Captain Kirk

Authenticatieprovider Okta onderzoekt of aanvallers mogelijk toegang tot systemen hebben gekregen, zo laat het bedrijf tegenover persbureau Reuters weten. Een groep aanvallers die zichzelf Lapsus$ noemt, en eerder verantwoordelijk was voor aanvallen op chipgigant NVIDIA, de Portugese mediagigant Impresa en het Braziliaanse ministerie van Volksgezondheid, plaatsten op hun Telegram-kanaal screenshots waaruit zou blijken dat ze toegang tot systemen van Okta hebben. Okta biedt oplossingen voor identity en access management. "Meer dan 15.000 wereldwijde merken vertrouwen de beveiliging van hun digitale interacties met werknemers en klanten toe aan Okta", zo laat het bedrijf op de eigen website weten. Okta had vorig jaar een omzet van 1,3 miljard dollar en telt vijfduizend medewerkers. Tegenover Reuters laat het bedrijf weten dat het bekend is met de screenshots en een onderzoek heeft ingesteld. Het bedrijf zal zodra beschikbaar verdere informatie geven. De aanvallers claimen dat ze het niet op Okta zelf hadden voorzien, maar op de klanten van de authenticatieprovider. Beveiligingsexperts waarschuwen Okta-klanten dan ook om zeer alert te zijn. Update Okta laat in een verklaring weten dat het eind januari een aanval op het account van een third party customer support engineer ontdekte die voor een subverwerker werkzaam was. Deze partij heeft het incident vervolgens onderzocht. "We denken dat de online gedeelde screenshots met het incident in januari te maken hebben", aldus Okta. bron: https://www.security.nl

De Duitse overheid adviseert burgers om alle accounts waar mogelijk met tweefactorauthenticatie (2FA) te beveiligen. Dit moet ongeautoriseerde toegang voorkomen, aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. De Duitse federatie van consumentenorganisaties, Verbraucherzentrale Bundesverband (VZBV), deed onderzoek naar meer dan tweehonderd digitale diensten en of die 2FA aanbieden en in welke vorm. Zo blijkt dat Duitse webshops en online apotheken hun klanten niet de optie geven om accounts met 2FA te beveiligen. Ook fitnesstrackers laten hierbij steken vallen. Volgens het BSI laat het onderzoek zien dat tweefactorauthenticatie alleen in een aantal gereguleerde sectoren wordt aangeboden. De Duitse overheidsinstantie vindt dan ook dat er nog een inhaalslag te maken is in de beveiliging van eindgebruikers. Waar mogelijk vindt het BSI dat eindgebruikers 2FA moeten instellen en niet bang moeten zijn om 2FA-methodes te gebruiken die ze nog niet kennen. bron: https://www.security.nl

Antvirusbedrijf Emsisoft heeft een gratis decryptietool voor de Diavol-ransomware ontwikkeld. Slachtoffers die over een versleuteld bestand en het originele onversleutelde bestand beschikken kunnen zo kosteloos al hun data terugkrijgen. Begin dit jaar kwam de FBI nog met een waarschuwing voor de Diavol-ransomware, die door de groep achter de beruchte Trickbot-malware zou zijn ontwikkeld. Eenmaal actief op een systeem versleutelt Diavol bestanden en eist een losgeldbedrag dat tussen de 10.000 en 500.000 dollar ligt. De aanvallers gaan in overleg met hun slachtoffers en hebben daarbij ook lagere betalingen geaccepteerd, zo laat de FBI weten. Ook is de Amerikaanse opsporingsdienst niet bekend met het lekken van gestolen informatie, ook al dreigen de aanvallers hier wel mee. Emsisoft is er met hulp van onderzoekers in geslaagd om een decryptietool voor de ransomware te ontwikkelen. De software vereist het originele bestand en de versleutelde versie en zal aan de hand hiervan een decryptiesleutel genereren, waarmee alle data is te ontsleutelen. "De encryptiesleutel is 2048 bytes lang en wordt willekeurig gegenereerd, maar de encryptie bestaat uit het XORren van bestanden in delen van 2048. Aangezien de encryptiesleutel voor meerdere bestanden wordt gebruikt en een XOR-operatie is, kunnen we bekende plaintext kwetsbaarheden gebruiken om de bestanden te herstellen", aldus onderzoekers van Walmart Global Tech. bron: https://www.security.nl

Microsoft heeft aan een testversie van Windows 11 een nieuwe policy voorzien waardoor het mogelijk is voor systeembeheerders om usb-schijven uit te sluiten van de ingebouwde encryptiesoftware BitLocker. Dit moet voorkomen dat dat ingebouwde opslag van videocamera's, stemrecorders, videoconferentiesystemen, medische apparatuur en andere apparaten automatisch of per ongeluk door BitLocker wordt versleuteld. Wanneer de policy staat ingeschakeld is het niet mogelijk om opslag, die op een speciale uitzonderingslijst staat aangegeven, te versleutelen. Beheerders moeten hiervoor wel eerst het speciale hardware-ID van de uit te zonderen apparaten verzamelen en aan de lijst toevoegen. Vervolgens is hiermee een apart profiel aan te maken en als policy te gebruiken. De feature is toegevoegd aan Windows 11 Insider Preview Build 22579. Wanneer de policy in de releaseversie van Windows 11 zal verschijnen is onbekend. bron: https://www.security.nl

