Captain Kirk

Een kritieke kwetsbaarheid in een onderdeel van Opera maakte het mogelijk om systemen van gebruikers over te nemen. De kwetsbaarheid was aanwezig in My Flow, een onderdeel van de browser dat gebruikers via een "shared space" data tussen hun smartphone en computer laat uitwisselen. Het kan dan bijvoorbeeld gaan om links, afbeeldingen en video's die vervolgens vanaf zowel telefoon als computer voor de gebruiker toegankelijk zijn. Een beveiligingsonderzoeker ontdekte dat het domein van My Flow, web.flow.opera.com, communiceert met een verborgen extensie binnen de browser. Op web.flow.opera.com was een cross-site scripting (XSS)-kwetsbaarheid aanwezig. Door een afbeelding op een malafide website te slepen was een redirect naar web.flow.opera.com mogelijk en kon er misbruik van het XSS-lek worden gemaakt. De onderzoeker zag dat de verborgen browser-extensie waarmee My Flow communiceert verschillende functies kan uitvoeren, waaronder het versturen en openen van bestanden. De send_file-functie verstuurt een bestand naar My Flow en bewaart het in de downloadmap van de gebruiker. De open_file-functie wordt gebruikt voor het openen van afbeeldingen, maar blijkt elk soort bestand te kunnen openen, niet alleen afbeeldingen. Door de twee functies te combineren is het mogelijk om een bestand op de computer van een gebruiker te plaatsen en daar te openen. Voorwaarde is wel dat de gebruiker eerst op een malafide website een afbeelding versleept. De redirect naar de My Flow-site maakt het vervolgens mogelijk om de twee genoemde extensie-functies binnen de browser van de gebruiker aan te roepen en zo willekeurige code op zijn systeem uit te voeren. De onderzoeker waarschuwde Opera dat een beveiligingsupdate uitrolde. Voor zijn bugmelding ontving de onderzoeker een beloning van 8.000 dollar. bron: https://www.security.nl

Een malafide Firefox-extensie die zich voordeed als de SafePal Wallet-applicatie en cryptovaluta van gebruikers buitmaakte heeft maandenlang in de officiële extensie-store van Mozilla gestaan. Inmiddels is de extensie van addons.mozilla.org verwijderd. SafePal biedt zowel een hardware wallet als een applicatie voor het beheer van cryptovaluta. Op 16 februari verscheen in de Mozilla extensie-store een extensie genaamd "Safepal Wallet" die van "safepal" afkomstig zou zijn. In werkelijkheid ging het om een malafide extensie die gegevens probeert te stelen waarmee de echte SafePal Wallet van de gebruiker kan worden gestolen. Al maanden geleden verschenen er reacties dat de extensie een scam was. Recentelijk meldde een gebruiker op het Mozilla-forum hoe hij de Firefox-extensie had geïnstalleerd en met zijn gegevens was ingelogd. Niet veel later was de inhoud van zijn echte SafePal Wallet, naar verluidt ter waarde van 4.000 dollar, gestolen. Vorige week meldde een andere gebruiker op Twitter hoe ook hij via de malafide extensie is bestolen. De zogenaamde SafePal-extensie was door 95 mensen geïnstalleerd. De extensie is niet meer in de extensie-store te vinden. Wel staat die nog in de Google-cache. Mozilla biedt via addons.mozilla.org gecontroleerde extensies, herkenbaar aan het label 'Recommended', en extensies die dit label niet hebben. Bij deze laatste categorie extensies toont Mozilla een waarschuwing dat de veiligheid van de extensie niet actief door Mozilla is gecontroleerd en gebruikers de extensie moeten vertrouwen voordat ze die installeren. SafePal Wallet biedt daarnaast geen browser-extensie aan. bron: https://www.security.nl

