Captain Kirk

NAS-fabrikant Synology waarschuwt gebruikers voor een botnet dat bruteforce-aanvallen uitvoert op NAS-systemen die vanaf het internet toegankelijk zijn. Bij de aanvallen probeert het botnet veelgebruikte beheerderswachtwoorden te raden. Is de bruteforce-aanval succesvol dan wordt de StealthWorker-malware geïnstalleerd. Ook zouden de aanvallers ransomware kunnen installeren, stelt Synology. De NAS-fabrikant meldt verder dat de aanvallers besmette systemen voor het aanvallen van andere NAS-systemen kunnen inzetten. Synology werkt inmiddels samen met verschillende CERT-organisaties om de command & control-servers van de malware uit te schakelen. Tevens zegt het bedrijf getroffen klanten te zullen informeren. NAS-beheerders worden aangeraden om hun systemen op zwakke wachtwoorden te controleren en "multi-step" authenticatie in te schakelen. bron: https://www.security.nl

De AVG staat het controleren van afbeeldingen zoals Apple in de Verenigde Staten van plan is niet toe. Dat zegt Peter Kager van adviesbureau ICTRecht tegenover BNR. Ook is het volgens Kager helemaal geen taak van Apple om afbeeldingen te scannen op kindermisbruik, aangezien dat een taak is van politie en andere opsporingsinstanties. "In Europa zitten we met de AVG, zoals het er nu voor staat steekt die hier een stokje voor, om de eenvoudige redenen dat dit niet de taak van Apple is", aldus Kager. Het techbedrijf wil in de Verenigde Staten foto's die naar iCloud Photos worden geüpload controleren, alsmede afbeeldingen die minderjarige iMessage-gebruikers ontvangen en versturen. Apple mag de technologie dan niet van de AVG toepassen, het zou die wel in Europa kunnen inschakelen aangezien toezichthouders achteraf handhaven. Kager stelt afsluitend dat een andere optie het opstellen van nieuwe wetgeving is. "Een private organisatie die helpt bij de handhaving, zoals Apple, zou kunnen, maar dan moet daar wel wetgeving voor komen. Iedereen is het erover eens dat hier iets tegen gedaan moet worden. De vraag is alleen of dat bij Apple gedaan moet worden." Daarnaast zijn critici bang dat de techniek ook voor andere doeleinden kan worden ingezet dan de bestrijding van kindermisbruik. bron: https://www.security.nl

Aanvallers zijn begonnen met het scannen van Microsoft Exchange-servers op de de ProxyShell-kwetsbaarheden nadat vorige week tijdens de Black Hat-conferentie in Las Vegas details over de beveiligingslekken werden gedeeld. Dat melden het Computer Security Incident Response Team (CERT) van de Zwitserse overheid en verschillende beveiligingsonderzoekers op Twitter. Microsoft kwam in april en mei met beveiligingsupdates voor de kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Door de beveiligingslekken te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Tijdens de Pwn2Own-wedstrijd in april werden de kwetsbaarheden gedemonstreerd door securitybedrijf DEVCORE, dat een beloning van 200.000 dollar hiervoor ontving. Beveiligingsonderzoeker Orange Tsai van DEVCORE gaf tijdens de Black Hat-conferentie een presentatie over de kwetsbaarheden (pdf). Tsai ontdekte ook de ProxyLogon-kwetsbaarheid die eerder dit jaar op grote schaal werd gebruikt voor het aanvallen van Microsoft Exchange-servers. De onderzoeker stelt dat ProxyLogon slechts het top van de ijsberg is. "Vanuit een architectuurniveau gezien is ProxyLogon geen kwetsbaarheid, maar een compleet nieuw aanvalsoppervlak dat nog niet eerder door iemand is genoemd. Het aanvalsoppervlak zorgt ervoor dat hackers of beveiligingsonderzoekers meer kwetsbaarheden kunnen vinden." Volgens de onderzoekers gaat het bij zowel ProxyShell als ProxyLogon om logicafouten die eenvoudiger zijn te reproduceren en te misbruiken dan geheugenkwetsbaarheden. Een dag na de presentatie lieten andere beveiligingsonderzoekers weten dat het gelukt was om aan de hand van de gegeven informatie een exploit te ontwikkelen. Op dezelfde dag meldde beveiligingsonderzoeker Kevin Beaumont dat hij actief misbruik van de kwetsbaarheden zag. Iets dat gisteren door het Zwitserse CERT is bevestigd. Hoeveel Microsoft Exchange-servers ondanks de beschikbare beveiligingsupdates kwetsbaar zijn is onbekend. Tsai stelt op basis van eigen onderzoek dat meer dan 400.000 Exchange-servers vanaf het internet toegankelijk zijn. bron: https://www.security.nl

