Captain Kirk

Certificaatautoriteit Let's Encrypt heeft de Levchin-prijs gewonnen wegens de inzet voor encryptie. De prijs, bedacht door internetondernemer Max Levchin, wordt sinds 2015 elk jaar uitgereikt aan personen die zich hebben ingezet voor "real-world" crypto. Let's Encrypt geeft gratis tls-certificaten uit die websites gebruiken voor het opzetten van een versleutelde verbinding met bezoekers en identificatie. Sinds de lancering eind 2015 heeft Let's Encrypt meer dan 2,53 miljard certificaten uitgegeven en een belangrijke rol gespeeld bij de groei van het aantal https-sites. Op dit moment maken meer dan 280 miljoen websites gebruik van door Let's Encrypt uitgegeven certificaten, die negentig dagen geldig zijn, en worden er tussen de twee en drie miljoen certificaten per dag uitgegeven. In totaal wordt Let's Encrypt draaiende gehouden door slechts elf engineers en een klein team dat zich bezighoudt met het binnenhalen van sponsoring, communicatie en administratieve taken. "Dat zijn niet veel mensen voor een organisatie die honderden miljoenen websites wereldwijd bedient", zegt Josh Aas, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt. De certificaatautoriteit maakt zich klaar om uiteindelijk één miljard websites te kunnen bedienen. "Wanneer dat moment komt zal het team groter zijn, maar waarschijnlijk niet veel groter. Efficiëntie vinden we voor verschillende redenen belangrijk. De eerste is principe, we vinden het onze verplichting om met elke dollar die ons wordt toevertrouwd zoveel mogelijks goeds te doen. De tweede reden is noodzaak, het is niet eenvoudig om geld in te zamelen, en we moeten onze best doen om ons doel te bereiken met de middelen die we hebben", laat Aas verder weten. bron: https://www.security.nl

Aanvallers maken op dit moment actief misbruik van twee kwetsbaarheden in VMware Workspace One Access waarvoor op 6 april een beveiligingsupdate verscheen, zo laten VMware en de Amerikaanse overheid weten. Workspace One is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. Met de patch van 6 april werden meerdere kwetsbaarheden in de software verholpen. Op 13 april liet VMware weten dat aanvallers misbruik maken van CVE-2022-22954. Via deze kwetsbaarheid is het mogelijk voor een ongeauthenticeerde aanvaller om door middel van server-side template injection willekeurige code op het systeem uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Inmiddels blijkt dat ook een tweede kwetsbaarheid actief bij aanvallen tegen het Workspace One-platform worden ingezet. Het gaat om CVE-2022-22960. Via dit beveiligingslek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en root worden. Deze kwetsbaarheid is mogelijk door verkeerde permissies in de supportscripts. De impactscore van deze kwetsbaarheid bedraagt 7.8. Organisaties worden opgeroepen om hun installaties te updaten. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties opgeroepen om de beveiligingsupdate voor 6 mei uit te rollen. bron: https://www.security.nl

Microsoft heeft gebruikers van Office 2013 erop gewezen dat over precies een jaar de ondersteuning van de kantoorsoftware stopt. Office 2013 zal dan geen beveiligingsupdates meer ontvangen. De kantoorsoftware werd op 29 januari 2013 gelanceerd. Microsoft voorzag Office 2013 vijf jaar van mainstream support, die op 10 april 2018 eindigde. De extended support stopt op 11 april 2023. Gebruikers en organisaties die nog van Office 2013 gebruikmaken worden door Microsoft opgeroepen om naar een nieuwere Office-versie te upgraden en daar niet mee te wachten. Op 11 april 2023 stopt Microsoft ook de ondersteuning van Exchange 2013, SharePoint Server 2013, Visio 2013 en nog een aantal andere producten. bron: https://www.security.nl

