Captain Kirk

Mozilla heeft vandaag Firefox 94 gelanceerd die voorzien is van een beveiligingsfeature die gebruikers tegen sidechannel-aanvallen zoals Spectre moet beschermen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen. Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen. Om dergelijke aanvallen te voorkomen is het nodig dat elke site op OS-niveau in een apart proces wordt geladen. Firefox maakt al gebruik van verschillende processen om bijvoorbeeld webcontent te laden. Toch biedt dit volgens Mozilla nog niet voldoende bescherming, omdat het kan voorkomen dat twee verschillende websites hetzelfde besturingssysteemproces gebruiken en zo het procesgeheugen delen. Vervolgens zou het via een kwetsbaarheid als Spectre mogelijk voor de ene site zijn om data van de andere site in dit geheugen te benaderen. Met Site Isolation wordt dit voorkomen. Naast de bescherming die de maatregel biedt heeft het ook andere voordelen. Door meer websites in gescheiden processen te laden zal de ene website geen invloed hebben op de reactie van websites in andere processen. Door meer processen te gebruiken voor het laden van websites kan ook de belasting over meerdere cpu-cores worden verdeeld, waardoor de onderliggende hardware efficiënter wordt gebruikt. Updaten naar Firefox 94 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Criminelen hebben een legitiem Amazon-token van antivirusbedrijf Kaspersky gebruikt voor het versturen van phishingmails die een Kaspersky-e-mailadres als afzender hadden. Dat heeft de virusbestrijder in een advisory bekendgemaakt. Het ging om een token voor Amazons Simple Email Service (SES). SES is een e-maildienst voor het versturen van bulkmail. Kaspersky had het legitieme SES-toegangstoken aan een derde partij gegeven die zich bezighoudt met het testen van een Kaspersky-site, die ook bij Amazon wordt gehost. Dit token is gebruikt voor het versturen van phishingmails die zich voordoen als fax-bericht en proberen om inloggegevens voor Office 365 te stelen. Hoe criminelen het token in handen kregen is niet bekend. Nadat de phishingmails werden ontdekt is het token ingetrokken. De diefstal van het token heeft verder geen gevolgen gehad, aldus Kaspersky. Zo is er geen server gecompromitteerd en heeft er geen ongeautoriseerde databasetoegang of andere malafide activiteit op de geteste website en bijbehorende diensten plaatsgevonden. bron: https://www.security.nl

Ruim honderd Vlaamse gemeenten hebben de veiligheid van hun systemen door studenten laten testen. Dat blijkt uit cijfers die CD&V-Kamerlid Brecht Warnez opvroeg bij minister Bart Somers van Binnenlands Bestuur. Sinds vorig jaar ondersteunt de Vlaamse regering steden en gemeenten die een basisaudit en bijkomende audit op hun systemen laten uitvoeren. Daarnaast kunnen steden en gemeenten hun systemen door een "ethische hacker" laten testen. Inmiddels hebben 125 gemeenten een basisaudit laten uitvoeren, bijna een verdubbeling ten opzichte van een jaar geleden. Dertien steden en gemeenten vroegen een bijkomende audit aan, meer dan een verviervoudiging ten opzichte van vorig jaar. Het aantal testen door ethische hackers nam met veertig procent toen. "In totaal betekent dit dat reeds 174 van de 300 Vlaamse gemeenten gebruik maken van de Vlaamse steun voor cyberveiligheid, wat neerkomt op 58 procent. Vijftig gemeenten bestelden zelfs zowel de basisaudit als de ethische hacking", laat Warnez op zijn eigen website weten. Voor het ethisch hacken wordt een beroep gedaan op studenten van de Hogeschool West-Vlaanderen (Howest), meldt Het Nieuwsblad. Die zouden naast het uitvoeren van een klassieke pentest ook proberen om via social engineering toegang tot systemen te krijgen, bijvoorbeeld door het versturen van phishingmails en het laten rondslingeren van usb-sticks, zo werd vorig jaar al aangekondigd. "Het is zeer positief dat zo veel lokale besturen gebruik maken van de beschikbare Vlaamse steun. 126 steden en gemeenten doen dit echter nog niet. Hopelijk garanderen zij op een andere manier de cyberveiligheid of kunnen we ze nog overtuigen om in de toekomst in te tekenen op de Vlaamse steunmaatregelen", stelt Warnez. Hij vindt dat de overheidssteun voor de audits ook voor provincies beschikbaar moet komen. "Ook daar wordt immers gewerkt met gegevens van burgers, die te allen tijde beschermd moeten worden." bron: https://www.security.nl

