Captain Kirk

Google heeft afgelopen woensdag zo'n 14.000 Gmail-gebruikers gewaarschuwd voor een gerichte phishingaanval die door de Russische overheid zou zijn uitgevoerd. Volgens Shane Huntley, hoofd van Googles Threat Analysis Group, waren de phishingmails verstuurd door een groep aanvallers die bekendstaat als "APT28" en "Fancy Bear", zo laat hij tegenover Vice Magazine weten. Huntley benadrukt dat de waarschuwingen alleen laten weten dat de gebruiker een doelwit was, niet dat het account is gecompromitteerd. "Als we je waarschuwen is er een grote kans dat we de e-mail blokkeerden", aldus Huntley. Hij merkt op dat het grote aantal waarschuwingen deze maand wordt veroorzaakt door een klein aantal gerichte campagnes. Met de waarschuwing wil Google gebruikers laten weten dat ze een doelwit zijn en het verstandig is om extra beveiligingsmaatregelen voor een volgende aanval te nemen. "Als je een activist, journalist, overheidsfunctionaris bent of binnen de staatsveiligheid werkt zou deze waarschuwing eigenlijk geen verrassing moeten zijn. Op een gegeven moment zal een door een overheid gesteunde entiteit je waarschijnlijk iets proberen te sturen", gaat Huntley verder. Volgens het hoofd van de Threat Analysis Group zijn de meeste door staten gesteunde aanvallen met basale beveiligingsmaatregelen te blokkeren, zoals het gebruik van beveiligingssleutels, het installeren van beveiligingsupdates en bewustzijn. "Dat is waarom we deze waarschuwing versturen", merkt Huntley op. Sinds 2012 laat Google een waarschuwing zien als het vermoedt dat gebruikers het doelwit zijn van door een staat gesponsorde aanvallers. APT28 wordt voor een groot aantal aanvallen tegen overheden, bedrijven en personen verantwoordelijk gehouden. Verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de Franse televisiezender TV5, de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta, Europese hotels, het campagneteam van de Franse president Macron en vredesbeweging Pax zijn door de groep aangevallen. bron: https://www.security.nl

Microsoft gaat binnenkort standaard Excel 4.0-macro's bij Microsoft 365-gebruikers uitschakelen om hen zo tegen malafide documenten te beschermen. Dat heeft het techbedrijf in een e-mail aangekondigd. Sinds juli van dit jaar was het al mogelijk in het Excel Trust Center om het gebruik van Excel 4.0-macro's verder te beperken. Deze macroversie werd in 1992 geïntroduceerd en laat gebruikers allerlei taken binnen Excel automatiseren. De versie is inmiddels vervangen door macroversie 5.0. Toch maken aanvallers nog steeds op grote schaal gebruik van Excel 4.0-macro's om gebruikers met malware te infecteren. Standaard blokkeert Office het uitvoeren van macro's, maar laat gebruikers die via een paar muisklikken weer inschakelen. Met de aankomende update voor Microsoft 365 wordt het uitvoeren van Excel 4.0-macro's helemaal geblokkeerd. De aanpassing is beperkt tot eindgebruikers die deze macro-instelling niet hebben aangepast of waarbij geen group policy door hun beheerder is ingesteld. Gebruikers kunnen de instelling in het Excel Trust Center wijzigen, waardoor het uitvoeren van Excel 4.0-macro's weer mogelijk wordt. De uitrol van de feature begint eind deze maand en zal gefaseerd plaatsvinden. Halverwege december moet de uitrol zijn afgerond. bron: https://www.security.nl

Er is een nieuwe versie van encryptiesoftware GnuPG verschenen die een probleem met het nieuwe rootcertificaat van Let's Encrypt verhelpt. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. Het maakt hierbij gebruik van public key cryptography. Let's Encrypt is een certificaatautoriteit die gratis tls-certificaten uitgeeft. Op 30 september verviel het rootcertificaat van de certificaatautoriteit en wordt er van een nieuw certificaat gebruikgemaakt. Een overstap die niet geheel vlekkeloos verliep en voor problemen bij miljoenen gebruikers zorgde. Ook bij GnuPG veroorzaakte het nieuwe certificaat problemen. Het certificaat werd niet correct geselecteerd door de software, die daardoor geen gebruik kon maken van de Web Key Directory (WKD) en keyservers om publieke sleutels op te zoeken. Het probleem zou met GnuPG 2.2.32 moeten zijn verholpen. bron: https://www.security.nl

