Captain Kirk

Gebruikers van Google Chrome zijn gewaarschuwd voor twee zerodaylekken in de browser die actief zijn gebruikt bij aanvallen. Google heeft inmiddels beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen. Het totaal aantal verholpen zerodaylekken dit jaar komt daarmee op tien. De kwetsbaarheden, aangeduid als CVE-2021-30632 en CVE-2021-30633 zijn aanwezig in V8 en de Indexed DB API. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Indexed DB is een programmeerinterface voor de opslag van data binnen de browser. De impact van beide beveiligingslekken is als "high" beoordeeld. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Details over de waargenomen aanvallen, zoals het aantal slachtoffers, wanneer de aanvallen plaatsvonden en hoe, zijn niet door Google gegeven. Het techbedrijf werd op 8 september door een anonieme beveiligingsonderzoeker over de kwetsbaarheden ingelicht. Gebruikers krijgen het advies om te updaten naar Google Chrome 93.0.4577.82, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen. bron: https://www.security.nl

WordPress, het meestgebruikte platform voor websites op internet, heeft een beveiligingsupdate uitgebracht die drie kwetsbaarheden verhelpt. Het gaat om cross-site scripting in de block editor, een kwetsbaarheid in de REST API en een beveiligingslek in de Lodash-library. Verdere details zijn echter niet gegeven. De problemen zijn aanwezig in WordPress 5.4 tot en met 5.8. Gebruikers wordt aangeraden om te updaten naar WordPress 5.8.1. Deze versie verhelpt ook nog zestig niet-security gerelateerde bugs. Omdat het om een "security release" gaat adviseert het WordPress-ontwikkelteam om websites meteen te updaten. Dit kan handmatig of via de automatische updatefunctie. Volgens cijfers van W3Techs maakt 42,5 procent van alle websites op internet gebruik van WordPress. Het het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat het mogelijk is om via de kwetsbaarheden WordPress-websites over te nemen. bron: https://www.security.nl

Op internet zijn wachtwoorden en gebruikersnamen voor 87.000 Fortigate vpn-servers gelekt, zo waarschuwt securitybedrijf Fortinet. De inloggegevens konden worden gestolen door middel van een kwetsbaarheid waarvoor op 24 mei 2019 een beveiligingsupdate verscheen. Securitybedrijf Advanced Intelligence maakte eerder al melding van de gelekte lijst met wachtwoorden. Het beveiligingslek, aangeduid als CVE-2018-13379, is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. Door middel van path traversal kan een ongeauthenticeerde aanvaller systeembestanden downloaden. Op deze manier kan een aanvaller de inloggegevens van ingelogde vpn-gebruikers bemachtigen. Exploits die misbruik van het beveiligingslek maken zijn al bijna twee jaar beschikbaar. Desondanks zijn er nog altijd ongepatchte Fortigate-servers op internet te vinden. De aanvaller die de wachtwoordenlijst online plaatste kon via het beveiligingslek de inloggegevens van een groot aantal vpn-accounts bemachtigen. Hoewel de servers in kwestie inmiddels gepatcht zijn, blijven ze kwetsbaar als gestolen wachtwoorden niet zijn gewijzigd, aldus Fortinet. Het securitybedrijf herhaalt het advies dat organisaties die kwetsbare versies draaien ook als onderdeel van de upgrade een wachtwoordreset van alle accounts moeten uitvoeren. Hoewel er al geruime tijd een beveiligingsupdate voor de kwetsbaarheid beschikbaar is zoeken aanvallers nog altijd naar kwetsbare servers, meldt securitybedrijf Bad Packets. "Met de vpn-inloggegevens kan een kwaadwillende netwerktoegang krijgen en vervolgens kwaadaardige software installeren, data stelen of (gerichte) ransomware-aanvallen uitvoeren", zo laat het Digital Trust Center van het ministerie van Economische Zaken weten. bron: https://www.security.nl

Een beveiligingslek in Microsoft Azure Container Instances (ACI) maakte het mogelijk voor gebruikers om toegang tot de data van andere klanten te krijgen. De kwetsbaarheid is verholpen en volgens Microsoft is er geen misbruik van gemaakt. Wel wordt organisaties geadviseerd om bepaalde voorzorgsmaatregelen te nemen. Azure Container Instances is een managed service waarmee het mogelijk is om containers direct in de Microsoft Azure-cloud te draaien, zonder het gebruik van virtual machines. Onlangs werd Microsoft door een beveiligingsonderzoeker van securitybedrijf Palo Alto Networks gewaarschuwd voor een beveiligingslek in Azure ACI dat het mogelijk voor gebruikers maakt om toegang tot de data van andere klanten te krijgen. Details over het lek zijn niet gegeven. Hoewel er geen aanwijzingen van misbruik zijn heeft Microsoft klanten gewaarschuwd die mogelijk zijn getroffen door de activiteiten van de onderzoeker. Zij hebben het advies gekregen om alle belangrijke credentials die voor 31 augustus van dit jaar op het platform zijn gebruikt in te trekken. Klanten die geen Service Health Notification hebben ontvangen hoeven geen actie te ondernemen. bron: https://www.security.nl