Aanvallers maken op dit moment actief misbruik van een zeer kritieke kwetsbaarheid in GitLab waardoor zeker 30.000 installaties risico lopen, zo stelt securitybedrijf Rapid7. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. In april van dit jaar maakte GitLab een beveiligingsupdate beschikbaar voor een zeer kritieke kwetsbaarheid in de GitLab Community Edition (CE) en Enterprise Edition (EE), aangeduid als CVE-2021-22205. De applicatie bleek geüploade afbeeldingen niet goed te controleren. Door het uploaden van een speciaal geprepareerd DjVu-bestand kan een aanvaller willekeurige code als de git-gebruiker uitvoeren. Zo is het mogelijk om een shell op de server te krijgen. In eerste instantie werd de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,9 beoordeeld. Op 21 september wijzigde GitLab dit naar een 10. De reden voor de aanpassing is dat het beveiligingslek ook door een ongeauthenticeerde aanvaller is te misbruiken, in plaats van alleen een geauthenticeerde aanvaller zoals eerst werd gedacht. Er zijn verschillende exploits voor de kwetsbaarheid op internet verschenen. Hoewel er sinds april beveiligingsupdates beschikbaar zijn, hebben veel beheerders die nog niet geïnstalleerd. Rapid7 detecteerde 60.000 GitLab-installaties die vanaf het internet toegankelijk zijn. Daarvan zijn er 12.600 gepatcht gepatcht, maar draaien 30.000 installaties nog altijd een kwetsbare versie. Van 17.400 installaties kon de versie niet worden vastgesteld. Het aantal kwetsbare installaties ligt daardoor mogelijk boven de dertigduizend. Naar verluidt zou er sinds juni of juli misbruik van het lek zijn gemaakt. Rapid7 verwacht dat misbruik zal toenemen zodra details bekend worden om ongeauthenticeerde aanvallen te kunnen uitvoeren. Beheerders worden dan ook opgeroepen om de update te installeren. bron: https://www.security.nl

Het Team High Tech Crime (THTC) van de politie en het Nationaal Cyber Security Centrum (NCSC) hebben bedrijven wereldwijd gewaarschuwd dat hun netwerk met nog niet geactiveerde ransomware besmet was. Hierdoor konden deze ondernemingen maatregelen nemen om de schade te beperken. Het waarschuwen van potentiële slachtoffers was onderdeel van het onderzoek naar een ransomwarebende die verantwoordelijk wordt gehouden voor meer dan achttienhonderd slachtoffers in meer dan zeventig landen. Onder andere de Noorse aluminiumproducent Hydro werd slachtoffer van de bende, zo meldt de Noorse politie. Het bedrijf besloot geen losgeld te betalen, maar de aanval kostte Hydro een bedrag van tussen de 57 en 67 miljoen euro. Het onderzoek van de Nederlandse autoriteiten naar de bende startte in 2019, nadat een multinational uit Rotterdam aangifte van een ransomware-aanval had gedaan. Het THTC wist de identiteit van de verdachte achter de ransomware-aanval op de Rotterdamse multinational te achterhalen, alsmede honderden potentiële slachtoffers wereldwijd. Het ging om multinationals die de criminelen op het oog hadden of waarbij ze zelfs al waren binnengedrongen in het netwerk. "Door deze waarschuwingen zijn nog meer losgeldafpersingen voorkomen", zo laat de politie weten. Volgens het NCSC is door de slachtoffernotificatie in veel gevallen de uitrol van ransomware, uitval en heel veel schade bij een groot aantal slachtoffers voorkomen. Bij de operatie, waar vrijdag al over werd bericht, wisten de autoriteiten twaalf verdachten op te sporen die worden verdacht van het gebruik van de LockerGoga-, MegaCortex- en Dharma-ransomware. "Het lukt criminelen achter ransomware-aanvallen heel lang onder de radar te blijven en zo, ongemerkt, enorm veel schade aan te richten aan personen, grote bedrijven en overheidsdiensten. Deze groeperingen zijn dan misschien minder gewelddadig dan drugscriminelen, maar ze zijn wel degelijk in staat onze maatschappij te ontwrichten. Ransomware-aanvallen zijn echt een potentieel gevaar voor iedereen”, aldus Andy Kraag, hoofd Dienst Landelijke Recherche van de Landelijke Eenheid. bron: https://www.security.nl

Internet of Things-apparaten die in de Europese Unie worden aangeboden mogen vanaf halverwege 2024 geen standaard wachtwoorden meer gebruiken. In plaats daarvan moeten gebruikers voor het eerste gebruik zelf een sterk wachtwoord instellen, zo heeft de Europese Commissie bepaald. Ook moet het eenvoudiger worden om IoT-apparaten te updaten, moeten die zijn getest op kwetsbaarheden en horen opgeslagen persoonlijke- en financiële gegevens te zijn beveiligd. Verder moeten gebruikers de mogelijkheid hebben om deze data te beheren en te verwijderen. Deze basisveiligheidseisen zijn als besluit toegevoegd aan het Europese Radio Equipment Directive. "Cyberveiligheid is te vaak een sluitpost voor fabrikanten en importeurs van draadloze apparaten. Tegelijkertijd zien we dat juist deze onveilige producten een ideale toegangsdeur zijn voor criminelen om persoonlijke of bankgegevens buit te maken. Of om de besturing over te nemen, waardoor een apparaat kan worden gebruikt voor een hackaanval op andere consumenten of bedrijven", zegt demissionair minister Blok van Economische Zaken. Volgens het ministerie maken veel apparaten nu nog gebruik van slecht beveiligde verbindingen en standaardinstellingen die niet veilig zijn. "Het uitvoeren van een update is vaak omslachtig. Hierdoor zijn persoonlijke gegevens of zelfs wachtwoorden te bekijken en kan de besturing worden overgenomen." De basisveiligheidseisen moeten ervoor zorgen dat de veiligheid van IoT-apparaten wordt opgeschroefd. Toch hebben ook gebruikers een rol, merkt Blok op. Zo wordt aangeraden om beveiligingsupdates te installeren, een sterk wachtwoord te kiezen, zo min mogelijk informatie met het apparaat te delen en het apparaat niet onnodig aan een thuis- of bedrijfsnetwerk te koppelen. "Veel apparaten hoeven voor gebruik niet eens voortdurend met het internet verbonden zijn." bron: https://www.security.nl

