Captain Kirk

Mozilla gaat Firefox van een nieuwe beveiligingsmaatregel voorzien genaamd Site Isolation die gebruikers tegen toekomstige varianten van de Spectre-aanval en soortgelijke kwetsbaarheden moet beschermen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen. "Deze nieuwe beveiligingsarchitectuur zorgt ervoor dat Firefox code van verschillende sites volledig kan scheiden, en zo beschermt tegen kwaadaardige sites die gevoelige data van andere bezochte sites proberen te benaderen", zegt Anny Gakhokidze van Mozilla. Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen. Om dergelijke aanvallen te voorkomen is het nodig dat elke site op OS-niveau in een apart proces wordt geladen. Firefox maakt al gebruik van verschillende processen om bijvoorbeeld webcontent te laden. Toch biedt dit volgens Gakhokidze nog niet voldoende bescherming, omdat het kan voorkomen dat twee verschillende websites hetzelfde besturingssysteemproces gebruiken en zo het procesgeheugen delen. Vervolgens zou het via een kwetsbaarheid als Spectre mogelijk voor de ene site zijn om data van de andere sites in dit geheugen te benaderen. Met Site Isolation wordt dit voorkomen. Naast de bescherming die de maatregel biedt heeft het ook andere voordelen. Door meer websites in gescheiden processen te laden zal de ene website geen invloed hebben op de reactie van websites in andere processen. Door meer processen te gebruiken voor het laden van websites kan ook de belasting over meerdere cpu-cores worden verdeeld, waardoor de onderliggende hardware efficiënter wordt gebruikt. Daarnaast zal de betere scheiding ervoor zorgen dat een crashende website of tab geen invloed op websites in andere processen heeft, wat voor een betere stabiliteit en gebruikerservaring zorgt, aldus Gakhokidze. Site Isolation is nu beschikbaar in de desktopversies van Firefox Nightly, Firefox Beta en Firefox Release, maar moet nog wel door gebruikers zelf worden ingeschakeld. Volgens Gakhokidze gaat het om een "monumentale aanpassing" binnen Firefox die gebruikers tegen toekomstige varianten van Spectre moet beschermen. bron: https://www.security.nl

Google houdt er rekening mee dat dit jaar een recordaantal van zestig zerodaylekken zal worden gevonden die actief bij aanvallen zijn ingezet. Dat liet Maddie Stone van Google Project Zero weten tijdens een conferentie van het Australische Cyber Emergency Response Team (AusCERT). In de eerste vijf maanden van dit jaar registreerde Google 22 zerodaylekken die zijn gebruikt om gebruikers van de betreffende software aan te vallen. Het gaat dan met name om software van Microsoft (8) Apple (7) en Google (5). Als deze trend zich doorzet komt het totaal aantal zerodaylekken voor 2021 uit op zestig, merkte Stone op. In 2020 registreerde Google nog 25 zerodays. In 2015 werden tot nu toe de meeste zerodaylekken gevonden, namelijk 28. Volgens Stone hebben onderzoekers nu een beter beeld van de aanvallen die plaatsvinden, in plaats van dat slechts een klein gedeelte wordt gezien. Het Google Project Zero-team waar Stone deel van uitmaakt heeft als motto "make zero-day hard." Het is de bedoeling om het lastiger voor aanvallers te maken om zerodays in te zetten. Zo moet de toepassing van nieuwe technieken de ontwikkeling van exploits bemoeilijken. Daarnaast moeten softwareleveranciers betere beveiligingsupdates ontwikkelen om ervoor te zorgen dat gerelateerde kwetsbaarheden door één patch worden afgevangen. De huidige patchmethodes maken het niet lastiger om andere zerodays te vinden, stelt Stone. Eerder dit jaar stelde Google al dat een kwart van de in 2020 ontdekte zerodays door betere patches van leveranciers voorkomen had kunnen worden. Tevens moeten updates voor zerodaylekken sneller worden ontwikkeld en aangeboden. "Het is volledig haalbaar om tot een punt te komen waar zerodays veel lastiger zijn dan het nu is", zegt Stone tegen ISMG. "Dus laten we ervoor gaan." bron: https://www.security.nl

Door het wijzigen van de taal- en toetsenbordinstellingen van een computer kunnen infecties door ransomware worden voorkomen, zo stellen experts. Het is al jaren bekend dat verschillende malware-exemplaren, voordat ze een systeem infecteren, eerst de taal- en toetsenbordinstellingen controleren. Wanneer op het systeem de taalinstelling van bijvoorbeeld voormalige Sovjet-landen wordt aangetroffen schakelt de malware zichzelf uit. Deze controle voeren de aanvallers volgens beveiligingsonderzoekers uit om vervolging door de Russische autoriteiten te voorkomen. "Dit is voor hun juridische bescherming", zegt Allison Nixon van Unit221B tegenover it-journalist Brian Krebs. "Het installeren van een Cyrillisch toetsenbord, of het wijzigen van een registersleutel naar "RU" kan genoeg zijn om malware te overtuigen dat je Russisch bent en niet moet worden aangevallen. Dit is als een 'vaccin' tegen Russische malware te gebruiken." Het wijzigen van taal- en toetsenbordinstellingen is weer actueel geworden naar aanleiding van de aanval met de DarkSide-ransomware op de Colonial Pipeline Company in de Verenigde Staten. Een onderzoeker had eerder al ontdekt dat deze ransomware geen systemen in landen uit de voormalige Sovjet-Unie infecteert, zoals Security.NL vorige week berichtte. Verschillende experts stellen op Twitter dat het toevoegen van een Russisch toetsenbord of taalinstelling vaak voldoende is om ransomware te misleiden. "Uiteindelijk zullen Russische hackers met hetzelfde probleem te maken krijgen waar verdedigers in het westen mee te maken hebben - het feit dat het zeer lastig is om een binnenlandse van een buitenlandse machine te onderscheiden die zich als binnenlandse voordoet", aldus Nixon. Het aanpassen van deze instellingen biedt geen honderd procent zekerheid. Onlangs liet securitybedrijf FireEye nog weten dat het een exemplaar van de DarkSide-ransomware had aangetroffen die de systeemtaal niet controleerde. bron: https://www.security.nl

