Captain Kirk

Intel heeft tijdens de tweede patchronde van dit jaar beveiligingsupdates uitgebracht die 73 kwetsbaarheden in een groot aantal producten verhelpen. Veertig van de beveiligingslekken zijn door Intel zelf ontdekt, terwijl 29 er via het bugbountyprogramma van de chipgigant zijn gerapporteerd. De updates zijn onder andere voor de Intel NUC, Thunderbolt-controller, wifi-driver, Rapid Storage Technology-software, SSD Data Center Tool, Driver and Support Assistant (DSA) en verschillende processors van de chipgigant. Via de kwetsbaarheden kan een aanvaller onder andere zijn rechten op een al gecompromitteerd systeem verhogen, informatie achterhalen of een denial of service veroorzaken. In de eerste helft van dit jaar verhielp Intel in totaal 132 kwetsbaarheden. 56 daarvan bevonden zich in de netwerk- en bluetooth-software van Intel. Een overzicht van alle beveiligingsbulletins is op deze pagina te vinden. bron: https://www.security.nl

Onderzoekers hebben een onbeveiligde database ontdekt die miljoenen door malware gestolen wachtwoorden, cookies, afbeeldingen en tekstbestanden bevatte. De malware in kwestie verspreidde zich via illegale software en e-mail en infecteerde de afgelopen jaren meer dan 3,2 miljoen computers, zo stelt cloudopslagdienst NordLocker. Op de besmette systemen werden bijna 26 miljoen inloggegevens voor bijna een miljoen websites gestolen, alsmede twee miljard cookies en 6,6 miljoen bestanden. De helft van de gestolen bestanden bestaat uit tekstbestanden. Tevens maakte de malware meer dan 1 miljoen afbeeldingen buit. Na de infectie maakte de malware ook een screenshot van de computer en wanneer aanwezig een foto via de webcam. NordLocker rapporteerde de open database aan het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) en de cloudprovider waar die werd gehost. Daarop werd de database offline gehaald. 1,1 miljoen unieke e-mailadressen die de malware verzamelde zijn aan datalekzoekmachine Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 1,1 miljoen e-mailadressen was 38 procent al via een ander datalek bij Have I Been Pwned bekend. Aangezien het om een "gevoelig" datalek gaat is het niet mogelijk om er publiek op te zoeken. Gebruikers worden alleen gewaarschuwd wanneer ze hun e-mailadres voor de notificatiedienst van Have I Been Pwned aanmelden, zo meldt Troy Hunt, bedenker van de datalekzoekmachine. bron: https://www.security.nl

Verschillende bedrijven zijn in april het doelwit van een gerichte aanval geworden waarbij aanvallers een zerodaylek in Google Chrome gebruikten om systemen met malware te infecteren. Het beveiligingslek in de browser werd gebruikt in combinatie met twee zerodays in Windows om uit de sandbox van Chrome te breken en systeemrechten te krijgen. Dat laat antivirusbedrijf Kaspersky in een analyse weten. De aanvallen werden op 14 en 15 april door de virusbestrijder waargenomen. Wat voor bedrijven het doelwit van de aanvallen waren en waar die zich bevinden laat Kaspersky niet weten. Bij de aangevallen organisaties was Google Chrome up-to-date. Het gebruikte zerodaylek in de browser kon niet worden achterhaald, maar onderzoekers vermoeden dat het om CVE-2021-21224 gaat. CVE-2021-21224 werd op 12 april door Google in de JavaScript-engine verholpen. Het techbedrijf maakte de bijbehorende regress/unittest openbaar. Aan de hand van deze informatie lukte het een beveiligingsonderzoeker om de onderliggende kwetsbaarheid te achterhalen en een exploit te ontwikkelen, die online werd geplaatst. Google verhielp de kwetsbaarheid op 20 april in Chrome. Via het lek kan een aanvaller code binnen de browser uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website is hiervoor voldoende. De zerodays in Windows maken het mogelijk uit de sandbox van Chrome te breken en rechten te verhogen. De kwetsbaarheden in Windows zijn op zichzelf niet voldoende om een systeem te compromitteren. Kaspersky rapporteerde de twee beveiligingslekken, aangeduid als CVE-2021-31955 en CVE-2021-31956, op 20 april aan Microsoft. Het techbedrijf kwam gisterenavond met beveiligingsupdates voor Windows om de kwetsbaarheden te verhelpen. bron: https://www.security.nl