Internetbedrijf Akamai, het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, de Britse gezondheidszorg en tal van beveiligingsexperts waarschuwen voor een kritieke Windows-kwetsbaarheid waarvoor Microsoft afgelopen dinsdagavond een beveiligingsupdate uitbracht. Het beveiligingslek, aangeduid als CVE-2022-26809, is aanwezig in de Remote Procedure Call (RPC) runtime library en kan een aanvaller zonder enige interactie van gebruikers controle over systemen geven. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 dan ook beoordeeld met een 9.8. Alle Windows-systemen waar poort 445 toegankelijk is en een kwetsbare RPC runtime library draait zijn kwetsbaar. Volgens zoekmachine Shodan is bij zo'n 730.000 Windows-machines poort 445 toegankelijk vanaf het internet. Censys komt op zo'n 824.000 machines uit. Microsoft geeft als mitigatie het blokkeren van tcp-poort 445 op de perimeter-firewall. Tcp-poort 445 wordt namelijk gebruikt om een verbinding met het kwetsbare Windows-onderdeel te maken. Door poort 445 te blokkeren worden systemen achter de firewall beschermd. Iets wat volgens Microsoft de beste bescherming is tegen aanvallen vanaf het internet. "Systemen binnen de enterprise perimeter kunnen echter nog steeds kwetsbaar zijn", aldus het techbedrijf, dat verwacht dat misbruik van de kwetsbaarheid zeer waarschijnlijk is. Internetbedrijf Akamai adviseert ook om tcp-poort 445 voor systemen buiten de enterprise perimeter te blokkeren. Om laterale bewegingen van aanvallers binnen het netwerk te beperken wordt aangeraden om inkomend verkeer voor tcp-poort 445 alleen toe te staan op machines waar het noodzakelijk is, zoals domeincontrollers, printservers en fileservers. Verder wordt opgeroepen de update te installeren. Het CISA kwam eerder al met een melding van de patchdinsdag van april, die ook de update voor de bovengenoemde kwetsbaarheid bevat. Vanwege de ernst van het beveiligingslek is de Amerikaanse overheidsdienst ook nog met een aparte waarschuwing gekomen. De Britse gezondheidszorg verwacht snel misbruik van de kwetsbaarheid en roept ziekenhuizen en andere zorginstellingen op om de patch snel te installeren en ook verschillende beveiligingsexperts slaan op Twitter Twitter alarm over het lek, dat in theorie tot een computerworm kan leiden. bron: https://www.security.nl

Een kwetsbaarheid in de Wireless LAN Controller van Cisco maakt het mogelijk om met zelfgemaakte inloggegevens als beheerder in te loggen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met 10.0. Het probleem wordt volgens Cisco veroorzaakt door een verkeerde implementatie van het algoritme dat ingevoerde wachtwoorden moet valideren. Hierdoor kan een aanvaller met zelfgemaakte inloggegevens de authenticatie omzeilen en als beheerder inloggen. Hiervoor moet wel de beheerdersinterface toegankelijk zijn. Daarnaast is de aanval alleen uit te voeren in een niet-standaard apparaatconfiguratie. De optie "macfilter radius compatibility" moet namelijk op "other" staan. In de default configuratie is dit niet het geval. De kwetsbaarheid, aangeduid als CVE-2022-20695, raakt verschillende Cisco-producten, waaronder de 3504, 5520 en 8540 Wireless Controller, Mobility Express en Virtual Wireless Controller (vWLC). Cisco heeft zowel updates als workarounds uitgebracht om het probleem te verhelpen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de populaire Elementor-plug-in voor WordPress maakt het mogelijk om websites op afstand over te nemen. Een beveiligingsupdate is sinds afgelopen dinsdag beschikbaar. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Meer dan vijf miljoen WordPress-sites maken gebruik van Elementor. In versie 3.6.0 tot en met 3.6.2 zit een kritiek lek waardoor elke geauthenticeerde gebruiker willekeurige PHP-code kan uploaden en uitvoeren. Met de lancering van versie 3.6.0 is een nieuwe onboarding-module toegevoegd voor het vereenvoudigen van de initiële setup van de plug-in. De module voert bepaalde acties pas uit als de gebruiker over een geldige nonce beschikt. Deze nonce_key was echter eenvoudig voor elke geauthenticeerde gebruiker te verkrijgen. Alleen het bekijken van de broncode van het admin dashboard was voldoende. Dit was ook mogelijk voor subscribers van de betreffende website. Met de nonce_key is het vervolgens mogelijk een functie aan te roepen om willekeurige PHP-code te uploaden en uit te voeren en zo de website over te nemen. De impact van de kwetsbaarheid, aangeduid als CVE-2022-1329, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De Elementor-ontwikkelaars werden op 29 maart ingelicht en kwamen op 12 april met versie 3.6.3 waarin het probleem is verholpen, zo meldt securitybedrijf Wordfence dat de kwetsbaarheid ontdekte. bron: https://www.security.nl

