Captain Kirk

Dat is mooi. Dan sluit ik dit topic. Veel plezier met de upgrade.

Heb je al eens gekeken of alle stekkers intern wel goed vast zitten en de pc stofvrij is? Het zou hier ook namelijk zomaar een probleem in een van de contacten kunnen zijn. Zorg, voordat je aan de gang gaat met de binnenkant, dat alle randapparaten en de stroom ontkoppeld zijn. Hou volgens even voor de zekerheid 10 seconden de centrale verwarming vast voor statische ontlading. Controleer dan even alle connectors. Zit er veel stof in de kast, kun je deze schoon blazen met een busje perslucht. Action is daarvoor inmiddels mijn vaste leverancier Wanneer je een ventilator schoon blaast, hou deze dan even met bijvoorbeeld een potlood geblokkeerd. Anders gaat de fan te hard draaien en blijft het vuil zitten.

En...is het gelukt?

Heb je ook al eens geprobeerd om je wifipunt in de garage op een andere plek te zetten en heb je al eens gemeten hoeveel wifipunten er in de buurt zitten? Zogenaamde deadspots in je wifi-bereik kunnen ook oorzaak zijn van dit probleem. Een tweede mogelijjheid is dat er teveel mensen in de buurt te dicht op jouw kanaal zitten. Dit kun je oa meten met een app op je telefoon: https://play.google.com/store/apps/details?id=com.farproc.wifi.analyzer&hl=en_US&gl=US Beide opties zou ik even uitsluiten omdat je aan geeft dat ook met je wifi-punt buiten je eigen "kooi" niet over houdt.

Microsoft heeft instructies online gezet waarmee gebruikers Windows 11 kunnen installeren op een systeem dat niet over een Trusted Platform Module (TPM) versie 2 beschikt. De Trusted Platform Module is een standaard voor het beschermen van cryptografische processen binnen een computer en wordt gebruikt voor het veilig opslaan van encryptiesleutels, wachtwoorden, certificaten en andere gevoelige data. Windows 11 gebruikt TPM 2.0 voor een aantal features, waaronder Windows Hello en BitLocker. De aanwezigheid van TPM 2.0 is dan ook onderdeel van de systeemeisen voor Windows 11. Volgens Microsoft beschikken de meeste pc's die de afgelopen vijf jaar zijn verschenen over een Trusted Platform Module 2.0. Het kan echter zijn dat die niet altijd staat ingeschakeld. Het techbedrijf heeft nu een document online geplaatst waarin wordt uitgelegd hoe de check van de Windows 11-installatie op de aanwezigheid van TPM 2.0 kan worden omzeild. Hiervoor moet een registersleutel worden aangemaakt. Daarnaast moet de computer in kwestie over een Trusted Platform Module versie 1.2 beschikken. Microsoft waarschuwt gebruikers voor het incorrect aanpassen van het Windows-register en het niet voldoen aan de systeemeisen voor Windows 11. bron: https://www.security.nl

Microsoft heeft Windows 11 gelanceerd voor nieuwe pc's en als gratis upgrade voor Windows 10-systemen. Vanaf vandaag is het nieuwe besturingssysteem beschikbaar op nieuwe apparaten die 'pre-loaded' met Windows 11 komen. Nieuwe systemen die met Windows 10 geleverd zijn zullen Windows 11 als eerste krijgen aangeboden. Daarnaast is de nieuwste Windowsversie beschikbaar voor Windows 10-systemen die aan de systeemeisen voldoen. Zo moet het systeem zijn uitgerust met een Trusted Platform Module (TPM) versie 2. In het geval van Windows 10 Home, dat de meeste thuisgebruikers hebben draaien, is een Microsoft-account en internetverbinding verplicht, zo staat in de systeemeisen vermeld. Volgens Microsoft is Windows 11 de veiligste Windowsversie tot nu toe, waarbij vooral wordt ingezet op de koppeling met clouddiensten. Daarnaast ondersteunt het besturingssysteem DNS-over-HTTPS. Windows 10-gebruikers die naar Windows 11 upgraden hebben tien dagen de tijd om terug naar de vorige installatie te gaan met behoud van bestanden en data. Daarna is een schone installatie van Windows 10 vereist. Voor gebruikers die niet willen of kunnen upgraden zal Microsoft Windows 10 tot 14 oktober 2025 van beveiligingsupdates blijven voorzien. bron: https://www.security.nl