Google heeft voor de vierder keer in korte tijd beveiligingsupdates uitgerold voor actief aangevallen zerodaylekken in Chrome. Dit jaar heeft het techbedrijf al vijftien zerodays in de browser moeten verhelpen. Net als bij vorige patches geeft Google geen details over de doelwitten van deze aanvallen en hoe ze precies plaatsvonden. De kwetsbaarheden, aangeduid als CVE-2021-38000 en CVE-2021-38003, bevinden zich in Intents en V8. Intents is een onderdeel van de browser voor het openen van apps door middel van links. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin het afgelopen jaar al tal van andere zerodaylekken werden gevonden. De impact van beide kwetsbaarheden is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De kwetsbaarheden zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De Google Threat Analysis Group ontdekte beide zerodaylekken. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Naast de actief aangevallen zerodaylekken verhelpt de update ook verschillende andere kwetsbaarheden, waaronder één die tijdens de TianfuCup werd gedemonstreerd, een jaarlijkse wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende beveiligingslekken. Gebruikers krijgen het advies om te updaten naar Google Chrome 95.0.4638.69, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen. Hieronder een overzicht van de vijftien zerodaylekken in Google Chrome en wanneer ze zijn verholpen. Recentelijk bleek dat Google dit jaar een recordaantal zerodays heeft geregistreerd. bron: https://www.security.nl

Antivirusbedrijf Avast heeft een gratis decryptietool voor de AtomSilo- Babuk- en LockFile-ransomware uitgebracht waarmee slachtoffers hun bestanden kosteloos kunnen ontsleutelen. Onlangs liet Google nog weten dat Babuk tot de meest actieve ransomware-exemplaren van het afgelopen jaar behoort en in juli nog voor een piek in het aantal ransomware-exemplaren zorgde. In september lekte de broncode van Babuk op internet, samen met een aantal decryptiesleutels. Op basis van de gelekte broncode en decryptiesleutels heeft Avast een gratis decryptietool kunnen ontwikkelen. De LockFile-ransomware kwam eerder dit jaar in het nieuws omdat het via kwetsbare Exchange-servers meerdere organisaties wist te infecteren. De AtomSilo-ransomware is nagenoeg gelijk aan LockFile, aldus Avast. Beveiligingsonderzoeker Jirí Vinopal liet onlangs via Twitter weten dat hij erin was geslaagd AtomSilo te kraken. Een kwetsbaarheid in de ransomware maakt het mogelijk om bestanden zonder te betalen te ontsleutelen. Aangezien AtomSilo en LockFile nagenoeg identiek zijn is de kwetsbaarheid ook in de laatstgenoemde aanwezig. Avast gebruikte de informatie van Vinopal voor het ontwikkelen van een gratis decryptietool. Wat de kwetsbaarheid precies inhoudt is niet bekendgemaakt. Daarnaast kan de decryptietool niet alle bestanden ontsleutelen, zo laat het antivirusbedrijf weten. bron: https://www.security.nl

E-mailproviders in Zwitserland zijn geen telecomproviders en vallen daardoor ook niet onder de bewaarplichtregels die voor laatstgenoemde gelden, zo heeft een Zwitserse rechtbank geoordeeld in een rechtszaak die e-mailprovider ProtonMail tegen de Zwitserse overheid had aangespannen. Eerder dit jaar oordeelde het Zwitserse hooggerechtshof in een zaak van chatdienst Threema dat chatdiensten geen telecomproviders zijn. "Beide uitspraken zijn een overwinning voor privacy in Zwitserland, aangezien veel Zwitserse bedrijven nu zijn uitgezonderd van het overhandigen van bepaalde gebruikersinformatie in reactie op Zwitserse gerechtelijke bevelen", laat het team van ProtonMail in een reactie weten. De e-mailprovider stelt dat het vanwege de sterke privacybescherming die het biedt bewust voor Zwitserland als thuisbasis heeft gekozen. "We blijven echter de ontwikkelingen in Zwitserland en andere landen volgen, en indien nodig, ons aanpassen om ervoor te zorgen dat de jurisdictie waar we gevestigd zijn de best mogelijke privacybescherming biedt." Onlangs kwam ProtonMail nog in het nieuws omdat het het ip-adres van een Franse activist aan de Zwitserse politie had verstrekt. bron: https://www.security.nl