VMware waarschuwt organisaties voor actief misbruik van een kritieke kwetsbaarheid in vCenter Server waardoor aanvallers systemen op afstand volledig kunnen overnemen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. Een uploadkwetsbaarheid in de Analytics-service van vCenter maakt het mogelijk voor aanvallers om willekeurige code op kwetsbare servers uit te voeren. Op een schaal van 1 tot en met 10 wat betreft de impact is het beveiligingslek, aangeduid als CVE-2021-22005, met een 9,8 beoordeeld. "De gevolgen van deze kwetsbaarheid zijn ernstig en het is slechts een kwestie van tijd, waarschijnlijk minuten na de aankondiging, voordat er werkende exploits verschijnen", aldus VMware op 21 september. Het bedrijf bevestigt nu dat er inderdaad aanvallen plaatsvinden. Om misbruik van de kwetsbaarheid te kunnen maken moet een aanvaller toegang tot kwetsbare servers hebben. Door het uploaden van een speciaal geprepareerd bestand is het vervolgens mogelijk voor een aanvaller om willekeurige code op de server uit te voeren. Securitybedrijf Bad Packets meldt dat aanvallers gebruikmaken van een proof-of-concept exploit die vorige week verscheen. Volgens het Digital Trust Center van het ministerie van Economische Zaken leent de kwetsbaarheid "zich uitstekend" voor potentiële ransomware-aanvallen. VMware stelt dat het beveiligingslek "directe aandacht" van organisaties vereist. Eerder dit jaar werd een ander beveiligingslek in vCenter ook al actief misbruikt door aanvallers. bron: https://www.security.nl

Microsoft heeft een nieuwe beveiligingsfeature voor Exchange aangekondigd waardoor het automatisch en zonder tussenkomst van de eigenaar noodoplossingen op mailservers installeert om systemen zo tegen aanvallen te beschermen. Organisaties kunnen de beveiligingsmaatregel wel uitschakelen. Volgens het het techbedrijf is het belangrijk dat organisaties hun Exchange-servers up-to-date houden. In de praktijk blijkt dat echter niet te gebeuren. Op basis van contact met klanten stelt Microsoft dat organisaties een eenvoudige, geautomatiseerde oplossing willen die hun on-premise Exchange-servers beschermt, zeker wanneer er geen aparte it-afdeling is voor het uitrollen van kritieke beveiligingsupdates. De Exchange Emergency Mitigation van Microsoft moet hiervoor nu gaan zorgen. In het geval van een actief aangevallen kwetsbaarheid zal deze feature automatisch een mitigatie installeren die de server tegen aanvallen moet beschermen. De Exchange Emergency Mitigation controleert elk uur of er nieuwe mitigaties beschikbaar zijn. Microsoft benadrukt dat Exchange Emergency Mitigation bedoeld is als tijdelijke maatregel voor klanten totdat zij de beveiligingsupdate hebben kunnen installeren die de aangevallen kwetsbaarheid in kwestie verhelpt. De nieuwe beveiligingsfeature is dan ook geen vervanging voor het installeren patches, aldus Microsoft. "Maar het is de snelste en eenvoudigste manier om voor het installeren van updates risico's voor on-premise Exchange-servers te mitigeren." De beveiligingsfeature zal met de installatie van de September 2021 Cumulative Update automatisch worden geïnstalleerd. Organisaties hebben echter de optie om die uit te schakelen. In plaats van de Exchange Emergency Mitigation kan er dan voor worden gekozen om de Exchange On-premises Mitigation Tool (EOMT) te draaien. Via deze handmatig uitgevoerde tool is het ook mogelijk om beschikbare mitigaties te installeren. bron: https://www.security.nl

Nas-systemen van fabrikant QNAP zijn door twee kritieke kwetsbaarheden op afstand over te nemen. Het gaat om twee beveiligingslekken in QVR, een videosurveillancetool van QNAP, die command injection mogelijk maken waardoor een aanvaller willekeurige commando's op het nas-systeem kan uitvoeren. Volgens QNAP zijn de kwetsbaarheden aanwezig in verschillende nas-systemen die end-of-life zijn en niet meer worden ondersteund. De fabrikant heeft een update voor QVR uitgebracht waarmee de problemen zijn verholpen. Gebruikers wordt aangeraden om te updaten naar QVR 5.1.5 build 20210803 of nieuwer. bron: https://www.security.nl

Ongewenste software maakt gebruik van een nieuwe methode met opzettelijk ongeldige digitale handtekeningen om detectie door beveiligingssoftware te omzeilen, zo stelt Google. Digitale handtekeningen garanderen de integriteit van een gesigneerd bestand en bevatten daarnaast informatie over de identiteit van de ondertekenaar. Google ontdekte dat ongewenste aangeduid als "OpenSUpdater" sinds halverwege augustus van ongeldige digitale handtekeningen gebruikmaakt om detectie te voorkomen. De digitale handtekeningen worden door Windows als geldig gezien, maar kunnen niet door OpenSSL-code worden gedecodeerd of gecontroleerd. Beveiligingssoftware die van OpenSSL gebruikmaakt om informatie over de digitale handtekening uit te lezen zal de gebruikte encodering als ongeldig bestempelen. De parser staat de gebruikte encodering echter toe, waardoor de digitale handtekening van het bestand legitiem en geldig lijkt. Google stelt dat dit de eerste keer is dat het aanvallers deze techniek ziet gebruiken om detectie te voorkomen terwijl de geldigheid van de digitale handtekening bewaard blijft. Microsoft is inmiddels over de gebruikte tactiek ingelicht. OpenSUpdater downloadt allerlei andere verdachte programma's op computers. Aangezien OpenSUpdater aanwezig is in gekraakte games en andere dubieuze software adviseert Google om alleen software van betrouwbare bronnen te downloaden en installeren. bron: https://www.security.nl