Organisaties kunnen meer dan 99 procent van alle digitale aanvallen voorkomen als ze gebruik zouden maken van multifactorauthenticatie (MFA), beveiligingsupdates installeren en antivirussoftware draaien, zo claimt Microsoft. Toch maakt meer dan tachtig procent van Microsofts klanten geen gebruik van MFA om accounts te beschermen, zo stelt het techbedrijf in een nieuw rapport. "Als organisaties alleen MFA toepasten, antivirussoftware gebruikten en hun systemen up-to-date hielden zouden ze tegen meer dan 99 procent van de aanvallen die we tegenwoordig zien beschermd zijn", zegt Microsofts Tom Burt, corporate vicepresident Customer Security & Trust. Microsoft ziet naar eigen zeggen elke dag vijftig miljoen wachtwoordaanvallen op Azure Active Directory. "Slechts twintig procent van gebruikers en dertig procent van beheerders maken gebruik van sterke authenticatie zoals MFA", laat het rapport weten. Volgens Microsoft weten criminelen in de meeste gevallen nog altijd door een open deur binnen te komen en zijn daarom de basismaatregelen zo belangrijk. "Als gecompromitteerde organisaties basale securityhygiëne hadden toegepast. zoals het installeren van updates, of het inschakelen van multifactorauthenticatie, hadden ze de aanval kunnen voorkomen of had die een kleinere impact gehad." Het techbedrijf noemt het schokkend dat minder dan twintig procent van de klanten MFA heeft ingeschakeld. "Organisaties die deze basale hygiënemaatregelen niet toepassen zijn veel kwetsbaarder voor aanvallen." bron: https://www.security.nl

De Apache Software Foundation waarschuwt beheerders van webservers voor een onvolledige beveiligingsupdate en heeft een nieuwe fix uitgerold. Apache kwam op 4 oktober met een patch voor een kwetsbaarheid in Apache versie 2.4.49, aangeduid als CVE-2021-41773. Het ging om een zerodaylek, aangezien de kwetsbaarheid al voor het uitkomen van de update actief werd misbruikt. In eerste instantie werd gemeld dat via de kwetsbaarheid path traversal mogelijk is, waarmee een aanvaller toegang tot mappen en bestanden kan krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. Wanneer "mod-cgi" staat ingeschakeld en de standaardoptie "require all denied" in de configuratie ontbreekt is ook remote code execution mogelijk, zo waarschuwden beveiligingsonderzoekers. De problemen zouden met Apache versie 2.4.50 zijn verholpen, maar nu meldt de Apache Software Foundation dat de beveiligingsupdate onvolledig is en webservers nog steeds kwetsbaar voor path traversal en remote code execution zijn. Daarop is nu Apache HTTP Server versie 2.4.51 uitgebracht. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server. Securitybedrijf Rapid7 laat weten dat het zo'n 65.000 potentieel kwetsbare Apache-servers op internet heeft geïdentificeerd. Het kan echter zijn dat er meerdere Apache-servers op één ip-adres draaien, waardoor het aantal mogelijk hoger ligt. bron: https://www.security.nl

Google heeft afgelopen woensdag zo'n 14.000 Gmail-gebruikers gewaarschuwd voor een gerichte phishingaanval die door de Russische overheid zou zijn uitgevoerd. Volgens Shane Huntley, hoofd van Googles Threat Analysis Group, waren de phishingmails verstuurd door een groep aanvallers die bekendstaat als "APT28" en "Fancy Bear", zo laat hij tegenover Vice Magazine weten. Huntley benadrukt dat de waarschuwingen alleen laten weten dat de gebruiker een doelwit was, niet dat het account is gecompromitteerd. "Als we je waarschuwen is er een grote kans dat we de e-mail blokkeerden", aldus Huntley. Hij merkt op dat het grote aantal waarschuwingen deze maand wordt veroorzaakt door een klein aantal gerichte campagnes. Met de waarschuwing wil Google gebruikers laten weten dat ze een doelwit zijn en het verstandig is om extra beveiligingsmaatregelen voor een volgende aanval te nemen. "Als je een activist, journalist, overheidsfunctionaris bent of binnen de staatsveiligheid werkt zou deze waarschuwing eigenlijk geen verrassing moeten zijn. Op een gegeven moment zal een door een overheid gesteunde entiteit je waarschijnlijk iets proberen te sturen", gaat Huntley verder. Volgens het hoofd van de Threat Analysis Group zijn de meeste door staten gesteunde aanvallen met basale beveiligingsmaatregelen te blokkeren, zoals het gebruik van beveiligingssleutels, het installeren van beveiligingsupdates en bewustzijn. "Dat is waarom we deze waarschuwing versturen", merkt Huntley op. Sinds 2012 laat Google een waarschuwing zien als het vermoedt dat gebruikers het doelwit zijn van door een staat gesponsorde aanvallers. APT28 wordt voor een groot aantal aanvallen tegen overheden, bedrijven en personen verantwoordelijk gehouden. Verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de Franse televisiezender TV5, de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta, Europese hotels, het campagneteam van de Franse president Macron en vredesbeweging Pax zijn door de groep aangevallen. bron: https://www.security.nl

