Captain Kirk

Google heeft voor de eerste keer dit jaar een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Chrome. Net als bij vorige updates geeft Google geen details over de doelwitten van deze aanvallen en hoe ze precies plaatsvinden. Vorig jaar kreeg Google nog met een recordaantal zerodaylekken in Chrome te maken. Het beveiligingslek, aangeduid als CVE-2022-0609, bevindt zich in het "Animations" onderdeel van de browser. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Het lek werd gevonden door Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Naast het aangevallen zerodaylek zijn in de nieuwste Chrome-versie ook verschillende andere kwetsbaarheden verholpen, waarvan de impact maximaal als "high" is bestempeld. Gebruikers krijgen het advies om te updaten naar Google Chrome 98.0.4758.102, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen. bron: https://www.security.nl

De Duitse hackersclub CCC (Chaos Computer Club) heeft tijdens eigen onderzoek meer dan vijftig datalekken gevonden waarbij onderzoekers toegang tot meer dan 6,4 miljoen persoonsgegevens hadden. Het zou ook gaan om een datalek bij het Nederlandse ministerie van Volksgezondheid. De gegevens, onder andere van klanten, passagiers, sollicitanten en patiënten, waren eenvoudig te vinden, aldus de CCC. Het ging onder andere om onbeveiligde MySQL-servers en Elasticsearch-installaties, alsmede publiek toegankelijke Git-repositories en Symfony-profilers, een PHP-ontwikkeltool. Naast persoonsgegevens troffen de onderzoekers ook private keys en access tokens voor clouddiensten aan. Bij de helft van de onbeveiligde diensten en systemen was het direct mogelijk om persoonsgegevens te benaderen. De CCC waarschuwde de getroffen instanties, waarvan driekwart de hackersclub bedankte en gevonden problemen verhielp. Tien procent reageerde niet maar verhielp het probleem wel. "Het is ontnuchterend hoe onzorgvuldig sommige bedrijven met hun data, of erger, met de data van hun klanten omgaan", zegt CCC-woordvoerder Matthias Marx. De CCC doet verschillende aanbevelingen voor het beveiligen van gegevens, zoals het veilig omgaan met access tokens voor clouddiensten. Ook wordt aangeraden om testsystemen niet vanaf het internet toegankelijk te maken en niet met echte gebruikersgegevens te testen. Verder horen back-ups, logbestanden en gevoelige configuratiebestanden niet in openlijke toegankelijke directories van webservers te staan. Onder de getroffen organisaties bevinden zich het Nederlandse ministerie van Volksgezondheid, BMW, Deutsche Bahn, Deutsche Post, Deutsche Telekom, de Duitse Krijgsmacht, MediaMarkt en Nestle, zo blijkt uit het overzicht date de CCC online zette. Details over het soort datalek bij deze organisaties zijn niet gegeven. bron: https://www.security.nl

Adobe heeft beveiligingsupdates uitgebracht voor een actief aangevallen zerodaylek in Adobe Commerce, dat eerder nog bekendstond als Magento Commerce. Dezelfde kwetsbaarheid is ook verholpen in Magento Open Source. Adobe Commerce en Magento Open Source zijn software waarop honderdduizenden webshops draaien. Volgens Adobe hebben aanvallers misbruik gemaakt van een kwetsbaarheid in beide softwarepakketten, aangeduid als CVE-2022-24086. Het beveiligingslek is gebruikt bij "zeer beperkte gericht aanvallen" tegen webwinkels die op Adobe Commerce draaien. Het niet goed controleren van invoer is de oorzaak van de kwetsbaarheid, wat een aanvaller willekeurige code laat uitvoeren. Hierdoor is het mogelijk om de webshop over te nemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Zo heeft een aanvaller geen inloggegevens nodig. Adobe adviseert webshopbeheerders om de beveiligingsupdate zo snel mogelijk te installeren, waarbij Adobe als voorbeeld een installatie binnen 72 uur geeft. bron: https://www.security.nl

Nu al bijna 20 jaar rookvrij. Maar blijft soms lastig. Van toen stevige roker naar in één keer gestopt. Nog steeds blij dat ik gestopt ben.