Microsoft is erin geslaagd om een botnet dat onder andere werd gebruikt voor het verspreiden van ransomware ernstig te verstoren. De rechter gaf het techbedrijf een bevel waarmee het bijna vierhonderd domeinen in handen kreeg die het ZLoader-botnet gebruikt voor het communiceren met besmette machines. Daarnaast heeft Microsoft een persoon geïdentificeerd die wordt verdacht van het ontwikkelen van een onderdeel van de ZLoader-malware. De malware was oorspronkelijk ontwikkeld voor het plegen van bankfraude en het stelen van inloggegevens, wachtwoorden en andere informatie. De malware bevatte ook een onderdeel dat antivirussoftware op het systeem uitschakelde om zo detectie te voorkomen. Later werd ZLoader als een "malware as a service" gebruikt, waarbij het onder andere ransomware begon te verspreiden. Via een gerechtelijk bevel kreeg Microsoft de controle over 65 hardcoded domeinen waarmee het botnet wordt aangestuurd, alsmede 319 domeinen die via een domain generation algorithm (DGA) worden gegeneerd. Deze domeinen fungeren als back-up als de hardcoded domeinen offline zijn. Microsoft zegt dat het ook nog via het DGA te genereren domeinen gaat blokkeren, wat moet voorkomen dat de botnetbeheerders met het botnet kunnen communiceren. Bij de operatie werkte Microsoft met verschillende securitybedrijven samen, waaronder ESET, Black Lotus Labs, Palo Alto Networks en Avast. Volgens Microsoft is het botnet nu een slag toegebracht, maar zullen de verantwoordelijke criminelen proberen om hun activiteiten via ZLoader weer voort te zetten. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de populaire webwinkelsoftware Adobe Commerce en Magento Open Source maakt het mogelijk voor aanvallers om webshops op afstand over te nemen. Adobe heeft beveiligingsupdates uitgebracht en roept webwinkels op om die snel te installeren, waarbij als suggestie binnen 72 uur wordt aangeraden. Honderdduizenden webshops draaien op Adobe Commerce, dat eerder nog bekendstond als Magento Commerce, en Magento Open Source. De afgelopen jaren is het geregeld voorgekomen dat webshops zijn gecompromitteerd via bekende kwetsbaarheden in beide producten. Het beveiligingslek waarvoor Adobe nu waarschuwt, CVE-2022-24093, wordt veroorzaakt door het niet goed valideren van gebruikersinvoer en maakt remote code execution mogelijk. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Adobe heeft de beveiligingsupdates de hoogste prioriteit gegeven. Een dergelijk prioritering wordt alleen gegeven aan aangevallen kwetsbaarheden of beveiligingslekken die een grotere kans hebben om te worden misbruikt. Webwinkels wordt geadviseerd de update "zo snel mogelijk" te installeren, waarbij Adobe als voorbeeld binnen 72 uur geeft. bron: https://www.security.nl

Een groep aanvallers die verantwoordelijk was voor de grote Exchange-aanval van vorig jaar en ook andere zerodaylekken heeft gebruikt om toegang tot organisaties te krijgen, maakt gebruik van "verborgen" geplande taken om toegang tot hun slachtoffers te behouden, zo laat Microsoft weten. Volgens het techbedrijf waren het afgelopen jaar onder andere telecombedrijven, internetproviders en datadiensten het doelwit van de groep, die Hafnium wordt genoemd. Bij slachtoffers ontdekte Microsoft een malware-exemplaar genaamd Tarrask dat via de Windows Task Scheduler taken aanmaakt om toegang tot de computer te behouden. Via de Taakplanner is het mogelijk om allerlei taken uit te voeren. De malware gebruikt dit echter als een "persistence mechanism", zo laat Microsoft weten. Zo worden bij het aanmaken van een nieuwe taak verschillende registersleutels aangemaakt. Om detectie van deze taak te voorkomen verwijdert de malware de SD-waarde van de registersleutel. SD staat voor Security Descriptor en bepaalt welke gebruikers de betreffende taak kunnen uitvoeren. Door het verwijderen van de SD-waarde verdwijnt de taak uit de Taakplanner en de schtasks command line tool. De taak is in principe verborgen, tenzij het betreffende registerpad handmatig wordt bekeken, aldus Microsoft. Volgens het techbedrijf laat het gebruik van de Windows Taakplanner op deze manier zien dat de Hafnium-groep een unieke kennis van het Windows-subsysteem heeft en deze expertise gebruikt om de activiteiten op besmette systemen te verbergen en toegang te behouden. "We erkennen dat geplande taken een effectieve tool voor aanvallers zijn om bepaalde taken te automatiseren om persistentie te bereiken", aldus Microsoft, dat met de nu gepubliceerde blogposting meer bewustzijn over deze techniek wil creëren. Daarnaast geeft het techbedrijf tips om de beschreven activiteiten van de Hafnium-groep te detecteren. bron: https://www.security.nl

Vpn-provider ProtonVPN inspecteert het netwerkverkeer dat loopt via de gratis vpn-servers die het aanbiedt. Netwerkverkeer van en naar betaalde vpn-servers wordt niet geïnspecteerd, zo blijkt uit een audit van de "no-logs" policy van het bedrijf. Tal van vpn-providers claimen dat ze geen data of metadata van gebruikers loggen. ProtonVPN heeft een externe audit naar het eigen no-logs beleid laten uitvoeren. Volgens het auditrapport (pdf) logt ProtonVPN geen data betreffende dns-verkeer of andere metadata. Ook houdt de vpn-provider geen logs bij over welke diensten gebruikers gebruiken. Eén uitzondering is de detectie en het blokkeren van bittorrentverkeer op de gratis vpn-servers. "ProtonVPN inspecteert het netwerkverkeer op de gratis vpn-servers", aldus het auditrapport. Dit wordt gedaan om bittorrentverkeer te blokkeren dat de prestaties van de gratis servers kan beïnvloeden. Dit heeft volgens de auditors geen gevolgen voor de privacy van gebruikers. ProtonVPN logt geen informatie over de gedetecteerde of geblokkeerde verbindingen, zo stellen ze. Er is ook geen sprake van deep traffic inspection, alleen het soort netwerkverkeer wordt gedetecteerd. De inhoud van de netwerkpakketjes, zoals de naam van de betreffende torrent, wordt niet geanalyseerd of gelogd, zo laten de auditors verder weten. De auditors stellen ook dat ProtonVPN geen informatie bijhoudt over de vpn-servers waarmee gebruikers zijn verbonden. Voor het inloggen op de vpn-servers wordt een willekeurige gebruikersnaam en wachtwoord gegenereerd waarmee de gebruiker niet lokaal aan de kant van de vpn-server is te identificeren. Technische zou dit wel op de API-server kunnen, maar ProtonVPN stelt dat een dergelijk mechanisme op het moment van de audit niet was geïmplementeerd. bron: https://www.security.nl

