Captain Kirk

Microsoft heeft organisaties opgeroepen om hun Exchange-servers te updaten. Aanleiding is mogelijk misbruik van drie kwetsbaarheden die bij elkaar bekendstaan als ProxyShell. Beveiligingsupdates voor deze beveiligingslekken zijn sinds mei beschikbaar. Door de drie kwetsbaarheden te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. De afgelopen week lieten beveiligingsonderzoekers en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) weten dat er actief misbruik van de kwetsbaarheden wordt gemaakt om ongepatchte Exchange-servers met webshells en ransomware te infecteren. Microsoft wil deze aanvallen nog niet bevestigen en laat weten dat de ProxyShell-lekken kunnen worden gebruikt voor de verspreiding van ransomware. "Als je de beveiligingsupdates van mei of juli niet hebt geïnstalleerd, dan zijn je servers en data kwetsbaar. Zoals we al meerdere keren hebben aangegeven is het zeer belangrijk om je Exchange-servers via de laatste Cumulative Update (CU) en Security Update (SU) up-to-date te houden", aldus het Microsoft Exchange Team. Dat roept organisaties in een nieuwe blogposting op om hun Exchange-servers te patchen. Eerder liet zoekmachine Shodan nog weten dat achttien procent van alle Exchange-servers die vanaf het internet toegankelijk zijn de ProxyShell-updates niet hebben geïnstalleerd. bron: https://www.security.nl

Google en Microsoft gaan de komende vijf jaar miljarden euro's in cybersecurity investeren om zo de weerbaarheid van de Verenigde Staten tegen cyberdreigingen te versterken. Dat heeft het Witte Huis aangekondigd. De Amerikaanse president Biden had gisteren overleg met verschillende techbedrijven over de bescherming van de vitale sector en het opleiden van voldoende cybersecuritypersoneel. Zo zaten onder anderen Amazon, Apple, Google, IBM en Microsoft aan tafel, alsmede verschillende banken, verzekeringsmaatschappijen en onderwijsinstellingen. Na het overleg maakte het Witte Huis bekend dat Microsoft de komende vijf jaar 17 miljard euro zal investeren om cybersecurity by design te integreren en "geavanceerde beveiligingsoplossingen" te leveren. Ook zal het techbedrijf federale en lokale overheden ondersteunen bij het upgraden van hun digitale beveiliging en zal er cybersecuritytraining op onderwijsinstellingen worden gegeven. Google heeft aangekondigd dat het 8,5 miljard euro de komende vijf jaar zal investeren in het uitbreiden van zero-trust-programma's, het beveiligingen van de software supply chain en het verbeteren van opensource-security. Verder zal Google honderdduizend Amerikanen helpen bij het volgen van een it-opleiding. IBM laat weten dat het ook mensen op het gebied van cybersecurity zal trainen. In totaal gaat het om 150.000 mensen. Volgens het Witte Huis staan erin de VS zo'n half miljoen cybersecurity-vacatures open. Vanuit de Amerikaanse overheid werden ook verschillende initiatieven aangekondigd. Zo zal het National Institute of Standards and Technology (NIST), een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, samen met techbedrijven een nieuw framework ontwikkelen voor het beveiligen van de software supply chain. Verder zal het Industrial Control Systems Cybersecurity Initiative, bedoeld om de vitale infrastructuur tegen digitale aanvallen te beschermen, worden uitgebreid naar gaspijplijnen in de Verenigde Staten. Het initiatief werd mede vanwege de ransomware-aanval op de Colonial Pipeline gestart. bron: https://www.security.nl