Een actief misbruikt beveilgingslek in Apache versie 2.4.49 maakt ook remote code execution mogelijk, zo waarschuwen beveiligingsonderzoekers. Apache kwam op 4 oktober met een beveiligingsupdate voor een kwetsbaarheid aangeduid als CVE-2021-41773. Het ging om een zerodaylek, aangezien de kwetsbaarheid al voor het uitkomen van de update actief werd misbruikt. Volgens de Apache Software Foundation maakt het beveiligingslek path traversal mogelijk, waarmee een aanvaller toegang tot mappen en bestanden kan krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. Daarnaast is de kwetsbaarheid te gebruiken om de source van bestanden zoals CGI-scripts te lekken. Verschillende onderzoekers laten via Twitter weten dat de kwetsbaarheid ook voor remote code execution is te gebruiken. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server. Een scan via zoekmachine Shodan wijst uit dat 112.000 webservers Apache versie 2.4.49 draaien. Het uitvoeren van willekeurige code is echter alleen mogelijk wanneer "mod-cgi" staat ingeschakeld en de standaardoptie "Require all denied" in de configuratie ontbreekt, meldt onderzoeker Will Dormann. Beheerders wordt opgeroepen om te updaten naar Apache versie 2.4.50. bron: https://www.security.nl

De vitale sector maakt niet altijd gebruik van standaarden voor e-mailbeveiliging, waardoor bijvoorbeeld spoofing mogelijk is, zo stellen Zembla en de Internet Cleanup Foundation op basis van onderzoek onder honderd bedrijven en organisaties. Het gaat dan om de standaarden SPF, DKIM en DMARC die niet zijn geïmplementeerd of onvoldoende strikt zijn geconfigureerd. DMARC staat voor Domain Message Authentication Reporting & Conformance (DMARC). Via DMARC kunnen organisaties beleid instellen hoe e-mailproviders moeten omgaan met e-mails waarvan niet kan worden vastgesteld dat ze van het betreffende afzenderdomein afkomstig zijn. Het Sender Policy Framework (SPF) controleert of een verzendende mailserver die e-mail namens een domein wil versturen, ook daadwerkelijk gerechtigd is om dit te mogen doen. Met DKIM kan de domeinnaamhouders aangeven met welke sleutel e-mailberichten moeten zijn gesigneerd. Verzendende mailservers ondertekenen alle uitgaande e-mail namens deze domeinnaam met deze sleutel. Ontvangende mailservers kunnen met behulp van DKIM controleren of de e-mail door een geautoriseerde partij is verzonden. Via de standaarden kan e-mailspoofing, waarbij een aanvaller zich in een e-mail voordoet als een ander door het afzendadres te vervalsen, worden voorkomen. Van de honderd onderzochte organisaties hadden er 57 DMARC, DKIM en SPF ten tijde van het onderzoek de screening geïmplementeerd en strikt geconfigureerd. Bij de overige 43 bedrijven ontbrak minstens één van de drie veiligheidsstandaarden, of stond deze onvoldoende strikt geconfigureerd. Het gaat onder andere om de kerncentrale van Borssele, de KLM, hoogspanningsbeheerder TenneT en elektriciteitsproducent Vattenfall. Van de 43 bedrijven en organisaties die niet alle veiligheidsstandaarden toepasten of strikt hadden geconfigureerd zeggen er 34 hun e-mailbeveiliging verder te zullen aanscherpen. In juli bleek dat een kwart van de Nederlandse ziekenhuizen en GGD's geen gebruikmaakt van de eerder genoemde beveiligingsstandaarden en ook de overheid heeft dit nog niet overal op orde. bron: https://www.security.nl

Ruim 70.000 Microsoft Exchange-servers missen een belangrijke beveiligingsupdate en zijn zo kwetsbaar voor aanvallen. De update om deze servers te beschermen is al sinds april van dit jaar beschikbaar, maar nog altijd niet door beheerders van de betreffende machines geïnstalleerd. Dat stelt securitybedrijf Rapid7 op basis van onderzoek naar ruim 306.000 Exchange-servers die toegankelijk vanaf internet zijn. Microsoft kwam in april en mei met beveiligingsupdates voor drie kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Door de drie kwetsbaarheden te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Deze aanval kreeg de naam ProxyShell. Van de 306.000 onderzochte Exchange-servers draaien er nog 84.000 op Exchange 2007 en 2010. Deze versies zijn niet kwetsbaar voor de ProxyShell-aanval, maar worden al geruime tijd niet meer door Microsoft ondersteund en ontvangen zo geen beveiligingsupdates meer. De resterende 222.000 Exchange-servers draaien op Exchange 2013, 2016 en 2019. Deze versies zijn wel kwetsbaar voor ProxyShell. Aanvallers maken al enige tijd misbruik van de ProxyShell-kwetsbaarheden om Exchange-servers aan te vallen. Desondanks was op 29 procent van de servers de ProxyShell-update niet geïnstalleerd en was dit bij 2,6 procent gedeeltelijk. Dat houdt in dat 31,7 procent van de onderzochte Exchange 2013-, 2016- en 2019-servers mogelijk kwetsbaar is, aldus de onderzoekers. bron: https://www.security.nl

