Captain Kirk

Volgende week dinsdag 24 augustus komt OpenSSL met een belangrijke beveiligingsupdate, de tweede van dit jaar. Dat heeft het OpenSSL Project Team aangekondigd. De patch verhelpt één of meerdere kwetsbaarheden waarvan de impact als "high" is bestempeld. Zelden worden er kwetsbaarheden met een dergelijke impact in OpenSSL gevonden. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen. Via kritieke kwetsbaarheden kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt. In maart van dit jaar kwam OpenSSL met een beveiligingsupdate die twee high-kwetsbaarheden verhielp. Vorig jaar werden twee OpenSSL-kwetsbaarheden verholpen waarvan de impact als high was beoordeeld. In 2018 en 2019 werden er geen kwetsbaarheden in de high-categorie ontdekt. Details over het probleem dat aanstaande dinsdag wordt gepatcht zijn nog niet openbaar. OpenSSL versie 1.1.1l verschijnt aanstaande dinsdag 24 augustus tussen 14:00 en 18:00 uur Nederlandse tijd. bron: https://www.security.nl

Een kritieke kwetsbaarheid in BlackBerry QNX vormt een risico voor systemen die in de vitale infrastructuur worden gebruikt, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. BlackBerry QNX is een real-time operating system (RTOS) dat binnen allerlei systemen van ziekenhuizen, auto's en vitale infrastructuur wordt gebruikt. In april van dit jaar meldde Microsoft dat het een reeks kwetsbaarheden in Internet of Things (IoT)- en Operational Technology (OT)-apparaten had ontdekt met de noemer BadAlloc. De beveiligingslekken doen zich voor bij het toewijzen van geheugen en kunnen ervoor zorgen dat een aanvaller systemen kan laten crashen of overnemen. BlackBerry QNX is ook kwetsbaar voor BadAlloc en dat kan grote gevolgen hebben, waarschuwt het CISA. "BlackBerry QNX RTOS wordt binnen een groot aantal producten gebruikt waarvan compromittering ervoor kan zorgen dat een aanvaller controle over zeer gevoelige systemen kan krijgen, wat het risico voor de kritieke functies van het land vergroot." Organisaties binnen de vitale infrastructuur worden opgeroepen hun systemen te patchen. Tegelijkertijd heeft ook de Amerikaanse Food & Drug Administration een beveiligingsbulletin afgegeven waarin het stelt dat de kwetsbaarheid in BlackBerry QNX gevolgen voor medische apparatuur kan hebben. Anonieme bronnen laten tegenover Politico weten dat BlackBerry in eerste instantie ontkende dat de eigen producten kwetsbaar voor BadAlloc waren en later geen publieke aankondiging wilde doen. Iets waar het uiteindelijk op terugkwam. In een reactie stelt BlackBerry dat het klanten direct informeert over kwetsbaarheden, maar dat het aanpassingen aan dit proces zal doorvoeren om klanten beter te bedienen. bron: https://www.security.nl

Veel aanvallen met ransomware en andere vormen van malware zijn niet complex en maken gebruik van tools en exploits die al jaren bekend zijn, wat aantoont dat organisaties hun basale beveiligingsmaatregelen op orde moeten hebben en houden, zo stelt Microsoft. Eén van die maatregelen is het sneller installeren van beveiligingsupdates. Volgens Microsoft zal volledige "patch coverage" binnen 48 uur de cybersecurity van een organisatie merkbaar verbeteren. Daarbij wordt aangeraden om servers zo snel mogelijk te patchen, met een focus op de belangrijkste systemen, zoals domeincontrollers. Naast updates voor besturingssystemen moeten ook de applicaties niet worden vergeten. "Het patchen van applicaties is net zo belangrijk", aldus het techbedrijf. Daarnaast moet de blootstelling vanaf het internet worden beperkt, bijvoorbeeld via firewalls of het gebruik een vpn-verbinding die alleen via tweefactorauthenticatie werkt. Een ander bekend advies is het verminderen van het aantal gebruikers met bijvoorbeeld adminprivileges en andere hoge rechten. Om het aanvallen van systeembeheerders lastiger te maken kunnen organisaties ervoor kiezen om hen uit te rusten met aparte, extra beveiligde apparaten voor het uitvoeren van onderhoudswerkzaamheden. Afsluitend wordt aangeraden om oude legacy systemen te vervangen en logbestanden te analyseren. "Als je het lastiger dan gemiddeld kan maken, zullen aanvallers met weinig vaardigheden vaak snel opgeven en een volgend doelwit zoeken. Een focus op de basismaatregelen draagt bij aan het beschermen van de meeste mkb-bedrijven", zegt Alan Johnstone van Microsoft. bron: https://www.security.nl