Dertig procent van de applicaties, servers en andere systemen die van Log4j gebruikmaken is nog altijd kwetsbaar, zo stelt securitybedrijf Qualys op basis van eigen onderzoek. Op 9 december werd er een kritiek lek in de Log4j2-library gevonden, waardoor het mogelijk is om systemen op afstand over te nemen. 72 uur na de bekendmaking van het beveiligingslek had Qualys naar eigen zeggen al bijna één miljoen aanvalspogingen gezien. Het bedrijf baseert zich op cijfers van het eigen cloudplatform, waarmee het "it assets" kan scannen. Log4Shell, zoals het beveiligingslek in Log4j wordt genoemd, werd in meer dan drie miljoen kwetsbare instances aangetroffen. Meer dan twee maanden later is dertig procent van de Log4j-instances nog altijd kwetsbaar. Uit het onderzoek bleek verder dat meer dan tachtig procent van de kwetsbare applicaties met Log4j open source is en meer dan de helft van de kwetsbare applicaties het stempel "end-of-support" heeft. Voor deze applicaties zullen dan ook waarschijnlijk geen beveiligingsupdates meer verschijnen. Het installeren van beveiligingsupdates of andere mitigaties duurde gemiddeld zeventien dagen. Systemen die vanaf afstand kon worden aangevallen werden daarbij sneller gepatcht (twaalf dagen) dan interne systemen. Log4Shell werd in meer dan 2800 webapplicaties aangetroffen. "Aangezien webapplicaties publiek toegankelijk zijn, was dit de voor veel bedrijven de eerste verdedigingslinie om vroege aanvallen af te slaan", zegt Mehul Revankar van Qualys. bron: https://www.security.nl

Microsoft waarschuwt organisaties en gebruikers voor het naderende einde van de support van Internet Explorer 11. Vanaf 15 juni zal de IE11-desktopapplicatie niet meer op verschillende Windows 10-versies worden ondersteund. Wanneer gebruikers Internet Explorer toch starten zal Microsoft Edge worden geladen. Volgens Microsoft is er een groeiend aantal websites dat Internet Explorer niet meer ondersteunt. Daarnaast zou Edge een snellere, modernere en veiligere "browsing-ervaring" bieden. Edge kan wanneer nodig ook oude legacy IE-sites openen. Na het uitfaseren van Internet Explorer 11 op 15 juni zal Microsoft de browser niet meer ondersteunen. Een toekomstige Windows 10-update zal IE11 uitschakelen en wanneer gebruikers de browser willen starten hen automatisch doorsturen naar Edge. Microsoft roept gebruikers en organisaties op om zich op het "pensioen" van IE11 voor te bereiden. Daarbij laat het techbedrijf weten dat de IE-mode binnen Edge in ieder geval tot en met 2029 zal worden ondersteund. Op Windows 7, Windows 8,1, Windows 10 LTSC en Windows 10 Server blijft Microsoft IE11 wel ondersteunen. bron: https://www.security.nl

Google heeft details gegeven over criminelen die toegang voor ransomwaregroepen regelen en hiervoor onder andere een zerodaylek in Internet Explorer gebruikten. Initial access brokers, zoals dergelijke partijen worden genoemd, spelen volgens Google een belangrijke rol bij het faciliteren van cybercrime. De broker regelt toegang tot systemen van organisaties, waarna deze toegang aan onder andere ransomwaregroepen wordt verkocht. De broker in kwestie, door Google Exotic Lily genoemd, zou meer van vijfduizend e-mails per dag naar 650 organisaties wereldwijd versturen. In eerste instantie ging het om partijen in de gezondheidszorg, it en cybersecurity, maar volgens Google valt de broker nu meer organisaties en industrieën aan. Voor de aanvallen maakt de broker gebruik van domeinen die op die van de aangevallen organisatie lijken. Vervolgens stuurt de broker een e-mail die van een medewerker van de betreffende organisatie afkomstig lijkt en linkt naar een document. In werkelijkheid gaat het om malware. Vorig jaar september ontdekten onderzoekers dat Exotic Lily hierbij een zerodaylek in Internet Explorer gebruikte. De kwetsbaarheid (CVE-2021-40444) bevond zich in MSHTML, de door Microsoft ontwikkelde browser-engine van Internet Explorer. MSHTML wordt ook door Office-applicaties gebruikt voor het weergeven van webcontent in documenten. Bij de aanvallen stuurden de aanvallers hun doelwit een Microsoft Office-bestand. Wanneer de gebruiker dit document opende werd er een kwaadaardig ActiveX-control geladen dat het systeem uiteindelijk met malware infecteerde. Na het versturen van documenten die het IE-lek gebruikten, en waarvoor Microsoft in september met een update kwam, besloot de broker over te stappen op het linken naar ISO-bestanden. Op basis van de communicatie van de broker blijkt die volgens Google standaard kantoortijden van negen tot vijf aan te houden, met weinig activiteit in het weekend. Op basis van de werkuren vermoedt Google dat de broker vanuit Centraal of Oost-Europa opereert. Naast informatie over de werkwijze heeft het techbedrijf ook indicators of compromise gegeven, zoals domeinen, ip-adressen en hashes van bestanden die de broker gebruikt. bron: https://www.security.nl