Het afgelopen jaar kende een toename van password spraying als aanvalsvector, organisaties doen er dan ook verstandig aan om zich hier tegen te beschermen, zo waarschuwt Microsoft. Onlangs liet het techbedrijf weten dat onder andere de Russische geheime dienst SVR van deze techniek gebruikmaakt. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Volgens Microsoft zijn vaak applicaties het doelwit die onbeveiligd zijn en van legacy authenticatieprotocollen gebruikmaken en geen multifactorauthenticatie ondersteunen. Recentelijk richten aanvallers zich ook op applicaties die van de REST API gebruikmaken. Onder andere Exchange ActiveSync, IMAP, POP3, SMTP Auth en Exchange Autodiscover zijn het doelwit. Verder meldt Microsoft dat het een toename ziet van password spraying-aanvallen op accounts van cloudbeheerders. Organisaties kunnen verschillende maatregelen nemen om password spraying tegen te gaan, zoals het gebruik van multifactorauthenticatie en het uitschakelen van legacy authenticatie. Verder pleit Microsoft voor het evalueren van het wachtwoordbeleid. "De toekomst is een wereld zonder wachtwoorden omdat het te vaak voorkomt dat mensen ze tussen applicaties hergebruiken of eenvoudig te ontdekken wachtwoorden kiezen", zo stelt het techbedrijf. Aangezien beheerdersaccounts de "keys to the kingdom" zijn adviseert Microsoft om die extra te beveiligen. Zo zouden ze "cloud-only" moeten zijn en niet vanuit de Active Directory gesynchroniseerd moeten worden. Verder dient multifactorauthenticatie voor dergelijke accounts verplicht te zijn en is het nodig om accounts aan te maken waarmee in het geval van noodsituaties toegang kan worden verkregen. bron: https://www.security.nl

Een kwetsbaarheid in een WordPressplug-in met meer dan achtduizend installaties maakt het mogelijk om websites op afstand te wissen. Het gaat om HashThemes Demo Importer waarmee beheerders van WordPress-sites demo's van allerlei themes op hun website kunnen installeren. Een beveiligingslek in de plug-in maakt het mogelijk voor een ingelogde gebruiker van de website om een functie aan te roepen waarmee de database grotendeels is te wissen en bestanden worden verwijderd. "Deze kwetsbaarheid liet elke geauthenticeerde gebruiker een website volledig resetten, en bijna alle databasecontent permanent verwijderen, alsmede alle geüploade media", stelt securitybedrijf Wordfence. De ontwikkelaar van de plug-in werd op 25 augustus door Wordfence over de kwetsbaarheid geïnformeerd, maar gaf volgens het securitybedrijf geen reactie. Daarop werd WordPress zelf gewaarschuwd, dat de plug-in op 20 september van de WordPress.org repository verwijderde. Op 24 september bracht de ontwikkelaar een nieuwe versie uit met een beveiligingsupdate. Dit staat echter niet in de changelog vermeld. Volgens Wordfence laat de kwetsbaarheid het belang zien van het maken van back-ups, aangezien websites via het lek volledig zijn te resetten. bron: https://www.security.nl

De criminelen achter de Conti-ransomware bieden geïnteresseerde partijen tegen betaling toegang tot de netwerken van slachtoffers. Op de eigen website laat de ransomwaregroep weten dat het kopers zoekt die geïnteresseerd zijn in toegang tot de netwerken van getroffen organisaties om vervolgens de data van deze bedrijven te stelen en verkopen. De nieuwe toevoeging op de website werd door meerdere onderzoekers ontdekt. Waarom de Conti-groep begonnen is met het aanbieden van toegang tot de netwerken van slachtoffers is onduidelijk. "Ik vraag me af of ze binnenkort de deuren sluiten en data of toegang van een lopende inbraak willen verkopen voordat ze het zelf doen", zegt Fabian Wosar, cto van antivirusbedrijf Emsisoft, tegenover it-journalist Brian Krebs. "Het is echter wat stom om het op deze manier te doen, aangezien je bedrijven waarschuwt dat ze zijn gecompromitteerd." In september kwamen de FBI en Amerikaanse geheime dienst NSA nog met een waarschuwing voor een toename van ransomware-aanvallen door de Conti-groep. Volgens de overheidsinstanties heeft deze groep meer dan vierhonderd aanvallen tegen Amerikaanse en internationale organisaties uitgevoerd. bron: https://www.security.nl

