen ingezet. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. In het geval van CVE-2022-22718 moeten Amerikaanse overheidsinstanties deze kwetsbaarheid voor 10 mei in hun systemen hebben verholpen. bron: https://www.security.nl

QNAP adviseert eigenaren van een NAS-systeem om UPnP port forwarding voor het apparaat op de router uit te schakelen. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren. Aangezien het bedoeld is om op lokale, vertrouwde netwerken te worden gebruikt implementeert het UPnP-protocol standaard geen enkele vorm van authenticatie of verificatie. Volgens QNAP is UPnP geen veilig protocol. "Het gebruikt netwerk UDP-multicasts, geen encryptie en geen authenticatie. Aangezien UPnP niet geauthenticeerd is, kan één apparaat port mapping voor een ander apparaat aanvragen. Hackers kunnen UPnP misbruiken om via malafide bestanden aanvallen uit te voeren, je systeem te infecteren en controle te krijgen", zo stelt de NAS-fabrikant. Eigenaren van een QNAP-NAS worden aangeraden om het apparaat achter een router en firewall te houden zonder publiek ip-adres. "Je moet handmatige port forward en UPnP port forwarding voor de QNAP NAS in je routerconfiguratie uitschakelen", aldus het advies. Volgens QNAP kunnen gebruikers beter de myQNAPcloud Link-service gebruiken voor het benaderen van hun NAS-systeem. Wel stelt de fabrikant dat de snelheid hierbij lager ligt, omdat het verkeer via de servers van QNAP gaat. Verder wordt gebruikers aangeraden om de vpn-server op hun router in te schakelen wanneer het nodig is om het NAS-systeem vanaf het internet te bereiken. bron: https://www.security.nl

Meer dan honderd verschillende modellen Lenovo-laptops met wereldwijd miljoenen gebruikers zijn kwetsbaar voor aanvallers omdat de fabrikant naar eigen zeggen 'per ongeluk' firmware-drivers aan de BIOS-image heeft toegevoegd. Daardoor kan een aanvaller beveiligingsmaatregelen van het SPI-flashgeheugen en de Secure Boot-feature uitschakelen, zo meldt antivirusbedrijf ESET dat de kwetsbaarheden ontdekte. De aanval is mogelijk doordat Lenovo verschillende drivers die worden gebruikt tijdens het productieproces 'per ongeluk' aan de productie BIOS-images heeft toegevoegd. Daarnaast zijn deze drivers niet voldoende gedeactiveerd. Een aanvaller die bijvoorbeeld via malware toegang tot het systeem heeft kan deze drivers activeren en vervolgens de bescherming van het SPI-flashgeheugen uitschakelen. Ook is het mogelijk om Secure Boot uit te zetten. Verder zou een aanvaller zo UEFI-malware in het SPI-flashgeheugen van het moederbord kunnen installeren die lastig te detecteren en verwijderen is. ESET waarschuwde Lenovo op 11 oktober vorig jaar. Gisteren kwam Lenovo met BIOS-updates en een security-advisory. Vandaag heeft ESET de details van de kwetsbaarheden (CVE-2021-3970, CVE-2021-3971 en CVE-2021-3972) openbaar gemaakt. bron: https://www.security.nl