Microsoft heeft tijdens de patchdinsdag van april 128 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek in Windows en drie kwetsbaarheden die 'wormable' zijn. Het zerodaylek, aangeduid als CVE-2022-24521, bevindt zich in de Windows Common Log File System Driver en zorgt ervoor dat een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Het beveiligingslek maakt het niet mogelijk om een systeem op afstand over te nemen. Details over de waargenomen aanvallen worden niet gegeven. Het beveiligingslek werd gevonden door een onderzoeker van securitybedrijf Crowdstrike en de Amerikaanse geheime dienst NSA en gerapporteerd aan Microsoft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. De gevaarlijkste kwetsbaarheden waarvoor Microsoft deze maand updates uitrolde, met een impactscore van 9.8, zijn aanwezig in de RPC Runtime Library en het Windows Network File System. Ze maken het in bepaalde omstandigheden mogelijk om systemen zonder enige interactie van gebruikers over te nemen. In theorie zouden de kwetsbaarheden, die aanwezig zijn in alle ondersteunde Windowsversies, door een computerworm zijn te gebruiken. "In ieder geval tussen machines waar RPC toegankelijk is", zegt Dustin Childs van het Zero Day Initiative over het lek in de RPC Runtime Library (CVE-2022-26809). Een aanval zou alleen over tcp-poort 135 mogelijk zijn, die volgens Childs meestal op de netwerkperimeter wordt geblokkeerd. Aanvallers zouden het lek wel kunnen gebruiken om zich lateraal door een al gecompromitteerd netwerk te bewegen. De andere twee "wormable" kwetsbaarheden (CVE-2022-24491 en CVE-2022-24497) zijn aanwezig in het Windows Network File System en maken ook remote code execution zonder interactie van gebruikers mogelijk. Voorwaarde is wel dat voor het systeem de "NFS role" staat ingeschakeld. Een computerworm zou zich zo zonder interactie van gebruikers tussen NFS-servers kunnen verspreiden. Childs roept organisaties dan ook op om de updates voor deze drie kwetsbaarheden snel uit te rollen en ook Microsoft verwacht dat aanvallers misbruik van de lekken zullen gaan maken. De patches worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Verschillende politie- en opsporingsdiensten hebben het populaire cybercrimeforum RaidForums.com offline gehaald en de vermeende beheerder van het forum aangehouden, alsmede twee van zijn handlangers. Via het forum werd onder andere gehandeld in gestolen databases, creditcardgegevens, inloggegevens en andere data. Het in 2015 gelanceerde forum telde meer dan vijfhonderdduizend gebruikers. RaidForums kwam geregeld in het nieuws nadat er gestolen databases van onder andere Amerikaanse en Britse bedrijven te koop werden aangeboden. De FBI, Secret Service, Europol, het Britse National Crime Agency (NCA) alsmede politiediensten uit Zweden, Duitsland, Roemenië en Portugal zijn een jaar bezig geweest om de infrastructuur en personen achter het forum in kaart te brengen. Tijdens de laatste fase van "Operation Tourniquet" werden servers van RaidForums en de domeinnaam in beslag genomen en konden drie verdachten worden aangehouden, waaronder de vermeende beheerder van het forum, zo laat Europol vandaag weten. Het Britse NCA meldt dat de verdachte beheerder een 21-jarige Brit is die vorige maand in zijn woning kon worden aangehouden. Tijdens zijn aanhouding zijn duizenden ponden en dollars aan contanten in beslag genomen en zijn cryptovaluta ter waarde van meer dan een half miljoen dollar bevroren. bron: https://www.security.nl

