Captain Kirk

Criminelen maken de afgelopen week gebruik van qr-codes om Duitse bankklanten naar phishingsites te lokken. Dat blijkt uit verschillende e-mails waarover securitybedrijf Cofense bericht. De e-mails lijken van de helpdesk van de Volksbank en Sparkasse afkomstig en vragen klanten vanwege "belangrijke aanpassingen" en "nieuwe veiligheidsprocedures" om via de meegestuurde qr-code in te loggen. In werkelijkheid wijst de qr-code naar een phishingsite die gebruikers om hun inloggegevens vraagt. Zodra de gegevens zijn ingevoerd krijgen gebruikers een melding om te wachten, voordat de inlogpagina opnieuw verschijnt met het bericht dat de ingevulde inloggegevens incorrect waren. "Een veel gebruikte phishingtactiek", zegt onderzoeker Elmer Hernandez. De e-mails zijn de afgelopen weken verstuurd. bron: https://www.security.nl

Microsoft heeft besloten om deze maand geen cumulative updates voor Exchange Server uit te rollen. Een reden is niet gegeven, behalve dat er sprake is van uitstel en erop een later moment meer informatie over de volgende release van de updates wordt gegeven. Exchange Server kreeg het afgelopen jaar met meerdere actief aangevallen zerodaylekken te maken. Naast het uitbrengen van maandelijkse beveiligingsupdates komt Microsoft eens per kwartaal met cumulative updates om bugs te verhelpen en soms ook nieuwe features toe te voegen. Een van de belangrijkste nieuwe features dit jaar was de Emergency Mitigation-service. Deze service installeert automatisch en zonder tussenkomst van de eigenaar mitigaties op kwetsbare Exchange-servers. Het gaat hier niet om beveiligingsupdates, maar mitigaties die misbruik van bekende kwetsbaarheden voorkomen. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie wel een bepaalde cumulative update (CU) hebben geïnstalleerd. Zo worden op dit moment alleen Exchange Server 2013 CU23, Exchange Server 2016 CU21 en CU22 en Exchange Server 2019 CU10 en CU11 met beveiligingsupdates ondersteund. bron: https://www.security.nl

De Amerikaanse burgerrechtenbeweging EFF luidt de noodklok over de nieuwe regels die gaan gelden voor Google Chrome-extensies en binnenkort van kracht worden. Volgens de EFF zijn de nieuwe specificaties schadelijk voor de privacy van gebruikers. De manier waarop extensies binnen de browser mogen werken staat beschreven in een manifest. Binnenkort zal versie drie van het manifest verschijnen en dat is slecht nieuws voor Chrome-gebruikers, aldus de EFF. "Manifest V3 is regelrecht schadelijk voor privacymaatregelen. Het beperkt de mogelijkheden van extensies", zegt Daly Barnett van de Amerikaanse burgerrechtenbeweging. Het gaat dan met name om extensies die het verkeer tussen de browser en websites monitoren. Het gaat dan bijvoorbeeld om adblockers en privacytools, die door het nieuwe manifest veel minder effectief worden, merkt Barnett op, die toevoegt dat het ook twijfelachtig is dat Manifest V3 veel voor security zal doen. "De ontwikkelspecificaties van browser-extensies lijken misschien overweldigend, maar de bredere gevolgen zijn voor alle internetgebruikers van belang: het is weer een stap waar Google bepaalt hoe we online leven", merkt Barnett op. "Gegeven dat Google al jaren het grootste advertentiebedrijf ter wereld is, zijn deze nieuwe beperkingen bemoeizuchtig en regelrecht eng." Volgens de EFF zijn de nieuwe regels weer een voorbeeld van het inherente belangenconflict van Google als het grootste online advertentienetwerk en eigenaar van de meestgebruikte browser op internet. De Amerikaanse burgerrechtenbeweging staat niet alleen in de kritiek. "Bijna alle browser-extensies die je kent worden op de één of andere manier geraakt: degene die geluk hebben zullen 'alleen' wat problemen ervaren, sommige worden verminkt en andere zullen ophouden met bestaan", zegt Andrey Meshkov van AdGuard. bron: https://www.security.nl

Een zeer kritieke kwetsbaarheid in de populaire open source Apache Log4j 2-library maakt remote code execution mogelijk waardoor duizenden organisaties risico lopen. Er is inmiddels een update uitgebracht om het probleem te verhelpen, maar exploitcode is ook online verschenen. Log4j 2 is een tool voor het loggen van informatie van Java-applicaties. Zo kunnen ontwikkelaars, door de library aan hun Java-applicatie toe te voegen, bijvoorbeeld problemen met de applicatie ontdekken. Een kwetsbaarheid zorgt ervoor dat wanneer de library een bepaalde string logt een aanvaller willekeurige code kan uitvoeren en zo controle over de applicatieserver kan krijgen. De kwetsbaarheid, aangeduid als CVE-2021-44228 en Log4Shell, raakt allerlei grote diensten zoals Steam, Apple iCloud en apps zoals Minecraft, stelt Free Wortley van securitybedrijf LunaSec. "Iedereen die van Apache Struts gebruikmaakt is waarschijnlijk kwetsbaar. We hebben misbruik van dergelijke kwetsbaarheden eerder gezien bij datalekken zoals het Equifax-datalek van 2017", merkt Wortley op. "Er zal zeer waarschijnlijk misbruik van deze kwetsbaarheid worden gemaakt die vermoedelijk duizenden organisaties raakt. Het beveiligingslek vormt een aanzienlijk risico voor kwetsbare systemen", aldus securitybedrijf Randori. Volgens het bedrijf wordt de Log4j 2-library veel gebruikt in zakelijke Java-software. De impact is vanwege de manier waarop de software wordt ingezet lastig te bepalen. "Net als andere impactvolle kwetsbaarheden zoals Heartbleed en Shellshock denken we dat de komende weken een groeiend aantal kwetsbare producten zal worden ontdekt", zo stellen de onderzoekers van Randori. Beheerders wordt opgeroepen om te updaten naar Apache Log4j 2 versie 2.15.0. Volgens Randori en Cloudflare is de kwetsbaarheid ook te verhelpen door de parameter "log4j2.formatMsgNoLookups" bij het starten van de Java Virtual Machine op true te zetten. Update Het Australische Cyber Security Centre (ACSC) meldt dat er inmiddels actief naar kwetsbare servers wordt gezocht. Update 2 De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 10 beoordeeld. bron: https://www.security.nl