Een beveiligingsonderzoeker heeft proof-of-concept exploitcode gepubliceerd voor een 'wormable' kwetsbaarheid in Windows 10 en Windows Server. Afgelopen dinsdag kwam Microsoft met beveiligingsupdates voor het beveiligingslek. De kwetsbaarheid, aangeduid als CVE-2021-31166, bevindt zich in de http protocol stack van Windows 10 en Windows Server. Door het versturen van een speciaal geprepareerd netwerkpakket naar een kwetsbare server die gebruikmaakt van deze stack (http.sys) voor het verwerken van pakketten, kan een aanvaller willekeurige code met kernelrechten uitvoeren en zo het systeem volledig overnemen. Er is geen enkele interactie van gebruikers vereist. Op een schaal van 1 tot en met 10 wat betreft de ernst is het beveiligingslek met een 9,8 beoordeeld. Volgens Microsoft, dat het beveiligingslek zelf ontdekte, is misbruik van de kwetsbaarheid eenvoudig. Het techbedrijf raadt organisaties dan ook aan om het patchen van servers prioriteit te geven. Beveiligingsonderzoeker en voormalig Microsoft-engineer Axel Souchet maakte gisteren proof-of-concept exploitcode voor de kwetsbaarheid beschikbaar. Daarmee is het mogelijk om kwetsbare Windows-systemen waarop Microsoft Internet Information Services (IIS) draait te laten crashen. De exploitcode is niet voor de verspreiding van een computerworm te gebruiken. Eerder waarschuwde Adam Bunn van securitybedrijf Rapid7 dat het slechts een kwestie van tijd is voordat de kwetsbaarheid wordt gebruikt voor grootschalige aanvallen tegen Windows 10- en Windows Server-machines. Het Zero Day Initiative en antivirusbedrijf McAfee adviseerden organisaties om de beveiligingsupdate voor CVE-2021-31166 bovenaan de lijst te zetten van te testen en uit te rollen patches. bron: https://www.security.nl

Echt goed. Weet hoe lastig het is. Zelf zware roker geweest vanaf mijn dertiende. Nu alweer 18 jaar rookvrij, maar blijft soms lastig. Hou Vol!

Tijdens de patchcyclus van mei heeft Microsoft 55 beveiligingslekken verholpen, waaronder een kritieke kwetsbaarheid die een computerworm mogelijk maakt, zo waarschuwt het techbedrijf. Organisaties worden dan ook opgeroepen om de beschikbaar gestelde beveiligingsupdates zo snel mogelijk te installeren. De kwetsbaarheid, aangeduid als CVE-2021-31166, bevindt zich in de http protocol stack van Windows 10 en Windows Server. Door het versturen van een speciaal geprepareerd netwerkpakket naar een kwetsbare server die gebruikmaakt van deze stack (http.sys) voor het verwerken van pakketten kan een aanvaller willekeurige code met kernelrechten uitvoeren en zo het systeem volledig overnemen. Er is geen enkele interactie van gebruikers vereist. Op een schaal van 1 tot en met 10 wat betreft de ernst is het beveiligingslek met een 9,8 beoordeeld. Volgens Microsoft, dat het beveiligingslek zelf ontdekte, is misbruik van de kwetsbaarheid eenvoudig. Microsoft raadt organisaties dan ook aan om het patchen van servers prioriteit te geven. "Het is slechts een kwestie van tijd voordat iemand achterhaalt hoe het speciaal geprepareerde pakket moet worden gemaakt en zullen we grootschalige aanvallen tegen Windows 10- en Windows Server-machines zien", zegt Adam Bunn van securitybedrijf Rapid7. Het Zero Day Initiative adviseert organisaties om de beveiligingsupdate voor CVE-2021-31166 bovenaan de lijst te zetten van te testen en uit te rollen patches. bron: https://www.security.nl

De Belgische beveiligingsonderzoeker Mathy Vanhoef, bekend van zijn KRACK-aanval tegen WPA en WPA2, heeft nieuwe kwetsbaarheden in de wifi-standaard en in tal van wifi-producten ontdekt die teruggaan tot 1997. Via de FragAttacks (fragmentation and aggregation attacks) kan een aanvaller in de buurt van een kwetsbaar apparaat willekeurige malafide frames injecteren en zo informatie van de gebruiker proberen te stelen, zoals een gebruikersnaam en wachtwoord, of apparaten aanvallen. Drie van de gevonden kwetsbaarheden zijn ontwerpfouten in de wifi-standaard en raken daardoor de meeste wifi-apparaten. Daarnaast vond Vanhoef verschillende andere beveiligingslekken die worden veroorzaakt door programmeerfouten in wifi-apparaten. "Experimenten laten zien dat elk wifi-product door tenminste één kwetsbaarheid wordt geraakt en dat de meeste producten met meerdere kwetsbaarheden te maken hebben", aldus de onderzoeker. De beveiligingslekken raken alle wifi-beveiligingsprotocollen, van WEP tot en met WPA3. "Dit houdt in dat verschillende van de gevonden ontwerpfouten al onderdeel van wifi zijn sinds de release in 1997!. Gelukkig zijn de ontwerpfouten lastig te misbruiken omdat er interactie van de gebruiker is vereist of die alleen mogelijk zijn bij ongewone netwerkinstellingen." De grootste zorg zijn dan ook de programmeerfouten in de wifi-producten die Vanhoef ontdekte en volgens de onderzoeker eenvoudig zijn te misbruiken. Via de kwetsbaarheden kan een aanvaller onder andere onversleutelde wifi-frames op een beveiligd wifi-netwerk injecteren. Hierdoor is het bijvoorbeeld mogelijk om gebruikers een malafide dns-server te laten gebruiken en zo hun verkeer te onderscheppen. In het geval van een aanval tegen wifi-routers kan de methode worden gebruikt om de NAT/firewall te omzeilen en achterliggende apparaten aan te vallen. De aanval is mogelijk omdat bepaalde wifi-apparaten onversleutelde frames accepteren zelfs wanneer ze met een beveiligd wifi-netwerk zijn verbonden. Verder blijkt dat sommige wifi-apparaten plaintext "aggregated frames" accepteren die op handshake messages lijken en het injecteren van de code van de aanvaller mogelijk maken. De afgelopen negen maanden ontwikkelden leveranciers beveiligingsupdates om de gevonden kwetsbaarheden te verhelpen. Zo rolde Microsoft gisterenavond patches uit. Wanneer updates niet beschikbaar zijn adviseert Vanhoef om te controleren dat bezochte websites van https gebruikmaken, aangezien dit bescherming biedt tegen een aantal van de aanvallen. Het gaat dan om de aanvallen waarbij er gevoelige informatie kan worden gestolen. Daarnaast wordt gebruikers aangeraden om hun dns-server handmatig in te stellen, om zo dns poisoning te voorkomen. In het geval van wifi-configuraties kunnen gebruikers als mitigatie fragmentatie, pairwise rekeys en dynamic fragmentation in Wi-Fi 6 (802.11ax) apparaten uitschakelen. Vanhoef heeft ook een testtool beschikbaar gesteld waarmee kan worden gekeken of wifi-apparaten kwetsbaar zijn. bron: https://www.security.nl