Onderzoekers hebben een nieuwe zero-click iMessage-exploit ontdekt die is gebruikt om iPhones van Catalanen met de Pegasus-spyware te infecteren. Dat meldt Citizen Lab, een onderdeel van de universiteit van Toronto dat onderzoek doet naar het gebruik van politieke macht in cyberspace. Ook doet het veel onderzoek naar het gebruik van spyware tegen activisten, journalisten en dissidenten. Citizen Lab heeft naar eigen zeggen 63 Catalaanse personen geïdentificeerd die met de Pegasus-spyware van de NSO Group zijn geïnfecteerd. Het gaat om leden van het Europees Parlement, Catalaanse presidenten, wetgevers, juristen en leden van maatschappelijke organisaties. In sommige gevallen werden ook familieleden met de spyware geïnfecteerd. Volgens de onderzoekers zijn erbij de aanvallen die van 2017 tot en met 2020 plaatsvonden verschillende zero-click iMessage-exploits gebruikt. Deze exploits maken gebruik van kwetsbaarheden in iMessage waarbij er geen enkele interactie van het slachtoffer is vereist. Een aanvaller hoeft in dit geval alleen het telefoonnummer of Apple ID-gebruikersnaam van het slachtoffer te kennen om de iPhone met spyware te infecteren. Eén van de exploits waarvan gebruik werd gemaakt was niet eerder waargenomen en wordt door de onderzoekers Homage genoemd. Deze exploit zou eind 2019 zijn ingezet tegen iPhones met iOS 13.1.3 en ouder. Er zijn geen aanvallen tegen nieuwere iOS-versies waargenomen, waardoor de onderliggende kwetsbaarheid mogelijk in iOS 13.2 is verholpen, aldus de onderzoekers. Citizen Lab heeft de exploit bij Apple gemeld, alsmede forensische sporen gedeeld. Op dit moment zijn er volgens de onderzoekers geen aanwijzingen dat gebruikers met een up-to-date iPhone risico lopen. Naast het gebruik van iMessage werden slachtoffers ook geïnfecteerd via een kwetsbaarheid in WhatsApp en sms-berichten met malafide links. Citizen Lab kan niet met volle zekerheid zeggen wie erachter de aanvallen zit, maar stelt wel dat er een sterk verband is met de Spaanse overheid. De onderzoekers merken op dat het onderzoek naar de besmette telefoons arbeidsintensief is en van veel meer personen de toestellen niet zijn gecontroleerd. Daarnaast hebben de onderzoekers met de door hun gebruikte onderzoeksmethodes minder inzicht in Androidbesmettingen, terwijl er veel meer Androidgebruikers in de Catalaanse regio zijn. Er wordt dan ook vermoed dat het werkelijke aantal slachtoffers vele malen hoger is. Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid. bron: https://www.security.nl

Verschillende blockchain- en cryptobedrijven zijn de afgelopen jaren het doelwit geworden van een door Noord-Korea gesponsorde advanced persistent threat (APT)-groep die hierbij besmette applicaties inzet, zo claimen de FBI, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Amerikaanse ministerie van Financiën. De groep wordt Lazarus genoemd, maar staat ook bekend als APT38, BlueNoroff en Stardust Chollima. Volgens de Amerikaanse autoriteiten heeft de groep sinds tenminste 2020 aanvallen uitgevoerd tegen cryptobeurzen, decentralized finance (DeFi)-protocollen, videogames waarmee cryptovaluta zijn te verdienen, cryptovaluta-handelsbedrijven, durfinvesteerders die in cryptovaluta investeren en personen die over grote hoeveelheden cryptovaluta en waardevolle non-fungible tokens (NFTs) beschikken. Voor het uitvoeren van de aanvallen maakt de APT-groep gebruik van social engineering via verschillende communicatieplatformen, waarbij personen worden verleid om getrojaniseerde cryptovaluta-applicaties voor macOS en Windows te downloaden. Via deze besmette programma's krijgen de aanvallers toegang tot het systeem van het slachtoffer en kunnen daarvandaan het verdere netwerk compromitteren. Uiteindelijk proberen de aanvallers frauduleuze blockchain-transacties uit te voeren, aldus de waarschuwing van de overheidsinstanties. Aangezien de aanvallers veel gebruikmaken van social engineering is het volgens de FBI en het CISA belangrijk om personeel over spearphishing te informeren. Zo doen de aanvallers zich bijvoorbeeld voor als recruiters en gebruiken e-mail en socialmediaplatformen om een vertrouwensband met het slachtoffer op te bouwen, voordat ze malafide documenten versturen. "Werknemers die cybersecurity aware zijn, zijn één van de beste verdedigingen tegen socialengineeringtechnieken zoals phishing", zo laten de overheidsinstanties verder weten. Ook wordt gewaarschuwd om voorzichtig te zijn met third-party downloads en dan met name het downloaden van cryptovaluta-applicaties. Gebruikers moeten hun downloads dan ook altijd controleren en zeker weten dat het bestand van een betrouwbare bron afkomstig is en niet van een derde leverancier. "Aanvallers laten steeds zien dat ze applicaties van malware kunnen voorzien om zo toegang tot systemen te krijgen", melden de FBI en het CISA, die tevens een reeks technische beveiligingsmaatregelen adviseren. bron: https://www.security.nl