Captain Kirk

Hardwarefabrikant QNAP doet op dit moment onderzoek naar een bitcoin-miner genaamd "oom_reaper" die QNAP NAS-systemen infecteert en de rekenkracht gebruikt voor het delven van bitcoins. Eenmaal besmet kan een proces op het NAS-systeem genaamd "oom_reaper" zo'n vijftig procent van de beschikbare cpu-capaciteit gebruiken voor het delven van de cryptovaluta, aldus de waarschuwing. Volgens QNAP doet de malware zich voor als een legitiem kernelproces genaamd oom_reaper. Dit proces heeft normaliter een PID van onder de 1000, terwijl de malafide versie meestal een PID van boven de 1000 heeft. Hoe NAS-systemen besmet raken laat QNAP niet weten. Wel roept het gebruikers op om direct maatregelen te nemen om hun NAS-systeem te beschermen. Zo wordt aangeraden de laatste versie van besturingssystemen QTS of QuTS Hero te installeren, alsmede de nieuwste versie van Malware Remover. Verder wordt het gebruik van sterkere wachtwoorden voor beheerders- en andere gebruikersaccounts aangeraden en het updaten van alle geïnstalleerde applicaties. Als laatste wordt afgeraden om het NAS-systeem direct aan het internet te koppelen of standaardpoortnummers zoals 443 en 8080 te vermijden. Hardwarefabrikant QNAP doet op dit moment onderzoek naar een bitcoin-miner genaamd "oom_reaper" die QNAP NAS-systemen infecteert en de rekenkracht gebruikt voor het delven van bitcoins. Eenmaal besmet kan een proces op het NAS-systeem genaamd "oom_reaper" zo'n vijftig procent van de beschikbare cpu-capaciteit gebruiken voor het delven van de cryptovaluta, aldus de waarschuwing. Volgens QNAP doet de malware zich voor als een legitiem kernelproces genaamd oom_reaper. Dit proces heeft normaliter een PID van onder de 1000, terwijl de malafide versie meestal een PID van boven de 1000 heeft. Hoe NAS-systemen besmet raken laat QNAP niet weten. Wel roept het gebruikers op om direct maatregelen te nemen om hun NAS-systeem te beschermen. Zo wordt aangeraden de laatste versie van besturingssystemen QTS of QuTS Hero te installeren, alsmede de nieuwste versie van Malware Remover. Verder wordt het gebruik van sterkere wachtwoorden voor beheerders- en andere gebruikersaccounts aangeraden en het updaten van alle geïnstalleerde applicaties. Als laatste wordt afgeraden om het NAS-systeem direct aan het internet te koppelen of standaardpoortnummers zoals 443 en 8080 te vermijden.

Mozilla lanceert morgen Firefox 95 die van een nieuwe sandboxtechnologie genaamd RLBox is voorzien die de browser beter tegen aanvallen moet beschermen. Alle grote browsers maken gebruik van een eigen sandboxproces om webcontent in te laden. Dit moet in theorie voorkomen dat een aanvaller de computer via een kwetsbaarheid in de browser kan overnemen. Er is namelijk een tweede kwetsbaarheid vereist om uit de sandbox te breken. Firefox voor de desktop isoleert daarnaast elke website in een eigen proces om zo te voorkomen dat de ene site toegang tot de andere zou kunnen krijgen. In de praktijk blijkt dat aanvallers meerdere kwetsbaarheden combineren. Zo wordt er eerst een beveiligingslek gebruikt om het gesandboxte proces te compromitteren waarin de malafide website draait, gevolgd door een tweede kwetsbaarheid om uit de sandbox te ontsnappen. Volgens Mozillas Bobby Holley zijn er daarom meerdere beveiligingslagen nodig om gebruikers te beschermen. De Firefox-ontwikkelaar ziet een nieuwe sandboxtechnologie genaamd RLBox, ontwikkeld in samenwerking met onderzoekers van de University of California San Diego en de University of Texas, als oplossing. RLBox zorgt voor het isoleren van subonderdelen in een eigen proces om de browser veiliger te maken. In plaats van de code in een geheel eigen proces te laden, wat nadelige gevolgen heeft voor prestaties en geheugengebruik, maakt RLBox gebruik van WebAssembly om potentieel buggy code te isoleren. RLBox compileert de code van het subonderdeel, zoals een audio- of videocodec, in WebAssembly, waarna de WebAssembly in native code wordt gecompileerd. Holley noemt dit een grote overwinning, omdat het gebruikers onder andere tegen supply-chain-aanvallen via dergelijke codecs moet beschermen. De Mozillamedewerker erkent dat RLBox niet voor alle subonderdelen van Firefox werkt, maar er verschillende onderdelen zijn waar het prima inzetbaar is. Daarnaast hoopt Holley dat ook andere browsers de technologie gaan gebruiken. Vooralsnog wordt RLBox binnen Firefox 95 gebruikt om vijf verschillende modules te isoleren, namelijk Graphite, Hunspell, Ogg, Expat en Woff2. De nieuwste Firefoxversie is vanaf morgen te downloaden. bron: https://www.security.nl

