Captain Kirk

Microsoft neemt securitybedrijf RiskIQ over en zal de diensten en medewerkers van het bedrijf aan de eigen portfolio toevoegen. Dat heeft het techbedrijf net bekendgemaakt. Hoeveel Microsoft voor de overname betaald is niet bekend. Een bron liet tegenover Bloomberg weten dat het om meer dan 500 miljoen dollar gaat. RiskIQ biedt informatie over online dreigingen en "attack surface management", waarmee bedrijven meer zicht moeten krijgen op de dreigingen voor hun organisatie. Zo houdt RiskIQ zich onder andere bezig met het analyseren van gecompromitteerde webshops en bendes die daar creditcarddata stelen. In de aankondiging van de overname wijst Microsoft mede op het hybride werken en het beveiligen van de digitale transformatie. bron: https://www.security.nl

Softwarebedrijf SolarWinds waarschuwt klanten voor een actief aangevallen kwetsbaarheid in Serv-U Managed File Transfer en Serv-U Secure FTP waardoor remote code execution mogelijk is. Via beide programma's kunnen organisaties een server opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. Microsoft ontdekte dat een kwetsbaarheid in de software actief wordt misbruikt door één aanvaller en is ingezet tegen een "gerichte" groep klanten. Het beveiligingslek, aangeduid als CVE-2021-35211, doet zich alleen voor wanneer SSH voor de server is ingeschakeld. Serv-U versie 15.2.3 HF1 die op 5 mei uitkwam en alle eerdere versies zijn kwetsbaar. SolarWinds heeft een hotfix voor de kwetsbaarheid uitgebracht en roept klanten op om die te installeren. Verdere details over de kwetsbaarheid en aanvaller zijn niet gegeven. SolarWinds zegt pas met details te komen wanneer klanten voldoende tijd hebben gekregen om de beveiligingsupdate te installeren. bron: https://www.security.nl

Softwarebedrijf Kaseya heeft beveiligingsupdates uitgerold voor kwetsbaarheden in het programma VSA die vrijdag 2 juli bij een wereldwijde ransomware-aanval werden gebruikt. Inmiddels is 95 procent van de SaaS-klanten van Kaseya weer online. Managed serviceproviders (MSP's) gebruiken VSA om de systemen van hun klanten op afstand te beheren. MSP's kunnen VSA op hun eigen servers installeren of de SaaS-omgeving van Kaseya gebruiken. Vanwege de aanval adviseerde Kaseya aan managed serviceproviders om hun VSA-servers meteen offline te halen en te houden totdat er meer informatie bekend was. Ook de SaaS-omgeving van Kaseya zelf ging offline. Dit had tot gevolg dat MSP's de systemen van hun klanten niet meer via VSA konden beheren. VSA-systemen mochten pas weer online nadat de updates geïnstalleerd waren. Met VSA 9.5.7a worden meerdere kwetsbaarheden in de software verholpen, die onder andere door onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) werden gevonden en gerapporteerd aan Kaseya. Het gaat mede om een "credentials leak and business logic flaw" (CVE-2021-30116), cross-site scripting-kwetsbaarheid (CVE-2021-30119) en een manier om de tweefactorauthenticatie te omzeilen (CVE-2021-30120). Verschillende andere verholpen kwetsbaarheden, waaronder een beveiligingslek waardoor het ongeautoriseerd uploaden van bestanden naar de VSA-server mogelijk was, hebben vooralsnog geen CVE-nummer gekregen. Naast het uitbrengen van de patches heeft Kaseya ook een "Hardening and Best Practice Guide" online gezet voor het verder beveiligen van de VSA-omgeving. Kaseya heeft aangegeven dat het getroffen MSP's financieel zal ondersteunen. bron: https://www.security.nl

Ik heb dit topic meerdere malen gelezen en spring er toch even in. Voor de TS wordt het een beetje onduidelijk door een aantal zij-discussies. Mocht ik het goed begrijpen: TS wil een IP-camera ophangen in de tuin. Het signaal vanuit het aansluitpunt van de modem is niet toereikend. Wat ik vermoed is dat de camera ergens in of buiten een schuurtje of schutting gehangen zal worden. Ik neem aan dat de camera ook van stroom voorzien moet worden. En dan is dus een adopter voor internet via het stroomnetwerk het meest stabiele en eenvoudige. Wifi- hoe goed je punten dan ook, hebben altijd last van storing of mengen van signalen door buurtmodem. Mijn advies is dan ook de TS verder te helpen met het opzetten met de verbinding via de AC. Aansluiting op de modem (zie de foto van TS) ziet er goed uit. Ook al is een meterkast niet de meest ideale plaats. Maar wat dat betreft hebben jullie bij de provider geloof ik niet veel keuze.