Microsoft heeft tijdens de patchdinsdag van juni zes actief aangevallen zerodaylekken in Windows verholpen. Via de kwetsbaarheden had een aanvaller volledige controle over systemen kunnen krijgen. Van de zes zerodays is er één als kritiek aangemerkt. Het gaat om CVE-2021-33742, een kwetsbaarheid in het Windows MSHTML-platform waardoor remote code execution mogelijk is. Internet Explorer 11 en de Internet Explorer-mode in Microsoft Edge maken gebruik van het MSHTML-platform, alsmede andere applicaties. Het bekijken van malafide webcontent, bijvoorbeeld bij het bezoeken van een website, zou voldoende zijn om een aanvaller code op het systeem te laten uitvoeren. "Het is niet duidelijk hoe wijdverbreid de aanvallen zijn, maar aangezien deze kwetsbaarheid alle ondersteunde Windowsversies raakt zou deze update bovenaan de lijst van te testen en uit te rollen patches moeten staan", zegt Dustin Childs van het Zero Day Initiative. Via de overige aangevallen zerodaylekken kan een aanvaller zijn rechten op het systeem verhogen of informatie uit het kernelgeheugen lezen. Bij de 'elevation-of-privilege' kwetsbaarheden moet een aanvaller al toegang tot het systeem hebben. Daarnaast is er een kwetsbaarheid in Windows Remote Desktop Services verholpen waardoor een denial of service mogelijk is. Informatie over dit beveiligingslek was al voor het uitkomen van de update openbaar, maar volgens Microsoft is er geen misbruik van het lek gemaakt. Een andere kwetsbaarheid die volgens Childs de aandacht verdient is CVE-2021-31962 en betreft een kwetsbaarheid in Kerberos AppContainer. In een bedrijfsomgeving zou een aanvaller via dit beveiligingslek de Kerberos-authenticatie kunnen omzeilen en zich bij een willekeurige service principal name (SPN) kunnen authenticeren. Een aanvaller kan zo toegang tot elke willekeurige service krijgen die via een SPN toegankelijk is. "Aangezien SPN-authenticatie cruciaal is voor de security in Kerberos-implementaties, moet deze patch de hoogste prioriteit krijgen", stelt Childs. De beveiligingsupdates voor de in totaal vijftig kwetsbaarheden zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Hostingprovider TransIP heeft besloten om de HashCheckService die servers scant op de aanwezigheid van kindermisbruikmateriaal tijdelijk uit te schakelen nadat WordPress-afbeeldingen onterecht als het gewraakte materiaal waren aangemerkt en daardoor mogelijk bij klanten zijn verwijderd. Via de HashCheckService, die wordt aangeboden door het Expertisebureau Online Kindermisbruik (EOKM), kunnen internetbedrijven en hostingproviders aan de hand van hashes controleren of er kinderpornografisch materiaal op hun servers staat. De database van de HashCheckService bevat meer dan 3,2 miljoen hashes van bekend online kinderpornografisch beeldmateriaal. Door middel van een API (application programming interface) kunnen providers de database benaderen en kijken of de hashes van bestanden op hun servers overeenkomen met de hashes van de database. TransIP maakte de HashCheckService vorig jaar beschikbaar voor klanten. Die kunnen zo, wanneer ze de service inschakelen, hun webhostingserver laten scannen op de aanwezigheid van kindermisbruikmateriaal. De hashes waarvan de dienst gebruikmaakt zijn afkomstig van de Nationale Politie, Interpol en het National Center for Missing & Exploited Children. "De database wordt continu aangevuld door internationale politieorganen, waarbij er nu ondanks meervoudige controle een serie standaardafbeeldingen van WordPress-installaties en plugins is meegenomen", laat TransIP in een e-mail aan klanten weten. Hierdoor zijn deze WordPress-afbeeldingen aangemerkt als kindermisbruikmateriaal en kunnen zo bij een scan automatisch worden verwijderd. "Het gaat hier met nadruk niet om persoonlijke afbeeldingen. Het betreft afbeeldingen die automatisch worden aangevuld door WordPress bij het uitvoeren van updates. We adviseren je dan ook om te kijken of je deze handmatig kunt uitvoeren", aldus TransIP. Vanwege het incident heeft de hostingprovider besloten om het gebruik van de HashCheckService voorlopig in zijn geheel te pauzeren. "De garanties op de integriteit van de data vanuit het EOKM blijken onvoldoende. Hierover zijn wij met hen in overleg, maar totdat hier een oplossing voor komt laten wij de service uitgeschakeld. Dit betekent dat wij in de tussentijd niet je webhostingpakket(ten) kunnen scannen", maakt de provider duidelijk. bron: https://www.security.nl

Afgelopen zondag was het precies dertig jaar geleden dat de eerste versie van encryptiesoftware Pretty Good Privacy (PGP) op internet verscheen. Inmiddels is sterke encryptie overal aanwezig, maar dreigt er ook een nieuwe crypto-oorlog, zo waarschuwt PGP-bedenker Philip Zimmermann in een essay over de dertigste verjaardag van zijn software. PGP versie 2.0 verscheen in september 1992 en ondersteunde tien buitenlandse talen, draaide op verschillende platformen en bood allerlei nieuwe functies waardoor het de meestgebruikte methode werd voor het versleutelen van e-mail. Zimmermann werd doelwit van een strafrechtelijk onderzoek of hij de Amerikaanse wapenexportwetgeving had overtreden. De Amerikaanse autoriteiten lieten het onderzoek begin 1996 vallen, maar stelden nog steeds beperkingen aan het exporteren van encryptiesoftware. In 2000 werden de beperkingen opgeheven. Sinds de lancering van PGP 1.0 zijn er dertig jaar verstreken en is sterke encryptie overal aanwezig, van vpn's en browsers tot bank-apps, schijfversleuteling, cryptovaluta en het Tor-netwerk. Volgens Zimmermann is deze ontwikkeling niet meer tegen te houden, maar is dat toch wat verschillende overheden proberen. Onder andere Australië, het Verenigd Koninkrijk, de Verenigde Staten en andere liberale democratieën hebben zich tegen end-to-end encryptie uitgesproken. "Twintig jaar nadat de we dachten de crypto-oorlog te hebben gewonnen. Is het weer nodig om te mobiliseren?", vraagt de PGP-bedenker zich af. Volgens Zimmermann is de noodzaak op het recht op privégesprekken nooit belangrijker geweest. "Veel democratieën glijden af naar populistische autocratieën. Gewone burgers en grassroots politieke bewegingen moeten zich zich zo goed als mogelijk tegen deze opkomende autocratieën beschermen." Zimmermann waarschuwt dat wanneer een autocratie een overal aanwezige surveillance-infrastructuur bouwt of erft, het bijna onmogelijk wordt om politieke oppositie te organiseren, zoals in China het geval is. En het gaat niet alleen om de persoonlijke veiligheid, ook de nationale veiligheid staat op het spel, aldus de PGP-bedenker. Hij wijst onder andere naar het gebruik van Huawei voor de 5G-infrastructuur in Europa. Zimmermann stelt dat producten met end-to-end encryptie essentieel voor de Europese nationale veiligheid zijn en er op beleidsterrein moet worden gestreden om het recht op end-to-end encryptie te behouden. bron: https://www.security.nl

