Captain Kirk

In Nederland is beperkt actief misbruik van de Log4j-kwetsbaarheid waargenomen, zo meldt het Nationaal Cyber Security Centrum (NCSC). Om wat voor misbruik het precies gaat laat de overheidsinstantie niet weten. Security.NL heeft om meer details gevraagd. Wel roept het NCSC organisaties op om voorbereid te zijn op misbruik van het beveiligingslek. "De aard van de Log4j-kwetsbaarheid maakt het voor het NCSC complex om zicht te hebben op misbruik van de kwetsbaarheid. In Nederland is beperkt actief misbruik waargenomen. Het NCSC acht het voorstelbaar dat misbruik kan leiden tot grote gevolgschade", aldus de overheidsinstantie. Die heeft vanwege de impact die het Log4j-lek kan hebben het handelingsperspectief voor organisaties aangepast. Zo wordt aangeraden wanneer het niet mogelijk is om systemen te patchen of mitigerende maatregelen door te voeren te overwegen om het systeem uit te schakelen totdat een patch beschikbaar is. Aangezien de kwetsbaarheid is te gebruiken voor ransomware-aanvallen adviseert het NCSC om de juiste voorbereidingen te treffen, door capaciteit beschikbaar te houden en back-ups op orde te hebben. Verder wordt aangeraden om detectiemaatregelen in te schakelen en zowel systemen die al zijn gepatcht als ook kwetsbare systemen op misbruik te controleren. "Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk", waarschuwt het NCSC. bron: https://www.security.nl

Google heeft voor de zestiende keer dit jaar een actief aangevallen zerodaylek in Chrome verholpen. Niet eerder werden er zoveel zerodays in één jaar in de browser gevonden. Net als bij vorige updates geeft Google geen details over de doelwitten van deze aanvallen en hoe ze precies plaatsvonden. Het beveiligingslek, aangeduid als CVE-2021-4102, bevindt zich in V8. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin het afgelopen jaar al tal van andere zerodaylekken werden gevonden. Een anonieme beveiligingsonderzoeker rapporteerde het probleem op 9 december aan Google De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Naast de actief aangevallen zerodaylekken verhelpt de update ook verschillende andere kwetsbaarheden, waaronder een beveiligingslek (CVE-2021-4098) dat als kritiek is aangemerkt. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. Via dergelijke beveiligingslekken kan een aanvaller willekeurige code op het systeem van de gebruiker uitvoeren waarbij alleen het bezoeken van een website voldoende is. Er is geen verdere interactie van de gebruiker of een tweede kwetsbaarheid vereist. Dit beveiligingslek, dat door Google zelf werd gevonden, wordt niet actief aangevallen. Gebruikers krijgen het advies om te updaten naar Google Chrome 96.0.4664.110, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen. bron: https://www.security.nl

De kwetsbaarheid in Apache Log4j waarvoor op vrijdag 10 december een beveiligingsupdate verscheen is al sinds 2 december gebruikt bij aanvallen, zo waarschuwt Cisco. Internetbedrijf Cloudflare heeft het zelfs over 1 december. Cisco roept organisaties dan ook op om binnen hun logs en omgevingen vanaf deze datum op mogelijk misbruik te controleren. Volgens het netwerkbedrijf vindt er inmiddels grootschalig misbruik van de kwetsbaarheid plaats, waarbij in veel gevallen een cryptominer op kwetsbare servers wordt geïnstalleerd. Ook antivirusbedrijf Sophos meldt de installatie van cryptominers. Om organisaties te helpen bij het vinden van aanwijzingen over mogelijk succesvolle aanvallen hebben Cisco en securitybedrijf Fox-IT verschillende indicators of compromise gepubliceerd, waaronder domeinnamen, ip-adressen, user-agent http-headers, commando's, hashes en gebruikte scripts. Securitybedrijf Qihoo 360 meldt dat inmiddels twee botnets de de Log4j-kwetsbaarheid gebruiken voor het aanvallen van systemen. Het gaat om de Muhstik- en Mirai-botnets. De laatstgenoemde heeft het meestal op Internet of Things-apparaten voorzien. De botnets installeren een backdoor en kunnen besmette servers inzetten voor het uitvoeren van ddos-aanvallen. Update Internetbedrijf Cloudflare stelt dat de eerste Log4j-exploits van 1 december dateren. bron: https://www.security.nl

Criminelen maken de afgelopen week gebruik van qr-codes om Duitse bankklanten naar phishingsites te lokken. Dat blijkt uit verschillende e-mails waarover securitybedrijf Cofense bericht. De e-mails lijken van de helpdesk van de Volksbank en Sparkasse afkomstig en vragen klanten vanwege "belangrijke aanpassingen" en "nieuwe veiligheidsprocedures" om via de meegestuurde qr-code in te loggen. In werkelijkheid wijst de qr-code naar een phishingsite die gebruikers om hun inloggegevens vraagt. Zodra de gegevens zijn ingevoerd krijgen gebruikers een melding om te wachten, voordat de inlogpagina opnieuw verschijnt met het bericht dat de ingevulde inloggegevens incorrect waren. "Een veel gebruikte phishingtactiek", zegt onderzoeker Elmer Hernandez. De e-mails zijn de afgelopen weken verstuurd. bron: https://www.security.nl