1,6 miljoen WordPress-sites doelwit van grootschalige aanval via plug-ins Meer dan 1,6 miljoen WordPress-sites zijn het doelwit van een grootschalige aanval waarbij aanvallers de websites via kwetsbaarheden in verschillende plug-ins en themes proberen over te nemen. Het gaat om de plug-ins Kiwi Social Share, Pinterest Automatic, WordPress Automatic en PublishPress Capabilitie, waarvoor sinds respectievelijk 12 november 2018, 23 augustus 2021 en 6 december 2021 beveiligingsupdates beschikbaar zijn. Tevens worden vijftien themes aangevallen die van het Epsilon Framework gebruikmaken. Voor veertien van deze themes zijn updates beschikbaar. Alleen in het geval van het NatureMag Lite-theme ontbreekt een update en wordt beheerders aangeraden het theme te verwijderen. Door middel van de kwetsbaarheden schakelen de aanvallers in dat gebruikers zich op de site kunnen registreren en standaard de rol van beheerder krijgen. "Dit maakt het mogelijk voor aanvallers om zich op elke website als beheerder te registreren en effectief de site over te nemen", aldus Chloe Chamberland van Wordfence, het securitybedrijf dat de aanvallen waarnam. Aangezien het hier alleen gaat om WordPress-sites die Wordfence monitort, ligt het werkelijke aantal aangevallen websites mogelijk hoger. Beheerders en webmasters die van de aangevallen themes en plug-ins gebruikmaken wordt aangeraden om de laatste versie te installeren. Daarnaast wordt geadviseerd om te controleren of er geen ongeautoriseerde gebruikersaccounts zijn aangemaakt. bron: https://www.security.nl

Duizenden WordPress-sites kunnen door een kwetsbaarheid in de registratieplug-in RegistrationMagic worden overgenomen, ook al is een beveiligingsupdate om het probleem te verhelpen beschikbaar. RegistrationMagic laat WordPress-sites webformulieren maken waarmee bezoekers zich op de website kunnen registreren. Tevens is het mogelijk om via de plug-in bulkmail te versturen. Meer dan 10.000 WordPress-sites maken gebruik van RegistrationMagic. De plug-in laat gebruikers ook inloggen via derde partijen zoals Facebook. Dit was echter op een onveilige wijze geïmplementeerd waardoor aanvallers als elke willekeurige gebruiker kunnen inloggen, waaronder de beheerder. De enige vereiste is dat de aanvaller het e-mailadres of de gebruikersnaam van de beheerder kent en er een via de plug-in gemaakte inlogpagina beschikbaar is. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het beveiligingslek werd op 16 september door securitybedrijf Wordfence aan de ontwikkelaars gemeld. Die lieten op 25 september weten dat het probleem was verholpen, maar dat bleek niet het geval te zijn. Op 1 november verscheen een gedeeltelijke oplossing, gevolgd door een volledige fix (versie 5.0.1.8) eind november. Van de tienduizend WordPress-sites draait echter veertig procent nog versie 4.6 of ouder en is daardoor kwetsbaar. bron: https://www.security.nl

Zo'n 300.000 vanaf het internet toegankelijke MikroTik-routers zijn kwetsbaar voor aanvallen omdat de eigenaren hebben nagelaten firmware-updates voor vier jarenoude beveiligingslekken te installeren. Dat stelt securitybedrijf Eclypsium op basis van eigen onderzoek. De kwetsbaarheden dateren van 2018 en 2019 en zorgen ervoor dat aanvallers in het ergste geval volledige controle over de router kunnen krijgen. De afgelopen jaren hebben aanvallers ook misbruik van de beveiligingslekken gemaakt, waarbij kwetsbare MikroTik-routers werden ingezet voor ddos-aanvallen op het delven van cryptovaluta. In september van dit jaar waarschuwde MikroTik nog voor het Meris-botnet, dat uit zo'n 200.000 besmette routers zou bestaan, en was ingezet voor ddos-aanvallen tegen internetbedrijf Yandex. Ook Cloudflare kwam met een waarschuwing voor het botnet. De gebruikte routers waren al sinds 2018 door aanvallers gecompromitteerd. "Het dichten van de kwetsbaarheid beschermt deze routers niet direct. Als iemand je wachtwoord in 2018 heeft bemachtigd zal een upgrade niet helpen. Je moet ook je wachtwoord wijzigen en je firewall controleren dat die geen remote toegang aan onbekende partijen geeft, en kijk naar de aanwezigheid van scripts die je niet hebt gemaakt", aldus MikroTik in de waarschuwing. De onderzoekers ontdekten ook 20.000 besmette routers die scripts op de websites injecteerden die gebruikers bezochten, om zo hun computer voor het delven van cryptovaluta te gebruiken. "Terwijl aanvallers de tools hebben voor het vinden van kwetsbare MikroTik-routers, is dat niet het geval bij veel bedrijven", stelt Eclypsium in een blogposting. "Gegeven de uitdagingen van het updaten van MikroTik, zijn er grote aantallen routers met deze kwetsbaarheden uit 2018 en 2019." De meeste kwetsbare MikroTik-routers bevinden zich in Brazilië, China en Rusland. Het securitybedrijf heeft een tool uitgebracht waarmee kan worden gekeken of een router bron: https://www.security.nl