Mozilla gaat in een nieuwe versie van Firefox voorkomen dat iframes die zich in een sandbox bevinden protocollen kunnen aanroepen om zo externe applicaties op de desktop of smartphone te starten. Verschillende applicaties maken gebruik van een eigen protocol of url-handler voor het starten van de applicatie via een bepaalde url. Er zijn situaties waarbij iframes dergelijke url's kunnen aanroepen en zo de betreffende applicatie op het systeem van de gebruiker kunnen starten. Malafide adverteerders zouden hier misbruik van kunnen maken. Firefox maakt gebruik van een sandbox om te beperken wat er via een iframe kan worden gedaan, zoals het voorkomen van pop-ups, het uitvoeren van plug-ins en scripts en het handhaven van de same-origin policy. Het blijkt echter mogelijk om via een gesandboxt iframe externe protocol-handlers aan te roepen. Mozilla heeft nu besloten om dit door het toevoegen van een patch te voorkomen. "Dit houdt in dat gesandboxte derde partijen niet langer externe applicaties op de desktop of telefoon kunnen openen", zegt Mozillas Niklas Baumgardner. De patch die hiervoor zorgt is toegevoegd aan een vroege testversie van Firefox. Wanneer die in de releaseversie verschijnt is nog onbekend. bron: https://www.security.nl

De afgelopen weken wisten aanvallers meerdere schone WordPress-installaties met malware te infecteren, waarbij ze vermoedelijk logs of informatie van certificaatautoriteit Let's Encrypt gebruikten. Na de installatie van WordPress moet die nog worden geconfigureerd. Het gebeurt al lange tijd dat aanvallers erin slagen om nog niet geconfigureerde WordPress-installaties te kapen. "Dit kan omdat WordPress geen beperkingen voor het configureren kent zodra de bestanden op de website zijn geladen kun je die met een database op een andere server configureren, zodat je geen toegang tot bestaande inloggegevens voor de website hoeft te hebben", stelt securitybedrijf White Fir Design. In de meeste gevallen zullen mensen na de installatie van WordPress die ook meteen configureren. De afgelopen weken verschenen echter meerdere meldingen van WordPress-gebruikers die stelden dat hun installatie werd geïnfecteerd kort na het aanvragen van een tls-certificaat voor hun website bij Let's Encrypt. Let's Encrypt is een certificaatautoriteit die gratis tls-certificaten uitgeeft die zijn te gebruiken voor het opzettten van een beveiligde verbinding en het identificeren van de website. Let's Encrypt maakt gebruik van Certificate Transparency (CT), een systeem dat de uitgifte van tls-certificaten logt en monitort. Hiervoor slaat Let's Encrypt alle uitgegeven certificaten in CT-logs op. Het vermoeden is nu dat aanvallers deze CT-logs continu bekijken om zo WordPress-websites te vinden die nog niet zijn geconfigureerd. De aanvallers configureren deze websites en voegen een malafide script toe. Het gaat om een webshell waarmee aanvallers op afstand code kunnen uitvoeren. De gecompromitteerde WordPress-sites worden vervolgens voor het uitvoeren van ddos-aanvallen gebruikt. bron: https://www.security.nl

Google heeft een update voor Chrome 100 uitgebracht waarmee in totaal elf kwetsbaarheden in de browser worden verholpen. De maximale impact van de beveiligingslekken is beoordeeld als "high". In deze gevallen kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Kwetsbaarheden met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Tien van de elf verholpen beveiligingslekken werden door externe onderzoekers aan Google gerapporteerd. Google Chrome 100.0.4896.88 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter tot zestig dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Securitybedrijf WatchGuard is onder vuur komen te liggen omdat het een kritieke kwetsbaarheid in de eigen firewalls, waar uiteindelijk misbruik van werd gemaakt, zeven maandenlang niet expliciet vermeldde. De Amerikaanse overheid heeft federale instanties opgeroepen om het beveiligingslek voor 2 mei te patchen. Vorig jaar mei kwam WatchGuard met firmware-updates die "intern gevonden beveiligingsproblemen" verhielpen. Er werd niet vermeld om wat voor problemen het ging en ook gaf WatchGuard geen CVE-nummers, waarmee kwetsbaarheden worden geïdentificeerd. In februari van dit jaar waarschuwden de Amerikaanse en Britse autoriteiten dat een groep genaamd Sandworm, die aan de Russische geheime dienst GRU gelieerd zou zijn, WatchGuard-firewalls met de Cyclops Blink-malware had geïnfecteerd. Hoe de aanvallers toegang tot de firewalls wisten te krijgen was onbekend. Nu blijkt volgens WatchGuard dat ze een kritiek beveiligingslek gebruikten dat het vorig jaar mei had verholpen. De kwetsbaarheid maakt het mogelijk voor aanvallers, bij firewalls waarvan de beheerdersinterface vanaf internet toegankelijk is, via "unprivileged credentials" in te loggen en vervolgens met hogere rechten te worden ingelogd. WatchGuard stelde dat erop het moment dat de firmware-updates uitkwamen geen misbruik van het lek werd gemaakt en het bewust geen details over het beveiligingslek deelde om aanvallers niet wijzer te maken. Nu blijkt dat het deze kwetsbaarheid was die Sandworm-groep gebruikte. De impact van het beveiligingslek, aangeduid als CVE-2022-23176, is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Pas in januari verkreeg WatchGuard een CVE-nummer voor het lek. Dit CVE-nummer werd pas vorige week in de FAQ over de Cyclops Blink-malware vermeld. Beveiligingsexperts hekelen het gedrag van WatchGuard en stellen dat het bedrijf hiermee voor een onnodig beveiligingsrisico heeft gezorgd. "Wanneer er een update wordt uitgebracht kunnen mensen de code van voor en na de patch vergelijken om te zien wat er is veranderd, en zo de kwetsbaarheid zien. Wanneer CVE/CVSS niet worden vermeld, hebben aanvallers alles wat ze nodig hebben en verdedigers niet", zegt Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. bron: https://www.security.nl