Google mag third-party trackingcookies in Chrome pas na toestemming van de Britse mededingsautoriteit CMA verwijderen, zo laat de toezichthouder vandaag weten. De CMA startte begin vorig jaar een onderzoek naar het plan van Google om third-party cookies in Chrome te verwijderen en te vervangen door een 'Privacy Sandbox'. Volgens de waakhond kan Googles plan grote gevolgen voor nieuwswebsites en de digitale advertentiemarkt hebben. In 2019 kondigde Google de 'Privacy Sandbox' aan, een oplossing waarbij gebruikers gerichte advertenties te zien krijgen, maar ook hun privacy zou worden beschermd. Volgens het techbedrijf zijn third-party cookies de voornaamste manier om internetgebruikers op het web te volgen. Vanwege de privacygevolgen hiervan zijn verschillende browsers inmiddels begonnen met het blokkeren van third-party cookies. Iets dat volgens Google negatieve gevolgen voor adverteerders heeft en het businessmodel van websites ondermijnt. Toch stelt het bedrijf dat deze functionaliteit uiteindelijk moet worden verwijderd, maar dit op een verstandige manier moet gebeuren. Als oplossing presenteerde Google de Privacy Sandbox. Die zou ervoor moeten zorgen dat websites geld aan gerichte advertenties kunnen blijven verdienen terwijl gelijkertijd de privacy van gebruikers wordt beschermd. De CMA maakte zich zorgen dat de voorstellen van Google er uiteindelijk voor zouden zorgen dat meer online advertentie-uitgaven bij het techbedrijf terecht zouden komen en de concurrentie zou worden verzwakt. Ook zouden de voorstellen de mogelijkheid ondermijnen van online uitgevers, zoals kranten, om inkomsten te genereren en content te blijven publiceren, wat het nieuwsaanbod zou aantasten. Op basis van het onderzoek en overleg met Google hebben de CMA en het techbedrijf een akkoord over de Privacy Sandbox bereikt. Google zal third-party cookies pas mogen verwijderen wanneer de Britse mededingingsautoriteit tevreden is dat de mededingszorgen die het heeft zijn weggenomen. Wanneer de CMA niet tevreden is kan het verdere acties ondernemen. Verder zal Google de CMA en Britse privacytoezichthouder ICO bij de ontwikkeling en het testen van Privacy Sandbox-voorstellen betrekken, om er zo voor te zorgen dat die zowel de concurrentie als privacy beschermen. Tevens zal Google transparanter werken, onder andere in het publiceren van testresultaten. Daarnaast houdt de CMA de mogelijkheid om Google te verplichten gevonden problemen te verhelpen. Google moet ook het delen van data binnen het eigen ecosysteem beperken zodat het geen voordeel ten opzichte van de concurrentie heeft wanneer third-party cookies uiteindelijk worden verwijderd. Als laatste wordt er een partij aangewezen die naast de CMA zal werken en ervoor gaat zorgen dat Google aan alle verplichtingen voldoet. Google laat in een reactie weten dat het hoopt dat de nu aangekondigde plannen en werkwijze tot een nieuwe framework zullen leiden. bron: https://www.security.nl

De populaire adblocker uBlock Origin heeft een nieuwe optie gekregen waardoor gebruikers netwerkverkeer meteen kunnen toestaan. Standaard blokkeert de adblocker dit namelijk, zo meldt ontwikkelaar Raymond Hill. UBlock maakt gebruik van filterlijsten voor het blokkeren van advertenties en trackers. Standaard blokkeert de adblocker al het netwerkverkeer totdat de filterlijsten zijn geladen. Dit moet ervoor zorgen dat websites adequaat worden gefilterd. De nieuwe instelling die aan uBlock Origin 1.41.0 is toegevoegd maakt het mogelijk om deze optie uit te schakelen. Dit heeft als voordeel dat gebruikers niet hoeven te wachten totdat de filterlijsten zijn geladen, maar kan er ook voor zorgen dat websites niet goed worden gefilterd, aldus Hill. UBlock Origin is beschikbaar voor Google Chrome, Chromium, Edge, Opera, Firefox en Safari voor versie 13. Zo heeft de Chrome-versie meer dan 10 miljoen gebruikers. Met meer dan 5,5 miljoen gebruikers is het de op één na meestgebruikte Firefox-extensie, achter Adblock Plus. Verder maken meer dan 4 miljoen Edge-gebruikers gebruik van de extensie. bron: https://www.security.nl

Ruim twintigduizend WordPress-sites zijn kwetsbaar door een lek in de plug-in PHP Everywhere waardoor aanvallers websites op afstand kunnen overnemen. PHP Everywhere is een plug-in voor WordPress-sites die het mogelijk maakt om PHP-code op onder andere pagina's, posts en de sidebar te gebruiken. De plug-in is op meer dan dertigduizend WordPress-sites geïnstalleerd. Drie kwetsbaarheden in de plug-in maken het mogelijk voor geauthenticeerde gebruikers van elk niveau, waaronder abonnees en klanten, om willekeurige PHP-code op de website uit te voeren en die zo over te nemen. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. De beveiligingslekken werden op 4 januari door securitybedrijf Wordfence aan de ontwikkelaar gerapporteerd. Op 12 januari kwam de ontwikkelaar met PHP Everywhere versie 3.0.0 waarin de drie kwetsbaarheden zijn verholpen. Uit cijfers van WordPress blijkt dat deze versie pas op een kleine 31 procent van de WordPress-sites is geïnstalleerd, wat inhoudt dat nog ruim twintigduizend WordPress-sites risico lopen. Beheerders wordt aangeraden om naar de nieuwste versie te updaten. bron: https://www.security.nl