Een zerodaylek in vpn-apparaten van het bedrijf Entrolink wordt actief gebruikt voor ransomware-aanvallen. Een beveiligingsonderzoeker meldt op Twitter dat hij Entrolink voor de kwetsbaarheid in PPX-AnyLink heeft gewaarschuwd, maar geen reactie kreeg. Entrolink is een Zuid-Koreaanse onderneming en de PPX-AnyLink wordt vooral door Zuid-Koreaanse bedrijven gebruikt om personeel toegang tot het bedrijfsnetwerk te geven. Een exploit om misbruik van de kwetsbaarheid te maken werd eerst op een forum voor 50.000 dollar aangeboden, maar was vervolgens op een ander forum gratis te downloaden, zo meldt The Record. De exploit maakt het mogelijk voor een aanvaller om op afstand code met rootrechten op PPX-AnyLink-apparaten uit te voeren. Mogelijk zouden de groepen achter de BlackMatter- en LockBit-ransomware al gebruik van het zerodaylek hebben gemaakt. Gisteren werd bekend dat ook een kwetsbaarheid in facturatiesoftware BillQuick Web Suite actief wordt gebruikt voor de verspreiding van ransomware. bron: https://www.security.nl

Mozilla heeft sinds juni meerdere malafide Firefox-extensies geblokkeerd die bij elkaar al door 455.000 gebruikers waren geïnstalleerd. De extensies maakten misbruik van de proxy-api waarmee extensies kunnen bepalen hoe Firefox verbinding met internet maakt. De extensies zorgden ervoor dat gebruikers geen updates meer konden downloaden, geen toegang tot blocklists hadden en op afstand geconfigureerde content niet meer konden bijwerken. Na ontdekking van de malafide extensies besloot Mozilla die te blokkeren, om zo nieuwe slachtoffers te voorkomen. Verder besloot de Firefox-ontwikkelaar beslissingen over het toelaten van nieuw ingezonden extensies die van de proxy-api gebruikmaakten te staken. Dit moest Mozilla tijd geven voor het ontwikkelen van een oplossing die vanaf Firefox 91.1 is doorgevoerd. De browser zal bij belangrijke requests die via een proxy-configuratie gaan, zoals het zoeken naar updates, terugvallen op een directe verbinding met internet wanneer het verzoek mislukt. Daarnaast is er een systeem-extensie voor zowel huidige als oudere Firefox-extensies uitgerold genaamd Proxy Failover die aanvullende beveiligingsmaatregelen toevoegt. Naast de eigen maatregelen meldt Mozilla dat Microsoft Defender, de antivirussoftware die standaard in Windows aanwezig is, gebruikers nu ook beschermt tegen het probleem. Voor gebruikers die een oudere Firefox-versie draaien en updates niet hebben uitgeschakeld, kan het zijn dat ze de dupe van een malafide extensie zijn. In dit geval zijn er verschillende mogelijkheden om de extensies te verwijderen, zo laat Mozilla in een blogposting weten. bron: https://www.security.nl

minelen maken actief gebruik van een kwetsbaarheid in BillQuick Web Suite voor infecteren van organisaties met ransomware. BillQuick Web Suite is software voor facturatie en tijdsregistratie. BillQuick heeft naar eigen zeggen 400.000 gebruikers wereldwijd. Een Amerikaans engeeringbedrijf raakte via het beveiligingslek, aangeduid als CVE-2021-42258, besmet met ransomware, aldus securitybedrijf Huntress. De inlogpagina van de software blijkt kwetsbaar te zijn voor SQL-injection waardoor een ongeauthenticeerde aanvaller niet alleen toegang tot de data van BillQuick-klanten kan krijgen, maar ook commando's kan uitvoeren op de Windows- bron: https://www.securitwaarop de software draait. Naast de aangevallen kwetsbaarheid ontdekte Huntress ook acht andere beveiligingslekken die het bij BillQuick rapporteerde. Het softwarebedrijf is met versie 22.0.9.1 van Web Suite gekomen om het probleem te verhelpen. bron: https://www.security.nl

Een kwetsbaarheid in de BlackMatter-ransomware maakt het mogelijk om data van slachtoffers kosteloos te ontsleutelen en antivirusbedrijf Emsisoft heeft hier de afgelopen maanden gebruik van gemaakt om getroffen bedrijven te helpen. Volgens Emsisoft is de BlackMatter-ransomware een voortzetting van de DarkSide-ransomware die eerder dit jaar wereldnieuws werd vanwege de aanval op de Colonial Pipeline. De aanval zorgde onder andere voor brandstoftekorten in de Verenigde Staten. Colonial Pipeline betaalde 4,4 miljoen dollar in bitcoin om weer toegang tot versleutelde bestanden te krijgen. Een groot deel van het losgeld werd op een nog onbekende manier door de FBI in beslag genomen. Eind juli ging de DarkSide-groep offline. Op 27 juli verscheen opeens de BlackMatter-groep online. Uit onderzoek van de BlackMatter-ransomware bleek dat die nagenoeg gelijk was aan de DarkSide-ransomware. Onderzoekers van Emsisoft ontdekten vorig jaar december een kwetsbaarheid in de DarkSide-ransomware waardoor ze zonder te betalen data konden ontsleutelen. De kwetsbaarheid werd op 12 januari van dit jaar door de groep verholpen. In een versie van de BlackMatter-ransomware vonden de onderzoekers ook een kwetsbaarheid waardoor decryptie van bestanden kosteloos mogelijk is. Vervolgens waarschuwde het antivirusbedrijf opsporingsdiensten, computer emergency response teams (CERTs) en sectorpartners in verschillende landen om zo BlackMatter-slachtoffers te helpen. Emsisoft zegt dat het "tal van" slachtoffers zo met een decryptietool heeft kunnen helpen, maar noemt geen exact aantal. Net als veel andere ransomwaregroepen gebruikte BlackMatter een website waarop het slachtoffers vermeldde en dreigde met het publiceren van hun data als er geen losgeld werd betaald. De groep besloot in september deze website offline te halen, waardoor Emsisoft slachtoffers niet meer met de decryptietool kon benaderen. Daarnaast bracht de groep een update van de ransomware uit, waarmee de kwetsbaarheid voor het ontsleutelen van data werd verholpen. Aanleiding voor Emsisoft om nu in de openbaarheid te treden en eerdere slachtoffers van de ransomware te laten weten dat hun bestanden zijn te ontsleutelen. bron: https://www.security.nl