Vorige maand kwam Cisco met een waarschuwing voor een kwetsbaarheid in de Adaptive Security Device Manager (ASDM) waardoor remote code execution (RCE) mogelijk is, maar in een update van de security advisory meldt het netwerkbedrijf dat er nog geen beveiligingsupdate beschikbaar is. De Adaptive Security Device Manager is een oplossing voor het beheren van Cisco Adaptive Security Appliance (ASA) firewalls en de Cisco AnyConnect Secure Mobility vpn-client. Beheerders installeren de ASDM-launcher op hun systeem en kunnen zo de ASA-firewalls en AnyConnect-vpn beheren. Een kwetsbaarheid zorgt ervoor dat er geen goede controle plaatsvindt van de digitale handtekening van de code die tussen de launcher en ASDM wordt uitgewisseld. Een aanvaller met een man-in-the-middle-positie tussen de launcher en ASDM kan zo willekeurige code uitvoeren op het systeem waar de laucher is geïnstalleerd. Om de aanval mogelijk te maken moet er wel een verbinding van de gebruiker met de ASDM zijn. De security advisory voor deze kwetsbaarheid verscheen op 7 juli. Vorige week meldde Cisco dat er nog altijd geen beveiligingsupdate voor beschikbaar is. Ook zijn er geen workarounds die organisaties kunnen toepassen. Wanneer de patch zal verschijnen is nog onbekend. bron: https://www.security.nl

Een kwetsbaarheid in Arcadyan gebaseerde modems/routers, waaronder de ExperiaBox V10A en de VGV7519-router van KPN, wordt actief aangevallen. Dat stelt netwerkbedrijf Juniper in een analyse. Het beveiligingslek, CVE-2021-20090, bevindt zich in de webinterface van de Arcadyan-firmware en zorgt ervoor dat een aanvaller door middel van path traversal de authenticatie kan omzeilen. Via de kwetsbaarheid is het mogelijk om de routerconfiguratie aan te passen en een Telnet-shell in te schakelen om toegang te behouden. Volgens securitybedrijf Tenable is de kwetsbaarheid al zeker tien jaar in de firmware van Arcadyan aanwezig en is zodoende terechtgekomen in twintig modellen modems/routers van zeventien verschillende leveranciers. De apparaten in kwestie worden door zeker dertien internetproviders in elf landen gebruikt. Juniper meldt nu dat aanvallers de kwetsbaarheid gebruiken om apparaten met een variant van de Mirai-malware te infecteren. Via het beveiligingslek schakelen de aanvallers Telnet in en installeren vervolgens de malware. Het apparaat wordt zo onderdeel van een botnet. Waarvoor besmette apparaten worden gebruikt laat Juniper niet weten, maar in het verleden werden met Mirai besmette apparaten voor onder andere ddos-aanvallen ingezet. KPN liet vorige maand al aan Security.NL weten dat het beveiligingslek in de ExperiaBox V10A en de VGV7519-router is gepatcht. Daarnaast is de webinterface bij de KPN-apparaten niet toegankelijk vanaf het internet. bron: https://www.security.nl

Een kwetsbaarheid in de Amazon Kindle maakte het mogelijk om de e-reader via een malafide e-book over te nemen. Alleen het openen van een malafide e-book was voldoende om een aanvaller de controle over het apparaat te geven en aanwezige accountgegevens te stelen, het apparaat als bot te gebruiken of andere apparaten in het netwerk aan te vallen. Dat meldt securitybedrijf Check Point in een analyse. Onderzoekers van het bedrijf ontdekten een probleem in de Kindle bij het decoderen van afbeeldingen die via JBIG2 zijn gecomprimeerd. JBIG2 is een standaard voor het comprimeren van afbeeldingen. Een kwetsbaarheid in het gebruikte algoritme zorgt voor een heap overflow, waardoor het mogelijk is om willekeurige code binnen het proces van de pdf-lezer van de e-reader uit te voeren. De volgende stap was het vinden van een kwetsbaarheid om de rechten te verhogen en zo code als root uit te voeren. Dat bleek mogelijk via de applicatiemanager, die verantwoordelijk is voor het starten van de ingebouwde apps en met rootrechten draait. De Kindle maakt gebruik van een database waarin allerlei applicaties staan vermeld, zoals de browser. Het is mogelijk om de inhoud van deze database aan te passen ontdekten de onderzoekers. Zo vervingen ze de verwijzing naar de browser door hun eigen code en riepen die vervolgens via de applicatiemanager aan. Zo werd de malafide code met rootrechten uitgevoerd. Amazon werd in februari door Check Point over de twee kwetsbaarheden ingelicht en rolde in april firmwareversie 5.13.5 uit waarin de problemen zijn verholpen. bron: https://www.security.nl

Verschillende techbedrijven waaronder Amazon, Google en Microsoft sluiten zich aan bij een initiatief van de Amerikaanse overheid om de Amerikaanse vitale infrastructuur tegen ransomware-aanvallen te beschermen. Het Joint Cyber Defense Collaborative (JCDC) zal samen met het bedrijfsleven en overheidsinstanties de cyberverdediging van organisaties versterken en de impact van aanvallen proberen te beperken. Ook zullen de private en publieke sector samen oefeningen uitvoeren en aan een nationaal cyberdefensieplan werken. Op dit moment hebben Amazon, ATT, CrowdStrike, Mandiant, Google, Microsoft, Lumen, Palo Alto Networks en Verizon zich bij het JCDC aangesloten. "We hebben bedrijven uit alle vitale sectoren nodig", zegt Jen Easterly, directeur van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat het initiatief leidt. De afgelopen jaren zijn tal van Amerikaanse steden, schooldistricten en bedrijven het slachtoffer van ransomware geworden. Na recente aanvallen op onder andere de Colonial Pipeline en vleesverwerker JBS liet de Amerikaanse overheid weten dat het allerlei maatregelen zou gaan treffen om ransomware aan te pakken en de cybersecurity van de vitale infrastructuur te versterken. bron: https://www.security.nl