Microsoft heeft een tool ontwikkeld waarmee het mogelijk is om MikroTik-routers op malware te scannen. Het gaat dan specifiek om de Trickbot-malware die onder andere een hoofdrol bij een aantal grote ransomware-incidenten speelde. Trickbot kan allerlei data en inloggegevens van besmette systemen stelen, maar wordt ook vaak gebruikt voor het installeren van andere malware. Net als allerlei andere malware maakt Trickbot gebruik van command & control (C2)-servers voor het aansturen van besmette machines. Om detectie van de malware en C2-servers te voorkomen zet Trickbot besmette MikroTik-routers in als proxy. Zodoende loopt het verkeer via een ander ip-adres, wat detectie kan bemoeilijken. Microsoft zegt dat het onlangs ontdekte hoe MikroTik-apparaten binnen de C2-infrastructuur van Trickbot worden gebruikt. Deze informatie werd vervolgens gebruikt voor het ontwikkelen van een scantool waarmee Trickbot-infecties op MikroTik-routers zijn te detecteren. Voor het compromitteren van MikroTik-routers maken de aanvallers gebruik van drie methodes, namelijk standaard MikroTik-wachtwoorden, bruteforce-aanvallen, waarbij ook unieke wachtwoorden werden gebruikt die waarschijnlijk van andere MikroTik-routers afkomstig zijn en als laatste een vier jaar oude kwetsbaarheid. Via dit beveiligingslek, aangeduid als CVE-2018-14847, kan een aanvaller willekeurige bestanden op de router uitlezen, waaronder het bestand dat de wachtwoorden bevat. Naast het ontwikkelen van een scantool voor het vinden van Trickbot-malware geeft Microsoft ook advies voor het verwijderen van een besmetting wanneer die wordt aangetroffen, alsmede maatregelen om toekomstige aanvallen te voorkomen. Zo moeten gebruikers het standaardwachtwoord door een sterk wachtwoord vervangen, toegang tot poort 8291 vanaf het internet blokkeren, het standaard poortnummer van SSH wijzigen, de laatste firmware installeren en een VPN voor remote beheer en toegang gebruiken. bron: https://www.security.nl

Naar aanleiding van een onderzoek dat in opdracht van de Nederlandse overheid en onderwijsorganisatie SURF werd uitgevoerd naar privacyrisico’s bij het gebruik van Zoom heeft de videobelsoftware alle hoge risico's verholpen, maar zes lage risico's zijn echter nog steeds aanwezig. Universiteiten en overheidsorganisaties kunnen deze risico's grotendeels zelf oplossen. Dat meldt de Haagse Privacy Company dat het onderzoek naar Zoom uitvoerde. Het onderzoek leverde negen hoge en drie lage privacyrisico's op voor de mensen die Zoom gebruiken. Zo zag Zoom zichzelf niet als verwerker voor de persoonsgegevens van de education en enterprise klanten, miste er transparantie welke persoonsgegevens Zoom verwerkte, konden gebruikers hun rechten onvoldoende uitoefenen, verzamelde Zoom teveel gegevens en werden gegevens te lang door Zoom bewaard. De onderzoekersresultaten en daarop volgende gesprekken tussen Zoom, SURF en de Privacy Company hebben ertoe geleid dat Zoom een groot aantal maatregelen heeft getroffen en toegezegd. De afspraken zijn vastgelegd in een nieuw contract, een nieuwe uitgebreide verwerkersovereenkomst en een ondertekend actieplan met tijdlijnen voor de afgesproken maatregelen. Zo treedt Zoom nu feitelijk en formeel op als verwerker voor alle persoonsgegevens, gelden de privacy-afspraken ook voor gastgebruikers die deelnemen aan een vergadering die door een universiteit is georganiseerd, zegt Zoom alle persoonsgegevens eind dit jaar exclusief in Europese datacentra te zullen verwerken, heeft Zoom informatie gepubliceerd over de soorten persoonsgegevens die ze verwerkt, zijn veel bewaartermijnen aanzienlijk ingekort en gaat Zoom inzageportalen bouwen. Lage privacyrisico's De hoge privacyrisico's zijn door Zoom verholpen, maar zes lage risico's zijn nog altijd aanwezig. Het gaat om toegang tot inhoudelijke gegevens door de Amerikaanse autoriteiten, doorgifte van agnostische, support en websitegegevens naar de VS, doorgifte van pseudonieme gegevens naar het Trust & Safety Team in de VS, gebrek aan transparantie over de account en diagnostische gegevens, hindernissen bij het uitoefenen van het inzagerecht en het personeelsvolgsysteem. Universiteiten en instellingen kunnen deze risico’s grotendeels zelf oplossen, aldus de Privacy Company. "Als Zoom en de Nederlandse universiteiten en overheidsorganisaties alle overeengekomen en aanbevolen maatregelen toepassen, zijn er geen bekende grote risico's meer voor de individuele gebruikers van de videobeldiensten van Zoom", zo concludeert het onderzoeksbedrijf. Privacy Company waarschuwt aanvullend voor het onderzoek dat Europese privacytoezichthouders naar het gebruik van clouddiensten uitvoeren. "Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Zoom alle gegevens in principe in Europese datacentra verwerkt, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Zoom diensten." bron: https://www.security.nl