Op internet zijn de broncode, uitbetalingen en andere vertrouwelijke bestanden van streamingdienst Twitch gelekt. Hoe de gegevens konden worden gestolen is nog niet bekend. De data wordt via een 125 gigabyte grote torrent aangeboden en bevat de broncode van de mobiele, desktop en videogameconsole Twitch-client, zo meldt The Verge. Daarnaast zijn er drie jaar aan overzichten te vinden van wat Twitch aan makers op het platform uitkeerde. Meerdere van deze makers laten weten dat de genoemde bedragen juist zijn en het inderdaad om bij Twitch gestolen data gaat. Verder zijn erin de dataset interne red teaming tools van Twitch aangetroffen waarmee het bedrijf de eigen veiligheid test. Voor zover bekend bevat de gelekte data geen persoonlijke gegevens van gebruikers. Het datalek heeft echter het label "part one" gekregen, wat kan suggereren dat er nog meer data komt. Een bron verklaart tegenover Video Games Chronicle dat Twitch van het datalek op de hoogte is. De gegevens zouden mogelijk afgelopen maandag zijn buitgemaakt. Twitch, dat volgens Statista acht miljoen actieve streamers telt, heeft nog geen officiële verklaring naar buiten gebracht. bron: https://www.security.nl

Facebook heeft een onderzoek ingesteld naar de claim van een internetgebruiker die beweert de privégegevens van 1,5 miljard Facebook-gebruikers in bezit te hebben en die via een forum te koop aanbiedt. De vermeende data zou via scraping zijn verzameld en bestaan uit naam, e-mailadres, telefoonnummer, locatie, geslacht en gebruikers-ID, zo meldt Privacy Affairs. Het is echter onbekend of de aangeboden gegevens echt zijn of dat het om een scam gaat. Een gebruiker van het forum claimt de aanbieder te hebben betaald, maar stelt dat hij vervolgens geen data heeft ontvangen. De aanbieder ontkent deze aantijgingen en houdt vol dat de aangeboden data authentiek is. Het is op dit moment nog altijd onbevestigd of het echt om gegevens van Facebookgebruikers gaat. "We onderzoeken deze claim en hebben een takedown request naar het forum gestuurd dat de vermeende data adverteert", zo laat een woordvoerder van Facebook tegenover The New York Times weten. bron: https://www.security.nl

OnionShare, een tool voor het anoniem uitwisselen van bestanden dielonder andere door klokkenluiders en journalisten wordt gebruikt, heeft twee kwetsbaarheden verholpen waardoor ongeautoriseerde uploads en het achterhalen van chatdeelnemers mogelijk waren. De tool start een webserver op de computer van de gebruiker en maakt die toegankelijk als een Tor-adres. Dit is een adres op het Tor-netwerk dat anderen via Tor Browser kunnen benaderen en kunnen gebruiken om bestanden van de webserver te downloaden of hier bestanden naar toe te uploaden. Het is niet nodig om op een account in te loggen of van derde partijen gebruik te maken. In de niet-publieke mode genereerde OnionShare een willekeurige gebruikersnaam en wachtwoord. Alleen gebruikers met de juiste inloggegevens kunnen dan bestanden uploaden. Onderzoekers van IHTeam ontdekten dat het bij de niet-publieke mode mogelijk was om zonder geldige inloggegevens toch bestanden via OnionShare te uploaden. Naast de optie om bestanden te uploaden en downloaden biedt OnionShare ook een chatroomfunctie. Deelnemers krijgen een willekeurige gebruikersnaam toegekend, maar kunnen die wel veranderen. Voorheen maakte de chatfunctie ook gebruik van een wachtwoord. De onderzoekers ontdekten een tweede kwetsbaarheid waardoor het mogelijk was om zonder inloggegevens de namen van chatdeelnemers te achterhalen. De beveiligingslekken werden op 21 augustus gemeld, waarna op 17 september een nieuwe versie van OnionShare verscheen waarin de problemen zijn opgelost. Daarnaast maakt de tool inmiddels geen gebruik meer van wachtwoorden maar van private keys. bron: https://www.security.nl

De Apache Software Foundation waarschuwt voor een actief aangevallen zerodaylek in Apache HTTP Server waardoor path traversal mogelijk is. Daarnaast is de kwetsbaarheid te gebruiken om de source van bestanden zoals CGI-scripts te lekken. Een beveiligingsupdate is sinds gisteren beschikbaar. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server. In versie 2.4.49 van de webserversoftware is een aanpassing aan de code doorgevoerd die controleert op path traversal-karakters, waarmee een aanvaller toegang tot mappen en bestanden kan krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. Er werd echter geen rekening gehouden met een bepaalde codering van deze karakters waardoor path traversal toch mogelijk is. Een aanvaller zou zo url's aan bestanden buiten de verwachte document root kunnen mappen, aldus de Apache Software Foundation. De kwetsbaarheid werd al voor het uitkomen van de beveiligingsupdate aangevallen, meldt securitybedrijf Sonatype. Wereldwijd zouden zo'n 112.000 Apache-servers de kwetsbare versie van de software draaien. Beheerders wordt opgeroepen om te updaten naar versie 2.4.50. bron: https://www.security.nl

