Captain Kirk

De Duitse overheid waarschuwt bedrijven en organisaties in het land voor ransomware-aanvallen tijdens de komende kerstvakantie. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, en de Duitse federale politie (BKA) is er tijdens deze periode een verhoogde kans op aanvallen. Aanleiding voor de waarschuwing is de terugkeer van de beruchte Emotet-malware en dat veel Microsoft Exchange-servers in Duitsland nog altijd kwetsbaar zijn voor aanvallen. Het BSI spreekt van een "dreigend scenario" en roept bedrijven en organisaties op om beveiligingsmaatregelen te treffen. "We zien duidelijke signalen van een toegenomen dreiging van Emotet alsmede kwetsbare Exchange-servers en de daaropvolgende ransomware-aanvallen in Duitsland", zegt BSI-directeur Arne Schönbohm. "Feestdagen en weekenden zijn in het verleden herhaaldelijk voor dergelijke aanvallen gebruik, aangezien veel bedrijven en organisaties dan minder snel kunnen reageren. Het is nu het moment om gepaste beveiligingsmaatregelen te treffen." Het BSI stelt verder dat er veel kwetsbare Exchange-servers in Duitsland zijn, omdat beheerders hebben nagelaten beschikbare beveiligingsupdates te installeren. De overheidsinstantie is echter ook bekend met verschillende gevallen waarbij het installeren van de patch "niet het gewenste beschermende effect" had. Zo kan het voorkomen dat servers al voor de installatie van een update gecompromitteerd zijn. bron: https://www.security.nl

Usb-sticks zijn essentieel voor aanvallen op air-gapped netwerken, zo stelt antivirusbedrijf ESET op basis van eigen onderzoek. Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Dergelijke niet op internet aangesloten computers kunnen echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Een bekend voorbeeld hiervan is Stuxnet. De afgelopen jaren zijn er meerdere malware-exemplaren gevonden die ontwikkeld zijn voor aanvallen op air-gapped netwerken. Onderzoekers van ESET onderzochten zeventien van dergelijke frameworks die sinds 2006 bij aanvallen zijn ingezet. In veel gevallen is de initiële infectievector van deze malware-exemplaren niet bekend. Aanvallers moeten, wanneer er geen directe toegang tot het beoogde systeem is, bijvoorbeeld door een kwaadwillende medewerker, eerst een systeem in de organisatie zien te infecteren voordat verdere aanvallen mogelijk zijn. Een aantal van de frameworks maakt echter gebruik van e-mailbijlagen, zoals malafide documenten, lnk-bestanden en meegestuurde software. Eenmaal actief op een besmet systeem wacht de malware totdat er een usb-stick wordt aangesloten. Alle onderzochte malware-exemplaren maken gebruik van usb-sticks om zich verder te verspreiden en air-gapped systemen aan te vallen. Er werden geen andere communicatiekanalen gebruikt voor bijvoorbeeld het stelen van data, hoewel onderzoekers de afgelopen jaren aantoonden dat dit op allerlei manieren mogelijk is, zoals het gebruik van speakers, toetsenbordlampjes en het geluid van de harde schijf. Zodra de usb-stick met de malware besmet is, is het wachten totdat die op andere systemen wordt aangesloten. Hierbij blijken de onderzochte malware-exemplaren verschillende manieren te gebruiken om deze nieuwe systemen te infecteren. Het gaat dan om het gebruik van autorun, kwetsbaarheden in Windows bij het verwerken van LNK-bestanden en LNK-bestanden die naar de malware wijzen. Zo maakte Stuxnet gebruik van een LNK-kwetsbaarheid in Windows, waardoor alleen het aansluiten van een usb-stick voldoende was. Er was geen interactie van gebruikers vereist en het maakte ook niet uit of autorun of autoplay stonden uitgeschakeld. Van de onderzochte frameworks, waaronder ook Stuxnet, blijkt driekwart malafide LNK- of autorun-bestanden op usb-sticks te gebruiken om het air-gapped netwerk te infecteren. De malware op de air-gapped systemen verzamelt vervolgens allerlei documenten en andere belangrijke bestanden en plaatst die op de besmette usb-stick. Zodra de usb-stick op een met internet verbonden systeem wordt aangesloten zal de malware deze verzamelde data naar de aanvallers sturen. Alle onderzochte malware-exemplaren waren ontwikkeld voor spionage, aldus de onderzoekers. Preventie Om aanvallen op air-gapped systemen te voorkomen wordt aangeraden maatregelen tegen malafide LNK- en autorun-bestanden te nemen. Een andere optie is het uitschakelen van de usb-poorten van air-gapped systemen, het automatisch opschonen van aangesloten usb-sticks en het verwijderen van alle LNK- en autorun.inf-bestanden van usb-sticks. De onderzoekers merken op dat air-gapped malware lastig te detecteren is, aangezien telemetrie hierover ontbreekt. "Systemen binnen air-gapped netwerken versturen geen telemetrie, wat voor een grote blinde vlek zorgt en bijdraagt aan de tijd dat het duurt voor de ontdekking en detectie van nieuwe malware die het op air-gapped netwerken heeft voorzien." In veel gevallen blijkt dat air-gapped malware al lange tijd actief is voordat het wordt ontdekt. bron: https://www.security.nl