Microsoft gaat binnenkort standaard Excel 4.0-macro's bij Microsoft 365-gebruikers uitschakelen om hen zo tegen malafide documenten te beschermen. Dat heeft het techbedrijf in een e-mail aangekondigd. Sinds juli van dit jaar was het al mogelijk in het Excel Trust Center om het gebruik van Excel 4.0-macro's verder te beperken. Deze macroversie werd in 1992 geïntroduceerd en laat gebruikers allerlei taken binnen Excel automatiseren. De versie is inmiddels vervangen door macroversie 5.0. Toch maken aanvallers nog steeds op grote schaal gebruik van Excel 4.0-macro's om gebruikers met malware te infecteren. Standaard blokkeert Office het uitvoeren van macro's, maar laat gebruikers die via een paar muisklikken weer inschakelen. Met de aankomende update voor Microsoft 365 wordt het uitvoeren van Excel 4.0-macro's helemaal geblokkeerd. De aanpassing is beperkt tot eindgebruikers die deze macro-instelling niet hebben aangepast of waarbij geen group policy door hun beheerder is ingesteld. Gebruikers kunnen de instelling in het Excel Trust Center wijzigen, waardoor het uitvoeren van Excel 4.0-macro's weer mogelijk wordt. De uitrol van de feature begint eind deze maand en zal gefaseerd plaatsvinden. Halverwege december moet de uitrol zijn afgerond. bron: https://www.security.nl

Er is een nieuwe versie van encryptiesoftware GnuPG verschenen die een probleem met het nieuwe rootcertificaat van Let's Encrypt verhelpt. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. Het maakt hierbij gebruik van public key cryptography. Let's Encrypt is een certificaatautoriteit die gratis tls-certificaten uitgeeft. Op 30 september verviel het rootcertificaat van de certificaatautoriteit en wordt er van een nieuw certificaat gebruikgemaakt. Een overstap die niet geheel vlekkeloos verliep en voor problemen bij miljoenen gebruikers zorgde. Ook bij GnuPG veroorzaakte het nieuwe certificaat problemen. Het certificaat werd niet correct geselecteerd door de software, die daardoor geen gebruik kon maken van de Web Key Directory (WKD) en keyservers om publieke sleutels op te zoeken. Het probleem zou met GnuPG 2.2.32 moeten zijn verholpen. bron: https://www.security.nl

Een actief misbruikt beveilgingslek in Apache versie 2.4.49 maakt ook remote code execution mogelijk, zo waarschuwen beveiligingsonderzoekers. Apache kwam op 4 oktober met een beveiligingsupdate voor een kwetsbaarheid aangeduid als CVE-2021-41773. Het ging om een zerodaylek, aangezien de kwetsbaarheid al voor het uitkomen van de update actief werd misbruikt. Volgens de Apache Software Foundation maakt het beveiligingslek path traversal mogelijk, waarmee een aanvaller toegang tot mappen en bestanden kan krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. Daarnaast is de kwetsbaarheid te gebruiken om de source van bestanden zoals CGI-scripts te lekken. Verschillende onderzoekers laten via Twitter weten dat de kwetsbaarheid ook voor remote code execution is te gebruiken. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server. Een scan via zoekmachine Shodan wijst uit dat 112.000 webservers Apache versie 2.4.49 draaien. Het uitvoeren van willekeurige code is echter alleen mogelijk wanneer "mod-cgi" staat ingeschakeld en de standaardoptie "Require all denied" in de configuratie ontbreekt, meldt onderzoeker Will Dormann. Beheerders wordt opgeroepen om te updaten naar Apache versie 2.4.50. bron: https://www.security.nl