Microsoft waarschuwt voor een nieuwe kwetsbaarheid in de Windows Print Spooler, het onderdeel van Windows dat verantwoordelijk is voor het verwerken van printjobs. Via het beveiligingslek kan een aanvaller willekeurige code op afstand uitvoeren. Een beveiligingsupdate is nog niet beschikbaar en details van de kwetsbaarheid zijn al openbaar gemaakt. Via het beveiligingslek, aangeduid als CVE-2021-36958, kan een aanvaller willekeurige code met systeemrechten uitvoeren. Als tijdelijke oplossing adviseert Microsoft om de Print Spooler service te stoppen. Dit heeft tot gevolg dat er niet meer lokaal en remote kan worden geprint. Microsoft zegt aan een beveiligingsupdate te werken. Wanneer die beschikbaar komt is nog niet bekend. De afgelopen maanden werden meerdere kwetsbaarheden in de Windows Print Spooler gevonden, die uiteindelijk onder de noemer PrintNightmare werden geschaard. Vanwege deze kwetsbaarheden besloot Microsoft deze maand nog de installatie van printerdrivers via de Point and Print-feature aan te passen. bron: https://www.security.nl

Onderzoekers waarschuwen voor ransomware die zowel NAS-systemen van QNAP als Synology kan infecteren. Het gaat om de eCh0raix-ransomware. Eerdere versies van deze ransomware werden apart ingezet tegen of QNAP of Synology NAS-systemen. De nu ontdekte variant kan apparaten van beide fabrikanten aanvallen. In het geval van QNAP-systemen maakt de ransomware hiervoor gebruik van een kwetsbaarheid in Hybrid Backup Sync (HBS 3). HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. Op 22 april kwam QNAP met een waarschuwing en stelde dat er beveiligingsupdates waren uitgerold om het probleem te verhelpen. In mei werd het beveiligingslek vervolgens misbruik door de Qlocker-ransomware. Nu hebben ook de ontwikkelaars van de eCh0raix-ransomware deze kwetsbaarheid aan hun arsenaal toegevoegd, meldt securitybedrijf Palo Alto Networks. In het geval van de Synology NAS-systemen wordt geen aanvalsvector genoemd, maar vorige week kwam Synology zelf met een waarschuwing dat NAS-systemen het doelwit van bruteforce-aanvallen waren waarbij veelgebruikte beheerderswachtwoorden werden geprobeerd. Het securitybedrijf stelt op basis van eigen onderzoek dat er zo'n 240.000 NAS-systemen van QNAP vanaf het internet toegankelijk zijn en zo'n 3500 van Synology. In het geval van een succesvolle aanval worden bestanden op het NAS-systeem versleuteld en moeten slachtoffers losgeld betalen voor het ontsleutelen. bron: https://www.security.nl

Mozilla heeft een nieuwe optie aan Firefox toegevoegd die het eenvoudig voor gebruikers moet maken om cookies en supercookies die door websites en trackers zijn geplaatst te verwijderen. Eerder werd Firefox al voorzien van Total Cookie Protection, waarbij alle cookies en data van een website in een aparte "cookie jar" binnen de browser worden opgeslagen. Door middel van Enhanced Cookie Clearing, beschikbaar in Firefox 91, is het mogelijk om per website de inhoud van de cookie jar te legen. "Deze "Enhanced Cookie Clearing" maakt het eenvoudig om alle sporen van een website in je browser te verwijderen, zonder de mogelijkheid dat sneaky third-party cookies achterblijven", zegt Mozillas Paul Zühlcke. Om van de feature gebruik te kunnen maken moet wel de Strict Tracking Protection zijn ingeschakeld. bron: https://www.security.nl

Microsoft heeft een oplossing uitgerold voor verschillende kwetsbaarheden in de Windows Print Spooler service die onder de verzamelnaam PrintNightmare bekendstaan. Voortaan is het niet meer mogelijk voor standaardgebruikers om nieuwe printers te installeren of bij te werken via drivers op een andere computer of server. Dit is alleen nog mogelijk wanneer de gebruiker over beheerdersrechten beschikt. Via Point en Print kunnen gebruikers verbinding met een remote printer maken en via de printserver de vereiste drivers downloaden. Onderzoekers lieten in juni zien hoe kwetsbaarheden in de Windows Print Spooler service gebruikt kunnen worden om op afstand code uit te voeren en systeemrechten te krijgen. Microsoft kwam met een update voor het deel dat het uitvoeren van code mogelijk maakt. Het verhogen van rechten was nog steeds mogelijk. In juli waarschuwden onderzoekers dat het via Point and Click mogelijk is om malafide printerdrivers te installeren waarmee een standaardgebruiker systeemrechten kan krijgen. Om dit tegen te gaan vereist Point and Print voortaan beheerdersrechten. "Ons onderzoek naar verschillende kwetsbaarheden met de naam "PrintNightmare" heeft uitgewezen dat het standaard gedrag van Point and Click klanten niet het vereiste beveiligingsniveau tegen potentiële aanvallen biedt", aldus Microsoft, dat toevoegt dat het nu de driverinstallatie via de feature heeft aangepast. Beveiligingsonderzoeker Benjamin Delpy laat echter op Twitter weten dat het via de feature nog steeds mogelijk voor een standaardgebruiker is om systeemrechten te krijgen. bron: https://www.security.nl