Volgens Microsoft vinden veel organisaties, en dan met name kleine ondernemingen, het lastig om zich op een ransomware-aanval voor te bereiden. Aanleiding voor het techbedrijf om drie stappen te delen die helpen bij het voorkomen van ransomware. De eerste stap is het opstellen van een recoveryplan waarbij er geen losgeld wordt betaald. Organisaties moeten onder andere hun belangrijke data en systemen in kaart brengen en back-uppen, de back-ups beschermen en hersteltests uitvoeren waarbij alle systemen offline zijn. Ook raadt Microsoft aan om de recoveryplannen te printen of ergens veilig op te slaan, aangezien het geregeld voorkomt dat aanvallers deze documenten verwijderen. De tweede stap betreft het beperken van de schade die aanvallers kunnen aanrichten door de accounts van systeembeheerders te beschermen. Vaak proberen aanvallers deze accounts over te nemen zodat ze zich verder door het netwerk kunnen bewegen. Microsoft adviseert het gebruik van multifactorauthenticatie voor systeembeheerders en het monitoren van het gebruik van deze accounts. Als laatste en derde stap wordt aangeraden om het lastiger voor aanvallers te maken om binnen te komen. Zo moet de "security hygiëne" worden verbeterd door het aanvalsoppervlak te verkleinen en patchmanagement toe te passen. Verder moet er worden ingezet op bescherming, detectie en response. "Om de dreiging van ransomware tegen te gaan is het belangrijk om belangrijke assets, of het nu data of infrastructuur is, te identificeren en beveiligen, en klaar te zijn om die in het geval van een aanval te herstellen", zegt Microsofts Mark Simos. Hij stelt dat het belangrijk is dat de top van de organisatie hierbij betrokken is. bron: https://www.security.nl

Eigenaren van een ip-camera of beveiligingscamera van fabrikant Dahua zijn gewaarschuwd voor twee kwetsbaarheden waardoor een aanvaller zonder wachtwoord op de apparaten kan inloggen. Om grootschalig misbruik te voorkomen zal de onderzoeker die de problemen ontdekte details op 6 oktober openbaar maken, zodat gebruikers de tijd krijgen om de beschikbaar gestelde firmware-updates te installeren. In een beveiligingsbulletin stelt Dahua dat een aanvaller door het versturen van malafide datapakketjes de authenticatie kan omzeilen. De impact van de beveiligingslekken, aangeduid als CVE-2021-33044 en CVE-2021-33045, is op een schaal van 1 tot en met 10 met een 8,1 beoordeeld. Dahua heeft voor tientallen modellen beveiligingsupdates uitgebracht. Volgens de onderzoeker die de kwetsbaarheden ontdekte zijn echter ook fabrikanten kwetsbaar die de apparatuur van Dahua onder hun eigen naam aanbieden. bron: https://www.security.nl

Ondanks waarschuwingen van allerlei overheidsinstanties en actief misbruik zijn er nog altijd 8600 Confluence-servers vanaf het internet toegankelijk die een kritieke beveiligingsupdate missen, zo stelt Censys. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Een kwetsbaarheid in de software, aangeduid als CVE-2021-26084, maakt het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren en zo volledige controle over de server te krijgen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Op 25 augustus verscheen er een beveiligingsupdate voor de kwetsbaarheid. Sinds begin september maken aanvallers actief misbruik van de kwetsbaarheid. Zo werd een Confluence-server van softwareproject Jenkins overgenomen. Op 25 augustus waren er volgens Censys zo'n 14.600 Confluence-servers op het internet te vinden. Sindsdien zijn er zo'n zesduizend servers geüpdatet, wat inhodut dat er nog altijd 8600 Confluence-servers risico lopen om te worden aangevallen. bron: https://www.security.nl

Computerleverancier Purism biedt voortaan ook laptops en pc's waarop besturingssysteem QubesOS is geïnstalleerd. Qubes implementeert een "security by isolation" aanpak, wat het doet door verschillende programma's via virtualisatie van elkaar te scheiden. Als één programma wordt aangevallen heeft dit geen gevolgen voor de integriteit van de rest van het systeem. Daardoor zou het meer bescherming bieden dan veel huidige besturingssystemen. Purism bood klanten al een usb-stick om Qubes OS zelf te installeren. Het besturingssysteem bood namelijk geen installatiemodus voor fabrikanten. Daardoor was het niet mogelijk om Qubes OS vooraf te installeren met een lege encryptiesleutel voor het versleutelen van de harde schijf, waarbij de klant vervolgens zelf zijn passphrase kon instellen voor het ontsleutelen van de schijf. Wanneer Purism op verzoek van klanten Qubes OS vooraf installeerde werd de klant gevraagd om een passphrase op te geven of werd er een zwakke standaard passphrase ingesteld. Vervolgens moest elke klant worden begeleid om deze passphrase via de command-line te wijzigen. Deze aanpak was volgens Purism niet wenselijk, waardoor klanten het besturingssysteem zelf moesten installeren. Er is nu een oem-installatie van Qubes OS ontwikkeld die wel aan de eisen van Purism voldoet en het mogelijk maakt voor klanten om via de installatie-wizard hun eigen passphrase voor het versleutelen van de harde schijf in te stellen. Daardoor biedt Purism klanten vanaf nu ook de optie om hun laptop of pc te bestellen met Qubes OS vooraf geïnstalleerd. Purism is een computerleverancier die zich volledig richt op privacy, security en vrije software. bron: https://www.security.nl