Eerder dit jaar is Google begonnen om bij gebruikers automatisch tweestapsverificatie (2SV) in te schakelen en voor het einde van dit jaar komen daar nog eens 150 miljoen gebruikers bij. Dat heeft het techbedrijf vandaag aangekondigd. Daarnaast worden twee miljoen YouTube-makers verplicht om 2SV in te schakelen. Gebruikers bij wie 2SV staat ingeschakeld moeten na het inloggen met gebruikersnaam en wachtwoord ook nog op een andere manier bewijzen dat ze de eigenaar van het account zijn. Dit kan op verschillende manieren, zoals het bevestigen van een Google-prompt op de telefoon. Tweestapsverificatie wordt alleen ingeschakeld bij Google-accounts die over het juiste back-upmechanisme beschikken om een "naadloze overstap" naar 2SV te maken, zo stelt het techbedrijf. "We erkennen dat de huidige 2SV-opties niet voor iedereen geschikt zijn, dus werken we aan technologieen die een eenvoudige, veilige authenticatie-ervaring bieden en de afhankelijkheid van wachtwoorden op de lange termijn verminderen", aldus AbdelKarim Mardini van Google. bron: https://www.security.nl

Firefox zal vanaf vandaag bij het opzetten van een beveiligde verbinding het uit 1995 stammende 3DES-encryptiealgoritme standaard niet meer ondersteunen, wat gebruikers tegen aanvallen moet beschermen, zo heeft Mozilla aangekondigd. Bij het opzetten van een beveiligde TLS-verbinding zijn er verschillende encryptiealgoritmes waaruit gekozen kan worden. De triple Data Encryption Standard (3DES) is er daar één van. "Aangezien 3DES alleen een effectieve bescherming van 112 bits biedt, is het volgens sommige agentschappen bijna end-of-life", stelt securitybedrijf Rapid7. Het 3DES-algoritme maakt daarnaast geen onderdeel uit van TLS 1.3. Eerder stelde het National Institute of Standards and Technology (NIST), een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, dat 3DES vanaf 2017 niet meer in nieuwe applicaties moet worden gebruikt en vanaf 2023 overal moet zijn verdwenen (pdf). Ook Mozilla stelt dat aanvallen tegen 3DES sterker zijn geworden. Daarnaast zijn andere, veiligere encryptiealgoritmes gestandaardiseerd en worden inmiddels breed ondersteund, waardoor 3DES nog weinig wordt gebruikt. "Zolang 3DES een door Firefox aangeboden optie blijft, vormt het een beveiligings- en privacyrisico. Omdat het niet langer nodig of verstandig is om dit encryptiealgoritme te gebruiken, staat het standaard uitgeschakeld in Firefox 93", zegt Mozillas Dana Keele. Mozilla denkt dat het gebruik van 3DES nog vooral afkomstig is van verouderde apparaten die oude cryptografie gebruiken en niet zijn te upgraden. Ook kan het zijn dat sommige moderne servers onbedoeld van 3DES gebruikmaken ook al zijn er veiligere algoritmes beschikbaar. Het uitschakelen van 3DES moet daarbij helpen, aldus Keele. Firefox 93 zal later vandaag verschijnen. bron: https://www.security.nl

Vandaag verschijnt Firefox 93 en één van de nieuwe features in de browser is het blokkeren van downloads op https-websites die via http plaatsvinden. Ook downloads in gesandboxte iframes worden voortaan standaard geblokkeerd, tenzij het iframe van een bepaald attribuut gebruikmaakt. Volgens Mozilla moet dit gebruikers tegen onveilige en zelfs ongewenste downloads beschermen. "Het downloaden van bestanden via een onveilige http-verbinding vormt een groot beveiligingsrisico omdat via het http-protocol verstuurde data onbeschermd en onversleuteld is, waardoor aanvallers de verstuurde data kunnen bekijken, stelen of manipuleren", zegt Mozillas Sebastian Streich. "Anders gezegd, het downloaden van een bestand via een onbeveiligde verbinding laat een aanvaller het bestand door malafide content vervangen, die wanneer geopend tot een volledig gecompromitteerd systeem kan leiden." Firefox 93 zal downloads via http op https-websites daarom standaard blokkeren. Gebruikers krijgen dan een pop-up te zien waarin voor een "potentieel beveiligingsrisico" wordt gewaarschuwd. Vervolgens hebben gebruikers de keuze om het bestand te verwijderen of de download toe te staan. Drive-by downloads Tevens zal de browser voortaan ook het downloaden van bestanden in gesandboxte iframes blokkeren. Volgens Mozilla kan malafide content in een iframe voor een drive-by download worden gebruikt, waarbij de gebruiker wordt verleid tot het downloaden van malafide bestanden. Tenzij de gesandboxte content van het 'allow-downloads' attribuut gebruikmaakt zal Firefox dergelijke downloads standaard en zonder verdere melding blokkeren. bron: https://www.security.nl