Afspraken die Google met de Britse mededingsautoriteit CMA wil maken over de Chrome Privacy Sandbox kunnen beter, zo vindt Mozilla. Third-party trackingcookies zijn volgens Google de voornaamste manier om internetgebruikers op het web te volgen en hen zo gerichte advertenties te kunnen tonen. Vanwege de privacygevolgen hiervan zijn verschillende browsers inmiddels begonnen met het blokkeren van third-party cookies. Iets dat volgens Google negatieve gevolgen voor adverteerders heeft en het businessmodel van websites ondermijnt. Om gebruikers zonder het gebruik van third-party cookies toch gerichte advertenties te kunnen blijven tonen bedacht Google de Privacy Sandbox, een verzameling van technologieën, waaronder het veel bekritiseerde Federated Learning of Cohorts (FLoC). Begin dit jaar kondigde de Competition and Markets Authority (CMA) een onderzoek aan naar de Privacy Sandbox van Google. De mededingsautoriteit maakt zich zorgen dat de Privacy Sandbox de mogelijkheden van uitgevers om geld te verdienen ondermijnt, alsmede concurrentie op het gebied van digitale advertenties lastiger maakt. Hierdoor zou de marktmacht van Google verder worden versterkt. Vorige maand lieten de CMA en Google weten dat het techbedrijf met betrekking tot de Privacy Sandbox verschillende toezeggingen wil doen. Zo zegt Google dat de eigen advertentieproducten geen datavoordeel zullen hebben, het zichzelf geen voorkeursbehandeling geeft en het in een open dialoog met de CMA zal samenwerken. Als de CMA deze toezeggingen accepteert worden ze juridisch bindend. In aanloop naar een beslissing is nu een publieke consultatie gestart en Mozilla heeft hierop gereageerd. Volgens de Firefox-ontwikkelaar kunnen de toezeggingen van Google veel verder gaan en is er nu een unieke kans om de privacyeigenschappen van online advertenties te verbeteren wat de privacy van alle internetgebruikers ten goede komt. Hiervoor moet de CMA meer van Google verlangen, aldus Mozilla. Ten eerste moet de CMA voor een hoog privacyniveau en gelijk speelveld gaan. Ten tweede moet Google het uitfaseren van third-party cookies voor tracking niet koppelen aan de invoering van de Privacy Sandbox. Onlangs liet Google weten dat het uitfaseren van trackingcookies in Google Chrome wordt uitgesteld naar eind 2023, waarbij de implementatie van de Privacy Sandbox als reden werd gegeven. Als derde en laatste vindt Mozilla dat de voorstellen voor de Privacy Sandbox via een formeel proces bij een organisatie voor open standaarden moeten worden ontwikkeld en uitgerold. De consultatie is gisteren gesloten en de CMA zal binnenkort de uiteindelijke beslissing kenbaar maken. bron: https://www.security.nl

De noodpatch die Microsoft uitbracht voor het PrintNightmare-lek, ook bekend als CVE-2021-34527, werkt naar behoren, zo stelt het techbedrijf in een blogposting. Op 6 juli kwam Microsoft buiten de vaste patchcyclus om met een beveiligingsupdate voor de kwetsbaarheid in de Windows Print Spooler. Dit onderdeel van Windows is verantwoordelijk voor de verwerking van printjobs. Het beveiligingslek laat een aanvaller in het ergste geval willekeurige code met systeemrechten uitvoeren. Na het uitkomen van de noodpatch stelden verschillende beveiligingsonderzoekers dat de update onvolledig was en aanvallers de kwetsbaarheid in bepaalde gevallen nog steeds konden misbruiken. Microsoft laat nu weten dat het naar aanleiding van deze meldingen een onderzoek is gestart. Dat onderzoek heeft uitgewezen dat de noodpatch naar behoren werkt en effectief is tegen alle bekende exploits. "Alle meldingen die we hebben onderzocht zijn afhankelijk van het aanpassen van de standaard registerinstellingen met betrekking tot Point en Print naar een onveilige configuratie", aldus het techbedrijf. Microsoft roept organisaties dan ook op om de beveiligingsupdate meteen te installeren. Mocht uit onderzoek blijken dat er andere problemen zijn zegt Microsoft actie te zullen ondernemen. bron: https://www.security.nl

Softwarebedrijf Kaseya, waarvan de software vorige week werd gebruikt voor een wereldwijde ransomware-aanval, heeft een oud klantenportaal waarin een kwetsbaarheid zat jarenlang online laten staan. In 2015 werd er een beveiligingslek in de Kaseya VSA-software gevonden (CVE-2015-2862) waarvoor het bedrijf met een beveiligingsupdate kwam. Het klantenportaal van Kaseya, bereikbaar via portal.kaseya.net, was ook kwetsbaar voor dit beveiligingslek. Via de kwetsbaarheid is path traversal mogelijk en kan een aanvaller toegang tot allerlei bestanden op de webserver krijgen. In het geval van de VSA-software was de aanval alleen via een geauthenticeerde gebruiker mogelijk, maar dat was niet het geval bij de klantenportaal. Kaseya wist niet dat het klantenportaal ook kwetsbaar was, waardoor het beveiligingslek daarin nooit werd verholpen. In 2018 werd het klantenportaal uitgefaseerd en vervangen door een moderner klant- en ticketsysteem. Het oude portaal bleef echter online staan. Volgens Kaseya zijn er op dit moment geen aanwijzingen dat het oude klantenportaal op enige wijze betrokken is geweest bij de ransomware-aanval van vorige week. Er wordt echter nog onderzocht welke data in het systeem stond, zo laat het bedrijf tegenover it-journalist Brian Krebs weten. Nadat Kaseya werd geïnformeerd dat het oude klantenportaal kwetsbaar was werd het offline gehaald. bron: https://www.security.nl

