Captain Kirk

De noodpatch die Microsoft uitbracht voor een kritieke kwetsbaarheid in de Windows Print Spooler blijkt onvolledig en de kwetsbaarheid in sommige scenario's niet te verhelpen, waardoor misbruik nog steeds mogelijk is. De kwetsbaarheid, aangeduid als CVE-2021-34527 en "PrintNightmare", bevindt zich in de Windows Print Spooler en maakt remote code execution en "locale privilege escalation" (LPE) mogelijk, waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Verschillende beveiligingsonderzoekers melden nu dat het LPE-probleem niet is verholpen, aangezien eerder ontwikkelde exploits nog steeds werken. In het geval van Windows 7, 8, 8.1 en Server 2008 en 2012 werkt dit standaard. Voor Windows 10 en 11 en Server 2016 en 2019 moet de Point & Print policy zijn ingeschakeld. Wanneer deze policy en de optie "NoWarningNoElevationOnInstall" staan ingeschakeld is ook remote code execution mogelijk. Point & Print staat echter niet standaard ingeschakeld. Onderzoeker Will Dormann maakte dit overzicht om duidelijk te maken wanneer systemen wel of niet kwetsbaar zijn. Het PrintNightmare-lek wordt veroorzaakt doordat een aanvaller of gebruiker die toegang tot een printserver heeft op deze server een driver vanaf een remote locatie kan installeren. De beveiligingsupdate van Microsoft controleert of er geen driver meer vanaf een remote server wordt geïnstalleerd. Deze controle blijkt echter zeer eenvoudig te omzeilen. Iets waarvoor Google-onderzoeker James Forshaw al op 2 juli voor waarschuwde. Verder heeft Microsoft de beveiligingsupdate nu ook beschikbaar gemaakt voor Windows 10 versie 1607, Windows Server 2016 en Windows Server 2012. Het techbedrijf had eerder al laten weten dat de patches voor deze versies later zouden komen. bron: https://www.security.nl

Een beveiligingsupdate van softwarebedrijf Kaseya waardoor duizenden managed serviceproviders (MSP's) hun VSA-servers weer online kunnen brengen heeft vertraging opgelopen, zo meldt het bedrijf. Vorige week maakte de groep achter de REvil-ransomware misbruik van verschillende kwetsbaarheden in de VSA-oplossing van Kaseya om klanten van MSP's met ransomware te infecteren. Managed serviceproviders gebruiken VSA voor het beheren van de systemen van hun klanten. VSA is beschikbaar als SaaS-oplossing en MSP's kunnen het op hun eigen servers installeren. Kaseya wilde eerst de SaaS-oplossing patchen en online brengen en daarna de beveiligingsupdate voor de VSA-servers van MSP's uitbrengen. Bij het online brengen van de SaaS-omgeving hebben zich echter problemen voorgedaan, waardoor de uitrol niet kon worden afgerond. Wanneer de SaaS-dienst nu online komt is onbekend. Dit heeft gevolgen voor MSP's met hun eigen VSA-servers, omdat Kaseya van plan was om na het online brengen van de SaaS-dienst binnen 24 uur een update voor managed serviceproviders uit te brengen. De installatie van deze patch is verplicht om VSA-servers weer online te kunnen brengen. In de tussentijd kunnen MSP's de systemen van hun klanten niet via VSA beheren. bron: https://www.security.nl

Microsoft heeft een noodpatch uitgebracht voor een kritieke kwetsbaarheid in Windows waardoor een aanvaller willekeurige code met systeemrechten kan uitvoeren. Het techbedrijf roept organisaties op om de beveiligingsupdate met spoed te installeren. De kwetsbaarheid, aangeduid als CVE-2021-34527 en "PrintNightmare", bevindt zich in de Windows Print Spooler en maakt remote code execution mogelijk. De Print Spooler is verantwoordelijk voor de verwerking van printjobs. Het beveiligingslek wordt veroorzaakt doordat een aanvaller of gebruiker die toegang tot een printserver heeft op deze server een driver vanaf een remote locatie kan installeren. Hierdoor is het mogelijk om de Print Spooler-service een willekeurig dll-bestand met systeemrechten te laten uitvoeren. Het probleem is in alle ondersteunde Windowsversies aanwezig. De nu uitgebracht beveiligingsupdate zorgt ervoor dat niet-systeembeheerders alleen gesigneerde printdrivers op een printserver kunnen installeren. Systeembeheerders kunnen standaard zowel niet-gesigneerd als wel gesigneerde drivers installeren. Microsoft laat weten dat beveiligingsupdates voor Windows Server 2016, Windows 10 versie 1607 en Windows Server 2012 binnenkort zullen verschijnen, aangezien die op dit moment nog niet klaar zijn om te worden uitgebracht. bron: https://www.security.nl