Criminelen maken gebruik van een bekende kwetsbaarheid in Confluence om organisaties met ransomware te infecteren. Dat meldt antivirusbedrijf Sophos in aan analyse. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Een kwetsbaarheid in de software, aangeduid als CVE-2021-26084, maakt het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren en zo volledige controle over de server te krijgen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Op 25 augustus verscheen er een beveiligingsupdate voor de kwetsbaarheid. Sophos beschrijft een aanval op een organisatie waarbij de aanvallers via de Confluence-kwetsbaarheid op 13 september toegang tot een server wisten te krijgen. Vanaf de Confluence-server wisten de aanvallers zich lateraal door het netwerk te bewegen en verschillende andere servers te compromitteren. Op 24 september, elf dagen na de initiele infectie, vond de ransomware-aanval plaats. De aanvallers gebruikten eerst het programma RClone om allerlei data van besmette servers naar een Dropbox-account te kopiëren. Vervolgens werden de domeincontrollers in het netwerk gebruikt om de ransomware naar alle endpoints in het netwerk te verspreiden en uit te voeren. Naast de ransomwaregroep was er ook een andere aanvaller die de kwetsbare Confluence-server had gevonden en hierop een cryptominer installeerde. bron: https://www.security.nl

Ongeveer de helft van de Nederlanders vindt een uniek wachtwoord voor al hun accounts en apparaten te veel gedoe, zo blijkt uit onderzoek van I&O Research dat in opdracht van het ministerie van Economische Zaken onder iets meer dan duizend Nederlanders werd uitgevoerd (pdf). Bijna driekwart van de ondervraagde Nederlanders beoordeelt de eigen kennis over digitale en online veiligheid redelijk tot (zeer) goed (42 procent redelijk, 24 procent goed, 6 procent zeer goed). Bijna een kwart beoordeelt deze als matig (23 procent) en 5 procent (zeer) slecht. 65-plussers en lager opgeleiden schatten hun eigen kennis over digitale veiligheid lager in dan anderen. Vier op de vijf Nederlanders ontvingen in de afgelopen twaalf maanden een phishingmail. Bij 66 procent was dit thuis, de resterende veertien procent ontving het phishingbericht op werk. Twintig procent zegt daarnaast te zijn benaderd voor WhatsAppfraude. Online veiligheid Deelnemers werd ook gevraagd wat ze deden om hun online veiligheid te verbeteren. Het installeren van antivirussoftware was het meest genoemde antwoord en wordt door 67 procent van de deelnemers gedaan. Het regelmatig installeren van beveiligingsupdates volgt op een tweede plek met 66 procent. Verder stelt een derde geregeld de wachtwoorden te wijzigen en zegt 32 procent het standaard wifi-wachtwoord van de modem te wijzigen. Iets meer dan een kwart van de ondervraagden maakt gebruik van een wachtwoordmanager. Bijna veertig procent geeft aan dat ze het lastig vinden om nieuwe wachtwoorden te maken. Daarnaast vindt bijna vijftig procent het te veel gedoe om voor al hun accounts en apparaten een ander wachtwoord te hebben. Een kleine veertig procent stelt dat beveiligingsinstructies vaak ingewikkeld zijn en zo'n twintig procent vindt dat het maken van een back-up van de computer te veel tijd kost. bron: https://www.security.nl

Het Secure Open Source (SOS)-programma van de Linux Foundation ontvangt 1 miljoen dollar van Google voor het belonen van ontwikkelaars die de security van veelgebruikte opensourceprojecten verbeteren. Om welke projecten het precies gaat is nog niet bekend. Hiervoor wordt gekeken naar de impact van aangemelde projecten, zoals het aantal gebruikers dat van nieuwe securityverbeteringen profiteert, en hoe het met de veiligheid van het project op dit moment staat. Wel is al duidelijk welke verbeteringen in aanmerking voor een beloning komen. Het gaat dan om verbeteringen die voor een veiligere supply chain en distributie-infrastructuur moeten zorgen, het gebruik van fuzzing om kwetsbaarheden te vinden en verschillende andere best practices. Voor complexe verbeteringen die een langdurig effect hebben en zo goed als zeker grote kwetsbaarheden in de betreffende code of infrastructuur voorkomen zijn er beloningen van 10.000 dollar of meer beschikbaar. "Het SOS-programma is onderdeel van een grotere inspanning om met een harde waarheid om te gaan: de wereld is afhankelijk van opensourcesoftware, maar brede ondersteuning en financiële bijdrages zijn nodig om die software veilig te houden", aldus de Linux Foundation. Volgens Google is de investering van 1 miljoen dollar slechts het begin en zal het SOS-programma het startpunt voor meer initiatieven zijn. bron: https://www.security.nl