Facebook heeft de accounts, apps, pagina's en toegang van verschillende onderzoekers die onderzoek deden naar politieke advertenties en de verspreiding van desinformatie op het platform gesloten. Volgens Facebook schonden de onderzoekers de privacy van gebruikers, maar dat is volgens hen en Mozilla grote onzin. De accounts in kwestie waren van onderzoekers van de Universiteit van New York. Ze ontwikkelden een tool genaamd Ad Observer. Het betreft een extensie voor Google Chrome en Mozilla Firefox die aan gebruikers laat zien wie erachter een bepaalde advertentie op Facebook zit en waarom de gebruiker die te zien krijgt. De onderzoekers willen hiermee naar eigen zeggen voor meer transparantie op het platform zorgen. Volgens Facebook omzeilden de onderzoekers met deze browser-extensie de detectiesystemen van de sociale netwerksite scrapeten ze data zoals gebruikersnamen, advertenties, links naar gebruikersprofielen en andere informatie. Ook verzamelde de extensie data over Facebookgebruikers die hem niet hadden geïnstalleerd of toestemming voor het verzamelen hadden gegeven, aldus Facebook. Het techbedrijf stelt dat het de onderzoekers vorig jaar al waarschuwde dat de extensie in overtreding van de voorwaarden was en het probeerde om tot een oplossing te komen. Volgens Facebook wilden de onderzoekers door blijven gaan met het scrapen van data en kon het dit niet toestaan, waarop de accounts en andere zaken zijn gesloten. "Facebook snoert ons de mond omdat ons werk vaak problemen op het platform blootlegt. Het ergste is nog wel dat Facebook de privacy van gebruikers als excuus voor deze actie gebruikt", zegt onderzoeker Laura Edelson. Ze merkt op dat de onderzoekers de privacy van gebruikers altijd de hoogste prioriteit hebben gegeven. "Wat deze situatie duidelijk maakt is dat Facebook niet de macht moet hebben over wie het mag bestuderen." Mozilla noemt de claims van Facebook ongegrond. De Firefox-ontwikkelaar heeft naar eigen zeggen de code van de Ad Observer-extensie twee keer zelf onderzocht en besloot die aan gebruikers aan te raden omdat de extensie de privacy van gebruikers respecteert en transparantie ondersteunt. "Het verzamelt geen persoonlijke berichten of informatie over je vrienden. En het stelt geen gebruikersprofiel van je samen", laat Mozilla weten. Daarnaast laat de extensie zien welke informatie het verzamelt. Volgens de browserontwikkelaar blijven grote platforms zoals Facebook een plek bieden voor desinformatie en extremisme die grote gevolgen hebben voor mensen, verkiezingen en de samenleving. "We hebben tools zoals Ad Observer nodig om een licht te werpen op de donkerste plekken van het web. En in plaats van het belemmeren van pogingen om platformen aansprakelijk te houden, moeten we allemaal samenwerken om deze tools te ondersteunen en verbeteren", aldus Mozilla bron: https://www.security.nl

Mozilla heeft de afgelopen jaren allerlei privacyfeatures aan Firefox toegevoegd, maar dat heeft niet kunnen voorkomen dat de browser ruim 46 miljoen gebruikers verloor. En dat kan slecht zijn voor de concurrentie op de browsermarkt, aangezien andere browsers zoals Chrome en Edge gebruikmaken van het door Google ontwikkelde Chromium. Eind 2018 telde Firefox meer dan 244 miljoen gebruikers. Een aantal dat eind juli naar een kleine 198 miljoen is gedaald. Volgens StatCounter heeft Google Chrome op de desktop een marktaandeel van bijna zeventig procent, gevolgd door Safari, Edge en Firefox. Mozillas browser is inmiddels door zowel Safari als Microsoft Edge ingehaald. In Nederland heeft Firefox op de desktop nog een aandeel van 7,3 procent. Al in 2018 luidde Mozilla de noodklok over een nieuw browsermonopolie door het stijgende gebruik van op Chromium-gebaseerde browsers. Chromium is een door Google ontwikkelde opensourcebrowser die de basis voor Google Chrome en andere browsers vormt. Google is al de dominante speler in de markt voor zoekmachines en heeft met Chrome ook de meestgebruikte browser. "Als Mozilla morgen zou verdwijnen, zou Google bijna een volledig monopolie hebben over hoe wij allemaal het web op Windows en Android ervaren. Een enorm gecombineerd marktaandeel", aldus Mozilla-ceo Mitchell Baker destijds. Een ander probleem is dat het kleiner wordende marktaandeel van Firefox ervoor zorgt dat webontwikkelaars en bedrijven geen rekening meer met Firefox houden en zich alleen op Chrome richten. "We concurreren niet met Google omdat het een goede zakelijke kans is. We concurreren met Google omdat de gezondheid van het internet en online leven afhankelijk is van concurrentie en keuze", liet Mozilla eerder al weten. bron: https://www.security.nl