Microsoft heeft een waarschuwing gegeven voor een zerodaylek in Internet Explorer waar actief via Office-documenten misbruik van wordt gemaakt. De kwetsbaarheid bevindt zich in MSHTML, de door Microsoft ontwikkelde browser-engine van Internet Explorer. MSHTML wordt ook door Office-applicaties gebruikt voor het weergeven van webcontent in documenten. Bij nu waargenomen aanvallen sturen aanvallers hun doelwit een Microsoft Office-bestand. Wanneer de gebruiker dit document opent wordt er een kwaadaardig ActiveX-control geladen dat het systeem uiteindelijk met malware infecteert. De kwetsbaarheid werd afgelopen zondag door een onderzoeker aan Microsoft gerapporteerd, hoewel meerdere onderzoekers het beveiligingslek bij het techbedrijf rapporteerden. De impact van de kwetsbaarheid, aangeduid als CVE-2021-40444, is op een schaal van 1 tot en met 10 met een 8,8 beoordeeld. Het beveiligingslek is aanwezig in alle ondersteunde versies van Windows. Een beveiligingsupdate is nog niet beschikbaar, maar Microsoft heeft wel een workaround. Die bestaat uit het uit uitschakelen van ActiveX-controls. Dit heeft tot gevolg dat nieuwe ActiveX-controls niet worden geïnstalleerd. Bestaande ActiveX-controls blijven echter gewoon werken. Daarnaast bieden Microsoft Defender Antivirus en Microsoft Defender for Endpoint bescherming tegen de kwetsbaarheid, aldus Microsoft. Verder zal Microsoft Office documenten afkomstig van het internet in Protected View of Application Guard voor Office openen, die beide de huidige aanvallen voorkomen. Verdere details over de nu waargenomen aanvallen zijn niet door het techbedrijf gegeven. bron: https://www.security.nl

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die onder andere websites automatisch over https laadt in plaats van http. Verder zijn er meerdere beveiligingslekken in de browser verholpen. Met Firefox 91 introduceerde Mozilla al een feature die ervoor zorgt dat websites in Private Browsing standaard via https worden geladen als er een https-versie beschikbaar is. Met de vandaag gelanceerde Firefox 92 maakt de browser gebruik van HTTPS Resource Records om te kijken of er een https-versie van de opgevraagde website beschikbaar is. Wanneer de gebruiker dan http heeft opgegeven of een http-link opent, en de website is ook via https bereikbaar, wordt automatisch de https-versie geladen. Verder zijn in Firefox 92 de certificaatwaarschuwingen aangepast. Certificaatwaarschuwingen kunnen voor verschillende redenen worden gegeven, zoals de tijd van de computer die niet goed staat ingesteld of een verlopen certificaat. Het kan echter ook gaan om een man-in-the-middle-aanval waarbij een aanvaller via een malafide tls-certificaat gegevens van de gebruiker probeert te stelen. Gebruikers krijgen dan ook het advies om certificaatwaarschuwingen nooit te negeren. Om deze waarschuwingen beter naar gebruikers toe te communiceren heeft Mozilla een aantal nieuwe ontwerpen ontwikkeld die voor een betere gebruikerservaring moeten zorgen. Daarnaast zijn er met Firefox 92 vijf kwetsbaarheden in de browser verholpen. Het gaat om verschillende geheugenlekken waarvan Mozilla aanneemt dat ze met voldoende moeite hadden kunnen worden misbruikt om willekeurige code uit te voeren. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Het OpenSSL-team heeft na drie jaar een nieuwe major release uitgebracht, namelijk OpenSSL 3.0.0. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. De vorige major release was OpenSSL 1.1.1 die op 11 september 2018 verscheen. In OpenSSL 3.0.0 is een groot aantal verbeteringen en aanpassingen doorgevoerd. Omdat het hier om een major release gaat zal elke applicatie die op dit moment een oudere OpenSSL-versie gebruikt op z'n minst opnieuw moeten worden gecompileerd om met de nieuwe versie te werken. Volgens de ontwikkelaars zullen de meeste applicaties gewoon met OpenSSL 3.0.0 overweg kunnen als deze applicaties eerder met OpenSSL 1.1.1 werkten. Het kan echter zijn dat er aanpassingen moeten worden doorgevoerd om bijvoorbeeld van de nieuwe features gebruik te kunnen maken, zoals de nu beschikbare FIPS-module. Providers Eén van de belangrijkste veranderingen is de introductie van een nieuw concept genaamd "providers". Providers zorgen ervoor dat implementaties van algoritmes beschikbaar zijn. Met OpenSSL 3.0.0 is het mogelijk om aan te geven welke providers er voor een applicatie moet worden gebruikt. Standaard biedt OpenSSL 3.0.0 vijf verschillende providers, waaronder FIPS. FIPS staat voor Federal Information Processing Standard (FIPS) en is een Amerikaanse standaard voor het goedkeuren van cryptografische modules. Een andere aanpassing betreft de beschikbare programmeerinterfaces. OpenSSL bood altijd twee soorten API's voor het aanroepen van cryptografische algoritmes. Het ging om "high" en een "low" level API's. Het gebruik van low level API's werd al informeel afgeraden door het OpenSSL-ontwikkelteam. In OpenSSL 3.0.0 zijn alle low level API's nu afgeschreven. Applicatieontwikkelaars kunnen de API's nog wel binnen hun applicatie gebruiken, maar zullen tijdens het compileren een waarschuwing kunnen krijgen. Daarnaast kunnen de API's uit toekomstige OpenSSL-versies verdwijnen. Voor vorige versies van OpenSSL waren er twee licenties van toepassing, namelijk de OpenSSL- en SSLeay-licenties. Die zijn voor OpenSSL 3.0.0 vervangen door de Apache v2-licentie. bron: https://www.security.nl