Een kwetsbaarheid in de Password Manager van antivirusbedrijf Kaspersky maakte het in sommige gevallen mogelijk voor een aanvaller om gegenereerde wachtwoorden te voorspellen. De virusbestrijder heeft een beveiligingsupdate uitgerold om het beveiligingslek te verhelpen. Het beveiligingsonderzoekteam van cryptowallet Legder, dat het probleem in juni 2019 ontdekte en rapporteerde, heeft nu de details openbaar gemaakt. De Kaspersky Password Manager (KPM) biedt een optie voor het genereren van wachtwoorden. Hierbij deden zich echter verschillende problemen voor. De grootste kwetsbaarheid was alleen het gebruik van de systeemtijd in seconden als "seed" voor het genereren van wachtwoorden. "Dit houdt in dat elke versie van Kaspersky Password Manager ter wereld op een gegeven seconde precies hetzelfde wachtwoord genereert", zegt onderzoeker Jean-Baptiste Bédrune. Volgens Bédrune was het daardoor mogelijk om elk wachtwoord te bruteforcen. "Er zijn bijvoorbeeld 315619200 seconden tussen 2010 en 2021, dus KPM had maximaal 315619200 wachtwoorden voor een gegeven karakterset kunnen genereren. Het bruteforcen hiervan neemt een paar minuten in beslag", merkt de onderzoeker op. Een voorwaarde was wel dat een aanvaller de tijd moest weten dat het wachtwoord werd gegenereerd. Veel websites en fora laten echter zien wanneer een account is aangemaakt. Aan de hand hiervan kan een aanvaller het accountwachtwoord met een klein aantal van zo'n honderd wachtwoorden proberen te bruteforcen en er zo toegang toe krijgen, stelt Bédrune. Kaspersky werd op 15 juni 2019 voor de kwetsbaarheid (CVE-2020-27020) gewaarschuwd. Tien dagen later bevestigde de virusbestrijder het probleem. Het beveiligingslek werd in oktober en december 2019 voor verschillende platformen verholpen. In oktober 2020 rolde Kaspersky een update uit als oplossing voor eerder gegenereerde wachtwoorden. In april van dit jaar publiceerde Kaspersky het beveiligingsbulletin voor de kwetsbaarheid. Vandaag maakte Ledger de details openbaar. bron: https://www.security.nl

De aanvallers achter de wereldwijde ransomware-aanval via de software van Kaseya hebben geen toegang tot de broncode van het bedrijf gehad of bijvoorbeeld de updateservers gebruikt om hun ransomware te verspreiden. Er is dan ook geen sprake van een supply-chain-aanval. Dat stelt Kaseya op basis van onderzoek. Volgens het bedrijf hebben de aanvallers gebruik gemaakt van verschillende zerodaylekken in Kaseya VSA. Hierdoor konden ze de authenticatie omzeilen en willekeurige commando's op de VSA-servers van managed serviceproviders (MSP's) uitvoeren. Vervolgens hebben de aanvallers de standaard functionaliteit van Kaseya gebruikt om ransomware bij de klanten van MSP's te installeren. Managed serviceproviders (MSP's) gebruiken Kaseya VSA voor het beheren van de systemen van hun klanten. Via VSA hebben MSP's dan ook op afstand toegang tot deze systemen. Nadat de aanvallers de VSA-servers van managed serviceproviders hadden gecompromitteerd konden ze probleemloos de systemen van klanten aanvallen. Voor zover nu bekend zijn er minder dan vijftienhonderd "downstream businesses" op deze manier getroffen. "We weten dat er veel informatie over dit incident rondgaat. Een deel klopt, maar heel veel niet", aldus Kaseya, dat zegt met meer informatie te zullen komen als dit beschikbaar komt.

NAS-fabrikant QNAP waarschuwt gebruikers van Hybrid Backup Sync (HBS) 3 voor een kritieke kwetsbaarheid waardoor aanvallers de veiligheid van het besturingssysteem kunnen compromitteren. Er is een beveiligingsupdate uitgebracht om het beveiligingslek te verhelpen. Het gaat om een "improper access control" kwetsbaarheid, maar verdere details worden niet door QNAP gegeven. HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. Een aantal weken geleden werden NAS-systemen van QNAP nog via een andere kwetsbaarheid in HBS 3 met de Qlocker-ransomware geïnfecteerd. Gebruikers wordt aangeraden om via het App Center te updaten naar: QTS 4.3.6: HBS 3 v3.0.210507 en nieuwer QTS 4.3.4: HBS 3 v3.0.210506 en nieuwer QTS 4.3.3: HBS 3 v3.0.210506 en nieuwer QNAP NAS-systemen met QTS 4.5.x met HBS 3 v16.x zijn niet kwetsbaar. bron: https://www.security.nl

Vpn-dienst LimeVPN heeft de privégegevens van ruim achthonderd gebruikers gelekt, waaronder namen, e-mailadres, factuuradres en mobiele telefoonnummers. Van minder dan honderd gebruikers zijn ook Wireguard "key informatie" en vpn-credentials door de aanvaller buitgemaakt, zo laat de vpn-provider via de eigen website weten. Deze gegevens zijn inmiddels gereset. De aanvaller claimt de gegevens van 10.000 gebruikers in handen te hebben en biedt die te koop aan op internet. Er gaan ook berichten rond dat de gegevens van 69.000 gebruikers zijn gestolen. Die berichten zijn echter onjuist, zo stelt LimeVPN. "We hebben geen 69.000 gebruikers op ons platform", aldus de provider op Twitter. De data is volgens het bedrijf gestolen van een secundaire facturatieserver. LimeVPN meldt verder dat er geen aanwijzingen zijn van misbruik van de gestolen gegevens. Klanten hoeven niets te doen, maar worden wel aangeraden om hun accounts te monitoren. Daarnaast is voor de getroffen accounts aanvullende fraudebescherming ingeschakeld. Wat dat precies inhoudt laat de vpn-dienst niet weten. Ook is onduidelijk hoe de gegevens door de aanvaller zijn gestolen. bron: https://www.security.nl