In recente exemplaren van de REvil-ransomware is een backdoor aangetroffen waarmee de ransomwaregroep bestanden kan ontsleutelen. Mogelijk om zo partners op te lichten, zo stelt onderzoeker Yelisey Boguslavskiy van securitybedrijf Advanced Intelligence. REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. REvil stelt dat partners zeventig procent van het losgeld krijgen. Via de backdoor kan de REvil-groep de onderhandelingen met een slachtoffer overnemen en zo zeventig procent van het losgeld verkrijgen dat eigenlijk naar de partner had moeten gaan. Volgens Boguslavskiy heeft de REvil-groep in het verleden ook van dubbele chats gebruikgemaakt. Via de chat kunnen slachtoffers onderhandelden met de REvil-partner. Op een belangrijk moment tijdens de onderhandeling wisselde de REvil-groep de chat van de partner, waarbij de REvil-groep zich voordeed als slachtoffer en de onderhandelingen zonder te betalen stopte. Aan de andere kant zette de REvil-groep de chat met het echte slachtoffer voort en kon zo het volledige losgeld opstrijken, aldus de onderzoeker. Boguslavskiy stelt in een LinkedIn-bericht dat de nu ontdekte backdoor mogelijk een zelfde doel dient, aangezien het de mogelijkheid biedt om bestanden te ontsleutelen als de onderhandelingen zijn afgerond. In de nieuwste exemplaren is de backdoor echter weer verwijderd. Mogelijk is dit gedaan om te voorkomen dat bijvoorbeeld securityteams of beveiligingsonderzoekers bestanden ontsleutelen. Recentelijk presenteerde antivirusbedrijf Bitdefender een gratis decryptietool voor alle REvil-slachtoffers tot 13 juli van dit jaar. Boguslavskiy laat tegenover Threatpost weten dat criminelen nu denken dat de virusbestrijder de backdoorsleutel heeft bemachtigd die het voor de decryptietool gebruikte. Bitdefender stelde dat het samen met een niet nader genoemde opsporingsdienst de decryptietool heeft ontwikkeld. bron: https://www.security.nl

Verschillende vormen van cybercrime worden als een service aangeboden en phishing is er daar één van. Microsoft ontdekte onlangs een phishing-as-a-service operatie die bij één enkele aanval 300.000 unieke subdomeinen gebruikte. Een tactiek die volgens het techbedrijf steeds populairder wordt bij phishingaanvallen. De phishingdienst heet BulletProofLink en biedt klanten een abonnement van 800 dollar per maand. Ook kan er per phishingaanval worden betaald. Als onderdeel van het abonnement krijgen klanten hosting, phishingtemplates en een helpdesk. De phishingtemplates die voor de phishingsites worden gebruikt sturen ingevulde gebruikersnamen en wachtwoorden niet alleen door naar de klant, maar ook naar de phishing-as-a-service aanbieder, die zodoende dubbel aan de klant verdient. Een volgens Microsoft interessant onderdeel van de campagne is een techniek die het "infinite subdomain abuse" noemt. Hierbij weten aanvallers de dns-instellingen van een domein aan te passen of wanneer een gecompromitteerde domeinnaam van wildcard subdomeinen gebruikmaakt. Hierdoor kunnen aanvallers een oneindig aantal subdomeinen aanmaken en zo voor elke ontvanger van de phishingmail een unieke url creëren. Microsoft stelt dat de techniek steeds populairder onder aanvallers wordt. In plaats van te werken met een groot aantal eenmalig te gebruiken domeinnamen, is er een onbeperkt aantal subdomeinen aan te maken dat naar een klein aantal phishingpagina's hoeft door te verwijzen. Daarnaast hoeft de website zelf niet gecompromitteerd te worden maar alleen de dns-instellingen. Verder kan het voor bepaalde filters een probleem zijn die alleen naar de exacte url kijken. bron: https://www.security.nl