Het European Telecommunications Standards Institute (ETSI) heeft een nieuwe standaard gepubliceerd voor het testen van de veiligheid van Internet of Things (IoT)-apparatuur (pdf). IoT-fabrikanten kunnen de standaard gebruiken om IoT-apparaten vanaf het begin veilig te ontwikkelen. Daarnaast biedt het een methode om te bepalen of apparaten of een minimum veiligheidsniveau beschikken. Er bestond al een standaard voor de veiligheid van IoT-apparaten, maar de testspecificatie ontbrak, aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, dat bij de ontwikkeling van de standaard betrokken was. De testspecificatie kan ook dienen als basis voor een gepland it-beveiligingskeurmerk. IoT-fabrikanten die aan de specificatie voldoen krijgen dan het keurmerk en kunnen zo onder andere op veiligheid concurreren is het idee. De testspecificatie kijkt mede naar de aanwezigheid van universele standaardwachtwoorden, de manier waarop voorgeïnstalleerde wachtwoorden worden gegenereerd, de, gebruikte encryptie voor het authenticatiemechanisme, bescherming tegen bruteforce-aanvallen, het updatemechanisme, of fabrikanten een beleid hebben voor het melden van kwetsbaarheden en hoe erop beveiligingslekken wordt gereageerd. "Meer en meer mensen digitaliseren hun woningen. Elk nieuw met internet verbonden apparaat opent ook nieuwe mogelijkheden voor cybercriminelen om aan te vallen. Daarom heeft het BSI samen met fabrikanten, testinstituten en internationale overheidsorganisaties zich voor de ontwikkeling van de nieuwe teststandaard ingezet. Dit is een nieuwe mijlpaal voor consumenten in Duitsland en Europa", aldus BSI-directeur Arne Schönbohm. bron: https://www.security.nl

Na anderhalf jaar is er een geheel nieuwe versie van OpenWrt verschenen, een opensourcebesturingssysteem voor routers, die onder andere verschillende beveiligingsverbeteringen en -features introduceert. OpenWRT is een alternatief besturingssysteem dat op een groot aantal routers is te installeren. OpenWrt versie 21.02.0 was volgens de ontwikkelaars zo'n anderhalf jaar in ontwikkeling en bevat verschillende verbeteringen. Zo wordt nu standaard het WPA3-protocol voor het beveiligen van wifi-netwerken ondersteund. Ook ondersteuning van TLS is nu standaard aanwezig, waardoor het mogelijk is om out-of-the-box bestanden via HTTPS te downloaden. Verder is Address Space Layout Randomization (ASLR) nu volledig ingeschakeld. Dit is een techniek die het lastiger maakt voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties veel lastiger maken. Vanwege nieuwe features en de toegenomen omvang van de Linux-kernel vereist OpenWrt nu wel de aanwezigheid van 8MB flashgeheugen en 64MB werkgeheugen om te draaien. Het is nog wel mogelijk om een aangepaste versie van OpenWrt te draaien die op routers met 4MB flashgeheugen en 32MB werkgeheugen werkt, maar de ontwikkelaars waarschuwen dat de functionaliteit beperkt is en er geen garantie is dat de software dan stabiel werkt. bron: https://www.security.nl

De ontwikkelaars van Jenkins, een open source automatiseringsserver die organisaties ondersteunt bij het ontwikkelen, uitrollen en automatiseren van projecten, zijn tijdelijk gestopt met het uitbrengen van nieuwe releases na een inbraak op een uitgefaseerde Confluence-server. Dat meldt het ontwikkelteam in een blogpost. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. De aanvallers maakten misbruik van een kwetsbaarheid in Confluence waarvoor op 25 augustus een beveiligingsupdate verscheen. Verschillende overheidsorganisaties, waaronder het Nationaal Cyber Security Centrum (NCSC), waarschuwden vorige week voor actief misbruik van het beveiligingslek en riepen organisaties op om de patch te installeren. In het geval van de Jenkins-ontwikkelaars werd de inbraak begin vorige week ontdekt. Voor zover bekend gebruikten de aanvallers de Confluence-kwetsbaarheid om een cryptominer te installeren, die de rekenkracht van de server gebruikte voor het delven van de cryptovaluta Monero. Via de Confluence-server was het niet mogelijk om een groot deel van de andere Jenkins-infrastructuur te benaderen. Wel was het Confluence-systeem geïntegreerd met het Jenkins-identiteitssysteem, dat voor verschillende andere diensten door de ontwikkelaars wordt gebruikt. Voor zover bekend zijn er tijdens de aanval geen inloggegevens van ontwikkelaars gestolen. Het Jenkins-team gaat echter van het ergste uit en heeft besloten om geen nieuwe releases uit te brengen totdat de "chain of trust" met de ontwikkelaarsgemeenschap is hersteld. Tevens zijn de wachtwoorden van alle accounts in het identiteitssysteem gereset. De Confluence-installatie is inmiddels volledig uitgeschakeld. bron: https://www.security.nl