De volgende versie van Firefox die vandaag verschijnt beschikt over een feature die ervoor zorgt dat websites in Private Browsing standaard via https worden geladen, zo heeft Mozilla bekendgemaakt. Wanneer de gebruiker op een link klinkt die met http begint probeert Firefox eerst een https-verbinding op te zetten. Ondersteunt de website in kwestie geen https dan valt Firefox terug op http. Mozilla stelt dat HTTPS by Default, zoals de feature heet, niet geldt voor afbeeldingen, styles en scripts van de bezochte website. "Het zorgt er alleen voor dat de pagina zelf zo veilig mogelijk wordt geladen", aldus Mozillas Christoph Kerschbaumer. De Firefox-ontwikkelaar verwacht dat HTTPS by Default de komende maanden ook buiten de Private Browsing-mode van Firefox beschikbaar zal komen. bron: https://www.security.nl

NAS-fabrikant Synology waarschuwt gebruikers voor een botnet dat bruteforce-aanvallen uitvoert op NAS-systemen die vanaf het internet toegankelijk zijn. Bij de aanvallen probeert het botnet veelgebruikte beheerderswachtwoorden te raden. Is de bruteforce-aanval succesvol dan wordt de StealthWorker-malware geïnstalleerd. Ook zouden de aanvallers ransomware kunnen installeren, stelt Synology. De NAS-fabrikant meldt verder dat de aanvallers besmette systemen voor het aanvallen van andere NAS-systemen kunnen inzetten. Synology werkt inmiddels samen met verschillende CERT-organisaties om de command & control-servers van de malware uit te schakelen. Tevens zegt het bedrijf getroffen klanten te zullen informeren. NAS-beheerders worden aangeraden om hun systemen op zwakke wachtwoorden te controleren en "multi-step" authenticatie in te schakelen. bron: https://www.security.nl

De AVG staat het controleren van afbeeldingen zoals Apple in de Verenigde Staten van plan is niet toe. Dat zegt Peter Kager van adviesbureau ICTRecht tegenover BNR. Ook is het volgens Kager helemaal geen taak van Apple om afbeeldingen te scannen op kindermisbruik, aangezien dat een taak is van politie en andere opsporingsinstanties. "In Europa zitten we met de AVG, zoals het er nu voor staat steekt die hier een stokje voor, om de eenvoudige redenen dat dit niet de taak van Apple is", aldus Kager. Het techbedrijf wil in de Verenigde Staten foto's die naar iCloud Photos worden geüpload controleren, alsmede afbeeldingen die minderjarige iMessage-gebruikers ontvangen en versturen. Apple mag de technologie dan niet van de AVG toepassen, het zou die wel in Europa kunnen inschakelen aangezien toezichthouders achteraf handhaven. Kager stelt afsluitend dat een andere optie het opstellen van nieuwe wetgeving is. "Een private organisatie die helpt bij de handhaving, zoals Apple, zou kunnen, maar dan moet daar wel wetgeving voor komen. Iedereen is het erover eens dat hier iets tegen gedaan moet worden. De vraag is alleen of dat bij Apple gedaan moet worden." Daarnaast zijn critici bang dat de techniek ook voor andere doeleinden kan worden ingezet dan de bestrijding van kindermisbruik. bron: https://www.security.nl

Aanvallers zijn begonnen met het scannen van Microsoft Exchange-servers op de de ProxyShell-kwetsbaarheden nadat vorige week tijdens de Black Hat-conferentie in Las Vegas details over de beveiligingslekken werden gedeeld. Dat melden het Computer Security Incident Response Team (CERT) van de Zwitserse overheid en verschillende beveiligingsonderzoekers op Twitter. Microsoft kwam in april en mei met beveiligingsupdates voor de kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Door de beveiligingslekken te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Tijdens de Pwn2Own-wedstrijd in april werden de kwetsbaarheden gedemonstreerd door securitybedrijf DEVCORE, dat een beloning van 200.000 dollar hiervoor ontving. Beveiligingsonderzoeker Orange Tsai van DEVCORE gaf tijdens de Black Hat-conferentie een presentatie over de kwetsbaarheden (pdf). Tsai ontdekte ook de ProxyLogon-kwetsbaarheid die eerder dit jaar op grote schaal werd gebruikt voor het aanvallen van Microsoft Exchange-servers. De onderzoeker stelt dat ProxyLogon slechts het top van de ijsberg is. "Vanuit een architectuurniveau gezien is ProxyLogon geen kwetsbaarheid, maar een compleet nieuw aanvalsoppervlak dat nog niet eerder door iemand is genoemd. Het aanvalsoppervlak zorgt ervoor dat hackers of beveiligingsonderzoekers meer kwetsbaarheden kunnen vinden." Volgens de onderzoekers gaat het bij zowel ProxyShell als ProxyLogon om logicafouten die eenvoudiger zijn te reproduceren en te misbruiken dan geheugenkwetsbaarheden. Een dag na de presentatie lieten andere beveiligingsonderzoekers weten dat het gelukt was om aan de hand van de gegeven informatie een exploit te ontwikkelen. Op dezelfde dag meldde beveiligingsonderzoeker Kevin Beaumont dat hij actief misbruik van de kwetsbaarheden zag. Iets dat gisteren door het Zwitserse CERT is bevestigd. Hoeveel Microsoft Exchange-servers ondanks de beschikbare beveiligingsupdates kwetsbaar zijn is onbekend. Tsai stelt op basis van eigen onderzoek dat meer dan 400.000 Exchange-servers vanaf het internet toegankelijk zijn. bron: https://www.security.nl