Onderzoekers hebben honderden webwinkels ontdekt die via een kwetsbare plug-in besmet zijn geraakt met malware die creditcardgegevens van klanten steelt. Daarnaast blijkt dat de webshops niet alleen een kwetsbare plug-in gebruiken, maar ook op webwinkelsoftware draaien die al ruim anderhalf jaar niet meer wordt ondersteund. Dat meldt securitybedrijf Sansec op basis van eigen onderzoek. De webwinkels in kwestie maken gebruik van Magento, populaire software waarop honderdduizenden webshops draaien. De eerste versie van Magento wordt sinds juni 2020 niet meer ondersteund, waardoor ontdekte beveiligingslekken geen updates meer krijgen. Sansec ontdekte vorige meer dan vijfhonderd webwinkels, draaiend op Magento 1, die met malware waren geïnfecteerd. De cijfers worden bevestigd door anti-malwarebedrijf Malwarebytes. De malware steelt creditcardgegevens en andere klantdata die klanten op de betaalpagina invoeren. Verder onderzoek wees uit dat de aanvallers gebruikmaakten van een kwetsbaarheid in een plug-in genaamd Quickview. Deze plug-in laat klanten producten bekijken zonder de betreffende productpagina te openen. Via het beveiligingslek in de plug-in is het mogelijk om malafide Magento-beheerders aan de webshop toe te voegen, maar kan er ook code direct op de onderliggende server van de webwinkel worden uitgevoerd. Naast het toevoegen van malafide code aan de betaalpagina van de webwinkel die allerlei klantgegevens buitmaakt voegen de aanvallers ook een backdoor toe om toegang tot de webshop te behouden. Bij één webshop installeerde de aanvaller zelfs negentien backdoors, aldus de onderzoekers. Die merken op dat nog altijd duizenden webwinkels van Magento 1 gebruikmaken. bron: https://www.security.nl

QNAP heeft NAS-gebruikers vandaag opgeroepen om het SMBv1-protocol op NAS-systemen uit te schakelen en gasten geen toegang tot gedeelde mappen te geven. Aanleiding is een kritieke kwetsbaarheid in Samba waardoor een aanvaller op afstand willekeurige commando's op systemen kan uitvoeren. Samba is een opensourceprogramma dat van het SMB-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. De eerste versie van het SMB-protocol dateert van 1983. Microsoft deed in 2020 nog een oproep om te stoppen met het gebruik van SMBv1. NAS-systemen van QNAP ondersteunen het protocol nog, wat in combinatie met de nu ontdekte kwetsbaarheid in Samba een risico is. QNAP is nog bezig met een onderzoek naar het beveiligingslek en zegt zo snel mogelijk met beveiligingsupdates en verdere informatie te zullen komen. In de tussentijd wordt aangeraden om SMBv1 uit te schakelen en gasten geen toegang tot gedeelde mappen te geven. Dit is via het controlepaneel in te stellen. bron: https://www.security.nl

Goed nieuws voor slachtoffers van de Maze- en Egregor-ransomware. Iemand die claimt de ontwikkelaar van beide ransomware-exemplaren te zijn heeft de decryptiesleutels gedeeld waardoor slachtoffers hun bestanden kunnen ontsleutelen. Beveiligingsexperts hebben inmiddels bevestigd dat de sleutels werken. Tal van organisaties werden door de Maze-ransomware getroffen, waaronder Canon, it-dienstverlener Cognizant, accountantskantoor HLB Belgium, it-dienstverlener Conduent. De Maze-groep was ook één van de eerste ransomwaregroepen die bij slachtoffers gestolen data publiceerde als er geen losgeld werd betaald. Een tactiek die veel andere ransomwaregroepen later ook toepasten. De Egregor-ransomware maakte ook allerlei slachtoffers, waaronder uitzendbureau Randstad. Vorig jaar wisten de Oekraïense autoriteiten meerdere personen aan te houden die achter de Egregor-ransomware zouden zitten. Op het forum van Bleeping Computer heeft nu iemand, die claimt de ontwikkelaar van de beide ransomware-exemplaren te zijn, de decryptiesleutels gedeeld. Securitybedrijf Emsisoft heeft inmiddels met deze sleutels een gratis decryptietool gemaakt waarmee slachtoffers hun bestanden kunnen ontsleutelen. bron: https://www.security.nl