Microsoft heeft besloten om deze maand geen cumulative updates voor Exchange Server uit te rollen. Een reden is niet gegeven, behalve dat er sprake is van uitstel en erop een later moment meer informatie over de volgende release van de updates wordt gegeven. Exchange Server kreeg het afgelopen jaar met meerdere actief aangevallen zerodaylekken te maken. Naast het uitbrengen van maandelijkse beveiligingsupdates komt Microsoft eens per kwartaal met cumulative updates om bugs te verhelpen en soms ook nieuwe features toe te voegen. Een van de belangrijkste nieuwe features dit jaar was de Emergency Mitigation-service. Deze service installeert automatisch en zonder tussenkomst van de eigenaar mitigaties op kwetsbare Exchange-servers. Het gaat hier niet om beveiligingsupdates, maar mitigaties die misbruik van bekende kwetsbaarheden voorkomen. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie wel een bepaalde cumulative update (CU) hebben geïnstalleerd. Zo worden op dit moment alleen Exchange Server 2013 CU23, Exchange Server 2016 CU21 en CU22 en Exchange Server 2019 CU10 en CU11 met beveiligingsupdates ondersteund. bron: https://www.security.nl

De Amerikaanse burgerrechtenbeweging EFF luidt de noodklok over de nieuwe regels die gaan gelden voor Google Chrome-extensies en binnenkort van kracht worden. Volgens de EFF zijn de nieuwe specificaties schadelijk voor de privacy van gebruikers. De manier waarop extensies binnen de browser mogen werken staat beschreven in een manifest. Binnenkort zal versie drie van het manifest verschijnen en dat is slecht nieuws voor Chrome-gebruikers, aldus de EFF. "Manifest V3 is regelrecht schadelijk voor privacymaatregelen. Het beperkt de mogelijkheden van extensies", zegt Daly Barnett van de Amerikaanse burgerrechtenbeweging. Het gaat dan met name om extensies die het verkeer tussen de browser en websites monitoren. Het gaat dan bijvoorbeeld om adblockers en privacytools, die door het nieuwe manifest veel minder effectief worden, merkt Barnett op, die toevoegt dat het ook twijfelachtig is dat Manifest V3 veel voor security zal doen. "De ontwikkelspecificaties van browser-extensies lijken misschien overweldigend, maar de bredere gevolgen zijn voor alle internetgebruikers van belang: het is weer een stap waar Google bepaalt hoe we online leven", merkt Barnett op. "Gegeven dat Google al jaren het grootste advertentiebedrijf ter wereld is, zijn deze nieuwe beperkingen bemoeizuchtig en regelrecht eng." Volgens de EFF zijn de nieuwe regels weer een voorbeeld van het inherente belangenconflict van Google als het grootste online advertentienetwerk en eigenaar van de meestgebruikte browser op internet. De Amerikaanse burgerrechtenbeweging staat niet alleen in de kritiek. "Bijna alle browser-extensies die je kent worden op de één of andere manier geraakt: degene die geluk hebben zullen 'alleen' wat problemen ervaren, sommige worden verminkt en andere zullen ophouden met bestaan", zegt Andrey Meshkov van AdGuard. bron: https://www.security.nl

Een zeer kritieke kwetsbaarheid in de populaire open source Apache Log4j 2-library maakt remote code execution mogelijk waardoor duizenden organisaties risico lopen. Er is inmiddels een update uitgebracht om het probleem te verhelpen, maar exploitcode is ook online verschenen. Log4j 2 is een tool voor het loggen van informatie van Java-applicaties. Zo kunnen ontwikkelaars, door de library aan hun Java-applicatie toe te voegen, bijvoorbeeld problemen met de applicatie ontdekken. Een kwetsbaarheid zorgt ervoor dat wanneer de library een bepaalde string logt een aanvaller willekeurige code kan uitvoeren en zo controle over de applicatieserver kan krijgen. De kwetsbaarheid, aangeduid als CVE-2021-44228 en Log4Shell, raakt allerlei grote diensten zoals Steam, Apple iCloud en apps zoals Minecraft, stelt Free Wortley van securitybedrijf LunaSec. "Iedereen die van Apache Struts gebruikmaakt is waarschijnlijk kwetsbaar. We hebben misbruik van dergelijke kwetsbaarheden eerder gezien bij datalekken zoals het Equifax-datalek van 2017", merkt Wortley op. "Er zal zeer waarschijnlijk misbruik van deze kwetsbaarheid worden gemaakt die vermoedelijk duizenden organisaties raakt. Het beveiligingslek vormt een aanzienlijk risico voor kwetsbare systemen", aldus securitybedrijf Randori. Volgens het bedrijf wordt de Log4j 2-library veel gebruikt in zakelijke Java-software. De impact is vanwege de manier waarop de software wordt ingezet lastig te bepalen. "Net als andere impactvolle kwetsbaarheden zoals Heartbleed en Shellshock denken we dat de komende weken een groeiend aantal kwetsbare producten zal worden ontdekt", zo stellen de onderzoekers van Randori. Beheerders wordt opgeroepen om te updaten naar Apache Log4j 2 versie 2.15.0. Volgens Randori en Cloudflare is de kwetsbaarheid ook te verhelpen door de parameter "log4j2.formatMsgNoLookups" bij het starten van de Java Virtual Machine op true te zetten. Update Het Australische Cyber Security Centre (ACSC) meldt dat er inmiddels actief naar kwetsbare servers wordt gezocht. Update 2 De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 10 beoordeeld. bron: https://www.security.nl