Abuse.ch, een platform dat zich met de bestrijding van botnets en malware bezighoudt, heeft een nieuw onderkomen bij de universiteit van Bern gevonden. In de toekomst zal Abuse.ch als een onderzoeksproject van het Institute for Cybersecurity and Engineering ICE worden geleid. Het platform werd vijftien jaar geleden gestart door de Zwitserse beveiligingsonderzoeker Roman Hüssy. Abuse.ch werd mede vanwege de trackers van de Zeus- en SpyEye-botnets bekend. Informatie van het platform wordt door allerlei bedrijven, onderzoekers, Security Operations Centers, Computer Security Incident Response Teams en Computer Emergency Response Teams gebruikt om netwerken en systemen te beschermen. Inmiddels bestaat Abuse.ch uit vijftig servers en tweehonderd sandboxes. Elke maand genereert het platform honderddertig terabyte aan netwerkverkeer en verwerkt twee miljoen api-verzoeken per dag. Toch is het nog altijd een eenmansoperatie. Volgens Hüssy is het beheer van het platform een uitdaging geworden, niet per se vanuit een technisch oogpunt, maar voornamelijk door de kosten van de infrastructuur en vereiste kennis voor bigdata-analyse. Om de toekomst van Abuse.ch veilig te stellen wilde de Zwitserse beveiligingsonderzoeker er een onderzoeksproject van maken. Zodoende wordt het mogelijk om financiering van derde partijen te ontvangen en mogelijk beroep te doen op onderzoeksbeurzen. Ook wordt het mogelijk om iemand aan te nemen die het werk van Hüssy aan Abuse.ch gaat ondersteunen. Er gelden echter enkele voorwaarden om van Abuse.ch een onderzoeksproject te kunnen maken en één daarvan is dat Hüssy bij een universiteit aan de slag gaat en hij voor die functie financiering vindt. De onderzoeker stapte naar verschillende grote organisaties die van de data van Abuse.ch gebruikmaken met het verzoek om hem te helpen, maar kreeg geen gehoor. Eind vorig jaar waarschuwde Hüssy dat het voortbestaan van Abuse.ch in gevaar kon komen als hij geen voldoende geld zou binnen zou halen om van het platform een onderzoeksproject te maken. Dat is nu gelukt, zo laat de onderzoeker weten. Abuse.ch zal net als voorheen op een niet-commerciële basis worden gerund. bron: https://www.security.nl

New York Pizza heeft miljoenen persoonsgegevens van klanten gelekt. Bij een inbraak op de systemen van een leverancier werd de data buitgemaakt, zo laat de pizzaketen in een e-mail aan klanten en op de eigen website weten. Het gaat om naam, adresgegevens, e-mailadres, telefoonnummer, bestelde pizza's, wachtwoordhash en in een "klein aantal" gevallen ook de geboortedatum in het geval van verjaardagsbestellingen. De NOS meldt dat het om 3,9 miljoen klantgegevens gaat. "We zijn zo snel mogelijk gestart met het informeren van onze klanten en medewerkers. Ook hebben wij de partijen met wie wij samenwerken geïnformeerd. Daarnaast hebben wij externe specialisten ingeschakeld die het incident onderzoeken, wie achter de aanval zit, en hoe dit in de toekomst kan worden voorkomen", aldus New York Pizza in een reactie op het datalek. Klanten wordt aangeraden hun wachtwoord te wijzigen en alert te zijn op phishingmails. bron: https://www.security.nl

Aanvallers maken actief misbruik van een zerodaylek in de WordPressplug-in Fancy Product Designer, waardoor meer dan zeventienduizend sites risico lopen om te worden overgenomen. Een beveiligingsupdate om het probleem te verhelpen is nog niet beschikbaar. Dat meldt securitybedrijf Wordfence. Fancy Product Designer is een WordPressplug-in waarmee webwinkels hun klanten bestanden kunnen laten uploaden, zoals afbeeldingen en pdf-documenten. Bijvoorbeeld voor het ontwerpen van eigen T-shirts, bekers, posters of muismatten. De plug-in blijkt niet goed te controleren of er geen malafide bestanden worden geüpload. Daardoor is het mogelijk om op elke website die van de plug-in gebruikmaakt PHP-bestanden te uploaden waardoor aanvallers de website volledig kunnen overnemen. De kwetsbaarheid, CVE-2021-24370, is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Wordfence ontdekte op 31 mei dat de kwetsbaarheid in ieder geval sinds 16 mei actief wordt gebruikt om WordPress-sites mee over te nemen. Het securitybedrijf waarschuwde de ontwikkelaars van de plug-in. Die hebben nog geen beveiligingsupdate beschikbaar gemaakt. Vanwege de actieve aanvallen besloot Wordfence gebruikers nu al te waarschuwen. Details over het lek worden pas na het uitkomen van de patch openbaar gemaakt. bron: https://www.security.nl

Microsoft Edge krijgt een optie om websites standaard via https te laden, wat bescherming tegen man-in-the-middle-aanvallen moet bieden, zo laat Microsoft weten. "Automatic HTTPS" wordt standaard gebruikt voor websites waarvan wordt aangenomen dat ze ook https ondersteunen. Daarnaast kunnen gebruikers instellen dat de browser altijd van https gebruik moet maken. De meeste websites ondersteunen inmiddels beveiligde verbindingen via https. Veel van deze sites zijn echter niet ingesteld om het gebruik van https te verplichten, waardoor aanvallers kunnen toeslaan wanneer er een redirect van http naar https plaatsvindt, zo stelt Microsoft. Sommige websites sturen gebruikers daarnaast helemaal niet door van http naar https. Om verbindingsfouten te voorkomen maakt Edge gebruik van een lijst met domeinen die waarschijnlijk https ondersteunen. Microsoft genereert deze lijst op basis van topdomeinen die veel verkeer via https ontvangen en niet zijn ingesteld om alleen via https toegankelijk te zijn. Voor gebruikers die websites alleen over https willen bezoeken biedt de browser daarvoor straks ook een optie. Wel waarschuwt Microsoft dat deze gebruikers mogelijk met meer foutmeldingen te maken kunnen krijgen. Automatic HTTPS is nu te testen in de testversies van Microsoft Edge 92. bron: https://www.security.nl