Nederlandse beveiligingsonderzoekers hebben begin april zeven kwetsbaarheden in Kaseya VSA gevonden, waaronder één van de twee beveiligingslekken waar criminelen vorige week bij de wereldwijde ransomware-aanval gebruik van maakten. De onderzoekers maken deel uit van het Dutch Institute for Vulnerability Disclosure (DIVD), dat zich bezighoudt met beveiligingsonderzoek en het waarschuwen van kwetsbare organisaties. De beveiligingslekken die de DIVD-onderzoekers ontdekten maken het onder andere mogelijk om code op VSA-servers uit te voeren, de tweefactorauthenticatie te omzeilen, SQL Injection-aanvallen uit te voeren en inloggegevens te bemachtigen waarmee er toegang tot VSA-servers kan worden verkregen. Na ontdekking van de kwetsbaarheden werd Kaseya door het DIVD gewaarschuwd. Vier de van de beveiligingslekken werden vervolgens verholpen via updates die in april en mei verschenen. Drie van de kwetsbaarheden moesten nog in de VSA-software worden gepatcht. Eén van deze beveiligingslekken, aangeduid als CVE-2021-30116, werd vorige week bij de wereldwijde ransomware-aanval door criminelen gebruikt om toegang tot de VSA-servers van managed serviceproviders (MSP's) te krijgen. Via deze servers beheren MSP's de systemen van hun klanten. De standaard remote toegang die VSA biedt gebruikten de criminelen om vervolgens ransomware op klantsystemen te installeren. De ernst van CVE-2021-30116 is op een schaal van 1 tot en met 10 met een 10 beoordeeld. Daarnaast maakten de aanvallers ook misbruik van een andere kwetsbaarheid, zo laat het DIVD weten. Dit beveiligingslek was echter niet door de Nederlandse onderzoekers ontdekt. Het DIVD wil details over de gevonden kwetsbaarheden pas bekendmaken als Kaseya updates heeft uitgebracht en die op voldoende systemen zijn geïnstalleerd, om zo eventueel misbruik te voorkomen. bron: https://www.security.nl

De noodpatch die Microsoft uitbracht voor een kritieke kwetsbaarheid in de Windows Print Spooler blijkt onvolledig en de kwetsbaarheid in sommige scenario's niet te verhelpen, waardoor misbruik nog steeds mogelijk is. De kwetsbaarheid, aangeduid als CVE-2021-34527 en "PrintNightmare", bevindt zich in de Windows Print Spooler en maakt remote code execution en "locale privilege escalation" (LPE) mogelijk, waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Verschillende beveiligingsonderzoekers melden nu dat het LPE-probleem niet is verholpen, aangezien eerder ontwikkelde exploits nog steeds werken. In het geval van Windows 7, 8, 8.1 en Server 2008 en 2012 werkt dit standaard. Voor Windows 10 en 11 en Server 2016 en 2019 moet de Point & Print policy zijn ingeschakeld. Wanneer deze policy en de optie "NoWarningNoElevationOnInstall" staan ingeschakeld is ook remote code execution mogelijk. Point & Print staat echter niet standaard ingeschakeld. Onderzoeker Will Dormann maakte dit overzicht om duidelijk te maken wanneer systemen wel of niet kwetsbaar zijn. Het PrintNightmare-lek wordt veroorzaakt doordat een aanvaller of gebruiker die toegang tot een printserver heeft op deze server een driver vanaf een remote locatie kan installeren. De beveiligingsupdate van Microsoft controleert of er geen driver meer vanaf een remote server wordt geïnstalleerd. Deze controle blijkt echter zeer eenvoudig te omzeilen. Iets waarvoor Google-onderzoeker James Forshaw al op 2 juli voor waarschuwde. Verder heeft Microsoft de beveiligingsupdate nu ook beschikbaar gemaakt voor Windows 10 versie 1607, Windows Server 2016 en Windows Server 2012. Het techbedrijf had eerder al laten weten dat de patches voor deze versies later zouden komen. bron: https://www.security.nl

Een beveiligingsupdate van softwarebedrijf Kaseya waardoor duizenden managed serviceproviders (MSP's) hun VSA-servers weer online kunnen brengen heeft vertraging opgelopen, zo meldt het bedrijf. Vorige week maakte de groep achter de REvil-ransomware misbruik van verschillende kwetsbaarheden in de VSA-oplossing van Kaseya om klanten van MSP's met ransomware te infecteren. Managed serviceproviders gebruiken VSA voor het beheren van de systemen van hun klanten. VSA is beschikbaar als SaaS-oplossing en MSP's kunnen het op hun eigen servers installeren. Kaseya wilde eerst de SaaS-oplossing patchen en online brengen en daarna de beveiligingsupdate voor de VSA-servers van MSP's uitbrengen. Bij het online brengen van de SaaS-omgeving hebben zich echter problemen voorgedaan, waardoor de uitrol niet kon worden afgerond. Wanneer de SaaS-dienst nu online komt is onbekend. Dit heeft gevolgen voor MSP's met hun eigen VSA-servers, omdat Kaseya van plan was om na het online brengen van de SaaS-dienst binnen 24 uur een update voor managed serviceproviders uit te brengen. De installatie van deze patch is verplicht om VSA-servers weer online te kunnen brengen. In de tussentijd kunnen MSP's de systemen van hun klanten niet via VSA beheren. bron: https://www.security.nl