1,6 miljoen WordPress-sites doelwit van grootschalige aanval via plug-ins Meer dan 1,6 miljoen WordPress-sites zijn het doelwit van een grootschalige aanval waarbij aanvallers de websites via kwetsbaarheden in verschillende plug-ins en themes proberen over te nemen. Het gaat om de plug-ins Kiwi Social Share, Pinterest Automatic, WordPress Automatic en PublishPress Capabilitie, waarvoor sinds respectievelijk 12 november 2018, 23 augustus 2021 en 6 december 2021 beveiligingsupdates beschikbaar zijn. Tevens worden vijftien themes aangevallen die van het Epsilon Framework gebruikmaken. Voor veertien van deze themes zijn updates beschikbaar. Alleen in het geval van het NatureMag Lite-theme ontbreekt een update en wordt beheerders aangeraden het theme te verwijderen. Door middel van de kwetsbaarheden schakelen de aanvallers in dat gebruikers zich op de site kunnen registreren en standaard de rol van beheerder krijgen. "Dit maakt het mogelijk voor aanvallers om zich op elke website als beheerder te registreren en effectief de site over te nemen", aldus Chloe Chamberland van Wordfence, het securitybedrijf dat de aanvallen waarnam. Aangezien het hier alleen gaat om WordPress-sites die Wordfence monitort, ligt het werkelijke aantal aangevallen websites mogelijk hoger. Beheerders en webmasters die van de aangevallen themes en plug-ins gebruikmaken wordt aangeraden om de laatste versie te installeren. Daarnaast wordt geadviseerd om te controleren of er geen ongeautoriseerde gebruikersaccounts zijn aangemaakt. bron: https://www.security.nl

Duizenden WordPress-sites kunnen door een kwetsbaarheid in de registratieplug-in RegistrationMagic worden overgenomen, ook al is een beveiligingsupdate om het probleem te verhelpen beschikbaar. RegistrationMagic laat WordPress-sites webformulieren maken waarmee bezoekers zich op de website kunnen registreren. Tevens is het mogelijk om via de plug-in bulkmail te versturen. Meer dan 10.000 WordPress-sites maken gebruik van RegistrationMagic. De plug-in laat gebruikers ook inloggen via derde partijen zoals Facebook. Dit was echter op een onveilige wijze geïmplementeerd waardoor aanvallers als elke willekeurige gebruiker kunnen inloggen, waaronder de beheerder. De enige vereiste is dat de aanvaller het e-mailadres of de gebruikersnaam van de beheerder kent en er een via de plug-in gemaakte inlogpagina beschikbaar is. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het beveiligingslek werd op 16 september door securitybedrijf Wordfence aan de ontwikkelaars gemeld. Die lieten op 25 september weten dat het probleem was verholpen, maar dat bleek niet het geval te zijn. Op 1 november verscheen een gedeeltelijke oplossing, gevolgd door een volledige fix (versie 5.0.1.8) eind november. Van de tienduizend WordPress-sites draait echter veertig procent nog versie 4.6 of ouder en is daardoor kwetsbaar. bron: https://www.security.nl

Zo'n 300.000 vanaf het internet toegankelijke MikroTik-routers zijn kwetsbaar voor aanvallen omdat de eigenaren hebben nagelaten firmware-updates voor vier jarenoude beveiligingslekken te installeren. Dat stelt securitybedrijf Eclypsium op basis van eigen onderzoek. De kwetsbaarheden dateren van 2018 en 2019 en zorgen ervoor dat aanvallers in het ergste geval volledige controle over de router kunnen krijgen. De afgelopen jaren hebben aanvallers ook misbruik van de beveiligingslekken gemaakt, waarbij kwetsbare MikroTik-routers werden ingezet voor ddos-aanvallen op het delven van cryptovaluta. In september van dit jaar waarschuwde MikroTik nog voor het Meris-botnet, dat uit zo'n 200.000 besmette routers zou bestaan, en was ingezet voor ddos-aanvallen tegen internetbedrijf Yandex. Ook Cloudflare kwam met een waarschuwing voor het botnet. De gebruikte routers waren al sinds 2018 door aanvallers gecompromitteerd. "Het dichten van de kwetsbaarheid beschermt deze routers niet direct. Als iemand je wachtwoord in 2018 heeft bemachtigd zal een upgrade niet helpen. Je moet ook je wachtwoord wijzigen en je firewall controleren dat die geen remote toegang aan onbekende partijen geeft, en kijk naar de aanwezigheid van scripts die je niet hebt gemaakt", aldus MikroTik in de waarschuwing. De onderzoekers ontdekten ook 20.000 besmette routers die scripts op de websites injecteerden die gebruikers bezochten, om zo hun computer voor het delven van cryptovaluta te gebruiken. "Terwijl aanvallers de tools hebben voor het vinden van kwetsbare MikroTik-routers, is dat niet het geval bij veel bedrijven", stelt Eclypsium in een blogposting. "Gegeven de uitdagingen van het updaten van MikroTik, zijn er grote aantallen routers met deze kwetsbaarheden uit 2018 en 2019." De meeste kwetsbare MikroTik-routers bevinden zich in Brazilië, China en Rusland. Het securitybedrijf heeft een tool uitgebracht waarmee kan worden gekeken of een router bron: https://www.security.nl