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die ook in privénavigatie bescherming tegen cross-site tracking biedt. De privacymaatregel met de naam Total Cookie Protection (TCP) was sinds februari al beschikbaar in de 'strict mode' van de Enhanced Tracking Protection (ETP). TCP zorgt ervoor dat bij elke bezochte website een aparte "cookie jar" wordt gebruikt, waardoor een trackingcookie van de ene website niet meer voor andere sites toegankelijk is. Firefox blokkeert al enige tijd trackingcookies via Enhanced Tracking Protection. Hiervoor maakt de browser gebruik van een lijst met bekende trackers van trackerblocker Disconnect. Op dit moment blokkeert ETP zo'n drieduizend van de meestgebruikte en waargenomen trackers. De bescherming van ETP is echter afhankelijk van de Disconnect-lijst en dat die up-to-date is. Trackers kunnen de lijst eenvoudig omzeilen door nieuwe domeinnamen te registreren. Daarnaast kan het lang duren voordat een nieuw trackingdomein aan de lijst wordt toegevoegd. Total Cookie Protection moet ervoor zorgen dat tracking via cookies tot het verleden gaat behoren, aldus Mozilla. Cookies zijn nog altijd zeer effectief voor het volgen van internetgebruikers op het web. Een tracker die op meerdere websites als derde partij actief is kan voor het eigen trackingdomein third-party cookies bij bezoekers plaatsen. Zo is het mogelijk om internetgebruikers over meerdere websites te volgen. Met Total Cookie Protection worden alle cookies van een domein dat de gebruiker bezoekt in een aparte cookie jar opgeslagen, gescheiden van andere websites die hun eigen cookie jar hebben. Ook al is een tracker op meerdere websites actief, dan zullen de trackingcookies nog steeds beperkt zijn tot de cookie jar van de betreffende website. Volgens Mozilla heeft dit grote voordelen voor de privacy van gebruikers, omdat het nu mogelijk is om een uitgebreidere bescherming te bieden dan met de Disconnect-lijst het geval is, terwijl dit geen gevolgen heeft voor websites zolang ze geen cross-site access vereisen. Met de lancering van Firefox 89 is Total Cookie Protection nu ook beschikbaar in de privénavigatie van de browser. Verder is in deze versie de vormgeving van Firefox op de schop genomen en zijn er negen kwetsbaarheden verholpen. Door één van deze beveiligingslekken, alleen aanwezig in de Androidversie van Firefox, was de ingebouwde wachtwoordmanager kwetsbaar voor domeinspoofing. Daardoor kon de wachtwoordmanager door een malafide website worden verleid om het wachtwoord van een andere website te suggereren. Updaten naar Firefox 89 kan via de ingebouwde updatefunctie en Mozilla.org. bron: https://www.security.nl

Klanten van Accellion zijn door een probleem met een mailtool afgelopen december niet door het softwarebedrijf gewaarschuwd voor een zeroday-aanval waarbij twee tot dan toe onbekende kwetsbaarheden werden gebruikt om systemen over te nemen. Dat blijkt uit een rapport van KPMG dat onderzoek deed naar misbruik van de beveiligingslekken bij de centrale bank van Nieuw-Zeeland (pdf). De zeroday-aanval was gericht tegen de Accellion File Transfer Appliance (FTA)-server. FTA was een twintig jaar oude oplossing die organisaties gebruikten voor het uitwisselen van grote bestanden. Op 16 december waarschuwde een klant Accellion voor een aanval. Verder onderzoek wees uit dat de aanvallers misbruik van twee zerodaylekken maakten om toegang tot FTA-servers te krijgen. Nadat er toegang was verkregen installeerden de aanvallers een webshell om hun toegang te behouden en gegevens te stelen. Onder andere de Clop-ransomwaregroep maakte misbruik van de lekken. Op 20 december kwam Accellion met een beveiligingsupdate voor de kwetsbaarheden. Eén van de organisaties die op 25 december via de beveiligingslekken werd aangevallen was de centrale bank van Nieuw-Zeeland. De bank liet KPMG de aanval en het resulterende datalek onderzoeken. Daaruit blijkt dat Accellion klanten via e-mail had willen waarschuwen. Een probleem met de e-mailtool zorgde er echter voor dat deze waarschuwing niet werd verstuurd. De bank werd uiteindelijk op 6 januari van dit jaar alsnog ingelicht en rolde een dag later de beschikbare beveiligingsupdate uit. Volgens de onderzoekers heeft de vertraagde waarschuwing bijgedragen aan de inbraak en de manier waarop de bank had kunnen reageren om de aanval te voorkomen. "We waren te afhankelijk van Accelloin, de leverancier van de FTA, om ons voor kwetsbaarheden in hun systeem te waarschuwen. In dit geval bleven de waarschuwingen op hun systeem achter en bereikten de centrale bank niet voordat de aanval plaatsvond. We hebben geen voorafgaande waarschuwing ontvangen", aldus de bank. De bank erkent dat het maatregelen had kunnen treffen om de impact van de aanval te beperken. Inmiddels is FTA door Accellion uitgefaseerd. Naast de centrale bank van Nieuw-Zeeland lieten de Nederlandse Aardolie Maatschappij (NAM), securitybedrijf Qualys, de Australian Securities and Investments Commission (ASIC), de Amerikaanse staat Washington, de Amerikaanse supermarktketen Kroger en advocatenkantoor Jones Day weten dat erop hun FTA-server was ingebroken. bron: https://www.security.nl

