Captain Kirk

Om gebruikers tegen aanvallen te beschermen heeft Microsoft besloten om Excel 4.0-macro's standaard in Excel uit te schakelen, zo laat het techbedrijf in een blogposting weten. Deze macroversie werd in 1992 geïntroduceerd en laat gebruikers allerlei taken binnen Excel automatiseren. De versie is inmiddels vervangen door macroversie 5.0. Toch maken aanvallers nog steeds op grote schaal gebruik van Excel 4.0-macro's om gebruikers met malware te infecteren. Standaard blokkeert Office het uitvoeren van macro's, maar laat gebruikers die via een paar muisklikken weer inschakelen. Met de nu doorgevoerde maatregel worden Excel 4.0-macro's helemaal geblokkeerd. Gebruikers moeten een specifieke optie in de instellingen van Excel eerst inschakelen om Excel 4.0-macro's toch uit te kunnen voeren. "Dit zal onze klanten helpen om zich tegen gerelateerde securitydreigingen te beschermen", stelt Microsofts Catherine Pidgeon. Systeembeheerders hebben daarnaast via Group Policies de mogelijkheid om het gebruik van alle XLM-macro's binnen hun organisatie te blokkeren, waaronder in nieuw aangemaakte bestanden door gebruikers. bron: https://www.security.nl

Een kritieke kwetsbaarheid in een belangrijke beveiligingsfunctie van Google Chrome maakt remote code execution mogelijk, waardoor een aanvaller in het ergste geval het systeem van gebruikers kan overnemen. Daarbij volstaat het bezoeken van een gecompromitteerde of kwaadaardige website of het te zien krijgen van een besmette advertentie. Er is geen verdere interactie van de gebruiker vereist. Het beveiligingslek, aangeduid als CVE-2022-0289, bevindt zich in Safe Browsing. Via deze feature waarschuwt Google gebruikers voor malafide websites en downloads, zoals phishingsites en besmette apps. Google onderzoeker Sergei Glazunov ontdekte op 5 januari een "use after free" in de beveiligingsfunctie, waardoor een aanvaller code op het onderliggende systeem kan uitvoeren. De impact van het beveiligingslek is als kritiek beoordeeld. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome, maar begin dit jaar werd er ook al een dergelijk beveiligingslek in de browser verholpen. Naast het beveiligingslek in Safe Browsing vond Glazunov ook een kwetsbaarheid in een andere beveiligingsfunctie van Chrome, namelijk Site Isolation. Deze beveiligingsfunctie zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. Dit zorgt voor een betere afscherming tussen websites dan de bestaande Chrome-sandbox kan bieden. In deze feature trof de Google-onderzoeker ook een "use after free" kwetsbaarheid aan, alleen is de impact daarvan beperkt tot het uitvoeren van code binnen de browser. Het beveiligingslek werd daardoor niet beoordeeld als kritiek, maar kreeg het label "high". Via dergelijke kwetsbaarheden kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google betaalde de eigen medewerker 20.000 dollar voor het beveiligingslek in Site Isolation. Een beloning voor de kwetsbaarheid in Safe Browsing is nog niet bekendgemaakt. Met Chrome 97.0.4692.99 zijn in totaal 26 beveiligingslekken verholpen. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

SolarWinds heeft een actief aangevallen zerodaylek in Serv-U verholpen dat voor Log4j-aanvallen werd gebruikt, zo meldt Microsoft. Vorig jaar ontdekte het techberdrijf ook al actief misbruik van een zerodaylek in Serv-U. Via deze software kunnen organisaties een server opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. Tijdens het monitoren van Log4j-aanvallen ontdekte Microsoft-onderzoeker Jonathan Bar Or dat aanvallers gebruikmaakten van een onbekende kwetsbaarheid in Serv-U voor het uitvoeren van Log4j-aanvallen. Het beveiligingslek, aangeduid als CVE-2021-35247, is aanwezig in de webinterface van Serv-U. Het inlogscherm voor LDAP-authenticatie blijkt de invoer van gebruikers niet goed te controleren. Door gebruik te maken van bepaalde karakters is het mogelijk voor een aanvaller om een LDAP-query uit te voeren die voor Log4j-aanvallen is te gebruiken, alsmede LDAP-injectie, stelt Bar Or. Volgens SolarWinds is LDAP-injectie niet mogelijk, omdat de LDAP-servers de betreffende karakters negeren. Het Lightweight Directory Access Protocol (LDAP) is een protocol dat het makkelijker maakt om gebruikers te managen en toegang te geven tot bepaalde bronnen. SolarWinds heeft nu Serv-U 15.3 uitgerold waarin het probleem is verholpen. bron: https://www.security.nl