Vorige maand kwam Cisco met een waarschuwing voor een kwetsbaarheid in de Adaptive Security Device Manager (ASDM) waardoor remote code execution (RCE) mogelijk is, maar in een update van de security advisory meldt het netwerkbedrijf dat er nog geen beveiligingsupdate beschikbaar is. De Adaptive Security Device Manager is een oplossing voor het beheren van Cisco Adaptive Security Appliance (ASA) firewalls en de Cisco AnyConnect Secure Mobility vpn-client. Beheerders installeren de ASDM-launcher op hun systeem en kunnen zo de ASA-firewalls en AnyConnect-vpn beheren. Een kwetsbaarheid zorgt ervoor dat er geen goede controle plaatsvindt van de digitale handtekening van de code die tussen de launcher en ASDM wordt uitgewisseld. Een aanvaller met een man-in-the-middle-positie tussen de launcher en ASDM kan zo willekeurige code uitvoeren op het systeem waar de laucher is geïnstalleerd. Om de aanval mogelijk te maken moet er wel een verbinding van de gebruiker met de ASDM zijn. De security advisory voor deze kwetsbaarheid verscheen op 7 juli. Vorige week meldde Cisco dat er nog altijd geen beveiligingsupdate voor beschikbaar is. Ook zijn er geen workarounds die organisaties kunnen toepassen. Wanneer de patch zal verschijnen is nog onbekend. bron: https://www.security.nl

Een kwetsbaarheid in Arcadyan gebaseerde modems/routers, waaronder de ExperiaBox V10A en de VGV7519-router van KPN, wordt actief aangevallen. Dat stelt netwerkbedrijf Juniper in een analyse. Het beveiligingslek, CVE-2021-20090, bevindt zich in de webinterface van de Arcadyan-firmware en zorgt ervoor dat een aanvaller door middel van path traversal de authenticatie kan omzeilen. Via de kwetsbaarheid is het mogelijk om de routerconfiguratie aan te passen en een Telnet-shell in te schakelen om toegang te behouden. Volgens securitybedrijf Tenable is de kwetsbaarheid al zeker tien jaar in de firmware van Arcadyan aanwezig en is zodoende terechtgekomen in twintig modellen modems/routers van zeventien verschillende leveranciers. De apparaten in kwestie worden door zeker dertien internetproviders in elf landen gebruikt. Juniper meldt nu dat aanvallers de kwetsbaarheid gebruiken om apparaten met een variant van de Mirai-malware te infecteren. Via het beveiligingslek schakelen de aanvallers Telnet in en installeren vervolgens de malware. Het apparaat wordt zo onderdeel van een botnet. Waarvoor besmette apparaten worden gebruikt laat Juniper niet weten, maar in het verleden werden met Mirai besmette apparaten voor onder andere ddos-aanvallen ingezet. KPN liet vorige maand al aan Security.NL weten dat het beveiligingslek in de ExperiaBox V10A en de VGV7519-router is gepatcht. Daarnaast is de webinterface bij de KPN-apparaten niet toegankelijk vanaf het internet. bron: https://www.security.nl

Een kwetsbaarheid in de Amazon Kindle maakte het mogelijk om de e-reader via een malafide e-book over te nemen. Alleen het openen van een malafide e-book was voldoende om een aanvaller de controle over het apparaat te geven en aanwezige accountgegevens te stelen, het apparaat als bot te gebruiken of andere apparaten in het netwerk aan te vallen. Dat meldt securitybedrijf Check Point in een analyse. Onderzoekers van het bedrijf ontdekten een probleem in de Kindle bij het decoderen van afbeeldingen die via JBIG2 zijn gecomprimeerd. JBIG2 is een standaard voor het comprimeren van afbeeldingen. Een kwetsbaarheid in het gebruikte algoritme zorgt voor een heap overflow, waardoor het mogelijk is om willekeurige code binnen het proces van de pdf-lezer van de e-reader uit te voeren. De volgende stap was het vinden van een kwetsbaarheid om de rechten te verhogen en zo code als root uit te voeren. Dat bleek mogelijk via de applicatiemanager, die verantwoordelijk is voor het starten van de ingebouwde apps en met rootrechten draait. De Kindle maakt gebruik van een database waarin allerlei applicaties staan vermeld, zoals de browser. Het is mogelijk om de inhoud van deze database aan te passen ontdekten de onderzoekers. Zo vervingen ze de verwijzing naar de browser door hun eigen code en riepen die vervolgens via de applicatiemanager aan. Zo werd de malafide code met rootrechten uitgevoerd. Amazon werd in februari door Check Point over de twee kwetsbaarheden ingelicht en rolde in april firmwareversie 5.13.5 uit waarin de problemen zijn verholpen. bron: https://www.security.nl