Microsoft heeft een noodpatch uitgebracht voor een kritieke kwetsbaarheid in Windows waardoor een aanvaller willekeurige code met systeemrechten kan uitvoeren. Het techbedrijf roept organisaties op om de beveiligingsupdate met spoed te installeren. De kwetsbaarheid, aangeduid als CVE-2021-34527 en "PrintNightmare", bevindt zich in de Windows Print Spooler en maakt remote code execution mogelijk. De Print Spooler is verantwoordelijk voor de verwerking van printjobs. Het beveiligingslek wordt veroorzaakt doordat een aanvaller of gebruiker die toegang tot een printserver heeft op deze server een driver vanaf een remote locatie kan installeren. Hierdoor is het mogelijk om de Print Spooler-service een willekeurig dll-bestand met systeemrechten te laten uitvoeren. Het probleem is in alle ondersteunde Windowsversies aanwezig. De nu uitgebracht beveiligingsupdate zorgt ervoor dat niet-systeembeheerders alleen gesigneerde printdrivers op een printserver kunnen installeren. Systeembeheerders kunnen standaard zowel niet-gesigneerd als wel gesigneerde drivers installeren. Microsoft laat weten dat beveiligingsupdates voor Windows Server 2016, Windows 10 versie 1607 en Windows Server 2012 binnenkort zullen verschijnen, aangezien die op dit moment nog niet klaar zijn om te worden uitgebracht. bron: https://www.security.nl

Een kwetsbaarheid in de Password Manager van antivirusbedrijf Kaspersky maakte het in sommige gevallen mogelijk voor een aanvaller om gegenereerde wachtwoorden te voorspellen. De virusbestrijder heeft een beveiligingsupdate uitgerold om het beveiligingslek te verhelpen. Het beveiligingsonderzoekteam van cryptowallet Legder, dat het probleem in juni 2019 ontdekte en rapporteerde, heeft nu de details openbaar gemaakt. De Kaspersky Password Manager (KPM) biedt een optie voor het genereren van wachtwoorden. Hierbij deden zich echter verschillende problemen voor. De grootste kwetsbaarheid was alleen het gebruik van de systeemtijd in seconden als "seed" voor het genereren van wachtwoorden. "Dit houdt in dat elke versie van Kaspersky Password Manager ter wereld op een gegeven seconde precies hetzelfde wachtwoord genereert", zegt onderzoeker Jean-Baptiste Bédrune. Volgens Bédrune was het daardoor mogelijk om elk wachtwoord te bruteforcen. "Er zijn bijvoorbeeld 315619200 seconden tussen 2010 en 2021, dus KPM had maximaal 315619200 wachtwoorden voor een gegeven karakterset kunnen genereren. Het bruteforcen hiervan neemt een paar minuten in beslag", merkt de onderzoeker op. Een voorwaarde was wel dat een aanvaller de tijd moest weten dat het wachtwoord werd gegenereerd. Veel websites en fora laten echter zien wanneer een account is aangemaakt. Aan de hand hiervan kan een aanvaller het accountwachtwoord met een klein aantal van zo'n honderd wachtwoorden proberen te bruteforcen en er zo toegang toe krijgen, stelt Bédrune. Kaspersky werd op 15 juni 2019 voor de kwetsbaarheid (CVE-2020-27020) gewaarschuwd. Tien dagen later bevestigde de virusbestrijder het probleem. Het beveiligingslek werd in oktober en december 2019 voor verschillende platformen verholpen. In oktober 2020 rolde Kaspersky een update uit als oplossing voor eerder gegenereerde wachtwoorden. In april van dit jaar publiceerde Kaspersky het beveiligingsbulletin voor de kwetsbaarheid. Vandaag maakte Ledger de details openbaar. bron: https://www.security.nl

De aanvallers achter de wereldwijde ransomware-aanval via de software van Kaseya hebben geen toegang tot de broncode van het bedrijf gehad of bijvoorbeeld de updateservers gebruikt om hun ransomware te verspreiden. Er is dan ook geen sprake van een supply-chain-aanval. Dat stelt Kaseya op basis van onderzoek. Volgens het bedrijf hebben de aanvallers gebruik gemaakt van verschillende zerodaylekken in Kaseya VSA. Hierdoor konden ze de authenticatie omzeilen en willekeurige commando's op de VSA-servers van managed serviceproviders (MSP's) uitvoeren. Vervolgens hebben de aanvallers de standaard functionaliteit van Kaseya gebruikt om ransomware bij de klanten van MSP's te installeren. Managed serviceproviders (MSP's) gebruiken Kaseya VSA voor het beheren van de systemen van hun klanten. Via VSA hebben MSP's dan ook op afstand toegang tot deze systemen. Nadat de aanvallers de VSA-servers van managed serviceproviders hadden gecompromitteerd konden ze probleemloos de systemen van klanten aanvallen. Voor zover nu bekend zijn er minder dan vijftienhonderd "downstream businesses" op deze manier getroffen. "We weten dat er veel informatie over dit incident rondgaat. Een deel klopt, maar heel veel niet", aldus Kaseya, dat zegt met meer informatie te zullen komen als dit beschikbaar komt.