De makers van de Brave-browser hebben een nieuwe feature toegevoegd waardoor gebruikers nu direct vanuit de browser zonder aanvullende extensies of software kunnen videobellen. Daarbij staat vooral de privacy van gebruikers centraal, aldus de ontwikkelaars. "Veel andere videobelproviders, waaronder Zoom, monitoren gesprekken, metadata en afbeeldingen, en de records van die data kunnen zonder toestemming worden verkocht of gedeeld", stelt Brave. Brave Talk, zoals de videobelfunctie wordt genoemd, biedt verschillende encryptielagen wat meeluisteren moet voorkomen. Daarnaast slaan de Brave-servers geen metadata op. "Dus gesprekken, afbeeldingen en activiteiten worden nooit vastgelegd of zonder toestemming van de gebruiker gedeeld", zo laat de browserontwikkelaar weten. Brave Talk maakt gebruik van de opensourcevideobelsoftware Jitsi. De videobelfunctie is gratis te gebruiken voor een-op-eengesprekken. Voor gesprekken met drie of meer mensen moet zeven dollar per maand worden betaald. Deze premiumversie biedt wel meer opties, waaronder het opnemen van gesprekken, ondersteuning voor honderden deelnemers en tools voor het hosten van gesprekken. bron: https://www.security.nl

Een bug in de Autodiscover-feature van Microsoft Exchange maakt het mogelijk om inloggegevens voor Windows-domeinen te onderscheppen. Onderzoekers van securitybedrijf Guardicore stellen dat ze op deze manier 372.000 inloggegevens voor Windows-domeinen hebben bemachtigd en bijna 97.000 inloggegevens afkomstig van Microsoft Outlook, mobiele e-mailclients en andere applicaties die met Exchange-servers communiceren. Autodiscover is een protocol dat Microsoft Exchange gebruikt voor het automatisch configureren van e-mailclients zoals Microsoft Outlook. Het moet het eenvoudig voor gebruikers maken om hun Outlook-client in te stellen. Alleen het opgeven van een gebruikersnaam en wachtwoord is voldoende, waarna het protocol de rest van de configuratie afhandelt. De client probeert hiervoor verbinding te maken met een Autodiscover-url, die gebaseerd is op het e-mailadres van de gebruiker. Is het e-mailadres voorbeeld@example.com, dan zal de client verschillende Autodiscover-url's proberen, zoals autodiscover.example.com en example.com/Autodiscover. Wanneer deze url's niet worden gevonden, omdat de organisatie van de gebruiker die niet heeft ingesteld, maakt de client verbinding met Autodiscover.com, ook al staat dit los van het domein van de gebruiker, namelijk example.com. De eigenaar van dit Autodiscover.com ontvangt zo alle requests voor het oorspronkelijke domein. Guardicore registreerde verschillende Autodiscover-domeinen, zoals Autodiscover.es, Autodiscover.fr en Autodiscover.uk. Hierdoor ontvingen de onderzoekers honderdduizenden inloggegevens van gebruikers die hun e-mailclients wilden instellen, maar geen verbinding konden maken met het Autodiscover-endpoint van hun organisatie. De gegevens waren onder andere afkomstig van banken, energiecentrales, logistieke bedrijven, voedselproducenten en vastgoedondernemingen. Als oplossing adviseren de onderzoekers om onder andere Autodiscover-domeinen in de firewall te blokkeren en http-authenticatie uit te schakelen. Microsoft laat in een reactie weten dat het niet van tevoren over het probleem was ingelicht en stappen zal nemen om gebruikers te beschermen. bron: https://www.security.nl

VMware waarschuwt organisaties voor een kritieke kwetsbaarheid in vCenter Server en verwacht dat misbruik op zeer korte termijn zal plaatsvinden. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. Een uploadkwetsbaarheid in de Analytics-service van vCenter maakt het mogelijk voor aanvallers om kwetsbare servers over te nemen. Op een schaal van 1 tot en met 10 wat betreft de impact is het beveiligingslek, aangeduid als CVE-2021-22005, met een 9,8 beoordeeld. "De gevolgen van deze kwetsbaarheid zijn ernstig en het is slechts een kwestie van tijd, waarschijnlijk minuten na de aankondiging, voordat er werkende exploits verschijnen", aldus VMware. Om misbruik van de kwetsbaarheid te kunnen maken moet een aanvaller toegang tot kwetsbare servers hebben. Door het uploaden van een speciaal geprepareerd bestand is het vervolgens mogelijk voor een aanvaller om willekeurige code op de server uit te voeren. Volgens VMware vereist de kwetsbaarheid "directe aandacht" van organisaties. Eerder dit jaar werd een ander beveiligingslek in vCenter actief misbruikt door aanvallers. bron: https://www.security.nl