Verschillende techbedrijven waaronder Amazon, Google en Microsoft sluiten zich aan bij een initiatief van de Amerikaanse overheid om de Amerikaanse vitale infrastructuur tegen ransomware-aanvallen te beschermen. Het Joint Cyber Defense Collaborative (JCDC) zal samen met het bedrijfsleven en overheidsinstanties de cyberverdediging van organisaties versterken en de impact van aanvallen proberen te beperken. Ook zullen de private en publieke sector samen oefeningen uitvoeren en aan een nationaal cyberdefensieplan werken. Op dit moment hebben Amazon, ATT, CrowdStrike, Mandiant, Google, Microsoft, Lumen, Palo Alto Networks en Verizon zich bij het JCDC aangesloten. "We hebben bedrijven uit alle vitale sectoren nodig", zegt Jen Easterly, directeur van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat het initiatief leidt. De afgelopen jaren zijn tal van Amerikaanse steden, schooldistricten en bedrijven het slachtoffer van ransomware geworden. Na recente aanvallen op onder andere de Colonial Pipeline en vleesverwerker JBS liet de Amerikaanse overheid weten dat het allerlei maatregelen zou gaan treffen om ransomware aan te pakken en de cybersecurity van de vitale infrastructuur te versterken. bron: https://www.security.nl

Facebook heeft de accounts, apps, pagina's en toegang van verschillende onderzoekers die onderzoek deden naar politieke advertenties en de verspreiding van desinformatie op het platform gesloten. Volgens Facebook schonden de onderzoekers de privacy van gebruikers, maar dat is volgens hen en Mozilla grote onzin. De accounts in kwestie waren van onderzoekers van de Universiteit van New York. Ze ontwikkelden een tool genaamd Ad Observer. Het betreft een extensie voor Google Chrome en Mozilla Firefox die aan gebruikers laat zien wie erachter een bepaalde advertentie op Facebook zit en waarom de gebruiker die te zien krijgt. De onderzoekers willen hiermee naar eigen zeggen voor meer transparantie op het platform zorgen. Volgens Facebook omzeilden de onderzoekers met deze browser-extensie de detectiesystemen van de sociale netwerksite scrapeten ze data zoals gebruikersnamen, advertenties, links naar gebruikersprofielen en andere informatie. Ook verzamelde de extensie data over Facebookgebruikers die hem niet hadden geïnstalleerd of toestemming voor het verzamelen hadden gegeven, aldus Facebook. Het techbedrijf stelt dat het de onderzoekers vorig jaar al waarschuwde dat de extensie in overtreding van de voorwaarden was en het probeerde om tot een oplossing te komen. Volgens Facebook wilden de onderzoekers door blijven gaan met het scrapen van data en kon het dit niet toestaan, waarop de accounts en andere zaken zijn gesloten. "Facebook snoert ons de mond omdat ons werk vaak problemen op het platform blootlegt. Het ergste is nog wel dat Facebook de privacy van gebruikers als excuus voor deze actie gebruikt", zegt onderzoeker Laura Edelson. Ze merkt op dat de onderzoekers de privacy van gebruikers altijd de hoogste prioriteit hebben gegeven. "Wat deze situatie duidelijk maakt is dat Facebook niet de macht moet hebben over wie het mag bestuderen." Mozilla noemt de claims van Facebook ongegrond. De Firefox-ontwikkelaar heeft naar eigen zeggen de code van de Ad Observer-extensie twee keer zelf onderzocht en besloot die aan gebruikers aan te raden omdat de extensie de privacy van gebruikers respecteert en transparantie ondersteunt. "Het verzamelt geen persoonlijke berichten of informatie over je vrienden. En het stelt geen gebruikersprofiel van je samen", laat Mozilla weten. Daarnaast laat de extensie zien welke informatie het verzamelt. Volgens de browserontwikkelaar blijven grote platforms zoals Facebook een plek bieden voor desinformatie en extremisme die grote gevolgen hebben voor mensen, verkiezingen en de samenleving. "We hebben tools zoals Ad Observer nodig om een licht te werpen op de donkerste plekken van het web. En in plaats van het belemmeren van pogingen om platformen aansprakelijk te houden, moeten we allemaal samenwerken om deze tools te ondersteunen en verbeteren", aldus Mozilla bron: https://www.security.nl