De geavanceerde Cyclops Blink-malware waar de Amerikaanse en Britse autoriteiten eind februari voor waarschuwden infecteert ook Asus-routers, zo meldt antivirusbedrijf Trend Micro. Asus heeft inmiddels een onderzoek ingesteld en zegt met een software-update te zullen komen. Volgens de FBI, NSA, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC) is de malware ontwikkeld door een groep genaamd Sandworm, die aan de Russische geheime dienst GRU gelieerd zou zijn. In eerste instantie werd gemeld dat alleen firewalls van fabrikant WatchGuard het doelwit waren. De malware zou op een zeer geraffineerde manier, door gebruik te maken van een zwakte in het firmware-updateproces van WatchGuard, apparaten permanent weten te infecteren. Het exacte doel van Cyclops Blink is onbekend. Nu blijkt echter dat ook Asus-routers onderdeel van het Cyclops Blink-botnet worden gemaakt. Net als bij de WatchGuard-firewalls kan de malware ook de firmware van Asus-routers overschrijven en zo fabrieksresets overleven. Volgens Trend Micro hebben de aanvallers het voorzien op apparaten die niet van vitale organisaties zijn of een duidelijk spionagedoel hebben. De onderzoekers denken dan ook dat het botnet mogelijk is bedoeld als infrastructuur voor het uitvoeren van verdere aanvallen tegen waardevolle doelwitten. Naast Asus en WatchGuard is er ook bewijs dat routers van een andere fabrikant verbinding met het Cyclops Blink-botnet maken, maar voor dit specifieke routermerk is er nog geen malware gevonden. Hoe de Asus-routers precies besmet kunnen raken is, net als bij de WatchGuard-firewalls, onbekend. Asus laat weten dat het een onderzoek is gestart en aan een oplossing werkt. Hoewel de malware een fabrieksreset kan overleven adviseert Asus uit voorzorg toch het uitvoeren van een fabrieksreset. Tevens wordt aangeraden de laatste firmware te installeren en een sterk beheerderswachtwoord te kiezen. Verder moet Remote Management worden uitgeschakeld. De optie staat standaard echter uit. bron: https://www.security.nl

Google slaat in de versie 4 van statistiekenprogramma Analytics geen ip-adressen van internetgebruikers meer op. Daarnaast zal het oudere versies van de software volgend jaar uitfaseren. Volgens het techbedrijf is dit nodig vanwege het huidige "dataprivacylandschap", waar gebruikers meer privacy en controle over hun data verwachten. Onlangs oordeelde de Franse privacytoezichthouder dat het gebruik van Google Analytics in strijd met de Europese privacywetgeving GDPR is. Een Franse website die van Googles statistiekenprogramma gebruikmaakt kreeg één maand de tijd om een alternatieve oplossing te zoeken. Eerder had ook de Oostenrijkse privacytoezichthouder geoordeeld dat een Oostenrijkse website die Analytics gebruikte in overtreding van de GDPR was. Volgens de toezichthouder wordt erbij het gebruik van Google Analytics persoonlijke data naar Google in de Verenigde Staten verstuurd, waaronder user identifiers, ip-adressen en browserparameters. In Google Analytics versie 4 worden voortaan geen ip-adressen meer opgeslagen, zo laat Google weten. Daarnaast is het statistiekenprogramma niet alleen afhankelijk van cookies. Websites kunnen per land de privacyinstellingen instellen en zo het verzamelen van gebruikersgegevens, zoals cookies en metadata, beperken. Google biedt verschillende versies van Analytics. Websites zullen echter naar Google Analytics 4 moeten overstappen om statistieken te blijven ontvangen. Volgend jaar juli stopt Google namelijk met Universal Analytics, terwijl op 1 oktober 2023 de stekker uit Universal Analytics 360 wordt getrokken. Websites worden dan ook opgeroepen om naar de nieuwe versie van Analytics te upgraden. bron: https://www.security.nl

Softwarebedrijf SolarWinds heeft klanten gewaarschuwd voor een aanval op Web Help Desk en adviseert om de oplossing tijdelijk niet vanaf het internet toegankelijk te maken. Web Help Desk (WHD) is een ticketingsysteem waarmee organisaties hun gebruikers en klanten tickets kunnen laten insturen. Vervolgens kan de organisatie de ingezonden tickets aan medewerkers toekennen. De WHD-installatie van een klant van SolarWinds werd onlangs doelwit van een aanval. De aanval werd door het endpoint detection and response (EDR) systeem van deze klant opgemerkt, waarna de klant SolarWinds waarschuwde. Het softwarebedrijf is een onderzoek naar de aanval gestart en is er nog niet in geslaagd om de aanval te reproduceren. Het onderzoek loopt echter nog. Uit voorzorg adviseert SolarWinds alle klanten waarvan de WHD-implementatie toegankelijk is vanaf het internet om die offline te halen totdat er meer bekend is. Wanneer het niet mogelijk is om de oplossing uit de publieke infrastructuur te verwijderen wordt aangeraden om van EDR-software gebruik te maken en de WHD-installatie te monitoren. Software van SolarWinds was het afgelopen jaar geregeld het doelwit van aanvallen. Het ging onder andere om Serv-U en het Orion-platform. bron: https://www.security.nl