E-maildienst ProtonMail heeft onlangs een nieuwe versie van de eigen webmail en kalender gelanceerd en nu ook de security-audit openbaar gemaakt die het naar de applicaties liet uitvoeren (pdf). Het ging om een blackbox en whitebox penetratiest op de domeinen account.protonmail.com, beta.protonmail.com en calendar.protonmail.com, alsmede de broncode van de applicaties die via de GitHub-repository van ProtonMail te vinden was. De gevaarlijkste kwetsbaarheid die de onderzoekers aantroffen betrof reflected cross-site scripting. Zo had een aanvaller JavaScript kunnen toevoegen aan een afbeelding die als e-mailbijlage was toegevoegd. Wanneer de gebruiker deze afbeelding had geopend was het mogelijk geweest om "ongeautoriseerde handelingen" binnen de webmailapplicatie uit te voeren. De impact van deze kwetsbaarheid werd als "medium" beoordeeld. Verder bleek dat de webmailapplicatie gebruikers toestond om zwakke wachtwoorden te kiezen van bijvoorbeeld alleen acht cijfers en werd er via de HTTP response headers redundante informatie over gebruikte technologieën verstrekt. Aanvallers zouden deze informatie voor verdere aanvallen kunnen gebruiken. De onderzoekers vonden geen kritieke beveiligingslekken en de aangetroffen problemen zijn verholpen. bron: https://www.security.nl

MyCloud NAS-systemen van fabrikant Western Digital zijn door een reeks van kwetsbaarheden in het onderliggende besturingssysteem op afstand over te nemen, zo waarschuwen beveiligingsonderzoekers. Onlangs werden MyBook Live-systemen van WD het doelwit van een aanval waarbij de data van gebruikers werd gewist. Onderzoekers Radek Domanski en Pedro Ribeiro ontdekten verschillende kwetsbaarheden in MyCloud OS 3, het besturingssysteem van MyCloud NAS-systemen, die het mogelijk voor een ongeauthenticeerde aanvaller maken om code als root uit te voeren en een permanente backdoor op het NAS-systeem te installeren. De onderzoekers wilden hun bevindingen vorig jaar november demonstreren tijdens de Pwn2Own-hackwedstrijd in Tokio. Een aantal dagen voor het evenement lanceerde Western Digital MyCloud OS 5, waarin de kwetsbaarheid niet aanwezig is. Daardoor konden ze niet meer met hun inzending aan Pwn2Own meedoen, aangezien alleen demonstraties tegen de laatste versie van de software worden geaccepteerd. In februari van dit jaar demonstreerden de onderzoekers hun aanval in YouTube-video. Ook ontwikkelden ze een onofficiële patch voor het probleem. Volgens de onderzoekers reageerde Western Digital niet op hun bugmelding. In een reactie tegenover it-journalist Brian Krebs laat WD weten dat het de bugmelding na Pwn2own heeft ontvangen, maar dat de kwetsbaarheid al in MyCloud OS 5 was verholpen. Het is echter onduidelijk of het beveiligingslek in MyCloud OS 3 is opgelost. In maart van dit jaar waarschuwde WD dat deze versie van het besturingssysteem niet meer wordt ondersteund. Gebruikers werd opgeroepen om te upgraden naar OS 5. Domanski en Ribeiro stellen dat OS 5 belangrijke features mist die wel in OS 3 aanwezig zijn, waardoor sommige gebruikers er misschien voor kiezen om niet te upgraden. Om eventueel misbruik te voorkomen wordt deze gebruikers aangeraden hun NAS niet direct vanaf het internet toegankelijk te maken. bron: https://www.security.nl

Softwareleverancier Kaseya heeft bevestigd dat de VSA-software die het levert aan managed serviceproviders (MSP's) is gebruikt voor een wereldwijde ransomware-aanval. Daarbij zijn meer dan duizend bedrijven slachtoffer geworden. Via VSA kunnen managed serviceproviders op afstand de systemen van hun klanten beheren. Hoe de aanval precies is uitgevoerd laat Kaseya niet weten, maar het bedrijf zegt de aanvalsvector te hebben gevonden. Eerder stelde onderzoeker Mark Loman van antivirusbedrijf Sophos dat de aanvallers via een malafide Kaseya-update de ransomware hebben verspreid. Dit wordt nu bevestigd door Cisco en Symantec. Cisco zegt dat de aanvallers gebruikmaakten van een malafide automatische update voor de VSA endpoint monitoringsoftware die uiteindelijk de REvil-ransomware installeert. "In veel gevallen zijn tijdens netwerkgebaseerde ransomware-aanvallen ook back-upservers het doelwit, wat het belang onderstreept van het geregeld testen van een offline back-up- en herstelstrategie", aldus Joe Marshal van Cisco. Volgens securitybedrijf Huntress zijn zo'n dertig MSP's in de Verenigde Staten, Australië, Europa en Latijns-Amerika getroffen waarbij de VSA-software werd gebruikt om meer dan duizend bedrijven met ransomware te besmetten. Voor het ontsleutelen van bestanden eisen de aanvallers bedragen van tussen de 45.000 en 5 miljoen dollar. Eerder liet Kaseya al weten dat wereldwijd minder dan veertig managed serviceproviders slachtoffer zijn geworden. Het softwarebedrijf heeft een "Compromise Detection Tool" ontwikkeld waarmee VSA-klanten kunnen controleren of hun omgeving is gecompromitteerd. De tool is op verzoek bij Kaseya verkrijgbaar. Tevens is de FBI bij het onderzoek naar de aanval betrokken. Kaseya herhaalt het advies aan MSP's om hun VSA-servers offline te houden. Dit heeft als gevolg dat het niet mogelijk is om systemen van klanten op afstand via VSA te beheren. bron: https://www.security.nl