Microsoft onderzoekt of automatisch geïnstalleerde mitigaties op Exchange-servers die overbodig zijn weer automatisch kunnen worden verwijderd, aangezien dat nu handmatig moet gebeuren wat een probleem voor systeembeheerders kan zijn. Tevens gaat het techbedrijf beheerders van Exchange-servers mogelijk waarschuwen wanneer er automatisch een mitigatie op hun server wordt geïnstalleerd. Vorige week rolde Microsoft een nieuwe Cumulative Update voor Exchange uit die onder ander de Emergency Mitigation-service op servers installeert. Deze service zal automatisch en zonder tussenkomst van de eigenaar mitigaties op kwetsbare Exchange-servers installeren. Het gaat hier niet om beveiligingsupdates, maar mitigaties die misbruik van bekende en actief aangevallen kwetsbaarheden voorkomen. Dit moet Exchange-servers tegen aanvallen beschermen. De feature staat standaard ingeschakeld, maar is door beheerders uit te schakelen. Microsoft stelt dat het naar aanleiding van de uitrol van de Exchange Emergency Mitigation-service "opbouwende kritiek" van klanten kreeg. Zo moeten automatisch geïnstalleerde mitigaties handmatig door Exchange-beheerders worden verwijderd na het installeren van de betreffende beveiligingsupdate. "Het installeren van een beveiligingsupdate die het gemitigeerde probleem verhelpt verwijdert niet de mitigatie van de server. In plaats daarvan moet een beheerder eerst de beveiligingsupdate installeren en dan de mitigaties verwijderen die niet langer van toepassing zijn", aldus Microsoft. Het techbedrijf zegt dat het begrijpt dat het een belasting voor systeembeheerders is om iets handmatig te verwijderen dat automatisch op de server is geïnstalleerd. Daarnaast is het een probleem om uit te zoeken welke mitigaties kunnen worden verwijderd en welke niet. Daarom kijkt Microsoft nu of het overbodige Exchange-mitigaties die automatisch zijn geïnstalleerd ook automatisch weer kan verwijderen, bijvoorbeeld bij de installatie van de betreffende beveiligingsupdate. Melding Een ander kritiekpunt is dat systeembeheerders willen weten wanneer er zonder hun tussenkomst een mitigatie op de Exchange-server is geïnstalleerd. Microsoft stelt dat dit in de logs wordt vermeld. "Maar we beseffen ook de noodzaak voor beheerders om in real-time te weten wanneer een mitigatie is geïnstalleerd of niet", aldus Microsoft. Dat gaat daarom kijken of het beheerders kan waarschuwen voor de installatie van een mitigatie. Afsluitend laat het techbedrijf weten dat bij een aantal organisaties de Exchange Emergency Mitigation-service standaard stond uitgeschakeld in plaats van ingeschakeld. Er wordt nu onderzocht hoe dit kon gebeuren. In de tussentijd is het mogelijk om de service handmatig in te schakelen. bron: https://www.security.nl

Ruim 125 miljoen e-mailadressen die eerder dit jaar bij LinkedIn werden gescrapet zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. In april van dit jaar werd bekend dat de gegevens van 500 miljoen LinkedIn-gebruikers werden aangeboden op internet. Het ging om LinkedIn ID, naam, e-mailadres, telefoonnummer, geslacht, links naar socialmediaprofielen, functieomschrijving en andere werkgerelateerde informatie. In juni werd opnieuw een dataset op internet te koop aangeboden, alleen dan met de gegevens van naar verluidt 700 miljoen LinkedIn-gebruikers. LinkedIn stelde dat de aangeboden data afkomstig was van een aantal websites en bedrijven. Het bevatte daarnaast publiek toegankelijke profielgegevens van LinkedIn-gebruikers. Volgens het bedrijf waren de gegevens door middel van scraping verkregen. "Hoewel scraping geen datalek is en er geen persoonlijke data werd benaderd die niet publiek toegankelijk hoort te zijn, werd de data nog steeds verzilverd en circuleerde later rond in hackingkringen", aldus beveiligingsonderzoeker Troy Hunt, tevens oprichter van Have I Been Pwned. De gescrapete data bestond uit zo'n 400 miljoen records, waaronder 125,6 miljoen unieke e-mailadressen. Hunt ontving de dataset en heeft de e-mailadressen toegevoegd aan HIBP. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de gelekte e-mailadressen was 98 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

De Verenigde Staten zal later deze maand dertig landen in een coalitie verenigen om zo onder andere beter cybercrime te bestrijden, de samenwerking tussen opsporingsdiensten te verbeteren en het illegaal gebruik van cryptovaluta tegen te gaan, zo heeft de Amerikaanse president Biden aangekondigd. Biden deed zijn uitspraken tijdens de start van de jaarlijkse "Cybersecurity Awareness maand" die deze maand plaatsvindt. De president liet weten dat hij de vitale infrastructuur in het land beter tegen cyberaanvallen wil beschermen, ransomwaregroepen wil verstoren, duidelijke regels wil opstellen hoe landen zich in cyberspace moeten gedragen en dat de VS iedereen aansprakelijk zal houden die de veiligheid van de natie in gevaar brengt. De president voegde toe dat de VS nauw samenwerkt met andere landen om deze dreigingen te bestrijden, waaronder de NAVO en G7. "Deze maand zullen de Verenigde Staten dertig landen bijeen brengen om onze samenwerking te versnellen in het bestrijden van cybercrime, het verbeteren van samenwerking tussen opsporingsdiensten, het tegengaan van het illegaal gebruik van cryptovaluta en het op diplomatiek wijze aanpakken van deze zaken", kondigde Biden aan. Verder wil de Amerikaanse president een coalitie van landen bijeen brengen die zich zal inzetten voor "betrouwbare 5G-technologie" en het beter beveiligen van logistieke ketens. Daarnaast zal de VS naar eigen zeggen zich richten op de kansen en dreigingen van opkomende technologieën zoals quantum computing en kunstmatige intelligentie. bron: https://www.security.nl