De Europese Unie werkt aan de ontwikkeling van een wallet-app waarmee EU-burgers zich straks in heel Europa bij zowel bedrijven als overheden kunnen identificeren. Daarnaast is de app te gebruiken voor de opslag van wachtwoorden en betaalgegevens. "Deze nieuwe digitale identiteit geeft elke Europeaan de sleutels tot zijn digitale tweeling", liet Thierry Breton, EU-commissaris voor Interne Markt, eerder dit jaar weten. De plannen voor de wallet-app worden morgen aangekondigd, meldt de Financial Times. De app, die in de hele Europese Unie zal zijn te gebruiken, ondersteunt onder andere biometrische beveiliging. Gebruikers kunnen bijvoorbeeld door middel van een vingerafdruk of gezichtsscan de app openen. Naast de toepassing van online identificatie fungeert de wallet volgens de FT ook als een 'kluis' waarin gebruikers officiële documenten zoals een rijbewijs kunnen opslaan. De EU zou daarnaast maatregelen treffen om te voorkomen dat informatie uit de wallet voor andere commerciële doeleinden worden ingezet, zoals advertenties. Op dit moment overlegt Brussel met de lidstaten over de technische standaarden voor de uitrol van de app, die over een jaar volledig operationeel zou moeten zijn. De app wordt niet verplicht, maar personen die bij de wallet zijn betrokken laten tegenover de FT weten dat gebruikers van een "extra veilig digitaal ecosysteem en grotere flexibiliteit" zullen profiteren. Wat dit precies inhoudt is nog niet duidelijk gemaakt. bron: https://www.security.nl

De SolarWinds-aanval was geen 'gewone spionage' en laat zien dat er regels voor cyberspionage moeten komen, zo stelt Microsoft. Daarnaast moeten landen sancties treffen wanneer deze regels worden overtreden. Dat zegt Tom Burt, Microsofts Corporate Vice President. Vorige week waarschuwde Microsoft voor een phishingaanval gericht tegen overheidsinstanties en ngo's die het werk zou zijn van de groep achter de SolarWinds-aanval. De Amerikaanse overheid heeft de aanval bevestigd, maar nog niet vastgesteld dat die is uitgevoerd door de SolarWinds-aanvallers. Er zit echter een verschil tussen deze phishingaanval en de SolarWinds-aanval, en de laatste toont de noodzaak van regels voor cyberspionage, aldus Burt. Bij de SolarWinds-aanval werden updates van het softwarebedrijf voorzien van een backdoor waardoor de aanvallers aanvullende malware bij een selecte groep slachtoffers konden installeren. Deze aanval was volgens Burt vanwege twee redenen geen gewone spionage. Ten eerste werd voor deze aanval het online updateproces van SolarWinds gebruikt. "Alle leveranciers maken gebruik van online updates om hun klanten te beschermen en die updates moeten te vertrouwen zijn", merkt Microsofts vicepresident op. "Door het gebruik van updates voor malafide doeleinden wordt dat vertrouwen aangetast en de veiligheid van het gehele digitale ecosysteem in gevaar gebracht." Daarnaast was de aanval niet gericht. Meer dan 18.000 klanten van SolarWinds installeerden de besmette updates van de aanvallers. Door deze ongerichte aanpak zijn bedrijven onnodig op kosten gejaagd, gaat Burt verder. "Dit is geen 'gewone spionage'. In vergelijking waren de phishingaanvallen van vorige week gericht op spionagedoelwitten en maakten geen misbruik van een kernproces dat essentieel is voor de veiligheid van het digitale ecosysteem", reageert Burt op sommige mensen die de SolarWinds-aanval als gewone spionage bestempelden. De phishingaanval, de SolarWinds-aanval en de Exchange-aanval van eerder dit jaar laten volgens Burt zien dat bedrijven en overheden sneller maatregelen moeten treffen. Ten eerste moeten organisaties zich beter verdedigen. Ten tweede moet er meer worden gedaan om schadelijke aanvallen af te schrikken. Zo stelde de Amerikaanse overheid dat de SolarWinds-aanval door Rusland is uitgevoerd en legde hiervoor Russische bedrijven, instellingen en personen sancties op. Burt stelt dat de SolarWinds-aanval aantoont dat er duidelijkere regels moeten komen voor wat bijvoorbeeld 'gewone spionage' is en wanneer de grens wordt overschreden. bron: https://www.security.nl

Het Duitse AV-Test Institute heeft 21 antivirusprogramma's voor Windows 10 vergeleken waaruit blijkt dat de geteste virusscanners elkaar weinig ontlopen. Van de 21 pakketten werden er 17 als "Top Product" bestempeld, waaronder de gratis virusscanner Microsoft Defender die standaard in Windows 10 zit. De antivirusprogramma's werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 278 "zero-day" malware-exemplaren en bijna 17.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,3 procent gehaald. De test met de bijna 17.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Acht virusscanners scoren op beide onderdelen 100 procent (AhnLab, Avast, AVG, Bitdefender, ESET, G DATA, Microsoft en NortonLifeLock). Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. Microworld en PC Matic zetten met respectievelijk 4 en 4,5 punten de laagste detectiescore neer Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Twintig van de 21 pakketten scoren de maximale 6 punten. Alleen Avira komt lager uit met 5,5 punten. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden meer dan een miljoen schone websites en bestanden gebruikt. Zestien pakketten halen de maximale 6 punten. PC Matic eindigt op dit onderdeel met 4 punten onderaan. Van de 21 virusscanners weten er uiteindelijk veertien op alle drie de vlakken maximaal te scoren. PC Matic is met 14,5 punten hekkensluiter. Om als topproduct bestempeld te worden was het niet nodig om de maximale score te halen. Ook producten met 17,5 punten krijgen dit stempel. Naast het gratis Microsoft Defender wist ook het gratis Avast Free Antivirus de maximale score te halen. bron: https://www.security.nl