Netwerkfabrikant Netgear heeft meerdere kwetsbaarheden in verschillende modellen smart switches verholpen waardoor de apparaten volledig zijn over te nemen. De in totaal drie beveiligingslekken werden gevonden door beveiligingsonderzoeker Gynvael Coldwind. Details over twee kwetsbaarheden zijn nu openbaar gemaakt, details over het derde lek volgen volgende week. De eerste kwetsbaarheid doet zich voor in twintig verschillende modellen waar het Smart Control Center (SCC) is ingeschakeld. Standaard is deze web-beheerdersinterface echter uitgeschakeld. Wanneer SCC wel staat ingeschakeld kan een aanvaller met toegang tot de switch het beheerderswachtwoord zonder enige vorm van authenticatie veranderen en zo het apparaat overnemen. De tweede kwetsbaarheid raakt ook twintig modellen en maakt het mogelijk voor een aanvaller met hetzelfde ip-adres als de beheerder om de sessie van de beheerder te kapen en zo volledig toegang tot het apparaat te krijgen. Een aanvaller zou voor deze aanval bijvoorbeeld toegang tot de machine van de beheerder moeten hebben of het ip-adres moeten spoofen. Organisaties wordt aangeraden om te beschikbare firmware-updates te installeren. bron: https://www.security.nl

Onderzoekers hebben zestien nieuwe bluetooth-kwetsbaarheden gevonden genaamd BrakTooth waardoor aanvallers een denial of service kunnen veroorzaken en in bepaalde gevallen ook willekeurige code kunnen uitvoeren. Meer dan veertienhonderd producten zouden kwetsbaar voor BrakTooth zijn, hoewel sommige van de bluetooth-lekken inmiddels zijn gepatcht. Door het versturen van speciaal geprepareerde bluetooth-pakketjes is het mogelijk om bijvoorbeeld bluetooth-speakers vast te laten lopen of andere bluetooth-apparaten te laten crashen. Gebruikers moeten het apparaat dan handmatig aan- en uitzetten om het weer aan de praat te krijgen. Ook is het mogelijk om de verbinding te verbreken van bluetooth-apparaten die op een smartphone of laptop zijn aangesloten. Een andere dos-aanval zorgt ervoor dat het scannen van een aangevallen bluetooth-apparaat werkt, maar er geen verbinding mee kan worden gemaakt. Een aanvaller kan deze kwetsbaarheid gebruiken om de gebruiker met zijn bluetooth-hardware verbinding te laten maken. De gevaarlijkste kwetsbaarheid (CVE-2021-28139) maakt het mogelijk om willekeurige code uit te voeren op Internet of Things-apparaten die onder andere binnen industrie-automatisering, smart homes en voor fitnessdoeleinden worden gebruikt. De BrakTooth-lekken bevinden zich de bluetooth-libraries van een groot aantal bluetooth-chips van onder andere Intel, Qualcomm en Texas Instruments. De kwetsbare chips worden in allerlei apparaten gebruikt, waaronder laptops van Microsoft en Dell, smartphones van Sony en Oppo en allerlei andere bluetooth-apparaten. Aangezien nog niet alle fabrikanten beveiligingsupdates hebben uitgebracht zullen de onderzoekers een proof-of-concept tool pas eind oktober openbaar maken. Het Internet Storm Center adviseert eindgebruikers om in de gaten te houden of hun fabrikant beveiligingsupdates uitbrengt en die dan meteen te installeren. In het geval van bedrijven, overheden en vitale infrastructuur wordt aangeraden om het bluetooth-gebruik binnen de organisatie vast te stellen en uit te zoeken welk risico de BrakTooth-lekken voor de dagelijkse bedrijfsvoering vormen. bron: https://www.security.nl

Vorige week hebben onderzoekers aangetoond hoe het mogelijk is om door het aansluiten van een muis of keyboard systeemrechten op een Windowscomputer te krijgen, maar een aanpassing van het Windowsregister voorkomt deze aanvalsvector. Dat laat Will Dormann weten, analist bij het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Hardwarefabrikanten die hun drivers bij Microsoft indienen om via Windows te verspreiden kunnen ook apparaatspecifieke co-installers opgeven, die automatisch na de installatie van de driver worden uitgevoerd. Wanneer een Razer-muis op een systeem wordt aangesloten zal Windows Update na de driver-installatie automatisch de Razer Synapse-software voor de muis downloaden, waarmee gebruikers het apparaat kunnen instellen. Het installatieprogramma wordt uitgevoerd door een Windowsproces met systeemrechten, waardoor ook het installatieprogramma systeemrechten heeft. Tijdens de installatie wordt gebruikers gevraagd in welke map ze de software willen installeren. Vanuit het dialoogvenster is het mogelijk om een PowerShell-venster te starten dat ook met systeemrechten wordt uitgevoerd. De gebruiker kan vervolgens vanuit het PowerShell-venster allerlei commando's met systeemrechten uitvoeren. Bij het aansluiten van muizen en keyboards van fabrikant SteelSeries deed zich een soortgelijk probleem voor. Deze fabrikant besloot om de automatische start van het installatieprogramma bij het aansluiten van een nieuw apparaat proactief uit te schakelen Dormann laat via Twitter weten dat een aanpassing aan het Windowsregister dit gedrag voorkomt en ervoor zorgt dat dergelijke installatieprogramma's niet meer automatisch worden gedownload. Via de optie "DisableCoInstallers" wordt het uitvoeren van co-installers bij het aansluiten van usb-apparaten geblokkeerd. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Atlassian Confluence waarvoor vorige week een beveiligingsupdate verscheen. Wereldwijd zouden zo'n 13.000 kwetsbare Confluence-servers op internet zijn te vinden, aldus Censys. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Een kwetsbaarheid in de software, aangeduid als CVE-2021-26084, maakt het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren en zo volledige controle over de server te krijgen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. In sommige gevallen is misbruik door een ongeauthenticeerde aanvaller mogelijk. Het Australische Cyber Security Centre (ACSC) waarschuwde gisteren dat aanvallers actief naar kwetsbare servers zoeken en die proberen aan te vallen. Securitybedrijf Bad Packets meldt ook actief misbruik van de kwetsbaarheid. Aanvallers gebruiken het beveiligingslek om cryptominers op kwetsbare servers te installeren, aldus het bedrijf op Twitter. De kwetsbaarheid doet zich alleen voor bij de Confluence-installaties die organisaties zelf hosten. Cloudklanten van Atlassian lopen geen risico. Het ACSC roept organisaties op om met prioriteit Confluence-installaties te identificeren en updaten. bron: https://www.security.nl

