Captain Kirk

In minder dan twee maanden tijd zijn meer dan veertigduizend computers via illegale software besmet geraakt met een cryptominer, zo stelt antivirusbedrijf Doctor Web. De malware zit verborgen in illegale versies van onder andere Adobe-software en Microsoft Office die via Telegram-kanalen en websites worden aangeboden. Eenmaal actief voegt de malware-loader zich toe aan de uitzonderingen van Windows Defender en zorgt ervoor dat de computer niet kan worden uitgeschakeld of in slaapstand kan. Het doel van de malware is om de rekenkracht van de computer te gebruiken voor het minen van cryptovaluta. Daarnaast wordt ook een rootkit geïnstalleerd die Windows Update uitschakelt, toegang tot websites blokkeert en verschillende maatregelen neemt om detectie van de cryptominer door de gebruiker te voorkomen. Zo wordt bijvoorbeeld het cryptominingproces gestopt wanneer de gebruiker software draait om processen op de computer te monitoren. bron: https://www.security.nl

Twee zerodaylekken in Ivanti Connect Secure VPN waarvoor nog geen beveiligingsupdate beschikbaar is worden op grote schaal misbruikt, waarbij al zeker zeventienhonderd systemen zijn gecompromitteerd, zo laat securitybedrijf Volexity weten. Een workaround die systemen moet beschermen is er wel, maar op bijna zevenduizend systemen is die niet doorgevoerd, aldus de Shadowserver Foundation. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Via de zerodaylekken worden er webshells op het vpn-systeem geïnstalleerd, waarmee er toegang tot het gecompromitteerde systeem wordt behouden en verdere aanvallen mogelijk zijn. Daarnaast bleek dat de aanvallers logbestanden op het systeem hadden verwijderd en logging hadden uitgeschakeld. De zerodays (CVE-2023-46805 en CVE-2024-21887) zijn voor zover bekend al sinds december gebruikt voor het aanvallen van organisaties, waarbij deze eerste aanvallen aan één groep worden toegeschreven. Sinds de bekendmaking van de kwetsbaarheden is het aantal aanvallen sterk gestegen. Daarbij maken nu ook verschillende andere groepen aanvallers misbruik van het beveiligingslek. Volgens de Shadowserver Foundation zijn er zeventienduizend Connect Secure VPN-systemen op internet te vinden, waarvan er 6800 de tijdelijke workaround niet hebben doorgevoerd. Organisaties die de beschermingsmaatregel nog niet hebben doorgevoerd worden opgeroepen om dit meteen te doen en de ingebouwde Integrity Check Tool te draaien om de aanwezigheid van malware te detecteren. Ivanti heeft aangegeven de eerste updates in de week van 22 januari beschikbaar te maken, waarbij de laatste versie voor de week van 19 februari gepland staat. bron: https://www.security.nl

Criminelen maken misbruik van een kwetsbaarheid in Windows SmartScreen om malware te installeren die allerlei informatie uit wachtwoordmanagers en authenticators steelt, alsmede cryptowallets en andere programma's. Dat laat antivirusbedrijf Trend Micro weten. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Via de kwetsbaarheid (CVE-2023-36025) is het mogelijk om ervoor te zorgen dat er geen waarschuwingen worden getoond. Microsoft kwam afgelopen november met beveiligingsupdates voor het probleem, dat toen al bij zeroday-aanvallen werd misbruikt. Nu wordt de kwetsbaarheid ook gebruikt door criminelen achter de Phemedrone Stealer, malware speciaal ontwikkeld voor het stelen van allerlei informatie van besmette systemen. Bij de aanvallen maken de aanvallers gebruik van malafide .url-bestanden. Zodra gebruikers daarop klikken wordt een malafide .cpl-bestand gedownload. Normaliter zou Windows SmartScreen waarschuwen voordat malafide bestanden van een onbetrouwbare bron worden uitgevoerd, maar door misbruik van CVE-2023-36025 te maken wordt deze waarschuwing niet getoond en het malafide cpl-bestand uitgevoerd. Dit bestand zorgt uiteindelijk voor het downloaden van de Phemedrone Stealer. De malware steelt wachtwoorden, cookies en autofill-informatie uit apps zoals LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile en Microsoft Authenticator, alsmede allerlei cryptowallets. Ook worden authenticatie-tokens uit de Discord-app gestolen om zo toegang tot het account van de gebruiker te krijgen. Tevens steelt de malware informatie uit de Steam-, Telegram- en FilleZill-accounts van de gebruiker en worden er allerlei bestanden uit specifieke locaties gestolen, zoals Mijn Documenten en Desktop. Organisaties die de update voor CVE-2023-36025 nog niet hebben geïnstalleerd worden door Trend Micro opgeroepen om dit alsnog te doen. bron: https://www.security.nl