Microsoft heeft de Russische inlichtingendienst SVR beschuldigd van inbraken bij zeker veertien ict-leveranciers, waaronder cloudleveranciers, om zo supplychain-aanvallen op hun klanten te kunnen uitvoeren. De SVR wordt onder andere verantwoordelijk gehouden voor de aanval op softwarebedrijf SolarWinds. Daarbij werden officiële SolarWinds-updates voorzien van een backdoor, waardoor er toegang tot systemen van klanten kon worden verkregen. Volgens Microsoft probeert de SVR deze aanpak te herhalen met aanvallen op ict-leveranciers die een rol in de logistieke it-keten vervullen. Sinds mei heeft het techbedrijf meer dan honderdveertig leveranciers gewaarschuwd dat ze doelwit van de SVR waren. Het gaat dan om leveranciers en serviceproviders die clouddiensten en andere technologieën voor hun klanten aanpassen, uitrollen en beheren. In zeker veertien gevallen waren de aanvallers succesvol en werden systemen van resellers en serviceproviders gecompromitteerd. Microsoft zegt de aanvallen in een vroeg stadium te hebben ontdekt en daarom te hebben besloten details te delen, om te voorkomen dat de aanvallers meer succes boeken. De aanvallen op de ict-leveranciers zijn onderdeel van een grotere aanvalscampagne. Tussen 1 juli en 19 oktober waarschuwde Microsoft in totaal 609 klanten dat ze bijna 23.000 keer door de SVR waren aangevallen. Slechts een handvol aanvallen waren succesvol, aldus he techbedrijf. Microsoft benadrukt dat de Russische inlichtingendienst deze zomer zeer actief was. Zo gaf het in vergelijking de afgelopen drie jaar ruim 20.000 waarschuwingen voor aanvallen door inlichtingendiensten van alle landen. "Deze recente activiteit is weer een aanwijzing dat Rusland probeert om voor langere tijd systemische toegang tot verschillende onderdelen in de it-supply chain te verkrijgen, om zo interessante doelwitten voor de Russische overheid nu en in de toekomst te kunnen surveilleren", zegt Microsofts Tom Burt. Bij de aanvallen tegen ict-leveranciers en serviceproviders werd er geen gebruikgemaakt van kwetsbaarheden in software, maar bekende technieken zoals phishing en password spraying om zo inloggegevens te kunnen stelen. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Naar aanleiding van de aanvallen zegt Microsoft verschillende beveiligingsmaatregelen te zullen doorvoeren, met name voor technologiepartners in de eigen supply chain. Zo worden nieuwe features getest waarmee organisaties bijvoorbeeld de toegang van ict-leveranciers fijner kunnen afstellen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Discourse, opensourcesoftware voor fora, mailinglists en chatrooms, maakt remote code execution mogelijk en kan een aanvaller shell op de server geven. De ontwikkelaars hebben een beveiligingsupdate uitgebracht om het probleem te verhelpen. De kwetsbaarheid wordt veroorzaakt door het niet goed valideren van de links waarmee gebruikers zich voor een Discourse-platform kunnen aanmelden. Door het versturen van een speciaal geprepareerd request kan een aanvaller een bepaalde functie met zijn eigen invoer aanroepen en daardoor commando's uitvoeren en zo een shell op de server krijgen. Een Duitse beveiligingsonderzoeker ontdekte de kwetsbaarheid en meldde dit bij de ontwikkelaars, die vervolgens een update ontwikkelden. Het beveiligingslek is aanwezig in versie 2.7.8 en eerder. Beheerders worden onder andere door het Amerikaanse beveiligingsagentschap CISA aangeraden om te updaten naar versie 2.7.9 of nieuwer. Details van de kwetsbaarheid, aangeduid als CVE-2021-41163, zijn openbaar gemaakt. bron: https://www.security.nl