Belgische inlichtingendiensten mogen de omstreden Pegasus-spyware inzetten, zo stelt de Belgische minister van Justitie Vincent Van Quickenborne. Onlangs liet een samenwerkingsverband tussen Forbidden Stories, Amnesty International en verschillende mediabedrijven weten dat journalisten, activisten en politici wereldwijd via de Pegasus-spyware zijn bespioneerd. Via de Pegasus-spyware is het mogelijk om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware, ontwikkeld door de NSO Group, wordt al zeker sinds 2016 via zeroday-aanvallen verspreid. Ondanks felle kritiek van beveiligingsexperts en mensenrechtenorganisaties stelt Van Quickenborne dat de Pegasus-spyware legaal in België kan worden ingezet. "In een wereld waarbij technologie almaar complexer en meer alomtegenwoordig wordt, is het belangrijk dat de inlichtingen- en veiligheidsdiensten met gelijke wapens kunnen strijden tegen degenen die onze veiligheid bedreigen", laat de minister op vragen van N-VA-Kamerlid Michael Freilich weten. Volgens Van Quickenborne blijven permanente investeringen in technologische innovatie noodzakelijk. "Het inzetten van dit soort technologie moet echter altijd gebeuren binnen een wettelijk kader met afdoende controlemechanismen zodat de rechten en vrijheden van de burgers maximaal gevrijwaard blijven. In België is dat kader aanwezig." Op de vraag of de Belgische inlichtingendienst Staatsveiligheid klant is van NSO Group reageert de minister dat de dienst met allerlei aanbieders contact heeft gehad en dat er naar allerlei nieuwe technieken en technologieën wordt gezocht om aan de wettelijke opdrachten te kunnen voldoen. Of de dienst ook klant is wil Van Quickenborne niet laten weten. "Maar de Staatsveiligheid wenst zich niet uit te spreken over de operationele middelen die worden ingezet tijdens de onderzoeken. Dat kan leiden tot aanpassingen in het gedrag van haar doelwitten, met een mogelijke verhoging van de dreiging tot gevolg. Het gebruik van specifieke en uitzonderlijke methoden draagt altijd de classificatiegraad 'geheim'." Wel is het Belgisch federaal parket een onderzoek gestart naar mogelijke spionage van Belgische telefoontoestellen via de Pegasus-spyware. Dit naar aanleiding van recente berichtgeving van Amnesty en publicaties in de pers, meldt De Tijd. Het strafonderzoek bevindt zich echter nog in een beginfase. bron: https://www.security.nl

Zeker 750.000 WordPress-sites zijn kwetsbaar door twee beveiligingslekken in een plug-in genaamd Gutenberg Template Library & Redux Framework. Via deze uitbreiding kunnen WordPress-sites allerlei templates en blokken toevoegen. De eerste kwetsbaarheid maakt het mogelijk voor een gebruiker met beperkte rechten om willekeurige plug-ins te installeren en activeren, alsmede willekeurige berichten en pagina's te verwijderen. Het tweede beveiligingslek maakt het mogelijk voor een ongeauthenticeerde aanvaller om allerlei informatie over de website te achterhalen, zoals PHP-versie, geïnstalleerde plug-ins en versienummer en een niet-gesalte md5-hash van de auth_key en secure_auth_key. Deze keys worden gebruikt voor het doorvoeren van aanpassingen aan de website. Volgens securitybedrijf Wordfence, dat beide kwetsbaarheden ontdekte, kan een aanvaller dit laatste lek voor verdere aanvallen gebruiken. Beide kwetsbaarheden werden op 3 augustus aan de ontwikkelaars gerapporteerd, die op 11 augustus een beveiligingsupdate uitrolden met versienummer 4.2.13. De Gutenberg-plug-in is op meer dan 1 miljoen WordPress-sites geïnstalleerd. De beveiligingslekken zijn aanwezig in versie 4.2.11 en ouder. 750.000 websites draaien echter versie 4.1 of ouder en zijn dan ook kwetsbaar. Zo'n 250.000 websites draaien versie 4.2.x van de plug-in. WordPress toont echter geen exacte versienummers, waardoor het aantal kwetsbare websites met een oude 4.2.x-versie onduidelijk is. Beheerders wordt aangeraden naar de laatste versie te updaten. bron: https://www.security.nl