Een groep aanvallers heeft een paar dagen voor de publicatie over een zerodaylek in de vpn-software van Pulse Secure webshells van besmette systemen verwijderd, zo claimt securitybedrijf FireEye. Op 20 april kwamen Pulse Secure en FireEye met een waarschuwing voor een actief aangevallen zerodaylek in de Pulse Secure-software. De kwetsbaarheid, aangeduid als CVE-2021-22893, scoort op een schaal van 1 tot en met 10 wat betreft de impact een maximale score van 10. Daarnaast bleek dat de aanvallers ook van andere, al bekende kwetsbaarheden in de software gebruikmaakten om systemen te compromitteren. Tussen 17 en 20 april zagen onderzoekers van FireEye dat de aanvallers achter deze aanvallen van tientallen systemen de webshells verwijderden die ze via de beveiligingslekken hadden geïnstalleerd. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. "Het is ongewoon voor Chinese spionagegroepen om een groot aantal backdoors in de omgevingen van slachtoffers te verwijderen rond de tijd van openbaarmaking. Deze acties laten zorgen over de operationele veiligheid en gevoeligheid voor publiciteit zien", zegt Dan Perez van FireEye. Of de aanvallers mogelijk wisten van het onderzoek van het securitybedrijf of dat het puur toeval is laat Perez niet weten. Volgens de onderzoeker doen de aanvallers veel moeite om detectie te voorkomen. Zo worden timestamps van bestanden gewijzigd en logbestanden, core dumps en bestanden met gestolen data geregeld aangepast of verwijderd. Verder hebben de aanvallers uitgebreide kennis van netwerkapparaten en het aangevallen netwerk, aldus Perez. Dit kan het lastig voor organisaties maken om een overzicht te krijgen van wat de aanvallers hebben buitgemaakt en sinds wanneer ze in het netwerk aanwezig zijn. De aanvallers hebben het voorzien op inloggegevens, andere vertrouwelijke data en het behouden van toegang tot het netwerk. Volgens FireEye heeft het tientallen getroffen organisaties in Europa en de Verenigde Staten waargenomen, die actief zijn in de defensie-industrie, overheid, telecomsector, onderwijsinstellingen, transport en financiële sector. Tevens claimt het securitybedrijf dat de spionageactiviteiten van de aanvallers doelen van de Chinese overheid ondersteunen. bron: https://www.security.nl

Mozilla gaat de werking van adblockers in Firefox na overleg met extensie-ontwikkelaars niet beperken zoals het geval is bij Google Chrome. Twee jaar geleden kondigde Google Manifest v3 aan, een verzameling van aanpassingen hoe extensies binnen Chrome zullen werken. Sinds januari van dit jaar ondersteunt Chrome extensies die aan Manifest v3 voldoen, maar oude extensies werken ook nog steeds in Chrome. Een van deze aanpassing in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API voorgesteld genaamd declarativeNetRequest (DNR). Die zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Adblockers zouden hierdoor minder effectief advertenties kunnen blokkeren. Mozilla stelt dat DNR de werking van onder andere adblockers beperkt. De browserontwikkelaar is echter van plan om ondersteuning van Manifest v3 aan Firefox toe te voegen. Na overleg met adblocker-ontwikkelaars is nu besloten om zowel de webRequest API als DNR te ondersteunen. Zodoende kunnen extensie-ontwikkelaars de API kiezen die voor hen en hun gebruikers het beste werkt. Mozilla zegt dat het de webRequest API blijft ondersteunen totdat er een betere oplossing is die alle belangrijke scenario's afdekt, aangezien DNR zoals het op dit moment door Chrome wordt geïmplementeerd niet voldoet aan de eisen van extensie-ontwikkelaars, zegt Mozillas Rob Wu. Wanneer Firefox Manifest v3 zal ondersteunen is nog onbekend. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de software Checkbox Survey wordt actief door aanvallers gebruikt om servers aan te vallen. Checkbox biedt software voor het maken van online enquêtes en onderzoeken. Het bedrijf claimt dat het wereldwijd honderden klanten heeft, waaronder grote bedrijven en organisaties als Microsoft, Philips, de NAVO, Boeing, Vodafone, Pfizer en Unilever. Checkbox Survey versie 6 en eerder bevatten een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand op kwetsbare servers willekeurige code met de rechten van de webserver kan uitvoeren. Het beveiligingslek wordt veroorzaakt doordat de software niet goed omgaat met ASP.NET View State data. Om aanvallen via malafide gebruikersinvoer te voorkomen kan ASP.NET van een ViewState Message Authentication Code (MAC) gebruikmaken. In het geval van Checkbox Survey versie 6 en ouder wordt de MAC-instelling op de server genegeerd. Zonder de MAC kan een aanvaller willekeurige data creëren wat tot het uitvoeren van willekeurige code op de server leidt, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. De organisatie stelt dat er actief misbruik van het beveiligingslek wordt gemaakt., Het CERT/CC meldt dat Checkbox Survey versie 6 niet meer wordt ondersteund, maar het softwarebedrijf laat op de eigen website weten dat de Checkbox Survey versie 6 vanaf 1 juli 2021 pas end-of-life zal zijn. De kwetsbaarheid is niet aanwezig in versie 7 van de software. Het CERT/CC raadt organisaties aan om versie 6, wanneer een update naar versie 7 niet mogelijk is, van systemen te verwijderen. bron: https://www.security.nl