Onderzoekers hebben IoT-malware ontdekt die TP-Link wifi-routers via een kwetsbaarheid in de pingfunctie infecteert. TP-Link bracht vorige maand een beveiligingsupdate uit, maar maakt nergens in de beschrijving melding van de kwetsbaarheid. Tien dagen na het uitkomen van de firmware-update werden de eerste aanvallen waargenomen die misbruik van het beveiligingslek maken. De kwetsbaarheid is aanwezig in versie vijf van de TL-WR840N-router. De diagnostische pagina van de router biedt de mogelijkheid om een ip-adres of domeinnaam te pingen. De invoer in het invoerveld van de pingfunctie wordt niet goed gecontroleerd, waardoor het mogelijk is om commando's uit te voeren. Bij de nu waargenomen aanvallen wordt het beveiligingslek gebruikt om de router een script te laten uitvoeren dat vervolgens de malware downloadt. Beveiligingsonderzoeker Kamillo Matek meldde het beveiligingslek (CVE-2021-41653) op 20 september aan TP-Link. De fabrikant kwam op 12 november met de firmware-update, maar laat in de beschrijving nergens duidelijk merken dat de patch een kwetsbaarheid verhelpt. Er staat alleen: "Aanpassingen en bugfixes. Verbetert beveiliging apparaat." De aanval is alleen door een geauthenticeerde aanvaller uit te voeren die toegang tot de router heeft. Dat lijkt echter geen hindernis, want tien dagen na het verschijnen van de firmware-update maakt de Manga-malware misbruik van de kwetsbaarheid, aldus securitybedrijf Fortinet. "Het is daarom cruciaal dat gebruikers hun standaardwachtwoord wijzigen", zegt onderzoeker Joie Salvio. bron: https://www.security.nl

Microsoft heeft een nieuwe gratis scandienst gelanceerd die gebruikers de mogelijkheid geeft om drivers op malware en kwetsbaarheden te laten controleren. Het Vulnerable and Malicious Driver Reporting Center kijkt naar kwaadaardig gedrag van de driver of eventueel aanwezige kwetsbaarheden. Volgens Microsoft zijn erin het verleden verschillende aanvallen geweest waarbij aanvallers misbruik maakten van beveiligingslekken in drivers. Wanneer een driver kwetsbaar of kwaadaardig is zegt Microsoft verder onderzoek te zullen uitvoeren. In het geval van kwetsbare drivers zal Microsoft de leverancier benaderen, zodat die een beveiligingsupdate kan uitrollen. Deze update zal in de meeste gevallen via Windows Update worden aangeboden. Zodra deze updates zijn geïnstalleerd kan Microsoft de kwetsbare driver op Windows 10 blokkeren. bron: https://www.security.nl

Netwerkbeveiligingsbedrijf SonicWall waarschuwt organisaties voor een kritiek beveiligingslek in de SMA 100-gateways die het levert waardoor de apparaten op afstand zijn over te nemen. Een ongeauthenticeerde aanvaller kan een buffer overflow veroorzaken en zo willekeurige code uitvoeren, wat tot een volledige overname van het apparaat kan leiden. De impact van de kwetsbaarheid, aangeduid als CVE-2021-20038, is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. De kwetsbaarheid kan dan ook grote impact op organisaties hebben, die door SonicWall worden opgeroepen de update te installeren. SonicWall laat verder weten dat er nog geen misbruik van de kwetsbaarheid is waargenomen. Eerder dit jaar waarschuwde het bedrijf nog voor ransomware-aanvallen tegen onder andere de SMA 100-apparaten. Daarnaast was de SMA 100 begin dit jaar ook het doelwit van een zeroday-aanval. bron: https://www.security.nl