Wegens het risico van sim-swapping doen zowel eindgebruikers als banken er verstandig aan om codes voor tweefactorauthenticatie (2FA), waarmee erop een account kan worden ingelogd, niet via sms te versturen, maar hiervoor een app te gebruiken. Dat adviseert het Europees Agentschap voor cyberbeveiliging (ENISA). Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten. Via het overgenomen telefoonnummer kunnen vervolgens accounts van het slachtoffer worden overgenomen, bijvoorbeeld door het opvragen van 2FA-codes en het uitvoeren van wachtwoordresets. Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren. Aangezien aanvallers gebruikmaken van persoonlijke informatie van het slachtoffer adviseert ENISA om geen privédata te verstrekken aan mensen die zich als medewerker van de telecomprovider voordoet en de hoeveelheid dat op websites en social media te beperken. Verder wordt eindgebruikers aangeraden om bij het gebruik van tweefactorauthenticatie niet voor sms te kiezen, maar de 2FA-codes via een app te genereren. Ook geeft ENISA banken het advies om te stoppen met sms voor tweefactorauthenticatie en over te stappen op app-gebaseerde 2FA. "De laatste bankfraudes die met sim-swapping verband houden suggereren dat sms-2FA geen voldoende beveiligingsniveau biedt", aldus het Europees agentschap. Aangezien app-gebaseerde 2FA afhankelijk is van biometrie, een pincode of wachtwoordgebaseerde authenticatie van de gebruiker, is er geen risico dat de 2FA-code wordt onderschept zoals met sms het geval is. ENISA voegt toe dat veel banken al 2FA-apps voor het autoriseren van transacties gebruiken en zo tweefactorauthenticatie via sms aan het vervangen zijn bron: https://www.security.nl

Datalekzoekmachine Have I Been Pwned heeft vandaag tientallen miljoenen mensen gewaarschuwd dat het e-mailadres van hun Gravatar-account gecompromitteerd is. Gravatar is een dienst voor het aanmaken van een avatar dat op meerdere platformen is te gebruiken. Gebruikers kunnen via hun e-mailadres een account aanmaken en een avatar aan het account koppelen. Door middel van verschillende plug-ins is het vervolgens mogelijk om deze avatar te laden, bijvoorbeeld wanneer gebruikers reageren op blogpostings waarbij een e-mailadres is vereist. De blogsoftware controleert of het opgegeven e-mailadres is gekoppeld aan een Gravatar-avatar en zal die bij de gegeven reactie plaatsen. Vorig jaar liet een onderzoeker zien hoe het mogelijk is om gegevens van Gravatar-accounts te scrapen. Op deze manier werden namen, gebruikersnamen en md5-hashes van e-mailadressen die aan 167 miljoen Gravatar-accounts zijn gekoppeld verzameld. Vervolgens werden 114 miljoen van de md5-hashes gekraakt en vervolgens verspreid. De e-mailadressen zijn nu aan Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 114 miljoen gescrapete e-mailadressen was 72 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Softwarebedrijf Zoho waarschuwt voor een actief aangevallen zerodaylek in Desktop Central en roept organisaties op om de beschikbaar gemaakte beveiligingsupdate te installeren. De afgelopen maanden maken aanvallers misbruik van meerdere kwetsbaarheden in de software van Zoho. Desktop Central is een oplossing voor systeembeheerders voor het uitvoeren van patchmanagement, het uitrollen van software, mobile device management en het op afstand overnemen van systemen om problemen te verhelpen. Een kritieke kwetsbaarheid in de software, aangeduid als CVE-2021-44515, maakt remote code execution op Desktop Central-servers mogelijk. Door het versturen van een speciaal geprepareerd request kan een aanvaller ongeautoriseerde toegang krijgen en willekeurige code uitvoeren, aldus Zoho. Volgens het softwarebedrijf maken aanvallers al voor het uitkomen van de beveiligingsupdate misbruik van de kwetsbaarheid. Vorige week waarschuwde de FBI nog voor een actief aangevallen kwetsbaarheid in Zoho ManageEngine ServiceDesk Plus (CVE-2021-44077). Verder kregen Amerikaanse overheidsinstanties van het Cybersecurity and Infrastructure Security Agency (CISA) een deadline voor het patchen van een ander lek in ServiceDesk Plus (CVE-2021-37415) en maakte Microsoft melding van een wereldwijde spionagecampagne via een beveiligingslek in ManageEngine ADSelfService Plus (CVE-2021-40539). bron: https://www.security.nl

Een onbekende aanvaller die KAX17 wordt genoemd probeert gebruikers van het Tor-netwerk al sinds 2017 door middel van malafide Tor-servers te ontmaskeren, zo stelt een beveiligingsonderzoeker met het alias "nusenu" in een nieuw onderzoek. De aanvaller zou hiervoor honderden servers gebruiken. Dagelijks maken ruim twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de middle relay doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. KAX17 heeft zowel entry guard-, middle relay- als exit-servers aan het Tor-netwerk toegevoegd, waardoor hij Tor-gebruikers zou kunnen ontmaskeren. Volgens de onderzoeker hebben Tor-gebruikers een kans van 16 procent om met een guard-server van KAX17 verbinding te maken en zelfs een kans van 35 procent om met een middle relay-server te verbinden. De onderzoeker noemt dit een zorgwekkende ontwikkeling, omdat veel aanvallen zich specifiek op de exit-server richten, aangezien een aanvaller via een malafide exit-server het verkeer dat naar het internet gaat kan zien en mogelijk aanpassen. KAX17 richt zich op de entry guard en middle relay. "Deze plekken zijn nutteloos voor de normale aanvaller die exit-verkeer snift en manipuleert, omdat in deze plekken geen plaintext verkeer zichtbaar is", aldus Nusenu. Aanvallers die aanvallen op deze locaties uitvoeren zijn volgens de onderzoeker geavanceerder omdat de aanvallen lastiger zijn uit te voeren en een hoger kennisniveau vereisen. Nusenu rapporteerde de servers van KAX17 vorig jaar oktober aan het Tor Project, waarna ze werden verwijderd. Een dag na het verwijderen van deze servers verscheen er een nieuwe groep malafide Tor-servers. De onderzoeker kan deze servers echter niet met zekerheid aan KAX17 toeschrijven. bron: https://www.security.nl