Google heeft een nieuwe Rowhammer-aanval op dram-geheugen geïntroduceerd waardoor een aanvaller bestaande beschermingsmethodes kan omzeilen en in meer geheugenrijen 'bit flips' kan veroorzaken. Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen. Deze dichtheid zorgt ervoor dat de cellen invloed op elkaar kunnen hebben. Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Rowhammer zorgt ervoor dat bij het herhaaldelijk benaderen van een geheugenrij bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk voor een aanvaller op een systeem om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het bijvoorbeeld mogelijk is om kernelrechten te krijgen. De eerste Rowhammer-aanval werd tegen DDR3-geheugen gedemonstreerd. Om dergelijke aanvallen te voorkomen namen geheugenfabrikanten allerlei maatregelen in DDR4-geheugen, dat door moderne systemen en telefoons wordt gebruikt. Die maatregelen blijken tegen de originele Rowhammer-aanval te werken, maar zijn kwetsbaar voor nieuwe varianten. Eén van deze varianten werd vorig jaar door onderzoekers van de Vrije Universiteit (VU) Amsterdam gedemonstreerd. Nu heeft Google ook een nieuwe aanval ontwikkeld. Deze aanval wordt Half-Double genoemd. In tegenstelling tot de oorspronkelijke Rowhammer-aanval, waarbij bit flips alleen mogelijk zijn op een afstand van één geheugenrij, waardoor alleen de aangrenzende geheugenrijen zijn aan te vallen, maakt Half-Double het mogelijk om bits in verder gelegen geheugenrijen aan te passen. Volgens Google is de aanval mogelijk doordat de afstand tussen rijen van dram-geheugen steeds kleiner wordt. Het techbedrijf heeft met partijen in de halfgeleiderindustrie overlegd om te zoeken naar oplossingen voor het Rowhammer-fenomeen. "We publiceren dit onderzoek omdat we denken dat het de kennis over het Rowhammer-fenomeen vergroot en zowel onderzoekers als industriepartners zal helpen om samen oplossingen te ontwikkelen", aldus Salman Qazi van Google. bron: https://www.security.nl

Sinds 2018 waarschuwt Firefox gebruikers voor websites die zijn getroffen door een bekend datalek, maar dat zal in de toekomst deels veranderen. Voorheen kregen gebruikers een pop-up te zien wanneer de bezochte website recentelijk aan datalekzoekmachine Have I Been Pwned was toegevoegd. Vervolgens werd de gebruiker opgeroepen om via Firefox Monitor te controleren of zijn account was gecompromitteerd. Firefox toonde altijd een waarschuwing, ongeacht het soort gestolen data. Om de ruis die dit soort meldingen kunnen veroorzaken tegen te gaan zal Firefox nu alleen nog waarschuwingen tonen bij datalekken waarbij wachtwoorden zijn gelekt. "Hoewel we alle persoonlijke data belangrijk vinden, zorgen de waarschuwingen voor al deze datalekken voor ruis waar lastig op te reageren is. Een betere oplossing is om alleen te waarschuwen wanneer het belangrijk is om in actie te komen om je data te beschermen", zegt Luke Crouch van Mozilla. Gebruikers die voor alle datalekken een waarschuwing willen ontvangen kunnen zich aanmelden voor Firefox Monitor. bron: https://www.security.nl

De Duitse mededingingsautoriteit is een onderzoek gestart naar de voorwaarden waaronder Google de gegevens van gebruikers verwerkt en de marktpositie van het techbedrijf. De afgelopen maanden lanceerde het Bundeskartellamt soortgelijke onderzoeken naar Amazon en Facebook. Volgens de mededingingsautoriteit moeten gebruikers bij het gebruik van Googles diensten altijd akkoord gaan met bepaalde voorwaarden waarin de dataverwerking door Google staat uitgelegd. Het Bundeskartellamt zal nu onderzoeken in hoeverre de voorwaarden Google in staat stellen om data over meerdere diensten te verwerken en wat de impact van het beleid is op de informatie die via third-party websites en apps wordt verkregen. Ook kijkt de mededingingsautoriteit welke keuze gebruikers eigenlijk hebben als het gaat om de verwerking van hun data door Google. Verder wordt de marktpositie van Google onder de loep genomen, waarbij de toezichthouder wijst naar de dominantie van diensten zoals Google Search, Android, YouTube en Google Maps. "Het businessmodel van Google is voor een groot deel afhankelijk van het verwerken van gegevens van gebruikers", zegt Andreas Mundt, voorzitter van het Bundeskartellamt. Door de toegang die het techbedrijf heeft tot de gegevens van gebruikers geniet het een strategisch voordeel ten opzichte van concurrenten. De mededingingsautoriteit richt zich daarom met name op de dataverwerkingsvoorwaarden. "Een belangrijke vraag in deze context is of gebruikers die van Googles diensten gebruik willen maken voldoende keuze hebben in hoe Google hun data zal gebruiken", aldus Mundt. bron: https://www.security.nl