CoinMarketCap, een populaire website met koersen, handelsvolume en andere informatie over cryptovaluta, onderzoekt hoe 3,1 miljoen e-mailadressen van gebruikers op internet terecht zijn gekomen. Onlangs bleek dat op verschillende fora 3,1 miljoen e-mailadressen met accounts op CoinMarketCap werden verhandeld. Hoewel de e-mailadressen overeenkomen met CoinMarketCap-accounts is het onduidelijk hoe ze zijn verkregen. In een verklaring stelt CoinMarketCap dat er inderdaad een correlatie is tussen de e-mailadressen en gebruikers, maar dat er geen aanwijzingen zijn gevonden dat die via de servers van de website zijn bemachtigd. Er is nu een onderzoek ingesteld en CoinMarketCap zegt met meer informatie te zullen komen zodra het beschikbaar is. De 3,1 miljoen e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de gelekte e-mailadressen was 99 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Microsoft is begonnen om end-to-end encryptie voor een-op-eengesprekken in Microsoft Teams beschikbaar te maken. De feature werd eerder dit jaar aangekondigd, maar de uitrol is nu gestart. Standaard zijn gesprekken echter niet end-to-end versleuteld. Beheerders van organisaties moeten de optie eerst inschakelen en daarna moeten gebruikers die met elkaar bellen dit ook nog doen. "Wanneer beide partijen in een een-op-eengesprek end-to-end encryptie inschakelen, is het gesprek tussen de twee partijen in het gesprek van end-to-end versleuteld. Geen andere partij, waaronder Microsoft, heeft toegang tot het ontsleutelde gesprek", aldus Microsofts Mansoor Malik in een blogposting. Wanneer end-to-end encryptie is ingeschakeld zal er linksboven een indicator verschijnen. Bij gesprekken zonder end-to-end encryptie maakt Microsoft Teams gebruik van "encryptie gebaseerd op industriestandaarden", zo stelt Microsoft. In dit geval kan het techbedrijf wel toegang tot de communicatie van gebruikers krijgen. End-to-end encryptie zal op een later moment voor groepsgesprekken beschikbaar worden gemaakt. bron: https://www.security.nl

Makers op YouTube zijn sinds mei van dit jaar het doelwit van een omvangrijke phishingcampagne geworden waarbij wordt geprobeerd om systemen met malware te infecteren die sessiecookies steelt. Zo'n vierduizend mensen raakten met de malware besmet waarna hun YouTube-account werd gestolen, zo laat Google weten. De aanvallers doen zich voor als bedrijven en benaderen YouTube-makers met de vraag of die hun software willen proberen. Het gaat dan bijvoorbeeld om antivirussoftware, vpn-applicaties, mediaspelers, fotobewerkingssoftware en online games. Zodra het doelwit akkoord gaat met het voorstel versturen de aanvallers een downloadlink naar een legitiem lijkende website. De op deze website aangeboden bestanden zijn in werkelijkheid malware. Zodra het doelwit de malware uitvoert steelt die browsercookies en stuurt die naar de aanvallers, die zo controle over het YouTube-account van de gebruiker krijgen. Het YouTube-account wordt vervolgens op internet aan de hoogste bieder verkocht. Afhankelijk van het aantal abonnees kan een gekaapt YouTube-kanaal 4.000 dollar opleveren, aldus Google. Een groot deel van de gekaapte kanalen wordt voor scams met cryptovaluta gebruikt. Volgens het techbedrijf richten de aanvallers zich mogelijk door de opkomst van multifactorauthenticatie op het stelen van sessiecookies. Sinds mei van dit jaar blokkeerde Google naar eigen zeggen 1,6 miljoen phishingberichten van de aanvallers, toonde het 62.000 waarschuwingen bij het bezoeken van de phishingsites, blokkeerde het het downloaden van 2400 malafide bestanden en gaf het vierduizend gekaapte accounts terug aan de oorspronkelijke eigenaren. bron: https://www.security.nl

Een beveiligingslek in WinRAR maakt het mogelijk voor een aanvaller op hetzelfde netwerk om willekeurige code op het systeem van gebruikers uit te voeren. In mei van dit jaar bracht ontwikkelaar Rarlab een nieuwe versie van de populaire archiveringssoftware uit waarin het probleem is verholpen. Details over het lek zijn nu openbaar gemaakt. Wanneer de testversie van WinRAR is verlopen toont het programma een melding. Beveiligingsonderzoeker Igor Sak-Sakovskiy van Positive Technologies ontdekte dat een aanvaller op hetzelfde netwerk via ARP-spoofing responses van WinRARs domein notifier.rarlab.com naar de gebruiker kan onderscheppen en aanpassen. Daardoor is het mogelijk om de responses van malafide content te voorzien. Zo is het mogelijk om applicaties op het systeem van de gebruiker te starten of informatie te achterhalen. Door dit beveiligingslek met een andere kwetsbaarheid in oudere WinRAR-versies te combineren is zelfs remote code execution mogelijk. Gebruikers van WinRAR krijgen het advies om te updaten naar WinRAR 6.02 Beta 1 of nieuwer. bron: https://www.security.nl