Indonesische gebruikers van Internet Explorer zijn het doelwit geworden van een aanval waarbij criminelen via een WPAD-domein automatisch malware probeerden te installeren. WPAD staat voor Web Proxy Auto-Discovery en laat computers binnen een organisatie via een configuratiebestand dezelfde webproxyconfiguratie gebruiken. In plaats van het individueel configureren van elke computer die met het netwerk verbinding maakt, vindt WPAD het proxyconfiguratiebestand en past deze configuratie automatisch toe. WPAD staat standaard op Windows en Internet Explorer ingeschakeld. Het kan echter voorkomen dat requests van de browser bedoeld voor WPAD niet bij de dns-server van de organisatie maar bij publieke dns-servers terechtkomen. Recentelijk ontdekte antivirusbedrijf Trend Micro dat aanvallers het domein wpad.id hadden geregistreerd en daar vanaf een kwaadaardig bestand aanboden dat werd uitgevoerd wanneer IE-gebruikers het domein bezochten. "Door middel van deze techniek kan een zero-click-aanval worden uitgevoerd, aangezien de WPAD-url bij het starten van het systeem wordt benaderd, zonder enige invoer van gebruikers", aldus onderzoeker William Gamazo Sanchez. Het bestand dat via wpad.id werd aangeboden maakte misbruik van een kwetsbaarheid in Internet Explorer (CVE-2019-1367) waarvoor Microsoft op 23 september 2019 een beveiligingsupdate uitgebracht. In het geval van een ongepatchte browser konden de aanvallers vervolgens automatisch malware installeren. Gebruikers van wie IE up-to-date is liepen geen risico. De onderzoekers ontdekten geen andere geregistreerde WPAD-domeinen van de aanvallers. bron: https://www.security.nl

Aanvaller zijn er begin dit jaar in geslaagd om een webserver van de Mongoolse certificaatautoriteit MonPass te compromitteren en de clientsoftware van een backdoor te voorzien. Dat laat antivirusbedrijf Avast weten. Certificaatautoriteiten geven tls-certificaten uit die worden gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers en het identificeren van websites. Ze spelen zodoende een zeer belangrijke rol op internet. De onderzoekers van de virusbestrijder vonden op een server van MonPass in totaal acht verschillende webshells en backdoors. Via een webshell kan een aanvaller verbinding met de server maken en verdere aanvallen uitvoeren. Daarnaast wisten de aanvallers de MonPass-clientsoftware die via de server werd aangeboden van een backdoor te voorzien. Het ging om de Cobalt Strike-software die bij installatie van de clientsoftware ook werd uitgevoerd. Cobalt Strike is een tool die onder andere door aanvallers wordt gebruikt om netwerken te compromitteren. De besmette software werd van 8 februari tot 3 maart van dit jaar via de officiële MonPass-server aangeboden. Hoe de server kon worden gecompromitteerd is niet bekend. De backdoor in de software werd op 24 maart van dit jaar door Avast gedetecteerd. Op 20 april deelde MonPass een image van de gecompromitteerde webserver. Twee dagen later deelde het antivirusbedrijf informatie over het incident met de certificaatautoriteit. Pas op 29 juni liet MonPass weten dat het probleem was verholpen en klanten waren ingelicht. Daarop heeft Avast nu de details openbaar gemaakt. bron: https://www.security.nl

Microsoft heeft bevestigd dat er inderdaad een nieuwe kwetsbaarheid in de Windows Print Spooler aanwezig is die remote code execution mogelijk maakt, zoals eerder al door het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit werd gesteld. Via het beveiligingslek kan een aanvaller volledige controle over het systeem krijgen. Een beveiligingsupdate is nog niet beschikbaar, maar Microsoft heeft wel workarounds gepubliceerd waarmee organisaties zich kunnen beschermen. Eerder deze maand kwam Microsoft met een beveiligingsupdate voor een kritieke kwetsbaarheid in de Windows Print Spooler, aangeduid als CVE-2021-1675. Op internet verschenen eerder deze week verschillende exploits die stellen misbruik te maken van deze kwetsbaarheid. Nu blijkt dat deze exploits misbruik van een ander lek maken dat door Microsoft het CVE-nummer CVE-2021-34527 heeft gekregen. Volgens het techbedrijf gaat het om een remote code execution kwetsbaarheid die lijkt op CVE-2021-1675, maar verschillend is. Een impactscore en ernst van het lek is nog niet bekend. Wel verschilt de aanvalsvector ten opzichte van het andere Spooler-lek. Om misbruik van de kwetsbaarheid te maken moet een geauthenticeerde aanvaller de functie RpcAddPrinterDriverEx aanroepen, waarmee er een printerdriver op de printserver wordt geïnstalleerd. Onder andere domeincontrollers zijn kwetsbaar. CVE-2021-34527 is niet met de beveiligingsupdate voor CVE-2021-1675 geïntroduceerd en was daarvoor al in Windows aanwezig, laat Microsoft verder weten. Alle ondersteunde Windowsversies zijn kwetsbaar. Microsoft heeft twee tijdelijke oplossingen gepubliceerd. De eerste optie is het uitschakelen van de Print Spooler service. Dit heeft als nadeel dat het systeem niet meer kan printen. De tweede optie betreft het uitschakelen van inbound remote printing. Het systeem fungeert dan niet meer als printserver, maar lokaal printen is dan nog wel mogelijk. bron: https://www.security.nl