Microsoft waarschuwt eindgebruikers en organisaties dat volgende maand de support stopt van de Home- en Pro-edities van Windows 10 versie 20H2 en alle edities van Windows 10 versie 1909. De beveiligingsupdates die op 10 mei verschijnen zullen de laatste zijn die deze versies ontvangen. Daarna worden de betreffende Windows-versies niet meer ondersteund, zo laat het techbedrijf via het Windows message center weten. Voorheen bracht Microsoft twee keer per jaar een grote feature-update uit voor Windows 10, die in het geval van de Home- en Pro-edities achttien maandenlang met beveiligingsupdates werden ondersteund. Sinds de lancering van Windows 10 versie 21H2 (Windows 10 November 2021 Update) verschijnt er nog maar één keer per jaar een grote feature-update die ook achttien maanden op patches kan rekenen. Windows 10 versie 20H2 verscheen op 20 oktober 2020, terwijl versie 1909 op 12 november 2019 uitkwam. Voor Windows Enterprise en Education hanteert Microsoft een langere supportperiode. Bij Windows 10-versies op computers van eindgebruikers en niet-beheerde zakelijke systemen die het einde van hun supportperiode bereiken zal Windows Update automatisch een feature-update starten, zodat systemen naar een versie gaan die wel wordt ondersteund. De volledige support van Windows 10 Home en Pro eindigt op 14 oktober 2025. bron: https://www.security.nl

E-mailclient Thunderbird is vooral bekend voor het versturen van e-mail, maar de software biedt ook een ingebouwde chatapplicatie die verschillende protocollen ondersteunt, waaronder IRC, XMPP en Matrix. In de nieuwste bètaversie van Thunderbird is support voor end-to-end versleutelde chats via het Matrix-protocol standaard ingeschakeld. Matrix is een protocol en platform dat versleutelde communicatie biedt. Voorheen moesten gebruikers ondersteuning van Matrix zelf inschakelen. In de nieuwste bètaversie staat de support nu standaard ingeschakeld. Daarnaast heeft de Matrix-implementatie binnen Thunderbird een update gekregen en is er nu bijna volledige support voor end-to-end encryptie, is het mogelijk om verstuurde berichten aan te passen en kan erin alle chatrooms worden gereageerd. Wanneer de Matrix-support in de releaseversie standaard wordt ingeschakeld is onbekend. bron: https://www.security.nl

Versleutelde e-maildienst ProtonMail gaat samenwerken met SimpleLogin, een doorstuurdienst waarmee gebruikers e-mailaliassen kunnen aanmaken voor het registreren van online accounts. De alias moet voorkomen dat het echte e-mailadres van de gebruiker bij bedrijven, organisaties en andere partijen bekend wordt. Volgens ProtonMail maken veel ProtonMail-gebruikers gebruik van SimpleLogin om hun e-mailadres te beschermen. Wanneer een e-mailalias lekt of wordt gespamd, kan de gebruiker die gewoon uitschakelen, terwijl het echte e-mailadres blijft werken. ProtonMail stelt dat het in Frankrijk gevestigde SimpleLogin een aanvullende dienst biedt waarvan de waarden met de eigen waarden overeenkomen. SimpleLogin zal als een onafhankelijke dienst blijven opereren en het huidige model van honderd procent open source blijven voortzetten. Daarnaast blijft SimpleLogin, dat als browserextensie en app is te gebruiken, met alle e-maildiensten compatibel. De doorstuurdienst zal nu echter de infrastructuur en middelen van Proton kunnen gebruiken om zich verder te ontwikkelen. In de komende maanden zal ProtonMail de functionaliteit van SimpleLogin verder in de eigen e-maildienst verwerken, wat het eenvoudiger voor gebruikers moet maken om bij online registraties een alias te gebruiken. bron: https://www.security.nl