NAS-fabrikant QNAP waarschuwt gebruikers van Hybrid Backup Sync (HBS) 3 voor een kritieke kwetsbaarheid waardoor aanvallers de veiligheid van het besturingssysteem kunnen compromitteren. Er is een beveiligingsupdate uitgebracht om het beveiligingslek te verhelpen. Het gaat om een "improper access control" kwetsbaarheid, maar verdere details worden niet door QNAP gegeven. HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. Een aantal weken geleden werden NAS-systemen van QNAP nog via een andere kwetsbaarheid in HBS 3 met de Qlocker-ransomware geïnfecteerd. Gebruikers wordt aangeraden om via het App Center te updaten naar: QTS 4.3.6: HBS 3 v3.0.210507 en nieuwer QTS 4.3.4: HBS 3 v3.0.210506 en nieuwer QTS 4.3.3: HBS 3 v3.0.210506 en nieuwer QNAP NAS-systemen met QTS 4.5.x met HBS 3 v16.x zijn niet kwetsbaar. bron: https://www.security.nl

Vpn-dienst LimeVPN heeft de privégegevens van ruim achthonderd gebruikers gelekt, waaronder namen, e-mailadres, factuuradres en mobiele telefoonnummers. Van minder dan honderd gebruikers zijn ook Wireguard "key informatie" en vpn-credentials door de aanvaller buitgemaakt, zo laat de vpn-provider via de eigen website weten. Deze gegevens zijn inmiddels gereset. De aanvaller claimt de gegevens van 10.000 gebruikers in handen te hebben en biedt die te koop aan op internet. Er gaan ook berichten rond dat de gegevens van 69.000 gebruikers zijn gestolen. Die berichten zijn echter onjuist, zo stelt LimeVPN. "We hebben geen 69.000 gebruikers op ons platform", aldus de provider op Twitter. De data is volgens het bedrijf gestolen van een secundaire facturatieserver. LimeVPN meldt verder dat er geen aanwijzingen zijn van misbruik van de gestolen gegevens. Klanten hoeven niets te doen, maar worden wel aangeraden om hun accounts te monitoren. Daarnaast is voor de getroffen accounts aanvullende fraudebescherming ingeschakeld. Wat dat precies inhoudt laat de vpn-dienst niet weten. Ook is onduidelijk hoe de gegevens door de aanvaller zijn gestolen. bron: https://www.security.nl

E-maildienst ProtonMail heeft onlangs een nieuwe versie van de eigen webmail en kalender gelanceerd en nu ook de security-audit openbaar gemaakt die het naar de applicaties liet uitvoeren (pdf). Het ging om een blackbox en whitebox penetratiest op de domeinen account.protonmail.com, beta.protonmail.com en calendar.protonmail.com, alsmede de broncode van de applicaties die via de GitHub-repository van ProtonMail te vinden was. De gevaarlijkste kwetsbaarheid die de onderzoekers aantroffen betrof reflected cross-site scripting. Zo had een aanvaller JavaScript kunnen toevoegen aan een afbeelding die als e-mailbijlage was toegevoegd. Wanneer de gebruiker deze afbeelding had geopend was het mogelijk geweest om "ongeautoriseerde handelingen" binnen de webmailapplicatie uit te voeren. De impact van deze kwetsbaarheid werd als "medium" beoordeeld. Verder bleek dat de webmailapplicatie gebruikers toestond om zwakke wachtwoorden te kiezen van bijvoorbeeld alleen acht cijfers en werd er via de HTTP response headers redundante informatie over gebruikte technologieën verstrekt. Aanvallers zouden deze informatie voor verdere aanvallen kunnen gebruiken. De onderzoekers vonden geen kritieke beveiligingslekken en de aangetroffen problemen zijn verholpen. bron: https://www.security.nl