De ontwikkelaars van OpenSSL hebben nieuwe versies uitgebracht waarmee een kwetsbaarheid wordt verholpen die het mogelijk maakt om denial of service (dos)-aanvallen tegen onder andere TLS-servers en -clients uit te voeren. Het beveiligingslek, aangeduid als CVE-2022-0778, bevindt zich in een functie die bij het verwerken van certificaten wordt gebruikt en kan voor een oneindige loop zorgen. Het probleem doet zich in verschillende scenario's voor, zoals TLS-clients die servercertificaten verwerken, TLS-servers die clientcertificaten verwerken, hostingproviders die certificaten of private keys van klanten accepteren, certificaatautoriteiten die certificatieverzoeken van klanten verwerken, alsmede alle andere situaties waarbij OpenSSL wordt gebruikt voor het verwerken van ASN.1 elliptic curve parameters. "Aangezien het verwerken van het certificaat plaatsvindt voor de verificatie van de certificaathandtekening, kan elk proces dat extern aangeleverde certificaten verwerkt aan een denial of service-aanval worden blootgesteld", aldus de ontwikkelaars. De 'infinite loop' kan zich ook voordoen bij het verwerken van speciaal geprepareerde private keys, aangezien die ook specifieke elliptic curve parameters kunnen bevatten. De kwetsbaarheid is aanwezig in OpenSSL-versies 1.0.2, 1.1.1 en 3.0 en verholpen in versies 1.1.1n en 3.0.2. De impact van het beveiligingslek, dat door de bekende Google-onderzoeker Tavis Ormandy werd gevonden en gerapporteerd, is beoordeeld als "high". Dit het één na hoogste niveau wat OpenSSL aanhoudt. Voor beveiligingslekken die als high en critical zijn beoordeeld brengt het OpenSSL-team een nieuwe versie uit. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Aanvallers hebben vorig jaar een NGO door middel van een zwak wachtwoord, een kwetsbaarheid in Cisco’s Duo multifactorauthenticatie (MFA)-protocol en het PrintNightmare-lek in Windows weten te compromitteren, zo claimt de FBI. De aanvallers wisten via een bruteforce-aanval toegang tot een account met een eenvoudig, voorspelbaar wachtwoord te krijgen. De aangevallen organisatie maakte gebruik van een oplossing van MFA-leverancier Duo voor het beveiligen van accounts. Het gecompromitteerde account was echter vanwege een lange periode van inactiviteit afgemeld bij Duo, maar niet uitgeschakeld in de Active Directory van de NGO. De standaardconfiguratie van Duo maakt het mogelijk om een nieuw apparaat voor een inactief account aan te melden. Zo konden de aanvallers hun eigen apparaat aan het gecompromitteerde account toevoegen, aan de authenticatievereisten voldoen en zo toegang tot het NGO-netwerk krijgen. Vervolgens maakten de aanvallers gebruik van het PrintNightmare-lek in Windows om hun rechten te verhogen en beheerder te worden. Ook wijzigden de aanvallers het domeincontrollerbestand, waardoor Duo MFA calls niet naar de Duo-server gingen, maar naar localhost. Hierdoor kan de MFA-service de server niet benaderen om de MFA-login te valideren, wat in principe multifactorauthenticatie voor actieve domeinaccounts uitschakelde. "Omdat het standaardbeleid van Duo voor Windows "Fail open" is wanneer de MFA-server niet kan worden bereikt. "Fail open" kan bij elke MFA-implementatie voorkomen", aldus de FBI. Na het effectief uitschakelen van MFA wisten de aanvallers op de VPN van de organisatie in te loggen en RDP-verbindingen naar domeincontrollers op te zetten. Vervolgens werden inloggegevens van andere domeinaccounts gestolen en de MFA-configuratie aangepast, zodat er voor deze nieuw gecompromitteerde accounts geen MFA meer was vereist. De aanvallers maakten hierbij voornamelijk gebruik van interne Windows-tools. Uiteindelijk wisten de aanvallers zich lateraal door het netwerk te bewegen en toegang te krijgen tot de cloudopslag en e-mailaccounts van de NGO. Volgens de FBI was de aanval het werk van door de Russische staat gesponsorde aanvallers. Mitigaties De FBI adviseert organisaties om verschillende maatregelen te nemen om dergelijke aanvallen te voorkomen. Zo moet MFA voor alle gebruikers zonder uitzondering worden ingesteld. Voor de implementatie moet echter het configuratiebeleid worden gecontroleerd om "Fail open" en het opnieuw aanmelden van apparaten te voorkomen. Verder wordt organisaties geadviseerd om een time-out en lock-out voor herhaaldelijk mislukte inlogpogingen in te stellen en ervoor te zorgen dat inactieve accounts overal zijn uitgeschakeld, zowel in de Active Directory, MFA-oplossing als andere systemen. bron: https://www.security.nl