Onderzoekers hebben een variant van de Mirai-malware ontdekt die beveiligingscamera's van fabrikant Kguard infecteert en onderdeel van een botnet maakt dat ddos-aanvallen uitvoert. Voor het infecteren van de camera's maakt de malware misbruik van een onbekende kwetsbaarheid in de firmware van de apparaten, zo meldt het Network Security Research Lab van securitybedrijf 360 in een analyse. Via het beveiligingslek is het mogelijk voor een ongeauthenticeerde aanvaller om op afstand systeemcommando's uit te voeren. In firmwareversies die na 2017 voor Kguard-beveiligingscamera's zijn verschenen lijkt het probleem te zijn verholpen, aldus de onderzoekers. Die vonden nog zo'n drieduizend camera's die via internet toegankelijk zijn en de kwetsbaarheid bevatten. Het beveiligingslek is aanwezig in meer dan twintig cameratypes van Kguard en wordt volgens de onderzoekers al sinds maart van dit jaar aangevallen. De meeste gecompromitteerde beveiligingscamera's bevinden zich in de Verenigde Staten, Brazilië en Zuid-Korea. Om misbruik te voorkomen zijn er geen uitgebreide details over het lek bekendgemaakt. bron: https://www.security.nl

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit waarschuwt organisaties voor een kritieke kwetsbaarheid in de Windows Print Spooler waardoor een remote geauthenticeerde aanvaller willekeurige code met SYSTEM-rechten op een kwetsbaar systemen kan uitvoeren. Een beveiligingsupdate van Microsoft is nog niet beschikbaar. Eerder deze maand kwam Microsoft met een beveiligingsupdate voor een kritieke kwetsbaarheid in de Windows Print Spooler, aangeduid als CVE-2021-1675. Security.NL besteedde gisteren ook aandacht aan dit beveiligingslek en hoe het kan worden gebruikt om volledige controle over Windows-domeincontrollers te krijgen. Op internet zijn verschillende exploits verschenen die stellen misbruik te maken van deze kwetsbaarheid, die ook wel PrintNightmare wordt genoemd. Het CERT/CC laat nu weten dat de betreffende exploits misbruik van een andere kwetsbaarheid maken waarvoor nog geen CVE-nummer beschikbaar is. Als tijdelijke oplossing wordt aangeraden om de Windows Print Spooler service te stoppen en uit te schakelen. De Print Spooler is verantwoordelijk voor het verwerken van printjobs. Het uitschakelen van de service zorgt ervoor dat het betreffende systeem niet meer kan printen. Securitybedrijf Truesec adviseert een andere oplossing. Bij tenminste één van de online verschenen exploits wordt een dll-bestand in een subdirectory onder C:\Windows\System32\spool\drivers geplaatst. Door de access control list (ACL) voor deze directory en subdirectories aan te passen wordt voorkomen dat een er een kwaadaardig dll-bestand kan worden geplaatst, aldus onderzoeker Fabio Viggiani. Deze oplossing heeft als nadeel dat systeembeheerders geen nieuwe drivers kunnen toevoegen en gebruikers geen print queues, stelt onderzoeker Kevin Beaumont. bron: https://www.security.nl