De vitale sector maakt niet altijd gebruik van standaarden voor e-mailbeveiliging, waardoor bijvoorbeeld spoofing mogelijk is, zo stellen Zembla en de Internet Cleanup Foundation op basis van onderzoek onder honderd bedrijven en organisaties. Het gaat dan om de standaarden SPF, DKIM en DMARC die niet zijn geïmplementeerd of onvoldoende strikt zijn geconfigureerd. DMARC staat voor Domain Message Authentication Reporting & Conformance (DMARC). Via DMARC kunnen organisaties beleid instellen hoe e-mailproviders moeten omgaan met e-mails waarvan niet kan worden vastgesteld dat ze van het betreffende afzenderdomein afkomstig zijn. Het Sender Policy Framework (SPF) controleert of een verzendende mailserver die e-mail namens een domein wil versturen, ook daadwerkelijk gerechtigd is om dit te mogen doen. Met DKIM kan de domeinnaamhouders aangeven met welke sleutel e-mailberichten moeten zijn gesigneerd. Verzendende mailservers ondertekenen alle uitgaande e-mail namens deze domeinnaam met deze sleutel. Ontvangende mailservers kunnen met behulp van DKIM controleren of de e-mail door een geautoriseerde partij is verzonden. Via de standaarden kan e-mailspoofing, waarbij een aanvaller zich in een e-mail voordoet als een ander door het afzendadres te vervalsen, worden voorkomen. Van de honderd onderzochte organisaties hadden er 57 DMARC, DKIM en SPF ten tijde van het onderzoek de screening geïmplementeerd en strikt geconfigureerd. Bij de overige 43 bedrijven ontbrak minstens één van de drie veiligheidsstandaarden, of stond deze onvoldoende strikt geconfigureerd. Het gaat onder andere om de kerncentrale van Borssele, de KLM, hoogspanningsbeheerder TenneT en elektriciteitsproducent Vattenfall. Van de 43 bedrijven en organisaties die niet alle veiligheidsstandaarden toepasten of strikt hadden geconfigureerd zeggen er 34 hun e-mailbeveiliging verder te zullen aanscherpen. In juli bleek dat een kwart van de Nederlandse ziekenhuizen en GGD's geen gebruikmaakt van de eerder genoemde beveiligingsstandaarden en ook de overheid heeft dit nog niet overal op orde. bron: https://www.security.nl

Ruim 70.000 Microsoft Exchange-servers missen een belangrijke beveiligingsupdate en zijn zo kwetsbaar voor aanvallen. De update om deze servers te beschermen is al sinds april van dit jaar beschikbaar, maar nog altijd niet door beheerders van de betreffende machines geïnstalleerd. Dat stelt securitybedrijf Rapid7 op basis van onderzoek naar ruim 306.000 Exchange-servers die toegankelijk vanaf internet zijn. Microsoft kwam in april en mei met beveiligingsupdates voor drie kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Door de drie kwetsbaarheden te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Deze aanval kreeg de naam ProxyShell. Van de 306.000 onderzochte Exchange-servers draaien er nog 84.000 op Exchange 2007 en 2010. Deze versies zijn niet kwetsbaar voor de ProxyShell-aanval, maar worden al geruime tijd niet meer door Microsoft ondersteund en ontvangen zo geen beveiligingsupdates meer. De resterende 222.000 Exchange-servers draaien op Exchange 2013, 2016 en 2019. Deze versies zijn wel kwetsbaar voor ProxyShell. Aanvallers maken al enige tijd misbruik van de ProxyShell-kwetsbaarheden om Exchange-servers aan te vallen. Desondanks was op 29 procent van de servers de ProxyShell-update niet geïnstalleerd en was dit bij 2,6 procent gedeeltelijk. Dat houdt in dat 31,7 procent van de onderzochte Exchange 2013-, 2016- en 2019-servers mogelijk kwetsbaar is, aldus de onderzoekers. bron: https://www.security.nl