Mozilla heeft besloten om DNS-over-HTTPS (DoH) onder Oekraïense en Russische Firefox-gebruikers in te schakelen. Binnenkort zullen meer landen volgen, aldus de Firefox-ontwikkelaar. Op dit moment zijn dns-verzoeken van internetgebruikers, waarin staat welk domein ze willen opvragen, nagenoeg altijd onversleuteld. Zo kunnen derden zien welke websites iemand bezoekt of de dns-informatie aanpassen. Om dit te voorkomen werd DNS over HTTPS bedacht. DoH versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. DoH moet echter wel door de dns-provider van de gebruiker worden ondersteund. Op dit moment zijn er slechts een paar publieke DoH-providers. Het gaat om de Canadian Internet Registration Authority (CIRA), alsmede Cloudflare, NextDNS, Comcast en Shaw. Tegenstanders van DoH zijn bang dat straks een handvol bedrijven de dns-verzoeken van miljarden gebruikers zal verwerken en er een gecentraliseerd ecosysteem ontstaat. Mozilla besloot in 2019 om DoH standaard onder Amerikaanse Firefox-gebruikers op de desktop in te schakelen. Twee jaar later in 2021 werd de feature standaard ingeschakeld voor Canadese gebruikers. Nu heeft Mozilla DNS-over-HTTPS standaard aangezet voor Oekraïense en Russische Firefox-gebruikers op de desktop. Hierbij is voor de "fallback" mode gekozen. Wanneer het niet lukt om via DoH een dns-verzoek te versturen zal Firefox terugvallen op de standaard dns die door het besturingssysteem is ingesteld. Daarnaast krijgen Firefox-gebruikers een melding te zien dat de feature is ingeschakeld. Die kan vervolgens weer worden uitgeschakeld. Mozilla zegt dat het bezig is om DoH in meer landen uit te rollen, maar heeft nog geen landen genoemd. Eerder stelde het Nationaal Cyber Security Centrum (NCSC) dat DoH dns-monitoring lastiger maakt en maakte Europol zich zorgen dat DNS-over-HTTPS opsporingsonderzoeken zal bemoeilijken. bron: https://www.security.nl

Microsoft heeft via een gerechtelijk bevel de controle gekregen over zeven domeinen van een Advanced Persistent Threat (APT)-groep genaamd Fancy Bear, die ook bekendstaat als APT28 en door Microsoft "Strontium" wordt genoemd. De groep is volgens Microsoft gelieerd aan de Russische geheime dienst GRU. Volgens Microsoft werden de domeinen gebruikt voor aanvallen op Oekraïense instellingen en mediaorganisaties, alsmede overheidsinstanties en denktanks in de Europese Unie en Verenigde Staten die zich met buitenlands beleid bezighouden. "We denken dat Strontium probeerde om langetermijntoegang tot systemen en doelwitten te krijgen, om zo tactische support voor de fysieke invasie te bieden en gevoelige informatie te stelen", zegt Microsofts Tom Burt. Microsoft wist een gerechtelijk bevel van een Amerikaanse rechter te krijgen waarmee het controle over de domeinnamen verkreeg. Al het verkeer naar deze domeinnamen wordt nu doorgestuurd naar een server van Microsoft, zodat het techbedrijf slachtoffers van de APT-groep kan waarschuwen. Het vragen om een gerechtelijk bevel om de infrastructuur van aanvallers te verstoren is een tactiek die Microsoft sinds 2016 geregeld inzet. In het geval van Strontium heeft het techbedrijf de afgelopen jaren zestien gerechtelijke bevelen gekregen waarmee het meer dan honderd domeinnamen van de APT-groep offline kon halen. bron: https://www.security.nl

Google gaat de komende weken een "privacygids" onder Chrome-gebruikers op de desktop uitrollen. De gids, die verstopt zit in de security- en privacytab van het instellingenmenu, laat gebruikers volgens Google weten wat de verschillende opties binnen de browser inhouden. Zo wordt in beknopte taal uitgelegd wat het synchroniseren van de browsegeschiedenis voor privacygevolgen kan hebben, alsmede het inschakelen van de "Enhanced Protection". Google stelt dat bij deze opties bijvoorbeeld bezochte websites en systeeminformatie naar het techbedrijf worden verstuurd en deze data tijdelijk aan het Google-account van de gebruiker kan worden gekoppeld. De gids is op dit moment zeer beperkt en bevat slechts een aantal instellingen. Afhankelijk van de feedback van gebruikers zegt Google dat het mogelijk meer informatie aan de privacygids zal toevoegen. De gids zal de komende weken worden uitgerold onder desktopgebruikers van Chrome 100 en nieuwer. bron: https://www.security.nl

Versleutelde maildienst ProtonMail heeft een nieuw e-maildomein gekregen wat eenvoudiger voor gebruikers te gebruiken zou moeten zijn. Naast protonmail.com kunnen gebruikers straks ook van het domein proton.me gebruikmaken. Volgens de e-mailprovider was een kortere domeinnaam één van de meest verzochte features door gebruikers. De komende dagen kunnen gebruikers met een ProtonMail-account via de instellingen een gratis @proton.me-adres activeren. Tot 30 april is het proton.me-adres geassocieerd met de huidige gebruikersnaam van gebruikers gereserveerd en kan niemand die registreren. De maildienst laat niet weten wat er na deze datum met proton.me-adressen gebeurt. E-mails die naar een proton.me-adres worden gestuurd verschijnen gewoon in de inbox van het bijbehorende ProtonMail.com-account. Voor betalende gebruikers biedt ProtonMail ook het verkorte domein pm.me. bron: https://www.security.nl