MyCloud NAS-systemen van fabrikant Western Digital zijn door een reeks van kwetsbaarheden in het onderliggende besturingssysteem op afstand over te nemen, zo waarschuwen beveiligingsonderzoekers. Onlangs werden MyBook Live-systemen van WD het doelwit van een aanval waarbij de data van gebruikers werd gewist. Onderzoekers Radek Domanski en Pedro Ribeiro ontdekten verschillende kwetsbaarheden in MyCloud OS 3, het besturingssysteem van MyCloud NAS-systemen, die het mogelijk voor een ongeauthenticeerde aanvaller maken om code als root uit te voeren en een permanente backdoor op het NAS-systeem te installeren. De onderzoekers wilden hun bevindingen vorig jaar november demonstreren tijdens de Pwn2Own-hackwedstrijd in Tokio. Een aantal dagen voor het evenement lanceerde Western Digital MyCloud OS 5, waarin de kwetsbaarheid niet aanwezig is. Daardoor konden ze niet meer met hun inzending aan Pwn2Own meedoen, aangezien alleen demonstraties tegen de laatste versie van de software worden geaccepteerd. In februari van dit jaar demonstreerden de onderzoekers hun aanval in YouTube-video. Ook ontwikkelden ze een onofficiële patch voor het probleem. Volgens de onderzoekers reageerde Western Digital niet op hun bugmelding. In een reactie tegenover it-journalist Brian Krebs laat WD weten dat het de bugmelding na Pwn2own heeft ontvangen, maar dat de kwetsbaarheid al in MyCloud OS 5 was verholpen. Het is echter onduidelijk of het beveiligingslek in MyCloud OS 3 is opgelost. In maart van dit jaar waarschuwde WD dat deze versie van het besturingssysteem niet meer wordt ondersteund. Gebruikers werd opgeroepen om te upgraden naar OS 5. Domanski en Ribeiro stellen dat OS 5 belangrijke features mist die wel in OS 3 aanwezig zijn, waardoor sommige gebruikers er misschien voor kiezen om niet te upgraden. Om eventueel misbruik te voorkomen wordt deze gebruikers aangeraden hun NAS niet direct vanaf het internet toegankelijk te maken. bron: https://www.security.nl

Softwareleverancier Kaseya heeft bevestigd dat de VSA-software die het levert aan managed serviceproviders (MSP's) is gebruikt voor een wereldwijde ransomware-aanval. Daarbij zijn meer dan duizend bedrijven slachtoffer geworden. Via VSA kunnen managed serviceproviders op afstand de systemen van hun klanten beheren. Hoe de aanval precies is uitgevoerd laat Kaseya niet weten, maar het bedrijf zegt de aanvalsvector te hebben gevonden. Eerder stelde onderzoeker Mark Loman van antivirusbedrijf Sophos dat de aanvallers via een malafide Kaseya-update de ransomware hebben verspreid. Dit wordt nu bevestigd door Cisco en Symantec. Cisco zegt dat de aanvallers gebruikmaakten van een malafide automatische update voor de VSA endpoint monitoringsoftware die uiteindelijk de REvil-ransomware installeert. "In veel gevallen zijn tijdens netwerkgebaseerde ransomware-aanvallen ook back-upservers het doelwit, wat het belang onderstreept van het geregeld testen van een offline back-up- en herstelstrategie", aldus Joe Marshal van Cisco. Volgens securitybedrijf Huntress zijn zo'n dertig MSP's in de Verenigde Staten, Australië, Europa en Latijns-Amerika getroffen waarbij de VSA-software werd gebruikt om meer dan duizend bedrijven met ransomware te besmetten. Voor het ontsleutelen van bestanden eisen de aanvallers bedragen van tussen de 45.000 en 5 miljoen dollar. Eerder liet Kaseya al weten dat wereldwijd minder dan veertig managed serviceproviders slachtoffer zijn geworden. Het softwarebedrijf heeft een "Compromise Detection Tool" ontwikkeld waarmee VSA-klanten kunnen controleren of hun omgeving is gecompromitteerd. De tool is op verzoek bij Kaseya verkrijgbaar. Tevens is de FBI bij het onderzoek naar de aanval betrokken. Kaseya herhaalt het advies aan MSP's om hun VSA-servers offline te houden. Dit heeft als gevolg dat het niet mogelijk is om systemen van klanten op afstand via VSA te beheren. bron: https://www.security.nl

Indonesische gebruikers van Internet Explorer zijn het doelwit geworden van een aanval waarbij criminelen via een WPAD-domein automatisch malware probeerden te installeren. WPAD staat voor Web Proxy Auto-Discovery en laat computers binnen een organisatie via een configuratiebestand dezelfde webproxyconfiguratie gebruiken. In plaats van het individueel configureren van elke computer die met het netwerk verbinding maakt, vindt WPAD het proxyconfiguratiebestand en past deze configuratie automatisch toe. WPAD staat standaard op Windows en Internet Explorer ingeschakeld. Het kan echter voorkomen dat requests van de browser bedoeld voor WPAD niet bij de dns-server van de organisatie maar bij publieke dns-servers terechtkomen. Recentelijk ontdekte antivirusbedrijf Trend Micro dat aanvallers het domein wpad.id hadden geregistreerd en daar vanaf een kwaadaardig bestand aanboden dat werd uitgevoerd wanneer IE-gebruikers het domein bezochten. "Door middel van deze techniek kan een zero-click-aanval worden uitgevoerd, aangezien de WPAD-url bij het starten van het systeem wordt benaderd, zonder enige invoer van gebruikers", aldus onderzoeker William Gamazo Sanchez. Het bestand dat via wpad.id werd aangeboden maakte misbruik van een kwetsbaarheid in Internet Explorer (CVE-2019-1367) waarvoor Microsoft op 23 september 2019 een beveiligingsupdate uitgebracht. In het geval van een ongepatchte browser konden de aanvallers vervolgens automatisch malware installeren. Gebruikers van wie IE up-to-date is liepen geen risico. De onderzoekers ontdekten geen andere geregistreerde WPAD-domeinen van de aanvallers. bron: https://www.security.nl