Het aansluiten van een muis, toetsenbord of headset van fabrikant SteelSeries op een Windows 10-computer maakt het mogelijk voor een lokale gebruiker om systeemrechten te krijgen, zo ontdekte onderzoeker Lawrence Amer. De kwetsbaarheid lijkt erg veel op het beveiligingslek dat recentelijk met de software-installatie van hardwarefabrikant Razer werd ontdekt. Wanneer een Steelseries-apparaat op een computer wordt aangesloten zal Windows automatisch de SteelSeries GG-software downloaden, waarmee het betreffende apparaat is te configureren. Tijdens de installatie van de software is het mogelijk om op een link te klikken met meer informatie over de licentieovereenkomst. Deze link wordt wordt met systeemrechten geopend. Vervolgens is het mogelijk om de betreffende informatiepagina op te slaan. Vanuit het dialoogvenster kan de lokale gebruiker een command-venster starten waarbij hij systeemrechten heeft. De aanval is ook zonder SteelSeries-apparaat uit te voeren. Onderzoeker István Tóth gebruikte zijn USBgadget-generator waardoor hij zijn Androidtelefoon als SteelSeries-toetsenbord kon laten voordoen. In een reactie tegenover Tom's Guide laat SteelSeries weten dat het besloten heeft om de automatische start van het installatieprogramma bij het aansluiten van een nieuw apparaat proactief uit te schakelen. In de tussentijd wordt er aan een update gewerkt die "snel" zou moeten verschijnen. Een exacte datum is nog niet bekend. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgerold wegens een bug die ervoor zorgde dat wachtwoorden werden verwijderd en gebruikers herhaaldelijk om hun inloggegevens werd gevraagd. Het probleem deed zich voor wanneer Firefox trackers uit de browser verwijderde. Hierbij werd echter ook opgeslagen authenticatiedata verwijderd. Het ging zowel om het inloggen via wachtwoordmanager Lockwise, waarbij er een primair wachtwoord moet worden opgegeven, of wanneer gebruikers gewoon via hun gebruikersnaam en wachtwoord op een website inlogden. Firefox voert een bepaalde service uit die trackers uit de browser verwijdert. Hierbij werd ook de aanwezige authenticatiedata verwijderd, waardoor gebruikers herhaaldelijk werden gevraagd om opnieuw in te loggen. Afhankelijk van het gebruik van de browser werden de opgeslagen inloggegevens elke paar uur verwijderd. Mozilla ontving naar eigen zeggen veel klachten van gebruikers over de bug en heeft nu Firefox 91.0.2 uitgebracht om het probleem te verhelpen. Updaten naar deze versie kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Net als Google Chrome vorig jaar al implementeerde gaat ook Mozilla Firefox http-downloads vanaf https-websites blokkeren. Dit om gebruikers te beschermen, aldus de browserontwikkelaar. Gebruikers die straks op een https-site een bestand willen downloaden dat via http wordt aangeboden krijgen een melding te zien. In die melding staat dat het bestand vanwege een mogelijk beveiligingsrisico niet is gedownload. Daarbij wordt uitgelegd dat het bestand via een onbeveiligde verbinding wordt aangeboden en het tijdens het downloadproces kan worden gemanipuleerd. Vervolgens wordt gebruikers aangeraden een alternatieve downloadbron te zoeken. Firefox biedt gebruikers wel de optie om de download van bestand toe te staan. De feature is nu al in Firefox aanwezig en in te schakelen door middel van about:config en dan de optie dom.block_download_insecure op true te zetten. Met de lancering van Firefox 92, gepland voor 7 september, wordt die standaard ingeschakeld. bron: https://www.security.nl

Een kwetsbaarheid in de software van chipsetfabrikant Realteak die vorige week werd onthuld wordt inmiddels actief gebruikt door een variant van de Mirai-malware om routers en wifi-versterkers onderdeel van een botnet te maken. Dat stelt securitybedrijf Sam in een analyse. Het beveiligingslek, aangeduid als CVE-2021-35395, bevindt zich in de Realtek software development kit (SDK) die hardwarefabrikanten gebruiken om de Realtek-chipset binnen hun router, wifi-versterker en andere apparaten te kunnen gebruiken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. De kwetsbare Realtek SDK wordt volgens Sam door meer dan 65 leveranciers voor meer dan tweehonderd apparaten gebruikt. Het gaat onder andere om de Netis E1+, Edimax N150 en N300 wifi-router en Repotec RP-WR5444-router. Door het versturen van een speciaal request naar de managementinterface van de webserver, waarmee het apparaat kan worden geconfigureerd, is het mogelijk een buffer overflow te veroorzaken en zo willekeurige code of commando's op het apparaat uit te voeren. Aanvallers gebruiken het beveiligingslek om kwetsbare routers en wifi-versterker met een variant van de Mirai-malware te infecteren. "Dergelijke kwetsbaarheden zijn eenvoudig te misbruiken en snel binnen bestaande hackingframeworks die aanvallers toepassen te integreren, voordat apparaten zijn gepatcht en beveiligingsleveranciers kunnen reageren", aldus Omri Mallis van Sam. Realtek heeft beveiligingsupdates uitgebracht (pdf), maar die moeten nog wel door de betreffende leveranciers van de apparaten als patch aan gebruikers worden aangeboden. bron: https://www.security.nl

