Captain Kirk

Tijdens de jaarlijkse TianfuCup in China hebben beveiligingsonderzoekers kritieke kwetsbaarheden in onder andere Adobe Reader, Google Chrome en Apple iOS getoond waardoor ze het onderliggende systeem konden overnemen. Beveiligingsupdates voor de gedemonstreerde beveiligingslekken zijn nog niet beschikbaar en het is onbekend wanneer die verschijnen. Deelnemers aan de TianfuCup worden beloond voor het tonen van onbekende kwetsbaarheden. Onderzoekers van Kunlun Lab lieten zien hoe ze op afstand een iPhone Pro 13 met iOS 15 kon ondernemen. Alleen het bezoeken van een kwaadaardige website is voldoende voor de aanval waardoor het uitvoeren van willekeurige code en een jailbreak mogelijk is. Dezelfde onderzoekers toonden ook kwetsbaarheden in Adobe Reader en Google Chrome waardoor ze op het onderliggende systeem code met kernelrechten kunnen uitvoeren, en zo volledige controle over het systeem krijgen. Tevens werd een beveiligingslek in Windows 10 getoond waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen. Naast de onderzoekers van Kunlun Lab toonde Team PangU ook een remote jailbreak-aanval op de iPhone Pro 13 met iOS 15. De demonstratie leverde 300.000 dollar op. Verder lieten onderzoekers van securitybedrijf 360 zien hoe een ingelogde gebruiker op afstand code op een Exchange Server 2019 kan uitvoeren. Details over de getoonde beveiligingslekken zijn niet openbaar gemaakt. Deze informatie wordt eerst met de betreffende leveranciers gedeeld, zodat die beveiligingsupdates kunnen ontwikkelen. bron: https://www.security.nl

Netwerkfabrikant AVM verwacht dat de vrije modemkeuze die vanaf 28 januari 2022 in Nederland van kracht wordt voor veiligere apparatuur zal zorgen en met name door "kritische" eindgebruikers zal worden aangegrepen. Na Finland in 2014, Duitsland in 2016 en Italië in 2018 zijn Nederlandse internetgebruikers over een aantal maanden niet meer gebonden aan de modem die hun internetprovider standaard levert. Dat komt door een nieuwe beleidsregel van de Autoriteit Consument & Markt (ACM) die over een aantal maanden ingaat. "Een significante groep eindgebruikers heeft behoefte de veiligheid van hun persoonlijke gegevens zelf te beheren en willen daarom ook modems en routers kunnen kiezen die dergelijk beheer in hun ogen beter mogelijk maken", aldus de toezichthouder. Iets wat ook volgens AVM het geval is: "Een grote groep kritische consumenten zal gaan kijken naar oplossingen die hen extra mogelijkheden bieden, zoals het veilig beheren van persoonlijke gegevens of het ondersteunen van slimme apparaten in huis." Het bedrijf verwacht dat de keuzevrijheid in deze branche zal zorgen voor een grotere focus op kwaliteit, brede inzetbaarheid en veiligheid. De nieuwe regel zou daarnaast de concurrentie en de innovatie op de markt van deze apparaten moeten stimuleren. De ACM liet eerder al weten dat het ook de overstap naar een andere provider moet vereenvoudigen, omdat de bestaande apparatuur naar de nieuwe provider kan worden meegenomen. bron: https://www.security.nl

Het Tor Project, de organisatie achter het Tor-netwerk en Tor Browser, heeft de eigen IRC-kanalen met het versleutelde chatplatform Matrix gekoppeld. Matrix is een protocol en platform dat versleutelde communicatie biedt. Het Tor Project biedt al lange tijd verschillende IRC-kanalen waar de community voor dagelijkse activiteiten gebruik van maakt. Bijvoorbeeld voor technische ondersteuning aan gebruikers, maar ook de ontwikkeling van het Tor-netwerk en -software. Nu heeft het Tor Project een koppeling tussen de eigen IRC-kanalen en Matrix gemaakt waardoor verschillende Tor-kanalen ook via Matrix toegankelijk zijn. "Voor normale Tor-gebruikers houdt dit in dat je nu met een vriendelijke app zoals Element met ons kunt chatten", zegt Alexander Faeroy van het Tor Project. Onlangs maakte de Duitse gezondheidszorg bekend dat het Matrix gekozen heeft als basis voor een nieuw te ontwikkelen chatplatform. bron: https://www.security.nl