Mozilla heeft de afgelopen jaren allerlei privacyfeatures aan Firefox toegevoegd, maar dat heeft niet kunnen voorkomen dat de browser ruim 46 miljoen gebruikers verloor. En dat kan slecht zijn voor de concurrentie op de browsermarkt, aangezien andere browsers zoals Chrome en Edge gebruikmaken van het door Google ontwikkelde Chromium. Eind 2018 telde Firefox meer dan 244 miljoen gebruikers. Een aantal dat eind juli naar een kleine 198 miljoen is gedaald. Volgens StatCounter heeft Google Chrome op de desktop een marktaandeel van bijna zeventig procent, gevolgd door Safari, Edge en Firefox. Mozillas browser is inmiddels door zowel Safari als Microsoft Edge ingehaald. In Nederland heeft Firefox op de desktop nog een aandeel van 7,3 procent. Al in 2018 luidde Mozilla de noodklok over een nieuw browsermonopolie door het stijgende gebruik van op Chromium-gebaseerde browsers. Chromium is een door Google ontwikkelde opensourcebrowser die de basis voor Google Chrome en andere browsers vormt. Google is al de dominante speler in de markt voor zoekmachines en heeft met Chrome ook de meestgebruikte browser. "Als Mozilla morgen zou verdwijnen, zou Google bijna een volledig monopolie hebben over hoe wij allemaal het web op Windows en Android ervaren. Een enorm gecombineerd marktaandeel", aldus Mozilla-ceo Mitchell Baker destijds. Een ander probleem is dat het kleiner wordende marktaandeel van Firefox ervoor zorgt dat webontwikkelaars en bedrijven geen rekening meer met Firefox houden en zich alleen op Chrome richten. "We concurreren niet met Google omdat het een goede zakelijke kans is. We concurreren met Google omdat de gezondheid van het internet en online leven afhankelijk is van concurrentie en keuze", liet Mozilla eerder al weten. bron: https://www.security.nl

Onderzoekers hebben aangetoond hoe Windows Hello via een infraroodopname van het slachtoffer en een aangepaste usb-camera is te omzeilen. Microsoft heeft gisteren beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Windows Hello laat gebruikers onder andere via biometrische authenticatie inloggen. Zo kunnen gebruikers bijvoorbeeld via een gezichtsscan toegang tot het systeem krijgen. Onderzoekers van securitybedrijf CyberArk besloten zich op de zwakke schakel in dit proces te richten, wat volgens hen de biometrische sensor van de camera is. Deze sensor verstuurt de beeldinformatie door naar het besturingssysteem, waarna Windows Hello de beslissing maakt om de gebruiker in te loggen of te weigeren. Het manipuleren van deze informatie zou het mogelijk maken om de authenticatie van Windows Hello te omzeilen. Wanneer een gebruiker via een gezichtsscan inlogt gebruikt Windows Hello de infraroodframes van de camera. Door frames van het slachtoffer af te spelen is het mogelijk om de authenticatie te omzeilen, zo ontdekten de onderzoekers. Hiervoor zijn er twee opties. Of een aanvaller bemachtigt een infraroodframe van het slachtoffer of zet een normaal RGB-frame om naar een infraroodframe. Verder blijkt dat één infraroodframe van het slachtoffer en één zwart frame, die vervolgens naar het systeem worden gestuurd, voldoende zijn om Windows Hello te laten geloven dat het de gebruiker is die inlogt. Deze frames kunnen via een usb-bordje naar de computer worden verzonden, die ze vervolgens voor de authenticatiepoging gebruikt. "Het onderzoek heeft laten zien hoe een systeem, zoals Windows Hello, dat impliciet invoer van aangesloten apparaten vertrouwt zichzelf blootstelt aan kwetsbaarheden. Deze invoer kan in bepaalde gevallen "publieke data" bevatten zoals het gezicht van iemand, wat voor beveiligingsproblemen kan zorgen", stelt onderzoeker OmerTsarfati. Microsoft werd op 23 maart van dit jaar over de kwetsbaarheid ingelicht en bevestigde die een maand later. Gisteren werd de beveiligingsupdate uitgerold. De ernst van het beveiligingslek is op een schaal van 1 tot en met 10 met een 5,7 beoordeeld. Tijdens de komende Blackhat-conferentie in augustus zullen de onderzoekers hun bevindingen demonstreren. bron: https://www.security.nl