Een kwetsbaarheid in het opensource-analyticsplatform Grafana maakt het voor aanvallers mogelijk om toegang tot lokale bestanden te krijgen en exploits zijn inmiddels online verschenen. Ontwikkelaar Grafana Labs heeft updates beschikbaar gemaakt om het beveiligingslek te verhelpen. Via Grafana is het mogelijk om data van allerlei bronnen, zoals clouddiensten, Kubernetes-clusters, Google Sheets en Raspberry Pi's, te verwerken en via één dashboard te visualiseren. Grafana Labs heeft naar eigen zeggen meer dan vijftienhonderd klanten waaronder Bloomberg, JP Morgan Chase, eBay, PayPal en Sony. Grafana zou meer dan 800.000 actieve installaties wereldwijd tellen. De software bevat een kwetsbaarheid (CVE-2021-43798) die path traversal mogelijk maakt. Via een speciaal geprepareerde url is het mogelijk om toegang tot lokale bestanden te krijgen. Grafana Labs werd op 3 december door een beveiligingsonderzoeker op het beveiligingslek gewezen. Dezelfde dag werd een update ontwikkeld, die op 14 december beschikbaar zou worden. Op 6 december ontving Grafana Labs een tweede melding over de kwetsbaarheid. Een dag later bleek dat informatie over het lek openbaar was geworden. Daarop werd besloten om de update gisteren, een week voor de geplande release, uit te brengen. Beheerders van installaties met Grafana versie 8.0.0-beta1 tot en met 8.3.0 wordt aangeraden om te updaten naar versie 8.3.1, 8.2.7, 8.1.8 of 8.0.7. De impact van het lek is op een schaal van 1 tot en met 10 met een 7.5 beoordeeld. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox gelanceerd die van een nieuwe sandbox is voorzien en nu voor alle gebruikers bescherming tegen Spectre-achtige aanvallen ingeschakeld heeft staan. Daarnaast zijn meerdere kwetsbaarheden in de browser verholpen. De grootste aanpassing in de nieuwe Firefox-versie is de toevoeging van RLBox. Dit is een nieuwe sandboxtechnologie die Firefox moet beschermen tegen kwetsbaarheden in third-party libraries waar de browser gebruik van maakt, zoals audio- en videocodecs. De sandbox zorg ervoor dat het niet mogelijk is om via een kwetsbaarheid in een dergelijke library de volledige browser te compromitteren zoals voorheen wel zou kunnen. Verder heeft Mozilla besloten om voor alle gebruikers Site Isolation in te schakelen. Dit is een beveiligingsfeature die gebruikers tegen sidechannel-aanvallen zoals Spectre moet beschermen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen. Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen. Daarnaast zijn er meerdere kwetsbaarheden in Firefox verholpen die spoofingaanvallen en cross-site scripting mogelijk maken. Geen van de opgeloste beveiligingslekken is als kritiek aangemerkt, hoewel meerdere kwetsbaarheden kunnen leiden tot crashes die volgens Mozilla met genoeg moeite tot het uitvoeren van willekeurige code kunnen leiden. Firefox 95 is te downloaden via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Google heeft een botnet dat uit zo'n één miljoen computers bestaat verstoord en is een rechtszaak tegen de verdachte botnetbeheerders gestart. De Glupteba-malware verzamelt data, wachtwoorden en andere inloggegevens van besmette computers en gebruikt die voor het delven van cryptovaluta. Daarnaast worden besmette machines als proxies ingezet voor het routeren van het internetverkeer van anderen. Naast Windowscomputers infecteert de malware ook ongepatchte MikroTik-routers. Voor het besmetten van computers maakt Glupteba gebruik van pay per install (PPI) netwerken en verkeer dat wordt ingekocht bij traffic distribution systems (TDS), merkt Google op. De malware doet zich onder andere voor als softwarecracks. De criminelen achter de malware gebruiken onder andere de diensten van Google voor de verspreiding ervan. Zo heeft het techbedrijf 63 miljoen Google Docs verwijderd waarmee de malware werd verspreid, alsmede bijna 1200 Google-accounts, 900 Cloudprojecten en 870 Google Ads-accounts. Verder waarschuwde Google 3,5 miljoen gebruikers voor het downloaden van de malware. Volgens Google groeide het botnet met duizenden nieuwe apparaten per dag. Samen met industriepartners zoals CloudFlare heeft Google de command & control-infrastructuur, waarmee de criminelen besmette machines aanstuurden, verstoord. Die hebben daardoor op het moment geen controle meer over het botnet. Het is echter de verwachting dat de criminelen zullen proberen om via een back-upmechanisme weer de controle over het botnet terug te krijgen, waarschuwt Google. Daarom heeft het techbedrijf naast technische stappen ook juridische maatregelen tegen de verdachte botnetbeheerders genomen die zich in Rusland zouden bevinden. Die zijn aangeklaagd voor computerfraude en -misbruik, merkinbreuk en andere claims (pdf). Daarnaast heeft Google de rechter gevraagd om de verdachten tijdelijke beperkingen op te leggen, om zo de technische operatie tegen het botnet te versterken. "Indien succesvol zal deze actie voor echte juridische aansprakelijkheid voor de beheerders zorgen", laat Google weten. De twee blogpostings waarin Google de actie aankondigt zijn op het moment van schrijven offline. bron: https://www.security.nl

Microsoft heeft door middel van een gerechtelijk bevel van een Amerikaanse rechter meerdere domeinen van een spionagegroep in beslag genomen die volgens het techbedrijf vanuit China opereert. Microsoft noemt de groep Nickel, maar die staat ook bekend KeC\ang, APT15, APT25, Vixen Panda, Royal APT en Playful Dragon. De groep is volgens Microsoft sinds 2016 actief, maar de huidige operaties vinden sinds september 2019 plaats en zijn gericht tegen overheidsinstellingen, denktanks en mensenrechtenorganisaties in 29 landen. Daarbij hebben de aanvallers het vooral voorzien op het verzamelen van inlichtingen. Voor het uitvoeren van de aanvallen maakt de groep gebruik van spearphishing, gestolen inloggegevens van Microsoft 365-accounts en bekende kwetsbaarheden in Exchange Server, SharePoint en vpn-oplossingen zoals Pulse Secure VPN. Voor zover bekend maakt de groep geen gebruik van zerodaylekken. Zodra er toegang tot systemen is verkregen installeren de aanvallers lastig te detecteren malware voor surveillance en datadiefstal, stelt Microsoft. Op 2 december stapte Microsoft naar een Amerikaanse rechter met het verzoek om domeinen in beslag te nemen die de groep bij de aanvallen gebruikt. De rechter gaf Microsoft hiervoor toestemming, waarop het techbedrijf de domeinen in beslag nam. Hierdoor heeft Microsoft onder andere zicht op de al door Nickel gemaakte slachtoffers en tactieken van de groep. "Onze actie zal er niet voor zorgen dat Nickel geen nieuwe aanvallen meer uitvoert, maar we denken dat we een belangrijk onderdeel van de infrastructuur hebben verwijderd waar de groep bij de laatste aanvallen gebruik van maakte", zegt Microsofts Tom Burt. Microsoft zal getroffen organisaties informeren dat ze zijn geïnfecteerd. Slachtoffers van de groep bevinden zich onder andere in Frankrijk, Hongarije, Italië, Portugal, Zwitserland, het Verenigd Koninkrijk en de Verenigde Staten. Om aanvallen door Nickel te voorkomen adviseert Microsoft onder andere het blokkeren van legacy authenticatieprotocollen in Azure Active Directory, het inschakelen van multifactorauthenticatie om misbruik van gecompromitteerde inloggegevens te voorkomen, Exchange Online policies te controleren en verkeer van anonimiseringsdiensten te blokkeren. De afgelopen jaren heeft Microsoft via 24 rechtszaken, waarvan vijf tegen statelijke actoren, in totaal meer dan tienduizend door cybercriminelen gebruikte domeinnamen en bijna zeshonderd door statelijke actoren gebruikte domeinnamen uit de lucht gehaald. Verder heeft het techbedrijf naar eigen zeggen de registratie van bijna 600.000 domeinen voor toekomstige criminelen activiteiten geblokkeerd.! bron: https://www.security.nl

Hardwarefabrikant QNAP doet op dit moment onderzoek naar een bitcoin-miner genaamd "oom_reaper" die QNAP NAS-systemen infecteert en de rekenkracht gebruikt voor het delven van bitcoins. Eenmaal besmet kan een proces op het NAS-systeem genaamd "oom_reaper" zo'n vijftig procent van de beschikbare cpu-capaciteit gebruiken voor het delven van de cryptovaluta, aldus de waarschuwing. Volgens QNAP doet de malware zich voor als een legitiem kernelproces genaamd oom_reaper. Dit proces heeft normaliter een PID van onder de 1000, terwijl de malafide versie meestal een PID van boven de 1000 heeft. Hoe NAS-systemen besmet raken laat QNAP niet weten. Wel roept het gebruikers op om direct maatregelen te nemen om hun NAS-systeem te beschermen. Zo wordt aangeraden de laatste versie van besturingssystemen QTS of QuTS Hero te installeren, alsmede de nieuwste versie van Malware Remover. Verder wordt het gebruik van sterkere wachtwoorden voor beheerders- en andere gebruikersaccounts aangeraden en het updaten van alle geïnstalleerde applicaties. Als laatste wordt afgeraden om het NAS-systeem direct aan het internet te koppelen of standaardpoortnummers zoals 443 en 8080 te vermijden. Hardwarefabrikant QNAP doet op dit moment onderzoek naar een bitcoin-miner genaamd "oom_reaper" die QNAP NAS-systemen infecteert en de rekenkracht gebruikt voor het delven van bitcoins. Eenmaal besmet kan een proces op het NAS-systeem genaamd "oom_reaper" zo'n vijftig procent van de beschikbare cpu-capaciteit gebruiken voor het delven van de cryptovaluta, aldus de waarschuwing. Volgens QNAP doet de malware zich voor als een legitiem kernelproces genaamd oom_reaper. Dit proces heeft normaliter een PID van onder de 1000, terwijl de malafide versie meestal een PID van boven de 1000 heeft. Hoe NAS-systemen besmet raken laat QNAP niet weten. Wel roept het gebruikers op om direct maatregelen te nemen om hun NAS-systeem te beschermen. Zo wordt aangeraden de laatste versie van besturingssystemen QTS of QuTS Hero te installeren, alsmede de nieuwste versie van Malware Remover. Verder wordt het gebruik van sterkere wachtwoorden voor beheerders- en andere gebruikersaccounts aangeraden en het updaten van alle geïnstalleerde applicaties. Als laatste wordt afgeraden om het NAS-systeem direct aan het internet te koppelen of standaardpoortnummers zoals 443 en 8080 te vermijden.

Mozilla lanceert morgen Firefox 95 die van een nieuwe sandboxtechnologie genaamd RLBox is voorzien die de browser beter tegen aanvallen moet beschermen. Alle grote browsers maken gebruik van een eigen sandboxproces om webcontent in te laden. Dit moet in theorie voorkomen dat een aanvaller de computer via een kwetsbaarheid in de browser kan overnemen. Er is namelijk een tweede kwetsbaarheid vereist om uit de sandbox te breken. Firefox voor de desktop isoleert daarnaast elke website in een eigen proces om zo te voorkomen dat de ene site toegang tot de andere zou kunnen krijgen. In de praktijk blijkt dat aanvallers meerdere kwetsbaarheden combineren. Zo wordt er eerst een beveiligingslek gebruikt om het gesandboxte proces te compromitteren waarin de malafide website draait, gevolgd door een tweede kwetsbaarheid om uit de sandbox te ontsnappen. Volgens Mozillas Bobby Holley zijn er daarom meerdere beveiligingslagen nodig om gebruikers te beschermen. De Firefox-ontwikkelaar ziet een nieuwe sandboxtechnologie genaamd RLBox, ontwikkeld in samenwerking met onderzoekers van de University of California San Diego en de University of Texas, als oplossing. RLBox zorgt voor het isoleren van subonderdelen in een eigen proces om de browser veiliger te maken. In plaats van de code in een geheel eigen proces te laden, wat nadelige gevolgen heeft voor prestaties en geheugengebruik, maakt RLBox gebruik van WebAssembly om potentieel buggy code te isoleren. RLBox compileert de code van het subonderdeel, zoals een audio- of videocodec, in WebAssembly, waarna de WebAssembly in native code wordt gecompileerd. Holley noemt dit een grote overwinning, omdat het gebruikers onder andere tegen supply-chain-aanvallen via dergelijke codecs moet beschermen. De Mozillamedewerker erkent dat RLBox niet voor alle subonderdelen van Firefox werkt, maar er verschillende onderdelen zijn waar het prima inzetbaar is. Daarnaast hoopt Holley dat ook andere browsers de technologie gaan gebruiken. Vooralsnog wordt RLBox binnen Firefox 95 gebruikt om vijf verschillende modules te isoleren, namelijk Graphite, Hunspell, Ogg, Expat en Woff2. De nieuwste Firefoxversie is vanaf morgen te downloaden. bron: https://www.security.nl

Wegens het risico van sim-swapping doen zowel eindgebruikers als banken er verstandig aan om codes voor tweefactorauthenticatie (2FA), waarmee erop een account kan worden ingelogd, niet via sms te versturen, maar hiervoor een app te gebruiken. Dat adviseert het Europees Agentschap voor cyberbeveiliging (ENISA). Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten. Via het overgenomen telefoonnummer kunnen vervolgens accounts van het slachtoffer worden overgenomen, bijvoorbeeld door het opvragen van 2FA-codes en het uitvoeren van wachtwoordresets. Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren. Aangezien aanvallers gebruikmaken van persoonlijke informatie van het slachtoffer adviseert ENISA om geen privédata te verstrekken aan mensen die zich als medewerker van de telecomprovider voordoet en de hoeveelheid dat op websites en social media te beperken. Verder wordt eindgebruikers aangeraden om bij het gebruik van tweefactorauthenticatie niet voor sms te kiezen, maar de 2FA-codes via een app te genereren. Ook geeft ENISA banken het advies om te stoppen met sms voor tweefactorauthenticatie en over te stappen op app-gebaseerde 2FA. "De laatste bankfraudes die met sim-swapping verband houden suggereren dat sms-2FA geen voldoende beveiligingsniveau biedt", aldus het Europees agentschap. Aangezien app-gebaseerde 2FA afhankelijk is van biometrie, een pincode of wachtwoordgebaseerde authenticatie van de gebruiker, is er geen risico dat de 2FA-code wordt onderschept zoals met sms het geval is. ENISA voegt toe dat veel banken al 2FA-apps voor het autoriseren van transacties gebruiken en zo tweefactorauthenticatie via sms aan het vervangen zijn bron: https://www.security.nl

Datalekzoekmachine Have I Been Pwned heeft vandaag tientallen miljoenen mensen gewaarschuwd dat het e-mailadres van hun Gravatar-account gecompromitteerd is. Gravatar is een dienst voor het aanmaken van een avatar dat op meerdere platformen is te gebruiken. Gebruikers kunnen via hun e-mailadres een account aanmaken en een avatar aan het account koppelen. Door middel van verschillende plug-ins is het vervolgens mogelijk om deze avatar te laden, bijvoorbeeld wanneer gebruikers reageren op blogpostings waarbij een e-mailadres is vereist. De blogsoftware controleert of het opgegeven e-mailadres is gekoppeld aan een Gravatar-avatar en zal die bij de gegeven reactie plaatsen. Vorig jaar liet een onderzoeker zien hoe het mogelijk is om gegevens van Gravatar-accounts te scrapen. Op deze manier werden namen, gebruikersnamen en md5-hashes van e-mailadressen die aan 167 miljoen Gravatar-accounts zijn gekoppeld verzameld. Vervolgens werden 114 miljoen van de md5-hashes gekraakt en vervolgens verspreid. De e-mailadressen zijn nu aan Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 114 miljoen gescrapete e-mailadressen was 72 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Softwarebedrijf Zoho waarschuwt voor een actief aangevallen zerodaylek in Desktop Central en roept organisaties op om de beschikbaar gemaakte beveiligingsupdate te installeren. De afgelopen maanden maken aanvallers misbruik van meerdere kwetsbaarheden in de software van Zoho. Desktop Central is een oplossing voor systeembeheerders voor het uitvoeren van patchmanagement, het uitrollen van software, mobile device management en het op afstand overnemen van systemen om problemen te verhelpen. Een kritieke kwetsbaarheid in de software, aangeduid als CVE-2021-44515, maakt remote code execution op Desktop Central-servers mogelijk. Door het versturen van een speciaal geprepareerd request kan een aanvaller ongeautoriseerde toegang krijgen en willekeurige code uitvoeren, aldus Zoho. Volgens het softwarebedrijf maken aanvallers al voor het uitkomen van de beveiligingsupdate misbruik van de kwetsbaarheid. Vorige week waarschuwde de FBI nog voor een actief aangevallen kwetsbaarheid in Zoho ManageEngine ServiceDesk Plus (CVE-2021-44077). Verder kregen Amerikaanse overheidsinstanties van het Cybersecurity and Infrastructure Security Agency (CISA) een deadline voor het patchen van een ander lek in ServiceDesk Plus (CVE-2021-37415) en maakte Microsoft melding van een wereldwijde spionagecampagne via een beveiligingslek in ManageEngine ADSelfService Plus (CVE-2021-40539). bron: https://www.security.nl

Een onbekende aanvaller die KAX17 wordt genoemd probeert gebruikers van het Tor-netwerk al sinds 2017 door middel van malafide Tor-servers te ontmaskeren, zo stelt een beveiligingsonderzoeker met het alias "nusenu" in een nieuw onderzoek. De aanvaller zou hiervoor honderden servers gebruiken. Dagelijks maken ruim twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de middle relay doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. KAX17 heeft zowel entry guard-, middle relay- als exit-servers aan het Tor-netwerk toegevoegd, waardoor hij Tor-gebruikers zou kunnen ontmaskeren. Volgens de onderzoeker hebben Tor-gebruikers een kans van 16 procent om met een guard-server van KAX17 verbinding te maken en zelfs een kans van 35 procent om met een middle relay-server te verbinden. De onderzoeker noemt dit een zorgwekkende ontwikkeling, omdat veel aanvallen zich specifiek op de exit-server richten, aangezien een aanvaller via een malafide exit-server het verkeer dat naar het internet gaat kan zien en mogelijk aanpassen. KAX17 richt zich op de entry guard en middle relay. "Deze plekken zijn nutteloos voor de normale aanvaller die exit-verkeer snift en manipuleert, omdat in deze plekken geen plaintext verkeer zichtbaar is", aldus Nusenu. Aanvallers die aanvallen op deze locaties uitvoeren zijn volgens de onderzoeker geavanceerder omdat de aanvallen lastiger zijn uit te voeren en een hoger kennisniveau vereisen. Nusenu rapporteerde de servers van KAX17 vorig jaar oktober aan het Tor Project, waarna ze werden verwijderd. Een dag na het verwijderen van deze servers verscheen er een nieuwe groep malafide Tor-servers. De onderzoeker kan deze servers echter niet met zekerheid aan KAX17 toeschrijven. bron: https://www.security.nl

Onderzoekers hebben in negen populaire wifi-routers in totaal 226 kwetsbaarheden gevonden zoals hardcoded en standaard wachtwoorden en het gebruik van verouderde en kwetsbare libraries. Voor het onderzoek van IoT Inspector en het Duitse computermagazine Chip (pdf) werd de firmware van de negen wifi-routers automatisch op vijfduizend bekende kwetsbaarheden en andere problemen geanalyseerd. Dit leverde in totaal 226 kwetsbaarheden op. Het ging met name om het gebruik van verouderde Linux-kernels en versies van BusyBox, standaard wachtwoorden zoals admin en hardcoded wachtwoorden in plaintext. De meeste beveiligingslekken, 32 in totaal, werden in de TP-Link Archer AX6000 aangetroffen. De onderzoekers waarschuwden de fabrikanten, die daarop met firmware-updates kwamen. "Het wijzigen van wachtwoorden bij het eerste gebruik en het inschakelen van de automatische updatefunctie moet standaard bij alle IoT-apparaten zijn, ongeacht of het apparaat in een thuis- of kantoornetwerk wordt gebruikt. Het grootste gevaar, naast kwetsbaarheden die de fabrikant introduceert, is het gebruik van een IoT-apparaat onder het motto 'plug, play and forget'", waarschuwt Jan Wendenburg van IoT Inspector. bron: https://www.security.nl

Encryptiesoftware VeraCrypt is de ondersteuning van Windows Vista, Windows 7, 8 en 8.1 gestopt. Ook Mac OS X Lion en Mountain Lion worden niet meer ondersteund. Dat blijkt uit de release notes van de nieuwste versie (1.25) die eerder deze week verscheen. Het niet meer ondersteunen van de oudere Windowsversies heeft te maken met nieuwe vereisten voor het signeren van drivers waar TrueCrypt gebruik van maakt. Dit lijkt echter niet te gelden voor Windows XP. De encryptiesoftware blijft deze Windowsversie dan ook ondersteunen. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Het wordt voor het grootste deel door één persoon ontwikkeld. Via de software is het mogelijk om systemen volledig te versleutelen of versleutelde containers aan te maken. De vorige versie dateerde van 28 november 2020. Nu een jaar later is versie 1.25 verschenen. Naast het stopzetten van de ondersteuning van verschillende Mac OS X- en Windowsversies ondersteunt TrueCrypt voor het eerst de M1-chip van Apple en is basale ondersteuning van OpenBSD toegevoegd. Voor morgen staat de release van VeraCrypt 1.25.4 gepland. bron: https://www.security.nl