Onderzoekers hebben aangetoond hoe Windows Hello via een infraroodopname van het slachtoffer en een aangepaste usb-camera is te omzeilen. Microsoft heeft gisteren beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Windows Hello laat gebruikers onder andere via biometrische authenticatie inloggen. Zo kunnen gebruikers bijvoorbeeld via een gezichtsscan toegang tot het systeem krijgen. Onderzoekers van securitybedrijf CyberArk besloten zich op de zwakke schakel in dit proces te richten, wat volgens hen de biometrische sensor van de camera is. Deze sensor verstuurt de beeldinformatie door naar het besturingssysteem, waarna Windows Hello de beslissing maakt om de gebruiker in te loggen of te weigeren. Het manipuleren van deze informatie zou het mogelijk maken om de authenticatie van Windows Hello te omzeilen. Wanneer een gebruiker via een gezichtsscan inlogt gebruikt Windows Hello de infraroodframes van de camera. Door frames van het slachtoffer af te spelen is het mogelijk om de authenticatie te omzeilen, zo ontdekten de onderzoekers. Hiervoor zijn er twee opties. Of een aanvaller bemachtigt een infraroodframe van het slachtoffer of zet een normaal RGB-frame om naar een infraroodframe. Verder blijkt dat één infraroodframe van het slachtoffer en één zwart frame, die vervolgens naar het systeem worden gestuurd, voldoende zijn om Windows Hello te laten geloven dat het de gebruiker is die inlogt. Deze frames kunnen via een usb-bordje naar de computer worden verzonden, die ze vervolgens voor de authenticatiepoging gebruikt. "Het onderzoek heeft laten zien hoe een systeem, zoals Windows Hello, dat impliciet invoer van aangesloten apparaten vertrouwt zichzelf blootstelt aan kwetsbaarheden. Deze invoer kan in bepaalde gevallen "publieke data" bevatten zoals het gezicht van iemand, wat voor beveiligingsproblemen kan zorgen", stelt onderzoeker OmerTsarfati. Microsoft werd op 23 maart van dit jaar over de kwetsbaarheid ingelicht en bevestigde die een maand later. Gisteren werd de beveiligingsupdate uitgerold. De ernst van het beveiligingslek is op een schaal van 1 tot en met 10 met een 5,7 beoordeeld. Tijdens de komende Blackhat-conferentie in augustus zullen de onderzoekers hun bevindingen demonstreren. bron: https://www.security.nl

Een zerodaylek in de FTP-software van SolarWinds is misbruikt door een uit China opererende groep, zo stelt Microsoft. Het techbedrijf ontdekte de kwetsbaarheid in Serv-U en waarschuwde SolarWinds, dat vorige week met beveiligingsupdates kwam. Via het beveiligingslek kan een aanvaller op afstand willekeurige code op de server uitvoeren, waaronder het installeren van malware of het bekijken en aanpassen van data. De aanval is alleen mogelijk wanneer de Serv-U-server via SSH toegankelijk is. Volgens Microsoft is een vanuit China opererende groep, die het aanduidt als DEV-0322, voor de zeroday-aanvallen verantwoordelijk. De groep heeft het voorzien op Amerikaanse defensiebedrijven en softwarebedrijven, stelt Microsoft verder. Voor de aanvallen maakt de groep onder andere gebruik van commerciële vpn-diensten en gecompromitteerde consumentenrouters. Microsoft geeft daarnaast informatie over hoe organisaties die met Serv-U werken kunnen zien of hun server mogelijk gecompromitteerd is. Zo blijken de aanvallers onder andere een global user aan Serv-U toe te voegen. Verder zijn er verschillende Indicators of Compromise gegeven, zoals ip-adressen. bron: https://www.security.nl