Gebruikers van Twitter kunnen vanaf nu beveiligingssleutels als de enige methode voor tweefactorauthenticatie (2FA) kiezen, zo heeft de microbloggingdienst aangekondigd. Bij 2FA moeten gebruikers naast hun wachtwoord een tweede factor gebruiken, bijvoorbeeld een code die via sms of een authenticator-app is verkregen of het aansluiten van een beveiligingssleutel. Een fysieke beveiligingssleutel is een apparaatje dat bijvoorbeeld via usb, nfc of bluetooth met de computer verbinding maakt. Na het invoeren van een wachtwoord controleert Twitter de aanwezigheid van de beveiligingssleutel als tweede inlogfactor. Voorheen moesten gebruikers bij het gebruik van een beveiligingssleutel ook een aanvullende 2FA-methode opgeven, zoals sms of de authenticator-app. Die verplichting is nu komen te vervallen. "Beveiligingssleutels zijn nu als je enige authenticatiemethode te gebruiken, zonder dat de andere methodes moeten zijn ingeschakeld", laat Twitter weten. "We weten dat dit belangrijk voor mensen is, omdat niet iedereen over een back-up 2FA-methode beschikt of hun telefoonnummer met ons wil delen", zegt Andy Sayler van Twitter. De microbloggingdienst stelt dat beveiligingssleutels de beste manier zijn om accounts te beschermen. "Hoewel elke vorm van 2FA beter is dan geen 2FA, zijn fysieke beveiligingssleutels het meest effectief. Beveiligingssleutels zijn kleine apparaten die netwerken als de sleutels van je woning. Net als je een fysieke sleutel nodig hebt om de deur open te doen, heb je een beveiligingssleutel om toegang tot je account te krijgen", aldus Sayler. Daarnaast beschermen beveiligingssleutels tegen phishing. De naam van de website wordt namelijk cryptografisch gesigneerd. Daardoor werkt de sleutel alleen bij de websites waarvoor die moet werken en niet bij een phishingsite. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de Print Spooler Service van Windows maakt het voor ingelogde domeingebruikers mogelijk om Windows-domeincontrollers volledig over te nemen en code met systeemrechten uit te voeren. Systeembeheerders wordt aangeraden om de Print Spooler Service, die verantwoordelijk is voor de verwerking van printjobs, op hun domeincontrollers uit te schakelen. Microsoft bracht begin deze maand een beveiligingsupdate uit, maar volgens verschillende onderzoekers biedt die geen volledige bescherming en zijn servers daardoor nog steeds kwetsbaar. Het beveiligingslek wordt aangeduid als CVE-2021-1675 en "PrintNightmare" en werd gerapporteerd door securitybedrijven Tencent Security, AFINE en NSFOCUS. In eerste instantie stelde Microsoft dat de kwetsbaarheid alleen kon worden gebruikt door een aanvaller om zijn rechten op een al gecompromitteerd systeem te verhogen. Dertien dagen na de publicatie van het beveiligingsbulletin stelde Microsoft dat de kwetsbaarheid remote code execution mogelijk maakt en verhoogde de ernst van het lek van laag naar kritiek. Begin deze week publiceerde securitybedrijf QiAnXin op Twitter een demonstratie waarbij wordt getoond hoe een aanvaller via het lek code kan uitvoeren. Ook verscheen er proof-of-concept exploitcode online. Beveiligingsonderzoeker Matthew Hickey liet eerder vandaag op Twitter zien hoe een volledig gepatchte Windows 2019-domeincontroller via de kwetsbaarheid is te compromitteren. "Dit is erg belangrijk. Als je de Print Spooler Service hebt ingeschakeld (wat standaard is), kan elke remote geauthenticeerde gebruiker code als SYSTEM op de domeincontroller uitvoeren. Stop en schakel de service op elke domeincontroller nu uit!", zegt Will Dormann, analist bij het CERT Coordination Center (CERT/CC). Tijdens de komende Black Hat-conferentie in Las Vegas zullen onderzoekers van securitybedrijf Sangfor een presentatie over de kwetsbaarheid geven, die ze naar zeggen onafhankelijk van de drie andere bedrijven ontdekten. Windows-domeincontrollers worden gebruikt voor verschillende taken met betrekking tot het authenticeren van gebruikers en computers en vervullen een essentiële rol in het netwerk. bron: https://www.security.nl

In navolging van andere browsers zal ook Google Chrome van een HTTPS-Only Mode worden voorzien die websites standaard over https laadt. Dat meldt Chromestory op basis van een codeaanpassing van de browser. Wanneer HTTPS-Only Mode staat ingeschakeld, maar de bezochte website geen https ondersteunt, zal Chrome een waarschuwing tonen en dan de site alsnog laden. HTTPS-Only Mode staat standaard uitgeschakeld. De feature is nu te testen in het Canary channel van Google Chrome. Wanneer de feature, die nog in ontwikkeling is, in definitieve versie van Chrome beschikbaar zal zijn is nog onbekend, maar 9to5Google verwacht dat dit in Chrome 93 of 94 zal zijn. Deze versie staan voor augustus en september gepland. Firefox beschikt al enige tijd over een HTTPS-Only Mode en volgende maand zal een zelfde feature in Microsoft Edge worden doorgevoerd. bron: https://www.security.nl

Opnieuw worden gegevens van LinkedIn-gebruikers aangeboden op internet, maar volgens LinkedIn gaat het niet om een datalek maar is er sprake van scraping. Volgens de aanbieder van de dataset gaat het om de records van 700 miljoen LinkedIn-gebruikers. Dit aantal is niet door LinkedIn bevestigd. Wel stelt het bedrijf in een reactie dat uit eerste onderzoek blijkt dat het om geschraapte data van LinkedIn en verschillende andere websites gaat. Het gaat daarnaast om gegevens die in april ook al werden aangeboden. Destijds verscheen een dataset met de gegevens van 500 miljoen LinkedIn-gebruikers online. De aanbieder van de nu aangeboden dataset heeft een klein deel daarvan beschikbaar gemaakt. Het gaat om de gegevens van 1 miljoen LinkedIn-gebruikers, waaronder hun e-mailadres, namen, telefoonnummers, adresgegevens, geolocatie, LinkedIn-gebruikersnaam, profielgegevens, geslacht en andere socialmedia-accounts en gebruikersnamen. Volgens de aanbieder van de dataset zijn de gegevens via de LinkedIn-API verzameld, zo meldt Restore Privacy. LinkedIn laat weten dat niet alle data op deze manier is verkregen en er ook gegevens bij andere websites zijn gescrapet. Om welke websites het gaat is niet bekendgemaakt. bron: https://www.security.nl