Live streamingdienst Twitch heeft bevestigd dat door een verkeerde serverconfiguratie de eigen broncode en uitbetalingsgegevens van makers op internet zijn gelekt. Het zou echter om een "klein deel" van de makers gaan en een minimale impact hebben, zo laat Twitch in een update over het datalek weten. Verder meldt de dienst dat er geen inloggegevens van gebruikers zijn buitgemaakt. De bij Twitch gestolen data werd begin deze maand via een 125 gigabyte groot torrentbestand op internet aangeboden. Door een fout in een serverconfiguratie kon de data door een aanvaller worden gestolen. Volgens Twitch bestaat de gestolen data uit documenten van de eigen source code repository en uitbetalingsgegevens aan makers. Verschillende makers hadden al bevestigd dat informatie over wat Twitch hen betaalt op internet terecht was gekomen. De streamingdienst zegt dat het alle getroffen makers zal informeren. Verder meldt Twitch dat er geen wachtwoorden van gebruikers zijn gelekt. Ook is er geen toegang verkregen tot de systemen waar de inloggegevens zijn opgeslagen en zijn ook volledige creditcardnummers en bankgegevens niet gecompromitteerd. Eerder besloot Twitch al om de streamkeys te resetten van alle miljoenen streamers die van de dienst gebruikmaken. bron: https://www.security.nl

Cure, waanzinnig. En dan te bedenken dat ik in hun hoogtijdagen er ook zo bij heb gelopen als mijn naamgenoot... Mochten jullie meer muziek uit die periode willen horen: Just Your Music Station draait veel muziek uit deze periode. Iedere week komt er een nieuwe show uit. DJ schijn ik erg goed te kennen....

Zo'n 650.000 WordPress-sites lopen door een kwetsbaarheid in de plug-in WP Fastest Cache risico om door kwaadwillenden te worden overgenomen. WP Fastest Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Het is op meer dan één miljoen websites geïnstalleerd. Onderzoekers van Jetpack ontdekten twee kwetsbaarheden in de plug-in. De eerste kwetsbaarheid betreft geauthenticeerde SQL-injection en zorgt ervoor dat een aanvaller toegang tot de database kan krijgen, om zo bijvoorbeeld gebruikersnamen en gehashte wachtwoorden te stelen. De aanval is alleen mogelijk wanneer de classic-editor plug-in ook op de website actief is. De tweede kwetsbaarheid, aangeduid als CVE-2021-24869, betreft stored cross-site scripting (XSS) en cross-site request forgery (CSRF). Via dit beveiligingslek kan een aanvaller dezelfde acties als een ingelogde beheerder uitvoeren en zo volledige controle over de website krijgen. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,6 beoordeeld. Jetpack waarschuwde de ontwikkelaar van WP Fastest Cache op 29 september. Vervolgens verscheen op 11 oktober versie 0.9.5 waarin de kwetsbaarheden zijn verholpen. Sinds het uitkomen van de nieuwe versie is WP Fastest Cache zo'n 354.000 keer gedownload, wat inhoudt dat nog zo'n 650.000 WordPress-sites niet zijn bijgewerkt met de nieuwste versie van de plug-in. bron: https://www.security.nl