Een zeer kritieke kwetsbaarheid in de software van SAP maakt het mogelijk voor aanvallers om SAP-servers op afstand over te nemen, wat grote gevolgen voor organisaties en bedrijven kan hebben. SAP roept organisaties op om het beveiligingslek zo snel mogelijk te verhelpen. Misbruik is eenvoudig en vereist geen authenticatie. Het versturen van een speciaal geprepareerde http-request volstaat, aldus securitybedrijf Onapsis dat het probleem ontdekte. Het beveiligingslek, aangeduid als CVE-2022-22536, is aanwezig in de SAP Internet Communication Manager (ICM). ICM biedt een webserver voor alle SAP-producten die met internet verbonden moeten zijn of via http(s) met elkaar communiceren. Het is daardoor een belangrijk onderdeel van de SAP-stack. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. Door het versturen van een speciaal geprepareerd pakket naar een SAP-server kan een ongeauthenticeerde aanvaller gevoelige informatie stelen, zoals inloggegevens en andere sessie-informatie. Misbruik kan tot een volledige systeemovername leiden. SAP-applicaties worden voor allerlei bedrijfsprocessen gebruikt. Via de kwetsbaarheid is het mogelijk om SAP-applicaties en -servers te compromitteren. Dit kan leiden tot diefstal van gevoelige gegevens, financiële fraude, verstoring van cruciale bedrijfsprocessen, ransomware en uitval van alle bedrijfsoperaties, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. SAP heeft beveiligingsupdates uitgebracht voor de SAP Web Dispatcher, SAP Content Server en SAP NetWeaver. bron: https://www.security.nl

Windows Explorer heeft een optie om EXIF-data van media-bestanden te verwijderen, maar de optie werkt niet goed waardoor informatie achterblijft, zo stelt de Belgische beveiligingsonderzoeker Didier Stevens. Hij heeft Microsoft inmiddels over het probleem ingelicht. Via het exchangeable image file format (EXIF) worden er door het fototoestel of smartphone allerlei gegevens aan foto's toegevoegd. Het gaat dan om informatie zoals datum en tijd van de opname, merk en model van de camera, naam van de eigenaar van de camera, camera-instellingen zoals belichtingstijd, diafragmagetal, diafragma, brandpuntsafstand en gps-gegevens zoals de breedtegraad en lengtegraad. Fotografen kunnen deze informatie gebruiken om hun foto's bijvoorbeeld te organiseren of te doorzoeken. EXIF-data kan echter ook allerlei informatie over de fotomaker prijsgeven. Er zijn verschillende tools om EXIF-data uit afbeeldingen te verwijderen, maar Microsoft biedt zelf via Windows Explorer de mogelijkheid om persoonlijke informatie uit bestanden weg te halen. Op het eerste gezicht lijkt Windows Explorer deze gegevens ook te verwijderen, maar uit onderzoek van Stevens blijkt dat zaken als type camera en gebruikte software in het bestand achterblijven en via een binary editor zichtbaar zijn. "Als je echt zeker wilt zijn dat alle metadata uit je mediabestanden zijn verwijderd, gebruik voor het moment dan geen Windows Explorer. Gebruik een andere tool. Idealiter een tool die de segmenten met metadata volledig verwijdert", aldus de onderzoeker. bron: https://www.security.nl

Microsoft heeft tijdens de patchdinsdag van februari 51 kwetsbaarheden verholpen waarvan er geen enkele als kritiek is aangemerkt, en dat is een zeldzaamheid. Elke tweede dinsdag van de maand komt Microsoft met beveiligingsupdates voor Windows en andere software. De ernst van verholpen beveiligingslekken wordt ingedeeld in vier categorieën: low, moderate, important en critical. In het geval van een kritieke kwetsbaarheid kan een aanvaller zonder interactie van de gebruiker code op het systeem uitvoeren. Dergelijke beveiligingslekken zijn zeer ernstig en dienen dan ook snel te worden verholpen. Geen enkele van de deze maand verholpen kwetsbaarheden is als kritiek aangemerkt, wat bijzonder is. "Wat opvallend is aan deze release is het ontbreken van kritieke patches. Van de uitgegeven patches zijn er vijftig als important beoordeeld en één als moderate. Mogelijk dat het eerder is gebeurd, maar ik kan geen voorbeeld van een maandelijkse release van Microsoft vinden die niet minstens één kritieke patch bevat", zegt Dustin Childs van het Zero Day Initiative. Jon Munshaw van Cisco noemt het ontbreken van kritieke updates tijdens een patchdinsdag een "grote zeldzaamheid". Een lek in Windows DNS Server, CVE-2022-21984, heeft op een schaal van 1 tot en met 10 met een 8,8 de hoogste impactscore gekregen. Via deze kwetsbaarheid kan een aanvaller op afstand code uitvoeren. Het probleem doet zich alleen voor wanneer dynamic updates zijn ingeschakeld, wat niet standaard is. Een kwetsbaarheid in Microsoft Outlook for Mac maakt het mogelijk voor een aanvaller om de beveiliging van de e-mailsoftware te omzeilen en zo het ip-adres van de gebruiker te achterhalen. De beveiligingsupdates van februari zijn onder andere voor Windows, Microsoft Office, OneDrive, Teams, Windows Hyper-V, Visual Studio Code, Edge en Microsoft Dynamics. Geen van de deze maand verholpen kwetsbaarheden is voor zover bekend voor het uitkomen van de updates aangevallen. De installatie van de updates zal op de meeste systemen automatisch plaatsvinden. bron: https://www.security.nl