De FBI heeft een waarschuwing afgegeven voor een ransomwaregroep genaamd "OnePercent" die organisaties via macro's in Word- en Excel-documenten infecteert. Volgens de Amerikaanse opsporingsdienst is de groep al sinds november 2020 verantwoordelijk voor ransomware-aanvallen tegen Amerikaanse organisaties (pdf). De aanval begint met een zip-bestand dat via e-mail wordt verstuurd. Dit zip-bestand bevat weer een Word- of Excel-document met een malafide macro. Wanneer de ontvanger het zip-bestand opent en de macro in het document activeert wordt het systeem met IcedID trojan besmet. Vervolgens wordt via deze malware Cobalt Strike gedownload. Cobalt Strike is een tool voor het uitvoeren van penetratietests op systemen en netwerken. Het wordt echter ook gebruikt door aanvallers voor het verder compromitteren van aangevallen organisaties. OnePercent gebruikt Cobalt Strike om zich lateraal door het netwerk van de aangevallen organisatie te bewegen. Zodra er gevoelige informatie is gevonden gebruiken de aanvallers het programma rclone om deze data te stelen. Na de datadiefstal volgt de uitrol van de ransomware, die alle bestanden op besmette systemen versleutelt. De aanvallers maken vervolgens gebruik van gespoofte telefoonnummers om de getroffen organisatie te bellen, aldus de FBI. De aanvallers eisen ook met een vaste onderhandelaar te spreken, anders dreigen ze de gestolen data te publiceren. De FBI geeft organisaties verschillende adviezen om zich te beschermen, waarbij ook wordt gewezen op het gebruik van het programma rclone. Zo kunnen organisaties letten op de verschillende hashes van de software. Verder volgen generieke adviezen, zoals het maken van offline back-ups, patchen van systemen, implementeren van netwerksegmentatie en het gebruik van multifactorauthenticatie. bron: https://www.security.nl

De Nederlandse beveiligingsonderzoekers Daan Keuper en Thijs Alkemade die eerder dit jaar 200.000 dollar verdienden met een succesvolle aanval tegen Zoom hebben nu de details van de gebruikte kwetsbaarheden en hun onderzoek gepresenteerd. De twee onderzoekers van it-bedrijf Computest deden in april mee met de jaarlijkse Pwn2Own-wedstrijd. Tijdens deze wedstrijd worden beveiligingsonderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten, zoals browsers, zakelijke applicaties, serversoftware en virtualisatiesoftware. Vanwege het vele thuiswerken door de coronapandemie werd besloten om tijdens de editie van dit jaar videobelsoftware als nieuwe categorie toe te voegen. Onderzoekers konden zowel kiezen uit Zoom als Microsoft Teams. In hun blogpost over het onderzoek leggen Keuper en Alkemade uit dat ze voor Zoom kozen omdat de software is geschreven in C++, in tegenstelling tot Microsoft Teams, dat ontwikkeld is via het Electron-framework met een klein aantal libraries in C++ voor platformintegratie. De onderzoekers stellen dat de meest waarschijnlijke aanvalsvector in het geval van Teams cross-site scripting zou zijn, terwijl bij Zoom memory corruption voor de hand lag. Uiteindelijk werd voor Zoom gekozen omdat Keuper en Alkemade naar eigen zeggen liever onderzoek doen naar memory corruption dan cross-site scripting. De onderzoekers vonden vervolgens een kwetsbaarheid in een functie waarmee gebruikers een versleuteld bericht met een symmetrische sleutel kunnen versturen. Hierdoor was het mogelijk een buffer overflow binnen Zoom te veroorzaken die uiteindelijk het uitvoeren van code op het systeem van de gebruiker mogelijk maakte. Daarbij was er geen interactie van de gebruiker vereist. Keuper en Alkemade waren anderhalve week bezig voordat ze de primaire kwetsbaarheid vonden. Het schrijven en testen van de exploit waarmee de kwetsbaarheid kon worden uitgebuit nam nog eens anderhalve maand in beslag. Zoom heeft de kwetsbaarheden die de onderzoekers voor hun aanval gebruikten inmiddels verholpen. bron: https://www.security.nl

Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben verschillende kritieke kwetsbaarheden in de back-upsoftware Vembu BDR Suite gevonden waardoor het mogelijk is om systemen op afstand over te nemen. Details over de drie beveiligingslekken worden woensdag 25 augustus openbaar gemaakt. Een beveiligingsupdate is inmiddels beschikbaar. Volgens Vembu maken wereldwijd meer dan zestigduizend bedrijven gebruik van de oplossingen die het biedt, waaronder NASA, Fujitsu, Kawasaki, Samsung en Epic Games. Drie kwetsbaarheden in VembuBDR, VembuOffsiteDR en mogelijk andere producten van de leverancier maken het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op kwetsbare systemen uit te voeren. Alleen een browser zou voldoende zijn om toegang tot een kwetsbaar Vembu-systeem te krijgen. "Een kwetsbaarheid in dit soort software is ernstig. Backup en recovery-software grijpt per definitie diep in op het systeem van gebruikers van Vembu", aldus het DIVD. De impact van de drie kwetsbaarheden is op een schaal van een 1 tot en met 10 met een 9,8 en een 10 beoordeeld. Vembu heeft de beveiligingslekken verholpen in Vembu BDR versie 4.2.0.2. Op 15 mei werd het bestaan van de kwetsbaarheden al aangekondigd, maar werden geen verdere details gegeven. Het DIVD was van plan om deze details op 1 juni te publiceren, maar dat is verschoven naar woensdag 25 augustus. Organisaties die de update nog niet hebben geïnstalleerd wordt dringend aangeraden dit alsnog te doen. bron: https://www.security.nl