Microsoft heeft tijdens de patchdinsdag van juli meerdere actief aangevallen zerodaylekken in Windows verholpen. Het gaat om een kwetsbaarheid in de Windows Scripting Engine waardoor een aanvaller code op het systeem kan uitvoeren. Alleen het bezoeken van een gecompromitteerde of malafide website is in dit geval voldoende. Bij eerdere Scripting Engine-lekken moest er gebruik worden gemaakt van IE of Edge, maar dat laat Microsoft nu niet weten. Het lek is aanwezig in alle ondersteunde versies van Windows. Daarnaast zijn er ook twee beveiligingslekken in de Windows-kernel verholpen waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen. Verdere details over de aanvallen zijn niet door Microsoft gegeven. Daarnaast heeft Microsoft de noodpatch die eerder voor het PrintNightmare-lek werd uitgerold ook via de patches van gisteren beschikbaar gesteld. Het techbedrijf meldt dat er ook misbruik van de kwetsbaarheid wordt gemaakt. In totaal zijn er gisterenavond beveiligingsupdates voor 117 kwetsbaarheden verschenen. Van vijf kwetsbaarheden, aanwezig in Microsoft Exchange Server, Active Directory, Windows ADFS en Windows, waren de details al voor het uitkomen van de patches beschikbaar maar is er volgens Microsoft geen misbruik van gemaakt. Het Zero Day Initiative wijst systeembeheerders ook op een kwetsbaarheid in Windows DNS Server waardoor remote code execution mogelijk is. Het beveiligingslek wordt nog niet aangevallen, maar volgens het securitybedrijf is dit slechts een kwestie van tijd. De beveiligingsupdates worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Adobe heeft tijdens de patchdinsdag van juli meerdere kritieke kwetsbaarheden in Acrobat en Reader verholpen waardoor een aanvaller willekeurige code op systemen kan uitvoeren met rechten van de ingelogde gebruiker. Voor zover bekend wordt er nog geen misbruik van de beveiligingslekken gemaakt. Wat betreft de ernst van de kwetsbaarheden zijn die op een schaal van 1 tot en met 10 maximaal met een 8,8 beoordeeld. Naast het uitvoeren van code maken de lekken het ook mogelijk voor een aanvaller om een denial of service te veroorzaken, het filesystem te lezen en rechten te verhogen. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader DC versie 2021.005.20058, Acrobat 2020 en Acrobat Reader 2020 versie 2020.004.30006 of Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30199 voor Windows en macOS. Als voorbeeld noemt Adobe het installeren van de updates binnen dertig dagen. De nieuwe versies zijn te verkrijgen door handmatig op updates te controleren, de automatische updatefunctie of de website van Adobe. bron: https://www.security.nl

Mozilla heeft vandaag Firefox 90 gelanceerd die gebruikers van de SmartBlock-trackingbescherming voortaan toestaat om via Facebook op websites in te loggen. Voorheen werd dit namelijk door de browser geblokkeerd. SmartBlock is een feature die gebruikers van Firefox Private Browsing en de Strict Mode tegen allerlei trackers beschermt. Scripts, afbeeldingen en andere content van bekende cross-site trackers worden automatisch geblokkeerd. Het gaat dan onder andere om scripts van Facebook. Hierdoor is het inloggen via een Facebookaccount, wat veel websites ondersteunen, niet mogelijk. Om deze functionaliteit toch te laten werken heeft Mozilla SmartBlock 2.0 ontwikkeld. Wanneer gebruikers op de knop klikken om via Facebook in te loggen staat Firefox het benodigde script toe. Op websites waar de gebruiker niet via Facebook heeft ingelogd worden trackingscripts van het socialmediabedrijf nog steeds geblokkeerd. SmartBlock 2.0 is beschikbaar in Firefox 90. bron: https://www.security.nl

De nieuwste versie van Firefox die later vandaag uitkomt ondersteunt Fetch metadata request headers, waarmee websites en webapplicaties hun gebruikers tegen verschillende soorten aanvallen kunnen beschermen. Volgens Mozilla is het door de open aard van het web bij veel cross-site-gerelateerde aanvallen lastig voor websites of webapplicaties om te bepalen of een request afkomstig is van de gebruiker of een malafide site die in een andere browsertab is geopend. Fetch metadata request headers bieden in deze gevallen een oplossing. De headers geven namelijk informatie over de context waarvandaan het request afkomstig is. Hierdoor kan de server beslissen of een request moet worden toegestaan gebaseerd op waar het request vandaan komt en hoe de resource wordt gebruikt. Zo wordt het mogelijk voor de webserver om een same-origin request van de overeenkomstige website te onderscheiden van een cross-origin request dat afkomstig is van de website van een aanvaller. Dit moet verschillende soorten aanvallen voorkomen, zoals cross-site request forgery (CSRF), cross-site leaks (XS-Leaks) en speculatieve cross-site execution side channel-aanvallen, zoals Spectre. Mozilla roept websites en webapplicaties op om van de Fetch metadata request headers gebruik te maken. De headers worden vanaf Firefox 90 ondersteund, die later vandaag verschijnt. bron: https://www.security.nl

Meer dan 780.000 e-mailaccounts die de Emotet-malware wist te compromitteren zijn inmiddels beveiligd, zo meldt antispamorganisatie Spamhaus. Tijdens een internationale politieoperatie eind januari van dit jaar werden de hoofdservers van het Emotet-botnet door de politie overgenomen. Een update die de autoriteiten ontwikkelden en op besmette computers installeerden zorgde ervoor dat Emotet in april van 1 miljoen computers werd verwijderd. Cybercriminelen gebruikten Emotet voor allerlei doeleinden, zoals het installeren van aanvullende malware op besmette computers, waaronder ransomware. Ook maakte de malware gebruikersnamen en wachtwoorden van e-mailaccounts buit. Die werden gebruikt voor het versturen van nieuwe spamberichten via de e-mailproviders van de slachtoffers. Tijdens het offline halen van het botnet kwam een dataset met gecompromitteerde e-mailaccounts in handen van de autoriteiten. Om te voorkomen dat andere criminelen misbruik van deze e-mailaccounts maken stapte één van de opsporingsdiensten die bij de operatie betrokken was naar Spamhaus. De spambestrijder werd gevraagd om te helpen bij het laten resetten van de wachtwoorden van deze e-mailaccounts. De niet nader genoemde opsporingsdienst deelde een lijst met 1,3 miljoen e-mailaccounts met Spamhaus, die werden onderverdeeld in 22.000 unieke domeinen en zo'n drieduizend verantwoordelijke netwerken. Om deze e-mailproviders, netwerken en hun gebruikers/klanten te helpen ontwikkelde Spamhaus een webpagina met informatie over het Emotet-botnet en het herstelproces en werden netwerkeigenaren ingelicht. Dit heeft ervoor gezorgd dat inmiddels meer dan 780.000 e-mailaccounts zijn beveiligd, zo stelt de spambestrijder. Eerder kwam de Nederlandse politie al met een tool genaamd Emotet-checker die 4,2 miljoen gecompromitteerd e-mailadressen bevat. Gebruikers kunnen via de tool controleren of het wachtwoord van hun e-mailaccount door Emotet is gestolen. Daarnaast deelde de FBI 4,3 miljoen door Emotet gebruikte e-mailadressen met datalekzoekmachine Have I Been Pwned. bron: https://www.security.nl