Harde schijffabrikant Western Digital biedt eigenaren van een My Book Live van wie de data door een recente aanval is gewist de mogelijkheid om hun data te laten herstellen. Daarnaast komt er een omruilactie zodat eigenaren van een My Book Live en een My Book Live Duo naar een wel ondersteund apparaat kunnen upgraden. Tevens bevestigt WD de aanwezigheid van een onbekende kwetsbaarheid die aanvallers een fabrieksreset laat uitvoeren. De My Book Live is een NAS-apparaat dat via de bijbehorende app vanaf het internet is te beheren. Vorige week waarschuwde WD voor aanvallen waarbij aanvallers via een uit 2018 stammende kwetsbaarheid toegang tot de apparaten wisten te krijgen. De kwetsbare My Book Live-apparaten worden echter sinds 2015 niet meer ondersteund. Meerdere getroffen gebruikers lieten weten dat bij hen een fabrieksreset was uitgevoerd en zo alle data van het apparaat was gewist. WD stelt dat het hier om een kwetsbaarheid gaat, aangeduid als CVE-2021-35941, die sinds april 2011 door het refactoren van de authenticatielogica in de firmware werd geïntroduceerd. Normaliter is een wachtwoord voor het uitvoeren van een fabrieksreset verplicht. Het beveiligingslek zorgt ervoor dat een aanvaller deze functie ook zonder wachtwoord kan aanroepen. Volgens securitybedrijf Censys zijn ruim 51.000 My Book Live-apparaten die via internet toegankelijk zijn inmiddels gecompromitteerd. Het zou ook om drieduizend apparaten in Nederland gaan. Western Digital zal vanaf begin juli slachtoffers van wie de data is gewist "data recovery services" aanbieden. Ook komt er een omruilactie zodat eigenaren van een kwetsbare My Book Live kunnen upgraden naar een nog wel ondersteund My Cloud-apparaat. bron: https://www.security.nl

Aanvallers maken gebruik van een zerodaylek om Western Digital (WD) My Book Live-apparaten op afstand te wissen. Dat meldt securitybedrijf Censys in een analyse en heeft de harde schijffabrikant tegenover Ars Technica bevestigd. Vorige week waarschuwde WD eigenaren van een My Book Live en My Book Live Duo voor aanvallen waarbij alle data op het apparaat werd gewist. Volgens de fabrikant wordt erbij de aanvallen gebruik gemaakt van een kwetsbaarheid die sinds 2018 bekend is. Het gaat om een remote command execution kwetsbaarheid aangeduid als CVE-2018-18472. Dit beveiligingslek, dat het mogelijk maakt om code met rootrechten uit te voeren, is echter nooit verholpen in de firmware van de My Book Live-apparaten. Nu blijkt dat bij de waargenomen aanvallen ook een tweede, onbekende kwetsbaarheid wordt gebruikt voor het wissen van de apparaten. Dit beveiligingslek is aanwezig in een PHP-script dat resets uitvoert en gebruikers in staat stelt om alle configuraties te resetten en alle data te wissen. Normaliter is een fabrieksreset van het apparaat, waarbij alle data wordt gewist, alleen mogelijk na het opgeven van een wachtwoord. Dit moet misbruik van de functie voorkomen. Nu blijkt dat de authenticatiecontrole in de code door Western Digital was uitgeschakeld. Om misbruik van het lek te maken zou een aanvaller het formaat van XML-requests moeten weten die de reset activeren. Iets wat volgens beveiligingsonderzoeker H.D. Moore niet heel lastig is. "We kunnen bevestigen dat in sommige gevallen de aanvallers misbruik van de command injection kwetsbaarheid (CVE-2018-18472) maken, gevolgd door de fabrieksreset-kwetsbaarheid. Het is niet duidelijk waarom de aanvallers beide kwetsbaarheden misbruiken. We zullen een CVE-nummer voor de fabrieksreset-kwetsbaarheid aanvragen en ons bulletin met deze informatie updaten", aldus een woordvoerder van WD tegenover Ars Technica. De vraag blijft waarom de aanvallers een tweede kwetsbaarheid gebruiken als ze al roottoegang hebben. Mogelijk is dit gedaan door een tweede aanvaller om zo de controle over te nemen of het botnet van een concurrent te saboteren. Volgens Censys zijn er 55.000 WD My Book Live-apparaten op internet te vinden, waarvan drieduizend in Nederland. 550 van deze Nederlandse WD-apparaten zijn volgens het bedrijf gecompromitteerd. bron: https://www.security.nl https://www.wizcase.com/

Microsoft heeft meer details gegeven over de levenscyclus en updatebeleid van Windows 11. De nieuwe Windowsversie zal in de tweede helft van dit jaar verschijnen. Waar Windows 10 twee keer per jaar een feature-update ontvangt, zal dat bij Windows 11 één keer het geval zijn. Feature-updates voor Windows 11 Home en Pro zullen twee jaar beveiligingsupdates van Microsoft ontvangen tegenover drie jaar voor Windows 11 Enterprise en Education. Dat is bij Windows 10 respectievelijk 18 maanden het geval voor de Home- en Pro-edities en 30 maanden voor de Enterprise- en Education-edities. Microsoft stelt dat het mede op basis van gebruikersfeedback voor een jaarlijkse updatekadans en iets langere levenscyclus voor Windows 11 heeft gekozen. De upgrade naar Windows 11 zal gratis zijn voor gebruikers van Windows 10 en door de gebruiker moeten worden geïnitieerd. Voorwaarde is wel dat het systeem aan de systeemeisen van de nieuwe Windowsversie voldoet. Windows 10 Home en Pro zullen tot 14 oktober 2025 door Microsoft van beveiligingsupdates worden voorzien. bron: https://www.security.nl