Google waarschuwt gebruikers van Chrome voor een kritieke kwetsbaarheid waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. De kwetsbaarheid, aangeduid als CVE-2022-0971, werd door een onderzoeker van Google zelf gevonden. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome, hoewel de teller dit jaar inmiddels op drie staat. Twee daarvan werden gevonden door Google-onderzoeker Sergei Glazunov. CVE-2022-0971 bevindt zich in de Blink-browserengine die Chrome gebruikt voor het weergeven van webcontent. Door de kwetsbaarheid kan een "use after free" ontstaan en is het mogelijk voor een aanvaller om code met de rechten van de ingelogde gebruiker uit te voeren. Het beveiligingslek werd op 21 februari door Glazunov aan Google gerapporteerd. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 99.0.4844.74 tien andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Meta heeft voor twaalf persoonlijke datalekken die in 2018 plaatsvonden van de Ierse privacytoezichthouder DPC een boete van 17 miljoen euro opgelegd gekregen. Tussen 7 juni en 4 december 2018 meldde Facebook in totaal twaalf keer een datalek bij de DPC. Daarop startte de Ierse privacytoezichthouder een onderzoek. De DPC ontdekte dat Facebook onvoldoende technische en organisatorische maatregelen had getroffen waarmee het de beveiligingsmaatregelen kon aantonen die het in de praktijk had genomen om data van Europese gebruikers, in het geval van de twaalf persoonlijke datalekken, te beschermen. Daarmee heeft het bedrijf de GDPR overtreden. Bij het bepalen van de strafmaat heeft de DPC met alle andere Europese privacytoezichthouders overlegd, wat uiteindelijk tot consensus over het bedrag van 17 miljoen euro leidde. Een woordvoerder van Meta laat tegenover persbureau Reuters weten dat het bedrijf de uitspraak zal bestuderen en de processen continu in ontwikkeling zijn. "De boete betreft administratieve werkwijzes van 2018 die we sindsdien hebben aangepast, niet een falen in het beschermen van de informatie van personen." Meta had vorig jaar een omzet van 118 miljard dollar. bron: https://www.security.nl

Googles online virusscandienst VirusTotal heeft de eigen browserextensie van een grote update voorzien waardoor die nu ook automatisch Indicators of Compromise (IoC), zoals hashes, domeinen, ip-adressen en url's, op websites kan identificeren. Via VirusTotal is het mogelijk om bestanden door zo'n zeventig verschillende virusscanners te laten controleren. De browserextensie van VirusTotal was oorspronkelijk bedoeld om dit proces te vereenvoudigen. VirusTotal biedt echter ook allerlei "threat intelligence", zoals informatie over ip-adressen, hashes en domeinen. De nieuwste versie van de browserextensie kan dergelijke IoC's nu automatisch herkennen, wat analyse eenvoudiger moet maken. "SOC-analisten en andere cybersecurity-responders kunnen nu eenvoudig threat reputation en context binnen hun SIEM, casemanagementsysteem en andere tools benaderen, zelfs wanneer er geen ingebouwde integratie voor VirusTotal aanwezig is. Dit zorgt voor een sneller, nauwkeuriger en zelfverzekerder incident response", zegt Emiliano Martinez van VirusTotal. De browserextensie is beschikbaar voor Mozilla Firefox en Google Chrome. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Citrix ShareFile waarvoor afgelopen september een beveiligingsupdate verscheen. Dat meldt securitybedrijf CrowdStrike op basis van eigen bevindingen. Citrix ShareFile is een oplossing voor het synchroniseren en delen van bestanden. Vorig jaar werd er een path traversal-kwetsbaarheid in de oplossing ontdekt waardoor een ongeauthenticeerde gebruiker een bestand op een aangevallen server kan overschrijven en zo op afstand code kan uitvoeren. De impact van het beveiligingslek, aangeduid als CVE-2021-22941, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens CrowdStrike maakt een groep criminelen genaamd "Prophet Spider" misbruik van de kwetsbaarheid in Citrix ShareFile om Microsoft Internet Information Services (IIS) webservers te compromitteren. Via het lek werd een webshell geïnstalleerd waarmee verdere aanvallen zijn uit te voeren. Het uiteindelijke doel van de waargenomen aanval is onbekend. De groep in kwestie zou het in verleden toegang tot systemen hebben verkocht, die vervolgens met ransomware werden besmet. De Amerikaanse overheid houdt een lijst van actief aangevallen kwetsbaarheden bij die inmiddels bijna vijfhonderd beveiligingslekken telt, maar het lek in Citrix ShareFile ontbreekt hierop. bron: https://www.security.nl