De afgelopen weken zijn duizenden WordPress-sites via een kwetsbaarheid in de plug-in Popup Builder besmet geraakt met malware, zo stelt securitybedrijf Sucuri. Popup Builder is een plug-in waarmee WordPress-sites pop-ups kunnen maken die aan bezoekers worden getoond. Meer dan tweehonderdduizend websites maken er gebruik van. Begin vorige maand werd bekend dat er een stored cross-site scripting kwetsbaarheid in de plug-in aanwezig is. Daarmee kan een ongeauthenticeerde aanvaller dezelfde acties uitvoeren als een ingelogde beheerder, waaronder het installeren van willekeurige plug-ins en toevoegen van nieuwe beheerders. Op 7 december verscheen er een beveiligingsupdate voor de kwetsbaarheid. Uit cijfers van WordPress.org blijkt dat zeker de helft van de WordPress-sites met Popup Builder de update niet heeft geïnstalleerd. Nog geen week na het uitkomen van de patch begonnen aanvallers misbruik van de kwetsbaarheid te maken. Daarbij wordt malafide code aan WordPress-sites toegevoegd en een malafide plug-in geïnstalleerd die als backdoor fungeert. De toegevoegde malafide code stuurt bezoekers door naar malafide websites en zorgt voor pushnotificatiespam. Volgens Sucuri zijn inmiddels meer dan 6200 websites gecompromitteerd. bron: https://www.security.nl

E-mailprovider Proton Mail heeft uitgehaald naar de data die de nieuwe versie van Microsoft Outlook voor Windows verzamelt en met derde partijen deelt. Volgens het Zwitserse bedrijf is er sprake van surveillance voor financieel gewin. De nieuwe Outlook voor Windows vraagt toestemming om data met 772 partijen te delen. Die kunnen gegevens voor onder andere gerichte advertenties gebruiken, als het verkrijgen van locatiegegevens, meldt Proton Mail. "Deze laatste versie van Outlook bevestigt dat meer van de winsten van Big Tech afhankelijk worden van het verzamelen van persoonlijke data", stelt Edward Komenda van Proton Mail. Eerder meldde het Duitse Heise Online dat de nieuwe Outlook toegang tot inloggegevens van third-party e-mailproviders kan krijgen als gebruikers bijvoorbeeld hun Yahoo- of Gmail-account synchroniseren. "Microsoft geeft zichzelf toegang tot je e-mailaccount zonder dat je dit weet, zodat het je e-mails kan scannen en analyseren - en ze met derde partijen delen", claimt Proton Mail verder. "Met de lancering van deze nieuwe Outlook als een dataverzamelings- en advertentiedienst, heeft Microsoft laten zien dat het niet verschilt van de Googles en Metas van deze wereld. Als deze bedrijven privacy de standaard zouden maken, zouden ze de omzet verliezen waaraan ze verslaafd zijn geworden." Uit het privacybeleid blijkt dat Microsoft allerlei gegevens kan verzamelen, zoals naam en contactgegevens, wachtwoorden, demografische data, betalingsgegevens, abonnement- en licentiegegevens, zoekopdrachten, apparaat- en gebruiksgegevens, foutrapporten en prestatiegegevens, spraakgegevens, tekst-, inkt- en typgegevens afbeeldingen, locatiegegevens, content, feedback en beoordelingen en verkeersgegevens. Deze data kan vervolgen worden gedeeld met dienstverleners, betalingsverwerkers en advertentiediensten. Deze week meldde Zwitserse media dat de Zwitserse inlichtingendienst op grote schaal massasurveillance toepast. In een reactie stelt Proton Mail dat dit, vanwege genomen beveiligingsmaatregelen en het als eigen internetprovider opereert, geen gevolgen voor gebruikers voor de e-maildienst heeft. bron: https://www.security.nl