Gebruikers van Adobe Reader zijn opnieuw het doelwit van een zeroday-aanval geworden waardoor aanvallers in het ergste geval volledige controle over systemen kunnen krijgen. Adobe heeft vandaag beveiligingsupdates voor de kwetsbaarheid uitgebracht die al voor het uitkomen van de patch werd misbruikt. Het softwarebedrijf spreekt over "beperkte aanvallen" gericht tegen Reader-gebruikers op Windows, maar verdere details worden niet gegeven. Via het beveiligingslek, aangeduid als CVE-2021-28550, kan een aanvaller willekeurige code met de rechten van de ingelogde gebruiker op het systeem uitvoeren als die een kwaadaardig pdf-bestand opent. Naast het aangevallen zerodaylek zijn er ook tien andere kwetsbaarheden in de pdf-lezer verholpen. Jarenlang waren Adobe Reader en Acrobat geregeld het doelwit van zeroday-aanvallen. De afgelopen jaren werden dergelijke aanvallen niet meer gemeld, tot februari van dit jaar, toen Adobe sinds lange tijd weer een zeroday in de pdf-software rapporteerde. Vandaag is dat weer het geval. Net als het zerodaylek in februari werd ook de vandaag verholpen kwetsbaarheid door een anonieme beveiligingsonderzoeker aan Adobe gerapporteerd. Gebruikers krijgen het advies om "zo snel mogelijk" te updaten naar Acrobat DC of Acrobat Reader DC versie 2021.001.20155, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30196, Acrobat 2020 of Acrobat Reader 2020 versie 2020.001.30025 voor Windows en macOS. Als voorbeeld noemt Adobe het installeren van de updates binnen 72 uur. bron: https://www.security.nl

Softwareontwikkelaar VideoLAN heeft een nieuwe versie van VLC media player voor Windows uitgebracht die een probleem met de automatische updatefunctie verhelpt. De bug werd in versie 3.0.12 geïntroduceerd en zorgt ervoor dat VLC nieuwe versies wel downloadt maar niet installeert. Dit is een beveiligingsrisico voor gebruikers, aangezien versie 3.0.12 verschillende kwetsbaarheden bevat die in versie 3.0.13 zijn verholpen. Deze versie is bij gebruikers van VLC versie 3.0.12 op Windows echter nooit geïnstalleerd. De nu uitgebrachte versie 3.0.14 verhelpt dit probleem, maar moet na de automatische download wel handmatig worden geïnstalleerd. VLC laat wel aan gebruikers zien dat het installatieprogramma van de nieuwe versie vanwege een fout niet kan worden gestart. Daarnaast kunnen gebruikers ervoor kiezen om de nieuwe versie via VideoLAN.org te downloaden. bron: https://www.security.nl

Een aanvaller heeft de klantgegevens van webwinkel ServerKast.com gestolen en die gebruikt voor phishingaanvallen, zo meldt DSIT, het bedrijf achter de webshop. Begin april ontvingen verschillende klanten van de webshop een bericht waarin werd gesteld dat hun pakket onderweg was, maar de verzendkosten niet waren betaald. Het ging hier echter om een phishingmail. "De specifieke e-mailadressen waaraan deze berichten zijn verzonden deed vermoeden dat de gegevens uit onze administratie afkomstig zijn", aldus DSIT in een uitleg over het datalek. Uit het onderzoek dat werd ingesteld bleek dat een aanvaller toegang tot de administratie van de webshop heeft gekregen. De gestolen data is vervolgens gebruikt voor een phishingaanval. Volgens DSIT heeft de aanvaller naam, bedrijfsnaam, btw-nummer, e-mailadres, telefoonnummer en bestelgegevens in handen gekregen. Het bedrijf laat weten dat het een groot deel van de phishingmails heeft kunnen tegenhouden. Daarnaast is de beveiliging aangescherpt en zijn wachtwoorden aangepast. Hoe de aanvaller toegang tot de klantgegevens kon krijgen is niet bekendgemaakt. Het datalek is bij de Autoriteit Persoonsgegevens gemeld. DSIT is naast ServerKast.com ook aanbieder van PatchKast.nl, PatchKast.com, PatchKast.be, UTP-Kabel.nl en Glasvezel-kabel.com. Op de andere websites wordt echter geen melding van een datalek gemaakt. bron: https://www.security.nl

De FBI en het Australische Cyber Security Centre (ACSC) hebben een waarschuwing afgegeven voor aanvallen met Avaddon-ransomware en roepen organisaties op om hun thuiswerkoplossingen beter te beveiligen, aangezien de criminelen hier misbruik van maken (pdf). Volgens het ACSC hebben de aanvallers achter deze ransomware het voorzien op organisaties in verschillende landen, waaronder België, Duitsland, Frankrijk, Spanje, het Verenigd Koninkrijk en de Verenigde Staten. Nederland wordt niet in het overzicht genoemd. Onlangs werd de Labor Party van New South Wales slachtoffer van de Avaddon-ransomware. Om toegang tot de systemen van hun slachtoffers te krijgen maken de aanvallers onder andere gebruik van inloggegevens voor vpn en rdp. De FBI benadrukt dat het hier om 'single-factor' authenticatie gaat, oftewel alleen een gebruikersnaam en wachtwoord. Ook werden slachtoffers via verkeerd geconfigureerde rdp-systemen gecompromitteerd. Zodra de aanvallers toegang tot het netwerk hebben zoeken ze naar back-ups om die te verwijderen of te versleutelen. Aanwezige data wordt zowel gestolen als versleuteld. Wanneer organisaties weigeren om het gevraagde losgeld te betalen maken de aanvallers de buitgemaakte gegevens via hun eigen website openbaar. Ook dreigen de aanvallers met ddos-aanvallen, maar die zijn niet door de FBI waargenomen. Organisaties wordt onder andere aangeraden om offsite, offline back-ups te maken en tweefactorauthenticatie in te schakelen. bron: https://www.security.nl