Criminelen maken gebruik van legitieme proxyware-applicaties om aan de bandbreedte van slachtoffers te verdienen wat een risico voor organisaties kan zijn, zo stelt Cisco. Proxyware is software die gebruikers in staat stelt om hun bandbreedte tegen betaling aan te bieden aan een tussenpartij. Deze tussenpartij biedt de bandbreedte weer aan klanten aan. In veel gevallen worden proxyware-diensten aangeboden als een manier voor marketingorganisaties om potentiële campagnes vanaf verschillende geografische locaties te testen of om netwerkbeperkingen te omzeilen. Volgens Cisco maken criminelen inmiddels ook misbruik van dit verdienmodel door proxyware-applicaties op de systemen van slachtoffers te installeren zodat zij worden betaald voor de bandbreedte van hun slachtoffers. Dit kan niet alleen gevolgen hebben voor de bandbreedte, de systemen waarop de proxyware-applicaties draaien kunnen ook door criminelen worden gebruikt als proxy bij hun aanvallen of malafide activiteiten. Daardoor lijkt het alsof deze activiteiten van een legitiem netwerk afkomstig zijn, aangezien de proxyware-applicatie gewoon het ip-adres doorgeeft van het netwerk waarop het is geïnstalleerd. Sommige gebruikers en organisaties kunnen hierdoor zelfs onderdeel van politie-onderzoek worden als hun verbinding via de proxyware-applicatie voor illegale doeleinden wordt gebruikt, stelt Cisco. Ook bestaat het risico dat het ip-adres van een organisatie op een blocklist terechtkomt. Proxyware-applicaties zouden bijvoorbeeld door medewerkers kunnen worden geïnstalleerd, maar ook via malware of softwarebundels op systemen terecht kunnen komen. "Deze relatief nieuwe platformen zijn met een legitiem doel ontwikkeld, maar aanvallers hebben snel manieren gevonden om er misbruik van te maken", stelt onderzoeker Edmund Brumaghin. "We denken dat aanvallers deze proxyware-platformen zeer waarschijnlijk zullen misbruiken, aangezien ze de locatie van een aanvaller effectiever kunnen verbergen dan Tor, aangezien de exitnodes niet zijn te vast te leggen." Brumaghin laat weten dat deze platformen twee grote risico's voor organisaties introduceren. Ten eerste het misbruik van hun bandbreedte en het risico om op een blocklist te belanden. Daarnaast kan het het aanvalsoppervlak van organisaties vergroten en een directe aanvalsvector op het endpoint introduceren. Organisaties wordt dan ook aangeraden om het gebruik van proxyware binnen hun netwerk te verbieden. bron: https://www.security.nl

Een security-audit van Mozillas vpn-software heeft verschillende beveiligingsproblemen opgeleverd, waaronder een kwetsbaarheid waarvan de impact als 'high' werd bestempeld. Mozilla biedt in verschillende landen een vpn-dienst en liet de vpn-apps om met de vpn-servers verbinding te maken eerder dit jaar door securitybedrijf Cure53 onderzoeken. Het auditrapport is vandaag openbaar gemaakt (pdf). In totaal ontdekten de onderzoekers zestien problemen met de vpn-software. In de meeste gevallen gaat het om kwetsbaarheden waarvan de impact het label "low" krijgt. Twee problemen zijn echter als medium beoordeeld en één beveiligingslek zelfs als high. De software die Cure53 voor het onderzoek ontving had een WebSocket-endpoint op localhost blootgesteld, dat zonder authenticatie was te gebruiken. Hierdoor zou elke website met de vpn-software op het systeem van de gebruiker verbinding kunnen maken. Mozilla liet de onderzoekers weten dat de WebSocket-server alleen onderdeel van de aangeboden softwareversie was, maar later bleek dat Mozilla de verbinding wil gebruiken om met een browser-extensie te kunnen communiceren. Mozilla meldt op de eigen website dat de WebSocket-interface alleen voor het testen is gebruikt en geen probleem voor klanten is geweest. Het eerste medium-probleem dat de onderzoekers ontdekten is dat Mozilla VPN het toestaat dat onversleutelde http-requests buiten de vpn-tunnel om naar specifieke ip-adressen worden gestuurd. Dit vergroot het risico om gebruikers te identificeren, aldus de onderzoekers. Die stellen wel dat dit probleem zich echter alleen in bepaalde gevallen voordoet. Door het tweede medium-probleem zou de autorisatiecode van de gebruiker naar een website van de aanvaller kunnen lekken als de gebruiker een speciaal geprepareerde url zou openen. Mozilla heeft dit probleem verholpen. Mozillas vpn-dienst is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Wanneer de dienst in Nederland beschikbaar komt is nog onbekend. bron: https://www.security.nl