Een kwetsbaarheid in de software van hardwarefabrikant Razer maakt het mogelijk voor lokale gebruikers om systeemrechten te krijgen door alleen een Razer-muis op een systeem aan te sluiten. De fabrikant werkt inmiddels aan een beveiligingsupdate. Wanneer een Razer-muis op een systeem wordt aangesloten zal Windows Update automatisch de Razer Synapse-software voor de muis downloaden, waarmee gebruikers het apparaat kunnen instellen. Het installatieprogramma wordt uitgevoerd door een Windowsproces met systeemrechten, waardoor ook het installatieprogramma systeemrechten heeft. Tijdens de installatie wordt gebruikers gevraagd in welke map ze de software willen installeren. Vanuit het dialoogvenster is het mogelijk om een PowerShell-venster te starten dat ook met systeemrechten wordt uitgevoerd. De gebruiker kan vervolgens vanuit het PowerShell-venster allerlei commando's met systeemrechten uitvoeren. Een beveiligingsonderzoeker met het alias jonhat ontdekte het beveiligingslek. Hij waarschuwde Razer, maar kreeg naar eigen zeggen geen reactie, waarop hij de details openbaar maakte. Na publicatie van het probleem nam Razer contact op met de onderzoeker en liet weten dat het probleem zal worden verholpen. Daarnaast is de onderzoeker een beloning toegezegd, ook al heeft hij de details van de kwetsbaarheid openbaar gemaakt. Wanneer de patch precies verschijnt is nog onbekend. Will Dormann, analist bij het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit, noemt het een gevaarlijk aanvalsoppervlak, aangezien één kwetsbare driver voldoende is om een dergelijke aanval uit te voeren. bron: https://www.security.nl

Een nieuwe ransomwaregroep genaamd LockFile combineert twee aanvallen om organisaties via hun Microsoft Exchange-servers met ransomware te infecteren. Volgens securitybedrijf Symantec zijn al zeker tien organisaties met de ransomware besmet geraakt. Voor de eerste stap combineren de aanvallers drie kwetsbaarheden met de naam ProxyShell. Daarmee is het mogelijk om kwetsbare Exchange-servers op afstand over te nemen, zo stelt beveiligingsonderzoeker Kevin Beaumont. Vervolgens wordt de PetitPotam-aanval gebruikt om de domeincontroller van de organisatie over te nemen. Zodra de aanvallers de domeincontroller in handen hebben worden alle machines in het netwerk geïnfecteerd met ransomware. Symantec stelt dat productiebedrijven, financieel, juridische en zakelijke dienstverleners zijn getroffen, alsmede bedrijven in de reisbranche. De meeste slachtoffers werden in de Verenigde Staten en Azië waargenomen. De aanvallers gaan daarbij vrij snel te werken. Tussen de tijd dat de Exchange-server wordt gecompromitteerd en de uitrol van de ransomware zit slechts twintig tot dertig minuten, aldus het securitybedrijf. Beveiligingsupdates voor de ProxyShell-kwetsbaarheden in Exchange zijn sinds april en mei beschikbaar. Daarnaast kunnen organisaties verschillende maatregelen treffen om zich tegen de PetitPotam-aanval te beschermen, aldus Microsoft. bron: https://www.security.nl

Bijna tweeduizend Microsoft Exchange-servers zijn de afgelopen dagen besmet via drie kwetsbaarheden die bekendstaan als "ProxyShell". Door de drie beveiligingslekken te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Deze servers worden onder andere met ransomware geïnfecteerd. De Amerikaanse overheid roept organisaties op om snel in actie te komen. Microsoft kwam in april en mei met beveiligingsupdates voor de kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Orange Tsai, de onderzoeker die de beveiligingslekken ontdekte, gaf begin deze maand tijdens de Black Hat- en Defcon-conferenties een presentatie waarin hij technische details over de kwetsbaarheden besprak. Aan de hand van deze informatie konden exploits worden gepubliceerd, die vervolgens tegen kwetsbare Exchange-servers werden ingezet. Het Internet Storm Center meldde recentelijk op basis van een scan van zoekmachine Shodan dat er nog meer dan 30.000 ongepatchte Exchange-servers op internet waren te vinden. De afgelopen dagen is er een toename van het aantal aanvallen op deze machines. Zo meldde securitybedrijf Huntress Labs dat het meer dan honderdveertig verschillende webshells op bijna tweeduizend ongepatchte Exchange-servers heeft aangetroffen. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Beveiligingsonderzoeker Kevin Beaumont laat weten dat er een groep aanvallers is die de kwetsbaarheden gebruiken om Exchange-servers met ransomware te infecteren, genaamd LockFile. Deze ransomware versleutelt bestanden voor losgeld. Vanwege de toegenomen aanvallen roept het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security organisaties op om met spoed kwetsbare Exchange-servers binnen het eigen netwerk te identificeren en de beveiligingsupdates van Microsoft te installeren. bron: https://www.security.nl