Interpol heeft politiediensten wereldwijd opgeroepen om onmiddellijk in actie te komen en zo een mogelijke "ransomwarepandemie" te voorkomen. Daarvoor moeten politiediensten en industriepartners een coalitie vormen, liet het hoofd van Interpol, Jürgen Stock, tijdens een forum over ransomware weten. Het World Economic Forum heeft in samenwerking met Interpol een framework ontwikkeld genaamd Project Gateway waardoor de opsporingsdienst direct dreigingsdata van bedrijven kan ontvangen. De coalitie die Stock voor ogen heeft moet zich op vier onderwerpen gaan richten. Als eerste noemt hij het voorkomen van ransomware door het vergroten van bewustzijn, samenwerkingsverbanden en het delen van informatie. Het tweede punt is het verstoren van ransomware en het onderliggende ecosysteem door wereldwijde politieacties, zowel reactief als proactief, merkte Stock op. Het verlenen van noodondersteuning bij ransomware-aanvallen via het netwerk van Interpol is het derde punt. Als laatste moeten slachtoffers van ransomware ondersteuning krijgen om hun weerbaarheid te versterken. "Ransomware is een te grote dreiging geworden voor welke entiteit of sector dan ook om alleen aan te pakken; de omvang van deze uitdaging vereist wereldwijde actie die Interpol als een neutrale en vertrouwde partner kan faciliteren", stelde Stock. "Politie moet als onderdeel van een ware coalitie de inzichten van de cybersecurity-industrie, computer emergency response teams en andere agentschappen gebruiken om cybercriminelen te identificeren en te verstoren, en door samenwerking de wereldwijde impact van cybercrime te verminderen." bron: https://www.security.nl

Microsoft neemt securitybedrijf RiskIQ over en zal de diensten en medewerkers van het bedrijf aan de eigen portfolio toevoegen. Dat heeft het techbedrijf net bekendgemaakt. Hoeveel Microsoft voor de overname betaald is niet bekend. Een bron liet tegenover Bloomberg weten dat het om meer dan 500 miljoen dollar gaat. RiskIQ biedt informatie over online dreigingen en "attack surface management", waarmee bedrijven meer zicht moeten krijgen op de dreigingen voor hun organisatie. Zo houdt RiskIQ zich onder andere bezig met het analyseren van gecompromitteerde webshops en bendes die daar creditcarddata stelen. In de aankondiging van de overname wijst Microsoft mede op het hybride werken en het beveiligen van de digitale transformatie. bron: https://www.security.nl

Softwarebedrijf SolarWinds waarschuwt klanten voor een actief aangevallen kwetsbaarheid in Serv-U Managed File Transfer en Serv-U Secure FTP waardoor remote code execution mogelijk is. Via beide programma's kunnen organisaties een server opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. Microsoft ontdekte dat een kwetsbaarheid in de software actief wordt misbruikt door één aanvaller en is ingezet tegen een "gerichte" groep klanten. Het beveiligingslek, aangeduid als CVE-2021-35211, doet zich alleen voor wanneer SSH voor de server is ingeschakeld. Serv-U versie 15.2.3 HF1 die op 5 mei uitkwam en alle eerdere versies zijn kwetsbaar. SolarWinds heeft een hotfix voor de kwetsbaarheid uitgebracht en roept klanten op om die te installeren. Verdere details over de kwetsbaarheid en aanvaller zijn niet gegeven. SolarWinds zegt pas met details te komen wanneer klanten voldoende tijd hebben gekregen om de beveiligingsupdate te installeren. bron: https://www.security.nl