Een zerodaylek in de FTP-software van SolarWinds is misbruikt door een uit China opererende groep, zo stelt Microsoft. Het techbedrijf ontdekte de kwetsbaarheid in Serv-U en waarschuwde SolarWinds, dat vorige week met beveiligingsupdates kwam. Via het beveiligingslek kan een aanvaller op afstand willekeurige code op de server uitvoeren, waaronder het installeren van malware of het bekijken en aanpassen van data. De aanval is alleen mogelijk wanneer de Serv-U-server via SSH toegankelijk is. Volgens Microsoft is een vanuit China opererende groep, die het aanduidt als DEV-0322, voor de zeroday-aanvallen verantwoordelijk. De groep heeft het voorzien op Amerikaanse defensiebedrijven en softwarebedrijven, stelt Microsoft verder. Voor de aanvallen maakt de groep onder andere gebruik van commerciële vpn-diensten en gecompromitteerde consumentenrouters. Microsoft geeft daarnaast informatie over hoe organisaties die met Serv-U werken kunnen zien of hun server mogelijk gecompromitteerd is. Zo blijken de aanvallers onder andere een global user aan Serv-U toe te voegen. Verder zijn er verschillende Indicators of Compromise gegeven, zoals ip-adressen. bron: https://www.security.nl

Microsoft heeft tijdens de patchdinsdag van juli meerdere actief aangevallen zerodaylekken in Windows verholpen. Het gaat om een kwetsbaarheid in de Windows Scripting Engine waardoor een aanvaller code op het systeem kan uitvoeren. Alleen het bezoeken van een gecompromitteerde of malafide website is in dit geval voldoende. Bij eerdere Scripting Engine-lekken moest er gebruik worden gemaakt van IE of Edge, maar dat laat Microsoft nu niet weten. Het lek is aanwezig in alle ondersteunde versies van Windows. Daarnaast zijn er ook twee beveiligingslekken in de Windows-kernel verholpen waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen. Verdere details over de aanvallen zijn niet door Microsoft gegeven. Daarnaast heeft Microsoft de noodpatch die eerder voor het PrintNightmare-lek werd uitgerold ook via de patches van gisteren beschikbaar gesteld. Het techbedrijf meldt dat er ook misbruik van de kwetsbaarheid wordt gemaakt. In totaal zijn er gisterenavond beveiligingsupdates voor 117 kwetsbaarheden verschenen. Van vijf kwetsbaarheden, aanwezig in Microsoft Exchange Server, Active Directory, Windows ADFS en Windows, waren de details al voor het uitkomen van de patches beschikbaar maar is er volgens Microsoft geen misbruik van gemaakt. Het Zero Day Initiative wijst systeembeheerders ook op een kwetsbaarheid in Windows DNS Server waardoor remote code execution mogelijk is. Het beveiligingslek wordt nog niet aangevallen, maar volgens het securitybedrijf is dit slechts een kwestie van tijd. De beveiligingsupdates worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Adobe heeft tijdens de patchdinsdag van juli meerdere kritieke kwetsbaarheden in Acrobat en Reader verholpen waardoor een aanvaller willekeurige code op systemen kan uitvoeren met rechten van de ingelogde gebruiker. Voor zover bekend wordt er nog geen misbruik van de beveiligingslekken gemaakt. Wat betreft de ernst van de kwetsbaarheden zijn die op een schaal van 1 tot en met 10 maximaal met een 8,8 beoordeeld. Naast het uitvoeren van code maken de lekken het ook mogelijk voor een aanvaller om een denial of service te veroorzaken, het filesystem te lezen en rechten te verhogen. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader DC versie 2021.005.20058, Acrobat 2020 en Acrobat Reader 2020 versie 2020.004.30006 of Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30199 voor Windows en macOS. Als voorbeeld noemt Adobe het installeren van de updates binnen dertig dagen. De nieuwe versies zijn te verkrijgen door handmatig op updates te controleren, de automatische updatefunctie of de website van Adobe. bron: https://www.security.nl

Mozilla heeft vandaag Firefox 90 gelanceerd die gebruikers van de SmartBlock-trackingbescherming voortaan toestaat om via Facebook op websites in te loggen. Voorheen werd dit namelijk door de browser geblokkeerd. SmartBlock is een feature die gebruikers van Firefox Private Browsing en de Strict Mode tegen allerlei trackers beschermt. Scripts, afbeeldingen en andere content van bekende cross-site trackers worden automatisch geblokkeerd. Het gaat dan onder andere om scripts van Facebook. Hierdoor is het inloggen via een Facebookaccount, wat veel websites ondersteunen, niet mogelijk. Om deze functionaliteit toch te laten werken heeft Mozilla SmartBlock 2.0 ontwikkeld. Wanneer gebruikers op de knop klikken om via Facebook in te loggen staat Firefox het benodigde script toe. Op websites waar de gebruiker niet via Facebook heeft ingelogd worden trackingscripts van het socialmediabedrijf nog steeds geblokkeerd. SmartBlock 2.0 is beschikbaar in Firefox 90. bron: https://www.security.nl