Mozilla heeft vandaag een nieuwe versie van Firefox uitgebracht waarin meerdere kwetsbaarheden zijn verholpen, waaronder een beveiligingslek dat een gebruiker systeemrechten kan geven. Het plan voor het automatisch downloaden van bestanden is uitgesteld naar de volgende Firefox-versie. Met Firefox 97 zijn een dozijn kwetsbaarheden in de browser verholpen. In de updater-service van de Windowsversie van Firefox zit een kwetsbaarheid, aangeduid als CVE-2022-22753, waardoor een gebruiker schrijftoegang tot een willekeurige directory kan krijgen. Hierdoor kan de gebruiker uiteindelijk systeemrechten krijgen. De impact van dit beveiligingslek is beoordeeld met "high". Dat geldt ook voor een andere kwetsbaarheid (CVE-2022-22754) in alle Firefox-versies waardoor een malafide extensie via een update allerlei nieuwe permissies kan krijgen, zonder dat de gebruiker het dialoogvenster te zien krijgt waarin om toestemming wordt gevraagd. Verder was Mozilla van plan om met Firefox 97 een aanpassing door te voeren waardoor bestanden automatisch worden gedownload, zonder dat gebruikers nog een dialoogvenster te zien krijgen. Deze aanpassing is nu doorgeschoven naar Firefox 98. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie of Mozilla.org. bron: https://www.security.nl

Vorig jaar besloot Google bij 150 miljoen mensen met een Google-account tweefactorauthenticatie (2FA) in te schakelen, wat tot vijftig procent minder gekaapte accounts bij deze groep heeft gezorgd, zo heeft het techbedrijf vandaag bekendgemaakt. Google gaat de beveiligingsmaatregel dit jaar bij meer gebruikers inschakelen. Gebruikers bij wie 2FA staat ingeschakeld moeten na het inloggen met gebruikersnaam en wachtwoord ook nog op een andere manier bewijzen dat ze de eigenaar van het account zijn. Dit kan op verschillende manieren, zoals het bevestigen van een Google-prompt op de telefoon. Tweefactorauthenticatie wordt alleen ingeschakeld bij Google-accounts die over het juiste back-upmechanisme beschikken om een "naadloze overstap" naar 2FA te maken, zo stelt het techbedrijf. Volgens Google spreekt de afname van het aantal gekaapte accounts boekdelen over de effectiviteit van een tweede verificatievorm in het beschermen van data en persoonlijke informatie. Het techbedrijf wil dat alle gebruikers uiteindelijk van 2FA gebruik zullen maken. "Schakel het in, of wij zullen het doen!", stelt Google. Bij hoeveel gebruikers de beveiligingsmaatregel dit jaar zal worden ingeschakeld laat het bedrijf niet weten. bron: https://www.security.nl

Microsoft gaat wegens malware- en ransomware-aanvallen macro's standaard in Office blokkeren waarbij gebruikers ze niet meer via een enkele muisklik kunnen inschakelen. Macro's laten gebruikers verschillende taken automatiseren. Het is echter ook mogelijk om via een macro code op het systeem uit te voeren en bijvoorbeeld malware te downloaden en installeren. Hier maken criminelen op grote schaal gebruik van. Veel grote ransomware-aanvallen, zoals die bij de Universiteit Maastricht, begonnen met een Office-document voorzien van een kwaadaardige macro. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's, maar gebruikers kunnen die met een enkele muisklik inschakelen. Vaak voegen aanvallers instructies voor het slachtoffer toe om macro's in te schakelen, bijvoorbeeld omdat dit nodig zou zijn om de inhoud van het document te bekijken. Om te voorkomen dat aanvallers op deze manier nog malware en ransomware kunnen verspreiden gaat Microsoft vanaf april een aanpassing in Access, Excel, PowerPoint, Visio en Word doorvoeren, zo heeft het bedrijf aangekondigd. Bij Office-documenten afkomstig van het internet zullen macro's op zo'n manier worden geblokkeerd dat die niet meer eenvoudig zijn te inschakelen. Office laat in dit geval een waarschuwing zien dat er sprake is van een beveiligingsrisico met een link naar een pagina die uitlegt waarom de macro is geblokkeerd. Op dit moment gebruikt Office bij de waarschuwing voor macro's nog de term "security warning". Dat zal straks "security risk" zijn. Ook is de kleur van de waarschuwing veranderd van geel naar rood. Gebruikers die macro's alsnog in het betreffende document willen inschakelen zullen hiervoor verschillende stappen moeten doorlopen. In voorbereiding op deze grote aanpassing roept Microsoft systeembeheerders en it'ers op om samen te werken met de eigen bedrijfsonderdelen die van macro's gebruikmaken, zoals de financiële afdeling, en met softwareleveranciers die met macro's in Office-bestanden werken. De aanpassing zal als eerste vanaf april in de previewversie (2203) van Office 2021, 2019, 2016 en 2013 worden doorgevoerd. In juni volgt de standaardversie, gevolgd door de Enterprise-versies in juli, september en januari 2023. bron: https://www.security.nl