Onderzoekers hebben in negen populaire wifi-routers in totaal 226 kwetsbaarheden gevonden zoals hardcoded en standaard wachtwoorden en het gebruik van verouderde en kwetsbare libraries. Voor het onderzoek van IoT Inspector en het Duitse computermagazine Chip (pdf) werd de firmware van de negen wifi-routers automatisch op vijfduizend bekende kwetsbaarheden en andere problemen geanalyseerd. Dit leverde in totaal 226 kwetsbaarheden op. Het ging met name om het gebruik van verouderde Linux-kernels en versies van BusyBox, standaard wachtwoorden zoals admin en hardcoded wachtwoorden in plaintext. De meeste beveiligingslekken, 32 in totaal, werden in de TP-Link Archer AX6000 aangetroffen. De onderzoekers waarschuwden de fabrikanten, die daarop met firmware-updates kwamen. "Het wijzigen van wachtwoorden bij het eerste gebruik en het inschakelen van de automatische updatefunctie moet standaard bij alle IoT-apparaten zijn, ongeacht of het apparaat in een thuis- of kantoornetwerk wordt gebruikt. Het grootste gevaar, naast kwetsbaarheden die de fabrikant introduceert, is het gebruik van een IoT-apparaat onder het motto 'plug, play and forget'", waarschuwt Jan Wendenburg van IoT Inspector. bron: https://www.security.nl

Encryptiesoftware VeraCrypt is de ondersteuning van Windows Vista, Windows 7, 8 en 8.1 gestopt. Ook Mac OS X Lion en Mountain Lion worden niet meer ondersteund. Dat blijkt uit de release notes van de nieuwste versie (1.25) die eerder deze week verscheen. Het niet meer ondersteunen van de oudere Windowsversies heeft te maken met nieuwe vereisten voor het signeren van drivers waar TrueCrypt gebruik van maakt. Dit lijkt echter niet te gelden voor Windows XP. De encryptiesoftware blijft deze Windowsversie dan ook ondersteunen. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Het wordt voor het grootste deel door één persoon ontwikkeld. Via de software is het mogelijk om systemen volledig te versleutelen of versleutelde containers aan te maken. De vorige versie dateerde van 28 november 2020. Nu een jaar later is versie 1.25 verschenen. Naast het stopzetten van de ondersteuning van verschillende Mac OS X- en Windowsversies ondersteunt TrueCrypt voor het eerst de M1-chip van Apple en is basale ondersteuning van OpenBSD toegevoegd. Voor morgen staat de release van VeraCrypt 1.25.4 gepland. bron: https://www.security.nl

De Duitse overheid waarschuwt bedrijven en organisaties in het land voor ransomware-aanvallen tijdens de komende kerstvakantie. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, en de Duitse federale politie (BKA) is er tijdens deze periode een verhoogde kans op aanvallen. Aanleiding voor de waarschuwing is de terugkeer van de beruchte Emotet-malware en dat veel Microsoft Exchange-servers in Duitsland nog altijd kwetsbaar zijn voor aanvallen. Het BSI spreekt van een "dreigend scenario" en roept bedrijven en organisaties op om beveiligingsmaatregelen te treffen. "We zien duidelijke signalen van een toegenomen dreiging van Emotet alsmede kwetsbare Exchange-servers en de daaropvolgende ransomware-aanvallen in Duitsland", zegt BSI-directeur Arne Schönbohm. "Feestdagen en weekenden zijn in het verleden herhaaldelijk voor dergelijke aanvallen gebruik, aangezien veel bedrijven en organisaties dan minder snel kunnen reageren. Het is nu het moment om gepaste beveiligingsmaatregelen te treffen." Het BSI stelt verder dat er veel kwetsbare Exchange-servers in Duitsland zijn, omdat beheerders hebben nagelaten beschikbare beveiligingsupdates te installeren. De overheidsinstantie is echter ook bekend met verschillende gevallen waarbij het installeren van de patch "niet het gewenste beschermende effect" had. Zo kan het voorkomen dat servers al voor de installatie van een update gecompromitteerd zijn. bron: https://www.security.nl