Aanvaller zijn er begin dit jaar in geslaagd om een webserver van de Mongoolse certificaatautoriteit MonPass te compromitteren en de clientsoftware van een backdoor te voorzien. Dat laat antivirusbedrijf Avast weten. Certificaatautoriteiten geven tls-certificaten uit die worden gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers en het identificeren van websites. Ze spelen zodoende een zeer belangrijke rol op internet. De onderzoekers van de virusbestrijder vonden op een server van MonPass in totaal acht verschillende webshells en backdoors. Via een webshell kan een aanvaller verbinding met de server maken en verdere aanvallen uitvoeren. Daarnaast wisten de aanvallers de MonPass-clientsoftware die via de server werd aangeboden van een backdoor te voorzien. Het ging om de Cobalt Strike-software die bij installatie van de clientsoftware ook werd uitgevoerd. Cobalt Strike is een tool die onder andere door aanvallers wordt gebruikt om netwerken te compromitteren. De besmette software werd van 8 februari tot 3 maart van dit jaar via de officiële MonPass-server aangeboden. Hoe de server kon worden gecompromitteerd is niet bekend. De backdoor in de software werd op 24 maart van dit jaar door Avast gedetecteerd. Op 20 april deelde MonPass een image van de gecompromitteerde webserver. Twee dagen later deelde het antivirusbedrijf informatie over het incident met de certificaatautoriteit. Pas op 29 juni liet MonPass weten dat het probleem was verholpen en klanten waren ingelicht. Daarop heeft Avast nu de details openbaar gemaakt. bron: https://www.security.nl

Microsoft heeft bevestigd dat er inderdaad een nieuwe kwetsbaarheid in de Windows Print Spooler aanwezig is die remote code execution mogelijk maakt, zoals eerder al door het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit werd gesteld. Via het beveiligingslek kan een aanvaller volledige controle over het systeem krijgen. Een beveiligingsupdate is nog niet beschikbaar, maar Microsoft heeft wel workarounds gepubliceerd waarmee organisaties zich kunnen beschermen. Eerder deze maand kwam Microsoft met een beveiligingsupdate voor een kritieke kwetsbaarheid in de Windows Print Spooler, aangeduid als CVE-2021-1675. Op internet verschenen eerder deze week verschillende exploits die stellen misbruik te maken van deze kwetsbaarheid. Nu blijkt dat deze exploits misbruik van een ander lek maken dat door Microsoft het CVE-nummer CVE-2021-34527 heeft gekregen. Volgens het techbedrijf gaat het om een remote code execution kwetsbaarheid die lijkt op CVE-2021-1675, maar verschillend is. Een impactscore en ernst van het lek is nog niet bekend. Wel verschilt de aanvalsvector ten opzichte van het andere Spooler-lek. Om misbruik van de kwetsbaarheid te maken moet een geauthenticeerde aanvaller de functie RpcAddPrinterDriverEx aanroepen, waarmee er een printerdriver op de printserver wordt geïnstalleerd. Onder andere domeincontrollers zijn kwetsbaar. CVE-2021-34527 is niet met de beveiligingsupdate voor CVE-2021-1675 geïntroduceerd en was daarvoor al in Windows aanwezig, laat Microsoft verder weten. Alle ondersteunde Windowsversies zijn kwetsbaar. Microsoft heeft twee tijdelijke oplossingen gepubliceerd. De eerste optie is het uitschakelen van de Print Spooler service. Dit heeft als nadeel dat het systeem niet meer kan printen. De tweede optie betreft het uitschakelen van inbound remote printing. Het systeem fungeert dan niet meer als printserver, maar lokaal printen is dan nog wel mogelijk. bron: https://www.security.nl

Onderzoekers hebben een variant van de Mirai-malware ontdekt die beveiligingscamera's van fabrikant Kguard infecteert en onderdeel van een botnet maakt dat ddos-aanvallen uitvoert. Voor het infecteren van de camera's maakt de malware misbruik van een onbekende kwetsbaarheid in de firmware van de apparaten, zo meldt het Network Security Research Lab van securitybedrijf 360 in een analyse. Via het beveiligingslek is het mogelijk voor een ongeauthenticeerde aanvaller om op afstand systeemcommando's uit te voeren. In firmwareversies die na 2017 voor Kguard-beveiligingscamera's zijn verschenen lijkt het probleem te zijn verholpen, aldus de onderzoekers. Die vonden nog zo'n drieduizend camera's die via internet toegankelijk zijn en de kwetsbaarheid bevatten. Het beveiligingslek is aanwezig in meer dan twintig cameratypes van Kguard en wordt volgens de onderzoekers al sinds maart van dit jaar aangevallen. De meeste gecompromitteerde beveiligingscamera's bevinden zich in de Verenigde Staten, Brazilië en Zuid-Korea. Om misbruik te voorkomen zijn er geen uitgebreide details over het lek bekendgemaakt. bron: https://www.security.nl