Microsoft heeft besloten om de MSIX ms-appinstaller protocol handler in Windows wegens een actief aangevallen spoofinglek voorlopig uit te schakelen, wat gevolgen heeft voor organisaties en gebruikers die apps direct vanaf een webserver installeren of websites die dit aanbieden. De ms-appinstaller protocol handler laat gebruikers door het klikken op een link een applicatie installeren. Hierdoor is het niet langer nodig het volledige package te downloaden. Door het spoofinglek kan een aanvaller aangeven dat een malafide applicatie bijvoorbeeld van Adobe of Microsoft afkomstig is. Een gebruiker zou nog wel moeten worden verleid om de app te installeren. Volgens Microsoft maakt de Emotet/Trickbot/Bazaloader-malware misbruik van deze kwetsbaarheid. In december kwam het techbedrijf, in afwachting van de betreffende beveiligingsupdate, met een workaround. Nu heeft Microsoft besloten om de MSIX protocol handler uit te schakelen. Hierdoor kan de App Installer niet langer een app direct vanaf een webserver installeren. In plaats daarvan moeten gebruikers eerst de app downloaden om die vervolgens via de App Installer te installeren. Volgens Microsoft kan dit bij sommige packages voor een grotere downloadomvang zorgen. Daarnaast heeft de maatregel ook gevolgen voor met name grote organisaties. "We beseffen dat deze feature voor veel ondernemingen essentieel is", zegt Microsofts Dian Hartono. Er wordt daarom naast een update ook gekeken naar een Group Policy waardoor de feature weer op een veilige manier binnen organisaties is in te schakelen. Websites die van het ms-appinstaller protocol gebruikmaken wordt aangeraden om de link naar aangeboden applicaties aan te passen, zodat gebruikers het betreffende bestand gewoon downloaden. bron: https://www.security.nl

Tijdens de eerste patchdinsdag van dit jaar is Microsoft in eerste instantie vergeten te melden dat één van de verholpen kwetsbaarheden al voor het uitkomen van de update actief werd aangevallen. Een aantal dagen later werd de ontbrekende informatie alsnog toegevoegd. De Amerikaanse overheid heeft federale overheidsinstanties nu verplicht om het beveiligingslek voor 18 februari te patchen. Microsoft komt elke tweede dinsdag van de maand met beveiligingsupdates voor Windows en andere software. Daarbij wordt ook vermeld of er al misbruik van de kwetsbaarheid plaatsvindt. Er is dan sprake van een zerodaylek. Geregeld voegt Microsoft op latere momenten informatie aan de beveiligingsbulletins toe. Dat het vergeet te melden dat het om een actief aangevallen kwetsbaarheid gaat is een zeldzaamheid. De kwetsbaarheid in kwestie, aangeduid als CVE-2022-21882, bevindt zich in de Windows-kernel. Via het lek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en beheerder- of systeemrechten krijgen. De kwetsbaarheid werd door een Chinese beveiligingsonderzoeker met het alias b2ahex gevonden. Op 11 januari kwam Microsoft met een beveiligingsupdate voor het probleem. In de beschrijving liet het techbedrijven initieel weten dat er geen misbruik van het lek werd gemaakt. Twee dagen later meldde Microsoft dat dit wel het geval was. "Op het moment dat de informatie oorspronkelijk werd gepubliceerd was Microsoft bekend met beperkte, gerichte aanvallen die misbruik van deze kwetsbaarheid proberen te maken." Verdere details over deze aanvallen zijn niet gegeven. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een overzicht van actief aangevallen kwetsbaarheden bij die federale overheidsinstanties verplicht moeten patchen. Afgelopen vrijdag werd CVE-2022-21882 op deze lijst geplaatst en moeten overheidsinstellingen de betreffende update voor 18 februari hebben uitgerold. bron: https://www.security.nl