Microsoft kondigde vorige week aan dat gebruikers voortaan zonder wachtwoord op hun account kunnen inloggen, mede omdat wachtwoorden kwetsbaar zijn, maar het is juist Microsoft dat wachtwoorden kapot heeft gemaakt, zegt Kyle Rankin, chief security officer (cso) van computer- en smartphonefabrikant Purism. Rankin stelt dat Microsoft met slecht wachtwoordbeleid voor Active Directory ervoor heeft gezorgd dat gebruikers uiteindelijk slechte wachtwoordkeuzes maakten. Via Active Directory kunnen systeembeheerders werkstations beheren en beleid vanuit een centrale locatie doorvoeren. "Het eerste wachtwoord dat veel mensen moesten onthouden was degene waarmee ze op hun werkstation inlogden, dus Microsofts wachtwoordbeleid werd gauw de gouden standaard voor wachtwoorden overal, niet alleen op werk", stelt Rankin. Via Active Directory was het eenvoudig voor organisaties om Microsofts aanbeveling om wachtwoorden elke maand of kwartaal te veranderen door te voeren. Deze "best practices" van Microsoft, zoals het periodiek wijzigen van wachtwoorden en eisen voor wachtwoordcomplexiteit, zorgden ervoor dat gebruikers wachtwoorden kozen die eenvoudig door aanvallers zijn te raden, gaat de Purism-cso verder. "Systeembeheerders volgden Microsofts best practices zonder vragen en gaven gebruikers, niet het beleid, de schuld van slechte wachtwoorden die het gevolg waren", merkt Rankin op. Hij stelt dat veel systeembeheerders dezelfde wachtwoordregels voor Active Directory ook toepasten voor online accounts. Er werd echter niet stilgestaan bij de gevolgen die dit had voor gebruikers en hoe gebruikers deze regels zouden volgen. Rankin laat weten dat er nog een reden is dat Microsoft voor een wachtwoordloze toekomst kiest. Namelijk dat deze toekomst afhankelijk is van het vertrouwen in de hardware en leverancier van het besturingssysteem. Zo vereist Windows 11 de aanwezigheid van een TPM (Trusted Platform Module). "Deze vereiste legt nog meer controle over je hardware in de handen van Microsoft. Het is een volgende stap richting het net zo beperkt maken van desktops en laptops als telefoons zijn", waarschuwt Rankin. "In de naam van security en gemak zal je computer steeds minder van jou zijn." bron: https://www.security.nl

Een onveilig updateproces in verschillende routers van fabrikant Netgear maakt het voor aanvallers mogelijk om op afstand willekeurige code met rootrechten uit te voeren. Netgear heeft inmiddels firmware-updates uitgebracht om de kwetsbaarheid te verhelpen. Het beveiligingslek is aanwezig in de Circle Parental Control Service die voor ouderlijk toezicht wordt gebruikt. Ouderlijk toezicht staat standaard niet ingeschakeld op de kwetsbare Netgear-routers, maar het updateproces van de Circle Parental Control Service wel. Het updateproces maakt via het onbeveiligde http verbinding met Netgear voor het downloaden van database-updates. Daarnaast zijn deze updates niet digitaal gesigneerd. Een aanvaller tussen de router en het internet kan hierdoor malafide updates aanbieden die de router zal installeren. De bestanden die op deze manier kunnen worden overschreven draaien als root, waardoor ook de code van de aanvaller met rootrechten draait. "Met roottoegang tot een router kan een aanvaller al het verkeer lezen en aanpassen", aldus beveiligingsonderzoeker Adam Nichols. Netgear werd in juli van dit jaar gewaarschuwd en kwam afgelopen maandag met updates voor de R6400v2, R6700, R6700v3, R6900, R6900P, R7000, R7000P, R7850, R7900, R8000 en RS400. Gebruikers wordt opgeroepen de firmware-updates zo snel mogelijk te installeren. "Deze remote code execution-kwetsbaarheid blijft aanwezig als je niet alle stappen doorloopt. Netgear is niet aansprakelijk voor gevolgen die voorkomen hadden kunnen worden door de aanbevelingen in deze notificatie te volgen", aldus de fabrikant. bron: https://www.security.nl