Verschillende kwetsbaarheden in de Vembu BDR Suite, software die door bedrijven wordt ingezet voor het maken van back-ups en disaster recovery, maken remote code execution mogelijk. De beveiligingslekken, die inmiddels in de nieuwste versies zijn verholpen, werden gevonden door de Nederlandse beveiligingsonderzoeker Wietse Boonstra van het Dutch Institute for Vulnerability Disclosure (DIVD). Het lukte de onderzoeker om slechts via een browser toegang tot een kwetsbaar Vembu-systeem te krijgen. "Een kwetsbaarheid in dit soort software is ernstig. Backup en recovery-software grijpt per definitie diep in op het systeem van gebruikers van van Vembu", aldus het DIVD. Volgens Vembu maken wereldwijd meer dan zestigduizend bedrijven gebruik van de oplossingen die het biedt, waaronder NASA, Fujitsu, Kawasaki, Samsung en Epic Games. In totaal ontdekte Boonstra vier kwetsbaarheden, waarvan er drie remote code execution mogelijk maken. Via het vierde beveiligingslek is server-side request forgery (SSRF) mogelijk en kan de toegangscontrole tot een systeem worden omzeild. De Nederlandse onderzoeker rapporteerde de kwetsbaarheden bij Vembu, maar kreeg volgens het DIVD aanvankelijk geen respons. Halverwege februari slaagde het DIVD erin om Vembu wel te benaderen. De leverancier liet weten dat de kwetsbaarheden al waren opgelost in de laatste versies van de software. "Klanten kregen echter alleen een update als ze er actief om vroegen", zo stelt het DIVD. Na aandringen van het instituut is een gepatchte versie sinds april online te vinden. Het DIVD meldt dat uit nader onderzoek blijkt dat de kwetsbaarheden mogelijk ook in andere door Vembu gemaakte oplossingen aanwezig zijn. In het geval van de SSRF-kwetsbaarheid zouden zelfs veel van de producten hiermee kampen. bron: https://www.security.nl

Het populaire platform voor softwareontwikkelaars GitHub ondersteunt nu fysieke security keys voor Git over SSH, wat gebruikers meer bescherming moet geven dan bij het gebruik van een traditionele SSH-key die op het systeem van de ontwikkelaar wordt bewaard. Een fysieke beveiligingssleutel is een apparaatje dat bijvoorbeeld via usb, nfc of bluetooth met de computer verbinding maakt. In het geval van GitHub zullen ontwikkelaars die via SSH willen inloggen nog steeds een SSH-key voor de beveiligingssleutel moeten genereren. De key vereist de aanwezigheid van de beveiligingssleutel en kan daarnaast met een wachtwoord worden beveiligd. Zodra de key is gegenereerd moet de ontwikkelaar die aan zijn account toevoegen, net als bij andere SSH-keys het geval is. Er is dan ook nog steeds sprake van een public en private sleutelpaar, alleen worden de 'secret bits' gegenereerd en opgeslagen in de beveiligingssleutel, waarbij het publieke gedeelte op het systeem van de ontwikkelaar wordt opgeslagen, net als met andere SSH public keys. Er is ook een private key bestand op de computer, maar de private SSH key is een verwijzing naar de beveiligingssleutel. "Als het private key bestand op je computer wordt gestolen is het niet zonder de beveiligingssleutel te gebruiken. Bij het gebruik van SSH met een beveiligingssleutel blijft de gevoelige informatie op de fysieke beveiligingssleutel", zegt Kevin Jones van GitHub. Ontwikkelaars die als enige fysieke toegang tot hun beveiligingssleutel hebben kunnen die in het systeem laten, merkt Jones op. Op dit moment kunnen ontwikkelaars Git op GitHub nog via een wachtwoord benaderen, maar dat zal later dit jaar niet meer mogelijk zijn en wordt token- of SSH-gebaseerde authenticatie verplicht. "Door het niet meer ondersteunen van wachtwoorden voor Git, zoals we al voor onze API hebben gedaan, wordt het beveiligingsniveau verhoogd voor elke gebruiker en organisatie, en de achterliggende software-supply-chain", besluit Wilson. bron: https://www.security.nl

Mozilla waarschuwt applicatieontwikkelaars voor het verkeerd gebruik van de Mozilla root store, aangezien dit tot een ernstig beveiligingsprobleem binnen applicaties kan leiden. De root store bevat goedgekeurde rootcertificaten die voor serverauthenticatie (TLS) en digitaal gesigneerde en versleutelde e-mail (S/MIME) worden gebruikt. Firefox controleert bij het opzetten van een beveiligde verbinding met een website via de root store of het door de website aangeboden TLS-certificaat van een vertrouwde certificaatautoriteit afkomstig is. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing. De root store zit ingebouwd in Firefox en Network Security Services (NSS). De NSS-library is een verzameling libraries die de cross-platformontwikkeling van 'security-enabled' client- en serverapplicaties ondersteunt. NSS is open souce en wordt binnen veel Linux-distributies gebruikt. Naast de Mozilla root store biedt NSS ook de mogelijkheid voor ontwikkelaars om hun eigen root store te gebruiken. "Applicaties die Mozillas root store voor andere doeleinden gebruiken hebben met een ernstig beveiligingsprobleem te maken", zegt Kathleen Wilson van Mozilla. Sommige applicaties blijken de root stores van Mozilla of het ondergelegen besturingssysteem namelijk voor doeleinden te gebruiken waarvoor ze niet zijn bedoeld. Dit leidt tot een ernstige kwetsbaarheid die te vergelijken is met het niet valideren van aangeboden certificaten. Zo maken sommige applicatieontwikkelaars gebruik van de root store op een manier waarbij niet-vertrouwde certificaten, zoals die van DigiNotar, toch worden vertrouwd, waarschuwt Wilson. Ze wijst applicatieontwikkelaars dan ook op het belang om root stores op de juiste manier te gebruiken en alleen rootcertificaten toe te staan die voor hun specifieke situatie vereist zijn. bron: https://www.security.nl