De Duitse overheid heeft een waarschuwing voor antivirussoftware van Kaspersky gegeven en adviseert organisaties om alternatieve producten te zoeken. Antivirussoftware zit vaak diep genesteld in het besturingssysteem en draait daarbij ook nog eens permanent in de achtergrond. Vanwege deze rol is vertrouwen in antivirusbedrijven cruciaal. "Als er twijfels over de betrouwbaarheid van de leverancier zijn, vormt antivirussoftware een bijzonder risico voor de it-infrastructuur die moet worden beschermd", zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Het BSI vreest daarbij dat het militaire conflict in Oekraïne kan leiden tot cyberaanvallen op Duitsland. "Een Russische it-leverancier kan zelf offensieve operaties uitvoeren, worden gedwongen om tegen de eigen wil systemen aan te vallen, zonder dat het hiervan weet worden bespioneerd als slachtoffer van een cyberoperatie of worden misbruikt als middel voor aanvallen tegen de eigen klanten", zo laat de Duitse overheidsinstantie weten. Het BSI merkt op dat alle gebruikers van antivirussoftware door dergelijke operaties kunnen worden getroffen en dat met name vitale infrastructuur risico loopt. Het BSI adviseert daarom om producten van Kasperksy door alternatieve oplossingen te vervangen. Dit moet wel goed worden voorbereid, aangezien een overstap zonder voorbereiding ertoe kan leiden dat systemen kwetsbaar zijn voor aanvallen. "Het overstappen naar andere producten kan gepaard gaan met tijdelijk verlies van gemak, functionaliteit en veiligheid." Organisaties dienen dan ook eerst een assessment uit te voeren en waar nodig contact met gecertificeerde leveranciers op te nemen. Update Kaspersky laat weten dat het besluit van het BSI niet is gebaseerd op een technische beoordeling, maar op politieke gronden.

NAS-systemen van QNAP zijn kwetsbaar voor de Dirty Pipe-kwetsbaarheid, die het mogelijk maakt voor een ongeprivilegieerde gebruiker om beheerder te worden, zo waarschuwt de fabrikant die snel met beveiligingsupdates zegt te zullen komen. Dirty Pipe is een beveiligingslek in de Linux-kernel waardoor een gebruiker of aanvaller met toegang tot het systeem root kan worden. De NAS-besturingssystemen van QNAP, QTS en QuTS Hero, maken gebruik van de Linux-kernel en hebben zodoende ook met Dirty Pipe te maken. In het geval van QTS en QuTS zorgt de kwetsbaarheid ervoor dat een ongeprivilegieerde gebruiker beheerdersrechten kan krijgen en kwaadaardige code kan injecteren. Het probleem speelt bij QTS 5.0.x en QuTS Hero h5.0.x. Versie 4.x van QTS is niet kwetsbaar. QNAP is naar eigen zeggen bezig met onderzoek naar de kwetsbaarheid en zal zo snel mogelijk met beveiligingsupdates en meer informatie komen. Op dit moment is er geen mitigatie voor het beveiligingslek beschikbaar. Gebruikers wordt aangeraden om de update, zodra die beschikbaar komt, meteen te installeren. bron: https://www.security.nl

Mozilla heeft de eigen Firefox Relay-dienst ook als extensie voor Google Chrome beschikbaar gemaakt. Daarnaast is het nu mogelijk om via de dienst e-mailbijlagen tot tien megabyte door te sturen. Via Firefox Relay kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. Gebruikers maken via Firefox Relay een alias aan. E-mails worden via de aangemaakte alias, eindigend op het domein mozmail.com, naar het echte e-mailadres van de gebruiker doorgestuurd. Zodoende komt het echte e-mailadres nooit in handen van de betreffende website. De gratis versie van Firefox Relay biedt gebruikers vijf aliassen. Die kunnen zowel via de webinterface als een extensie worden aangemaakt. Per alias kan worden ingesteld of e-mails naar het echte e-mailadres van de gebruiker moeten worden doorgestuurd of dat Mozilla ze moet blokkeren. Naast de introductie van een Chrome-extensie en de mogelijkheid om grote e-mailbijlagen door te sturen kunnen betalende gebruikers er nu voor kiezen om aanbiedingen van een website deels of volledig te blokkeren. Hoeveel mensen gebruik van Firefox Relay maken is onbekend, maar de Firefox-extensie van de doorstuurdienst telt bijna 122.000 gebruikers. bron: https://www.security.nl

Het verdwijnen van Adobe Flash Player en het toegenomen marktaandeel van op Chromium-gebaseerde browsers hebben ervoor gezorgd dat Google Chrome vaker doelwit van zeroday-aanvallen is, zo stelt Google. Vorig jaar kreeg de browser van het techbedrijf met een recordaantal zerodaylekken te maken. Volgens Google zijn er verschillende redenen om deze toename te verklaren. Zo worden onderzoekers steeds beter in het vinden van zeroday-aanvallen, waardoor het mogelijk wordt om de gebruikte kwetsbaarheden te verhelpen. Een andere reden is dat er meer kwetsbaarheden vereist zijn voor een succesvolle aanval. Hadden deze aanvallen in het verleden genoeg aan één kwetsbaarheid, nu zijn er door toegevoegde beveiligingsmaatregelen minstens twee lekken nodig. Als het gaat om specifieke aanvallen tegen Chrome ziet Google twee redenen. De eerste is het verdwijnen van Adobe Flash Player, dat in 2015 en 2016 nog vaak voor zeroday-aanvallen werd gebruikt. "Nu Flash niet langer beschikbaar is, zijn aanvallers op een lastiger doelwit overgestapt, namelijk de browser zelf", zegt Adrian Taylor van het Chrome Security Team. De tweede reden is de dominantie van Chromium, de door Google ontwikkelde opensourcebrowser die de basis voor Google Chrome vormt. Ook andere partijen kunnen Chromium als basis voor hun browser gebruiken. Opera, Microsoft Edge Chromium en Vivaldi zijn enkele voorbeelden. "Wanneer aanvallers een bug in Chromium vinden kunnen ze nu een groter percentage gebruikers aanvallen", aldus Taylor. Een andere reden voor de aanvallen is volgens Taylor dat software nu eenmaal bugs bevat, waarvan een deel te misbruiken is. "Browsers zijn steeds vaker net zo complex als besturingssystemen, en bieden toegang tot je apparaten, bestandssysteem, 3d-rendering en gpu's, en meer complexiteit betekent meer bugs." bron: https://www.security.nl