Onderzoekers hebben een kritieke kwetsbaarheid in meer dan honderdvijftig modellen printers van HP ontdekt waardoor de apparaten op afstand zijn over te nemen. Alleen het bezoeken van een malafide website is voldoende om aanvallers code op kwetsbare printers te laten uitvoeren, maar het lek is ook door een worm te misbruiken, zo meldt antivirusbedrijf F-Secure dat het probleem ontdekte. De malafide website zou automatisch een document met malafide fonts op de kwetsbare printer kunnen printen, waardoor een buffer overflow ontstaat en remote code execution mogelijk is. Vervolgens zou een aanvaller informatie van de printer kunnen stelen, zoals geprinte, gescande en gefaxte documenten, maar ook informatie zoals wachtwoorden en inloggegevens die het apparaat gebruikt voor de verbinding met de rest van het netwerk. Volgens de onderzoekers zou een gecompromitteerde printer ook voor verdere aanvallen tegen het netwerk zijn te gebruiken, zoals de verspreiding van ransomware. Het probleem wordt veroorzaakt door de manier waarop de HP-printers fonts verwerken en zou ook door een worm te misbruiken zijn, aldus de onderzoekers. Een besmette printer zou zo automatisch en zonder gebruikersinteractie andere printers in het netwerk kunnen infecteren. F-Secure stelt in de aankondiging van het beveiligingslek dat alleen het bezoeken van een malafide website voldoende is om automatisch een document op de printer te printen, maar in een video waarin de kwetsbaarheid wordt gedemonstreerd is te zien hoe een gebruiker eerst op een link klikt. De impact van de kwetsbaarheid, aangeduid als CVE-2021-39238, is op een schaal van 1 tot en met 10 met een 9,3 beoordeeld. HP heeft firmware-updates uitgebracht en adviseert gebruikers en organisaties om die te installeren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een recent gepatchte kwetsbaarheid in Apache HTTP Server, zo waarschuwen Cisco en het Computer Emergency Response Team van de Duitse overheid (CERT-Bund). De kwetsbaarheid, aangeduid als CVE-2021-40438, is aanwezig in Apache HTTP Server 2.4.48 en eerder. De Apache Software Foundation bracht op 16 september een update uit om het beveiligingslek te verhelpen. De "mod_proxy" module van de Apache-server fungeert als een proxy/gateway en ondersteunt verschillende protocollen en mechanismes voor het loadbalancen van webservices zoals videoconferencing. Door middel van Server-Side Request Forgery is het mogelijk voor een ongeauthenticeerde aanvaller om de Apache-server bepaalde requests te laten doorsturen naar een willekeurige server. "Door het versturen van een speciaal geprepareerd request kunnen aanvallers de mod_proxy-module (wanneer ingeschakeld) dwingen om verbindingen naar een server naar keuze te routeren, waardoor aanvallers geheimen kunnen stelen, zoals infrastructuur-metadata of keys, of toegang tot andere interne servers kunnen krijgen", aldus internetbedrijf Fastly dat vorige maand nog 500.000 kwetsbare Apache-servers via de zoekmachine Shodan vond. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, maken aanvallers gebruik van de kwetsbaarheid voor het stelen van wachtwoordhashes. Onder andere de videoconferentiesoftware Cisco Expressway Series is kwetsbaar, zo stelt het BSI (pdf). Cisco meldt dat het ook misbruik van het beveiligingslek heeft waargenomen, maar geeft geen verdere details. Wel onderzoekt het bedrijf welke producten risico lopen. Onlangs werd er ook misbruik van een andere Apache-kwetsbaarheid gemaakt. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server. bron: https://www.security.nl

De FluBot-malware waar de Nederlandse politie onlangs nog voor waarschuwde wordt via duizenden gecompromitteerde WordPress-sites verspreid. Internetbedrijf Netcraft stelt dat het bijna tienduizend websites heeft gevonden die een rol spelen bij de verspreiding van de beruchte Androidmalware. FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan Flubot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt hiervoor welke applicaties erop het toestel geïnstalleerd staan. In het geval van bankapplicaties zal Flubot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst Flubot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen. Om FluBot te verspreiden maken criminelen gebruik van sms-berichten die een zogenaamde trackinglink bevatten. Deze links wijzen naar de gecompromitteerde WordPress-sites waarop een script is geïnstalleerd. Dit script toont bezoekers een melding dat ze een zogenaamde app van DHL of UPS moeten installeren om de trackinginformatie te kunnen zien. In werkelijkheid gaat het om de FluBot-malware. Volgens Netcraft zijn de WordPress-sites door middel van kwetsbare plug-ins en themes gecompromitteerd, waardoor vervolgens de malafide code kon worden toegevoegd. "De omvang van deze operatie is indrukwekkend, waarbij soms meer dan duizend nieuwe websites per week met FluBot-scripts worden geïnfecteerd. Dat is een gemiddelde van één site per tien minuten", zegt Sean Gebbett van Netcraft. bron: https://www.security.nl