Op internet zijn de broncode, uitbetalingen en andere vertrouwelijke bestanden van streamingdienst Twitch gelekt. Hoe de gegevens konden worden gestolen is nog niet bekend. De data wordt via een 125 gigabyte grote torrent aangeboden en bevat de broncode van de mobiele, desktop en videogameconsole Twitch-client, zo meldt The Verge. Daarnaast zijn er drie jaar aan overzichten te vinden van wat Twitch aan makers op het platform uitkeerde. Meerdere van deze makers laten weten dat de genoemde bedragen juist zijn en het inderdaad om bij Twitch gestolen data gaat. Verder zijn erin de dataset interne red teaming tools van Twitch aangetroffen waarmee het bedrijf de eigen veiligheid test. Voor zover bekend bevat de gelekte data geen persoonlijke gegevens van gebruikers. Het datalek heeft echter het label "part one" gekregen, wat kan suggereren dat er nog meer data komt. Een bron verklaart tegenover Video Games Chronicle dat Twitch van het datalek op de hoogte is. De gegevens zouden mogelijk afgelopen maandag zijn buitgemaakt. Twitch, dat volgens Statista acht miljoen actieve streamers telt, heeft nog geen officiële verklaring naar buiten gebracht. bron: https://www.security.nl

Facebook heeft een onderzoek ingesteld naar de claim van een internetgebruiker die beweert de privégegevens van 1,5 miljard Facebook-gebruikers in bezit te hebben en die via een forum te koop aanbiedt. De vermeende data zou via scraping zijn verzameld en bestaan uit naam, e-mailadres, telefoonnummer, locatie, geslacht en gebruikers-ID, zo meldt Privacy Affairs. Het is echter onbekend of de aangeboden gegevens echt zijn of dat het om een scam gaat. Een gebruiker van het forum claimt de aanbieder te hebben betaald, maar stelt dat hij vervolgens geen data heeft ontvangen. De aanbieder ontkent deze aantijgingen en houdt vol dat de aangeboden data authentiek is. Het is op dit moment nog altijd onbevestigd of het echt om gegevens van Facebookgebruikers gaat. "We onderzoeken deze claim en hebben een takedown request naar het forum gestuurd dat de vermeende data adverteert", zo laat een woordvoerder van Facebook tegenover The New York Times weten. bron: https://www.security.nl

OnionShare, een tool voor het anoniem uitwisselen van bestanden dielonder andere door klokkenluiders en journalisten wordt gebruikt, heeft twee kwetsbaarheden verholpen waardoor ongeautoriseerde uploads en het achterhalen van chatdeelnemers mogelijk waren. De tool start een webserver op de computer van de gebruiker en maakt die toegankelijk als een Tor-adres. Dit is een adres op het Tor-netwerk dat anderen via Tor Browser kunnen benaderen en kunnen gebruiken om bestanden van de webserver te downloaden of hier bestanden naar toe te uploaden. Het is niet nodig om op een account in te loggen of van derde partijen gebruik te maken. In de niet-publieke mode genereerde OnionShare een willekeurige gebruikersnaam en wachtwoord. Alleen gebruikers met de juiste inloggegevens kunnen dan bestanden uploaden. Onderzoekers van IHTeam ontdekten dat het bij de niet-publieke mode mogelijk was om zonder geldige inloggegevens toch bestanden via OnionShare te uploaden. Naast de optie om bestanden te uploaden en downloaden biedt OnionShare ook een chatroomfunctie. Deelnemers krijgen een willekeurige gebruikersnaam toegekend, maar kunnen die wel veranderen. Voorheen maakte de chatfunctie ook gebruik van een wachtwoord. De onderzoekers ontdekten een tweede kwetsbaarheid waardoor het mogelijk was om zonder inloggegevens de namen van chatdeelnemers te achterhalen. De beveiligingslekken werden op 21 augustus gemeld, waarna op 17 september een nieuwe versie van OnionShare verscheen waarin de problemen zijn opgelost. Daarnaast maakt de tool inmiddels geen gebruik meer van wachtwoorden maar van private keys. bron: https://www.security.nl

De Apache Software Foundation waarschuwt voor een actief aangevallen zerodaylek in Apache HTTP Server waardoor path traversal mogelijk is. Daarnaast is de kwetsbaarheid te gebruiken om de source van bestanden zoals CGI-scripts te lekken. Een beveiligingsupdate is sinds gisteren beschikbaar. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server. In versie 2.4.49 van de webserversoftware is een aanpassing aan de code doorgevoerd die controleert op path traversal-karakters, waarmee een aanvaller toegang tot mappen en bestanden kan krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. Er werd echter geen rekening gehouden met een bepaalde codering van deze karakters waardoor path traversal toch mogelijk is. Een aanvaller zou zo url's aan bestanden buiten de verwachte document root kunnen mappen, aldus de Apache Software Foundation. De kwetsbaarheid werd al voor het uitkomen van de beveiligingsupdate aangevallen, meldt securitybedrijf Sonatype. Wereldwijd zouden zo'n 112.000 Apache-servers de kwetsbare versie van de software draaien. Beheerders wordt opgeroepen om te updaten naar versie 2.4.50. bron: https://www.security.nl