Onderzoekers hebben een malafide adblocker voor Google Chrome ontdekt die in officieel Chrome Web Store werd aangeboden en advertenties in de zoekresultaten van gebruikers injecteerde. Allblocker was al zeker sinds februari van dit jaar in de Chrome Web Store te vinden en omschreef zichzelf als een extensie die advertenties op populaire websites en sociale netwerken blokkeerde. In tegenstelling tot veel andere malafide adblockers blokkeerde Allblocker daadwerkelijk advertenties. Tegelijkertijd wijzigde de extensie links in zoekresultaten van onder andere Google. Wanneer gebruikers op een aangepaste link klikten werden ze doorgestuurd naar een pagina van een "affiliate". De extensie-ontwikkelaar zou vervolgens worden betaald als een gebruiker op deze pagina een product aanschafte of zich registreerde. Securitybedrijf Imperva ontdekte de malafide extensie, die inmiddels door Google uit de Chrome Web Store is verwijderd. Meer dan drieduizend mensen hadden de malafide adblocker geïnstalleerd. bron: https://www.security.nl

Google heeft dit jaar al meer dan 50.000 waarschuwingen verstuurd naar Gmail-gebruikers die het doelwit waren van een door een staat uitgevoerde of gesponsorde aanval. Een stijging van 33 procent ten opzichte van dezelfde periode vorig jaar. De toename is volgens Google te wijten aan een grootschalige campagne van een Russische groep aanvallers die bekendstaat als APT28 en Fancy Bear. Sinds 2012 laat Google een waarschuwing zien als het vermoedt dat gebruikers het doelwit zijn van door een staat gesponsorde aanvallers. "We versturen deze waarschuwingen opzettelijk in batches naar alle gebruikers die risico lopen, in plaats van het moment dat we de dreiging detecteren, zodat aanvallers onze verdedigingsstrategieën niet kunnen volgen", zegt Shane Huntley van de Google Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Volgens Huntley volgt de Threat Analysis Group op een doorsnee dag meer dan 270 door overheden gesteunde groepen uit meer dan vijftig landen. "Dit houdt in dat er meestal meer dan één aanvaller achter deze waarschuwingen zit", aldus Huntley. Hij merkt op dat duizenden gebruikers elke maand worden gewaarschuwd. In het geval van een waarschuwing wil dit niet zeggen dat het betreffende Gmail-account is gecompromitteerd, maar alleen dat de gebruiker in kwestie als doelwit is geïdentificeerd. bron: https://www.security.nl

Een malwarefamilie die op besmette systemen de inhoud van het clipboard aanpast heeft wereldwijd mogelijk miljoenen dollars aan cryptovaluta gestolen, zo stelt antivirusbedrijf Avast in een analyse. Het bedrijf analyseerde duizenden varianten van de MyKings-malware. Het botnet is al zeker sinds 2016 actief en maakt onder andere gebruik van bruteforce-aanvallen en bekende kwetsbaarheden om systemen te infecteren. MyKings bestaat uit verschillende modules, waaronder een "clipboard stealer". Deze module wijzigt de inhoud van het clipboard als het daar bepaalde informatie in aantreft. Het gaat dan onder andere om adressen van wallets voor bitcoin, dogecoin en ethereum. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. MyKings verandert het gekopieerde adres in dat van de aanvaller, zodat die het geld ontvangt. "De malware rekent op het feit dat gebruikers niet verwachten dat de geplakte waarde verschilt van de waarde die ze kopieerden", zegt onderzoeker Jan Rubin. Zeker bij de lange adressen van cryptowallets valt dit niet op. In de verschillende wallets van de MyKing-malware werd in totaal voor 24,7 miljoen dollar aan cryptovaluta aangetroffen. Het staat echter niet vast dat al dit geld door middel van de clipboard stealer is gestolen. Naast cryptovaluta wijzigt MyKings ook Steam trade offer-links en Yandex Disk-links die zich in het clipboard bevinden. Yandex Disk is vergelijkbaar met Google Drive en Dropbox en wordt gebruikt voor het delen van bestanden. De malware wijzigt de Yandex Disk-link in het clipboard. Zodra de besmette gebruiker deze link met anderen deelt, ontvangen die de aangepaste link die naar een ander bestand wijst dat in werkelijkheid malware is, zodat MyKings zich verder kan verspreiden. bron: https://www.security.nl