Zoom heeft de eigen software van een nieuwe feature voorzien waardoor updates voortaan automatisch worden geïnstalleerd. Voor de meeste individuele gebruikers zal de automatische updatefunctie standaard staan ingeschakeld, maar het is mogelijk om de optie uit te schakelen. Zodra de videobelsoftware ziet dat er een update beschikbaar is krijgen gebruikers, als ze niet in een meeting zitten, een melding te zien om de software te updaten. Wanneer de gebruiker in een meeting zit zal de melding hierna verschijnen. Kiezen gebruikers ervoor om de update niet meteen te installeren dan zal die automatisch bij de volgende start van de software worden geïnstalleerd. "Updates zijn essentieel in de techindustrie. Wanneer het gaat om nieuwe features, een softwarebug of een kwetsbaarheid die moet worden verholpen, brengen we updates voor de Zoom-client uit. Deze update wordt soms gemist, veel mensen zijn druk en vergeten hun applicaties te updaten", zegt Jeromie Clark van Zoom. Gebruikers kunnen zelf instellen hoe vaak ze updates willen ontvangen. De "slow" optie, die standaard staat ingeschakeld, is bedoeld voor updates die met name op de stabiliteit zijn gericht en zullen minder vaak verschijnen. Bij de "fast" optie verschijnen updates vaker en gaat het met name om nieuwe features. Belangrijke beveiligingsupdates worden ongeacht de ingestelde voorkeur uitgerold. De automatische updatefunctie is op dit moment beschikbaar voor de macOS- en Windows-versies van Zoom. Zoom voor smartphones en tablets is via de betreffende appstores te updaten en Linux wordt op dit moment niet ondersteund, aldus een uitleg van het bedrijf. bron: https://www.security.nl

Panasonic onderzoekt een datalek nadat een aanvaller toegang tot een fileserver van de elektronicagigant kreeg. In een melding laat het bedrijf weten dat het de ongeautoriseerde toegang op 11 november ontdekte (pdf), maar veel details worden niet gegeven. Volgens de Japanse publieke omroep NHK had de aanvaller bijna vijf maanden toegang tot de server voordat die werd opgemerkt. Panasonic stelt dat de aanvaller data op de filesever heeft benaderd. Op dit moment wordt onderzocht of het om persoonlijke informatie gaat en/of gevoelige bedrijfsgegevens. Het incident is bij de relevante autoriteiten gemeld. Daarnaast zegt het bedrijf maatregelen te hebben genomen, waaronder het voorkomen van externe toegang tot het eigen netwerk. bron: https://www.security.nl

Interpol heeft onlangs honderden agenten getraind om stalkerware bij slachtoffers van huiselijk geweld te kunnen detecteren. Stalkerware is de benaming voor commercieel verkrijgbare software waarmee smartphone- en computergebruikers zijn te bespioneren. De software wordt zonder medeweten van het slachtoffer op zijn of haar telefoon of computer geïnstalleerd en geeft de gebruiker onder andere toegang tot ontvangen en verstuurde berichten, locatie, foto's en andere data van het slachtoffer. Een kenmerk van stalkerware is dat het de nodige moeite doet om niet te worden opgemerkt. De software wordt onder andere gebruikt door stalkers, ex-partners en echtgenoten die zich aan huiselijk geweld schuldig maken, zo stelt de Amerikaanse burgerrechtenbeweging EFF. De EFF lanceerde twee jaar geleden samen met antivirusbedrijven Avira, G Data, Kaspersky, Malwarebytes en NortonLifeLock de Coalition Against Stalkerware. Het aantal deelnemers aan de coalitie is dit jaar de veertig gepasseerd. Onder andere Interpol, de Franse gendarmerie en het Tor Project besloten zich aan te sluiten. Kaspersky detecteerde vorig jaar op zo'n 54.000 smartphones stalkerware. Van januari tot oktober dit jaar werden 28.000 besmette telefoons waargenomen. Het werkelijke aantal infecties ligt waarschijnlijk veel hoger, omdat dit alleen de cijfers van Kaspersky zijn. Om ervoor te zorgen dat politieagenten weten wat stalkerware is en hoe ze dit kunnen herkennen werden onlangs ruim tweehonderd politieagenten door Interpol getraind. Ook lanceerde Kaspersky de gratis opensourcetool TinyCheck, waarmee toestellen op stalkerware zijn te controleren. "Twee jaar geleden wist het publiek en politie weinig van de dreiging van stalkerware", zegt David Ruiz van Malwarebytes. Volgens Ruiz heeft de coalitie een belangrijke rol gespeeld bij het vergroten van het bewustzijn over stalkerware. Het zijn echter niet alleen smartphones waar stalkers zich op richten, aldus de EFF. "Het Internet of Things wordt steeds vaker gebruikt voor intimidatie en controle in relaties met huiselijk geweld." Volgens Eva Galperin van de EFF en medeoprichter van de coalitie is stalkerware slechts onderdeel van een compleet technisch ecosysteem dat misbruik mogelijk maakt. "Maar is het één van de meest angstaanjagende tools en maakt slachtoffers met name kwetsbaar voor fysiek stalken, onderdrukking en escalerend geweld." bron: https://www.security.nl