Eerder dit jaar is Google begonnen om bij gebruikers automatisch tweestapsverificatie (2SV) in te schakelen en voor het einde van dit jaar komen daar nog eens 150 miljoen gebruikers bij. Dat heeft het techbedrijf vandaag aangekondigd. Daarnaast worden twee miljoen YouTube-makers verplicht om 2SV in te schakelen. Gebruikers bij wie 2SV staat ingeschakeld moeten na het inloggen met gebruikersnaam en wachtwoord ook nog op een andere manier bewijzen dat ze de eigenaar van het account zijn. Dit kan op verschillende manieren, zoals het bevestigen van een Google-prompt op de telefoon. Tweestapsverificatie wordt alleen ingeschakeld bij Google-accounts die over het juiste back-upmechanisme beschikken om een "naadloze overstap" naar 2SV te maken, zo stelt het techbedrijf. "We erkennen dat de huidige 2SV-opties niet voor iedereen geschikt zijn, dus werken we aan technologieen die een eenvoudige, veilige authenticatie-ervaring bieden en de afhankelijkheid van wachtwoorden op de lange termijn verminderen", aldus AbdelKarim Mardini van Google. bron: https://www.security.nl

Firefox zal vanaf vandaag bij het opzetten van een beveiligde verbinding het uit 1995 stammende 3DES-encryptiealgoritme standaard niet meer ondersteunen, wat gebruikers tegen aanvallen moet beschermen, zo heeft Mozilla aangekondigd. Bij het opzetten van een beveiligde TLS-verbinding zijn er verschillende encryptiealgoritmes waaruit gekozen kan worden. De triple Data Encryption Standard (3DES) is er daar één van. "Aangezien 3DES alleen een effectieve bescherming van 112 bits biedt, is het volgens sommige agentschappen bijna end-of-life", stelt securitybedrijf Rapid7. Het 3DES-algoritme maakt daarnaast geen onderdeel uit van TLS 1.3. Eerder stelde het National Institute of Standards and Technology (NIST), een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, dat 3DES vanaf 2017 niet meer in nieuwe applicaties moet worden gebruikt en vanaf 2023 overal moet zijn verdwenen (pdf). Ook Mozilla stelt dat aanvallen tegen 3DES sterker zijn geworden. Daarnaast zijn andere, veiligere encryptiealgoritmes gestandaardiseerd en worden inmiddels breed ondersteund, waardoor 3DES nog weinig wordt gebruikt. "Zolang 3DES een door Firefox aangeboden optie blijft, vormt het een beveiligings- en privacyrisico. Omdat het niet langer nodig of verstandig is om dit encryptiealgoritme te gebruiken, staat het standaard uitgeschakeld in Firefox 93", zegt Mozillas Dana Keele. Mozilla denkt dat het gebruik van 3DES nog vooral afkomstig is van verouderde apparaten die oude cryptografie gebruiken en niet zijn te upgraden. Ook kan het zijn dat sommige moderne servers onbedoeld van 3DES gebruikmaken ook al zijn er veiligere algoritmes beschikbaar. Het uitschakelen van 3DES moet daarbij helpen, aldus Keele. Firefox 93 zal later vandaag verschijnen. bron: https://www.security.nl