Usb-sticks zijn essentieel voor aanvallen op air-gapped netwerken, zo stelt antivirusbedrijf ESET op basis van eigen onderzoek. Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Dergelijke niet op internet aangesloten computers kunnen echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Een bekend voorbeeld hiervan is Stuxnet. De afgelopen jaren zijn er meerdere malware-exemplaren gevonden die ontwikkeld zijn voor aanvallen op air-gapped netwerken. Onderzoekers van ESET onderzochten zeventien van dergelijke frameworks die sinds 2006 bij aanvallen zijn ingezet. In veel gevallen is de initiële infectievector van deze malware-exemplaren niet bekend. Aanvallers moeten, wanneer er geen directe toegang tot het beoogde systeem is, bijvoorbeeld door een kwaadwillende medewerker, eerst een systeem in de organisatie zien te infecteren voordat verdere aanvallen mogelijk zijn. Een aantal van de frameworks maakt echter gebruik van e-mailbijlagen, zoals malafide documenten, lnk-bestanden en meegestuurde software. Eenmaal actief op een besmet systeem wacht de malware totdat er een usb-stick wordt aangesloten. Alle onderzochte malware-exemplaren maken gebruik van usb-sticks om zich verder te verspreiden en air-gapped systemen aan te vallen. Er werden geen andere communicatiekanalen gebruikt voor bijvoorbeeld het stelen van data, hoewel onderzoekers de afgelopen jaren aantoonden dat dit op allerlei manieren mogelijk is, zoals het gebruik van speakers, toetsenbordlampjes en het geluid van de harde schijf. Zodra de usb-stick met de malware besmet is, is het wachten totdat die op andere systemen wordt aangesloten. Hierbij blijken de onderzochte malware-exemplaren verschillende manieren te gebruiken om deze nieuwe systemen te infecteren. Het gaat dan om het gebruik van autorun, kwetsbaarheden in Windows bij het verwerken van LNK-bestanden en LNK-bestanden die naar de malware wijzen. Zo maakte Stuxnet gebruik van een LNK-kwetsbaarheid in Windows, waardoor alleen het aansluiten van een usb-stick voldoende was. Er was geen interactie van gebruikers vereist en het maakte ook niet uit of autorun of autoplay stonden uitgeschakeld. Van de onderzochte frameworks, waaronder ook Stuxnet, blijkt driekwart malafide LNK- of autorun-bestanden op usb-sticks te gebruiken om het air-gapped netwerk te infecteren. De malware op de air-gapped systemen verzamelt vervolgens allerlei documenten en andere belangrijke bestanden en plaatst die op de besmette usb-stick. Zodra de usb-stick op een met internet verbonden systeem wordt aangesloten zal de malware deze verzamelde data naar de aanvallers sturen. Alle onderzochte malware-exemplaren waren ontwikkeld voor spionage, aldus de onderzoekers. Preventie Om aanvallen op air-gapped systemen te voorkomen wordt aangeraden maatregelen tegen malafide LNK- en autorun-bestanden te nemen. Een andere optie is het uitschakelen van de usb-poorten van air-gapped systemen, het automatisch opschonen van aangesloten usb-sticks en het verwijderen van alle LNK- en autorun.inf-bestanden van usb-sticks. De onderzoekers merken op dat air-gapped malware lastig te detecteren is, aangezien telemetrie hierover ontbreekt. "Systemen binnen air-gapped netwerken versturen geen telemetrie, wat voor een grote blinde vlek zorgt en bijdraagt aan de tijd dat het duurt voor de ontdekking en detectie van nieuwe malware die het op air-gapped netwerken heeft voorzien." In veel gevallen blijkt dat air-gapped malware al lange tijd actief is voordat het wordt ontdekt. bron: https://www.security.nl

Onderzoekers hebben een kritieke kwetsbaarheid in meer dan honderdvijftig modellen printers van HP ontdekt waardoor de apparaten op afstand zijn over te nemen. Alleen het bezoeken van een malafide website is voldoende om aanvallers code op kwetsbare printers te laten uitvoeren, maar het lek is ook door een worm te misbruiken, zo meldt antivirusbedrijf F-Secure dat het probleem ontdekte. De malafide website zou automatisch een document met malafide fonts op de kwetsbare printer kunnen printen, waardoor een buffer overflow ontstaat en remote code execution mogelijk is. Vervolgens zou een aanvaller informatie van de printer kunnen stelen, zoals geprinte, gescande en gefaxte documenten, maar ook informatie zoals wachtwoorden en inloggegevens die het apparaat gebruikt voor de verbinding met de rest van het netwerk. Volgens de onderzoekers zou een gecompromitteerde printer ook voor verdere aanvallen tegen het netwerk zijn te gebruiken, zoals de verspreiding van ransomware. Het probleem wordt veroorzaakt door de manier waarop de HP-printers fonts verwerken en zou ook door een worm te misbruiken zijn, aldus de onderzoekers. Een besmette printer zou zo automatisch en zonder gebruikersinteractie andere printers in het netwerk kunnen infecteren. F-Secure stelt in de aankondiging van het beveiligingslek dat alleen het bezoeken van een malafide website voldoende is om automatisch een document op de printer te printen, maar in een video waarin de kwetsbaarheid wordt gedemonstreerd is te zien hoe een gebruiker eerst op een link klikt. De impact van de kwetsbaarheid, aangeduid als CVE-2021-39238, is op een schaal van 1 tot en met 10 met een 9,3 beoordeeld. HP heeft firmware-updates uitgebracht en adviseert gebruikers en organisaties om die te installeren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een recent gepatchte kwetsbaarheid in Apache HTTP Server, zo waarschuwen Cisco en het Computer Emergency Response Team van de Duitse overheid (CERT-Bund). De kwetsbaarheid, aangeduid als CVE-2021-40438, is aanwezig in Apache HTTP Server 2.4.48 en eerder. De Apache Software Foundation bracht op 16 september een update uit om het beveiligingslek te verhelpen. De "mod_proxy" module van de Apache-server fungeert als een proxy/gateway en ondersteunt verschillende protocollen en mechanismes voor het loadbalancen van webservices zoals videoconferencing. Door middel van Server-Side Request Forgery is het mogelijk voor een ongeauthenticeerde aanvaller om de Apache-server bepaalde requests te laten doorsturen naar een willekeurige server. "Door het versturen van een speciaal geprepareerd request kunnen aanvallers de mod_proxy-module (wanneer ingeschakeld) dwingen om verbindingen naar een server naar keuze te routeren, waardoor aanvallers geheimen kunnen stelen, zoals infrastructuur-metadata of keys, of toegang tot andere interne servers kunnen krijgen", aldus internetbedrijf Fastly dat vorige maand nog 500.000 kwetsbare Apache-servers via de zoekmachine Shodan vond. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, maken aanvallers gebruik van de kwetsbaarheid voor het stelen van wachtwoordhashes. Onder andere de videoconferentiesoftware Cisco Expressway Series is kwetsbaar, zo stelt het BSI (pdf). Cisco meldt dat het ook misbruik van het beveiligingslek heeft waargenomen, maar geeft geen verdere details. Wel onderzoekt het bedrijf welke producten risico lopen. Onlangs werd er ook misbruik van een andere Apache-kwetsbaarheid gemaakt. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server. bron: https://www.security.nl