Onderzoekers hebben IoT-malware ontdekt die TP-Link wifi-routers via een kwetsbaarheid in de pingfunctie infecteert. TP-Link bracht vorige maand een beveiligingsupdate uit, maar maakt nergens in de beschrijving melding van de kwetsbaarheid. Tien dagen na het uitkomen van de firmware-update werden de eerste aanvallen waargenomen die misbruik van het beveiligingslek maken. De kwetsbaarheid is aanwezig in versie vijf van de TL-WR840N-router. De diagnostische pagina van de router biedt de mogelijkheid om een ip-adres of domeinnaam te pingen. De invoer in het invoerveld van de pingfunctie wordt niet goed gecontroleerd, waardoor het mogelijk is om commando's uit te voeren. Bij de nu waargenomen aanvallen wordt het beveiligingslek gebruikt om de router een script te laten uitvoeren dat vervolgens de malware downloadt. Beveiligingsonderzoeker Kamillo Matek meldde het beveiligingslek (CVE-2021-41653) op 20 september aan TP-Link. De fabrikant kwam op 12 november met de firmware-update, maar laat in de beschrijving nergens duidelijk merken dat de patch een kwetsbaarheid verhelpt. Er staat alleen: "Aanpassingen en bugfixes. Verbetert beveiliging apparaat." De aanval is alleen door een geauthenticeerde aanvaller uit te voeren die toegang tot de router heeft. Dat lijkt echter geen hindernis, want tien dagen na het verschijnen van de firmware-update maakt de Manga-malware misbruik van de kwetsbaarheid, aldus securitybedrijf Fortinet. "Het is daarom cruciaal dat gebruikers hun standaardwachtwoord wijzigen", zegt onderzoeker Joie Salvio. bron: https://www.security.nl

Microsoft heeft een nieuwe gratis scandienst gelanceerd die gebruikers de mogelijkheid geeft om drivers op malware en kwetsbaarheden te laten controleren. Het Vulnerable and Malicious Driver Reporting Center kijkt naar kwaadaardig gedrag van de driver of eventueel aanwezige kwetsbaarheden. Volgens Microsoft zijn erin het verleden verschillende aanvallen geweest waarbij aanvallers misbruik maakten van beveiligingslekken in drivers. Wanneer een driver kwetsbaar of kwaadaardig is zegt Microsoft verder onderzoek te zullen uitvoeren. In het geval van kwetsbare drivers zal Microsoft de leverancier benaderen, zodat die een beveiligingsupdate kan uitrollen. Deze update zal in de meeste gevallen via Windows Update worden aangeboden. Zodra deze updates zijn geïnstalleerd kan Microsoft de kwetsbare driver op Windows 10 blokkeren. bron: https://www.security.nl

Netwerkbeveiligingsbedrijf SonicWall waarschuwt organisaties voor een kritiek beveiligingslek in de SMA 100-gateways die het levert waardoor de apparaten op afstand zijn over te nemen. Een ongeauthenticeerde aanvaller kan een buffer overflow veroorzaken en zo willekeurige code uitvoeren, wat tot een volledige overname van het apparaat kan leiden. De impact van de kwetsbaarheid, aangeduid als CVE-2021-20038, is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. De kwetsbaarheid kan dan ook grote impact op organisaties hebben, die door SonicWall worden opgeroepen de update te installeren. SonicWall laat verder weten dat er nog geen misbruik van de kwetsbaarheid is waargenomen. Eerder dit jaar waarschuwde het bedrijf nog voor ransomware-aanvallen tegen onder andere de SMA 100-apparaten. Daarnaast was de SMA 100 begin dit jaar ook het doelwit van een zeroday-aanval. bron: https://www.security.nl