Gebruikers van het Tor-netwerk zijn nog altijd het doelwit van man-in-the-middle (mitm)-aanvallen die via malafide exit-servers worden uitgevoerd, waarbij begin dit jaar 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen van de aanvaller was. Dat stelt een beveiligingsonderzoeker met het alias "nusenu" in een nieuw onderzoek. Vorig jaar publiceerde de onderzoeker al onderzoek over mitm-aanvallen tegen Tor-gebruikers. Dagelijks maken zo'n twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. De eigenaar van de exitnode kan het verkeer van de Tor-gebruiker zien, maar weet niet van wie het afkomstig is. In het geval van http-verkeer kan de exitnode-beheerder het verkeer ook aanpassen. De aanvaller waarover beveiligingsonderzoeker "Nusenu" bericht maakt hiervan misbruik. De aanvaller verwijdert http-to-https redirects om toegang tot het onversleutelde http-verkeer te krijgen, zonder dat de gebruiker een certificaatwaarschuwing in Tor Browser te zien krijgt. De meeste websites maken inmiddels gebruik van https. Wanneer de gebruiker in de adresbalk alleen de domeinnaam intikt zal de website via een http-to-https redirect de https-versie van de website laden. Bij de nu waargenomen aanval onderschept de aanvaller deze redirect en plaatst zichzelf tussen de gebruiker en opgevraagde website. De aanvaller zet tussen hemzelf en de website een beveiligde verbinding op, maar stuurt de informatie via het onversleutelde http naar de gebruiker. De gebruiker kan de aanval opmerken doordat er http en geen https in de adresbalk staat. Om niet al teveel op te vallen wordt de aanval alleen bij bepaalde websites toegepast. Het gaat dan met name om crypto-gerelateerde websites, waaronder bitcoin-mixerdiensten. De aanvaller vervangt het bitcoinadres dat de gebruiker heeft opgegeven door zijn eigen bitcoinwallet. De aanvallen waar Nusenu vorig jaar augustus over berichtte vinden nog altijd plaats. Op 2 februari van dit jaar was volgens de onderzoeker 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen van de aanvaller. Malafide Tor-exitnodes worden wel verwijderd, maar de aanvaller voegt die ook weer toe aan het netwerk. Veel van deze servers blijken niet over contactgegevens te beschikken. Het Tor-netwerk bestaat meestal uit minder dan vijftienhonderd Tor-exitnodes. Begin deze maand werden er meer dan duizend nieuwe Tor-exitnodes binnen 24 uur toegevoegd. De onderzoeker merkt op dat dit indrukwekkend klinkt, maar de meeste van deze servers nagenoeg meteen worden verwijderd voordat veel mensen er gebruik van maken. Daardoor was het risico voor gebruikers dan ook klein. Nusenu stelt dat de werkwijze van de aanvaller deels bekend is, zoals het aanpassen van de bitcoin-adressen. Andere aanvallen kunnen echter niet worden uitgesloten. "Stel eens voor dat een aanvaller 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen heeft en een Firefox-exploit voor Tor Browser wordt gepubliceerd voordat alle gebruikers hun updates ontvangen", waarschuwt de onderzoeker. Een goede bescherming is de HTTPS-Only mode van Firefox die standaard alleen https-sites laadt. Het is nog de vraag wanneer en hoe dit binnen Tor Browser zal worden verwerkt. Er zijn zorgen bij het Tor-ontwikkelteam dat met name regionale websites https niet ondersteunen en hoe Tor Browser hiermee moet omgaan. bron: https://www.security.nl

Google gaat binnenkort bij gebruikers automatisch tweestapsverificatie (2SV) inschakelen als hun account hiervoor correct is geconfigureerd. Gebruikers bij wie 2SV staat ingeschakeld moeten na het inloggen met gebruikersnaam en wachtwoord ook nog op een andere manier bewijzen dat ze de eigenaar van het account zijn. Dit kan op verschillende manieren, zoals het bevestigen van een Google-prompt op de telefoon. "Je staat er misschien niet bij stil, maar wachtwoorden vormen de grootste bedreiging voor je online veiligheid - ze zijn eenvoudig te stelen, lastig te onthouden en vervelend om te beheren", zegt Mark Risher van Google. "Eén van de beste manieren om je account tegen een gelekt of slecht wachtwoord te beschermen is het gebruik van een tweede verificatiefactor, een andere manier voor je account om te bevestigen dat jij het echt bent die inlogt." Bij gebruikers die er "technisch gezien al helemaal klaar voor zijn" zal tweestapsverificatie binnenkort automatisch worden ingeschakeld. "Dit verkleint de kans aanzienlijk dat zij het slachtoffer worden van kwaadwillenden die hun wachtwoord te weten zijn gekomen", zo laat het techbedrijf weten. "We hopen dat wachtwoorden in de toekomst iets uit het verleden zijn, maar tot die tijd zijn authenticatie in twee stappen en beveiligingssleutels de beste manier om jezelf te beschermen." bron: https://www.security.nl

QNAP waarschuwt gebruikers van een NAS-systeem voor een kwetsbaarheid die in oudere versies van Music Station aanwezig is. Verdere details zijn nog niet gegeven, maar via eerdere beveiligingslekken in Music Station was het mogelijk om NAS-systemen op afstand over te nemen. Music Station laat gebruikers een "personal music center" in de cloud aanmaken. Via de webapplicatie kunnen gebruikers naar muziekbestanden op hun NAS-systeem luisteren of muziekcollecties met vrienden en familie delen. In een vandaag gepubliceerde advisory meldt QNAP dat er een kwetsbaarheid is gemeld die in oudere versies van Music Station aanwezig is. Een onderzoek loopt echter nog. De afgelopen weken werden beveiligingslekken in applicaties van QNAP nog gebruikt bij ransomware-aanvallen. Aanvallers achter de AgeLocker-ransomware en Qlocker-ransomware maakten hierbij gebruik van bekende kwetsbaarheden in de multimedia console, media streaming add-on en Hybrid Backup Sync van QNAP om toegang tot NAS-systemen te krijgen en bestanden te versleutelen. De NAS-fabrikant roept gebruikers dan ook op om Music Station te updaten. De kwetsbaarheid is verholpen in: QTS 4.5.2: Music Station 5.3.16 and later QTS 4.3.6: Music Station 5.2.10 en nieuwer QTS 4.3.3: Music Station 5.1.14 en nieuwer QuTS hero h4.5.2: Music Station 5.3.16 en nieuwer QuTScloud c4.5.4: Music Station 5.3.16 en nieuwer bron: https://www.security.nl