De privégegevens van meer dan 106 miljoen internationale bezoekers van Thailand was voor iedereen op internet via een open onbeveiligde database toegankelijk. Het gaat om namen, paspoortnummers, aankomstdatum, geslacht, visumtype, verblijfsstatus en aankomstkaartnummer die in de tweehonderd gigabyte grote Elasticsearch-database stonden. Dit is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. De database was op 20 augustus door zoekmachine Censys geïndexeerd. Drie dagen later ontdekte beveiligingsonderzoeker Bob Diachenko van Comparitech de database en waarschuwde de Thaise overheid. De database werd vervolgens beveiligd. Het ip-adres van de database is nog steeds openbaar, maar de database zelf is vervangen door een honeypot. Volgens de Thaise autoriteiten is de data niet door ongeautoriseerde partijen benaderd. bron: https://www.security.nl

Een kwetsbaarheid in routers van de Britse telecomprovider Virgin Media maakt het mogelijk om het echte ip-adres van vpn-gebruikers te achterhalen. Virgin Media werd op 20 oktober 2019 ingelicht maar heeft nog altijd geen update uitgerold. Wel vroeg het bedrijf aan de onderzoekers van Fidus Information Security die de kwetsbaarheid ontdekten om publicatie over het probleem meer dan een jaar uit te stellen. De onderzoekers van het securitybedrijf ontdekten dat het via een dns-rebinding-aanval mogelijk is om het echte ip-adres van vpn-gebruikers te achterhalen. Het bezoeken van een malafide website door een vpn-gebruiker is hiervoor voldoende. Bij dns-rebinding wordt de browser van de gebruiker gebruikt om met apparaten op het thuisnetwerk te communiceren. In dit geval blijkt het mogelijk voor een malafide website om via de browser van de gebruiker de Virgin Media-router te benaderen en daar het echte ip-adres op te vragen. De aanval werkt tegen allerlei vpn-providers. Sommige vpn-providers blokkeren per ongeluk toegang tot het lokale ip-adres wat de aanval voorkomt, aldus de onderzoekers. Wanneer het blolkkeren van lokaal netwerkverkeer wordt uitgeschakeld, iets wat veel mensen doen zo laten de onderzoekers weten, werkt de aanval weer. "De privacygevolgen zijn vrij ernstig vanwege de aard van de kwetsbaarheid", aldus de onderzoekers tegenover The Daily Swig. Gebruikers merken er namelijk niets van. "In theorie kan het op elke populaire, mogelijk gecompromitteerde website worden gebruikt om gebruikers te ontmaskeren die van een vpn gebruikmaken." Volgens Virgin Media speelt het probleem alleen in bepaalde gevallen en is het risico voor klanten zeer klein. Virgin Media werd op 20 oktober 2019 over het probleem ingelicht. Op 21 februari 2020 kwamen Fidus Information Security en de telecomprovider overeen om bekendmaking van de kwetsbaarheid uit te stellen tot het eerste kwartaal van 2021. Daarna zochten de onderzoekers nog meerdere keren contact met Virgin Media, maar kregen naar eigen zeggen geen reactie. Virgin Media stelt aan een oplossing te werken. Wanneer die verschijnt is niet bekendgemaakt. De onderzoekers adviseren vpn-gebruikers om LAN-verkeer op het vpn te blokkeren. bron: https://www.security.nl

Mozilla is een nieuwe test onder Firefox-gebruikers gestart waarbij het Bing als standaard zoekmachine instelt. Op dit moment is Google bij de meeste Firefox-gebruikers nog de standaard zoekmachine. Mozilla heeft hiervoor een overeenkomst met Google gesloten. Deze overeenkomst werd vorig jaar nog verlengd door de Firefox-ontwikkelaar. Google zou Mozilla hiervoor naar schatting een bedrag van tussen de 400 miljoen en 450 miljoen dollar per jaar betalen. Als onderdeel van het huidige experiment wordt bij één procent van de Firefox-gebruikers op de desktop Microsoft Bing als standaard zoekmachine ingesteld. Het experiment is begin deze maand gestart en zal waarschijnlijk eind januari volgend jaar worden afgerond, zo laat Mozilla op de eigen website weten. De test werd ook op Twitter aangekondigd, waarbij wordt duidelijk gemaakt dat gebruikers de ingestelde zoekmachine ook zelf weer kunnen veranderen. Waarom Mozilla de test met Bing als zoekmachine uitvoert is onbekend. bron: https://www.security.nl