De FluBot-malware waar de Nederlandse politie onlangs nog voor waarschuwde wordt via duizenden gecompromitteerde WordPress-sites verspreid. Internetbedrijf Netcraft stelt dat het bijna tienduizend websites heeft gevonden die een rol spelen bij de verspreiding van de beruchte Androidmalware. FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan Flubot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt hiervoor welke applicaties erop het toestel geïnstalleerd staan. In het geval van bankapplicaties zal Flubot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst Flubot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen. Om FluBot te verspreiden maken criminelen gebruik van sms-berichten die een zogenaamde trackinglink bevatten. Deze links wijzen naar de gecompromitteerde WordPress-sites waarop een script is geïnstalleerd. Dit script toont bezoekers een melding dat ze een zogenaamde app van DHL of UPS moeten installeren om de trackinginformatie te kunnen zien. In werkelijkheid gaat het om de FluBot-malware. Volgens Netcraft zijn de WordPress-sites door middel van kwetsbare plug-ins en themes gecompromitteerd, waardoor vervolgens de malafide code kon worden toegevoegd. "De omvang van deze operatie is indrukwekkend, waarbij soms meer dan duizend nieuwe websites per week met FluBot-scripts worden geïnfecteerd. Dat is een gemiddelde van één site per tien minuten", zegt Sean Gebbett van Netcraft. bron: https://www.security.nl

Zoom heeft de eigen software van een nieuwe feature voorzien waardoor updates voortaan automatisch worden geïnstalleerd. Voor de meeste individuele gebruikers zal de automatische updatefunctie standaard staan ingeschakeld, maar het is mogelijk om de optie uit te schakelen. Zodra de videobelsoftware ziet dat er een update beschikbaar is krijgen gebruikers, als ze niet in een meeting zitten, een melding te zien om de software te updaten. Wanneer de gebruiker in een meeting zit zal de melding hierna verschijnen. Kiezen gebruikers ervoor om de update niet meteen te installeren dan zal die automatisch bij de volgende start van de software worden geïnstalleerd. "Updates zijn essentieel in de techindustrie. Wanneer het gaat om nieuwe features, een softwarebug of een kwetsbaarheid die moet worden verholpen, brengen we updates voor de Zoom-client uit. Deze update wordt soms gemist, veel mensen zijn druk en vergeten hun applicaties te updaten", zegt Jeromie Clark van Zoom. Gebruikers kunnen zelf instellen hoe vaak ze updates willen ontvangen. De "slow" optie, die standaard staat ingeschakeld, is bedoeld voor updates die met name op de stabiliteit zijn gericht en zullen minder vaak verschijnen. Bij de "fast" optie verschijnen updates vaker en gaat het met name om nieuwe features. Belangrijke beveiligingsupdates worden ongeacht de ingestelde voorkeur uitgerold. De automatische updatefunctie is op dit moment beschikbaar voor de macOS- en Windows-versies van Zoom. Zoom voor smartphones en tablets is via de betreffende appstores te updaten en Linux wordt op dit moment niet ondersteund, aldus een uitleg van het bedrijf. bron: https://www.security.nl

Panasonic onderzoekt een datalek nadat een aanvaller toegang tot een fileserver van de elektronicagigant kreeg. In een melding laat het bedrijf weten dat het de ongeautoriseerde toegang op 11 november ontdekte (pdf), maar veel details worden niet gegeven. Volgens de Japanse publieke omroep NHK had de aanvaller bijna vijf maanden toegang tot de server voordat die werd opgemerkt. Panasonic stelt dat de aanvaller data op de filesever heeft benaderd. Op dit moment wordt onderzocht of het om persoonlijke informatie gaat en/of gevoelige bedrijfsgegevens. Het incident is bij de relevante autoriteiten gemeld. Daarnaast zegt het bedrijf maatregelen te hebben genomen, waaronder het voorkomen van externe toegang tot het eigen netwerk. bron: https://www.security.nl