Vpn-dienst ProtonVPN heeft besloten om voor alle gebruikers standaard het WireGuard-protocol in te schakelen. Dat moet volgens het bedrijf voor betere prestaties zorgen. Het aantal regels code van WireGuard is veel kleiner dan dat van andere vpn-protocollen, wat het eenvoudiger uit te rollen, te gebruiken en te auditen zou moeten maken. Volgens ProtonVPN is WireGuard "extreem lichtgewicht", wat het sneller dan traditionele vpn-protocollen zoals OpenVPN en IKEv2 zou maken, met name op mindere krachtige hardware. Ook stelt de vpn-provider dat WireGuard door het lichtgewicht ontwerp de processor minder belast, wat voor betere prestaties en langere accuduur van laptops, telefoons en tablets zorgt. WireGuard staat standaard ingeschakeld voor ProtonVPN-gebruikers, hoewel het kan zijn dat die eerst een update van de vpn-client moeten downloaden of de Smart Protocol-feature moeten inschakelen. Gebruikers die van een ander vpn-protocol gebruik willen maken kunnen dat nog altijd zelf instellen. bron: https://www.security.nl

De Amerikaanse geheime dienst NSA heeft opnieuw een kwetsbaarheid in Exchange Server ontdekt waardoor remote code execution mogelijk is. Eerder dit jaar ontdekte en rapporteerde de dienst twee Exchange-kwetsbaarheden aan Microsoft (CVE-2021-28480 en CVE-2021-28481). Het nu verholpen beveiligingslek, waarvoor Microsoft gisteren een beveiligingsupdate uitbracht, wordt aangeduid als CVE-2021-26427. Via de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren en zo de server overnemen. Het beveiligingslek is echter niet vanaf het internet te misbruiken en vereist iets dat aan de aan te vallen server is gekoppeld, aldus Microsoft. Het gaat dan bijvoorbeeld om een bluetooth-verbinding, een logisch netwerk, zoals een lokaal ip-subnet, of een beveiligd of ander beperkt beheerdersdomein. Het meest aannemelijke scenario volgens Microsoft is een man-in-the-middle-aanval of een situatie waarbij er een andere omgeving in de buurt van Exchange-server is gecompromitteerd. Dustin Childs van het Zero Day Initiative vermoedt, op basis van het CVE-nummer, dat de kwetsbaarheid al begin dit jaar tegelijkertijd met de andere twee Exchange-kwetsbaarheden door de NSA is gerapporteerd. Die twee beveiligingslekken waren veel ernstiger en wel vanaf het internet te misbruiken. Naast CVE-2021-26427 zijn er gisteren drie andere kwetsbaarheden in Exchange verholpen die een denial of service-aanval mogelijk maken, een aanvaller die al toegang tot een server heeft zijn rechten laten verhogen of tot spoofing kunnen leiden. Microsoft zegt niet bekend te zijn met aanvallen die misbruik van de vier kwetsbaarheden maken, maar roept organisaties op om de beveiligingsupdates voor Exchange meteen te installeren. bron: https://www.security.nl

Microsoft heeft tijdens de patchdinsdag van oktober 71 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek dat in alle ondersteunde versies van Windows aanwezig is. Dit beveiligingslek, aangeduid als CVE-2021-40449, bevindt zich in de Win32k-kerneldriver en zorgt ervoor dat een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. De kwetsbaarheid alleen is niet voldoende om toegang tot een systeem te krijgen en moet met een ander beveiligingslek worden gecombineerd waardoor remote code execution mogelijk is. Het lek kan bijvoorbeeld ook worden gebruikt door malware die al op het systeem aanwezig is. Verdere details over de waargenomen aanvallen zijn niet door Microsoft gegeven. De kwetsbaarheid werd door een onderzoeker van antivirusbedrijf Kaspersky aan het techbedrijf gemeld. Kaspersy heeft wel meer details gegeven over de aanvallen, die in augustus en september van dit jaar werden opgemerkt. Volgens de virusbestrijder zijn de aanvallen uitgevoerd door een Chinese Advanced Persistent Threat (APT)-groep. Vooralsnog had deze groep het alleen voorzien op Windows-servers. De malware die bij de aanvallen werd gebruikt verzamelt informatie over besmette systemen en laat aanvallers op afstand commando's uitvoeren. bron: https://www.security.nl