Een nieuwe kwetsbaarheid in de Linux-kernel, met de naam Dirty Pipe, maakt het mogelijk voor ongeprivilegieerde lokale gebruikers om code in rootprocessen te injecteren en zo rootrechten te krijgen. Beveiligingsupdates zijn inmiddels voor allerlei distributies beschikbaar gemaakt. De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de onveilige interactie tussen een Linux-bestand, dat permanent op de harde schijf wordt opgeslagen, en een Linux-pipe, wat een databuffer in het geheugen is die als een bestand is te gebruiken. "Simpel gezegd, als je een pipe hebt waar je naar toe kunt schrijven en een bestand waarvan niet, dan kan het schrijven naar het geheugenbuffer van de pipe onbedoeld ook de gecachte pagina's van verschillende delen van het schijfbestand aanpassen", zegt beveiligingsexpert Paul Ducklin van Sophos. Hierdoor wordt de aangepaste cachebuffer door de kernel terug naar de schijf geschreven en de inhoud van het opgeslagen bestand permanent aangepast, ongeachte de permissies van het bestand. Een lokale gebruiker kan zo een SSH-key aan het root-account toevoegen, een rootshell aanmaken of een cronjob toevoegen die als backdoor draait en een nieuw gebruikersaccount met rootrechten toevoegt. De kwetsbaarheid, die ook wordt aangeduid als CVE-2022-0847, werd op 20 februari door Max Kellermann aan het securityteam van de Linux-kernel gerapporteerd. Een dag later werd ook het Android-securityteam ingelicht. Op 23 februari verschenen de eerste Linux-updates. Het probleem is verholpen in Linux 5.16.11, 5.15.25 en 5.10.102. Google heeft inmiddels een oplossing aan de Androidkernel toegevoegd. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. bron: https://www.security.nl

Microsoft heeft een kwetsbaarheid in antivirussoftware Defender for Endpoints verholpen waardoor het mogelijk is om informatie tussen de client en de service te spoofen. De Nederlandse beveiligingsonderzoeker Gijs Hollestelle ontdekte het spoofinglek en rapporteerde het probleem (CVE-2022-23278) aan Microsoft. "Deze kwetsbaarheid raakt alle platformen en de updates die we hebben uitgebracht zouden net als elke andere beveiligingsupdate moeten worden uitgerold", aldus Microsoft in een apart artikel over het spoofinglek. Zo zijn er updates voor alle versies van Defender for Endpoints beschikbaar. Het gaat dan ook om de versies voor Android, macOS en Linux. In het geval automatische updates staan ingeschakeld, wat standaard het geval is, is er geen verdere actie van gebruikers vereist. Wie automatische updates heeft uitgeschakeld wordt door Microsoft opgeroepen om die in te schakelen. Voor zover bekend wordt er geen misbruik van de kwetsbaarheid gemaakt. bron: https://www.security.nl

Onderzoekers hebben in verschillende APC Smart-UPS-modellen kritieke kwetsbaarheden ontdekt waardoor het mogelijk is om de noodstroomvoorziening uit te schakelen, de stroomtoevoer te manipuleren of de apparaten zelfs te vernietigen. Dat claimt securitybedrijf Armis. APC heeft firmware-updates uitgebracht om de problemen te verhelpen. Een Uninterruptible power supply (UPS) fungeert in het geval van stroomuitval als back-up. De Smart-UPS is een met de cloud verbonden oplossing, waardoor het onder andere mogelijk is om de apparaten op afstand te beheren en monitoren. Onderzoekers van Armis vonden drie kwetsbaarheden die het mogelijk maken om de apparaten op afstand aan te vallen. Twee van de kwetsbaarheden bevinden zich in de TLS-verbinding tussen de UPS en de cloud. Een aanvaller kan zich zo als de clouddienst voordoen en willekeurige code op de UPS uitvoeren. Het derde probleem wordt veroorzaakt door het niet voldoende controleren van firmware. Hierdoor is het mogelijk voor een aanvaller om ongesigneerde firmware op afstand op de UPS-apparaten te installeren. Zodra de UPS is gecompromitteerd kan een aanvaller verdere aanvallen op het netwerk uitvoeren of de UPS ontregelen. Daarbij stellen de onderzoekers dat het ook mogelijk is om de UPS zichzelf te laten vernietigen. Iets wat tijdens een experiment ook lukte, aldus een whitepaper over de kwetsbaarheden. Fabrikant Schneider Electric werd op 31 oktober vorig jaar ingelicht over de problemen en heeft inmiddels firmware-updates uitgerold. bron: https://www.security.nl