De LockBit-ransomware, die onder ander de Nederlandse defensie- en politieleverancier Abiom en de Brabantse logistiek dienstverlener Van der Helm Logistics infecteerde, alsmede consultancybedrijf Accenture, besmet geen systemen met een Oost-Europese taalinstelling, zo stelt de FBI in een nieuw document (pdf). LockBit 2.0 wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het document geeft de FBI geen informatie over de gebruikte aanvalsvectoren. Eenmaal actief probeert Lockbit eerst beheerdersrechten te verkrijgen. Dan kijkt de ransomware naar de ingestelde systeem- en taalinstellingen. "Als een Oost-Europese taal wordt gedetecteerd stopt het programma zonder infectie", zo laat de Amerikaanse opsporingsdienst weten. Wordt er een andere taal gedetecteerd, dan start de besmetting en verwijdert Lockbit logbestanden en shadow kopieën op de schijf en zoekt het onder andere remote shares en externe schijven om die te versleutelen. Om infectie te voorkomen adviseert de FBI het gebruik van sterke wachtwoorden en multifactorauthenticatie, het verwijderen van onnodige administrative shares, het up-to-date houden van systemen, het gebruik van een host-based firewall en het inschakelen van protected files in Windows om aanpassingen aan essentiële bestanden te voorkomen. Ook wordt aangeraden command-line en scriptingactiviteiten en -permissies uit te schakelen. bron: https://www.security.nl

In de volgende versie van Google Chrome is het niet langer meer mogelijk voor websites en webapplicaties om via http de batterijstatus van apparaten op te vragen. Via de Battery Status API kunnen webontwikkelaars onder andere zien hoe ver de batterij is opgeladen en of die op dat moment wordt opgeladen. "Het is een krachtige feature die er al meer dan tien jaar is, en daardoor oorspronkelijk met andere veiligheidsbeperkingen is ontwikkeld", stelt Google. Het techbedrijf is bezig om krachtige features binnen de browser, zoals de batterijstatus, niet meer vanaf het onveilige http toegankelijk te maken. Naast de batterijstatus gaat het ook om bijvoorbeeld geolocatie, AppCache en of het apparaat ligt of staat. Met de lancering van Chrome 99 zal de Battery Status API niet langer meer werken vanaf onveilige locaties, zoals http-pagina's of https-iframes op http-pagina's. Chrome 99 zou op 1 maart moeten uitkomen. bron: https://www.security.nl

Aanvallers maken gebruik van een zerodaylek in e-mailsoftware Zimbra voor het stelen van e-mails en bijlagen. Volgens securitybedrijf Volexity zijn de aanvallen gericht tegen Europese overheidsinstanties en mediabedrijven. Zimbra is een collaborative software suite die onder andere een mailserversoftware bevat en een webmailclient. Bij de nu waargenomen aanvallen versturen de aanvallers e-mails die een malafide link bevatten. Deze link maakt misbruik van een cross-site scripting (XSS)-kwetsbaarheid in Zimbra. Wanneer een op Zimbra ingelogde gebruiker deze link opent wordt er JavaScript geladen waarmee e-mails en bijlagen worden gestolen. De e-mails van de aanvallers, die in december werden verstuurd, hadden verschillende onderwerpen, variërend van kerstwensen tot berichten van Amazon en uitnodigingen voor gesprekken over mensenrechten. De onderzoekers waarschuwen dat de kwetsbaarheid meer mogelijk maakt dan alleen het stelen van e-mail. Zo kunnen cookies worden gestolen om toegang tot de mailbox te behouden, kan de aanvaller phishingmails naar contacten van de gebruiker versturen en is het mogelijk om een prompt te tonen waarin een download met malware wordt aangeboden. Volgens Volexity zijn Zimbra 8.8.15 P29 en P30 kwetsbaar. Het probleem lijkt niet aanwezig te zijn in versie 9.0.0 van de software. Zimbra claimt dat tweehonderdduizend bedrijven en meer dan duizend overheidsinstanties en financiële instellingen met de software werken. Een CVE-nummer en beveiligingsupdate zijn nog niet beschikbaar. Zimbra zou wel over het probleem zijn ingelicht en dit hebben bevestigd. bron: https://www.security.nl