Verschillende kwetsbaarheden in LibreOffice en OpenOffice maken het mogelijk om gesigneerde documenten en macro's te manipuleren waardoor het lijkt alsof ze van een betrouwbare bron afkomstig zijn. Er zijn beveiligingsupdates uitgerold om gebruikers te beschermen. Het gaat in totaal om drie kwetsbaarheden in Apache OpenOffice (CVE-2021-41830, CVE-2021-41831 en CVE-2021-41832) en LibreOffice (daar aangeduid als CVE-2021-25633, CVE-2021-25634 en CVE-2021-25635). LibreOffice en OpenOffice ondersteunen het signeren van documenten en macro's, zodat de ontvangende partij weet van wie die afkomstig zijn en dat ze niet zijn aangepast. Een aanvaller kan in het geval van CVE-2021-25635 zelf een document signeren met een digitale handtekening die het doelwit niet vertrouwt. Vervolgens kan het algoritme voor de digitale handtekening worden veranderd naar een ongeldig of onbekend algoritme en geven LibreOffice en OpenOffice ten onrechte aan dat de digitale handtekening geldig en van een vertrouwd persoon afkomstig is. Door middel van CVE-2021-25633 kan een aanvaller data van meerdere certificaten combineren, waardoor LibreOffice en OpenOffice via een indicator aangeven dat het om een geldig gesigneerd document gaat. De inhoud van het document staat echter los van de weergegeven digitale handtekening. Via CVE-2021-25634 is het daarnaast mogelijk om de timestamp van gesigneerde documenten aan te passen. Alle versies van Apache OpenOffice tot en met versie 4.1.10 zijn kwetsbaar. Gebruikers wordt aangeraden om te updaten naar versie 4.1.11. In het geval van LibreOffice krijgen gebruikers het advies om te updaten naar versie LibreOffice 7.0.6/7.1.2. bron: https://www.security.nl

Mozilla heeft de eigen vpn-dienst ook voor Nederlandse Firefox-gebruikers beschikbaar gemaakt. Vorig jaar juli werd Mozilla VPN als eerste in Canada, Maleisië, Nieuw-Zeeland, Singapore, het Verenigd Koninkrijk en de Verenigde Staten uitgerold. In april volgden Duitsland en Frankrijk. Deze zomer waren België, Italië, Oostenrijk, Spanje en Zwitserland al aan de beurt. Nu laat Mozilla weten dat Mozilla VPN ook in Nederland beschikbaar is. Mozillas vpn-dienst is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Wat betreft de samenwerking met Mullvad stelt Mozilla dat de vpn-provider de privacy van gebruikers respecteert en geen logbestanden bijhoudt. Ook Mozilla zelf zegt geen logbestanden bij te houden of netwerkgegevens van gebruikers te volgen of delen. Inmiddels maakt de vpn-dienst gebruik van meer dan 750 servers in meer dan dertig landen. De vpn-dienst kost 9,99 euro per maand, 42 euro voor een periode van zes maanden en 60 euro voor een jaar en is daarbij op vijf apparaten te gebruiken. Mozilla VPN werkt met Android versie 6 en nieuwer, iOS 13.0 en nieuwer, macOS 10.15 en nieuwer, Ubuntu en Windows 10 64-bit. Tevens is het gebruik van een Firefox-account verplicht. De vpn-dienst werkt niet vanuit China. bron: https://www.security.nl

Dat is mooi. Dan sluit ik dit topic. Veel plezier met de upgrade.