Een nieuw in Nederland ontwikkeld platform moet het mogelijk maken voor internetgebruikers om op een privacyvriendelijke wijze versleuteld bestanden te versturen. Via Cryptify is het op dit moment mogelijk om bestanden tot maximaal twee gigabyte te delen. Gebruikers vullen hun eigen e-mailadres in en dat van de ontvanger. De opgegeven ontvanger ontvangt vervolgens via e-mail een downloadlink. Om als ontvanger de bestanden te kunnen ontsleutelen en downloaden moet met de IRMA-app een qr-code worden gescand. IRMA staat voor 'I Reveal My Attributes' en is een soort van gepersonaliseerd paspoort dat op de telefoon van de gebruiker wordt opgeslagen. Gebruikers kunnen allerlei persoonlijke attributen aan de IRMA-app toevoegen, zoals naam, adresgegevens, geboortedatum, BSN, telefoonnummer, e-mailadres of onderwijsidentiteit. Ook vanuit sociale media zoals LinkedIn, Twitter en Facebook kunnen gegevens worden geladen. Via de IRMA-app geeft de ontvanger alleen zijn e-mailadres vrij, om aan te tonen dat hij daadwerkelijk de ontvanger van het gedeelde bestand is. "Het mooie aan Cryptify is dat bestanden direct in de browser van de verzender worden versleuteld, voordat ze naar een server worden gestuurd”, zegt Arjen, één van de ontwikkelaars. "Op die manier kunnen kwaadwillenden niet bij de bestanden, zelfs niet als ze de server hacken." Cryptify wordt ontwikkeld door de stichting Privacy by Design en is opgestart met steun van het fonds van de Stichting Internet Domeinregistratie Nederland (SIDN). Voor de verwerking van de gegevens van gebruikers wordt samengewerkt met hostingpartij ProcoliX. "Daarbij is het belangrijk om te vermelden, dat we alleen gegevens verwerken die voor de Cryptify-dienst noodzakelijk zijn", laat Arjen in een interview met de SIDN weten. Hij voegt toe dat ProcoliX de versleutelde bestanden die gebruikers versturen tijdelijk opslaat, maar de inhoud van deze bestanden niet kan zien. "De cryptografische sleutels waarmee de bestanden zijn versleuteld, liggen bij Privacy by Design. Daardoor kunnen beide partijen nooit zelf de bestanden van gebruikers ontsleutelen. Op die manier waarborgen we de veiligheid en de privacy van gebruikers." Cryptify is nog in ontwikkeling en zal verder worden uitgebreid. Een belangrijk onderdeel daarbij is de authenticatie van de verzender van bestanden. "Op dit moment moet alleen de ontvanger zich identificeren met de IRMA-app, maar we willen ervoor zorgen dat ook de verzender zich met IRMA moet identificeren. Zo weet de ontvanger zeker wie het bestand heeft gedeeld", zegt Hanna Schraffenberger, universitair docent bij Digital Security op de Radboud Universiteit en onderzoeker bij de stichting Privacy by Design. bron: https://www.security.nl

Beste Clovis, Wat vervelend zeg. Even voor de duidelijkheid voor ons: heb je al geprobeerd bij iemand op je Gmail te komen? Wat ik uit je verhaal begrijp, is dat je na het vervangen van je modem niet meer bij je Gmail kunt komen. Dat zou kunnen komen doordat er een nieuw IP-adres aan de modem verbonden is. Normaliter moet je dan op je GSM of via mail een bericht krijgen dat er een nieuw apparaat heeft ingelogd en of jij dat zelf bent. Maar daarmee wordt de toegang normaal niet geblokkeerd. Heb je al contact gezocht met Scarlet? Pas na hun aanpassing heb je dit probleem, dus logischer is dat er iets in de instelling van de modem niet goed staat.

Google en andere advertentiebedrijven moeten de huidige privacyrisico's van online advertenties oplossen en stoppen met het ongeremd verzamelen en gebruiken van gebruikersdata, zo vindt de Britse privacytoezichthouder ICO die hiervoor een reeks standaarden heeft opgesteld. Advertentiebedrijven werken aan allerlei nieuwe methodes voor online advertenties. De Google Privacy Sandbox is volgens de ICO één van de belangrijkste voorstellen hierin. Hiermee wil Google het gebruik van third-party cookies voor het volgen van mensen op internet vervangen door alternatieve technologieën die gerichte advertenties nog steeds mogelijk maken. In de standaarden van de Britse privacytoezichthouder staat dat mensen zonder tracking, profilering of het excessief verzamelen van persoonlijke informatie advertenties moeten kunnen ontvangen. Wanneer mensen er wel voor kiezen om hun data te delen moeten advertentiebedrijven voor betekenisvolle aansprakelijkheid zorgen en mensen controle over hun data geven en de mogelijkheid om hun informatierechten uit te oefenen. Verder moeten advertentiebedrijven kunnen rechtvaardigen dat het gebruik van persoonlijke data voor online advertenties eerlijk, noodzakelijk en proportioneel is, en gebruikers duidelijk uitleggen hoe en waarom hun informatie wordt gebruikt. "Wat we tijdens ons onderzoek naar advertentietechnologie ontdekten is dat bedrijven persoonlijke informatie verzamelen en met honderden, zo niet met duizenden bedrijven delen, over waar iemand naar kijkt en online doet om gerichte advertenties en content te tonen", aldus de Britse informatiecommissaris Elizabeth Denham. "In de meeste gevallen zijn mensen zich hier niet van bewust of hebben geen expliciete toestemming gegeven. Dit moet veranderen." bron: https://www.security.nl