De aanvallers die achter de zeroday-aanval op Ivanti Connect Secure VPN zitten maakten hierbij gebruik van gecompromitteerde Cyberoam VPN-appliances die zich in hetzelfde land als hun slachtoffers bevonden, om zo vermoedelijk detectie te voorkomen. Dat laat securitybedrijf Mandiant weten. Ivanti waarschuwde woensdag voor twee zerodaylekken waardoor aanvallers Ivanti Connect Secure VPN-appliances kunnen overnemen. Deze apparaten stonden eerder nog bekend als Pulse Secure. Ivanti Connect Secure is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Via de zeroday-aanval werden er webshells op het vpn-systeem geïnstalleerd, waarmee er toegang tot het gecompromitteerde systeem wordt behouden en verdere aanvallen mogelijk zijn. Daarnaast bleek dat de aanvallers logbestanden op het systeem hadden verwijderd en logging hadden uitgeschakeld. Volgens Mandiant vinden de aanvallen al sinds december plaats door een vermoedelijk statelijke actor. Het securitybedrijf is bij het onderzoek naar de aanvallen betrokken, net als securitybedrijf Volexity dat eerder al met een analyse van de aanval kwam. Net als Volexity stelt ook Mandiant dat de aanvallers gekaapte Cyberoam VPN-appliances als command & control gebruikten voor het aansturen van gecompromitteerde Ivanti VPN's. Daarbij meldt Mandiant dat de gekaapte Cyberoam VPN-appliances end-of-life zijn en zich in hetzelfde land bevinden als organisaties die via de Ivanti-kwetsbaarheden werden aangevallen. "Dat heeft de aanvaller waarschijnlijk geholpen om beter detectie te voorkomen", aldus onderzoeker Tyler McLellan. Ivanti heeft een workaround beschikbaar gesteld waarmee organisaties zich kunnen beschermen. Beveiligingsupdates volgen later. bron: https://www.security.nl

GitLab waarschuwt voor een kritieke kwetsbaarheid waardoor een aanvaller accounts van gebruikers eenvoudig kan overnemen. Het blijkt mogelijk om e-mails voor het resetten van het accountwachtwoord op een ongeverifieerd e-mailadres te laten afleveren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. In het geval gebruikers voor hun account tweefactorauthenticatie (2FA) hebben ingeschakeld is het nog steeds mogelijk voor een aanvaller om het wachtwoord te resetten, maar niet om het account over te nemen, aangezien er nog een tweede factor is vereist om in te loggen. GitLab zegt niet bekend te zijn met misbruik van de kwetsbaarheid (CVE-2023-7028) en roept organisaties op die het platform zelf hosten om hun eigen logbestanden te controleren. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen. Organisaties kunnen GitLab op hun eigen server of servers installeren of door GitLab laten beheren. De kwetsbaarheid is volgens GitLab vorig jaar mei geïntroduceerd. Organisaties en gebruikers worden opgeroepen om zo snel mogelijk de update te installeren en voor belangrijk accounts 2FA in te schakelen. bron: https://www.security.nl

Digitale burgerrechtenbewegingen maken zich zorgen over een encryptiediscussie die de Europese Commissie achter gesloten deuren voert en zou moeten leiden tot een “access by design” verplichting in de ontwikkeling van alle privacytechnologieën. De in totaal 21 organisaties pleiten in een open brief voor meer transparantie en deelname van alle 'stakeholders'. De Europese Commissie heeft een High-Level Group (HLG) opgericht bestaande uit afgevaardigden van nationale opsporingsdiensten met als doel het bespreken van 'toegang tot data voor effectieve rechtshandhaving'. "Het doel van deze groep is het vinden van manieren waardoor de EU politiediensten juridisch en technisch toegang tot meer data kan geven, alsmede het omzeilen van encryptie andere essentiële beveiligingsfeatures in al onze digitale apparaten", aldus digitale burgerrechtenbeweging EDRi. De overleggen van deze groep vinden achter gesloten deuren plaats. Verschillende maatschappelijke organisaties hebben vorig jaar aangeboden om mee te overleggen, om zo hun visie en expertise over het onderwerp te delen. Deze verzoeken werden afgewezen, waarbij alleen schriftelijke inbreng werd geaccepteerd, die indien relevant mogelijk op een later moment tot een uitnodiging zou kunnen leiden. De burgerrechtenbewegingen stellen dat ze in de tussentijd ontdekten dat verschillende 'industriespelers' wel waren uitgenodigd. Dat zou tot een ongebalanceerde belangenbehartiging kunnen leiden, zo waarschuwen de organisaties. Die maken zich met name zorgen over het doel van de HLG, om voor een 'security by design' aanpak voor al het Europese beleid en wetgeving te zorgen. "We begrijpen dat dit frame een poging is om voor opsporingsdiensten een 'access by design' verplichting in de ontwikkeling van alle privacytechnologieën door te voeren, wat een ernstige belemmering zou zijn voor mensen om hun fundamentele rechten op privacy, databescherming, vrijheid van meningsuiting, informatie en vereniging, uit te oefenen. Het kan ook onvoorziene, schadelijke gevolgen voor de veiligheid van de vitale infrastructuur hebben waar we allemaal op vertrouwen bij het gebruik van elektronische communicatiediensten en digitale apparaten. Daarom is het zo belangrijk dit debat in openheid te voeren", aldus de burgerrechtenbewegingen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Microsoft SharePoint, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Via het beveiligingslek (CVE-2023-29357) kan een ongeauthenticeerde aanvaller door middel van gespoofte authenticatietokens beheerder van de SharePoint-server worden. Het gaat hier om een 'Elevation of Privilege' kwetsbaarheid. Dergelijke beveiligingslekken worden meestal niet als kritieke bestempeld, maar dat is in dit geval wel zo. Daarnaast is de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft kwam op 13 juni vorig jaar met beveiligingsupdates voor het probleem. Het CISA geeft geen details over het waargenomen misbruik, maar heeft Amerikaanse overheidsinstanties opgedragen de update voor 31 januari te installeren. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt organisaties voor actief aangevallen zerodaylekken in Ivanti Connect Secure en Ivanti Policy Secure Gateways waardoor een ongeauthenticeerde aanvaller commando's op het vpn-systeem kan uitvoeren. Updates zijn nog niet beschikbaar, wel een workaround om systemen te beschermen. Ivanti Connect Secure is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. De twee kwetsbaarheden (CVE-2023-46805 en CVE-2024-21887) betreffen een authenticatie bypass en command injection kwetsbaarheid. De impact van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met respectievelijk een 8.2 en 9.1. Ivanti werd ingelicht door securitybedrijf Volexity, dat aanwijzingen van de zerodaylekken in de tweede week van december ontdekte. Via de zeroday-aanval werden er webshells op het vpn-systeem geïnstalleerd, waarmee er toegang tot het gecompromitteerde systeem wordt behouden en verdere aanvallen mogelijk zijn. Daarnaast bleek dat de aanvallers logbestanden op het systeem hadden verwijderd en logging hadden uitgeschakeld. Verder onderzoek wees uit dat het systeem al sinds 3 december was gecompromitteerd. De aanvallers hadden configuratiegegevens gestolen, bestaande bestanden aangepast, remote bestanden gedownload en een reverse tunnel vanaf het vpn-systeem opgezet. Door het aanpassen van legitieme onderdelen van het vpn-systeem en systeemaanpassingen door te voeren konden de aanvallers de Ivanti Connect Secure Integrity Checker omzeilen. Tevens wijzigde de aanvaller een JavaScript-bestand gebruikt door het web-onderdeel van de vpn, om zo inloggegevens van gebruikers die inlogden op te slaan en te stelen. Via de verzamelde gegevens kon er vervolgens toegang tot interne systemen worden verkregen, wat uiteindelijke leidde tot volledige toegang tot de systemen op het netwerk. Ook ontdekten de onderzoekers dat de aanvallers inloggegevens uit een installatie van de Veeam back-up-software die de organisatie gebruikte hadden gestolen. Volgens Volexity is de aanval het werk van een vanuit China opererende groep die het de naam UTA0178 heeft gegeven. De eerste updates verwacht Ivanti in de week van 22 januari uit te brengen. Tegen welke organisatie of organisaties de zerodays zijn ingezet is niet bekendgemaakt. Vorig jaar werd de Noorse overheid nog aangevallen via een zerodaylek in Ivanti Endpoint Manager Mobile. bron: https://www.security.nl

Zo'n 150.000 WordPress-sites zijn door een kritieke kwetsbaarheid in een populaire SMTP-plug-in op afstand over te nemen. Een beveiligingsupdate is beschikbaar, maar veel websites hebben die nog niet geïnstalleerd. De kwetsbaarheid is aanwezig in de plug-in "POST SMTP", waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Dat meldt securitybedrijf Wordfence. De plug-in is een vervanging voor de standaard PHP-mailfunctie van WordPress. Meer dan 300.000 websites maken gebruik van de plug-in. De plug-in is via een mobiele app te bedienen. Een kwetsbaarheid in een functie van deze app maakt het mogelijk voor een aanvaller om alle verzonden e-mails te bekijken, waaronder wachtwoordresetmails. Een aanvaller kan een wachtwoordreset voor de beheerder uitvoeren en via de kwetsbaarheid dit bericht in handen krijgen om vervolgens een eigen wachtwoord voor de beheerder in te stellen en zo de website over te nemen. Op 1 januari verscheen een update voor de kwetsbaarheid. Uit cijfers van WordPress.org blijkt dat zo'n 150.000 websites de patch geïnstalleerd hebben, wat inhoudt dat nog een zelfde aantal kwetsbaar is. bron: https://www.security.nl

Microsoft verwacht dat aanvallers misbruik zullen gaan maken van een kritieke Kerberos-kwetsbaarheid in Windows waarvoor gisteren beveiligingsupdates verschenen. Kerberos is een authenticatieprotocol dat vaak wordt gebruikt om gebruikers of hosts in Windowsomgevingen te authenticeren. Het is ook het authenticatieprotocol gebruikt in Active Directory-implementaties. Duizenden organisaties en bedrijven wereldwijd maken gebruik van Active Directory om gebruikersgroepen en rechten te definiëren en netwerkvoorzieningen beschikbaar te maken. Tijdens de eerste patchdinsdag van 2024 kwam Microsoft met beveiligingsupdates voor 49 kwetsbaarheden, waarvan er twee als kritiek zijn aangemerkt. De Kerberos-kwetsbaarheid (CVE-2024-20674) heeft de hoogste impactscore gekregen, een 9.0 op een schaal van 1 tot en met 10. Via het beveiligingslek kan een ongeauthenticeerde aanvaller man-in-the-middle (MiTM) aanvallen uitvoeren waarbij hij een Kerberos-authenticatiesever spooft. Een aangevallen client ontvangt in dit geval een bericht van de aanvaller dat van de echte Kerberos-authenticatieserver afkomstig lijkt. Een aanvaller zou hiervoor wel eerst toegang tot het netwerk moeten krijgen. Microsoft omschrijft de kwetsbaarheid als een " Security Feature Bypass". Dergelijke beveiligingslekken krijgen meestal een lagere impactscore, maar in dit geval gaat het volgens Microsoft om een kritieke kwetsbaarheid. Daarnaast verwacht het techbedrijf dat aanvallers er misbruik van zullen gaan maken. "Exploitation more likely", aldus Microsoft eigen Exploitability Index. Volgens de uitleg zijn soortgelijke kwetsbaarheden in het verleden vaker misbruikt, wat het een aantrekkelijk doelwit voor aanvallers maakt en het daardoor waarschijnlijker is dat er ook exploits zullen verschijnen. Organisaties die van Kerberos gebruikmaken moeten deze kwetsbaarheid dan ook met een hogere prioriteit behandelen, aldus Microsoft. bron: https://www.security.nl

Aanvallers maken actief misbruik van bekende kwetsbaarheden in iOS, Joomla, Adobe ColdFusion en Apache Superset, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De iOS-kwetsbaarheid werd gebruikt bij een jarenlange spionagecampagne tegen iPhones, aldus antivirusbedrijf Kaspersky dat de aanval ontdekte en aan Apple rapporteerde. Apple kwam op 23 januari vorig jaar met beveiligingsupdates voor het probleem, maar liet destijds niet weten dat het zerodaylek in kwestie was verholpen. Op 8 september vorig jaar wijzigde Apple de beveiligingsbulletins en vermeldde toen pas dat de kwetsbaarheid, aangeduid als CVE-2023-41990, was verholpen. Kaspersky kwam zelf op 27 december met een uitgebreide analyse van de spionage-aanval, waarbij ook het gebruik van het beveiligingslek werd genoemd. Via de kwetsbaarheid, aanwezig in een ongedocumenteerde functie van Apples FontParser, is remote code execution mogelijk. Tevens meldt het CISA misbruik van bekende kwetsbaarheden in het contentmanagementsysteem Joomla! (CVE-2023-23752), Adobe ColdFusion (CVE-2023-38203 en CVE-2023-29300) en Apache Superset (CVE-2023-27524). De impact van de kwetsbaarheden in Adobe ColdFusion en Apache Superset is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het CISA heeft Amerikaanse overheidsinstanties opgedragen om de betreffende kwetsbaarheden voor 29 januari te patchen. bron: https://www.security.nl

Vorig jaar zijn er zo'n 29.000 kwetsbaarheden op de Common Vulnerabilities and Exposures (CVE)-lijst geregistreerd, een stijging ten opzichte van de 25.000 in 2022. CVE voorziet sinds 1999 elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. CVE-nummers worden uitgegeven door een CVE Numbering Authority (CNA). Aan CVE-nummers kan een impactscore worden toegekend op een schaal van 1 tot en met 10.0. Vorig jaar waren er 36 kwetsbaarheden met deze maximale score, aldus Cisco-engineer Jerry Gamblin in een analyse van de cijfers. CVE-2023-21928, een beveiligingslek in Oracle Solaris, was de kwetsbaarheid met de laagste impactscore, een 1.8. Als er wordt gekeken naar het soort kwetsbaarheden, dan staat cross-site scripting met ruim vijftien procent bovenaan, gevolgd door SQL injection en out-of-bounds write. Op basis van een Kalman Filter verwacht Gamblin dat er dit jaar 32.600 kwetsbaarheden worden geregistreerd. Niet aan alle gevonden of verholpen kwetsbaarheden wordt een CVE-nummer toegekend. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt voor een kritieke kwetsbaarheid in Ivanti Endpoint Manager waardoor een aanvaller controle over apparaten kan krijgen die via de oplossing worden beheerd. Via de Endpoint Manager kunnen organisaties laptops, smartphones en servers beheren. Daarvoor draait erop deze systemen een 'agent' van de Endpoint Manager, die het beheer op afstand mogelijk maakt. Door middel van SQL-injection kan een aanvaller die toegang tot het netwerk van een organisatie heeft opdrachten uitvoeren waarmee machines die de Endpoint Manager-agent draaien zijn over te nemen. In het geval de Endpoint Manager-server geconfigureerd is om SQL express te gebruiken kan ook deze server worden overgenomen. De impact van de kwetsbaarheid (CVE-2023-39336) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Ivanti werd door een externe onderzoeker over de kwetsbaarheid geïnformeerd en zegt dat er geen aanwijzingen zijn dat klanten slachtoffer van het beveiligingslek zijn geworden. Klanten worden opgeroepen om de update die het probleem verhelpt te installeren. Vorig jaar werd de Noorse overheid nog aangevallen via een zerodaylek in Ivanti Endpoint Manager Mobile. bron: https://www.security.nl

Mozilla gaat zich de komende jaren meer richten op AI en wil de technologie onder andere aan Firefox gaan toevoegen. Was Firefox vroeger populair omdat het goed was in het blokkeren van pop-ups, nu zoekt de browserontwikkelaar naar een 'pop-up-blocker voor het AI-tijdperk', zo zegt president en algemeen directeur Mark Surman tegenover TechCrunch en op de website van Mozilla zelf. Volgens Surman is open source AI een noodzakelijk onderdeel om het volgende tijdperk van het internet voor iedereen open en toegankelijk te maken. Mozilla lanceerde eerder al het bedrijf Mozilla.ai. Dat moet 'betrouwbare, open source en bruikbare' AI-technologie voor mensen gaan ontwikkelen. Zo zal Mozilla.ai als eerste tools gaan ontwikkelen om open source large language models (LLM's) nauwkeuriger en veiliger te maken, alsmede eenvoudiger uit te rollen. ChatGPT is een voorbeeld van een LLM. Mozilla wil op deze manier naar eigen zeggen AI een meer betrouwbare richting op duwen. Daarnaast zal Mozilla AI aan verschillende kernproducten toevoegen, zoals Firefox. Dit jaar wordt de browser uitgebreid met FakeSpot, om zo neprecensies op internet te herkennen. Mozilla kijkt echter ook naar andere toepassingen. Het kan dan bijvoorbeeld gaan om een ingebouwde chatbot zoals Microsoft Edge heeft. "Ik denk dat je de browser zal zien evolueren", merkt Surman op. Daarbij zoekt Mozilla vooral naar nuttige toepassingen. Volgens Surman was Firefox in de begindagen populair omdat het beter dan andere browsers vervelende pop-up-advertenties kon blokkeren. Nu zoekt de browserontwikkelaar naar een equivalent voor huidige gebruikers. "De vraag die we ons nu stellen is: Wat is de pop-up-blocker voor het AI-tijdperk? Wat is het dat mensen echt willen dat voor hen opkomt en de internetervaring beter maakt?" bron: https://www.security.nl

Criminelen zijn erin geslaagd het X-account van securitybedrijf Mandiant, een dochteronderneming van Google, te kapen en te misbruiken voor een cryptoscam. Zo werd in de beschrijving van het account gewezen naar de Phantom-cryptowallet, waarmee cryptovaluta en NFT's (Non-Fungible Tokens) zijn op te slaan, maar in werkelijkheid werd er gelinkt naar een scamwebsite. Ook in tweets van het Mandiant-account werd reclame voor de Phantom-wallet gemaakt en dat via de gelinkte sites gratis tokens konden worden verkregen. In een persverklaring stelt Mandiant, dat in 2022 nog voor 5,4 miljard dollar door Google werd overgenomen, dat er een incident met het X-account was. Inmiddels heeft het securitybedrijf weer de controle over het account teruggekregen, dat ruim 122.000 volgers telt. Hoe het account kon worden gekaapt is niet bekendgemaakt. bron: https://www.security.nl

Bijna 11 miljoen SSH-servers wereldwijd zijn kwetsbaar voor de 'Terrapin-aanval' die eind december werd onthuld, waaronder bijna 367.000 in Nederland, zo laat de Shadowserver Foundation vandaag weten. Via de aanval kan een aanvaller de gebruikte authenticatie-algoritmes downgraden en bepaalde maatregelen tegen keystroke timing-aanvallen, die in OpenSSH 9.5 werden geïntroduceerd, uitschakelen. Om de aanval uit voeren moet een aanvaller wel een man-in-the-middle-positie tussen de client en server hebben, waarbij het mogelijk is om verkeer op de TCP/IP-laag te onderscheppen en aan te passen. Daarnaast moet voor het opzetten van de verbinding gebruik worden gemaakt van ChaCha20-Poly1305 of de Cipher Block Chaining (CBC) encryptiemode met de optie 'Encrypt-then-MAC'. Via SSH kunnen gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren. De Terrapin-kwetsbaarheid, ook aangeduid als CVE-2023-48795, is volgens de onderzoekers vanwege de kwetsbare encryptiemodes lastig te patchen. Wel zijn inmiddels voor allerlei populaire programma's, waaronder OpenSSH, PuTTY en WinSCP, updates uitgekomen. De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. De organisatie scant regelmatig op kwetsbare systemen. Bij de laatste scan werd gecontroleerd op CVE-2023-48795. Dan blijkt dat bijna elf miljoen servers nog kwetsbaar zijn, aldus de onderzoekers, waarvan bijna 367.000 in Nederland. bron: https://www.security.nl

Wachtwoordmanager LastPass verplicht dat alle gebruikers voortaan een master password van minimaal twaalf karakters gebruiken. Gebruikers die nog niet aan de vereiste voldoen moeten hun wachtwoord aanpassen. LastPass adviseert sinds 2018 het gebruik van minimaal twaalf karakters voor het master password, maar dit was niet verplicht. Gebruikers konden daardoor ook een veel korter wachtwoord kiezen. De nieuwe verplichting vereist dat gebruikers eerst inloggen op hun LastPass-account. Vervolgens moeten ze aangeven of ze een wachtwoord van minimaal twaalf karakters gebruiken. Is dit niet het geval, dan moet er een nieuw master password worden ingesteld. Volgens LastPass moet dit de wachtwoordkluizen van gebruikers beter beschermen. Verder gaat LastPass volgende maand controleren of nieuwe of aangepaste master password in bekende datalekken voorkomen. In het geval dit zo is krijgen gebruikers een melding om een nieuw wachtwoord te kiezen. Eind 2022 wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer van LastPass op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Volgens onderzoekers wisten de aanvallers toegang tot de inhoud van de gestolen kluisdata te krijgen en konden zo miljoenen dollars aan cryptovaluta stelen. Daarnaast kwam LastPass ook onder vuur te liggen. Zo hekelde beveiligingsonderzoeker en Adblock Plus-ontwikkelaar Wladimir Palant de manier waarop LastPass met het datalek is omgegaan. Zo duurde het maanden om gebruikers te waarschuwen, zijn er geen zinvolle oplossingen gegeven, is de ernst van de aanval gebagatelliseerd, zijn technische problemen die al jaren geleden bekend werden genegeerd en is zo het werk van de aanvallers een stuk eenvoudiger gemaakt, aldus de onderzoeker. bron: https://www.security.nl

De Japanse softwareontwikkelaar Ateam heeft jarenlang gegevens van klanten, zakelijke partners en medewerkers via een onbeveiligde Google Drive gelekt. Bestanden die in de cloudopslagdienst van Google waren opgeslagen waren door het verkeerd instellen van de permissies voor iedereen op internet toegankelijk. Om de bestanden te bekijken moest wel de betreffende bestandslink bekend zijn. De permissies voor de bestanden stonden al sinds maart 2017 verkeerd ingesteld. Het probleem werd afgelopen 22 november opgelost. Vorige maand maakte de ontwikkelaar het datalek bekend. Ateam, dat games, zakelijke applicaties, websites, diensten en tools aanbiedt, is sinds 20 december bezig met het informeren van gedupeerden. Op dit moment is het nog onbekend of er misbruik van de gelekte data is gemaakt. Naar aanleiding van het datalek heeft de ontwikkelaar besloten om bij alle gebruikte cloudopslagdiensten de permissies te controleren, alsmede monitoring en het gebruik van securitytools te versterken. bron: https://www.security.nl

Het populaire gamingplatform Steam is, zoals begin vorig jaar al werd aangekondigd, nu officieel gestopt met de ondersteuning van Windows 7, Windows 8 en Windows 8.1. De Steamversie voor deze Windowsversies ontvangt geen updates meer en ook is er geen technische ondersteuning meer beschikbaar. Steam-ontwikkelaar Valve adviseert gebruikers om te updaten naar een nieuwere Windowsversie. Steam zal vooralsnog op Windows 7, 8 en 8.1 blijven werken, maar er worden geen garanties gegeven dat dit zo zal blijven. Mocht Steam stoppen met werken, dan kunnen gebruikers hun gekochte games niet meer gebruiken. De drie besturingssystemen hebben bij elkaar op dit moment nog een aandeel van bijna één procent. Het grootste deel van de Steamgebruikers maakt gebruik van Windows 10. Steam zou maandelijks 132 miljoen actieve gebruikers hebben. bron: https://www.security.nl