Softwarebedrijf Kaseya heeft beveiligingsupdates uitgerold voor kwetsbaarheden in het programma VSA die vrijdag 2 juli bij een wereldwijde ransomware-aanval werden gebruikt. Inmiddels is 95 procent van de SaaS-klanten van Kaseya weer online. Managed serviceproviders (MSP's) gebruiken VSA om de systemen van hun klanten op afstand te beheren. MSP's kunnen VSA op hun eigen servers installeren of de SaaS-omgeving van Kaseya gebruiken. Vanwege de aanval adviseerde Kaseya aan managed serviceproviders om hun VSA-servers meteen offline te halen en te houden totdat er meer informatie bekend was. Ook de SaaS-omgeving van Kaseya zelf ging offline. Dit had tot gevolg dat MSP's de systemen van hun klanten niet meer via VSA konden beheren. VSA-systemen mochten pas weer online nadat de updates geïnstalleerd waren. Met VSA 9.5.7a worden meerdere kwetsbaarheden in de software verholpen, die onder andere door onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) werden gevonden en gerapporteerd aan Kaseya. Het gaat mede om een "credentials leak and business logic flaw" (CVE-2021-30116), cross-site scripting-kwetsbaarheid (CVE-2021-30119) en een manier om de tweefactorauthenticatie te omzeilen (CVE-2021-30120). Verschillende andere verholpen kwetsbaarheden, waaronder een beveiligingslek waardoor het ongeautoriseerd uploaden van bestanden naar de VSA-server mogelijk was, hebben vooralsnog geen CVE-nummer gekregen. Naast het uitbrengen van de patches heeft Kaseya ook een "Hardening and Best Practice Guide" online gezet voor het verder beveiligen van de VSA-omgeving. Kaseya heeft aangegeven dat het getroffen MSP's financieel zal ondersteunen. bron: https://www.security.nl

Ik heb dit topic meerdere malen gelezen en spring er toch even in. Voor de TS wordt het een beetje onduidelijk door een aantal zij-discussies. Mocht ik het goed begrijpen: TS wil een IP-camera ophangen in de tuin. Het signaal vanuit het aansluitpunt van de modem is niet toereikend. Wat ik vermoed is dat de camera ergens in of buiten een schuurtje of schutting gehangen zal worden. Ik neem aan dat de camera ook van stroom voorzien moet worden. En dan is dus een adopter voor internet via het stroomnetwerk het meest stabiele en eenvoudige. Wifi- hoe goed je punten dan ook, hebben altijd last van storing of mengen van signalen door buurtmodem. Mijn advies is dan ook de TS verder te helpen met het opzetten met de verbinding via de AC. Aansluiting op de modem (zie de foto van TS) ziet er goed uit. Ook al is een meterkast niet de meest ideale plaats. Maar wat dat betreft hebben jullie bij de provider geloof ik niet veel keuze.

Afspraken die Google met de Britse mededingsautoriteit CMA wil maken over de Chrome Privacy Sandbox kunnen beter, zo vindt Mozilla. Third-party trackingcookies zijn volgens Google de voornaamste manier om internetgebruikers op het web te volgen en hen zo gerichte advertenties te kunnen tonen. Vanwege de privacygevolgen hiervan zijn verschillende browsers inmiddels begonnen met het blokkeren van third-party cookies. Iets dat volgens Google negatieve gevolgen voor adverteerders heeft en het businessmodel van websites ondermijnt. Om gebruikers zonder het gebruik van third-party cookies toch gerichte advertenties te kunnen blijven tonen bedacht Google de Privacy Sandbox, een verzameling van technologieën, waaronder het veel bekritiseerde Federated Learning of Cohorts (FLoC). Begin dit jaar kondigde de Competition and Markets Authority (CMA) een onderzoek aan naar de Privacy Sandbox van Google. De mededingsautoriteit maakt zich zorgen dat de Privacy Sandbox de mogelijkheden van uitgevers om geld te verdienen ondermijnt, alsmede concurrentie op het gebied van digitale advertenties lastiger maakt. Hierdoor zou de marktmacht van Google verder worden versterkt. Vorige maand lieten de CMA en Google weten dat het techbedrijf met betrekking tot de Privacy Sandbox verschillende toezeggingen wil doen. Zo zegt Google dat de eigen advertentieproducten geen datavoordeel zullen hebben, het zichzelf geen voorkeursbehandeling geeft en het in een open dialoog met de CMA zal samenwerken. Als de CMA deze toezeggingen accepteert worden ze juridisch bindend. In aanloop naar een beslissing is nu een publieke consultatie gestart en Mozilla heeft hierop gereageerd. Volgens de Firefox-ontwikkelaar kunnen de toezeggingen van Google veel verder gaan en is er nu een unieke kans om de privacyeigenschappen van online advertenties te verbeteren wat de privacy van alle internetgebruikers ten goede komt. Hiervoor moet de CMA meer van Google verlangen, aldus Mozilla. Ten eerste moet de CMA voor een hoog privacyniveau en gelijk speelveld gaan. Ten tweede moet Google het uitfaseren van third-party cookies voor tracking niet koppelen aan de invoering van de Privacy Sandbox. Onlangs liet Google weten dat het uitfaseren van trackingcookies in Google Chrome wordt uitgesteld naar eind 2023, waarbij de implementatie van de Privacy Sandbox als reden werd gegeven. Als derde en laatste vindt Mozilla dat de voorstellen voor de Privacy Sandbox via een formeel proces bij een organisatie voor open standaarden moeten worden ontwikkeld en uitgerold. De consultatie is gisteren gesloten en de CMA zal binnenkort de uiteindelijke beslissing kenbaar maken. bron: https://www.security.nl