De nieuwste versie van Firefox die later vandaag uitkomt ondersteunt Fetch metadata request headers, waarmee websites en webapplicaties hun gebruikers tegen verschillende soorten aanvallen kunnen beschermen. Volgens Mozilla is het door de open aard van het web bij veel cross-site-gerelateerde aanvallen lastig voor websites of webapplicaties om te bepalen of een request afkomstig is van de gebruiker of een malafide site die in een andere browsertab is geopend. Fetch metadata request headers bieden in deze gevallen een oplossing. De headers geven namelijk informatie over de context waarvandaan het request afkomstig is. Hierdoor kan de server beslissen of een request moet worden toegestaan gebaseerd op waar het request vandaan komt en hoe de resource wordt gebruikt. Zo wordt het mogelijk voor de webserver om een same-origin request van de overeenkomstige website te onderscheiden van een cross-origin request dat afkomstig is van de website van een aanvaller. Dit moet verschillende soorten aanvallen voorkomen, zoals cross-site request forgery (CSRF), cross-site leaks (XS-Leaks) en speculatieve cross-site execution side channel-aanvallen, zoals Spectre. Mozilla roept websites en webapplicaties op om van de Fetch metadata request headers gebruik te maken. De headers worden vanaf Firefox 90 ondersteund, die later vandaag verschijnt. bron: https://www.security.nl

Meer dan 780.000 e-mailaccounts die de Emotet-malware wist te compromitteren zijn inmiddels beveiligd, zo meldt antispamorganisatie Spamhaus. Tijdens een internationale politieoperatie eind januari van dit jaar werden de hoofdservers van het Emotet-botnet door de politie overgenomen. Een update die de autoriteiten ontwikkelden en op besmette computers installeerden zorgde ervoor dat Emotet in april van 1 miljoen computers werd verwijderd. Cybercriminelen gebruikten Emotet voor allerlei doeleinden, zoals het installeren van aanvullende malware op besmette computers, waaronder ransomware. Ook maakte de malware gebruikersnamen en wachtwoorden van e-mailaccounts buit. Die werden gebruikt voor het versturen van nieuwe spamberichten via de e-mailproviders van de slachtoffers. Tijdens het offline halen van het botnet kwam een dataset met gecompromitteerde e-mailaccounts in handen van de autoriteiten. Om te voorkomen dat andere criminelen misbruik van deze e-mailaccounts maken stapte één van de opsporingsdiensten die bij de operatie betrokken was naar Spamhaus. De spambestrijder werd gevraagd om te helpen bij het laten resetten van de wachtwoorden van deze e-mailaccounts. De niet nader genoemde opsporingsdienst deelde een lijst met 1,3 miljoen e-mailaccounts met Spamhaus, die werden onderverdeeld in 22.000 unieke domeinen en zo'n drieduizend verantwoordelijke netwerken. Om deze e-mailproviders, netwerken en hun gebruikers/klanten te helpen ontwikkelde Spamhaus een webpagina met informatie over het Emotet-botnet en het herstelproces en werden netwerkeigenaren ingelicht. Dit heeft ervoor gezorgd dat inmiddels meer dan 780.000 e-mailaccounts zijn beveiligd, zo stelt de spambestrijder. Eerder kwam de Nederlandse politie al met een tool genaamd Emotet-checker die 4,2 miljoen gecompromitteerd e-mailadressen bevat. Gebruikers kunnen via de tool controleren of het wachtwoord van hun e-mailaccount door Emotet is gestolen. Daarnaast deelde de FBI 4,3 miljoen door Emotet gebruikte e-mailadressen met datalekzoekmachine Have I Been Pwned. bron: https://www.security.nl

Interpol heeft politiediensten wereldwijd opgeroepen om onmiddellijk in actie te komen en zo een mogelijke "ransomwarepandemie" te voorkomen. Daarvoor moeten politiediensten en industriepartners een coalitie vormen, liet het hoofd van Interpol, Jürgen Stock, tijdens een forum over ransomware weten. Het World Economic Forum heeft in samenwerking met Interpol een framework ontwikkeld genaamd Project Gateway waardoor de opsporingsdienst direct dreigingsdata van bedrijven kan ontvangen. De coalitie die Stock voor ogen heeft moet zich op vier onderwerpen gaan richten. Als eerste noemt hij het voorkomen van ransomware door het vergroten van bewustzijn, samenwerkingsverbanden en het delen van informatie. Het tweede punt is het verstoren van ransomware en het onderliggende ecosysteem door wereldwijde politieacties, zowel reactief als proactief, merkte Stock op. Het verlenen van noodondersteuning bij ransomware-aanvallen via het netwerk van Interpol is het derde punt. Als laatste moeten slachtoffers van ransomware ondersteuning krijgen om hun weerbaarheid te versterken. "Ransomware is een te grote dreiging geworden voor welke entiteit of sector dan ook om alleen aan te pakken; de omvang van deze uitdaging vereist wereldwijde actie die Interpol als een neutrale en vertrouwde partner kan faciliteren", stelde Stock. "Politie moet als onderdeel van een ware coalitie de inzichten van de cybersecurity-industrie, computer emergency response teams en andere agentschappen gebruiken om cybercriminelen te identificeren en te verstoren, en door samenwerking de wereldwijde impact van cybercrime te verminderen." bron: https://www.security.nl