Ip-camera's van fabrikant Hikvision zijn door een ernstig beveiligingslek op afstand over te nemen, waarna het achterliggende netwerk kan worden aangevallen. Hikvision heeft firmware-updates uitgebracht. Daarnaast is de kwetsbaarheid ook aanwezig in ip-camera's die Hikvision fabriceert maar die andere fabrikanten onder hun eigen naam aanbieden. Het is onbekend of voor deze camera's updates beschikbaar zijn. De kwetsbaarheid is aanwezig in de webserver van de ip-camera's en wordt door een onvoldoende controle van de invoer veroorzaakt. Door het versturen van speciaal geprepareerde berichten is het mogelijk voor een ongeauthenticeerde aanvaller om een onbeperkte rootshell te krijgen. Hiermee heeft de aanvaller verdere toegang dan de gebruiker zelf, die alleen toegang tot een "protected shell" heeft. De enige voorwaarde om de aanval uit te voeren is dat een aanvaller toegang tot de ip-camera heeft. Er is geen wachtwoord of interactie van de gebruiker vereist. Via de rootshell heeft de aanvaller volledige controle over de ip-camera en kan zo meekijken. Daarnaast is het mogelijk om vanaf de gecompromitteerde camera het achterliggende netwerk aan te vallen, aldus een beveiligingsonderzoeker met het alias "Watchful IP" die het probleem ontdekte en rapporteerde. Volgens de onderzoeker is het probleem aanwezig in Hikvision-firmware die teruggaat tot 2016. "Gegeven de aanwezigheid van deze camera's op gevoelige locaties loopt mogelijk de vitale infrastructuur ook risico", waarschuwt hij. De kwetsbaarheid werd op 21 juni aan Hikvision gerapporteerd. De fabrikant kwam afgelopen zondag met een beveiligingsbulletin waarin het de aanwezigheid de kwetsbaarheid en beschikbaarheid van firmware-updates aankondigt. bron: https://www.security.nl

Dat begreep ik, bedoelde ook als tweede scherm. Zal voortaan iets duidelijker zijn, excuus.

En zo zie je maar weer: "Doel heiligt de middelen". Mooi dat deze oplossing werkt en...eh. voor de komende tijd veel kijkplezier

Zo te zien is een van de backlight-modules of led's kapot. Advies hier is inderdaad een nieuw beeldscherm. Die zijn tweede hands in kringloopwinkels of winkels als Used-Products voor weinig te krijgen.

Slachtoffers van de REvil-ransomware kunnen dankzij een gratis decryptietool hun bestanden nu ontsleutelen. Dat meldt antivirusbedrijf BitDefender, dat de tool samen met een opsporingsinstantie ontwikkelde. De tool werkt bij alle aanvallen met de REvil-ransomware die voor 13 juli van dit jaar zijn uitgevoerd. Op die datum gingen verschillende websites van de REvil-groep offline, waardoor getroffen slachtoffers die geen losgeld hadden betaald hun bestanden niet meer konden herstellen. Deze slachtoffers kunnen via de decryptietool nu alsnog hun bestanden terugkrijgen. De REvil-groep was onder andere verantwoordelijk voor de wereldwijde ransomware-aanval via de software van Kaseya. Bitdefender stelt dat het onderzoek in deze zaak nog gaande is en het geen verdere details kan geven. Er werd echter besloten dat het belangrijk is om de decryptor nu al beschikbaar te stellen nog voordat het onderzoek is afgerond. bron: https://www.security.nl

Routerfabrikant MikroTik waarschuwt router-eigenaren voor een botnet dat gecompromitteerde routers inzet voor het uitvoeren van ddos-aanvallen. Volgens securitybedrijf Qrator bestaat het Meris-botnet, dat mede werd gebruikt voor een grootschalige aanval tegen het Russische internetbedrijf Yandex, mogelijk uit 200.000 besmette routers. MikroTik stelt dat deze routers al in 2018 door middel van een beveiligingslek zijn gecompromitteerd. De routerfabrikant bracht een beveiligingsupdate voor de kwetsbaarheid uit die de aanvallers destijds gebruikten. "Het dichten van de kwetsbaarheid beschermt deze routers niet direct. Als iemand je wachtwoord in 2018 heeft bemachtigd zal een upgrade niet helpen. Je moet ook je wachtwoord wijzigen en je firewall controleren dat die geen remote toegang aan onbekende partijen geeft, en kijk naar de aanwezigheid van scripts die je niet hebt gemaakt", aldus MikroTik in de waarschuwing. De routerfabrikant zegt dat het alle gebruikers van RouterOS, het besturingssysteem van de routers, heeft geprobeerd te benaderen. Met veel van deze gebruikers is echter nooit contact geweest en deze partijen monitoren ook niet hun routers, aldus MikroTik. Dat zegt ook aan andere oplossingen te werken. Voor zover bekend maakt het botnet geen gebruik van nieuwe kwetsbaarheden voor het compromitteren van MikroTik-routers. bron: https://www.security.nl