Quizsite DailyQuiz.me, voorheen bekend als ThisCrush.com, blijkt in januari te zijn getroffen door een datalek, waardoor aanvallers toegang kregen tot de gegevens van acht miljoen accounts, waaronder wachtwoorden in plaintext. Dat laat beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned weten. Via DailyQuiz kunnen gebruikers allerlei quizzen doen. In januari van dit jaar kreeg een aanvaller toegang tot de gebruikersdatabase van de site. Die bevatte meer dan acht miljoen unieke e-mailadressen, ip-adressen en wachtwoorden die in plaintext waren opgeslagen, aldus Hunt. Hoewel veel websites het hashen van wachtwoorden toepassen zijn er ook nog altijd sites die ze in plaintext opslaan. Dit is met name een risico voor gebruikers die hun wachtwoord op meerdere websites hergebruiken. De buitgemaakte data wordt sinds januari op een forum te koop aangeboden. Hunt heeft de meer dan acht miljoen gestolen e-mailadressen toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of hun accounts onderdeel van een datalek zijn geworden. Van de buitgemaakte e-mailadressen was 55 procent al via een ander datalek bij de zoekmachine bekend. DailyQuiz laat inmiddels een waarschuwing zien waarin gebruikers worden opgeroepen om hun wachtwoord aan te passen. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP die een kwetsbare versie van Hybrid Backup Sync (HBS 3) draaien zijn sinds de week van 19 april het doelwit van ransomware-aanvallen. Daarvoor waarschuwt de NAS-fabrikant in een security advisory. HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. De software bevat echter een hardcoded wachtwoord waarmee een aanvaller op afstand op het systeem kan inloggen. QNAP stelt dat het om een ernstig beveiligingslek gaat, aangeduid als CVE-2021-28799. Op 22 april kwam QNAP met een waarschuwing en stelde dat er beveiligingsupdates waren uitgerold om het probleem te verhelpen. De Qlocker-ransomware blijkt van dit beveiligingslek misbruik te maken om kwetsbare NAS-systemen te infecteren. Eenmaal actief verplaatst de ransomware bestanden op het NAS-systeem naar een met wachtwoord beveiligd 7z-bestand. Slachtoffers moeten vervolgens 0,01 bitcoin betalen voor het ontsleutelen van hun bestanden. De eerste meldingen van getroffen gebruikers dateren van 20 april. Honderden QNAP-gebruikers zouden de afgelopen weken door de Qlocker-ransomware zijn getroffen en bij elkaar 350.000 dollar losgeld hebben betaald. De bende achter deze ransomware zou inmiddels zijn gestopt. Slachtoffers kunnen daardoor niet meer het losgeld betalen om hun data terug te krijgen. Meerdere QNAP-gebruikers vonden dat ze niet goed door de NAS-fabrikant werden geholpen. Het ging onder andere om lange wachttijden voor de helpdesk. Vandaag komt QNAP met een update over de aanvallen door Qlkocker en stelt dat de ransomware misbruik maakt van het eerder genoemde lek in HBS 3. Gebruikers wordt dan ook opgeroepen om naar een nieuwere versie van de software te updaten. bron: https://www.security.nl

Microsoft stopt op 15 juni 2022 met de support van Internet Explorer 11, zo heeft het techbedrijf aangekondigd. Alleen op Windows 7, Windows 8,1, Windows 10 LTSC en Windows 10 Server blijft Microsoft de browser ondersteunen. Op alle andere Windowsversie zal IE11 worden vervangen door Edge. Volgens Microsoft is Edge niet alleen veiliger en biedt het een modernere browse-ervaring, het ondersteunt via de Internet Explorer-mode ook legacy websites en applicaties. Als eerste zullen Microsoft 365 en andere applicaties van het techbedrijf Internet Explorer 11 vanaf 17 augustus dit jaar niet meer ondersteunen. Op 15 juni 2022 zal daarna de support van de browser volledig worden beëindigd. Thuisgebruikers die nog met Internet Explorer 11 werken worden opgeroepen om voor volgend jaar 15 juni naar Edge over te stappen. In het geval van organisaties kan het zijn dat die nog van honderden legacy IE-gebaseerde websites en apps gebruikmaken. Voor deze organisaties heeft Microsoft een stappenplan opgesteld en laat weten dat de Internet Explorer-mode in Edge tot minstens 2029 zal worden ondersteund. bron: https://www.security.nl

Google gaat de informatie die Chrome via de user-agent verstuurt pas volgend jaar beperken, zo laat het techbedrijf weten. De user-agent-string die met elk http-request wordt verstuurd bevat informatie over onder andere het besturingssysteem van de gebruiker, gebruikte browser en versienummer, apparaatmodel en onderliggende architectuur. De combinatie van deze parameters en grote aantal mogelijke waardes zorgt ervoor dat internetgebruikers alleen aan de hand van hun User-Agent zijn te identificeren. Iets wat de via de website AmIUnique.org is te testen. Ook Google stelt dat de user-agent het fingerprinten van gebruikers mogelijk maakt. Daarnaast kan het voor compatibiliteitsproblemen zorgen wanneer browsers verkeerde informatie via de user-agent doorgeven. Iets wat volgens Google voornamelijk bij kleinere browsers het geval is. Begin vorig jaar kondigde Google het plan aan om de informatie die via de user-agent wordt verstrekt te beperken. Websites zullen dan niet meer zien welke specifieke browserversie of besturingssysteem iemand gebruikt. Straks zal alleen nog worden weergegeven dat het bijvoorbeeld om een Android-, macOS- of Windows-gebruiker gaat die van Chrome 93 gebruikmaakt, waarbij het specifieke versienummer niet meer wordt meegestuurd. Zo kunnen websites nog steeds zien dat het om een mobiele of desktopgebruiker gaat en welke browser en besturingssysteem hij gebruikt. Wanneer meer informatie is vereist wijst Google naar het gebruik van user-agent client hints. Deze oplossing biedt toegang tot dezelfde informatie als de normale user-agent, maar dan op een privacyvriendelijke manier waarmee wordt voorkomen dat de browser standaard alles uitzendt, zo stellen de bedenkers. Oorspronkelijk was Google van plan om de beperkingen vorig jaar al door te voeren, maar zag daar vanwege de coronapandemie vanaf. Vandaag meldt het techbedrijf dat het van plan is om de uitfasering van de user agent gefaseerd door te voeren. Om ontwikkelaars en het web-ecosysteem voldoende tijd te geven om hierop te reageren is echter besloten dat de user-agent van de releaseversie van Chrome dit jaar niet zal worden aangepast. Wanneer de uitfasering precies plaatsvindt wordt later bekendgemaakt. Apple Safari en Mozilla Firefox hebben al beperkingen aan de user-agent doorgevoerd. bron: https://www.security.nl