GitHub gaat alle beheerders van belangrijke en populaire npm-packages verplichten om in te loggen door middel van tweefactorauthenticatie (2FA) en voor de honderd populairste npm-packages is dit inmiddels het geval. Met de maatregel wil GitHub, dat eigenaar van npm is, de veiligheid van de npm registry vergroten. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages. De afgelopen jaren verschenen geregeld malafide npm-packages in de registry. In 2020 bleek dat meer dan negentig procent van npm-ontwikkelaars geen 2FA gebruikte om het eigen account te beveiligen. Om alle "high-impact" npm-packages te beschermen moeten de maintainers en uitgevers van deze packages via 2FA gaan inloggen. Voor de Top 100-packages is dat inmiddels gedaan. Van maintainers die op dit moment geen 2FA gebruiken is de websessie ingetrokken. Ze zullen eerst 2FA moeten instellen voordat ze bepaalde acties met hun account kunnen uitvoeren, zoals het wijzigen van e-mailadressen en toevoegen van nieuwe maintainers. Voor alle andere high-impact packages zal de 2FA-verplichting vanaf 1 maart gaan gelden. bron: https://www.security.nl

Cisco heeft een waarschuwing gegeven voor verschillende kritieke kwetsbaarheden in vpn-routers waardoor aanvallers apparaten op afstand kunnen overnemen. De impact van twee van de beveiligingslekken is op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. Cisco heeft firmware-updates uitgebracht om de problemen te verhelpen. De in totaal vijftien kwetsbaarheden zijn aanwezig in de RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345 en RV345P. Twee van de beveiligingslekken, aangeduid als CVE-2022-20699 en CVE-2022-20700, hebben een impactscore van 10.0. CVE-2022-20699 zorgt ervoor dat een aanvaller door het versturen van een speciaal geprepareerd http-request naar een router die als ssl vpn-gateway is ingesteld willekeurige code als root kan uitvoeren. In het geval van CVE-2022-20700 bevindt de kwetsbaarheid zich in de webinterface. Een aanvaller kan hierdoor root worden en willekeurige commando's op de router uitvoeren. Cisco roept beheerders op om de beschikbare firmware-update te installeren. Update Volgens securitybedrijf Tenable zijn 8400 vpn-routers van Cisco via zoekmachine Shodan op internet te vinden. bron: https://www.security.nl

De cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies zijn in strijd met de AVG, zo heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald. De websites maken gebruik van het Transparency and Consent Framework (TCF) van het Interactive Advertising Bureau Europe (IAB Europe), de branchevereniging voor de advertentie-industrie. Het TCF is een veelgebruikt mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt, en dat een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB). Sinds 2019 heeft de GBA meerdere klachten ontvangen die gericht waren tegen IAB Europe en erover gingen of het TCF wel aan de AVG voldoet. Het TCF moet organisaties die gebruikmaken van het OpenRTB-protocol helpen bij het naleven van de AVG. Het OpenRTB-protocol is een van de meest gebruikte protocollen voor "Real Time Bidding", waarbij gebruikersprofielen worden geveild voor het verkopen en aankopen van online advertentieruimte. Wanneer gebruikers een website of applicatie bezoeken die advertentieruimte bevat, kunnen techbedrijven via RTB gerichte advertenties laten zien die specifiek zijn afgestemd op het profiel van de betreffende persoon. bron: https://www.security.nl

Onderzoekers hebben in de UEFI-firmware van verschillende computerleveranciers kwetsbaarheden ontdekt waardoor een aanvaller die al toegang tot het systeem heeft beveiligingsmaatregelen kan omzeilen en lastig te detecteren en verwijderen rootkits en backdoors kan installeren. De in totaal 23 kwetsbaarheden zijn aanwezig in de UEFI-firmware van Insyde, waar weer allerlei computerleveranciers van gebruikmaken. UEFI biedt een interface tussen het besturingssysteem en de firmware van het systeem. Voor het verwerken van systeembrede functies, zoals energiebeheer, maakt UEFI-software gebruik van de System Management Mode (SMM). De rechten van SMM, ook wel Ring 2 genoemd, zijn hoger dan de rechten van de kernel van het besturingssysteem (Ring 0). Door de kwetsbaarheden kan een aanvaller willekeurige code in SMM-mode uitvoeren. Hierdoor is het mogelijk om bijvoorbeeld malware te installeren die de herinstallatie van het besturingssysteem overleeft en het mogelijk maakt om antivirussoftware, Secure Boot en virtualisatie-gebaseerde isolatie te omzeilen. Om misbruik van de kwetsbaarheden te maken moet een aanvaller wel adminrechten op het aangevallen systeem hebben. Volgens securitybedrijf Binarly, dat de kwetsbaarheden ontdekte, zijn UEFI-implementaties van Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel en Bull Atos kwetsbaar. Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit meldt dat de kwetsbaarheden zijn bevestigd in de UEFI-implementaties van Fujitsu en Bull Atos, maar dat dezelfde software ook aanwezig is in de implementaties van veel andere leveranciers. Het CERT/CC heeft echter nog niet bevestigd dat deze andere leveranciers ook daadwerkelijk kwetsbaar zijn. Gebruikers wordt aangeraden om de laatste firmware-update van hun leverancier te installeren. bron: https://www.security.nl