Internetbedrijf Cloudflare heeft besloten om de captcha's die het internetgebruikers laat zien te vervangen door een systeem dat informatie over gebruikers en hun browser verzamelt om te bepalen of het om daadwerkelijk mensen gaat. Cloudflare biedt verschillende diensten, zoals ddos-bescherming en content delivery netwerken. Deze diensten bevinden zich tussen een website en diens bezoekers. Om te bepalen of verkeer naar de websites van klanten afkomstig is van mensen of bots maakt Cloudflare onder andere gebruik van captcha's. Deze oplossing wil het internetbedrijf gaan vervangen door een systeem genaamd "Managed Challenge". Hierbij wordt er eerst JavaScript in de browser van de bezoeker uitgevoerd om meer "signalen" over de bezoeker en zijn browser te verzamelen. De challenges die Cloudflare uitvoert zijn gebaseerd op de karakteristieken die de bezoeker uitzendt en initiële informatie die Cloudflare al over de bezoeker heeft. Daarbij wordt er zowel naar de browser gekeken als naar signalen die op menselijk gedrag moeten wijzen. Ook wordt er machine learning toegepast waarbij wordt gekeken naar gemeenschappelijke kenmerken van bezoekers die eerder captcha's wisten op te lossen. Nadat de challenges zijn uitgevoerd, die geen interactie van bezoekers vereisen, beoordeelt Cloudflare de verzamelde signalen. Wanneer het internetbedrijf denkt dat het om een mens gaat wordt de bezoeker naar de betreffende website doorgestuurd. In het geval de verzamelde signalen te zwak zijn, wordt er een "visuele puzzel" getoond waarmee de bezoeker kan bewijzen dat hij een mens is. Cloudflare is vorig jaar al begonnen met het testen van Managed Challenge en heeft het nu onder gehele Cloudflare-netwerk uitgerold. Het is de bedoeling dat aan het einde van het jaar bij minder dan één procent van de challenges een captcha wordt gebruikt en nagenoeg geen van de bezoekers meer een visuele puzzel moet oplossen. Klanten kunnen zelf kiezen of ze van een captcha of de Managed Challenge gebruik willen maken. bron: https://www.security.nl

Een verkeerd geconfigureerde vpn-appliance was de oorzaak dat aanvallers onlangs toegang tot systemen van satellietbedrijf Viasat konden krijgen om vervolgens tienduizenden modems met wiper-malware te infecteren. Dat heeft het bedrijf in een verklaring bekendgemaakt. De aanval deed zich eind februari voor en werd vooraf gegaan door een denial of service-aanval. Viasat stelt in een analyse van de aanval dat tienduizenden modems die online waren opeens offline gingen en niet meer terugkwamen. Verder onderzoek wees uit dat een aanvaller door een misconfiguratie van een vpn-appliance toegang tot een managementsegment van Viasats netwerk had gekregen. De aanvaller wist zich lateraal door het netwerk te bewegen naar een specifiek deel dat voor het netwerkbeheer wordt gebruikt. Vervolgens gebruikte de aanvaller deze netwerktoegang voor het gelijktijdig uitvoeren van beheercommando's op een groot aantal modems, zo claimt Viasat. Bij deze "destructieve commando's" werd belangrijke data in het flashgeheugen van de modems overschreven, waardoor die geen verbinding meer met het netwerk konden maken. Volgens Viasat is er geen permanent schade aangericht en zijn de modems via een fabrieksreset volledig te herstellen. Ondanks deze geclaimde resetoptie stelt Viasat tegelijkertijd dat het bijna dertigduizend modems naar distributeurs heeft verscheept om klanten weer online te krijgen. "Het blijft onduidelijk hoe legitieme commando's zo'n schadelijk effect op de modems konden hebben", zegt Max van Amerongen van securitybedrijf SentinelOne. Hij stelt dat het op grote schaal verstoren van systemen realistischer is via het uitrollen van een malafide update, script of bestand. "Het is ook lastig om voor te stellen hoe legitieme commando's voor zowel een denial of service kunnen zorgen als het onbruikbaar maken van de modems, maar die niet permanent beschadigen." SentinelOne ontdekte wiper-malware genaamd "AcidRain" die bij de aanval is ingezet. "Ondanks de verklaring van Viasat dat er geen supply-chain-aanval was of het gebruik van malafide code op de getroffen routers, komen we met de meer aannemelijke hypothese dat de aanvallers voor hun operatie AcidRain op deze apparaten uitvoerden", aldus Van Amerongen. In de media heeft Viasat inmiddels bevestigd dat de wiper-malware inderdaad tegen de modems van klanten is ingezet. bron: https://www.security.nl