Onderzoekers van SIDN Labs, InternetNZ en het USC Information Sciences Institute hebben een kwetsbaarheid ontdekt genaamd TsuNAME die grootschalige ddos-aanvallen tegen topleveldomeinen (TLD's) en andere autoritatieve dns-operators mogelijk maakt. Het beveiligingslek is inmiddels verholpen in Google Public DNS en Cisco OpenDNS, maar andere dns-servers en -resolvers lopen mogelijk nog risico, zo stellen de onderzoekers. Het domain name system (dns) speelt een essentiële rol op internet. Voor elke bezochte website worden verschillende dns-queries uitgevoerd en dns-storingen kunnen grote gevolgen hebben, zoals het onbereikbaar worden van belangrijke websites en diensten. Dit werd duidelijk in 2016 toen een ddos-aanval tegen dns-provider Dyn ervoor zorgde dat websites als Twitter, Spotify, en Netflix onbereikbaar waren. Het dns kan worden beschouwd als een hiërarchische en gedistribueerde database waar dns-records van authoritative servers worden opgeslagen en verspreid. Zo distribueren de root dns-servers records voor de root dns-zone. Alle informatie over een domeinnaam in het dns wordt aangeleverd door de authoritative servers voor dat domein. Deze informatie wordt meestal opgehaald door de recursive resolvers die het dns-verzoek van internetgebruikers en hun applicaties, zoals een browser, beantwoorden. Recursive dns-resolvers worden meestal beheerd door de internetprovider van de gebruiker, of door een dns-provider zoals Google, Cloudflare, Quad9 en Cisco OpenDNS. De configuratie van authoritative servers en hun records is volgens de onderzoekers gevoelig voor verschillende soorten fouten. Eén van die fouten, die de onderzoekers TsuNAME noemen, maakt het mogelijk om ddos-aanvallen tegen authoritative dns-servers uit te voeren. TsuNAME doet zich voor wanneer nameserverrecords van twee verschillende domeinnamen naar elkaar verwijzen en kwetsbare dns-resolvers deze misconfiguraties benaderen. Dit zorgt voor een loop waarbij een grote hoeveelheid dns-queries naar authoritative dns-servers en andere resolvers wordt gestuurd. Een dergelijke loop kan urenlang duren. Begin vorig jaar zorgden slechts twee verkeerd geconfigureerde domeinen voor een vijftig procent toename van het totale verkeer voor de authoritative servers van het .nz topleveldomein. "Dezelfde misconfiguratie kan voor veel meer queries zorgen, afhankelijk van het domein en TLD", waarschuwen de onderzoekers. Die vroegen zich af wat er zou gebeuren als een aanvaller opzettelijk de misconfiguratie zou gebruiken voor het aanvallen van een TLD. "Een oplossing voor deze kwetsbaarheid is het toevoegen van code aan resolvers die wederzijdse afhankelijkheden herkent en loops tussen dergelijke domeinnamen doorbreekt. Deze code moet worden geleverd door de maker van de resolversoftware. Recente versies van veel resolvers zijn niet meer kwetsbaar voor TsuNAME maar oudere mogelijk wel", zo stelt SIDN Labs. Voor beheerders van autoritatieve dns-servers is de opensourcetool CycleHunter ontwikkeld, waarmee beheerders wederzijdse afhankelijkheden tussen domeinnamen in hun zone kunnen detecteren. Aangezien NS-records elk moment kunnen veranderen wordt beheerders aangeraden om meerdere keren per dag een scan uit te voeren, om zo de impact van een misconfiguratie te verkleinen. Via CycleHunter analyseerden de onderzoekers zo'n 184 miljoen domeinnamen van zeven grote topleveldomeinen. Daarbij werden 44 wederzijds afhankelijke NS-recods aangetroffen die door 1400 domeinnamen worden gebruikt. Volgens de onderzoekers gaat het hier waarschijnlijk om configuratiefouten, maar zou een gemotiveerde aanvaller eenvoudig misbruik van de kwetsbaarheid kunnen maken en voor zoveel verkeer kunnen zorgen dat authoritative servers het verkeer niet aankunnen, wat gevolgen voor al de gebruikers van deze servers heeft. "De ontdekte kwetsbaarheid kan in potentie voor grote problemen zorgen. Het laat ook zien hoe belangrijk de samenwerking met andere partijen is bij dit soort ontwikkelingen. Dit is namelijk niet een kwetsbaarheid die alleen het .nl-domein raakt, maar voor alle topleveldomeinen grote gevolgen kan hebben. Net als bij andere grote ddos-aanvallen had het er bijvoorbeeld toe kunnen leiden dat online diensten van banken, overheden en webwinkels onbereikbaar zouden worden", zegt Giovane Moura, data scientist bij SIDN Labs. bron: https://www.security.nl