Interpol heeft onlangs honderden agenten getraind om stalkerware bij slachtoffers van huiselijk geweld te kunnen detecteren. Stalkerware is de benaming voor commercieel verkrijgbare software waarmee smartphone- en computergebruikers zijn te bespioneren. De software wordt zonder medeweten van het slachtoffer op zijn of haar telefoon of computer geïnstalleerd en geeft de gebruiker onder andere toegang tot ontvangen en verstuurde berichten, locatie, foto's en andere data van het slachtoffer. Een kenmerk van stalkerware is dat het de nodige moeite doet om niet te worden opgemerkt. De software wordt onder andere gebruikt door stalkers, ex-partners en echtgenoten die zich aan huiselijk geweld schuldig maken, zo stelt de Amerikaanse burgerrechtenbeweging EFF. De EFF lanceerde twee jaar geleden samen met antivirusbedrijven Avira, G Data, Kaspersky, Malwarebytes en NortonLifeLock de Coalition Against Stalkerware. Het aantal deelnemers aan de coalitie is dit jaar de veertig gepasseerd. Onder andere Interpol, de Franse gendarmerie en het Tor Project besloten zich aan te sluiten. Kaspersky detecteerde vorig jaar op zo'n 54.000 smartphones stalkerware. Van januari tot oktober dit jaar werden 28.000 besmette telefoons waargenomen. Het werkelijke aantal infecties ligt waarschijnlijk veel hoger, omdat dit alleen de cijfers van Kaspersky zijn. Om ervoor te zorgen dat politieagenten weten wat stalkerware is en hoe ze dit kunnen herkennen werden onlangs ruim tweehonderd politieagenten door Interpol getraind. Ook lanceerde Kaspersky de gratis opensourcetool TinyCheck, waarmee toestellen op stalkerware zijn te controleren. "Twee jaar geleden wist het publiek en politie weinig van de dreiging van stalkerware", zegt David Ruiz van Malwarebytes. Volgens Ruiz heeft de coalitie een belangrijke rol gespeeld bij het vergroten van het bewustzijn over stalkerware. Het zijn echter niet alleen smartphones waar stalkers zich op richten, aldus de EFF. "Het Internet of Things wordt steeds vaker gebruikt voor intimidatie en controle in relaties met huiselijk geweld." Volgens Eva Galperin van de EFF en medeoprichter van de coalitie is stalkerware slechts onderdeel van een compleet technisch ecosysteem dat misbruik mogelijk maakt. "Maar is het één van de meest angstaanjagende tools en maakt slachtoffers met name kwetsbaar voor fysiek stalken, onderdrukking en escalerend geweld." bron: https://www.security.nl

Een nieuw in Nederland ontwikkeld platform moet het mogelijk maken voor internetgebruikers om op een privacyvriendelijke wijze versleuteld bestanden te versturen. Via Cryptify is het op dit moment mogelijk om bestanden tot maximaal twee gigabyte te delen. Gebruikers vullen hun eigen e-mailadres in en dat van de ontvanger. De opgegeven ontvanger ontvangt vervolgens via e-mail een downloadlink. Om als ontvanger de bestanden te kunnen ontsleutelen en downloaden moet met de IRMA-app een qr-code worden gescand. IRMA staat voor 'I Reveal My Attributes' en is een soort van gepersonaliseerd paspoort dat op de telefoon van de gebruiker wordt opgeslagen. Gebruikers kunnen allerlei persoonlijke attributen aan de IRMA-app toevoegen, zoals naam, adresgegevens, geboortedatum, BSN, telefoonnummer, e-mailadres of onderwijsidentiteit. Ook vanuit sociale media zoals LinkedIn, Twitter en Facebook kunnen gegevens worden geladen. Via de IRMA-app geeft de ontvanger alleen zijn e-mailadres vrij, om aan te tonen dat hij daadwerkelijk de ontvanger van het gedeelde bestand is. "Het mooie aan Cryptify is dat bestanden direct in de browser van de verzender worden versleuteld, voordat ze naar een server worden gestuurd”, zegt Arjen, één van de ontwikkelaars. "Op die manier kunnen kwaadwillenden niet bij de bestanden, zelfs niet als ze de server hacken." Cryptify wordt ontwikkeld door de stichting Privacy by Design en is opgestart met steun van het fonds van de Stichting Internet Domeinregistratie Nederland (SIDN). Voor de verwerking van de gegevens van gebruikers wordt samengewerkt met hostingpartij ProcoliX. "Daarbij is het belangrijk om te vermelden, dat we alleen gegevens verwerken die voor de Cryptify-dienst noodzakelijk zijn", laat Arjen in een interview met de SIDN weten. Hij voegt toe dat ProcoliX de versleutelde bestanden die gebruikers versturen tijdelijk opslaat, maar de inhoud van deze bestanden niet kan zien. "De cryptografische sleutels waarmee de bestanden zijn versleuteld, liggen bij Privacy by Design. Daardoor kunnen beide partijen nooit zelf de bestanden van gebruikers ontsleutelen. Op die manier waarborgen we de veiligheid en de privacy van gebruikers." Cryptify is nog in ontwikkeling en zal verder worden uitgebreid. Een belangrijk onderdeel daarbij is de authenticatie van de verzender van bestanden. "Op dit moment moet alleen de ontvanger zich identificeren met de IRMA-app, maar we willen ervoor zorgen dat ook de verzender zich met IRMA moet identificeren. Zo weet de ontvanger zeker wie het bestand heeft gedeeld", zegt Hanna Schraffenberger, universitair docent bij Digital Security op de Radboud Universiteit en onderzoeker bij de stichting Privacy by Design. bron: https://www.security.nl

Beste Clovis, Wat vervelend zeg. Even voor de duidelijkheid voor ons: heb je al geprobeerd bij iemand op je Gmail te komen? Wat ik uit je verhaal begrijp, is dat je na het vervangen van je modem niet meer bij je Gmail kunt komen. Dat zou kunnen komen doordat er een nieuw IP-adres aan de modem verbonden is. Normaliter moet je dan op je GSM of via mail een bericht krijgen dat er een nieuw apparaat heeft ingelogd en of jij dat zelf bent. Maar daarmee wordt de toegang normaal niet geblokkeerd. Heb je al contact gezocht met Scarlet? Pas na hun aanpassing heb je dit probleem, dus logischer is dat er iets in de instelling van de modem niet goed staat.