Gebruikers met een Microsoft-account kunnen voortaan zonder wachtwoord inloggen, zo heeft Microsoft aangekondigd. In plaats van een wachtwoord kan er worden ingelogd met de Microsoft Authenticator-app, Windows Hello, een fysieke beveiligingssleutel of een verificatiecode die naar telefoon of e-mail wordt gestuurd. Volgens Microsoft zijn zwakke wachtwoorden de voornaamste vector voor aanvallen op zakelijke en consumentenaccounts. Het bieden van een alternatieve inlogmethode zou gebruikers meer bescherming moeten bieden, aldus Microsoft. Gebruikers die het wachtwoord van hun Microsoft-account verwijderen kunnen het later altijd weer toevoegen. Het wachtwoordloos inloggen wordt de komende weken uitgerold. bron: https://www.security.nl

Een kritieke kwetsbaarheid in verschillende clients van het versleutelde chatplatform Matrix maakt het mogelijk voor een aanvaller om end-to-end versleutelde berichten te ontsleutelen. Door de kwetsbaarheid kan een aanvaller in bepaalde gevallen encryptiesleutels bemachtigen en daarmee eerder verstuurde versleutelde berichten te lezen. Het probleem wordt veroorzaakt door een logische fout in de room key sharing functionaliteit van Matrix. Deze feature zorgt ervoor dat een Matrix-client die de encryptiesleutels mist voor het ontsleutelen van een verstuurd bericht die sleutels aan de afzender kan vragen. Bij dit verzoekt blijkt dat de identiteit van de aanvrager niet goed wordt gecontroleerd. Hierdoor is het mogelijk om via een gecompromitteerd account het apparaat te imiteren dat de encryptiesleutels vraagt. Wanneer gebruikers zich in een versleutelde chatroom met een malafide homeserver bevinden, kan de beheerder van deze server zich als de gebruikers in de chatroom voordoen om vervolgens berichten te lezen die door gebruikers in de chatroom zijn verstuurd. Volgens Matrix zou een aanvaller naast het bemachtigen van de encryptiesleutels ook het account van de ontvanger van de berichten moeten compromitteren. Vervolgens is het mogelijk om de eerder verstuurde versleutelde berichten te lezen. De Matrix-ontwikkelaars benadrukken dat het hier niet om een kwetsbaarheid in het Matrix-protocol gaat, maar een lek in de implementatie. Gebruikers wordt dan ook aangeraden om hun clients te updaten. Het gaat onder andere om Element (Web/Desktop/Android), FluffyChat, Nheko, Cinny en SchildiChat. bron: https://www.security.nl

Tijdens de patchcyclus van september heeft Microsoft een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Windows. De kwetsbaarheid, CVE-2021-40444, bevindt zich in MSHTML, de door Microsoft ontwikkelde browser-engine van Internet Explorer. MSHTML wordt ook door Office-applicaties gebruikt voor het weergeven van webcontent in documenten. Bij de waargenomen aanvallen sturen aanvallers hun doelwit een Microsoft Office-bestand. Wanneer de gebruiker dit document opent wordt er een kwaadaardig ActiveX-control geladen dat het systeem uiteindelijk met malware infecteert. De kwetsbaarheid werd begin september door verschillende onderzoekers aan Microsoft gerapporteerd. Als tijdelijke oplossing kwam het techbedrijf met een workaround, maar nu is er ook een patch beschikbaar. In totaal verhielp Microsoft gisterenavond 66 kwetsbaarheden, waarvan er drie als kritiek zijn aangemerkt. Het gaat onder andere om een lek in de WLAN AutoConfig Service van Windows waardoor een aanvaller willekeurige code op systemen kan uitvoeren. Voorwaarde is wel dat een aanvaller op hetzelfde netwerk zit als het doelwit. "Dit zou zeer bruikbaar zijn in een coffeeshop waar meerdere mensen een onbeveiligd wifi-netwerk gebruiken", zegt Dustin Childs van het Zero Day Initiative. Er is verder geen interactie van de gebruiker vereist. De updates worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl