Captain Kirk

Ook ik wens iedereen een paar mooie en gezellige dagen en alvast een voorspoedig 2024. En mocht je voor de feestdagen nog een leuk radiostation zoeken: zondag 24 december zet ik de speciale kerstuitzending van mijn internetstation online: Just Your Music Station

Gelukkig staan ze bij mij nog niet met het pistool klaar, maar het is in zekere zin wel herkenbaar. In de meer dan 30 jaar dat ik nu voor de klas sta is de mentaliteit van met name ouders (sta in het basisonderwijs) niet altijd ten goede meegegroeid.

Instagram-gebruikers zijn het doelwit van een phishingaanval, waarbij wordt geprobeerd hun back-upcodes te stelen zodat aanvallers de tweefactorauthenticatie (2FA) kunnen omzeilen, zo meldt securitybedrijf Trustwave. Instagram biedt gebruikers de optie om hun account door middel van 2FA te beveiligen. In het geval gebruikers de vereiste 2FA-code niet kunnen genereren, bijvoorbeeld omdat ze hun telefoon kwijt zijn, kan er door middel van een back-upcode toch toegang tot het account worden verkregen.Back-upcodes bestaan uit acht cijfers en zijn eenmalig te gebruiken. Gebruikers kunnen wanneer ze op hun account zijn ingelogd een nieuwe lijst met codes genereren. De phishingmails die de aanvallers versturen stellen dat er copyrightklachten over het account van de gebruiker zijn binnengekomen. De link naar het 'bezwaarformulier' wijst echter naar een phishingsite. De website vraagt gebruikers om hun inloggegevens, alsmede of ze voor hun account 2FA hebben ingeschakeld. Als de gebruiker hier bevestigend op antwoordt vraagt de phishingsite om een back-upcode, gevolgd door het telefoonnummer en e-mailadres. "Er zijn zoveel manieren om op Instagram in te loggen en cybercriminelen maken hier misbruik van", aldus Trustwave. bron: https://www.security.nl

Google heeft voor de achtste keer dit jaar een actief aangevallen zeroday-kwetsbaarheid in Chrome verholpen. Het beveiliigignslek, aangeduid als CVE-2023-7024, bevindt zich in het WebRTC-onderdeel van Chrome, dat browsers van Real-Time Communicatie (RTC) voorziet, zoals online video. De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Drie weken geleden kwam Google ook al met een update voor een zeroday die door deze groep was ontdekt. Google Chrome 120.0.6099.129/130 is beschikbaar voor Windows, voor Linux en macOS is versie 120.0.6099.129 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

De FBI heeft een decryptietool ontwikkeld waarmee honderden slachtoffers van de ALPHV/BlackCat-ransomware hun bestanden kunnen terugkrijgen. Dat meldt het Amerikaanse ministerie van Justitie. Eerder vandaag werd al bekend dat de Amerikaanse opsporingsdienst in samenwerking met andere politiediensten de oude website van de ransomwaregroep in beslag heeft genomen. Volgens het ministerie van Justitie is de ALPHV-groep de op één na meest actieve ransomwaregroep van de afgelopen anderhalf jaar, waarbij het zich baseert op de 'honderden miljoenen dollars' die slachtoffers betaalden. De groep hanteert een 'ransomware-as-a-service' (RaaS) model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De Amerikaanse autoriteiten claimen dat de ALPHV-groep wereldwijd meer dan duizend slachtoffers heeft gemaakt. Tijdens het onderzoek naar de criminelen kreeg de FBI naar eigen zeggen zichtbaarheid in het netwerk van de criminelen, waarbij het 946 public/private key paren voor de door ALHPV gebruikte Tor-sites in handen kreeg. De ransomwaregroep maakt voor elk slachtoffer een aparte Tor-site aan om te communiceren en onderhandelen. De FBI heeft ook een decryptietool ontwikkeld waarmee meer dan vijfhonderd slachtoffers hun systemen kunnen herstellen, zo laat het ministerie verder weten. Hoe de dienst deze tool kon ontwikkelen is niet bekendgemaakt. Daarnaast is er een beloning uitgeloofd voor informatie over personen die achter de groep zitten. Het gaat om een beloning tot 10 miljoen dollar. bron: https://www.security.nl

Een kwetsbaarheid in de interpretatie van het SMTP-protocol maakt het mogelijk om vanaf allerlei domeinen gespoofte e-mails te versturen en zo phishingaanvallen uit te voeren. Daarvoor waarschuwt securitybedrijf SEC Consult, dat de gebruikte methode 'SMTP smuggling' noemt. Het Simple Mail Transfer Protocol (SMTP) is een protocol voor het versturen van e-mail dat sinds 1980 wordt gebruikt. Bij een SMTP-sessie worden eerst verschillende commando's tussen de SMTP-servers uitgewisseld, gevolgd door de inhoud van het e-mailbericht, waarna de sessie wordt gesloten. SMTP-smuggling maakt misbruik van 'interpretatieverschillen' waar de berichtdata van de e-mail eindigt. Zo kan een aanvaller via de berichtdata, die door een kwetsbare SMTP-server verkeerd wordt geïnterpreteerd, SMTP-commando's uitvoeren en via de kwetsbare server aparte e-mails versturen. De onderzoekers ontdekten dat SMTP smuggling werkte tegen onder andere e-mailprovider GMX en Exchange Online. Zo was het mogelijk om gespoofte e-mails vanaf miljoenen domeinen naar miljoenen ontvangende SMTP-servers te versturen. GMX en Microsoft hebben het probleem inmiddels verholpen. Het probleem is ook vastgesteld in de Cisco Secure Email Gateway en cloud-gebaseerde Cisco Secure Email Cloud Gateway. Deze oplossing zijn nog kwetsbaar en SEC Consult adviseert bedrijven die van Cisco's mailproducten gebruikmaken om hun kwetsbare standaardconfiguratie aan te passen. De onderzoekers hebben een analysetool gemaakt waarmee organisaties kunnen kijken of ze kwetsbaar zijn, maar zullen die pas op een later moment openbaar maken. bron: https://www.security.nl

De Europese Commissie is een onderzoek gestart naar X wegens het mogelijk overtreden van de Digital Service Act (DSA). Het gaat dan om zaken als risicomanagement, modereren van content, gebruik van 'dark patterns', transparantie over advertenties en datatoegang voor onderzoekers. Onlangs werd er bij de Europese privacytoezichthouder nog een klacht tegen de Europese Commissie ingediend vanwege de manier waarop het X gebruikte om gerichte advertenties te tonen voor het invoeren van client-side scanning. Brussel noemt vier gebieden waarop het onderzoek zich richt. Het gaat dan om de aanpak van "illegale content", de genomen maatregelen om "informatiemanipulatie" tegen te gaan, de toegang tot gegevens door onderzoekers en een mogelijk misleidend ontwerp in de gebruikersinterface, met betrekking tot bepaalde abonnementsdiensten, de zogenoemde 'blauwe badges'. Het is voor het eerst dat de Europese Commissie een formeel onderzoek naar het overtreden van de DSA door een bedrijf start. Voor het overtreden van de DSA kan Brussel een boete opleggen die zes procent van de wereldwijde omzet bedraagt. In een reactie tegenover TechCrunch laat X weten dat het zich inzet om aan de Digital Service Act te voldoen en meewerkt met regelgeving. "Het is belangrijk dat dit proces vrij blijft van politieke invloed en de wet volgt. X richt zich op het creeren van een veilige en inclusieve omgeving voor alle gebruikers op ons platform, terwijl tegelijkertijd de vrijheid van meningsuiting wordt beschermd", aldus een woordvoerder. De DSA is april vorig jaar aangenomen door de Europese Unie en geldt sinds augustus voor de negentien allergrootste digitale diensten die gemiddeld meer dan 45 miljoen actieve gebruikers per maand hebben. Daar vallen onder meer socialmediaplatforms Facebook, Instagram en X onder, maar ook de zoekmachines van Bing en Google en de Apple App Store en Google Play Store. Ook Booking.com, Aliexpress en Snapchat moeten aan de DSA voldoen omdat zij (juridisch) vanuit Nederland in Europa opereren. bron: https://www.security.nl

Criminelen hebben een zerodaylek gebruikt om QNAP VioStor NVR-apparaten onderdeel van een botnet te maken dat ddos-aanvallen uitvoert. QNAP kwam op 9 december met een waarschuwing voor de kwetsbaarheid, die daarvoor al werd misbruikt. Dat laat internetbedrijf Akamai in een analyse weten. Via het beveiligingslek is command injection mogelijk, waardoor een aanvaller op afstand commando's op kwetsbare apparaten kan uitvoeren. QNAP VioStor NVR is een netwerksurveillance-oplossing voor het monitoren van ip-camera's, waaronder video-opnames, bekijken van beelden en remote toegang tot data. Volgens QNAP is de kwetsbaarheid (CVE-2023-47565) aanwezig in legacy QNAP VioStor NVR-modellen die QVR firmware 4.x draaien. Bij de waargenomen aanvallen versturen de aanvallers een speciaal geprepareerd request dat gebruikmaakt van het standaard wachtwoord van de VioStor. Vervolgens wordt zo malware op het apparaat geïnstalleerd. QNAP stelt dat het de kwetsbaarheid al op 21 juni 2014 in versie 5.0.0 van de QVR-firmware heeft verholpen en adviseert gebruikers naar deze versie te updaten. Het bestaan van het beveiligingslek is nooit naar gebruikers toe gecommuniceerd, aldus Akamai. Volgens het internetbedrijf laten de aanvallen zie hoe belangrijk het is dat gebruikers tijdens de initiële setup het standaard wachtwoord wijzigen. "De aanwezigheid van standaard wachtwoorden en verouderde, niet meer ondersteunde netwerksystemen is een route voor botnet-infecties. Legacy systemen zijn een vruchtbare bodem voor het vinden en misbruiken van nieuwe kwetsbaarheden om zo malware te verspreiden", laat Akamai weten. Afsluitend stelt het internetbedrijf dat de aanvallen benadrukken dat zowel bewustzijn als educatie rond best practices voor IoT-apparaten moeten worden versterkt, zowel bij eindgebruikers als fabrikanten. Zo zouden fabrikanten producten langer met updates moeten ondersteunen en gebruikers bij het eerste gebruik moeten verplichten om standaard wachtwoorden te wijzigen. bron: https://www.security.nl

Google gaat vanaf volgende maand een nieuwe feature in Chrome testen waarbij websites standaard geen toegang meer tot third-party cookies krijgen, wat cross-site tracking moet beperken. Mozilla Firefox doet dit al sinds het vorige decennium. Volgens Google zijn third-party cookies, die vaak voor het tracken van internetgebruikers worden gebruikt, al dertig jaar een fundamenteel onderdeel van het web. "Hoewel ze zijn te gebruiken om je webactiviteiten te volgen, gebruiken sites ze ook voor allerlei online ervaringen, zoals inloggen of het tonen van relevante advertenties", aldus Google. Het bedrijf verdient meer aan gerichte advertenties dan aan ongerichte advertenties. Vanwege privacyzorgen worden trackingcookies door meerdere browsers inmiddels geblokkeerd. Om gebruikers zonder het gebruik van third-party cookies toch gerichte advertenties te kunnen blijven laten zien bedacht Google de "Privacy Sandbox", een verzameling van technieken waarmee gepersonaliseerde reclame is te tonen. Google stelt zelf dat het door middel van de "Privacy Sandbox" een "verantwoorde aanpak" hanteert voor het uitfaseren van trackingcookies in Chrome. Tracking Protection, zoals de nieuwe maatregel wordt genoemd, zal vanaf 4 januari bij één procent van de Chrome-gebruikers worden ingeschakeld. Volgens Google kunnen websites zo kijken of ze voorbereid zijn op een web zonder third-party cookies. Wanneer Chrome detecteert dat een website niet goed zonder third-party cookies werkt krijgen gebruikers de optie om die tijdelijk in te schakelen. bron: https://www.security.nl

Aanvallers maken wereldwijd actief misbruik van een kritieke kwetsbaarheid in Apache Struts 2 om systemen aan te vallen, zo waarschuwen de Australische en Franse autoriteiten, die grootschalig misbruik verwachten. Op 7 december kwam de Apache Foundation met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-50164. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties en websites. In 2017 wisten aanvallers via een kritieke Struts-kwetsbaarheid de gegevens van meer dan 147 miljoen Amerikanen bij het Amerikaanse kredietbureau Equifax te stelen. De kwetsbaarheid waarvan nu misbruik wordt gemaakt maakt het mogelijk voor aanvallers om parameters voor het uploaden van bestanden aan te passen, waardoor path traversal en het uploaden van malafide bestanden mogelijk wordt, wat weer kan leiden tot remote code execution. Gisteren meldde de Shadowserver Foundation dat er aanvallen zijn waargenomen waarbij gebruik wordt gemaakt van eerder verschenen proof-of-concept exploitcode. Ook het Australische Cyber Security Centre (ACSC), Franse Computer Emergency Response Team (CERT-FR) en internetgigant Akamai maken melding van misbruik. De autoriteiten roepen organisaties op om op Struts-gebaseerde applicaties te updaten, aangezien er grootschalig misbruik wordt verwacht. Via het beveiligingslek installeren de aanvallers een backdoor/webshell, waarmee toegang tot de gecompromitteerde server wordt behouden en verdere aanvallen mogelijk zijn. bron: https://www.security.nl

Microsoft heeft met een gerechtelijk bevel meerdere domeinnamen in beslag genomen en offline gehaald die werden gebruikt voor de verkoop van frauduleuze Outlook-accounts. Volgens het techbedrijf heeft de groep criminelen achter de websites 750 miljoen frauduleuze Microsoft-accounts aangemaakt en daarmee miljoenen dollars verdiend. De aangeboden accounts worden door cybercriminelen voor allerlei doeleinden gebruikt, zoals phishing, spam en ransomware, aldus Microsoft. Een week geleden kreeg Microsoft een gerechtelijk bevel om de in VS -gebaseerde infrastructuur van de groep criminelen, aangeduid als Storm-1152, in beslag te nemen en de gebruikte websites offline te halen. Naast frauduleuze Microsoft-accounts werden via de websites ook tools en diensten aangeboden om beveiligingsmaatregelen van andere bekende platforms te omzeilen, zoals CAPTCHA's. Volgens Microsoft hebben de genomen juridische stappen tegen Storm-1152 gevolgen voor de operaties van de groep, maar zullen andere groepen als gevolg daarvan hun technieken aanpassen. bron: https://www.security.nl

Securitybedrijf Sophos heeft een actief aangevallen kwetsbaarheid ook verholpen in firewalls die end-of-life zijn. Vorig jaar kwam het bedrijf al met een update voor het beveiligingslek (CVE-2022-3236), waardoor een aanvaller willekeurige code op het onderliggende systeem kan uitvoeren. Sophos meldde destijds dat de kwetsbaarheid werd gebruikt bij aanvallen tegen een "klein aantal specifieke organisaties", voornamelijk in de Zuid-Aziatische regio. Deze maand ontdekte Sophos naar eigen zeggen dat aanvallers een nieuwe exploit hadden ontwikkeld voor het aanvallen van firewalls waarin de kwetsbaarheid ook aanwezig is, maar die end-of-life zijn. Deze firewalls worden eigenlijk niet meer ondersteund, maar vanwege de aanvallen heeft Sophos nu ook voor deze apparaten een update ontwikkeld. De patch zou inmiddels bij 99 procent van de klanten zijn geïnstalleerd die de optie 'accept hotfix' hebben ingeschakeld. Volgens Sophos zoeken aanvallers geregeld naar apparaten die end-of-life zijn en doen klanten er daarom verstandig aan om te upgraden naar apparaten die nog wel worden ondersteund. bron: https://www.security.nl

De Amerikaanse overheid en Cisco waarschuwen voor een ernstige kwetsbaarheid in Apache Struts waardoor aanvallers in het ergste geval systemen kunnen overnemen. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties en websites. In 2017 wisten aanvallers via een kritieke Struts-kwetsbaarheid de gegevens van meer dan 147 miljoen Amerikanen bij het Amerikaanse kredietbureau Equifax te stelen. De kwetsbaarheid waarvoor nu wordt gewaarschuwd (CVE-2023-50164) maakt het mogelijk voor aanvallers om parameters voor het uploaden van bestanden aan te passen, waardoor path traversal en het uploaden van malafide bestanden mogelijk wordt, wat weer kan leiden tot remote code execution. Vorige week verscheen er een update voor het beveiligingslek en werden alle ontwikkelaars opgeroepen die te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft nu een zelfde oproep gedaan. Daarnaast is ook Cisco met een waarschuwing gekomen en laat weten dat het een onderzoek is gestart naar tientallen producten die mogelijk van Struts gebruikmaken en daardoor risico lopen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Windows maakt het mogelijk om systemen door middel van alleen het versturen van een malafide e-mail over te nemen. Het slachtoffer hoeft de e-mail niet te openen. Wanneer de Microsoft Outlook-client het bericht verwerkt is al remote code execution mogelijk. Securitybedrijf ZDI vreest dat ransomwaregroepen zullen proberen om misbruik van de kwetsbaarheid te maken. Het beveiligingslek, aangeduid als CVE-2023-35628, bevindt zich in het Windows MSHTML-platform. MSHTML is de door Microsoft ontwikkelde browser-engine van Internet Explorer en wordt ook door Office-applicaties gebruikt voor het weergeven van webcontent in documenten. "Een aanvaller kan deze kwetsbaarheid misbruiken door een speciaal geprepareerde e-mail te versturen", aldus Microsoft. Daarbij is er geen enkele interactie van de gebruiker vereist, aangezien de aanval automatisch kan plaatsvinden wanneer de e-mail door de Outlook-client wordt opgehaald en verwerkt. "Dit kan tot misbruik leiden voordat de e-mail in het voorbeeldvenster wordt bekeken", laat Microsoft verder weten. Daarnaast is de kwetsbaarheid ook te misbruiken door doelwitten op een malafide link te laten klikken. "Zonder twijfel zullen ransomwaregroepen een betrouwbare exploit voor deze kwetsbaarheid proberen te ontwikkelen", zegt Dustin Childs van securitybedrijf ZDI. Misbruik vereist echter enkele 'memory-shaping' technieken, wat de ontwikkeling van een betrouwbare exploit bemoeilijkt, legt Microsoft uit. De impact van de kwetsbaarheid is daardoor op een schaal van 1 tot en met 10 beoordeeld met een 8.1. bron: https://www.security.nl

Zo'n vijftigduizend WordPress-sites bevatten een kritieke kwetsbaarheid waardoor ongeauthenticeerde aanvallers de websites kunnen overnemen. De sites in kwestie maken gebruik van Backup Migration, een plug-in waarmee beheerders een back-up van hun WordPress-site kunnen maken, de site naar een andere host kunnen migreren of een lokale back-up kunnen herstellen. Meer dan negentigduizend WordPress-sites hebben de plug-in geïnstalleerd. Via het beveiligingslek (CVE-2023-6553) kan een ongeauthenticeerde aanvaller, door het versturen van een speciaal geprepareerd request naar een PHP-bestand van de plug-in, willekeurige PHP-code op kwetsbare sites uitvoeren. Dat laat securitybedrijf Wordfence weten. Op 7 december kwam de ontwikkelaar van de plug-in met versie 1.3.8, waarin het probleem is verholpen. Uit cijfers van WordPress.org blijkt dat zo'n veertigduizend websites de update hebben geïnstalleerd, wat inhoudt dat nog zo'n vijftigduizend WordPress-sites kwetsbaar zijn. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Een kritieke bluetooth-kwetsbaarheid maakt het mogelijk voor aanvallers om zich als toetsenbord voor te doen en zo systemen op afstand over te nemen. Google heeft updates voor Android uitgebracht en Red Hat adviseert onder andere het uitschakelen van bluetooth. De kwetsbaarheid, CVE-2023-45866, maakt ongeauthenticeerde bluetooth 'keystroke-injection' op Android, Linux, macOS en iOS mogelijk. Het beveiligingslek maakt het mogelijk voor een aanvaller om een kwetsbaar systeem zonder enige bevestiging van de gebruiker te laten pairen met een fake keyboard. Vervolgens kan de aanvaller allerlei commando's op het systeem uitvoeren. Google stelt dat het om een kritieke kwetsbaarheid gaat en kwam vorige week met updates. Die zijn echter nog niet onder alle Androidtoestellen uitgerold. Red Hat adviseert bluetooth-apparaten in non-discoverable mode te zetten, inkomende pairing uit te schakelen of bluetooth helemaal uit te zetten. Ubuntu laat weten dat het onderliggende probleem al via een eerdere patch was verholpen, maar die vanwege compliance-redenen niet was ingeschakeld. Volgens beveiligingsonderzoeker Marc Newlin die het probleem ontdekte vereist de bluetooth-aanval geen speciale hardware en is via een normale bluetooth-adapter uit te voeren. Een volledige exploit en proof-of-concept scripts zal hij tijdens een niet nader genoemde conferentie openbaar maken. bron: https://www.security.nl

Het is inmiddels twee jaar geleden dat een kritieke kwetsbaarheid in de populaire open source Apache Log4j 2-library voor wereldwijde aandacht zorgde. Twee jaar verder blijkt dat bijna veertig procent van de Log4j-applicaties een kwetsbare versie van de library gebruikt. Dat stelt securitybedrijf Veracode op basis van eigen onderzoek. Log4j 2 is een tool voor het loggen van informatie van Java-applicaties. Zo kunnen ontwikkelaars, door de library aan hun Java-applicatie toe te voegen, bijvoorbeeld problemen met de applicatie ontdekken. Een kwetsbaarheid zorgde ervoor dat wanneer de library een bepaalde string logt een aanvaller willekeurige code kan uitvoeren en zo controle over de applicatieserver kan krijgen. De kwetsbaarheid, aangeduid als CVE-2021-44228 en Log4Shell, zorgde vanwege de impact en het wijdverbreide gebruik van de software voor zorgen over grootschalig misbruik. Zo vreesde het ministerie van Volksgezondheid voor grote uitval in de zorgsector door het Log4j-lek. De omvang van het daadwerkelijke misbruik bleek later mee te vallen. Toch liet Log4Shell het risico van third-party code binnen applicaties zien en hoe belangrijk het is dat softwareontwikkelaars dergelijke componenten up-to-date houden. Veracode analyseerde meer dan 38.000 applicaties die van Log4j gebruikmaken. Bijna drie procent blijkt een versie te gebruiken waarin het oorspronkelijk Log4Shell-lek in aanwezig is. Verder draait bijna vier procent van de onderzochte applicaties Log4j2 versie 2.17.0. Deze versie bevat een beveiligingslek dat remote code execution mogelijk maakt. Tevens blijkt 32 procent van de applicaties gebruik te maken van Log4j2 versie 1.2.x. Deze versie is sinds augustus 2015 end-of-life en ontvangt geen updates meer. In deze versie zijn echter meerdere kritieke kwetsbaarheden gevonden die nog altijd ongepatcht zijn. "Het grotere verhaal op de tweede verjaardag is dat er nog steeds ruimte voor verbetering is wanneer het aankomt op de security van opensourcesoftware. Als Log4Shell weer een voorbeeld was van een lange reeks wake-up calls om strengere open source security practices toe te passen, laat het feit dat één op de drie applicaties een kwetsbare versie van Log4j draait dat er nog veel meer werk is te doen", aldus Veracode. bron: https://www.security.nl

Digitale burgerrechtenbeweging Bits of Freedom vreest dat de Europese AI-wet de deur openzet voor nog meer massasurveillance door de overheid. Dat laat de organisatie weten in een reactie op het vorige week gesloten voorlopige akkoord. De Europese burgerrechtenbeweging EDRi deelt dezelfde zorgen. Eerder stelde ook mensenrechtenorganisatie Amnesty International dat de verordening groen licht geeft voor 'dystopische digitale surveillance' in de Europese Unie. De Artificial Intelligence Act stelt regels aan het gebruik van kunstmatige intelligentie. Eén van de onderdelen betreft het gebruik van live gezichtsherkenning door justitie. Het Europees Parlement had zich in eerste instantie nog uitgesproken voor een volledig verbod op biometrische identificatie, zonder enige uitzonderingen. De EU-lidstaten wilden echter dat justitie de technologie wel kan inzetten. Over dit onderdeel werd dan ook lang onderhandeld. "Even leek het er op dat dit verbod zo breed uitgezonderd zou worden, dat we nog maar amper van een verbod konden spreken", aldus Bits of Freedom. Het eindresultaat is dat justitie real-time gezichtsherkenning toch mag inzetten op basis van verschillende uitzonderingen. Het gaat dan om het zoeken van mensen die worden vermist of slachtoffer van mensenhandel of seksueel misbruik zijn. Het voorkomen van een 'specifieke en actuele' terroristische dreiging of het vinden van de locatie of het identificeren van personen die worden verdacht van misdrijven, waaronder terrorisme, mensenhandel, seksueel misbruik, moord, kidnapping, verkrachting, gewapende overvallen, deelname aan een criminele organisatie en milieudelicten. "Het is teleurstellend dat er geen algeheel verbod op biometrische identificatie is aangenomen. We vrezen dat dit de deur open zet voor nog meer discriminatie en massasurveillance door de overheid", zegt Nadia Benaissa, beleidsadviseur van Bits of Freedom. Ook eDRI stelt dat de aangenomen verordening een pad creëert dat leidt tot het gebruik van AI-systemen voor massasurveillance. "We hebben de Europese organen en Nederlandse bewindspersonen opgeroepen niet te zwichten voor de Big Tech lobby. Ook deze week hebben we nog opgeroepen onze rechten niet in te ruilen voor een ‘deal’. Belangrijk, zeker ook binnen de Nederlandse context. Van discriminerende fraudeopsporingsalgoritmen door gemeenten en DUO tot het racistisch inzetten van AI voor visumaanvragen. Nederland kent vele slechte voorbeelden, met als dieptepunt: de toeslagenaffaire. Deze AI-verordening is dus hard nodig", merkt Bits of Freedom op. "Het beschermen van fundamentele rechten was één van de belangrijkste doelen van de wet. Wij houden nog een slag om de arm en wachten de definitieve tekst in spanning af", gaat Benaissa verder. Ella Jakubowska, beleidsadviseur van eDRI, stelt dat het lastig is om blij te zijn met een wet die voor het eerst stappen heeft gezet om live gezichtsherkenning in de hele EU te legaliseren en spreekt van een schim van de wet die Europa echt nodig heeft. bron: https://www.security.nl

Mobiele wachtwoordmanagers kunnen via de autofill-functie van Android-apps de inloggegevens van gebruikers lekken, zo hebben onderzoekers aangetoond. Wanneer een gebruiker op een Android-app wil inloggen kan die een inlogpagina via WebView laden. Daarbij kan het voorkomen dat de wachtwoordmanager niet weet waar de inloggegevens moeten worden ingevuld, namelijk in de WebView-pagina of direct in de onderliggende app. WebView is een belangrijk onderdeel van Android voor het weergeven van webpagina's. Het is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. De WebView-engine is een standaardonderdeel van Android. Wanneer een app via WebView een inlogpagina weergeeft, zal de autofill-functie voor het automatisch invullen van inloggegevens worden aangeroepen. Wanneer gebruikers bijvoorbeeld op een muziek-app op hun Androidtelefoon willen inloggen, en er wordt gekozen voor inloggen via Facebook of Google, zal de muziek-app de inlogpagina van Facebook of Google via een WebView binnen de app laden. Wanneer de wachtwoordmanager wordt aangeroepen om de inloggegevens automatisch in te vullen, zou dit idealiter in de WebView-pagina moeten gebeuren. De onderzoekers ontdekten dat de autofill-functie onbedoeld de inloggegevens aan de onderliggende app doorgeeft. Dit zou met name een probleem zijn in het geval van malafide apps, die zo inloggegevens van gebruikers kunnen stelen. Volgens de onderzoekers is de 'AutoSpill' kwetsbaarheid onder andere aanwezig in 1Password, LastPass, Keeper en Enpass. 1Password laat tegenover TechCrunch weten dat het aan een beveiligingsupdate werkt. LastPass zegt dat het gebruikers via een pop-up voor eventuele aanvallen waarschuwt. bron: https://www.security.nl

Het logo dat computerfabrikanten laten zien tijdens het opstarten van de computer kan door aanvallers worden gebruikt om beveiligingsmaatregelen als Secure Boot te omzeilen en systemen stilletjes met bootkits te infecteren, zo hebben onderzoekers van securitybedrijf Binarly ontdekt. Die hebben hun aanval, die het fabrikantenlogo als aanvalsvector gebruikt, 'LogoFAIL' genoemd. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Voor het weergeven van het logo maken de UEFI-leveranciers gebruik van verschillende libraries. Deze libraries blijken meerdere kwetsbaarheden te bevatten die via een malafide logo zijn te misbruiken. Via de beveiligingslekken is het mogelijk voor een aanvaller om een UEFI-bootkit te installeren en zo vergaande controle over het systeem te krijgen. Verschillende UEFI-leveranciers bieden gebruikers de mogelijkheid om een eigen logo te gebruiken. Een aanvaller die toegang tot het systeem heeft zou op deze manier zijn malafide logo tijdens het opstarten van de computer kunnen laten uitvoeren. Een andere mogelijke aanvalsvector is het proces om firmware te updaten. Firmware-updates zijn standaard gesigneerd, maar dat geldt niet voor de gedeeltes die het logo bevatten. Een derde methode is het gebruik van een SPI flash programmer. Dit vereist wel dat de aanvaller fysieke toegang tot de computer heeft. Volgens de onderzoekers is het via LogoFAIL mogelijk om de veiligheid van het gehele systeem te compromitteren. De impact van de LogoFAIL-kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een score van 3.4 tot en met 8.2. De onderzoekers hebben hun bevindingen aan verschillende laptopfabrikanten gemeld, alsmede UEFI-leveranciers. Gisteren presenteerden ze hun bevindingen tijdens Black Hat Europe. Daarbij stellen de onderzoekers dat LogoFAIL veel krachtiger is dan de BlackLotus-bootkit waarvoor Microsoft en de NSA waarschuwden. Verschillende UEFI-leveranciers en laptopfabrikanten, zoals Lenovo en AMI, hebben waarschuwingen en updates uitgebracht. Update Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit laat weten dat een aanvaller via LogoFAIL UEFI-beveiligingsmaatregelen zoals SecureBoot kan uitschakelen, de UEFI-bootvolgorde kan aanpassen en ongewenste software kan uitvoeren om het besturingssysteem te infecteren. bron: https://www.security.nl

Door verschillende kwetsbaarheden in Mozilla VPN kon het ip-adres van gebruikers lekken alsmede de WireGuard-encryptiesleutel gebruikt voor de versleuteling, zo ontdekten onderzoekers van securitybedrijf Cure53 die Mozillas vpn-dienst onderzochten (pdf). De problemen zijn inmiddels verholpen. De onderzoekers vonden in totaal zeven kwetsbaarheden, waarvan er één als kritiek werd aangemerkt. Het gaat om een probleem dat zich voordeed met de Mozilla VPN-app voor iOS. De WireGuard-configuratie, inclusief encryptiesleutel, werd op zo'n manier in de iOS Keychain opgeslagen dat die onderdeel van in iCloud opgeslagen back-ups werd. Deze back-ups zijn versleuteld, maar niet end-to-end versleuteld. "De secret key voor de Keychain met de WireGuard private key zal altijd toegankelijk voor Apple zijn, en kan zo door opsporingsdiensten worden gevorderd", aldus de onderzoekers. Een andere kwetsbaarheid met een 'high' impact maakte het mogelijk voor malafide extensies in de browser van de gebruiker om de vpn-verbinding uit te schakelen. De impact van de overige vijf beveiligingslekken werd als 'medium' beoordeeld. Het ging onder andere om een probleem waardoor het ip-adres van gebruikers kon lekken via de captive portal detectie. Hierbij werd een onversleuteld HTTP request buiten de vpn-tunnel om gestuurd. In het rapport krijgt Mozilla het advies om meer tijd en middelen te investeren in het analyseren van alle mogelijke aanvalsvectoren. bron: https://www.security.nl

Google Chromecasts bevatten verschillende kwetsbaarheden waardoor een aanvaller malafide firmware of spyware kan installeren om zo gevoelige informatie van gebruikers te onderscheppen. Google heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Volgens beveiligingsonderzoeker Nolen Johnson van securitybedrijf DirectDefense, die de kwetsbaarheden ontdekte, ligt de grootste dreiging in Chromecasts die via online marktplaatsen of veilingsites worden aangeschaft en van malware of spyware zijn voorzien. Via drie kwetsbaarheden (CVE-2023-48424, CVE-2023-48425 en CVE-2023-6181) is het mogelijk om de Secure Boot van de Chromecast te omzeilen en malafide firmware en ongesigneerde code te installeren. Een aanvaller moet hiervoor wel toegang tot de Chromecast hebben. "Een ander probleem betreft de afstandsbediening die met het apparaat is gepaird en van een ingebouwde microfoon is voorzien", aldus Johnson. De Chromecast zou de microfoon op afstand kunnen inschakelen en zo de audio van gebruiker kunnen onderscheppen. Daarnaast zou malware op de Chromecast ook inloggegevens van allerlei apps kunnen stelen. Google werd in het tweede kwartaal van dit jaar over de kwetsbaarheden ingelicht en kwam op 5 december met beveiligingsupdates voor de Chromecast met Google TV. bron: https://www.security.nl

WordPress waarschuwt voor een kritieke kwetsbaarheid waardoor websites op afstand zijn over te nemen. Via het beveiligingslek is in bepaalde omstandigheden remote code execution mogelijk. Beheerders worden dan ook aangeraden om direct te updaten naar WordPress 6.4.2 waarin het probleem is verholpen. Het beveiligingslek is niet direct te misbruiken in WordPress 'core'. Hiervoor is een aparte kwetsbaarheid in bijvoorbeeld een plug-in of theme vereist. De benodigde 'object injection' kwetsbaarheden komen echter op grote schaal voor in themes en plug-ins, aldus securitybedrijf Wordfence. Door deze beveiligingslekken met de kwetsbaarheid in WordPress zelf te combineren kunnen aanvallers websites op afstand volledig overnemen. Het beveiligingslek zit sinds versie 6.4 in WordPress. Wordfence stelt dat de meeste WordPress-sites automatisch de update zullen installeren, maar adviseert beheerders om te controleren of ze up-to-date zijn. bron: https://www.security.nl

Meta is begonnen om standaard end-to-end encryptie uit te rollen voor privéchats en telefoongesprekken die via Messenger en Facebook plaatsvinden. Sinds 2016 hebben gebruikers van Messenger de optie om end-to-end encryptie in te schakelen, maar de beveiligingsmaatregel stond niet standaard ingeschakeld. Iets dat Meta nu gaat veranderen. Volgens het techbedrijf was het een ongekend complexe en uitdagende puzzel om de overstap naar standaard end-to-end encryptie te maken. "De extra beveiligingslaag die end-to-end encryptie biedt houdt in dat de inhoud van je berichten en gesprekken met vrienden en familie beschermd zijn vanaf het moment dat ze je toestel verlaten tot het moment dat ze op het apparraat van de ontvanger aankomen. Dit houdt in dat niemand, waaronder Meta, kan zien wat er is verstuurd of gezegd, tenzij je besluit een bericht bij ons te rapporteren", aldus Meta. Het kan enige tijd duren voordat chats in Messenger worden geüpdatet naar standaard end-to-end encryptie. bron: https://www.security.nl

Jarenoude kwetsbaarheden in Microsoft Office, Oracle Java en Apple Safari, soms meer dan tien jaar oud, zijn dit jaar op grote schaal gebruikt bij aanvallen, zo claimt Cisco in een jaaroverzicht over 2023 (pdf). Eerder dit jaar kwam het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) met een zelfde bevinding. In de Top 10 van meest aangevallen beveiligingslekken staat bovenaan een uit 2017 stammende kwetsbaarheid in Microsoft Office. Een beveiligingslek in Apple Safari dat in het overzicht terugkomt dateert zelfs van 2010. "Dit onderstreept de noodzaak voor organisaties om geregeld software-updates te installeren, aangezien veel van de systemen gezien de leeftijd van de kwetsbaarheden waarschijnlijk ongepatcht waren", aldus Cisco. Acht van de tien kwetsbaarheden zijn als kritiek aangemerkt. "Het grote aantal gevallen waarbij wordt geprobeerd om misbruik van deze beveiligingslekken te maken, gecombineerd met hun ernst onderstreept het risico van ongepatchte systemen", zo laat het bedrijf verder weten. Van de gevallen waarbij Cisco kon achterhalen hoe aanvallers toegang tot een getroffen organisatie hadden gekregen was misbruik van kwetsbaarheden de meestvoorkomende methode. bron: https://www.security.nl