Een kwetsbaarheid in Windows waarvoor afgelopen maandag een proof-of-concept exploit verscheen wordt inmiddels actief door aanvallers misbruikt, zo waarschuwt Cisco. Microsoft kwam op 9 november met een beveiligingsupdate voor een kwetsbaarheid in de Windows-installer aangeduid als CVE-2021-41379. Via het beveiligingslek kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen en admin worden. Beveiligingsonderzoeker Abdelhamid Naceri die de kwetsbaarheid ontdekte en via het Trend Micro Zero Day Initiative aan Microsoft rapporteerde liet afgelopen maandag weten dat de door Microsoft uitgerolde update het probleem niet volledig verhelpt. Gebruikers lopen daardoor nog steeds risico. Als bewijs publiceerde Naceri een proof-of-concept exploit die misbruik van het lek maakt. Een dag na de publicatie van deze code maken aanvallers actief misbruik van de kwetsbaarheid, aldus Cisco. Het bedrijf heeft rules voor het intrusion detection en prevention systeem Snort uitgebracht om aanvallen te detecteren. Naceri laat zelf weten dat gebruikers het beste kunnen wachten totdat Microsoft een nieuwe patch uitrolt. Het beveiligingslek is op zichzelf niet voldoende om systemen over te nemen en zou in dit geval moeten worden gecombineerd met een andere kwetsbaarheid of software die de gebruiker installeert. bron: https://www.security.nl

Microsoft heeft de standaardversie van Edge voorzien van een "Super Duper Secure Mode" die gebruikers tegen kwetsbaarheden in de browser moet beschermen door een specifiek onderdeel uit te schakelen. Veel van de beveiligingslekken waar op Chromium gebaseerde browsers zoals Edge mee te maken hebben bevinden zich in de V8 JavaScript-engine die browsers gebruiken voor het uitvoeren van JavaScript. Het gaat dan met name om het deel dat voor "Just-In-Time Compilation" (JIT) verantwoordelijk is. JIT is ontworpen om het uitvoeren van bepaalde JavaScript-taken te versnellen. Hiervoor wordt JavaScript voordat het wordt gebruikt gecompileerd in machine code. Wanneer de browser deze code nodig heeft is het aanwezig, wat een groot prestatievoordeel biedt. "Prestaties en complexiteit hebben een prijs", aldus Microsofts Johnathan Norman. Dit is vaak te zien in de vorm van kwetsbaarheden en daaropvolgende beveiligingsupdates. Bijna de helft van alle kwetsbaarheden in de V8-engine hebben met het JIT-gedeelte te maken. Microsoft ontwikkelde daarom de "Super Duper Secure Mode" waarbij het JIT binnen Edge wordt uitgeschakeld. Uit onderzoek dat het Edge-team uitvoerde bleek dat het uitschakelen van JIT nauwelijks merkbaar voor gebruikers is. Verder blijkt het uitschakelen van JIT niet alleen beveiligingsvoordelen te hebben, ook qua stroomverbruik zijn er verbeteringen zichtbaar. In augustus was de beveiligingsfeature beschikbaar in de testversies van Edge, maar die is nu ook in de standaardversie van de browser uitgerold. Gebruikers kunnen daarbij uit twee opties kiezen. De eerste is Balanced, waarbij JIT op nieuwe, niet vaak bezochte sites wordt uitgeschakeld en Strict, waarbij JIT op alle sites uitstaat. bron: https://www.security.nl

Hostingbedrijf GoDaddy heeft van 1,2 miljoen klanten met een beheerde WordPress-omgeving hun gegevens gelekt. Op 17 november ontdekte het bedrijf dat een aanvaller via een gecompromitteerd wachtwoord toegang tot het provisioningsysteem had gekregen dat voor beheerde WordPress-installaties wordt gebruikt. Op deze manier kreeg de aanvaller toegang tot de e-mailadressen en klantnummers van 1,2 miljoen actieve en inactieve WordPress-klanten. Ook het initieel gegenereerde adminwachtwoord voor de WordPress-installatie kwam in handen van de aanvaller. Verder zijn van actieve klanten de sFTP- en databasewachtwoorden gecompromitteerd. Bij een deel van de actieve klanten werd ook de SSL private key gestolen. GoDaddy heeft alle gecompromitteerde wachtwoorden gereset en zal voor klanten van wie de SSL private key is buitgemaakt nieuwe certificaten uitgeven en installeren. In een document aan de Amerikaanse beurswaakhond SEC zegt GoDaddy dat het van het datalek zal leren en maatregelen neemt om het gecompromitteerde systeem met aanvullende beveiligingsmaatregelen te versterken. bron: https://www.security.nl