Heb je al eens gekeken of alle stekkers intern wel goed vast zitten en de pc stofvrij is? Het zou hier ook namelijk zomaar een probleem in een van de contacten kunnen zijn. Zorg, voordat je aan de gang gaat met de binnenkant, dat alle randapparaten en de stroom ontkoppeld zijn. Hou volgens even voor de zekerheid 10 seconden de centrale verwarming vast voor statische ontlading. Controleer dan even alle connectors. Zit er veel stof in de kast, kun je deze schoon blazen met een busje perslucht. Action is daarvoor inmiddels mijn vaste leverancier Wanneer je een ventilator schoon blaast, hou deze dan even met bijvoorbeeld een potlood geblokkeerd. Anders gaat de fan te hard draaien en blijft het vuil zitten.

En...is het gelukt?

Heb je ook al eens geprobeerd om je wifipunt in de garage op een andere plek te zetten en heb je al eens gemeten hoeveel wifipunten er in de buurt zitten? Zogenaamde deadspots in je wifi-bereik kunnen ook oorzaak zijn van dit probleem. Een tweede mogelijjheid is dat er teveel mensen in de buurt te dicht op jouw kanaal zitten. Dit kun je oa meten met een app op je telefoon: https://play.google.com/store/apps/details?id=com.farproc.wifi.analyzer&hl=en_US&gl=US Beide opties zou ik even uitsluiten omdat je aan geeft dat ook met je wifi-punt buiten je eigen "kooi" niet over houdt.

Microsoft heeft instructies online gezet waarmee gebruikers Windows 11 kunnen installeren op een systeem dat niet over een Trusted Platform Module (TPM) versie 2 beschikt. De Trusted Platform Module is een standaard voor het beschermen van cryptografische processen binnen een computer en wordt gebruikt voor het veilig opslaan van encryptiesleutels, wachtwoorden, certificaten en andere gevoelige data. Windows 11 gebruikt TPM 2.0 voor een aantal features, waaronder Windows Hello en BitLocker. De aanwezigheid van TPM 2.0 is dan ook onderdeel van de systeemeisen voor Windows 11. Volgens Microsoft beschikken de meeste pc's die de afgelopen vijf jaar zijn verschenen over een Trusted Platform Module 2.0. Het kan echter zijn dat die niet altijd staat ingeschakeld. Het techbedrijf heeft nu een document online geplaatst waarin wordt uitgelegd hoe de check van de Windows 11-installatie op de aanwezigheid van TPM 2.0 kan worden omzeild. Hiervoor moet een registersleutel worden aangemaakt. Daarnaast moet de computer in kwestie over een Trusted Platform Module versie 1.2 beschikken. Microsoft waarschuwt gebruikers voor het incorrect aanpassen van het Windows-register en het niet voldoen aan de systeemeisen voor Windows 11. bron: https://www.security.nl

Microsoft heeft Windows 11 gelanceerd voor nieuwe pc's en als gratis upgrade voor Windows 10-systemen. Vanaf vandaag is het nieuwe besturingssysteem beschikbaar op nieuwe apparaten die 'pre-loaded' met Windows 11 komen. Nieuwe systemen die met Windows 10 geleverd zijn zullen Windows 11 als eerste krijgen aangeboden. Daarnaast is de nieuwste Windowsversie beschikbaar voor Windows 10-systemen die aan de systeemeisen voldoen. Zo moet het systeem zijn uitgerust met een Trusted Platform Module (TPM) versie 2. In het geval van Windows 10 Home, dat de meeste thuisgebruikers hebben draaien, is een Microsoft-account en internetverbinding verplicht, zo staat in de systeemeisen vermeld. Volgens Microsoft is Windows 11 de veiligste Windowsversie tot nu toe, waarbij vooral wordt ingezet op de koppeling met clouddiensten. Daarnaast ondersteunt het besturingssysteem DNS-over-HTTPS. Windows 10-gebruikers die naar Windows 11 upgraden hebben tien dagen de tijd om terug naar de vorige installatie te gaan met behoud van bestanden en data. Daarna is een schone installatie van Windows 10 vereist. Voor gebruikers die niet willen of kunnen upgraden zal Microsoft Windows 10 tot 14 oktober 2025 van beveiligingsupdates blijven voorzien. bron: https://www.security.nl