Google heeft de nieuwste Windowsversie van Chrome voorzien van een beveiligingsmaatregel genaamd hardware-enforced stack protection die het lastiger moet maken voor aanvallers om kwetsbaarheden te misbruiken. Bij deze technologie gebruikt de processor een shadow stack, een nieuwe, beschermde stack met return adressen. De feature is beschikbaar voor Chrome-gebruikers op Windows 10 versie 20H1 (December Update) of nieuwer, die gebruikmaken van een processor met Control-flow Enforcement Technology (CET) zoals elfde generatie Intel- of AMD Zen 3-processoren, zo laat Google in een blogpost weten. Een veelvoorkomende kwetsbaarheid is de zogenaamde use-after-free (UAF), waarbij een aanvaller het aangevallen programma een door hem gekozen pointer laat aanroepen. Hier heeft de aanvaller controle over een object dat de adresruimte gebruikt die eerder door een ander object in gebruik was en door het programma gebruikt blijft worden. Vervolgens kan de aanvaller zijn code laten aanroepen die hij wil uitvoeren. In het verleden kon een aanvaller zijn shellcode naar een bekende geheugenlocatie schrijven en dan de instructiepointer naar deze shellcode laten wijzen. Om te voorkomen dat stacks of heaps uitvoerbaar waren werd Data Execution Prevention toegevoegd. In een reactie hierop kwamen aanvallers met Return Oriented Programming (ROP). Hierbij maken aanvallers misbruik van de eigen code van een proces, aangezien die uitvoerbaar moet zijn. Via controle over de stack en de instructiepointer kan een aanvaller de 'ret' instructie gebruiken om naar verschillende, handige stukken code te springen. Tijdens een exploit wordt de instructiepointer aangepast zodat niet de normale bestemming wordt aangeroepen, maar een klein gedeelte van de code genaamd een ROP-gadget. Door deze gadgets aan elkaar te koppelen kan een aanvaller uiteindelijk een gewenste functie aanroepen. Stack protection moet dergelijke aanvallen lastiger maken. Naast de bestaande stack beschikt de processor over een shadow stack. Deze stack is niet direct door een programma te manipuleren en bevat alleen return adressen. De ret-instructie maakt nog steeds gebruik van de return adressen van de normale stack, maar controleert nu dat die gelijk is aan het adres dat in de shadow stack is opgeslagen. Wanneer dit het geval is blijft het programma gewoon werken. Komen de adressen niet overeen, dan doet zich een exception voor die door het besturingssysteem wordt onderschept. Het besturingssysteem kan de shadow-regio aanpassen zodat het programma blijft werken, maar in de meeste gevallen wordt het programma meteen beëindigd, aldus Google. Naast Chrome kunnen ook andere programma's van hardware-enforced stack protection gebruikmaken. Via de Windows Task Manager kan worden gekeken of de maatregel staat ingeschakeld. Dit is zichtbaar via de Details-tab van de Task Manager en dan de procesweergave. "Het inschakelen van hardware-enforced stack protection past met bestaande en toekomstige maatregelen om misbruik lastiger en kostbaarder voor een aanvaller te maken, en zo de mensen te beschermen die Chrome dagelijks gebruiken", zegt Alex Gough van het Chrome Platform Security Team. bron: https://www.security.nl

Cloudcommunicatieplatform Twilio is één van de bedrijven die slachtoffer is geworden van de supply-chain-aanval op Codecov, waar aanvallers een backdoor aan de software van het bedrijf toevoegden. In het geval van Twilio konden aanvallers via de backdoor e-mailadressen van een "klein aantal" klanten stelen, zo meldt het cloudcommunicatieplatform in een verklaring. Codecov ontwikkelt tools voor het auditen van software. Zo kunnen softwareontwikkelaars kijken hoeveel van hun code door interne testscripts is getest. Eén van deze tools is Bash Uploader, die onder andere met GitHub-projecten is te integreren. Volgens Codecov wordt de tool door meer dan 29.000 bedrijven wereldwijd gebruikt. Begin dit jaar wisten aanvallers de ontwikkelomgeving van Bash Uploader te compromitteren en voegden code toe die inloggegevens, tokens, keys en andere data steelt zodra de tool binnen de ontwikkelomgeving wordt uitgevoerd. Vervolgens werden deze gegevens naar een server van de aanvallers gestuurd. Twilio maakt binnen de eigen ontwikkelomgeving ook gebruik van Bash Uploader waardoor de aanvallers via de backdoor gegevens konden stelen. Op 22 april werd Twilio door GitHub.com gewaarschuwd dat er verdachte activiteit met betrekking tot de Codecov-aanval was gedetecteerd en er een token van een Twilio-gebruiker was gecompromitteerd. Een aanvaller bleek verschillende GitHub-repositories te hebben gekloond. Daarop startte Twilio een onderzoek naar de inhoud van de gekloonde repositories. Daaruit blijkt dat de aanvallers e-mailadressen van een "klein aantal" klanten in handen hebben gekregen, maar Twilio noemt geen getallen. Wel zijn alle gedupeerde klanten inmiddels ingelicht. Tevens zijn alle mogelijke gecompromitteerde credentials gewijzigd. Bronnen lieten eerder tegenover persbureau Reuters weten dat honderden bedrijven slachtoffer van de supply-chain-aanval zijn geworden. Eén van de klanten die door de Codecov-backdoor werd getroffen en dit kenbaar maakte was softwarebedrijf HashiCorp. Dat besloot vanwege het incident om de GPG private key die het gebruikt voor het signeren van software te vervangen omdat aanvallers hier toegang toe hebben gekregen. Vorige week deelde Codecov nog nieuwe Indicators of Compromise (IOCs) die organisaties kunnen gebruiken om te kijken of ze ook slachtoffer zijn geworden. bron: https://www.security.nl

Beheerders van Exim-mailservers zijn gewaarschuwd voor meerdere kritieke kwetsbaarheden in de populaire mailserversoftware die wereldwijd op miljoenen servers draait. Het gaat in totaal om 21 beveiligingslekken die deels al sinds 2004 in Exim aanwezig zijn en "21Nails" worden genoemd. Tien van deze kwetsbaarheden zijn op afstand door aanvallers te misbruiken en maken het mogelijk om code op kwetsbare mailservers uit te voeren. Via de overige elf beveiligingslekken kan een aanvaller die toegang tot de server heeft zijn rechten verhogen en bijvoorbeeld code als root uitvoeren. Door het combineren van de kwetsbaarheden kan een ongeauthenticeerde aanvaller op afstand code uitvoeren en rootrechten op de mailserver krijgen. De kwetsbaarheden werden vorig jaar oktober door securitybedrijf Qualys aan het Exim-ontwikkelteam gemeld. "Vanwege verschillende interne redenen duurde het langer dan normaal voor het Exim-ontwikkelteam om deze problemen tijdig te verhelpen", zo laat Exim-ontwikkelaar Heiko Schlittermann op de Exim-mailinglist weten. Qualys heeft technische details over de 21 kwetsbaarheden gepubliceerd maar zegt geen exploits voor de beveiligingslekken openbaar te zullen maken. Het securitybedrijf moedigt beveiligingsonderzoekers aan om hun eigen exploits te ontwikkelen. De vandaag gepubliceerde advisory zou hiervoor voldoende informatie moeten bevatten. Beheerders wordt opgeroepen om te updaten naar Exim 4.94.2, waarin de gevonden problemen zijn verholpen. Kwetsbaarheden in Exim zijn in het verleden geregeld door aanvallers misbruikt. Zo werd de Russische inlichtingendienst GRU vorig jaar nog door de Amerikaanse geheime dienst NSA beschuldigd van het aanvallen van kwetsbare Exim-mailservers. Volgens zoekmachine Shodan zijn er vier miljoen Exim-servers vanaf het internet toegankelijk. bron: https://www.security.nl