Een kwetsbaarheid in het opensource-analyticsplatform Grafana maakt het voor aanvallers mogelijk om toegang tot lokale bestanden te krijgen en exploits zijn inmiddels online verschenen. Ontwikkelaar Grafana Labs heeft updates beschikbaar gemaakt om het beveiligingslek te verhelpen. Via Grafana is het mogelijk om data van allerlei bronnen, zoals clouddiensten, Kubernetes-clusters, Google Sheets en Raspberry Pi's, te verwerken en via één dashboard te visualiseren. Grafana Labs heeft naar eigen zeggen meer dan vijftienhonderd klanten waaronder Bloomberg, JP Morgan Chase, eBay, PayPal en Sony. Grafana zou meer dan 800.000 actieve installaties wereldwijd tellen. De software bevat een kwetsbaarheid (CVE-2021-43798) die path traversal mogelijk maakt. Via een speciaal geprepareerde url is het mogelijk om toegang tot lokale bestanden te krijgen. Grafana Labs werd op 3 december door een beveiligingsonderzoeker op het beveiligingslek gewezen. Dezelfde dag werd een update ontwikkeld, die op 14 december beschikbaar zou worden. Op 6 december ontving Grafana Labs een tweede melding over de kwetsbaarheid. Een dag later bleek dat informatie over het lek openbaar was geworden. Daarop werd besloten om de update gisteren, een week voor de geplande release, uit te brengen. Beheerders van installaties met Grafana versie 8.0.0-beta1 tot en met 8.3.0 wordt aangeraden om te updaten naar versie 8.3.1, 8.2.7, 8.1.8 of 8.0.7. De impact van het lek is op een schaal van 1 tot en met 10 met een 7.5 beoordeeld. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox gelanceerd die van een nieuwe sandbox is voorzien en nu voor alle gebruikers bescherming tegen Spectre-achtige aanvallen ingeschakeld heeft staan. Daarnaast zijn meerdere kwetsbaarheden in de browser verholpen. De grootste aanpassing in de nieuwe Firefox-versie is de toevoeging van RLBox. Dit is een nieuwe sandboxtechnologie die Firefox moet beschermen tegen kwetsbaarheden in third-party libraries waar de browser gebruik van maakt, zoals audio- en videocodecs. De sandbox zorg ervoor dat het niet mogelijk is om via een kwetsbaarheid in een dergelijke library de volledige browser te compromitteren zoals voorheen wel zou kunnen. Verder heeft Mozilla besloten om voor alle gebruikers Site Isolation in te schakelen. Dit is een beveiligingsfeature die gebruikers tegen sidechannel-aanvallen zoals Spectre moet beschermen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen. Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen. Daarnaast zijn er meerdere kwetsbaarheden in Firefox verholpen die spoofingaanvallen en cross-site scripting mogelijk maken. Geen van de opgeloste beveiligingslekken is als kritiek aangemerkt, hoewel meerdere kwetsbaarheden kunnen leiden tot crashes die volgens Mozilla met genoeg moeite tot het uitvoeren van willekeurige code kunnen leiden. Firefox 95 is te downloaden via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Google heeft een botnet dat uit zo'n één miljoen computers bestaat verstoord en is een rechtszaak tegen de verdachte botnetbeheerders gestart. De Glupteba-malware verzamelt data, wachtwoorden en andere inloggegevens van besmette computers en gebruikt die voor het delven van cryptovaluta. Daarnaast worden besmette machines als proxies ingezet voor het routeren van het internetverkeer van anderen. Naast Windowscomputers infecteert de malware ook ongepatchte MikroTik-routers. Voor het besmetten van computers maakt Glupteba gebruik van pay per install (PPI) netwerken en verkeer dat wordt ingekocht bij traffic distribution systems (TDS), merkt Google op. De malware doet zich onder andere voor als softwarecracks. De criminelen achter de malware gebruiken onder andere de diensten van Google voor de verspreiding ervan. Zo heeft het techbedrijf 63 miljoen Google Docs verwijderd waarmee de malware werd verspreid, alsmede bijna 1200 Google-accounts, 900 Cloudprojecten en 870 Google Ads-accounts. Verder waarschuwde Google 3,5 miljoen gebruikers voor het downloaden van de malware. Volgens Google groeide het botnet met duizenden nieuwe apparaten per dag. Samen met industriepartners zoals CloudFlare heeft Google de command & control-infrastructuur, waarmee de criminelen besmette machines aanstuurden, verstoord. Die hebben daardoor op het moment geen controle meer over het botnet. Het is echter de verwachting dat de criminelen zullen proberen om via een back-upmechanisme weer de controle over het botnet terug te krijgen, waarschuwt Google. Daarom heeft het techbedrijf naast technische stappen ook juridische maatregelen tegen de verdachte botnetbeheerders genomen die zich in Rusland zouden bevinden. Die zijn aangeklaagd voor computerfraude en -misbruik, merkinbreuk en andere claims (pdf). Daarnaast heeft Google de rechter gevraagd om de verdachten tijdelijke beperkingen op te leggen, om zo de technische operatie tegen het botnet te versterken. "Indien succesvol zal deze actie voor echte juridische aansprakelijkheid voor de beheerders zorgen", laat Google weten. De twee blogpostings waarin Google de actie aankondigt zijn op het moment van schrijven offline. bron: https://www.security.nl

Microsoft heeft door middel van een gerechtelijk bevel van een Amerikaanse rechter meerdere domeinen van een spionagegroep in beslag genomen die volgens het techbedrijf vanuit China opereert. Microsoft noemt de groep Nickel, maar die staat ook bekend KeC\ang, APT15, APT25, Vixen Panda, Royal APT en Playful Dragon. De groep is volgens Microsoft sinds 2016 actief, maar de huidige operaties vinden sinds september 2019 plaats en zijn gericht tegen overheidsinstellingen, denktanks en mensenrechtenorganisaties in 29 landen. Daarbij hebben de aanvallers het vooral voorzien op het verzamelen van inlichtingen. Voor het uitvoeren van de aanvallen maakt de groep gebruik van spearphishing, gestolen inloggegevens van Microsoft 365-accounts en bekende kwetsbaarheden in Exchange Server, SharePoint en vpn-oplossingen zoals Pulse Secure VPN. Voor zover bekend maakt de groep geen gebruik van zerodaylekken. Zodra er toegang tot systemen is verkregen installeren de aanvallers lastig te detecteren malware voor surveillance en datadiefstal, stelt Microsoft. Op 2 december stapte Microsoft naar een Amerikaanse rechter met het verzoek om domeinen in beslag te nemen die de groep bij de aanvallen gebruikt. De rechter gaf Microsoft hiervoor toestemming, waarop het techbedrijf de domeinen in beslag nam. Hierdoor heeft Microsoft onder andere zicht op de al door Nickel gemaakte slachtoffers en tactieken van de groep. "Onze actie zal er niet voor zorgen dat Nickel geen nieuwe aanvallen meer uitvoert, maar we denken dat we een belangrijk onderdeel van de infrastructuur hebben verwijderd waar de groep bij de laatste aanvallen gebruik van maakte", zegt Microsofts Tom Burt. Microsoft zal getroffen organisaties informeren dat ze zijn geïnfecteerd. Slachtoffers van de groep bevinden zich onder andere in Frankrijk, Hongarije, Italië, Portugal, Zwitserland, het Verenigd Koninkrijk en de Verenigde Staten. Om aanvallen door Nickel te voorkomen adviseert Microsoft onder andere het blokkeren van legacy authenticatieprotocollen in Azure Active Directory, het inschakelen van multifactorauthenticatie om misbruik van gecompromitteerde inloggegevens te voorkomen, Exchange Online policies te controleren en verkeer van anonimiseringsdiensten te blokkeren. De afgelopen jaren heeft Microsoft via 24 rechtszaken, waarvan vijf tegen statelijke actoren, in totaal meer dan tienduizend door cybercriminelen gebruikte domeinnamen en bijna zeshonderd door statelijke actoren gebruikte domeinnamen uit de lucht gehaald. Verder heeft het techbedrijf naar eigen zeggen de registratie van bijna 600.000 domeinen voor toekomstige criminelen activiteiten geblokkeerd.! bron: https://www.security.nl