E-mailadressen zijn geen goede permanente identifiers voor accounts, zo stelt Chris Siebenmann van de Universiteit van Toronto. Veel organisaties maken gebruik van e-mailadressen als interne identificatie voor accounts. Volgens Siebenmann zijn er twee problemen met deze aanpak. E-mailadressen van personen kunnen veranderen, zelfs binnen een organisatie. Daarnaast bestaat er de mogelijkheid dat organisaties e-mailadressen hergebruiken. "Soms heb je geen keus, omdat account recovery via het bekende e-mailadres moet gaan, maar in andere gevallen heb je een vorm van interne ID die uniek en permanent zou moeten zijn, en die moet je gebruiken", aldus Siebenmann. Zelfs wanneer e-mailadressen voor accountherstel worden gebruikt, zou de interne identifier die de organisatie voor accounts gebruikt betekenisloos moeten zijn. "Dit maakt je leven op de lange termijn een stuk eenvoudiger, zelfs als het nooit aan mensen wordt getoond." Het pleidooi van Siebenmann zorgde voor honderden reacties op Hacker News. In één van de reacties wordt gesteld dat er geen goede identiteit is. "E-mailadressen veranderen, mensen verliezen toegang tot oude e-mailadressen. Mensen houden niet van gebruikersnamen, ze willen niet-unieke gebruikersnamen kunnen kiezen in plaats van iets als user53267 te gebruiken. Mensen verliezen toegang tot apparaten, alleen het opslaan van een geheim UUID in hun cookie, of het gebruik van een passkey van hun apparaat gaat niet werken. Er is geen ideale oplossing, behalve het combineren van verschillende dingen." bron: https://www.security.nl

Criminelen hebben een manier gevonden waardoor ze via gegevens die van een besmette computer zijn gestolen op Google-accounts kunnen inloggen, ook al heeft de eigenaar het wachtwoord inmiddels aangepast. Google is over de methode ingelicht, maar doet niets om het probleem te verhelpen, zo melden securitybedrijven Hudson Rock en CloudSek in twee blogposting en YouTube-video. Er zijn allerlei malware-exemplaren die inloggegevens zoals wachtwoorden en cookies van besmette computers stelen. Gebruikers wordt in dergelijke scenario's aangeraden om na ontdekking van de malware die eerst te verwijderen en dan voor alle accounts een nieuw wachtwoord in te stellen. De makers van de Lumma-malware, een infostealer die allerlei inloggegevens steelt, hebben echter een manier gevonden waardoor ze ook na een dergelijke wachtwoordreset nog steeds toegang tot accounts hebben. Hiervoor moet de malware, voordat die verwijderd wordt, eerst tokens en account-ID's uit Google Chrome zien te stelen. Met de gestolen gegevens is het mogelijk om Google-servicecookies opnieuw te genereren en daarmee toegang tot het account van het slachtoffer te krijgen, ook al heeft die in de tussentijd zijn wachtwoord gewijzigd. Inmiddels maken meerdere malware-exemplaren gebruik van deze methode. "Google-cookies die niet verlopen en zelfs werken wanneer het accountwachtwoord is gewijzigd, een gigantisch voordeel voor cybercriminelen en Google doet niets", zegt Alon Gal van Hudson Rock, die stelt dat hij Google al in oktober heeft gewaarschuwd. bron: https://www.security.nl

Maar hé, jaren 70. Dat is nogal een bepalend jaar voor de muziek geweest. Moody Blues, Eagels, Led Zeppelin....En dan alle zeezenders: Mia Migo, Noordzee, Caroline, Veronica. Samen met de jaren tachtig toch de betere muziekperiode...of ik ben ook oud.... 🤣 Draai niet voor niets geregeld muziek uit deze periode op mijn stationnetje.

Certificaatautoriteit Let's Encrypt voorziet inmiddels meer dan 377 miljoen websites van een gratis tls-certificaat, ruim 55 miljoen meer dan een jaar geleden. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG), een non-profitorganisatie die honderd procent afhankelijk van donaties is, en heeft een volledig versleuteld web als doel. Dagelijks geeft Let's Encrypt, dat uit 27 medewerkers bestaat, drie miljoen certificaten uit, die websites gebruiken voor het opzetten van een versleutelde verbinding met gebruikers. Een jaar geleden waren dat er nog 2,5 miljoen. Volgens Sarah Gran,vicepresident van het ISRG, was Let's Encrypt een 'game changer' voor internetveiligheid. Websites kunnen via de certificaatautoriteit kosteloos, geautomatiseerd en van een betrouwbare partij een tls-certificaat verkrijgen. De certificaten van Let's Encrypt zijn geldig voor een periode van negentig dagen, maar dat zal volgend jaar een stuk korter worden. Let's Encrypt is van plan om certificaten maximaal tien dagen geldig te laten zijn, wat de impact van gecompromitteerde private keys van het certificaat moet verminderen, aldus Gran. bron: https://www.security.nl