Google en andere advertentiebedrijven moeten de huidige privacyrisico's van online advertenties oplossen en stoppen met het ongeremd verzamelen en gebruiken van gebruikersdata, zo vindt de Britse privacytoezichthouder ICO die hiervoor een reeks standaarden heeft opgesteld. Advertentiebedrijven werken aan allerlei nieuwe methodes voor online advertenties. De Google Privacy Sandbox is volgens de ICO één van de belangrijkste voorstellen hierin. Hiermee wil Google het gebruik van third-party cookies voor het volgen van mensen op internet vervangen door alternatieve technologieën die gerichte advertenties nog steeds mogelijk maken. In de standaarden van de Britse privacytoezichthouder staat dat mensen zonder tracking, profilering of het excessief verzamelen van persoonlijke informatie advertenties moeten kunnen ontvangen. Wanneer mensen er wel voor kiezen om hun data te delen moeten advertentiebedrijven voor betekenisvolle aansprakelijkheid zorgen en mensen controle over hun data geven en de mogelijkheid om hun informatierechten uit te oefenen. Verder moeten advertentiebedrijven kunnen rechtvaardigen dat het gebruik van persoonlijke data voor online advertenties eerlijk, noodzakelijk en proportioneel is, en gebruikers duidelijk uitleggen hoe en waarom hun informatie wordt gebruikt. "Wat we tijdens ons onderzoek naar advertentietechnologie ontdekten is dat bedrijven persoonlijke informatie verzamelen en met honderden, zo niet met duizenden bedrijven delen, over waar iemand naar kijkt en online doet om gerichte advertenties en content te tonen", aldus de Britse informatiecommissaris Elizabeth Denham. "In de meeste gevallen zijn mensen zich hier niet van bewust of hebben geen expliciete toestemming gegeven. Dit moet veranderen." bron: https://www.security.nl

Een kwetsbaarheid in Windows waarvoor afgelopen maandag een proof-of-concept exploit verscheen wordt inmiddels actief door aanvallers misbruikt, zo waarschuwt Cisco. Microsoft kwam op 9 november met een beveiligingsupdate voor een kwetsbaarheid in de Windows-installer aangeduid als CVE-2021-41379. Via het beveiligingslek kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen en admin worden. Beveiligingsonderzoeker Abdelhamid Naceri die de kwetsbaarheid ontdekte en via het Trend Micro Zero Day Initiative aan Microsoft rapporteerde liet afgelopen maandag weten dat de door Microsoft uitgerolde update het probleem niet volledig verhelpt. Gebruikers lopen daardoor nog steeds risico. Als bewijs publiceerde Naceri een proof-of-concept exploit die misbruik van het lek maakt. Een dag na de publicatie van deze code maken aanvallers actief misbruik van de kwetsbaarheid, aldus Cisco. Het bedrijf heeft rules voor het intrusion detection en prevention systeem Snort uitgebracht om aanvallen te detecteren. Naceri laat zelf weten dat gebruikers het beste kunnen wachten totdat Microsoft een nieuwe patch uitrolt. Het beveiligingslek is op zichzelf niet voldoende om systemen over te nemen en zou in dit geval moeten worden gecombineerd met een andere kwetsbaarheid of software die de gebruiker installeert. bron: https://www.security.nl

Microsoft heeft de standaardversie van Edge voorzien van een "Super Duper Secure Mode" die gebruikers tegen kwetsbaarheden in de browser moet beschermen door een specifiek onderdeel uit te schakelen. Veel van de beveiligingslekken waar op Chromium gebaseerde browsers zoals Edge mee te maken hebben bevinden zich in de V8 JavaScript-engine die browsers gebruiken voor het uitvoeren van JavaScript. Het gaat dan met name om het deel dat voor "Just-In-Time Compilation" (JIT) verantwoordelijk is. JIT is ontworpen om het uitvoeren van bepaalde JavaScript-taken te versnellen. Hiervoor wordt JavaScript voordat het wordt gebruikt gecompileerd in machine code. Wanneer de browser deze code nodig heeft is het aanwezig, wat een groot prestatievoordeel biedt. "Prestaties en complexiteit hebben een prijs", aldus Microsofts Johnathan Norman. Dit is vaak te zien in de vorm van kwetsbaarheden en daaropvolgende beveiligingsupdates. Bijna de helft van alle kwetsbaarheden in de V8-engine hebben met het JIT-gedeelte te maken. Microsoft ontwikkelde daarom de "Super Duper Secure Mode" waarbij het JIT binnen Edge wordt uitgeschakeld. Uit onderzoek dat het Edge-team uitvoerde bleek dat het uitschakelen van JIT nauwelijks merkbaar voor gebruikers is. Verder blijkt het uitschakelen van JIT niet alleen beveiligingsvoordelen te hebben, ook qua stroomverbruik zijn er verbeteringen zichtbaar. In augustus was de beveiligingsfeature beschikbaar in de testversies van Edge, maar die is nu ook in de standaardversie van de browser uitgerold. Gebruikers kunnen daarbij uit twee opties kiezen. De eerste is Balanced, waarbij JIT op nieuwe, niet vaak bezochte sites wordt uitgeschakeld en Strict, waarbij JIT op alle sites uitstaat. bron: https://www.security.nl