Hardwarefabrikant QNAP doet op dit moment onderzoek naar een bitcoin-miner genaamd "oom_reaper" die QNAP NAS-systemen infecteert en de rekenkracht gebruikt voor het delven van bitcoins. Eenmaal besmet kan een proces op het NAS-systeem genaamd "oom_reaper" zo'n vijftig procent van de beschikbare cpu-capaciteit gebruiken voor het delven van de cryptovaluta, aldus de waarschuwing. Volgens QNAP doet de malware zich voor als een legitiem kernelproces genaamd oom_reaper. Dit proces heeft normaliter een PID van onder de 1000, terwijl de malafide versie meestal een PID van boven de 1000 heeft. Hoe NAS-systemen besmet raken laat QNAP niet weten. Wel roept het gebruikers op om direct maatregelen te nemen om hun NAS-systeem te beschermen. Zo wordt aangeraden de laatste versie van besturingssystemen QTS of QuTS Hero te installeren, alsmede de nieuwste versie van Malware Remover. Verder wordt het gebruik van sterkere wachtwoorden voor beheerders- en andere gebruikersaccounts aangeraden en het updaten van alle geïnstalleerde applicaties. Als laatste wordt afgeraden om het NAS-systeem direct aan het internet te koppelen of standaardpoortnummers zoals 443 en 8080 te vermijden. Hardwarefabrikant QNAP doet op dit moment onderzoek naar een bitcoin-miner genaamd "oom_reaper" die QNAP NAS-systemen infecteert en de rekenkracht gebruikt voor het delven van bitcoins. Eenmaal besmet kan een proces op het NAS-systeem genaamd "oom_reaper" zo'n vijftig procent van de beschikbare cpu-capaciteit gebruiken voor het delven van de cryptovaluta, aldus de waarschuwing. Volgens QNAP doet de malware zich voor als een legitiem kernelproces genaamd oom_reaper. Dit proces heeft normaliter een PID van onder de 1000, terwijl de malafide versie meestal een PID van boven de 1000 heeft. Hoe NAS-systemen besmet raken laat QNAP niet weten. Wel roept het gebruikers op om direct maatregelen te nemen om hun NAS-systeem te beschermen. Zo wordt aangeraden de laatste versie van besturingssystemen QTS of QuTS Hero te installeren, alsmede de nieuwste versie van Malware Remover. Verder wordt het gebruik van sterkere wachtwoorden voor beheerders- en andere gebruikersaccounts aangeraden en het updaten van alle geïnstalleerde applicaties. Als laatste wordt afgeraden om het NAS-systeem direct aan het internet te koppelen of standaardpoortnummers zoals 443 en 8080 te vermijden.

Mozilla lanceert morgen Firefox 95 die van een nieuwe sandboxtechnologie genaamd RLBox is voorzien die de browser beter tegen aanvallen moet beschermen. Alle grote browsers maken gebruik van een eigen sandboxproces om webcontent in te laden. Dit moet in theorie voorkomen dat een aanvaller de computer via een kwetsbaarheid in de browser kan overnemen. Er is namelijk een tweede kwetsbaarheid vereist om uit de sandbox te breken. Firefox voor de desktop isoleert daarnaast elke website in een eigen proces om zo te voorkomen dat de ene site toegang tot de andere zou kunnen krijgen. In de praktijk blijkt dat aanvallers meerdere kwetsbaarheden combineren. Zo wordt er eerst een beveiligingslek gebruikt om het gesandboxte proces te compromitteren waarin de malafide website draait, gevolgd door een tweede kwetsbaarheid om uit de sandbox te ontsnappen. Volgens Mozillas Bobby Holley zijn er daarom meerdere beveiligingslagen nodig om gebruikers te beschermen. De Firefox-ontwikkelaar ziet een nieuwe sandboxtechnologie genaamd RLBox, ontwikkeld in samenwerking met onderzoekers van de University of California San Diego en de University of Texas, als oplossing. RLBox zorgt voor het isoleren van subonderdelen in een eigen proces om de browser veiliger te maken. In plaats van de code in een geheel eigen proces te laden, wat nadelige gevolgen heeft voor prestaties en geheugengebruik, maakt RLBox gebruik van WebAssembly om potentieel buggy code te isoleren. RLBox compileert de code van het subonderdeel, zoals een audio- of videocodec, in WebAssembly, waarna de WebAssembly in native code wordt gecompileerd. Holley noemt dit een grote overwinning, omdat het gebruikers onder andere tegen supply-chain-aanvallen via dergelijke codecs moet beschermen. De Mozillamedewerker erkent dat RLBox niet voor alle subonderdelen van Firefox werkt, maar er verschillende onderdelen zijn waar het prima inzetbaar is. Daarnaast hoopt Holley dat ook andere browsers de technologie gaan gebruiken. Vooralsnog wordt RLBox binnen Firefox 95 gebruikt om vijf verschillende modules te isoleren, namelijk Graphite, Hunspell, Ogg, Expat en Woff2. De nieuwste Firefoxversie is vanaf morgen te downloaden. bron: https://www.security.nl