Een botnet dat Internet of Things (IoT)-apparaten besmet probeert routers van fabrikanten Netgear, Huawei en ZTE permanent te infecteren om zo man-in-the-middle-aanvallen uit te kunnen voeren, aldus Microsoft. Het gaat om het Mozi-botnet dat al geruime tijd actief is. Mozi infecteert IoT-apparaten, zoals digitale videorecorders, via zwakke Telnet-wachtwoorden en bekende kwetsbaarheden. Besmette machines worden onder andere voor ddos-aanvallen op websites ingezet. Microsoft stelt dat het Mozi-botnet sinds kort routers van Netgear, Huawei en ZTE permanent probeert te infecteren. Vervolgens is het via de gecompromitteerde routers mogelijk voor de aanvallers om man-in-the-middle-aanvallen uit te voeren, bijvoorbeeld via het aanpassen van http-verkeer en dns-spoofing. Hierbij worden gebruikers naar malafide websites doorgestuurd die ransomware proberen te installeren en kunnen de aanvallers veiligheidsincidenten in OT-omgeving veroorzaken, zo stelt Microsoft. Ook voor het aanvallen van de routers maakt het Mozi-botnet gebruik van zwakke wachtwoorden en bekende kwetsbaarheden. In het geval van een succesvolle aanval installeert Mozi een script zodat de malware altijd wordt geladen. Verder blokkeert Mozi verschillende poorten op de router voor remote toegang, waaronder poort 23, 2323 en 7547. Dit moet voorkomen dat de malware wordt verwijderd. Om infecties door Mozi te voorkomen adviseert Microsoft het gebruik van sterke wachtwoorden en het tijdig installeren van beveiligingsupdates. bron: https://www.security.nl

Cisco waarschuwt bedrijven en organisaties voor een kritiek beveiligingslek in verschillende routers die end-of-life zijn, wat inhoudt dat er geen beveiligingsupdate zal verschijnen om het probleem te verhelpen. Via de kwetsbaarheid, aangeduid als CVE-2021-34730, kan een ongeauthenticeerde aanvaller op afstand code met rootrechten uitvoeren en zo volledige controle over het apparaat krijgen. Ook kan een aanvaller het apparaat laten herstarten en zo een denial of service veroorzaken. Het beveiligingslek wordt veroorzaakt doordat inkomend UPnP-verkeer niet goed wordt gevalideerd. Door het versturen van een speciaal geprepareerd UPnP-request naar een kwetsbaar apparaat is hierdoor remote code execution mogelijk. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het beveiligingslek is aanwezig in de RV110W wireless-N vpn-firewall, RV130 vpn-router, RV130W wireless-N vpn-router en RV215W wireless-N vpn-router waar UPnP staat ingeschakeld. De UPnP-interface staat standaard ingeschakeld op de LAN-interface. Op de WAN-interface staat UPnP standaard uitgeschakeld. Wanneer UPnP op beide interfaces staat uitgeschakeld is het apparaat volgens Cisco niet kwetsbaar. Aangezien de routers in kwestie niet meer door Cisco worden ondersteund zal er geen beveiligingsupdate uitkomen. Als workaround adviseert Cisco het uitschakelen van UPnP aan de LAN-interface bron: https://www.security.nl

Het populaire platform voor softwareontwikkelaars GitHub heeft gebruikers opgeroepen om tweefactorauthenticatie (2FA) voor hun account in te schakelen. "Als je het nog niet hebt gedaan, schakel dan nu 2FA voor je GitHub-account in. De voordelen van multifactorauthenticatie zijn uitvoerig beschreven en beschermen tegen allerlei aanvallen, zoals phishing", zegt Mike Hanley, Chief Security Officer van GitHub, in een blogposting. GitHub ondersteunt verschillende 2FA-opties, waaronder fysieke beveiligingssleutels, virtuele beveiligingssleutels in laptops en telefoons die WebAuth ondersteunen, Time-based One-Time Password (TOTP) authenticator-apps en sms. "Hoewel sms als optie beschikbaar is, adviseren we ten zeerste het gebruik van beveiligingssleutels of TOTP's waar mogelijk. Sms-gebaseerde 2FA biedt niet dezelfde bescherming, en wordt niet langer aanbevolen onder NIST 800-63B", merkt Hanley op. Volgens de CSO zijn de beste 2FA-opties diegene die de WebAuthn-standaard ondersteunen, waaronder fysieke beveiligingssleutels en apparaten die technologieën zoals Windows Hello of Face ID/Touch ID ondersteunen. Onlangs besloot GitHub al om geen accountwachtwoorden meer te accepteren voor het authenticeren van Git-operaties op GitHub.com. In plaats daarvan wordt alleen nog token-gebaseerde authenticatie geaccepteerd. Ondanks de beveiligingsvoordelen van 2FA liet Twitter onlangs nog weten dat slechts 2,3 procent van alle gebruikers de optie heeft ingeschakeld. bron: https://www.security.nl