Vandaag verschijnt Firefox 93 en één van de nieuwe features in de browser is het blokkeren van downloads op https-websites die via http plaatsvinden. Ook downloads in gesandboxte iframes worden voortaan standaard geblokkeerd, tenzij het iframe van een bepaald attribuut gebruikmaakt. Volgens Mozilla moet dit gebruikers tegen onveilige en zelfs ongewenste downloads beschermen. "Het downloaden van bestanden via een onveilige http-verbinding vormt een groot beveiligingsrisico omdat via het http-protocol verstuurde data onbeschermd en onversleuteld is, waardoor aanvallers de verstuurde data kunnen bekijken, stelen of manipuleren", zegt Mozillas Sebastian Streich. "Anders gezegd, het downloaden van een bestand via een onbeveiligde verbinding laat een aanvaller het bestand door malafide content vervangen, die wanneer geopend tot een volledig gecompromitteerd systeem kan leiden." Firefox 93 zal downloads via http op https-websites daarom standaard blokkeren. Gebruikers krijgen dan een pop-up te zien waarin voor een "potentieel beveiligingsrisico" wordt gewaarschuwd. Vervolgens hebben gebruikers de keuze om het bestand te verwijderen of de download toe te staan. Drive-by downloads Tevens zal de browser voortaan ook het downloaden van bestanden in gesandboxte iframes blokkeren. Volgens Mozilla kan malafide content in een iframe voor een drive-by download worden gebruikt, waarbij de gebruiker wordt verleid tot het downloaden van malafide bestanden. Tenzij de gesandboxte content van het 'allow-downloads' attribuut gebruikmaakt zal Firefox dergelijke downloads standaard en zonder verdere melding blokkeren. bron: https://www.security.nl

Criminelen maken gebruik van een bekende kwetsbaarheid in Confluence om organisaties met ransomware te infecteren. Dat meldt antivirusbedrijf Sophos in aan analyse. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Een kwetsbaarheid in de software, aangeduid als CVE-2021-26084, maakt het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren en zo volledige controle over de server te krijgen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Op 25 augustus verscheen er een beveiligingsupdate voor de kwetsbaarheid. Sophos beschrijft een aanval op een organisatie waarbij de aanvallers via de Confluence-kwetsbaarheid op 13 september toegang tot een server wisten te krijgen. Vanaf de Confluence-server wisten de aanvallers zich lateraal door het netwerk te bewegen en verschillende andere servers te compromitteren. Op 24 september, elf dagen na de initiele infectie, vond de ransomware-aanval plaats. De aanvallers gebruikten eerst het programma RClone om allerlei data van besmette servers naar een Dropbox-account te kopiëren. Vervolgens werden de domeincontrollers in het netwerk gebruikt om de ransomware naar alle endpoints in het netwerk te verspreiden en uit te voeren. Naast de ransomwaregroep was er ook een andere aanvaller die de kwetsbare Confluence-server had gevonden en hierop een cryptominer installeerde. bron: https://www.security.nl

Ongeveer de helft van de Nederlanders vindt een uniek wachtwoord voor al hun accounts en apparaten te veel gedoe, zo blijkt uit onderzoek van I&O Research dat in opdracht van het ministerie van Economische Zaken onder iets meer dan duizend Nederlanders werd uitgevoerd (pdf). Bijna driekwart van de ondervraagde Nederlanders beoordeelt de eigen kennis over digitale en online veiligheid redelijk tot (zeer) goed (42 procent redelijk, 24 procent goed, 6 procent zeer goed). Bijna een kwart beoordeelt deze als matig (23 procent) en 5 procent (zeer) slecht. 65-plussers en lager opgeleiden schatten hun eigen kennis over digitale veiligheid lager in dan anderen. Vier op de vijf Nederlanders ontvingen in de afgelopen twaalf maanden een phishingmail. Bij 66 procent was dit thuis, de resterende veertien procent ontving het phishingbericht op werk. Twintig procent zegt daarnaast te zijn benaderd voor WhatsAppfraude. Online veiligheid Deelnemers werd ook gevraagd wat ze deden om hun online veiligheid te verbeteren. Het installeren van antivirussoftware was het meest genoemde antwoord en wordt door 67 procent van de deelnemers gedaan. Het regelmatig installeren van beveiligingsupdates volgt op een tweede plek met 66 procent. Verder stelt een derde geregeld de wachtwoorden te wijzigen en zegt 32 procent het standaard wifi-wachtwoord van de modem te wijzigen. Iets meer dan een kwart van de ondervraagden maakt gebruik van een wachtwoordmanager. Bijna veertig procent geeft aan dat ze het lastig vinden om nieuwe wachtwoorden te maken. Daarnaast vindt bijna vijftig procent het te veel gedoe om voor al hun accounts en apparaten een ander wachtwoord te hebben. Een kleine veertig procent stelt dat beveiligingsinstructies vaak ingewikkeld zijn en zo'n twintig procent vindt dat het maken van een back-up van de computer te veel tijd kost. bron: https://www.security.nl