Wegens het risico van sim-swapping doen zowel eindgebruikers als banken er verstandig aan om codes voor tweefactorauthenticatie (2FA), waarmee erop een account kan worden ingelogd, niet via sms te versturen, maar hiervoor een app te gebruiken. Dat adviseert het Europees Agentschap voor cyberbeveiliging (ENISA). Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten. Via het overgenomen telefoonnummer kunnen vervolgens accounts van het slachtoffer worden overgenomen, bijvoorbeeld door het opvragen van 2FA-codes en het uitvoeren van wachtwoordresets. Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren. Aangezien aanvallers gebruikmaken van persoonlijke informatie van het slachtoffer adviseert ENISA om geen privédata te verstrekken aan mensen die zich als medewerker van de telecomprovider voordoet en de hoeveelheid dat op websites en social media te beperken. Verder wordt eindgebruikers aangeraden om bij het gebruik van tweefactorauthenticatie niet voor sms te kiezen, maar de 2FA-codes via een app te genereren. Ook geeft ENISA banken het advies om te stoppen met sms voor tweefactorauthenticatie en over te stappen op app-gebaseerde 2FA. "De laatste bankfraudes die met sim-swapping verband houden suggereren dat sms-2FA geen voldoende beveiligingsniveau biedt", aldus het Europees agentschap. Aangezien app-gebaseerde 2FA afhankelijk is van biometrie, een pincode of wachtwoordgebaseerde authenticatie van de gebruiker, is er geen risico dat de 2FA-code wordt onderschept zoals met sms het geval is. ENISA voegt toe dat veel banken al 2FA-apps voor het autoriseren van transacties gebruiken en zo tweefactorauthenticatie via sms aan het vervangen zijn bron: https://www.security.nl

Datalekzoekmachine Have I Been Pwned heeft vandaag tientallen miljoenen mensen gewaarschuwd dat het e-mailadres van hun Gravatar-account gecompromitteerd is. Gravatar is een dienst voor het aanmaken van een avatar dat op meerdere platformen is te gebruiken. Gebruikers kunnen via hun e-mailadres een account aanmaken en een avatar aan het account koppelen. Door middel van verschillende plug-ins is het vervolgens mogelijk om deze avatar te laden, bijvoorbeeld wanneer gebruikers reageren op blogpostings waarbij een e-mailadres is vereist. De blogsoftware controleert of het opgegeven e-mailadres is gekoppeld aan een Gravatar-avatar en zal die bij de gegeven reactie plaatsen. Vorig jaar liet een onderzoeker zien hoe het mogelijk is om gegevens van Gravatar-accounts te scrapen. Op deze manier werden namen, gebruikersnamen en md5-hashes van e-mailadressen die aan 167 miljoen Gravatar-accounts zijn gekoppeld verzameld. Vervolgens werden 114 miljoen van de md5-hashes gekraakt en vervolgens verspreid. De e-mailadressen zijn nu aan Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 114 miljoen gescrapete e-mailadressen was 72 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Softwarebedrijf Zoho waarschuwt voor een actief aangevallen zerodaylek in Desktop Central en roept organisaties op om de beschikbaar gemaakte beveiligingsupdate te installeren. De afgelopen maanden maken aanvallers misbruik van meerdere kwetsbaarheden in de software van Zoho. Desktop Central is een oplossing voor systeembeheerders voor het uitvoeren van patchmanagement, het uitrollen van software, mobile device management en het op afstand overnemen van systemen om problemen te verhelpen. Een kritieke kwetsbaarheid in de software, aangeduid als CVE-2021-44515, maakt remote code execution op Desktop Central-servers mogelijk. Door het versturen van een speciaal geprepareerd request kan een aanvaller ongeautoriseerde toegang krijgen en willekeurige code uitvoeren, aldus Zoho. Volgens het softwarebedrijf maken aanvallers al voor het uitkomen van de beveiligingsupdate misbruik van de kwetsbaarheid. Vorige week waarschuwde de FBI nog voor een actief aangevallen kwetsbaarheid in Zoho ManageEngine ServiceDesk Plus (CVE-2021-44077). Verder kregen Amerikaanse overheidsinstanties van het Cybersecurity and Infrastructure Security Agency (CISA) een deadline voor het patchen van een ander lek in ServiceDesk Plus (CVE-2021-37415) en maakte Microsoft melding van een wereldwijde spionagecampagne via een beveiligingslek in ManageEngine ADSelfService Plus (CVE-2021-40539). bron: https://www.security.nl