Een beveiligingslek in een veelgebruikt cloudplatform door Internet of Things (IoT)-apparaten maakt het mogelijk om systemen op afstand over te nemen of live met bijvoorbeeld beveiligingscamera's mee te kijken. Volgens fabrikant ThroughTek maken meer dan 83 miljoen apparaten gebruik van het Kalay-netwerk. Kalay is een platform dat IoT-fabrikanten kunnen gebruiken om een verbinding tussen het apparaat en de bijbehorende app op te zetten. Het platform regelt de authenticatie en verstuurt de data tussen de app en het IoT-apparaat. Zo kunnen gebruikers bijvoorbeeld op afstand met hun camera meekijken. Het wordt dan ook door allerlei IoT-fabrikanten gebruikt. Onderzoekers van securitybedrijf Mandiant ontdekten een kwetsbaarheid met de registratie van IoT-apparaten op het netwerk. Zodra een apparaat wordt aangesloten registreert die zichzelf via een UID op het Kalay-netwerk. Een aanvaller die dit UID weet te bemachtigen kan een apparaat met hetzelfde UID registreren, waarbij de registratie van het bestaande apparaat wordt overschreven. Zodra de gebruiker nu via zijn app verbinding met zijn IoT-apparaat wil maken, maakt hij in werkelijkheid verbinding met het apparaat van de aanvaller die zo de inloggegevens kan onderscheppen. Iets waar de gebruiker nauwelijks iets van merkt. Met het al bemachtigde UID en deze inloggegevens kan de aanvaller vervolgens toegang tot het apparaat van de gebruiker krijgen. Zo is het mogelijk om met camera's mee te kijken, een denial of service uit te voeren of andere apparaten in het netwerk van de gebruiker aan te vallen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,6 beoordeeld. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is het uitvoeren van de aanval niet complex. Mandiant laat echter weten dat het bruteforcen van het 20 bytes grote UID niet haalbaar is. ThroughTek heeft inmiddels verschillende adviezen voor IoT-fabrikanten uitgebracht. Eindgebruikers wordt aangeraden om niet vanaf onbetrouwbare netwerken verbinding met hun IoT-apparaten te maken. bron: https://www.security.nl

Een kwetsbaarheid in Daemon Tools Pro maakt het mogelijk voor aanvallers om door middel van een malafide ISO-bestand code op de systemen van gebruikers uit te voeren. De ontwikkelaar van de software heeft gisteren een nieuwe versie uitgebracht. Daemon Tools Pro is emulatiesoftware die met disc images en virtuele drives werkt. Via de software is het mogelijk om allerlei verschillende soorten images te mounten. Een kwetsbaarheid bij het verwerken van ISO-bestanden kan tot een buffer overflow leiden, waardoor het uitvoeren van code mogelijk wordt, zo meldt Cisco dat het beveiligingslek ontdekte. Een gebruiker zou in dit geval zelf het malafide ISO-bestand moeten openen. De kwetsbaarheid is verholpen in Daemon Tools Pro 8.3.1. Er zijn ook andere versies van Daemon Tools beschikbaar, waaronder Lite en Ultra, maar daarvoor zijn geen updates uitgekomen. bron: https://www.security.nl

Volgende week dinsdag 24 augustus komt OpenSSL met een belangrijke beveiligingsupdate, de tweede van dit jaar. Dat heeft het OpenSSL Project Team aangekondigd. De patch verhelpt één of meerdere kwetsbaarheden waarvan de impact als "high" is bestempeld. Zelden worden er kwetsbaarheden met een dergelijke impact in OpenSSL gevonden. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen. Via kritieke kwetsbaarheden kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt. In maart van dit jaar kwam OpenSSL met een beveiligingsupdate die twee high-kwetsbaarheden verhielp. Vorig jaar werden twee OpenSSL-kwetsbaarheden verholpen waarvan de impact als high was beoordeeld. In 2018 en 2019 werden er geen kwetsbaarheden in de high-categorie ontdekt. Details over het probleem dat aanstaande dinsdag wordt gepatcht zijn nog niet openbaar. OpenSSL versie 1.1.1l verschijnt aanstaande dinsdag 24 augustus tussen 14:00 en 18:00 uur Nederlandse tijd. bron: https://www.security.nl