Organisaties kunnen meer dan 99 procent van alle digitale aanvallen voorkomen als ze gebruik zouden maken van multifactorauthenticatie (MFA), beveiligingsupdates installeren en antivirussoftware draaien, zo claimt Microsoft. Toch maakt meer dan tachtig procent van Microsofts klanten geen gebruik van MFA om accounts te beschermen, zo stelt het techbedrijf in een nieuw rapport. "Als organisaties alleen MFA toepasten, antivirussoftware gebruikten en hun systemen up-to-date hielden zouden ze tegen meer dan 99 procent van de aanvallen die we tegenwoordig zien beschermd zijn", zegt Microsofts Tom Burt, corporate vicepresident Customer Security & Trust. Microsoft ziet naar eigen zeggen elke dag vijftig miljoen wachtwoordaanvallen op Azure Active Directory. "Slechts twintig procent van gebruikers en dertig procent van beheerders maken gebruik van sterke authenticatie zoals MFA", laat het rapport weten. Volgens Microsoft weten criminelen in de meeste gevallen nog altijd door een open deur binnen te komen en zijn daarom de basismaatregelen zo belangrijk. "Als gecompromitteerde organisaties basale securityhygiëne hadden toegepast. zoals het installeren van updates, of het inschakelen van multifactorauthenticatie, hadden ze de aanval kunnen voorkomen of had die een kleinere impact gehad." Het techbedrijf noemt het schokkend dat minder dan twintig procent van de klanten MFA heeft ingeschakeld. "Organisaties die deze basale hygiënemaatregelen niet toepassen zijn veel kwetsbaarder voor aanvallen." bron: https://www.security.nl

De Apache Software Foundation waarschuwt beheerders van webservers voor een onvolledige beveiligingsupdate en heeft een nieuwe fix uitgerold. Apache kwam op 4 oktober met een patch voor een kwetsbaarheid in Apache versie 2.4.49, aangeduid als CVE-2021-41773. Het ging om een zerodaylek, aangezien de kwetsbaarheid al voor het uitkomen van de update actief werd misbruikt. In eerste instantie werd gemeld dat via de kwetsbaarheid path traversal mogelijk is, waarmee een aanvaller toegang tot mappen en bestanden kan krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. Wanneer "mod-cgi" staat ingeschakeld en de standaardoptie "require all denied" in de configuratie ontbreekt is ook remote code execution mogelijk, zo waarschuwden beveiligingsonderzoekers. De problemen zouden met Apache versie 2.4.50 zijn verholpen, maar nu meldt de Apache Software Foundation dat de beveiligingsupdate onvolledig is en webservers nog steeds kwetsbaar voor path traversal en remote code execution zijn. Daarop is nu Apache HTTP Server versie 2.4.51 uitgebracht. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server. Securitybedrijf Rapid7 laat weten dat het zo'n 65.000 potentieel kwetsbare Apache-servers op internet heeft geïdentificeerd. Het kan echter zijn dat er meerdere Apache-servers op één ip-adres draaien, waardoor het aantal mogelijk hoger ligt. bron: https://www.security.nl