Met de lancering van Chrome 95 heeft Google de support voor het ftp-protocol volledig uit de code van de browser verwijderd. Tevens werden er negentien kwetsbaarheden verholpen. Volgens het techbedrijf is het uit 1971 stammende File Transfer Protocol (ftp) onveilig, wordt de ingebouwde ftp-client weinig gebruikt en zijn er betere ftp-oplossingen voor gebruikers beschikbaar. Ftp maakt geen gebruik van encryptie waardoor inloggegevens en data als platte tekst naar de ftp-server worden verstuurd. Het wordt dan ook als een onveilig en verouderd protocol beschouwd. Google was al geruime tijd bezig om de support van het ftp-protocol uit te faseren en heeft dat nu ook doorgevoerd. Gebruikers die nog van ftp gebruikmaken moeten dan ook een aparte ftp-client installeren. Van de negentien verholpen kwetsbaarheden in Chrome zijn er vijf als "high" geclassificeerd. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Gebruikers krijgen het advies om te updaten naar Google Chrome 95.0.4638.54, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen. Naast de standaard Chrome-versie die elke vier weken door Google van feature- en beveiligingsupdates wordt voorzien is er ook een "Extended Stable" versie, die elke acht weken zogeheten "milestone updates" ontvangt. Extended Stable is beschikbaar voor systeembeheerders van organisaties en partijen die Chromium binnen hun eigen producten of omgevingen embedden en meer tijd nodig hebben voor het beheren van updates. Gebruikers van het Extended Stable Channel kunnen updaten naar versie 94.0.4606.101. bron: https://www.security.nl

SIDN Labs heeft versie 1.0 van SPIN gelanceerd, een open source en gratis platform voor het inspecteren van netwerkverkeer afkomstig van Internet of Things-apparaten. SPIN staat voor Security and Privacy for In-home Networks en moet gebruikers en onderzoekers helpen bij het analyseren van het gedrag van IoT-apparaten en andere netwerkapparatuur. SPIN, dat meestal op een thuisrouter wordt geïnstalleerd, visualiseert het dataverkeer, zodat de gebruiker kan zien wat erop zijn netwerk gebeurt. Via het platform is het ook mogelijk om verkeer van en naar specifieke endpoints of apparaten te blokkeren. SPIN werd al in 2019 door SIDN Labs geïntroduceerd maar heeft nu de 1.0-status bereikt. Versie 1.0 kent verschillende nieuwe features, waaronder een bridge mode. Dit maakt het mogelijk om SPIN op een 'bridge router' te draaien, waarbij het systeem waarop SPIN draait geen router is maar een transparante ‘bump in the wire', stelt Jelte Jansen van SIDN Labs. Door de bridge mode is het niet meer nodig om apparaten opnieuw te configureren om SPIN te kunnen gebruiken. Verder ondersteunt de SPIN-webinterface nu HTTPS, HTTP Authenticatie en MQTT-gebruikersauthenticatie. Dit moet voorkomen dat de door SPIN getoonde data op het lokale netwerk wordt onderschept. Tevens zijn de loggingopties verbeterd en kan de gegevensuitwisseling tussen SPIN en een PCAP-lezer over een netwerk plaatsvinden. SPIN 1.0 staat voorgeïnstalleerd op Valibox router images, beschikbaar voor GL-Inet routers, Raspberry Pi 4 en als een VirtualBox image. Het platform is getest op OpenWRT-, Debian- en Raspbian-systemen. bron: https://www.security.nl

Microsoft waarschuwt eigenaren van een Surface Pro 3 voor een door Google gevonden kwetsbaarheid waardoor aanvallers malafide Surface-apparaten als goedgekeurde apparaten verbinding met een bedrijfsnetwerk kunnen laten maken. De Surface Pro 3 maakt gebruik van Platform Configuration Registers (PCRs) om informatie over het systeem en de softwareconfiguratie te verzamelen om ervoor te zorgen dat het bootproces niet is aangepast. Windows maakt gebruik van Device Health Attestation om de PCR-logs te controleren. De feature laat vervolgens aan Mobile Device Management (MDM)-oplossingen weten dat Secure Boot, BitLocker en Early Launch AntiMalware (ELAM) zijn ingeschakeld en Trusted Boot de digitale handtekening van de Windows-kernel heeft geverifieerd. Door het beveiligingslek, aangeduid als CVE-2021-42299, kan een aanvaller de PCR-logs manipuleren en een kwetsbaar apparaat als een "gezond apparaat" voordoen. Volgens Microsoft moet een aanvaller fysieke toegang tot de Surface hebben voor het uitvoeren van een aanval, of zou een aanvaller de inloggegevens van de gebruiker moeten hebben. Microsoft stelt dat naast de Surface Pro 3 ook andere apparaten met een soortgelijke bios mogelijk kwetsbaar zijn. De Surface Pro 4, Surface Book en meer recente Surface-systemen lopen geen risico. bron: https://www.security.nl