Het Secure Open Source (SOS)-programma van de Linux Foundation ontvangt 1 miljoen dollar van Google voor het belonen van ontwikkelaars die de security van veelgebruikte opensourceprojecten verbeteren. Om welke projecten het precies gaat is nog niet bekend. Hiervoor wordt gekeken naar de impact van aangemelde projecten, zoals het aantal gebruikers dat van nieuwe securityverbeteringen profiteert, en hoe het met de veiligheid van het project op dit moment staat. Wel is al duidelijk welke verbeteringen in aanmerking voor een beloning komen. Het gaat dan om verbeteringen die voor een veiligere supply chain en distributie-infrastructuur moeten zorgen, het gebruik van fuzzing om kwetsbaarheden te vinden en verschillende andere best practices. Voor complexe verbeteringen die een langdurig effect hebben en zo goed als zeker grote kwetsbaarheden in de betreffende code of infrastructuur voorkomen zijn er beloningen van 10.000 dollar of meer beschikbaar. "Het SOS-programma is onderdeel van een grotere inspanning om met een harde waarheid om te gaan: de wereld is afhankelijk van opensourcesoftware, maar brede ondersteuning en financiële bijdrages zijn nodig om die software veilig te houden", aldus de Linux Foundation. Volgens Google is de investering van 1 miljoen dollar slechts het begin en zal het SOS-programma het startpunt voor meer initiatieven zijn. bron: https://www.security.nl

Microsoft onderzoekt of automatisch geïnstalleerde mitigaties op Exchange-servers die overbodig zijn weer automatisch kunnen worden verwijderd, aangezien dat nu handmatig moet gebeuren wat een probleem voor systeembeheerders kan zijn. Tevens gaat het techbedrijf beheerders van Exchange-servers mogelijk waarschuwen wanneer er automatisch een mitigatie op hun server wordt geïnstalleerd. Vorige week rolde Microsoft een nieuwe Cumulative Update voor Exchange uit die onder ander de Emergency Mitigation-service op servers installeert. Deze service zal automatisch en zonder tussenkomst van de eigenaar mitigaties op kwetsbare Exchange-servers installeren. Het gaat hier niet om beveiligingsupdates, maar mitigaties die misbruik van bekende en actief aangevallen kwetsbaarheden voorkomen. Dit moet Exchange-servers tegen aanvallen beschermen. De feature staat standaard ingeschakeld, maar is door beheerders uit te schakelen. Microsoft stelt dat het naar aanleiding van de uitrol van de Exchange Emergency Mitigation-service "opbouwende kritiek" van klanten kreeg. Zo moeten automatisch geïnstalleerde mitigaties handmatig door Exchange-beheerders worden verwijderd na het installeren van de betreffende beveiligingsupdate. "Het installeren van een beveiligingsupdate die het gemitigeerde probleem verhelpt verwijdert niet de mitigatie van de server. In plaats daarvan moet een beheerder eerst de beveiligingsupdate installeren en dan de mitigaties verwijderen die niet langer van toepassing zijn", aldus Microsoft. Het techbedrijf zegt dat het begrijpt dat het een belasting voor systeembeheerders is om iets handmatig te verwijderen dat automatisch op de server is geïnstalleerd. Daarnaast is het een probleem om uit te zoeken welke mitigaties kunnen worden verwijderd en welke niet. Daarom kijkt Microsoft nu of het overbodige Exchange-mitigaties die automatisch zijn geïnstalleerd ook automatisch weer kan verwijderen, bijvoorbeeld bij de installatie van de betreffende beveiligingsupdate. Melding Een ander kritiekpunt is dat systeembeheerders willen weten wanneer er zonder hun tussenkomst een mitigatie op de Exchange-server is geïnstalleerd. Microsoft stelt dat dit in de logs wordt vermeld. "Maar we beseffen ook de noodzaak voor beheerders om in real-time te weten wanneer een mitigatie is geïnstalleerd of niet", aldus Microsoft. Dat gaat daarom kijken of het beheerders kan waarschuwen voor de installatie van een mitigatie. Afsluitend laat het techbedrijf weten dat bij een aantal organisaties de Exchange Emergency Mitigation-service standaard stond uitgeschakeld in plaats van ingeschakeld. Er wordt nu onderzocht hoe dit kon gebeuren. In de tussentijd is het mogelijk om de service handmatig in te schakelen. bron: https://www.security.nl