Aanvallers die bruteforce-aanvallen uitvoeren om toegang tot systemen en servers te krijgen proberen alleen korte wachtwoorden, zo stelt Ross Bevington, een beveiligingsonderzoeker bij Microsoft. Bevington analyseerde meer dan 25 miljoen bruteforce-aanvallen via SSH op een honeypot-systeem. 77 procent van deze aanvallen probeerde een wachtwoord van van tussen de één en zeven karakters. Bij slechts zes procent van de aanvallen werd een wachtwoord van meer dan tien karakters geprobeerd. Dertig procent van alle wachtwoorden gebruikt bij de onderzochte bruteforce-aanvallen is zes karakters lang. Verder ontdekte Bevington dat slechts zeven procent van de bruteforce-aanvallen een speciaal teken bevatte. Het gebruik van tenminste één cijfer kwam bij 39 procent van de aanvallen voor. Tevens laat Bevington weten dat geen van de wachtwoorden die aanvallers gebruikten een spatie bevatte. Naast het analyseren van wachtwoorden zag de onderzoeker dat het aantal bruteforce-aanvallen op de honeypot-systemen van Microsoft dit jaar met 325 procent is toegenomen ten opzichte van vorig jaar. "Statistieken van SSH en VNC zijn net zo erg", aldus Bevington tegenover The Record. bron: https://www.security.nl

Mozilla stopt per 13 december de ondersteuning van de Firefox Lockwise-app voor Android en iOS, waardoor gebruikers van de wachtwoordmanager geen beveiligingsupdates en support meer zullen ontvangen. Gebruikers worden opgeroepen om opgeslagen wachtwoorden met de Firefox-browser te synchroniseren. Via Firefox Lockwise kunnen gebruikers hun wachtwoorden opslaan en die vanaf andere apparaten benaderen. Gebruikers moeten in dit geval zowel de mobiele app als de desktop-extensie hebben geïnstalleerd. Daarnaast is het gebruik van een Firefox Account verplicht. Mozilla heeft besloten de support van de Lockwise-app te beëindigen. "De applicatie blijft mogelijk op je toestel werken, maar zal geen support en beveiligingsupdates ontvangen", aldus de Firefox-ontwikkelaar. Gebruikers kunnen vanaf 13 december opgeslagen wachtwoorden in de Firefox-browser benaderen. In dit geval moeten gebruikers wel eerst hun wachtwoorden via een Firefox-account met hun browser synchroniseren. In het geval van Firefox voor iOS wordt dit al met in Lockwise opgeslagen wachtwoorden gedaan. bron: https://www.security.nl

Duizenden Firefoxgebruikers hebben onbedoeld hun cookiedatabase naar GitHub gecommit, waar ze eenvoudig zijn te vinden, waardoor misbruik mogelijk is. De cookies.sqlite-databases bevinden zich normaal in de Firefox-profieldirectory en bevatten cookies die onder andere worden gebruikt voor het inloggen op websites. GitHub is een populair platform voor softwareontwikkelaars. Ontwikkelaars kunnen code op hun systeem naar het platform committen. Sommige ontwikkelaars blijken bij het committen van code ook hun cookies.sqlite-database mee te sturen. Security-engineer Aidan Marlin vond naar eigen zeggen duizenden van dergelijke databases in openbare GitHub-repositories waar ze via een zoekopdracht eenvoudig zijn te vinden. Wat precies de reden is dat de databases worden gecommit is onbekend, maar Marlin vermoedt dat het gaat om ontwikkelaars die code vanuit hun Linux-homedirectory committen en niet weten dat ook de database wordt meegestuurd. Een zoekopdracht naar cookies.sqlite-databases op GitHub leverde ruim vierduizend hits op, zo meldt The Register. De engineer meldde het probleem via bugbountyprogramma HackerOne bij GitHub, maar het ontwikkelplatform liet weten dat door gebruikers gelekte inloggegevens niet voor een beloning in aanmerking komen. Met de cookies in de databases is het mogelijk om in te loggen op websites waar de betreffende gebruiker op het moment van de commit was ingelogd. Update Antivirusbedrijf Sophos herhaalde het experiment van Marlin en ontdekte bijna 4500 cookiedatabases. "Meestal gebeuren dit soort blunders doordat Linux- en Unix-computers standaard geen directories of bestandsnamen tonen die met een punt beginnen", zegt onderzoeker Paul Ducklin. bron: https://www.security.nl