Een wifi-alarmsysteem van fabrikant Fortress bevat twee kwetsbaarheden waardoor een aanvaller het alarm op afstand kan uitschakelen en een beveiligingsupdate is niet voorhanden. Details zijn echter openbaar gemaakt. Het systeem maakt onder andere gebruik van bewegingssensoren en contactsensoren voor deuren en ramen om indringers te detecteren en kan via een smartphone-app worden bediend. Voor de configuratie van het systeem moeten gebruikers een e-mailadres opgeven. Het eerste probleem is dat er ongeauthenticeerde toegang tot de cloud-interface mogelijk is. Een aanvaller hoeft alleen het e-mailadres van het doelwit te weten en kan via de interface het IMEI-nummer opvragen, wat lijkt te fungeren als het serienummer van het apparaat. Met het e-mailadres en het IMEI-nummer is het vervolgens mogelijk voor de aanvaller om aanpassingen aan het systeem door te voeren, zoals het uitschakelen van het alarm. Het Fortress S03 WiFi Home Security System werkt zowel via wifi als radiofrequentie (rf). Onderzoekers van securitybedrijf Rapid7 ontdekten dat het systeem ook kwetsbaar is voor een replay-aanval. Het rf-signaal voor het in- en uitschakelen van het alarm kan door een aanvaller in de buurt worden opgevangen en opnieuw worden afgespeeld. Zo is het mogelijk om het systeem zonder enige verdere interactie van de gebruiker uit te schakelen. Rapid7 waarschuwde Fortress, maar het bedrijf gaf geen reactie. Als oplossing voor de eerste kwetsbaarheid adviseert het securitybedrijf een eenmalig e-mailadres te gebruiken. Een oplossing voor de replay-aanval is er niet, behalve het niet gebruiken van rf-apparaten die aan het alarmsysteem zijn gekoppeld. bron: https://www.security.nl

Het Duitse AV-TEST Institute heeft 21 virusscanners voor Windows 10 over een periode van zes maanden getest en vijf pakketten wisten de maximale score te halen, waaronder twee gratis antivirusprogramma's. De virusscanners werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar maximaal 18 punten verdienen. Bij de detectie van malware werd gekeken naar bijna vijftigduizend "zero-day" malware-exemplaren en bekende malware-exemplaren. Zero-day malware is in de definitie van AV-Test onbekende, nieuwe malware. De scanners werden hierbij over een periode van een half jaar, van januari tot en met juni dit jaar, beoordeeld. Bitdefender, Kaspersky, Microsoft, Northguard en NortonLifeLock wisten in deze periode alle malware-exemplaren te detecteren. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. De scores op dit onderdeel variëren van een 5,7 tot de maximale 6 punten, wat volgens AV-Test aantoont dat antivirussoftware voor Windows 10 het systeem nauwelijks nog vertraagt. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Zo werden duizenden websites bezocht, miljoenen bestanden gekopieerd en tal van applicaties geïnstalleerd. De meeste virusscanners slaan geen of nauwelijks vals alarm. Alleen PC Matic gaat te vaak de fout in. Op basis van de drie tests scoren Avast, Kaspersky, Microsoft, Northguard en NortonLifeLock de maximale achttien punten. Hoewel Avast, één van de twee gratis virusscanners in de top vijf, geen perfecte detectiescore neerzette haalt het op dat onderdeel wel zes punten. De andere gratis virusscanner die maximaal scoort is Microsoft Defender, dat standaard in Windows 10 zit ingebouwd. bron: https://www.security.nl

Er zijn details openbaar gemaakt van een kwetsbaarheid in Microsoft Exchange waardoor het mogelijk is voor een ongeauthenticeerde aanvaller om inkomende e-mails te stelen. De kwetsbaarheid wordt aangeduid als ProxyToken en CVE-2021-33766 en werd vorige maand door Microsoft gepatcht. Door de kwetsbaarheid kan een aanvaller de configuratie van mailboxes van willekeurige gebruikers aanpassen en een doorstuurregel aanmaken waardoor inkomende e-mails naar een e-mailaccount van de aanvaller worden doorgestuurd. Exchange kent een frontend en een backend. De frontend fungeert vooral als proxy voor de backend. Verzoeken worden doorgestuurd naar de backend en de respons van de backend stuurt de frontend weer naar de gebruiker. Exchange ondersteunt een feature genaamd "delegated authentication” waarbij de frontend aan de backend overlaat of een request wel geauthenticeerd is. Deze requests zijn voorzien van een zogeheten SecurityToken-cookie. Wanneer de speciale module voor delegated authentication niet is geladen, weet de backend niet dat het bepaalde inkomende requests moet authenticeren. Zodoende kan een request zonder enige authenticatie door de frontend en backend komen. Verder moet elk request naar een Exchange Control Panel (ECP)-pagina van een geldig ticket zijn voorzien, wat een ECP-canary wordt genoemd. Zonder deze canary komt er een HTTP 500-foutmelding. Deze foutmelding is echter voorzien van een geldige canary die voor de aanval kan worden gebruikt en het toevoegen van de doorstuurregel mogelijk maakt. Organisaties wordt aangeraden de beveiligingsupdate van 13 juli te installeren. "Exchange Server blijft een ongelooflijk rijke voedingsbodem voor beveiligingsonderzoek. Dit komt door de enorme complexiteit van het product, zowel qua features als architectuur", zegt Simon Zuckerbraun van het Zero Day Initiative, dat de details van de kwetsbaarheid vandaag openbaar maakte. bron: https://www.security.nl