Versleutelde e-maildienst ProtonMail heeft een nieuwe feature toegevoegd die gebruikers een betere bescherming tegen e-mailtracking moet bieden. Zo worden voortaan trackingpixels in e-mailberichten automatisch geblokkeerd. Via trackingpixels is het mogelijk om te zien wanneer een e-mail is geopend, hoe vaak, vanaf welk apparaat en de locatie en ip-adres van de ontvanger. Deze data wordt zonder toestemming van de ontvanger verzameld, zegt Lydia Pang van ProtonMail. De e-maildienst laat gebruikers voortaan zien hoeveel trackers erin een e-mailbericht zijn geblokkeerd. Naast het blokkeren van trackingpixels verbergt ProtonMail voortaan ook het ip-adres van de ontvanger voor derde partijen. Gebruikers hebben wel de keuze om het blokkeren van e-mailtracking uit te schakelen. bron: https://www.security.nl

Twee kwetsbaarheden in Zoom maakten het mogelijk voor aanvallers om zonder interactie van gebruikers hun gesprekken af te luisteren en hun systemen en Zoom-servers te compromitteren. De beveiligingslekken, die door Google-onderzoeker Natalie Silvanovich waren gevonden, zijn inmiddels door Zoom verholpen. De onderzoeker hekelt met name het feit dat Zoom geen gebruikmaakte van ASLR, een belangrijke maatregel om misbruik van kwetsbaarheden tegen te gaan. Silvanovich deed in het verleden onder andere onderzoek naar WhatsApp, FaceTime en Signal, waarbij ze specifiek zocht naar "zero-click" kwetsbaarheden. Misbruik van deze beveiligingslekken vereist geen enkele interactie van gebruikers. Ze had Zoom echter weinig aandacht gegeven omdat ze dacht dat een aanval tegen de Zoom-client meerdere clicks van een gebruiker vereiste. Vorig jaar lieten Nederlandse onderzoekers zien dat Zoom-gebruikers wel op afstand zijn aan te vallen, waarop Silvanovich haar onderzoek startte. Ze ontdekte twee kwetsbaarheden, namelijk een buffer overflow in de Zoom-clients en Zoom MMR-server en een informatielek in de Zoom MMR-server. Zoom biedt organisaties de optie om binnen hun eigen omgeving een "Zoom On-Premise deployments" te gebruiken. Deze oplossing bestaat uit een Meeting Connector Controller en de Multimedia Router (MMR). Volgens Silvanovich waren de kwetsbaarheden in Zooms MMR-server met name zorgelijk, aangezien deze server de audio- en videocontent verwerkt. Misbruik van de beveiligingslekken maakt het mogelijk voor een aanvaller om Zoom-meetings te monitoren die geen gebruik van end-to-end-encryptie maken. Misbruik van de beveiligingslekken zijn alleen mogelijk wanneer de aanvaller en het doelwit een "Zoom Contact" van elkaar zijn. In dit geval hebben beide gebruikers elkaar via de Zoom-gebruikersinterface als contact toegevoegd. Vervolgens is het mogelijk om deze persoon via Zoom een bericht te sturen of te bellen, net als met iemands telefoonnummer kan. Silvanovich merkt op dat het niet lastig is voor een aanvaller om een doelwit zover te krijgen dat die aan een Zoom-gesprek meedoet, zelfs als dat meerdere clicks zou vereisen. "En de manier waarop sommige organisaties Zoom gebruiken biedt interessante aanvalsscenario's", stelt de onderzoeker verder. Ontbreken van ASLR Ze hekelt ook het ontbreken van ASLR in het Zoom MMR-proces, aangezien dit het risico vergroot dat een aanvaller het kan compromitteren. Address space layout randomization (ASLR) is een techniek die het lastiger maakt voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties veel lastiger maken. "ASLR is de belangrijkste mitigatie in het voorkomen van exploitatie van geheugencorruptie en de meeste andere mitigaties maken er op enig niveau gebruik van om effectief te zijn. Voor de meeste software is er geen goede reden dat het staat uitgeschakeld", aldus Silvanovich. "Alle software geschreven voor platformen die ASLR ondersteunen zouden het, en andere basale geheugenmitigaties, ingeschakeld moeten hebben." Zoom heeft recentelijk besloten ASLR in te schakelen. Verder merkt de Google-onderzoeker op dat het Zoom Security Team haar heeft geholpen met toegang tot de serversoftware en het configureren ervan, maar dat het onduidelijk is of deze support ook voor andere onderzoekers beschikbaar is. "Zoom en andere bedrijven die closed-source securitygevoelige software produceren zouden moeten overwegen hoe ze hun software toegankelijk voor beveiligingsonderzoekers maken", besluit Silvanovich haar analyse. bron: https://www.security.nl

Meerdere servers van het Belgische ministerie van Defensie zijn na de Log4j-aanval van 16 december nog steeds offline en het herstel zal nog tot februari duren, zo meldt de Belgische krant De Morgen op basis van een bron binnen de militaire inlichtingendienst ADIV. Vorige week werd bekend dat het ministerie na vier weken weer met de buitenwereld kan mailen. HR-toepassingen en het opzoeken van informatie op internet zijn nog altijd niet beschikbaar. "We zullen nog tot februari bezig zijn met de opkuis. De belangrijkste servers zijn weer online, maar lang niet allemaal. Zo werkt het hr-systeem nog niet. Tot de heropstart klaar is, kun je weinig zeggen. Ook al omdat we nog niet weten welke server als eerste is gehackt. Die geeft je informatie over het begin van de aanval", aldus de bron. Volgens De Morgen lijkt de schade van de aanval zelf relatief beperkt te zijn. Vooralsnog is een handvol besmette servers gevonden. Het gaat onder andere om de webservers voor de websites van het Belgische leger en ADIV. De militaire geheime dienst denk dat het om een opzettelijke verstoringsoperatie gaat. Het is nog altijd de vraag hoe de aanvallers konden toeslaan. Het Belgische Centrum voor Cybersecurity (CCB) waarschuwde op 13 december voor de Log4j-kwetsbaarheid, drie dagen voor de aanval. bron: https://www.security.nl

Microsoft heeft de nieuwste testversie van Edge voorzien van een feature die moet helpen bij het voorkomen van zeroday-aanvallen. Het gaat om een browsingmode waarbij de veiligheid van de browser prioriteit krijgt en een extra beschermingslaag wordt toegevoegd, aldus de omschrijving van Microsoft. Beheerders kunnen de feature via verschillende Group Policies binnen hun omgevingen inschakelen. Eenmaal ingeschakeld zorgt de feature ervoor dat Edge gebruikmaakt van verschillende beveiligingsmaatregelen, waaronder Hardware-enforced Stack Protection, Arbitrary Code Guard (ACG) en Content Flow Guard (CFG). Dit zijn technieken die misbruik van kwetsbaarheden binnen de browser lastiger moeten maken. Via de Group Policies kunnen beheerders ook instellen voor welke domeinen de feature wel of niet wordt gebruikt. "Deze feature is een grote stap voorwaarts, omdat het ons onvoorziene actieve zero-days (gebaseerd op historische trends) laat mitigeren", stelt Microsoft verder. De feature is te testen in versie 98.0.1108.23 van het Microsoft Edge Beta Channel. Wanneer de browsingmode in de definitieve Edge-versie beschikbaar komt is nog niet bekend. bron: https://www.security.nl

De Firefox Relay-dienst van Mozilla is toegevoegd aan een blocklist voor wegwerp e-maildomeinen, tot grote onvrede van gebruikers. Via Firefox Relay kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. Gebruikers maken via Firefox Relay een alias aan. E-mails worden via de aangemaakte alias, eindigend op het domein mozmail.com, naar het echte e-mailadres van de gebruiker doorgestuurd. Zodoende komt het echte e-mailadres nooit in handen van de betreffende website. Verschillende partijen houden echter blocklists bij van domeinen van relay- en tijdelijke e-maildiensten. Bedrijven en organisaties gebruiken deze blocklists om te voorkomen dat gebruikers zich met een relay of wegwerp e-mailadres registreren. Zo worden gebruikers gedwongen om zich alsnog met hun eigen e-mailadres te registreren. Een aantal dagen geleden besloten de beheerders van een dergelijke blocklist om het domein relay.firefox.com toe te voegen. Vervolgens werd gesteld dat eigenlijk het domein mozmail.com zou moeten worden toegevoegd, aangezien de relay-mails vanaf dit domein afkomstig zijn. Nadat dit op Hacker News werd gemeld kregen de beheerders van de lijst een golf van kritiek te verduren. De reacties waren zo fel dat werd besloten om geen reacties meer toe te laten. "De reden dat wegwerp e-mailadressen bestaan en populair zijn, is omdat diensten het vertrouwen van gebruikers hebben misbruikt om hun e-mailadres niet voor dubieuze zaken te gebruiken. Dit wordt verder vergroot door slordige security, dat leidt tot het lekken van de persoonlijke e-mailadressen van mensen", aldus een gebruiker op Hacker News. bron: https://www.security.nl

Een kwetsbaarheid in de LUKS-encryptiesoftware voor Linux maakt het mogelijk voor een aanvaller met herhaaldelijke fysieke toegang tot een systeem om data zonder het gebruik van een passphrase te laten ontsleutelen. LUKS biedt volledige schijfversleuteling van systemen. Het is met LUKS mogelijk om een al versleuteld systeem opnieuw te versleutelen, bijvoorbeeld als er encryptie-instellingen moeten worden aangepast. Hiervoor is er de optie "reencrypt", die data ontsleutelt, versleutelt en opnieuw versleutelt, ook wanneer het systeem in gebruik is. Een aanvaller met fysieke toegang tot het systeem kan metadata op de schijf aanpassen om de decryptie van de schijf te simuleren, waarbij de her-encryptie is gecrasht, waarna een deel van de via LUKS versleutelde schijf permanent wordt ontsleuteld. Deze decryptie van de schijf vindt pas plaats nadat een gebruiker met zijn passphrase op het door de aanvaller aangepaste systeem inlogt. Er zijn echter geen zichtbare waarschuwingen voor de gebruiker dat data op schijf wordt ontsleuteld, behalve bij gebruik van het luksDump-commando. De gebruiker denkt zodoende dat de data op de schijf nog steeds is versleuteld, terwijl die in werkelijkheid deels wordt ontsleuteld. Na de ontsleuteling zou de aanvaller opnieuw toegang tot het systeem moeten krijgen om de ontsleutelde data te bemachtigen. Hiervoor is het echter niet nodig dat de gebruiker eerst inlogt, aangezien de ontsleutelde data al direct toegankelijk is. Op deze manier kan een aanvaller zonder kennis van de gebruiker zijn passphrase gigabytes aan data bemachtigen, waarschuwt LUKS-ontwikkelaar Milan Broz. Daarnaast is de aanval ook om te draaien. Een aanvaller kan zo de gebruiker eerst een deel van de schijf laten ontsleutelen. Vervolgens wijzigt de aanvaller de ontsleutelde data op de schijf, om die daarna weer door de gebruiker ongemerkt te laten versleutelen, wederom zonder kennis van de passphrase van de gebruiker, zegt Paul Ducklin van antivirusbedrijf Sophos in een analyse. Voor het beveiligingslek, aangeduid als CVE-2021-4122, zijn beveiligingsupdates uitgerold. bron: https://www.security.nl

Oracle zal tijdens de eerste patchronde van 2022 bijna vijfhonderd patches uitbrengen, zo heeft het bedrijf aangekondigd. Het softwarebedrijf komt vier keer per jaar met een Critical Patch Update. Tijdens de patchronde van dit kwartaal, die morgen gepland staat, rolt Oracle 483 patches uit. Sommige van de verholpen kwetsbaarheden bevinden zich in meerdere producten. De meeste beveiligingslekken zullen worden verholpen in de communicatiesoftware, financiële applicaties, MySQL en retail-applicaties. De impact van één of meerdere kwetsbaarheden in de communicatiesoftware van Oracle is op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. In het geval van de beveiligingslekken in Oracle Essbase is de maximale impactscore 9.9. Verder zijn er meerdere producten met kwetsbaarheden die een impactscore van 9.8 hebben. Oracle adviseert organisaties om de patches van de Critical Patch Update zo snel mogelijk te installeren. De volgende patchrondes voor dit jaar staan gepland voor 19 april, 19 juli en 18 oktober. bron: https://www.security.nl

Twee Nederlandse programmeurs hebben een tool ontwikkeld die het gebruik van van de e-mailstandaarden SPF, DKIM en DMARC checkt en uitlegt. De standaarden spelen een belangrijke rol bij het tegengaan van spoofing, spam en phishing. Vorig jaar bleek dat een deel van de e-maildomeinen van de vitale sector de e-mailstandaarden niet gebruikt of onvoldoende strikt heeft geconfigureerd. En niet alleen in de vitale sector, ook een deel van de Nederlandse ziekenhuizen en GGD's maakt geen gebruik va de eerder genoemde beveiligingsstandaarden en ook de overheid heeft dit nog niet overal op orde. Met de tool Learn and Test DMARC kunnen gebruikers het beveiligingsniveau van hun e-mail controleren en wordt uitgelegd hoe de standaarden precies werken. "We visualiseren het achtergrondproces (in leuke retro matrix-style) tussen servers zodat bezoekers kunnen zien welke beveiligingsmethoden (SPF, DKIM, DMARC) een rol spelen en hoe de validatie werkt", zegt ontwikkelaar Freddie Leeman tegenover Security.NL. De gratis tool is deze maand, nadat die op Hacker News werd genoemd, al door meer dan 70.000 mensen gebruikt. Voor het gebruik van Learn and Test DMARC volstaat het versturen van een e-mail, maar kan er ook van een voorbeeldmail gebruik worden gemaakt. Leeman hoopt dat de tool bijdraagt tot een betere adoptie van de e-mailstandaarden en daarmee tot een veiliger internet. De tool is inmiddels ook toegevoegd aan de checklist e-mailstandaarden van Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert. bron: https://www.security.nl

Gebruikers van Apache-software worden nog altijd aangevallen omdat ze van niet meer ondersteunde software gebruikmaken. Dit is een industriebreed probleem en ondermijnt de inzet van de Apache Software Foundation om kwetsbaarheden snel te verhelpen, zo stelt Mark Cox, vice-president security van de stichting. De Apache Software Foundation beheert meerdere softwareprojecten, waaronder de Apache-webserver, OpenOffice, SpamAssassin en het inmiddels wereldwijd bekende Log4j. Vorig jaar ontving de stichting 441 meldingen van nieuwe kwetsbaarheden. Een stijging ten opzichte van 2020 en 2019, toen het nog om respectievelijk 376 en 320 meldingen ging. Het gaat hierbij om zowel externe als interne meldingen. Per 1 januari van dit jaar zijn vijftig van de 441 meldingen nog steeds in onderzoek. Dit wil zeggen dat het betreffende softwareproject de melding nog niet heeft afgewezen of er een CVE-nummer aan heeft toegekend. Dit aantal is hoger dan normaal, aldus Cox en komt door het grote aantal meldingen van eind december. Aan de hand van de resterende 391 meldingen zijn er 183 CVE-nummers voor kwetsbaarheden toegekend. Dat waren erin 2020 nog 151, tegenover 122 in 2019. Hoewel de Apache Software Foundation de gevonden en gerapporteerde kwetsbaarheden snel verhelpt, blijkt dat gebruikers nog steeds via oude beveiligingslekken in verouderde Apache-software worden aangevallen. "Leveranciers, en dus hun gebruikers, maken nog steeds gebruik van end-of-life versies die bekende niet verholpen kwetsbaarheden bevatten", merkt Cox op. "Dit blijft een groot probleem en we zijn bezig om dit industriebreed probleem aan te pakken." bron: https://www.security.nl

Gebruikers van Microsoft Edge zijn het doelwit van een aanval waarbij wordt geprobeerd om het systeem via een zogenaamde browser-update met ransomware te infecteren. Voor het ontsleutelen van de data moet een bedrag van tussen de 2500 en 5000 dollar worden betaald, zo meldt Malwarebytes. De meeste ransomware-aanvallen die in het nieuws komen richten zich op grote organisaties en bedrijven. Eindgebruikers zijn echter ook nog steeds een doelwit. Bij de nu waargenomen aanvallen worden Edge-gebruikers via via malafide advertenties automatisch doorgestuurd naar een website die stelt dat ze handmatig een browser-update moeten installeren om de pagina te kunnen bekijken. In werkelijkheid bevat het aangeboden bestand de Magniber-ransomware die allerlei bestanden op het systeem versleutelt en losgeld voor de decryptie eist. Eind vorig jaar gebruikte de Magniber-groep nog malafide advertenties om ongepatchte gebruikers van Internet Explorer automatisch met ransomware te infecteren. Bij de nu waargenomen aanvallen, gericht tegen Zuid-Koreaanse Edge-gebruikers, moet het slachtoffer zelf de zogenaamde update installeren. bron: https://www.security.nl

Microsoft heeft tijdens de eerste patchdinsdag van 2022 een kritieke kwetsbaarheid in Windows verholpen die een computerworm mogelijk maakt. Het beveiligingslek, aangeduid als CVE-2022-21907, bevindt zich in de http protocol stack en maakt zonder enige interactie van gebruikers remote code execution mogelijk. Door het versturen van een speciaal geprepareerd netwerkpakket naar een kwetsbare server die gebruikmaakt van deze stack (http.sys) voor het verwerken van pakketten kan een aanvaller zijn code uitvoeren en het systeem overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst is het beveiligingslek met een 9,8 beoordeeld. Volgens Microsoft, dat door onderzoeker Mikhail Medvedev over het lek werd geïnformeerd, is misbruik van de kwetsbaarheid "waarschijnlijk". Het techbedrijf raadt organisaties dan ook aan om het patchen van servers prioriteit te geven. In het geval van Windows Server 2019 en Windows 10 versie 1809 staat de HTTP Trailer Support-feature, waarin de kwetsbaarheid aanwezig is, standaard niet ingeschakeld. Microsoft heeft updates beschikbaar gemaakt voor Windows 10, Windows 11, Server 2019, Server 2022 en Server 20H2. Vorig jaar verhielp Microsoft ook al een beveiligingslek in de http protocol stack die 'wormable' was. bron: https://www.security.nl

Microsoft komt met een nieuw notificatiesysteem om gebruikers en bedrijven over beveiligingsupdates te informeren. Wie via e-mail informatie over nieuwe patches en kwetsbaarheden wilde ontvangen had voorheen altijd een Live ID nodig. Dat gaat nu veranderen, aangezien gebruikers nu ook zonder Live ID een profiel kunnen aanmaken. Verder is het mogelijk om binnen het overzicht van beveiligingsupdates instellingen te maken. Verder zullen notificaties meer geautomatiseerd en gestroomlijnd worden, aldus Microsoft. Daarbij stapt het techbedrijf over op een geheel nieuw notificatiesysteem. Deze migratie zal in drie fases plaatsvinden, zo is een blogposting aangekondigd. Gebruikers kunnen ervoor kiezen om te worden geïnformeerd wanneer er een nieuwe kwetsbaarheid of grote aanpassing aan de Security Update Guide wordt toegevoegd en in het geval van kleinere aanpassingen. Fase één, waarbij gebruikers zich voor nieuwe notificaties kunnen aanmelden, is nu beschikbaar. De volgende fase, waarbij notificaties vanaf het oude en nieuwe systeem worden verstuurd, vindt volgende maand plaats. Uiteindelijk zal het oude notificatiesysteem worden uitgefaseerd. Wanneer dit precies zal zijn is nog onbekend. Microsoft zegt dat het pas zal overstappen wanneer voldoende mensen de nieuwe notificaties ontvangen. bron: https://www.security.nl

Er is een nieuwe versie van encryptiesoftware VeraCrypt verschenen die weer oudere Windowsversies ondersteunt. Vorige maand besloot VeraCrypt de support van Windows Vista, Windows 7, Windows 8 en Windows 8.1 te laten vallen. Windows XP werd echter nog wel met de release van december ondersteund. "Ik wilde de support voor Windows 7 niet laten vallen, maar Microsoft maakte het bijna onmogelijk om drivers te leveren zoals degene die VeraCrypt voor Windows 7 gebruikt, dus had ik geen keus", zegt VeraCrypt-ontwikkelaar Mounir Idrassi. Het probleem speelde met de certificering van de VeraCrypt-driver, maar er is nu toch een oplossing gevonden waardoor het mogelijk is de driver te signeren, laat Idrassi weten. Daardoor is het mogelijk om Windows Vista, 7, 8 en 8.1 weer te ondersteunen. In het geval van Windows 7 is het wel nodig dat gebruikers update KB3033929 of KB4474419 installeren. De support van Windows Vista vereist de aanwezigheid van update KB4039648 of KB4474419. VeraCrypt versie 1.25.7 is te downloaden via VeraCrypt.fr. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Het wordt voor het grootste deel door één persoon ontwikkeld. Via de software is het mogelijk om systemen volledig te versleutelen of versleutelde containers aan te maken. bron: https://www.security.nl

De Amerikaanse geheime dienst heeft wederom een kritieke kwetsbaarheid in Exchange ontdekt waardoor het mogelijk is om servers over te nemen. Microsoft heeft gisterenavond beveiligingsupdates uitgebracht en roept organisaties op om die meteen te installeren. Het beveiligingslek, aangeduid als CVE-2022-21846, is niet direct vanaf het internet te misbruiken. In plaats daarvan zou een aanvaller al toegang tot het netwerk van de Exchange-server moeten hebben. Naast aanvallers die al toegang tot het netwerk hebben zou het beveiligingslek ook door insiders zijn te misbruiken. Vervolgens is remote code execution mogelijk en kan de server worden afgenomen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9.0 beoordeeld en Microsoft verwacht dat misbruik waarschijnlijk is. Het is niet voor het eerst dat de NSA kwetsbaarheden in Microsoft Exchange Server vindt. Vorig jaar rapporteerde de Amerikaanse geheime dienst drie beveiligingslekken in Microsofts mailserversoftware aan het techbedrijf. Naast het door de NSA ontdekte lek heeft Microsoft ook twee andere kwetsbaarheden in Exchange verholpen die remote code execution mogelijk maken. Deze lekken hebben ook een impactscore van 9.0, maar zijn als "important" beoordeeld. Het gaat om CVE-2022-21855 en CVE-2022-21969. De kwetsbaarheden zijn aanwezig in Exchange Server 2013, 2016 en 2019. Microsoft is naar eigen zeggen nog niet bekend met misbruik van de kwetsbaarheden maar adviseert de patches meteen te installeren. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox Focus voor Android uitgerold en die voorzien van Total Cookie Protection, om zo de privacy van gebruikers beter te beschermen. Het is daarmee de eerste mobiele Firefox-browser die cross-site tracking moet voorkomen. Firefox blokkeert al enige tijd trackingcookies via Enhanced Tracking Protection (ETP). Hiervoor maakt de browser gebruik van een lijst met bekende trackers van trackerblocker Disconnect. Op dit moment blokkeert ETP zo'n drieduizend van de meestgebruikte en waargenomen trackers. De bescherming van ETP is echter afhankelijk van de Disconnect-lijst en dat die up-to-date is. Trackers kunnen de lijst eenvoudig omzeilen door nieuwe domeinnamen te registreren. Daarnaast kan het lang duren voordat een nieuw trackingdomein aan de lijst wordt toegevoegd. Total Cookie Protection moet ervoor zorgen dat tracking via cookies tot het verleden gaat behoren, aldus Mozilla. Cookies zijn nog altijd zeer effectief voor het volgen van internetgebruikers op het web. Een tracker die op meerdere websites als derde partij actief is kan voor het eigen trackingdomein third-party cookies bij bezoekers plaatsen. Zo is het mogelijk om internetgebruikers over meerdere websites te volgen. Met Total Cookie Protection worden alle cookies van een domein dat de gebruiker bezoekt in een aparte cookie jar opgeslagen, gescheiden van andere websites die hun eigen cookie jar hebben. Ook al is een tracker op meerdere websites actief, dan zullen de trackingcookies nog steeds beperkt zijn tot de cookie jar van de betreffende website. Volgens Mozilla heeft dit grote voordelen voor de privacy van gebruikers, omdat het nu mogelijk is om een uitgebreidere bescherming te bieden dan met de Disconnect-lijst het geval is, terwijl dit geen gevolgen heeft voor websites zolang ze geen cross-site access vereisen. "Zeg vaarwel tegen die vervelende advertenties die je overal volgen en verminder de hoeveelheid informatie die bedrijven over je verzamelen elke keer dat je online bent", aldus Mozillas Jenifer Boscacci. bron: https://www.security.nl

Miljoenen routers van verschillende leveranciers zijn kwetsbaar door een beveiligingslek in de NetUSB-kernelmodule van fabrikant KCodes en in sommige gevallen kan erop afstand misbruik van worden gemaakt. Dat stelt securitybedrijf SentinelOne dat het probleem ontdekte. Via NetUSB is het mogelijk om op een router aangesloten usb-apparaten, zoals een printer of externe harde schijf, vanaf andere apparaten op het netwerk te bedienen. De kernelmodule luistert op tcp-poort 20005 op ip-adres 0.0.0.0. Wanneer een firewall dit niet blokkeert is de module zowel vanaf het LAN als het WAN toegankelijk. Door het versturen van data naar de module is het mogelijk om een buffer overflow te veroorzaken, wat tot remote code execution in de kernel kan leiden. Daarbij is het niet nodig voor de aanvaller om zich eerst op de router te authenticeren. Een groot aantal fabrikanten maakt gebruik van NetUSB, waaronder Netgear, TP-Link, Tenda, EDiMAX, DLink en Western Digital. KCodes werd op 20 september vorig jaar over de kwetsbaarheid ingelicht. Op 19 november liet het bedrijf weten dat het een update naar alle leveranciers had gestuurd. Gebruikers zijn echter van hun routerfabrikant afhankelijk voor updates. De onderzoekers van SentinelOne stellen dat het ontwikkelen van een exploit voor het beveiligingslek vrij complex is. Routerfabrikant Netgear heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 met een 6,5 beoordeeld. Een aantal jaar geleden werd er ook een lek in NetUSB ontdekt waardoor een buffer overflow mogelijk was. bron: https://www.security.nl

Microsoft heeft een kwetsbaarheid in macOS ontdekt genaamd "powerdir" waardoor ongeautoriseerde toegang tot beschermde data van gebruikers mogelijk is. Apple kwam op 13 december met een beveiligingsupdate voor het probleem, waarop Microsoft nu de details openbaar heeft gemaakt. De kwetsbaarheid maakt het mogelijk om Apples Transparency Consent and Control (TCC) framework te omzeilen. Het TCC-framework regelt tot welke zaken applicaties toegang hebben, zoals bijvoorbeeld bestanden en mappen, webcam, microfoon, bluetooth, spraakherkenning, locatie, kalender, iCloud-account en andere onderdelen. Normaliter krijgt een applicatie hier pas toegang tot nadat de gebruiker toestemming heeft gegeven. Om misbruik te voorkomen is TCC alleen toegankelijk voor apps met volledige schijftoegang. De door de gebruiker goedgekeurde of afgewezen permissies worden in een TCC-database bijgehouden. Onderzoekers van Microsoft ontdekten dat het mogelijk is om de home directory van een aangevallen gebruiker te veranderen en een valse TCC-database te plaatsen. Door middel van de valse database is het mogelijk voor een aanvaller om via al geïnstalleerde apps of malafide apps toegang tot gebruikersdata te krijgen en bijvoorbeeld screenshots te maken of de gebruiker via de microfoon af te luisteren. Om de aanval uit te kunnen voeren moet een aanvaller wel al toegang tot het systeem hebben. Microsoft roept macOS-gebruikers op om de beveiligingsupdate te installeren. bron: https://www.security.nl

Een spionagegroep die al jaren actief is en vanuit India zou opereren heeft onderzoekers onbedoeld een kijkje in een recente operatie gegeven nadat het per ongeluk een eigen systeem met malware infecteerde. De groep wordt Patchwork genoemd en gebruikte bij de laatste spionagecampagne malafide RTF-documenten om slachtoffers te infecteren. Deze documenten maken misbruik van een uit 2017 stammende kwetsbaarheid in Microsoft Office. Via de besmette documenten wordt de Badnews RAT (remote administration trojan) geïnstalleerd. Daarmee is het mogelijk om commando's uit te voeren, screenshots te maken, toetsaanslagen op te slaan en aanvullende malware op het systeem van slachtoffers te installeren. Deze RAT communiceert weer met een server van de aanvallers. Onderzoekers van Malwarebytes vonden het beheerderspaneel van deze RAT. Zo kregen ze niet alleen inzicht in de slachtoffers van Patchwork, ook zagen ze dat een systeem van de groep per ongeluk besmet was geraakt. Volgens de onderzoekers wisten de aanvallers met hun aanvalscampagne onder andere het ministerie van Defensie van Pakistan te infecteren, alsmede verschillende wetenschappelijke instellingen van het land. Tevens ontdekten de onderzoekers dat de aanvallers VirtualBox en VMware gebruiken voor webontwikkeling en testing en van vpn-diensten VPN Secure en CyberGhost om hun ip-adres te verbergen. Zo gebruikten de aanvallers deze vpn-diensten om in te loggen op de e-mailaccounts en andere gecompromitteerde accounts van hun slachtoffers. Afsluitend stellen de onderzoekers dat Patchwork niet zo geraffineerd is als Russische of Noord-Koreaanse spionagegroepen. bron: https://www.security.nl