Microsoft heeft dit jaar naar eigen zeggen meer dan veertig it-bedrijven zo'n zestienhonderd keer gewaarschuwd voor aanvallen door Iraanse actoren. Vorig jaar verstuurde Microsoft nog in totaal 48 waarschuwingen, terwijl de teller dit jaar al op 1647 staat. De aanvallers proberen volgens het techbedrijf toegang tot it-dienstverleners te krijgen om vervolgens hun klanten aan te kunnen vallen. De meeste aanvallen waren gericht tegen it-dienstverleners in India, gevolgd door verschillende bedrijven in Israël en de Verenigde Arabische Emiraten. Bij de it-bedrijven proberen de Iraanse aanvalsgroepen inloggegevens te stelen waarmee toegang tot de netwerken van klanten kan worden verkregen. "Hoewel de gebruikte techniek verschilt van andere recente supplychain-aanvallen, zijn deze aanvallen weer een voorbeeld van hoe statelijke actoren zich steeds vaker op supply chains richten als indirecte vector om hun doelen te bereiken", aldus Microsoft. Zo zou afgelopen juli een Israëlisch it-bedrijf dat managementsoftware levert zijn gecompromitteerd. Vervolgens werden klanten van dit bedrijf, actief in de Israëlische defensie, energie en juridische sector succesvol gecompromitteerd. Hoe de it-dienstverleners precies worden aangevallen laat Microsoft niet weten, maar in de adviezen om de aanvallen te stoppen wordt vooral het gebruik van multifactorauthenticatie voor Office 365- en e-mailaccounts aangeraden. bron: https://www.security.nl

Het Tor Project, de organisatie achter het Tor-netwerk, is een nieuwe campagne gestart waarbij het vrijwilligers die een bridge-server opzetten beloont met T-shirts, stickers en hoodies. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er "Tor-bridges". Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt. Op dit moment zijn er zo'n twaalfhonderd Tor-bridges, waarvan er negenhonderd het obfs4-obfuscatieprotocol ondersteunen om het netwerkverkeer aan te passen. "Helaas zijn deze aantallen sinds het begin van dit jaar aan het afnemen. Het is niet voldoende om veel bridges te hebben: uiteindelijk kunnen ze allemaal op blocklists belanden. Daarom hebben we een continue stroom van nieuwe bridges nodig die nog nergens worden geblokkeerd. En daarbij hebben we jou hulp nodig", zegt Gustavo Gus van het Tor Project. Met de nu gestarte campagne hoopt het Tor Project er tweehonderd nieuwe obfs4-bridges bij te krijgen. Om vrijwilligers hiervoor te belonen kunnen die voor het draaien van meerdere bridge-servers onder andere stickers, hoodies en T-shirts krijgen. Om een bridge-server te kunnen draaien is wel een statisch ipv4-adres vereist. Verder mogen er maar twee bridges per ip-adres draaien en is een uptime van 24/7 nodig. bron: https://www.security.nl

Een kwetsbaarheid in tientallen modellen routers van Netgear maakt het voor een ongeauthenticeerde aanvaller aan de LAN-kant mogelijk om code als root uit te voeren. Netgear heeft firmware-updates uitgebracht om het probleem te verhelpen, maar niet alle kwetsbare modellen worden nog met updates ondersteund. Het beveiligingslek is aanwezig in de Universal Plug and Play (UPnP) daemon. UPnP is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren De daemon accepteert ongeauthenticeerde requests van clients die updates willen ontvangen wanneer de UPnP-configuratie van het netwerk verandert. Door een speciaal geprepareerd request naar de daemon te sturen kan er een stack overflow ontstaan. Doordat de UPnP-daemon als root draait, kan een aanvaller op deze manier code met rootrechten uitvoeren. Netgear heeft updates beschikbaar gesteld om de kwetsbaarheid (CVE-2021-34991) te verhelpen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 8,8 beoordeeld. bron: https://www.security.nl

De Amerikaanse, Australische en Britse overheid hebben een waarschuwing afgegeven voor een groep aanvallers die door de Iraanse overheid zou worden gesponsord en misbruik maakt van bekende kwetsbaarheden in Microsoft Exchange en Fortinet FortiOS. Ook Microsoft is met een overzicht gekomen van verschillende groepen aanvallers die vanuit Iran zouden opereren. De groep aanvallers waarvoor de FBI, Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Australische Cyber Security Centre (ACSC) en het Britse National Cyber Security Centre (NCSC) waarschuwen maakt sinds maart van dit jaar misbruik van bekende beveiligingslekken in Fortinet FortiOS. Het gaat om CVE-2018-13379, CVE-2019-5591 en CVE-2020-12812 waardoor een aanvaller toegang tot Fortinet vpn-servers kan krijgen. De APT-groep wist via de beveiligingslekken onder andere het netwerk van een Amerikaans kinderziekenhuis te compromitteren, aldus de waarschuwing. Sinds oktober van dit jaar maken de aanvallers ook gebruik van van de ProxyShell-kwetsbaarheden in Microsoft Exchange. ProxyShell is een naam voor drie kwetsbaarheden die wanneer gecombineerd het voor ongeauthenticeerde aanvallers mogelijk maken om kwetsbare Exchange-servers op afstand over te nemen. Zodra de APT-groep toegang tot de Exchange-server heeft gekregen worden verdere aanvallen uitgevoerd om organisaties met ransomware te infecteren. Organisaties worden opgeroepen om beveiligingsupdates zo snel mogelijk te installeren wanneer die beschikbaar komen. Voor sommige van de aangevallen kwetsbaarheden zijn patches al geruime tijd beschikbaar. Daarnaast moeten de kwetsbaarheden aangeduid als CVE-2021-34473, CVE-2018-13379, CVE-2020-12812 en CVE-2019-5591 meteen worden gepatcht. bron: https://www.security.nl