De noodpatch die Microsoft uitbracht voor het PrintNightmare-lek, ook bekend als CVE-2021-34527, werkt naar behoren, zo stelt het techbedrijf in een blogposting. Op 6 juli kwam Microsoft buiten de vaste patchcyclus om met een beveiligingsupdate voor de kwetsbaarheid in de Windows Print Spooler. Dit onderdeel van Windows is verantwoordelijk voor de verwerking van printjobs. Het beveiligingslek laat een aanvaller in het ergste geval willekeurige code met systeemrechten uitvoeren. Na het uitkomen van de noodpatch stelden verschillende beveiligingsonderzoekers dat de update onvolledig was en aanvallers de kwetsbaarheid in bepaalde gevallen nog steeds konden misbruiken. Microsoft laat nu weten dat het naar aanleiding van deze meldingen een onderzoek is gestart. Dat onderzoek heeft uitgewezen dat de noodpatch naar behoren werkt en effectief is tegen alle bekende exploits. "Alle meldingen die we hebben onderzocht zijn afhankelijk van het aanpassen van de standaard registerinstellingen met betrekking tot Point en Print naar een onveilige configuratie", aldus het techbedrijf. Microsoft roept organisaties dan ook op om de beveiligingsupdate meteen te installeren. Mocht uit onderzoek blijken dat er andere problemen zijn zegt Microsoft actie te zullen ondernemen. bron: https://www.security.nl

Softwarebedrijf Kaseya, waarvan de software vorige week werd gebruikt voor een wereldwijde ransomware-aanval, heeft een oud klantenportaal waarin een kwetsbaarheid zat jarenlang online laten staan. In 2015 werd er een beveiligingslek in de Kaseya VSA-software gevonden (CVE-2015-2862) waarvoor het bedrijf met een beveiligingsupdate kwam. Het klantenportaal van Kaseya, bereikbaar via portal.kaseya.net, was ook kwetsbaar voor dit beveiligingslek. Via de kwetsbaarheid is path traversal mogelijk en kan een aanvaller toegang tot allerlei bestanden op de webserver krijgen. In het geval van de VSA-software was de aanval alleen via een geauthenticeerde gebruiker mogelijk, maar dat was niet het geval bij de klantenportaal. Kaseya wist niet dat het klantenportaal ook kwetsbaar was, waardoor het beveiligingslek daarin nooit werd verholpen. In 2018 werd het klantenportaal uitgefaseerd en vervangen door een moderner klant- en ticketsysteem. Het oude portaal bleef echter online staan. Volgens Kaseya zijn er op dit moment geen aanwijzingen dat het oude klantenportaal op enige wijze betrokken is geweest bij de ransomware-aanval van vorige week. Er wordt echter nog onderzocht welke data in het systeem stond, zo laat het bedrijf tegenover it-journalist Brian Krebs weten. Nadat Kaseya werd geïnformeerd dat het oude klantenportaal kwetsbaar was werd het offline gehaald. bron: https://www.security.nl

Nederlandse beveiligingsonderzoekers hebben begin april zeven kwetsbaarheden in Kaseya VSA gevonden, waaronder één van de twee beveiligingslekken waar criminelen vorige week bij de wereldwijde ransomware-aanval gebruik van maakten. De onderzoekers maken deel uit van het Dutch Institute for Vulnerability Disclosure (DIVD), dat zich bezighoudt met beveiligingsonderzoek en het waarschuwen van kwetsbare organisaties. De beveiligingslekken die de DIVD-onderzoekers ontdekten maken het onder andere mogelijk om code op VSA-servers uit te voeren, de tweefactorauthenticatie te omzeilen, SQL Injection-aanvallen uit te voeren en inloggegevens te bemachtigen waarmee er toegang tot VSA-servers kan worden verkregen. Na ontdekking van de kwetsbaarheden werd Kaseya door het DIVD gewaarschuwd. Vier de van de beveiligingslekken werden vervolgens verholpen via updates die in april en mei verschenen. Drie van de kwetsbaarheden moesten nog in de VSA-software worden gepatcht. Eén van deze beveiligingslekken, aangeduid als CVE-2021-30116, werd vorige week bij de wereldwijde ransomware-aanval door criminelen gebruikt om toegang tot de VSA-servers van managed serviceproviders (MSP's) te krijgen. Via deze servers beheren MSP's de systemen van hun klanten. De standaard remote toegang die VSA biedt gebruikten de criminelen om vervolgens ransomware op klantsystemen te installeren. De ernst van CVE-2021-30116 is op een schaal van 1 tot en met 10 met een 10 beoordeeld. Daarnaast maakten de aanvallers ook misbruik van een andere kwetsbaarheid, zo laat het DIVD weten. Dit beveiligingslek was echter niet door de Nederlandse onderzoekers ontdekt. Het DIVD wil details over de gevonden kwetsbaarheden pas bekendmaken als Kaseya updates heeft uitgebracht en die op voldoende systemen zijn geïnstalleerd, om zo eventueel misbruik te voorkomen. bron: https://www.security.nl