Een gebrek aan bewustzijn over cyberdreigingen, onvoldoende beveiliging van systemen en gevoelige informatie, de beschikbaarheid van cybersecuritykennis en personeel, te weinig budget en geen geschikte beveiligingsadviezen zijn allemaal uitdagingen waarmee mkb-bedrijven te maken hebben, aldus het Europees Agentschap voor cyberbeveiliging (ENISA). Volgens ENISA blijkt uit onderzoek onder 249 Europese mkb-bedrijven dat 36 procent de afgelopen vijf jaar met een beveiligingsincident te maken kreeg. In de meeste gevallen ging het om phishing, webaanvallen en malware. Het Europees agentschap stelt dat mkb-bedrijven wel basale beveiligingsmaatregelen implementeren, maar alleen als onderdeel van hun algehele it-implementatie. Als "cybersecurity controls" geen onderdeel van de betreffende it-oplossing zijn, beseffen veel mkb-bedrijven niet welke risico's ze lopen, aldus het ENISA. Mede doordat ook kleine ondernemingen steeds meer online doen is het belangrijk dat bedrijven hun systemen beveiligen. Daarom heeft ENISA een 12-stappenplan gepubliceerd met tips voor mkb-bedrijven om hun systemen en ondernemingen te beveiligen. De aanbevelingen richten zich op mensen, processen en technologie. Het gaat onder andere om het trainen van personeel, wachtwoordbeleid, patchmanagement, back-ups, netwerkbeveiliging, fysieke beveiliging, beveiligen van websites en het ontwikkelen van een cybersecuritycultuur. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een systeem ontwikkeld dat gaat waarschuwen voor mailverkeer naar opgezegde domeinnamen. Dit zou datalekken moeten voorkomen. Het is de verwachting dat het systeem in juli voor alle .nl-domeinnamen wordt ingezet. De afgelopen jaren vonden er meerdere datalekken plaats doordat organisaties domeinnamen opzegden waar nog steeds e-mail naar werd toegestuurd, en deze domeinnamen door iemand anders werden geregistreerd. SIDN heeft een systeem ontwikkeld genaamd Lemmings (deLetEd doMain MaIl warNinG System) dat dergelijke datalekken moet voorkomen. Opgezegde .nl-domeinnamen worden na een afkoelperiode van veertig dagen voor iedereen beschikbaar. Lemmings kijkt naar het dns-verkeer dat van dag 20 tot dag 30 in deze periode naar het opgezegde domeinnaam wordt verstuurd. Het berekent voor elke domeinnaam een aantal statistieken, zoals het aantal ontvangen mx-query's per dag. Op basis van de analyse wordt er op dag 30 van de quarantaineperiode automatisch een waarschuwing naar de voormalige houder gestuurd dat er nog legitieme mail naar de domeinnaam gaat. Onder legitieme mail verstaat SIDN alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien. Daarnaast analyseert Lemmings of een opgeheven domeinnaam mogelijk in gebruik was door een bedrijf of organisatie waarvoor bijvoorbeeld privacy bijzonder belangrijk is. Het gaat dan bijvoorbeeld om zorginstelling of een advocatenkantoor. Op basis van een algoritme worden domeinnamen automatisch in een risicocategorie ingedeeld. Hiervoor maakt het systeem gebruik van een lijst met trefwoorden, zoals 'huisarts' of 'advocatenkantoor'. Wanneer de domeinhouder op dag dertig een waarschuwing ontvangt heeft hij nog tien dagen de mogelijkheid om de domeinnaam eventueel uit quarantaine te halen, of andere acties te ondernemen. SIDN benadrukt dat het in het dns-verkeer niets kan zien met betrekking tot het daadwerkelijke mailverkeer, dus ook niet de inhoud van de mail, het onderwerp of de naam van de afzender of de ontvanger. Begin deze maand is SIDN een pilot met .nl-registrar Argeweb gestart. Het is de verwachting dat Lemmings vanaf juli voor alle opgeheven domeinnamen in de .nl-zone kan worden ingezet, tenzij uit de pilot blijkt dat het systeem grotere aanpassingen vereist. Daarna zal het systeem met nieuwe features worden uitgebreid, waaronder support van een opt-out voor de waarschuwingsmail en het voor de domeinnaamhouder beschikbaar maken van de meet- en analysedetails van een domeinnaam. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Cisco ASA-apparaten waarvoor vorig jaar een beveiligingsupdate verscheen. Dat laat securitybedrijf Tenable weten. Via de kwetsbaarheid, aangeduid als CVE-2020-3580, kan een aanvaller cross-site scripting-aanvallen tegen gebruikers van de apparaten uitvoeren. Door een gebruiker op een malafide link te laten klikken is het mogelijk voor een aanvaller om scriptcode in de context van de webservices-interface uit te voeren of toegang tot gevoelige browsergegevens te krijgen. Het probleem wordt veroorzaakt doordat de webservices-interface gebruikersinvoer niet goed valideert. Cisco kwam op 21 oktober vorig jaar met een beveiligingsupdate om het probleem te verhelpen. Een aantal dagen geleden publiceerde een beveiligingsonderzoeker van securitybedrijf Positive Technologies een proof-of-concept exploit voor de kwetsbaarheid. Na de publicatie van deze exploit maken aanvallers misbruik van de kwetsbaarheid, aldus Tenable. Organisaties worden opgeroepen om de beschikbare beveiligingsupdate te installeren. bron: https://www.security.nl