Exchange Server 2013 is ook kwetsbaar voor een actief aangevallen beveiligingslek waardoor aanvallers de mailserver kunnen overnemen. Microsoft bracht op 9 november beveiligingsupdates uit voor Exchange Server 2016 en 2019 en heeft de patch nu ook voor Exchange Server 2013 beschikbaar gesteld. Op het moment dat Microsoft de update uitrolde werd er al misbruik van het beveiligingslek gemaakt. Verdere details werden niet gegeven, behalve dat meerdere onderzoekers het probleem aan Microsoft hadden gerapporteerd en het techbedrijf de kwetsbaarheid zelf ook had gevonden. De kwetsbaarheid, aangeduid als CVE-2021-42321, maakt het mogelijk voor een geauthenticeerde aanvaller om willekeurige code op de server uit te voeren. De aanvaller moet in dit geval over inloggegevens van een legitieme gebruiker beschikken om de server aan te vallen. De inloggegevens zouden bijvoorbeeld via phishing kunnen worden gestolen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 8,8 beoordeeld. Update Microsoft heeft de vermelding van Exchange Server 2013 uit het overzicht van kwetsbare Exchange-versies verwijderd omdat deze versie toch niet kwetsbaar blijkt te zijn. bron: https://www.security.nl

De Duitse overheid verwacht de komende tijd een toename van ddos-aanvallen op webwinkels en roept ondernemers op om maatregelen te nemen. Criminelen zouden Black Friday, Cyber Monday en de kerstperiode aangrijpen om winkeliers door middel van ddos-aanvallen af te persen. "De afgelopen weken hebben we ddos-aanvallen tot 21,8 miljoen requests per seconde (MRPS) gezien. Dit is een toename van 28 procent in vergelijking met eerdere aanvallen. Gevreesd wordt dat de aanvalstechnologieën tijdens de komende drukke periode worden ingezet, met name voor ddos-afpersing", zegt Arne Schönbohm, hoofd van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Volgens Schönbohm is het belangrijk dat webshops voorzorgsmaatregelen treffen. Daarbij moet vooral worden gelet op UDP-reflectie-aanvallen met veel requests. Verder roept het BSI aangevallen winkeliers op om niet op afpersingspogingen te reageren. Onlangs meldde Cloudflare dat het een ddos-aanval van 2 Tbps heeft geblokkeerd. De grootste aanval die het tot nu toe heeft gezien. bron: https://www.security.nl

Microsoft stopt met het twee keer per jaar uitbrengen van feature-updates voor Windows 10. In plaats daarvan zullen deze updates nog maar één keer per jaar verschijnen. Afhankelijk van de gebruikte Windows-versie worden de feature-updates achttien of dertig maanden met beveiligingsupdates ondersteund. Met de aanpassing wil Microsoft de releases van Windows 10 gelijk laten lopen aan die van Windows 11. Het techbedrijf deed de aankondiging bij de lancering van de Windows 10 November 2021 Update. Deze feature-update introduceert verschillende nieuwe functionaliteiten, waaronder de ondersteuning van Wifi 6 met het Wifi Protected Access 3 Hash-to-Element protocol (WPA3 H2E). Dit protocol moet een betere bescherming bieden tegen sidechannel-aanvallen waarbij wifi-wachtwoorden kunnen worden gestolen. Verder zijn er beveiligingsverbeteringen voor verschillende Windowsonderdelen doorgevoerd, waaronder de kernel, het app-platform en virtualisatie. Ook komen instellingen van Group Policy en mobile device management (MDM) meer met elkaar overeen. Meer dan veertienhonderd Group Policy-instellingen zijn nu ook via MDM te configureren. Microsoft roept organisaties op om de Windows 10 November 2021 Update gericht te testen om zo te kijken of apps, apparaten en hun infrastructuur met de nieuwe release goed blijft werken. De volgende feature-update voor Windows 10 staat gepland voor de tweede helft van 2022. Microsoft benadrukt dat het tenminste één versie van Windows 10 blijft ondersteunen tot het einde van de supportperiode op 14 oktober 2025. bron: https://www.security.nl

De ontwikkelaars van Brave hebben de browser van een ingebouwde cryptowallet voorzien die zonder het installeren van verdere extensies is te gebruiken, wat de veiligheid ten goede zou moeten komen. Via de wallet kunnen gebruikers grafieken zien, cryptovaluta en NFT's versturen en ontvangen, hun portfolio beheren en cryptovaluta aanschaffen. Ook is het mogelijk om via de ingebouwde cryptowallet verbinding te maken met hardware wallets zoals Trezor en Ledger. Volgens Brave zijn de meeste cryptowallets op dit moment alleen als browser-extensies beschikbaar, die beveiligingsrisico's met zich meebrengen en kwetsbaarder zijn voor phishing en diefstal van cryptovaluta. Verder stelt de browserontwikkelaar dat deze extensies in de achtergrond draaien en zo het systeem meer belasten. De ingebouwde cryptowallet van Brave zou hier geen last van hebben, aldus de ontwikkelaars. De Brave Wallet is op dit moment alleen beschikbaar in versie 1.32 en nieuwer van de desktopversie van Brave, maar zal binnenkort ook in de mobiele versies van de browser verschijnen. bron: https://www.security.nl