Mozilla is een nieuw onderzoek gestart waarbij het vrijwillig gedeelde data van Firefoxgebruikers gebruikt om te kijken hoe Facebook mensen op het internet volgt. Hiervoor werkt de browserontwikkelaar samen met The Markup, een non-profitmediaorganisatie die onderzoekt hoe instanties en instituten technologie gebruiken om de samenleving te veranderen. Om de werkwijze van Facebook in kaart te brengen en te kijken hoe het techbedrijf mensen op internet door middel van trackingpixels volgt, wil Mozilla de data van Firefoxgebruikers bestuderen. Die kunnen ervoor kiezen om aan het "Facebook Pixel Hunt" onderzoek deel te nemen en zo hun browsegegevens te delen. Daarmee willen Mozilla en The Markup verschillende onderzoeksvragen beantwoorden, zoals het soort data dat de Facebook-pixel verzamelt, welke websites deze data delen, wat deze data over mensen zegt, andere manieren waarop Facebook mensen volgt en hoe wijdverbreid het trackingnetwerk van Facebook is. Volgens Mozilla heeft Facebook herhaaldelijk onderzoeken naar de mechanismes op het socialmediaplatform ondermijnd. Zo sloot Facebook de accounts van academici die onderzoek naar politieke advertenties deden. Met de data van Firefoxgebruikers wil Mozilla naar eigen zeggen de problemen van "informatieasymmetrie" op het internet aantonen en licht schijnen op de online surveillancesystemen die bedrijven zoals Facebook toepassen. Om aan het onderzoek deel te kunnen nemen moet Firefoxgebruikers eerst de Mozilla Rally add-on installeren en daarna het betreffende onderzoek selecteren. Deelname aan het onderzoek kan op elk moment worden gestopt. bron: https://www.security.nl

Antivirusbedrijf Avira is onder vuur komen te liggen over een cryptominer die het maanden geleden aan de eigen antivirussoftware toevoegde en standaard staat uitgeschakeld. Vorig jaar oktober kondigde Avira aan dat het een nieuwe feature aan de virusscanner had toegevoegd genaamd Avira Crypto. Via deze cryptominer, bij de lancering alleen beschikbaar voor gebruikers in de Verenigde Staten, Canada en het Verenigd Koninkrijk, wordt de rekenkracht van de computer gebruikt voor het delven van cryptovaluta. Avira brengt hiervoor kosten in rekening, namelijk vijftien procent van de gedolven cryptovaluta. Gebruikers moeten de feature zelf inschakelen. Dit weekend kwam it-journalist Brian Krebs met een artikel over de cryptominer, waarna Avira door Twitteraars en lezers van Hacker News onder vuur kwam te liggen. Zo wordt de feature "crimineel" en "hebzuchtig" genoemd. Ook zeggen mensen dat ze Avira voortaan links laten liggen. Eerder kwam ook NortonLifeLock onder vuur te liggen vanwege het toevoegen van een cryptominer aan de antivirussoftware. Sommige virusscanners beschouwen een onderdeel van deze cryptominer als kwaadaardig of potentieel ongewenste software. Eind 2020 werd Avira nog voor een bedrag van 360 miljoen dollar door NortonLifeLock overgenomen. Of Avira van dezelfde cryptominer gebruikmaakt is onbekend. Ook heeft het antivirusbedrijf nog niet gereageerd op de ontstane commotie. bron: https://www.security.nl

De Britse gezondheidsdienst NHS heeft een waarschuwing afgegeven voor aanvallers die misbruik maken van de Log4j-kwetsbaarheid in VMware Horizon. VMware Horizon is virtualisatiesoftware voor het draaien van virtuele desktops en apps in de cloud. De software maakt gebruik van Apache Tomcat dat weer van Log4j gebruikmaakt. VMware heeft vorig jaar december al beveiligingsupdates uitgerold om de Log4j-kwetsbaarheid in het Horizon-platform te verhelpen. Aanvallers zoeken actief naar kwetsbare, nog niet gepatchte Horizon-servers, zo stelt de National Health Service (NHS). Vervolgens wordt het Log4j-lek gebruikt om een kwaadaardig Java-bestand uit te voeren dat een webshell in de VM Blast Secure Gateway service injecteert. Via deze webshell behouden de aanvallers toegang tot de server en kunnen vervolgens verdere aanvallen uitvoeren, zoals het stelen van gegevens en verspreiden van ransomware. De NHS heeft in de waarschuwing details vermeld hoe organisaties gecompromitteerde Horizon-servers kunnen detecteren. bron: https://www.security.nl

Gelukkig hebben de semi-pro's ook een display en sommige een trilfunctie. Dus ik kan wel even vooruit...:) En mocht ik doof worden voor mijn stationnetje...dan draai ik alleen nog maar "Sound of silence" - Simon & Garfunkel.