Een onbekende aanvaller die KAX17 wordt genoemd probeert gebruikers van het Tor-netwerk al sinds 2017 door middel van malafide Tor-servers te ontmaskeren, zo stelt een beveiligingsonderzoeker met het alias "nusenu" in een nieuw onderzoek. De aanvaller zou hiervoor honderden servers gebruiken. Dagelijks maken ruim twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de middle relay doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. KAX17 heeft zowel entry guard-, middle relay- als exit-servers aan het Tor-netwerk toegevoegd, waardoor hij Tor-gebruikers zou kunnen ontmaskeren. Volgens de onderzoeker hebben Tor-gebruikers een kans van 16 procent om met een guard-server van KAX17 verbinding te maken en zelfs een kans van 35 procent om met een middle relay-server te verbinden. De onderzoeker noemt dit een zorgwekkende ontwikkeling, omdat veel aanvallen zich specifiek op de exit-server richten, aangezien een aanvaller via een malafide exit-server het verkeer dat naar het internet gaat kan zien en mogelijk aanpassen. KAX17 richt zich op de entry guard en middle relay. "Deze plekken zijn nutteloos voor de normale aanvaller die exit-verkeer snift en manipuleert, omdat in deze plekken geen plaintext verkeer zichtbaar is", aldus Nusenu. Aanvallers die aanvallen op deze locaties uitvoeren zijn volgens de onderzoeker geavanceerder omdat de aanvallen lastiger zijn uit te voeren en een hoger kennisniveau vereisen. Nusenu rapporteerde de servers van KAX17 vorig jaar oktober aan het Tor Project, waarna ze werden verwijderd. Een dag na het verwijderen van deze servers verscheen er een nieuwe groep malafide Tor-servers. De onderzoeker kan deze servers echter niet met zekerheid aan KAX17 toeschrijven. bron: https://www.security.nl

Onderzoekers hebben in negen populaire wifi-routers in totaal 226 kwetsbaarheden gevonden zoals hardcoded en standaard wachtwoorden en het gebruik van verouderde en kwetsbare libraries. Voor het onderzoek van IoT Inspector en het Duitse computermagazine Chip (pdf) werd de firmware van de negen wifi-routers automatisch op vijfduizend bekende kwetsbaarheden en andere problemen geanalyseerd. Dit leverde in totaal 226 kwetsbaarheden op. Het ging met name om het gebruik van verouderde Linux-kernels en versies van BusyBox, standaard wachtwoorden zoals admin en hardcoded wachtwoorden in plaintext. De meeste beveiligingslekken, 32 in totaal, werden in de TP-Link Archer AX6000 aangetroffen. De onderzoekers waarschuwden de fabrikanten, die daarop met firmware-updates kwamen. "Het wijzigen van wachtwoorden bij het eerste gebruik en het inschakelen van de automatische updatefunctie moet standaard bij alle IoT-apparaten zijn, ongeacht of het apparaat in een thuis- of kantoornetwerk wordt gebruikt. Het grootste gevaar, naast kwetsbaarheden die de fabrikant introduceert, is het gebruik van een IoT-apparaat onder het motto 'plug, play and forget'", waarschuwt Jan Wendenburg van IoT Inspector. bron: https://www.security.nl

Encryptiesoftware VeraCrypt is de ondersteuning van Windows Vista, Windows 7, 8 en 8.1 gestopt. Ook Mac OS X Lion en Mountain Lion worden niet meer ondersteund. Dat blijkt uit de release notes van de nieuwste versie (1.25) die eerder deze week verscheen. Het niet meer ondersteunen van de oudere Windowsversies heeft te maken met nieuwe vereisten voor het signeren van drivers waar TrueCrypt gebruik van maakt. Dit lijkt echter niet te gelden voor Windows XP. De encryptiesoftware blijft deze Windowsversie dan ook ondersteunen. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Het wordt voor het grootste deel door één persoon ontwikkeld. Via de software is het mogelijk om systemen volledig te versleutelen of versleutelde containers aan te maken. De vorige versie dateerde van 28 november 2020. Nu een jaar later is versie 1.25 verschenen. Naast het stopzetten van de ondersteuning van verschillende Mac OS X- en Windowsversies ondersteunt TrueCrypt voor het eerst de M1-chip van Apple en is basale ondersteuning van OpenBSD toegevoegd. Voor morgen staat de release van VeraCrypt 1.25.4 gepland. bron: https://www.security.nl

De Duitse overheid waarschuwt bedrijven en organisaties in het land voor ransomware-aanvallen tijdens de komende kerstvakantie. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, en de Duitse federale politie (BKA) is er tijdens deze periode een verhoogde kans op aanvallen. Aanleiding voor de waarschuwing is de terugkeer van de beruchte Emotet-malware en dat veel Microsoft Exchange-servers in Duitsland nog altijd kwetsbaar zijn voor aanvallen. Het BSI spreekt van een "dreigend scenario" en roept bedrijven en organisaties op om beveiligingsmaatregelen te treffen. "We zien duidelijke signalen van een toegenomen dreiging van Emotet alsmede kwetsbare Exchange-servers en de daaropvolgende ransomware-aanvallen in Duitsland", zegt BSI-directeur Arne Schönbohm. "Feestdagen en weekenden zijn in het verleden herhaaldelijk voor dergelijke aanvallen gebruik, aangezien veel bedrijven en organisaties dan minder snel kunnen reageren. Het is nu het moment om gepaste beveiligingsmaatregelen te treffen." Het BSI stelt verder dat er veel kwetsbare Exchange-servers in Duitsland zijn, omdat beheerders hebben nagelaten beschikbare beveiligingsupdates te installeren. De overheidsinstantie is echter ook bekend met verschillende gevallen waarbij het installeren van de patch "niet het gewenste beschermende effect" had. Zo kan het voorkomen dat servers al voor de installatie van een update gecompromitteerd zijn. bron: https://www.security.nl