Een kritieke kwetsbaarheid in BlackBerry QNX vormt een risico voor systemen die in de vitale infrastructuur worden gebruikt, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. BlackBerry QNX is een real-time operating system (RTOS) dat binnen allerlei systemen van ziekenhuizen, auto's en vitale infrastructuur wordt gebruikt. In april van dit jaar meldde Microsoft dat het een reeks kwetsbaarheden in Internet of Things (IoT)- en Operational Technology (OT)-apparaten had ontdekt met de noemer BadAlloc. De beveiligingslekken doen zich voor bij het toewijzen van geheugen en kunnen ervoor zorgen dat een aanvaller systemen kan laten crashen of overnemen. BlackBerry QNX is ook kwetsbaar voor BadAlloc en dat kan grote gevolgen hebben, waarschuwt het CISA. "BlackBerry QNX RTOS wordt binnen een groot aantal producten gebruikt waarvan compromittering ervoor kan zorgen dat een aanvaller controle over zeer gevoelige systemen kan krijgen, wat het risico voor de kritieke functies van het land vergroot." Organisaties binnen de vitale infrastructuur worden opgeroepen hun systemen te patchen. Tegelijkertijd heeft ook de Amerikaanse Food & Drug Administration een beveiligingsbulletin afgegeven waarin het stelt dat de kwetsbaarheid in BlackBerry QNX gevolgen voor medische apparatuur kan hebben. Anonieme bronnen laten tegenover Politico weten dat BlackBerry in eerste instantie ontkende dat de eigen producten kwetsbaar voor BadAlloc waren en later geen publieke aankondiging wilde doen. Iets waar het uiteindelijk op terugkwam. In een reactie stelt BlackBerry dat het klanten direct informeert over kwetsbaarheden, maar dat het aanpassingen aan dit proces zal doorvoeren om klanten beter te bedienen. bron: https://www.security.nl

Veel aanvallen met ransomware en andere vormen van malware zijn niet complex en maken gebruik van tools en exploits die al jaren bekend zijn, wat aantoont dat organisaties hun basale beveiligingsmaatregelen op orde moeten hebben en houden, zo stelt Microsoft. Eén van die maatregelen is het sneller installeren van beveiligingsupdates. Volgens Microsoft zal volledige "patch coverage" binnen 48 uur de cybersecurity van een organisatie merkbaar verbeteren. Daarbij wordt aangeraden om servers zo snel mogelijk te patchen, met een focus op de belangrijkste systemen, zoals domeincontrollers. Naast updates voor besturingssystemen moeten ook de applicaties niet worden vergeten. "Het patchen van applicaties is net zo belangrijk", aldus het techbedrijf. Daarnaast moet de blootstelling vanaf het internet worden beperkt, bijvoorbeeld via firewalls of het gebruik een vpn-verbinding die alleen via tweefactorauthenticatie werkt. Een ander bekend advies is het verminderen van het aantal gebruikers met bijvoorbeeld adminprivileges en andere hoge rechten. Om het aanvallen van systeembeheerders lastiger te maken kunnen organisaties ervoor kiezen om hen uit te rusten met aparte, extra beveiligde apparaten voor het uitvoeren van onderhoudswerkzaamheden. Afsluitend wordt aangeraden om oude legacy systemen te vervangen en logbestanden te analyseren. "Als je het lastiger dan gemiddeld kan maken, zullen aanvallers met weinig vaardigheden vaak snel opgeven en een volgend doelwit zoeken. Een focus op de basismaatregelen draagt bij aan het beschermen van de meeste mkb-bedrijven", zegt Alan Johnstone van Microsoft. bron: https://www.security.nl

Microsoft waarschuwt voor een nieuwe kwetsbaarheid in de Windows Print Spooler, het onderdeel van Windows dat verantwoordelijk is voor het verwerken van printjobs. Via het beveiligingslek kan een aanvaller willekeurige code op afstand uitvoeren. Een beveiligingsupdate is nog niet beschikbaar en details van de kwetsbaarheid zijn al openbaar gemaakt. Via het beveiligingslek, aangeduid als CVE-2021-36958, kan een aanvaller willekeurige code met systeemrechten uitvoeren. Als tijdelijke oplossing adviseert Microsoft om de Print Spooler service te stoppen. Dit heeft tot gevolg dat er niet meer lokaal en remote kan worden geprint. Microsoft zegt aan een beveiligingsupdate te werken. Wanneer die beschikbaar komt is nog niet bekend. De afgelopen maanden werden meerdere kwetsbaarheden in de Windows Print Spooler gevonden, die uiteindelijk onder de noemer PrintNightmare werden geschaard. Vanwege deze kwetsbaarheden besloot Microsoft deze maand nog de installatie van printerdrivers via de Point and Print-feature aan te passen. bron: https://www.security.nl