Het netwerk van Belnet, de Belgische overheidsorganisatie die internettoegang levert aan overheidsinstanties, universiteiten, hogescholen en onderzoekscentra, is door een ddos-aanval ernstig verstoord. Dat laat de organisatie via Twitter weten. De aanval begon drie uur geleden en sindsdien is Belnet bezig met het verhelpen van de aanval. De laatste update op de statuspagina van de provider dateert van een uur geleden en stelt dat eraan een oplossing wordt gewerkt. Vanwege de aanval zijn bijna alle parlementaire commissies afgelast, meldt de Belgische krant De Tijd. In een reactie tegenover de krant laat Belnet weten dat het om een zeer grootschalige aanval gaat waarbij het hele Belnet-netwerk wordt aangevallen. Daardoor zitten zo'n tweehonderd organisaties, waaronder universiteiten, overheidsdiensten en onderzoeksinstellingen, zonder internet of is het internet er erg traag. Het gaat onder andere om het Belgische ministerie van Justitie. bron: https://www.security.nl

Miljoenen Dell-computers zijn kwetsbaar door een beveiligingslek in een driver die wordt gebruikt bij het updaten van de firmware. Dell heeft vandaag een beveiligingsupdate beschikbaar gesteld. Via de kwetsbaarheid kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en code met kernelrechten uitvoeren. Het beveiligingslek, CVE-2021-21551, is op een schaal van 1 tot en met 10 wat betreft de impact met een 8,8 beoordeeld. Onderzoekers van vier verschillende securitybedrijven, CrowdStrike, IOActive, OSR en SentinelOne, ontdekten de kwetsbaarheid en rapporteerden die aan de computerfabrikant. Dell-computers worden standaard geleverd met verschillende tools voor het up-to-date houden van het systeem, zoals Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent of Dell Platform Tags die op honderden modellen van Dell zijn te vinden. Deze programma's, alsmede packages voor het updaten van de firmware, maken gebruik van een driver genaamd dbutil_2_3.sys. Een beveiligingslek in deze driver maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om zijn rechten te verhogen en de computer zo volledig te compromitteren. SentinelOne heeft een beschrijving van de kwetsbaarheid online gezet, maar houdt technische details achter zodat Dell-klanten de tijd krijgen om de update te installeren of de driver te verwijderen. Een proof-of-concept exploit wordt 1 juni openbaar gemaakt. bron: https://www.security.nl

Mozilla gaat het updatemechanisme van Firefox aanpassen waardoor beveiligingsupdates en andere patches voortaan in de achtergrond worden gedownload en uitgevoerd, net als bij op Chromium-gebaseerde browsers het geval is. Dit moet het up-to-date houden van de browser voor gebruikers vereenvoudigen, zo laat Mozilla in de aankondiging weten. Met de lancering van Firefox 89 zal de browser wanneer die niet actief is periodiek op updates controleren. Hiervoor wordt er een taak aangemaakt die Firefox in een zogenoemde headless "background task mode" start. Elke zeven uur wordt deze taak uitgevoerd. Wanneer Firefox wel actief is vindt de controle niet plaats en zal de browser ook niet worden herstart. Firefox-gebruikers hebben de mogelijkheid om de controle op updates in de achtergrond uit te schakelen. Het nieuwe updatemechanisme is toegevoegd aan de laatste versie van Firefox Nightly, een vroege testversie van de browser. De releaseversie van Firefox 89 staat gepland voor 1 juni aanstaande. bron: https://www.security.nl

Pulse Secure heeft een belangrijke beveiligingsupdate uitgebracht voor een zeer kritiek zerodaylek in de vpn-software dat al voor het uitkomen van de patch werd aangevallen. Vanwege de kwetsbaarheid kwam het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid met het advies om vpn-servers dagelijks te controleren en werden door de Amerikaanse overheid noodinstructies afgegeven. De kwetsbaarheid, aangeduid als CVE-2021-22893, scoort op een schaal van 1 tot en met 10 wat betreft de impact een maximale score van 10. Via het beveiligingslek kan een aanvaller op afstand en zonder authenticatie code op kwetsbare Pulse Connect Secure (PCS) vpn-servers uitvoeren. Pulse Secure kwam op 20 april met een waarschuwing voor de zeroday-aanvallen en maakte gisterenavond een beveiligingsupdate beschikbaar. Naast het actief aangevallen zerodaylek worden ook drie andere kwetsbaarheden met de update verholpen. Het gaat om CVE-2021-22894, CVE-2021-22899 en CVE-2021-22900. De eerste twee van deze beveiligingslekken hebben een impactscore van 9,9. CVE-2021-22894 betreft een buffer overflow die het mogelijk maakt voor geauthenticeerde gebruikers om via een speciaal geprepareerde meetingroom willekeurige code met rootrechten uit te voeren. Via CVE-2021-22899 is command injection mogelijk en kunnen geauthenticeerde gebruikers ook code op de vpn-server uitvoeren. De in totaal vier kwetsbaarheden zijn verholpen in Pulse Connect Secure 9.1R11.4. Naast het installeren van de update adviseert Pulse Secure het gebruik van de Pulse Security Integrity Checker Tool, waarmee beheerders kunnen controleren of hun vpn-server is gecompromitteerd. bron: https://www.security.nl