Usb-sticks zijn essentieel voor aanvallen op air-gapped netwerken, zo stelt antivirusbedrijf ESET op basis van eigen onderzoek. Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Dergelijke niet op internet aangesloten computers kunnen echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Een bekend voorbeeld hiervan is Stuxnet. De afgelopen jaren zijn er meerdere malware-exemplaren gevonden die ontwikkeld zijn voor aanvallen op air-gapped netwerken. Onderzoekers van ESET onderzochten zeventien van dergelijke frameworks die sinds 2006 bij aanvallen zijn ingezet. In veel gevallen is de initiële infectievector van deze malware-exemplaren niet bekend. Aanvallers moeten, wanneer er geen directe toegang tot het beoogde systeem is, bijvoorbeeld door een kwaadwillende medewerker, eerst een systeem in de organisatie zien te infecteren voordat verdere aanvallen mogelijk zijn. Een aantal van de frameworks maakt echter gebruik van e-mailbijlagen, zoals malafide documenten, lnk-bestanden en meegestuurde software. Eenmaal actief op een besmet systeem wacht de malware totdat er een usb-stick wordt aangesloten. Alle onderzochte malware-exemplaren maken gebruik van usb-sticks om zich verder te verspreiden en air-gapped systemen aan te vallen. Er werden geen andere communicatiekanalen gebruikt voor bijvoorbeeld het stelen van data, hoewel onderzoekers de afgelopen jaren aantoonden dat dit op allerlei manieren mogelijk is, zoals het gebruik van speakers, toetsenbordlampjes en het geluid van de harde schijf. Zodra de usb-stick met de malware besmet is, is het wachten totdat die op andere systemen wordt aangesloten. Hierbij blijken de onderzochte malware-exemplaren verschillende manieren te gebruiken om deze nieuwe systemen te infecteren. Het gaat dan om het gebruik van autorun, kwetsbaarheden in Windows bij het verwerken van LNK-bestanden en LNK-bestanden die naar de malware wijzen. Zo maakte Stuxnet gebruik van een LNK-kwetsbaarheid in Windows, waardoor alleen het aansluiten van een usb-stick voldoende was. Er was geen interactie van gebruikers vereist en het maakte ook niet uit of autorun of autoplay stonden uitgeschakeld. Van de onderzochte frameworks, waaronder ook Stuxnet, blijkt driekwart malafide LNK- of autorun-bestanden op usb-sticks te gebruiken om het air-gapped netwerk te infecteren. De malware op de air-gapped systemen verzamelt vervolgens allerlei documenten en andere belangrijke bestanden en plaatst die op de besmette usb-stick. Zodra de usb-stick op een met internet verbonden systeem wordt aangesloten zal de malware deze verzamelde data naar de aanvallers sturen. Alle onderzochte malware-exemplaren waren ontwikkeld voor spionage, aldus de onderzoekers. Preventie Om aanvallen op air-gapped systemen te voorkomen wordt aangeraden maatregelen tegen malafide LNK- en autorun-bestanden te nemen. Een andere optie is het uitschakelen van de usb-poorten van air-gapped systemen, het automatisch opschonen van aangesloten usb-sticks en het verwijderen van alle LNK- en autorun.inf-bestanden van usb-sticks. De onderzoekers merken op dat air-gapped malware lastig te detecteren is, aangezien telemetrie hierover ontbreekt. "Systemen binnen air-gapped netwerken versturen geen telemetrie, wat voor een grote blinde vlek zorgt en bijdraagt aan de tijd dat het duurt voor de ontdekking en detectie van nieuwe malware die het op air-gapped netwerken heeft voorzien." In veel gevallen blijkt dat air-gapped malware al lange tijd actief is voordat het wordt ontdekt. bron: https://www.security.nl

Onderzoekers hebben een kritieke kwetsbaarheid in meer dan honderdvijftig modellen printers van HP ontdekt waardoor de apparaten op afstand zijn over te nemen. Alleen het bezoeken van een malafide website is voldoende om aanvallers code op kwetsbare printers te laten uitvoeren, maar het lek is ook door een worm te misbruiken, zo meldt antivirusbedrijf F-Secure dat het probleem ontdekte. De malafide website zou automatisch een document met malafide fonts op de kwetsbare printer kunnen printen, waardoor een buffer overflow ontstaat en remote code execution mogelijk is. Vervolgens zou een aanvaller informatie van de printer kunnen stelen, zoals geprinte, gescande en gefaxte documenten, maar ook informatie zoals wachtwoorden en inloggegevens die het apparaat gebruikt voor de verbinding met de rest van het netwerk. Volgens de onderzoekers zou een gecompromitteerde printer ook voor verdere aanvallen tegen het netwerk zijn te gebruiken, zoals de verspreiding van ransomware. Het probleem wordt veroorzaakt door de manier waarop de HP-printers fonts verwerken en zou ook door een worm te misbruiken zijn, aldus de onderzoekers. Een besmette printer zou zo automatisch en zonder gebruikersinteractie andere printers in het netwerk kunnen infecteren. F-Secure stelt in de aankondiging van het beveiligingslek dat alleen het bezoeken van een malafide website voldoende is om automatisch een document op de printer te printen, maar in een video waarin de kwetsbaarheid wordt gedemonstreerd is te zien hoe een gebruiker eerst op een link klikt. De impact van de kwetsbaarheid, aangeduid als CVE-2021-39238, is op een schaal van 1 tot en met 10 met een 9,3 beoordeeld. HP heeft firmware-updates uitgebracht en adviseert gebruikers en organisaties om die te installeren. bron: https://www.security.nl