Onderzoekers waarschuwen voor ransomware die zowel NAS-systemen van QNAP als Synology kan infecteren. Het gaat om de eCh0raix-ransomware. Eerdere versies van deze ransomware werden apart ingezet tegen of QNAP of Synology NAS-systemen. De nu ontdekte variant kan apparaten van beide fabrikanten aanvallen. In het geval van QNAP-systemen maakt de ransomware hiervoor gebruik van een kwetsbaarheid in Hybrid Backup Sync (HBS 3). HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. Op 22 april kwam QNAP met een waarschuwing en stelde dat er beveiligingsupdates waren uitgerold om het probleem te verhelpen. In mei werd het beveiligingslek vervolgens misbruik door de Qlocker-ransomware. Nu hebben ook de ontwikkelaars van de eCh0raix-ransomware deze kwetsbaarheid aan hun arsenaal toegevoegd, meldt securitybedrijf Palo Alto Networks. In het geval van de Synology NAS-systemen wordt geen aanvalsvector genoemd, maar vorige week kwam Synology zelf met een waarschuwing dat NAS-systemen het doelwit van bruteforce-aanvallen waren waarbij veelgebruikte beheerderswachtwoorden werden geprobeerd. Het securitybedrijf stelt op basis van eigen onderzoek dat er zo'n 240.000 NAS-systemen van QNAP vanaf het internet toegankelijk zijn en zo'n 3500 van Synology. In het geval van een succesvolle aanval worden bestanden op het NAS-systeem versleuteld en moeten slachtoffers losgeld betalen voor het ontsleutelen. bron: https://www.security.nl

Mozilla heeft een nieuwe optie aan Firefox toegevoegd die het eenvoudig voor gebruikers moet maken om cookies en supercookies die door websites en trackers zijn geplaatst te verwijderen. Eerder werd Firefox al voorzien van Total Cookie Protection, waarbij alle cookies en data van een website in een aparte "cookie jar" binnen de browser worden opgeslagen. Door middel van Enhanced Cookie Clearing, beschikbaar in Firefox 91, is het mogelijk om per website de inhoud van de cookie jar te legen. "Deze "Enhanced Cookie Clearing" maakt het eenvoudig om alle sporen van een website in je browser te verwijderen, zonder de mogelijkheid dat sneaky third-party cookies achterblijven", zegt Mozillas Paul Zühlcke. Om van de feature gebruik te kunnen maken moet wel de Strict Tracking Protection zijn ingeschakeld. bron: https://www.security.nl

Microsoft heeft een oplossing uitgerold voor verschillende kwetsbaarheden in de Windows Print Spooler service die onder de verzamelnaam PrintNightmare bekendstaan. Voortaan is het niet meer mogelijk voor standaardgebruikers om nieuwe printers te installeren of bij te werken via drivers op een andere computer of server. Dit is alleen nog mogelijk wanneer de gebruiker over beheerdersrechten beschikt. Via Point en Print kunnen gebruikers verbinding met een remote printer maken en via de printserver de vereiste drivers downloaden. Onderzoekers lieten in juni zien hoe kwetsbaarheden in de Windows Print Spooler service gebruikt kunnen worden om op afstand code uit te voeren en systeemrechten te krijgen. Microsoft kwam met een update voor het deel dat het uitvoeren van code mogelijk maakt. Het verhogen van rechten was nog steeds mogelijk. In juli waarschuwden onderzoekers dat het via Point and Click mogelijk is om malafide printerdrivers te installeren waarmee een standaardgebruiker systeemrechten kan krijgen. Om dit tegen te gaan vereist Point and Print voortaan beheerdersrechten. "Ons onderzoek naar verschillende kwetsbaarheden met de naam "PrintNightmare" heeft uitgewezen dat het standaard gedrag van Point and Click klanten niet het vereiste beveiligingsniveau tegen potentiële aanvallen biedt", aldus Microsoft, dat toevoegt dat het nu de driverinstallatie via de feature heeft aangepast. Beveiligingsonderzoeker Benjamin Delpy laat echter op Twitter weten dat het via de feature nog steeds mogelijk voor een standaardgebruiker is om systeemrechten te krijgen. bron: https://www.security.nl

De volgende versie van Firefox die vandaag verschijnt beschikt over een feature die ervoor zorgt dat websites in Private Browsing standaard via https worden geladen, zo heeft Mozilla bekendgemaakt. Wanneer de gebruiker op een link klinkt die met http begint probeert Firefox eerst een https-verbinding op te zetten. Ondersteunt de website in kwestie geen https dan valt Firefox terug op http. Mozilla stelt dat HTTPS by Default, zoals de feature heet, niet geldt voor afbeeldingen, styles en scripts van de bezochte website. "Het zorgt er alleen voor dat de pagina zelf zo veilig mogelijk wordt geladen", aldus Mozillas Christoph Kerschbaumer. De Firefox-ontwikkelaar verwacht dat HTTPS by Default de komende maanden ook buiten de Private Browsing-mode van Firefox beschikbaar zal komen. bron: https://www.security.nl