Een coalitie van vijftig organisaties en beveiligingsexperts heeft de Belgische overheid in een open brief gevraagd om te stoppen met een wetsvoorstel dat de end-to-end encryptie van communicatiediensten zoals WhatsApp zou ondermijnen. In het wetsvoorstel worden aanbieders gedwongen om autoriteiten toegang tot de communicatie van gebruikers te geven. De aanbieders zouden in dit geval de encryptie voor specifieke gebruikers moeten uitschakelen. "Er is geen manier om encryptie gewoonweg "uit te schakelen"; aanbieders zouden een apart systeem moeten ontwikkelen en de gebruikers in kwestie naar dat systeem moeten sturen. Dit brengt niet alleen grote technische uitdagingen met zich mee, maar breekt ook de belofte van vertrouwelijkheid en privacy van end-to-end versleutelde communicatiediensten", aldus de organisaties en experts. Dit zou Belgische burgers allesbehalve veilig maken, maar de eisen zouden ook het gebruik van end-to-end encryptie in België ondermijnen, gaan de experts en organisaties verder. Eerder stelde de Belgische privacytoezichthouder dat het wetsvoorstel bedrijven zou dwingen om een "de factor backdoor" aan hun diensten toe te voegen. Volgens de experts is het niet mogelijk om een derde partij toegang tot end-to-end versleutelde communicatie te geven zonder backdoors of kwetsbaarheden te introduceren waar iedereen die ze vindt misbruik van kan maken. "In andere woorden, er is geen manier voor opsporingsdiensten om toegang tot backdoors te hebben, zonder het risico dat ook kwaadwillenden er toegang toe krijgen", laat de open brief weten. Daarin staat ook dat het toevoegen van encryptiebackdoors de veiligheid van het gehele systeem verzwakt en alle gebruikers risico laat lopen. De Belgische overheid wordt dan ook opgeroepen om van het wetsvoorstel af te zien. De brief is onder andere ondertekend door de Liga voor Mensenrechten, European Digital Rights (EDRi), Internet Society en versleutelde e-maildienst Tutanota. Directeur van WhatsApp, Will Cathcart, laat via Twitter weten dat sterke encryptie essentieel is om privacy en gebruikers te beschermen en dat het Belgische wetsvoorstel de veiligheid van iedereen gevaar laat lopen. bron: https://www.security.nl

Software waarmee werkgevers, ouders en partners de smartphone of pc van hun personeel, kinderen of wederhelft kunnen monitoren lekt screenshots van slachtoffers. Dat ontdekte beveiligingsonderzoeker Jo Coscia. Het gaat om de monitoringssoftware pcTattleTale die beschikbaar is voor Androidtelefoons en Windowscomputers. Gebruikers kunnen via pcTattleTale screenshots maken van de apparaten waarop de de monitoringsoftware draait. Zo kan worden gekeken welke websites slachtoffers bezoeken en welke apps ze gebruiken. Deze screenshots worden bij Amazon Web Services opgeslagen. De gemaakte screenshots zijn echter zonder authenticatie voor iedereen op internet te bekijken. Alleen het kennen van de vereiste url is voldoende. Coscia ontdekte dat deze url eenvoudig is te achterhalen. PcTattleTale gebruikt voor deze url's een apparaat-ID, een code die aan systemen wordt gegeven waarop de software draait en opeenvolgend lijkt te worden gegenereerd, de datum en een timestamp. Via een script is het zo mogelijk om allerlei mogelijke url's te proberen en zo gevonden screenshots te verzamelen. Er wordt geen gebruikgemaakt van rate limiting om bruteforce-aanvallen te voorkomen, meldt Vice Magazine. bron: https://www.security.nl

Onderzoekers hebben een exemplaar van de FinFisher-spyware ontdekt die via een UEFI-bootkit op computers wordt geïnstalleerd. FinFisher is door Gamma International ontwikkelde spyware die overheden en opsporingsdiensten al zeker sinds 2011 voor surveillancedoeleinden inzetten. Het kan wachtwoorden verzamelen, heeft toegang tot microfoon en camera en kan bestanden stelen. Er bestaan FinFisher-versies voor Linux, macOS en Windows. FinFisher wordt onder andere via getrojaniseerde software verspreid. Zo zijn er versies van WinRAR, VLC media player en TeamViewer ontdekt die van de spyware waren voorzien en via malafide websites werden aangeboden. Daarnaast wordt FinFisher ook via UEFI- en Master Boot Record (MBR)-bootkits geïnstalleerd. Het gebruik van MBR-bootkits door FinFisher was al bekend, maar de spyware kan systemen ook via UEFI-bootkits infecteren, meldt antivirusbedrijf Kaspersky in een nieuwe analyse. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. De UEFI-bootkit vervangt de Widows Boot Manager door een malafide versie die onder andere de FinFisher-spyware vanaf een aparte partitie laadt en uitvoert. "Deze infectiemethode zorgt ervoor dat de aanvallers een bootkit kunnen installeren zonder de beveiligingscontroles van de firmware te hoeven omzeilen. UEFI-infecties zijn zeer zeldzaam en over het algemeen lastig uit te voeren", aldus Kaspersky. Om geen sporen achter te laten kan FinFisher de originele MBR en de EFI Windows Boot Manager herstellen. bron: https://www.security.nl