Hostingbedrijf GoDaddy heeft van 1,2 miljoen klanten met een beheerde WordPress-omgeving hun gegevens gelekt. Op 17 november ontdekte het bedrijf dat een aanvaller via een gecompromitteerd wachtwoord toegang tot het provisioningsysteem had gekregen dat voor beheerde WordPress-installaties wordt gebruikt. Op deze manier kreeg de aanvaller toegang tot de e-mailadressen en klantnummers van 1,2 miljoen actieve en inactieve WordPress-klanten. Ook het initieel gegenereerde adminwachtwoord voor de WordPress-installatie kwam in handen van de aanvaller. Verder zijn van actieve klanten de sFTP- en databasewachtwoorden gecompromitteerd. Bij een deel van de actieve klanten werd ook de SSL private key gestolen. GoDaddy heeft alle gecompromitteerde wachtwoorden gereset en zal voor klanten van wie de SSL private key is buitgemaakt nieuwe certificaten uitgeven en installeren. In een document aan de Amerikaanse beurswaakhond SEC zegt GoDaddy dat het van het datalek zal leren en maatregelen neemt om het gecompromitteerde systeem met aanvullende beveiligingsmaatregelen te versterken. bron: https://www.security.nl

Aanvallers die bruteforce-aanvallen uitvoeren om toegang tot systemen en servers te krijgen proberen alleen korte wachtwoorden, zo stelt Ross Bevington, een beveiligingsonderzoeker bij Microsoft. Bevington analyseerde meer dan 25 miljoen bruteforce-aanvallen via SSH op een honeypot-systeem. 77 procent van deze aanvallen probeerde een wachtwoord van van tussen de één en zeven karakters. Bij slechts zes procent van de aanvallen werd een wachtwoord van meer dan tien karakters geprobeerd. Dertig procent van alle wachtwoorden gebruikt bij de onderzochte bruteforce-aanvallen is zes karakters lang. Verder ontdekte Bevington dat slechts zeven procent van de bruteforce-aanvallen een speciaal teken bevatte. Het gebruik van tenminste één cijfer kwam bij 39 procent van de aanvallen voor. Tevens laat Bevington weten dat geen van de wachtwoorden die aanvallers gebruikten een spatie bevatte. Naast het analyseren van wachtwoorden zag de onderzoeker dat het aantal bruteforce-aanvallen op de honeypot-systemen van Microsoft dit jaar met 325 procent is toegenomen ten opzichte van vorig jaar. "Statistieken van SSH en VNC zijn net zo erg", aldus Bevington tegenover The Record. bron: https://www.security.nl

Mozilla stopt per 13 december de ondersteuning van de Firefox Lockwise-app voor Android en iOS, waardoor gebruikers van de wachtwoordmanager geen beveiligingsupdates en support meer zullen ontvangen. Gebruikers worden opgeroepen om opgeslagen wachtwoorden met de Firefox-browser te synchroniseren. Via Firefox Lockwise kunnen gebruikers hun wachtwoorden opslaan en die vanaf andere apparaten benaderen. Gebruikers moeten in dit geval zowel de mobiele app als de desktop-extensie hebben geïnstalleerd. Daarnaast is het gebruik van een Firefox Account verplicht. Mozilla heeft besloten de support van de Lockwise-app te beëindigen. "De applicatie blijft mogelijk op je toestel werken, maar zal geen support en beveiligingsupdates ontvangen", aldus de Firefox-ontwikkelaar. Gebruikers kunnen vanaf 13 december opgeslagen wachtwoorden in de Firefox-browser benaderen. In dit geval moeten gebruikers wel eerst hun wachtwoorden via een Firefox-account met hun browser synchroniseren. In het geval van Firefox voor iOS wordt dit al met in Lockwise opgeslagen wachtwoorden gedaan. bron: https://www.security.nl

Duizenden Firefoxgebruikers hebben onbedoeld hun cookiedatabase naar GitHub gecommit, waar ze eenvoudig zijn te vinden, waardoor misbruik mogelijk is. De cookies.sqlite-databases bevinden zich normaal in de Firefox-profieldirectory en bevatten cookies die onder andere worden gebruikt voor het inloggen op websites. GitHub is een populair platform voor softwareontwikkelaars. Ontwikkelaars kunnen code op hun systeem naar het platform committen. Sommige ontwikkelaars blijken bij het committen van code ook hun cookies.sqlite-database mee te sturen. Security-engineer Aidan Marlin vond naar eigen zeggen duizenden van dergelijke databases in openbare GitHub-repositories waar ze via een zoekopdracht eenvoudig zijn te vinden. Wat precies de reden is dat de databases worden gecommit is onbekend, maar Marlin vermoedt dat het gaat om ontwikkelaars die code vanuit hun Linux-homedirectory committen en niet weten dat ook de database wordt meegestuurd. Een zoekopdracht naar cookies.sqlite-databases op GitHub leverde ruim vierduizend hits op, zo meldt The Register. De engineer meldde het probleem via bugbountyprogramma HackerOne bij GitHub, maar het ontwikkelplatform liet weten dat door gebruikers gelekte inloggegevens niet voor een beloning in aanmerking komen. Met de cookies in de databases is het mogelijk om in te loggen op websites waar de betreffende gebruiker op het moment van de commit was ingelogd. Update Antivirusbedrijf Sophos herhaalde het experiment van Marlin en ontdekte bijna 4500 cookiedatabases. "Meestal gebeuren dit soort blunders doordat Linux- en Unix-computers standaard geen directories of bestandsnamen tonen die met een punt beginnen", zegt onderzoeker Paul Ducklin. bron: https://www.security.nl