Google heeft afgelopen woensdag zo'n 14.000 Gmail-gebruikers gewaarschuwd voor een gerichte phishingaanval die door de Russische overheid zou zijn uitgevoerd. Volgens Shane Huntley, hoofd van Googles Threat Analysis Group, waren de phishingmails verstuurd door een groep aanvallers die bekendstaat als "APT28" en "Fancy Bear", zo laat hij tegenover Vice Magazine weten. Huntley benadrukt dat de waarschuwingen alleen laten weten dat de gebruiker een doelwit was, niet dat het account is gecompromitteerd. "Als we je waarschuwen is er een grote kans dat we de e-mail blokkeerden", aldus Huntley. Hij merkt op dat het grote aantal waarschuwingen deze maand wordt veroorzaakt door een klein aantal gerichte campagnes. Met de waarschuwing wil Google gebruikers laten weten dat ze een doelwit zijn en het verstandig is om extra beveiligingsmaatregelen voor een volgende aanval te nemen. "Als je een activist, journalist, overheidsfunctionaris bent of binnen de staatsveiligheid werkt zou deze waarschuwing eigenlijk geen verrassing moeten zijn. Op een gegeven moment zal een door een overheid gesteunde entiteit je waarschijnlijk iets proberen te sturen", gaat Huntley verder. Volgens het hoofd van de Threat Analysis Group zijn de meeste door staten gesteunde aanvallen met basale beveiligingsmaatregelen te blokkeren, zoals het gebruik van beveiligingssleutels, het installeren van beveiligingsupdates en bewustzijn. "Dat is waarom we deze waarschuwing versturen", merkt Huntley op. Sinds 2012 laat Google een waarschuwing zien als het vermoedt dat gebruikers het doelwit zijn van door een staat gesponsorde aanvallers. APT28 wordt voor een groot aantal aanvallen tegen overheden, bedrijven en personen verantwoordelijk gehouden. Verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de Franse televisiezender TV5, de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta, Europese hotels, het campagneteam van de Franse president Macron en vredesbeweging Pax zijn door de groep aangevallen. bron: https://www.security.nl

Microsoft gaat binnenkort standaard Excel 4.0-macro's bij Microsoft 365-gebruikers uitschakelen om hen zo tegen malafide documenten te beschermen. Dat heeft het techbedrijf in een e-mail aangekondigd. Sinds juli van dit jaar was het al mogelijk in het Excel Trust Center om het gebruik van Excel 4.0-macro's verder te beperken. Deze macroversie werd in 1992 geïntroduceerd en laat gebruikers allerlei taken binnen Excel automatiseren. De versie is inmiddels vervangen door macroversie 5.0. Toch maken aanvallers nog steeds op grote schaal gebruik van Excel 4.0-macro's om gebruikers met malware te infecteren. Standaard blokkeert Office het uitvoeren van macro's, maar laat gebruikers die via een paar muisklikken weer inschakelen. Met de aankomende update voor Microsoft 365 wordt het uitvoeren van Excel 4.0-macro's helemaal geblokkeerd. De aanpassing is beperkt tot eindgebruikers die deze macro-instelling niet hebben aangepast of waarbij geen group policy door hun beheerder is ingesteld. Gebruikers kunnen de instelling in het Excel Trust Center wijzigen, waardoor het uitvoeren van Excel 4.0-macro's weer mogelijk wordt. De uitrol van de feature begint eind deze maand en zal gefaseerd plaatsvinden. Halverwege december moet de uitrol zijn afgerond. bron: https://www.security.nl

Er is een nieuwe versie van encryptiesoftware GnuPG verschenen die een probleem met het nieuwe rootcertificaat van Let's Encrypt verhelpt. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. Het maakt hierbij gebruik van public key cryptography. Let's Encrypt is een certificaatautoriteit die gratis tls-certificaten uitgeeft. Op 30 september verviel het rootcertificaat van de certificaatautoriteit en wordt er van een nieuw certificaat gebruikgemaakt. Een overstap die niet geheel vlekkeloos verliep en voor problemen bij miljoenen gebruikers zorgde. Ook bij GnuPG veroorzaakte het nieuwe certificaat problemen. Het certificaat werd niet correct geselecteerd door de software, die daardoor geen gebruik kon maken van de Web Key Directory (WKD) en keyservers om publieke sleutels op te zoeken. Het probleem zou met GnuPG 2.2.32 moeten zijn verholpen. bron: https://www.security.nl