Microsoft heeft een nieuwe Cumulative Update voor Exchange uitgerold die onder ander de Emergency Mitigation-service op servers installeert. Deze service zal automatisch en zonder tussenkomst van de eigenaar mitigaties op kwetsbare Exchange-servers installeren. Het gaat hier niet om beveiligingsupdates, maar mitigaties die misbruik van bekende kwetsbaarheden voorkomen. Op deze manier wil Microsoft Exchange-servers tegen aanvallen beschermen, aangezien in de praktijk blijkt dat veel organisaties hun Exchange-servers niet up-to-date houden, aldus het techbedrijf. Organisaties kunnen de Emergency Mitigation-service, die standaard staat ingeschakeld, zelf uitschakelen. Met de lancering van de september 2021 Cumulative Update voor Exchange Server 2016 en 2019 ondersteunt Microsoft alleen nog deze update en de Cumulative Update van juni. Organisaties die één van deze updates nog niet hebben geïnstalleerd wordt aangeraden om dit direct te doen. Wel adviseert het techbedrijf om updates eerst in een testomgeving te testen voordat die in een productieomgeving worden uitgerold. bron: https://www.security.nl

Google neemt volgende maand echt afscheid van het ftp-protocol in Chrome. Oorspronkelijk had dit met de lancering van Chrome 88 in januari van dit jaar moeten plaatsvinden, maar dat werd uitgesteld naar Chrome 95 die voor 19 oktober gepland staat. Volgens het techbedrijf is het uit 1971 stammende File Transfer Protocol (ftp) onveilig, wordt de ingebouwde ftp-client weinig gebruikt en zijn er betere ftp-oplossingen voor gebruikers beschikbaar. Ftp maakt geen gebruik van encryptie waardoor inloggegevens en data als platte tekst naar de ftp-server worden verstuurd. Het wordt dan ook als een onveilig en verouderd protocol beschouwd. Google is al geruime tijd bezig om de support van het protocol uit te faseren. Zo is het op dit moment alleen nog mogelijk om via ftp-links bestanden te downloaden of een directory listing te krijgen. Met de lancering van Chrome 86 werd de ondersteuning van het verouderde protocol al als experiment bij één procent van de gebruikers uitgeschakeld. Onder gebruikers van Chrome 87 bedroeg dit zelfs vijftig procent, hoewel gebruikers in beide gevallen de optie hadden om ftp-support weer in te schakelen. Met Chrome 95 is Google van plan om de ondersteuning voor ftp volledig uit de codebase van de browser te verwijderen. Gebruikers zijn dan aangewezen op een aparte ftp-client om ftp-servers te benaderen. bron: https://www.security.nl

Microsoft heeft een backdoor ontdekt voor Active Directory Federation Services (AD FS)-servers die volgens het techbedrijf wordt gebruikt door de aanvallers achter de SolarWinds-aanval. AD FS is een door Microsoft ontwikkelde oplossing die single sign-on toegang tot systemen en applicaties binnen het organisatienetwerk biedt. Zodra de aanvallers een AD FS-server hebben gecompromitteerd installeren ze de backdoor, die Microsoft "FoggyWeb" noemt. Via de backdoor behouden de aanvallers toegang tot het systeem en stelen ze onder andere de configuratiedatabase van de server, alsmede het certificaat voor het signeren van tokens. Ook kunnen de aanvallers via de backdoor, die in de context van het primaire AD FS-proces draait, aanvullende onderdelen downloaden en uitvoeren. "De FoggyWeb-backdoor fungeert als een passieve en persistente backdoor die misbruik van Security Assertion Markup Language (SAML)-tokens toestaat. De backdoor configureert http-listeners voor door de aanvaller gedefinieerde uri's die de structuur nabootsen van legitieme uri's, gebruikt door de AD FS-installatie van de getroffen organisatie. Deze listeners monitoren alle inkomende http get en post requests vanaf het internet/intranet verstuurd naar de AD FS-server en onderscheppen http requests die overeenkomen met de door de aanvaller opgegeven uri-patronen", legt Microsoft uit in een analyse van de backdoor. Volgens het techbedrijf is het gebruik van de backdoor voor het eerst in april van dit jaar waargenomen. Organisaties waar de backdoor is aangetroffen zijn door Microsoft gewaarschuwd. In de nu gepubliceerde analyse staan daarnaast verschillende indicators of compromise (IOC's) waarmee organisaties kunnen kijken of de backdoor ook in hun omgeving aanwezig is. Daarnaast worden verschillende adviezen gegeven voor het beveiligen van AD FS-servers, waaronder het gebruik van een wachtwoord van minimaal 25 karakters voor het AD FS-service-account. bron: https://www.security.nl