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit waarschuwt organisaties voor een kritieke kwetsbaarheid in de Windows Print Spooler waardoor een remote geauthenticeerde aanvaller willekeurige code met SYSTEM-rechten op een kwetsbaar systemen kan uitvoeren. Een beveiligingsupdate van Microsoft is nog niet beschikbaar. Eerder deze maand kwam Microsoft met een beveiligingsupdate voor een kritieke kwetsbaarheid in de Windows Print Spooler, aangeduid als CVE-2021-1675. Security.NL besteedde gisteren ook aandacht aan dit beveiligingslek en hoe het kan worden gebruikt om volledige controle over Windows-domeincontrollers te krijgen. Op internet zijn verschillende exploits verschenen die stellen misbruik te maken van deze kwetsbaarheid, die ook wel PrintNightmare wordt genoemd. Het CERT/CC laat nu weten dat de betreffende exploits misbruik van een andere kwetsbaarheid maken waarvoor nog geen CVE-nummer beschikbaar is. Als tijdelijke oplossing wordt aangeraden om de Windows Print Spooler service te stoppen en uit te schakelen. De Print Spooler is verantwoordelijk voor het verwerken van printjobs. Het uitschakelen van de service zorgt ervoor dat het betreffende systeem niet meer kan printen. Securitybedrijf Truesec adviseert een andere oplossing. Bij tenminste één van de online verschenen exploits wordt een dll-bestand in een subdirectory onder C:\Windows\System32\spool\drivers geplaatst. Door de access control list (ACL) voor deze directory en subdirectories aan te passen wordt voorkomen dat een er een kwaadaardig dll-bestand kan worden geplaatst, aldus onderzoeker Fabio Viggiani. Deze oplossing heeft als nadeel dat systeembeheerders geen nieuwe drivers kunnen toevoegen en gebruikers geen print queues, stelt onderzoeker Kevin Beaumont. bron: https://www.security.nl

Gebruikers van Twitter kunnen vanaf nu beveiligingssleutels als de enige methode voor tweefactorauthenticatie (2FA) kiezen, zo heeft de microbloggingdienst aangekondigd. Bij 2FA moeten gebruikers naast hun wachtwoord een tweede factor gebruiken, bijvoorbeeld een code die via sms of een authenticator-app is verkregen of het aansluiten van een beveiligingssleutel. Een fysieke beveiligingssleutel is een apparaatje dat bijvoorbeeld via usb, nfc of bluetooth met de computer verbinding maakt. Na het invoeren van een wachtwoord controleert Twitter de aanwezigheid van de beveiligingssleutel als tweede inlogfactor. Voorheen moesten gebruikers bij het gebruik van een beveiligingssleutel ook een aanvullende 2FA-methode opgeven, zoals sms of de authenticator-app. Die verplichting is nu komen te vervallen. "Beveiligingssleutels zijn nu als je enige authenticatiemethode te gebruiken, zonder dat de andere methodes moeten zijn ingeschakeld", laat Twitter weten. "We weten dat dit belangrijk voor mensen is, omdat niet iedereen over een back-up 2FA-methode beschikt of hun telefoonnummer met ons wil delen", zegt Andy Sayler van Twitter. De microbloggingdienst stelt dat beveiligingssleutels de beste manier zijn om accounts te beschermen. "Hoewel elke vorm van 2FA beter is dan geen 2FA, zijn fysieke beveiligingssleutels het meest effectief. Beveiligingssleutels zijn kleine apparaten die netwerken als de sleutels van je woning. Net als je een fysieke sleutel nodig hebt om de deur open te doen, heb je een beveiligingssleutel om toegang tot je account te krijgen", aldus Sayler. Daarnaast beschermen beveiligingssleutels tegen phishing. De naam van de website wordt namelijk cryptografisch gesigneerd. Daardoor werkt de sleutel alleen bij de websites waarvoor die moet werken en niet bij een phishingsite. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de Print Spooler Service van Windows maakt het voor ingelogde domeingebruikers mogelijk om Windows-domeincontrollers volledig over te nemen en code met systeemrechten uit te voeren. Systeembeheerders wordt aangeraden om de Print Spooler Service, die verantwoordelijk is voor de verwerking van printjobs, op hun domeincontrollers uit te schakelen. Microsoft bracht begin deze maand een beveiligingsupdate uit, maar volgens verschillende onderzoekers biedt die geen volledige bescherming en zijn servers daardoor nog steeds kwetsbaar. Het beveiligingslek wordt aangeduid als CVE-2021-1675 en "PrintNightmare" en werd gerapporteerd door securitybedrijven Tencent Security, AFINE en NSFOCUS. In eerste instantie stelde Microsoft dat de kwetsbaarheid alleen kon worden gebruikt door een aanvaller om zijn rechten op een al gecompromitteerd systeem te verhogen. Dertien dagen na de publicatie van het beveiligingsbulletin stelde Microsoft dat de kwetsbaarheid remote code execution mogelijk maakt en verhoogde de ernst van het lek van laag naar kritiek. Begin deze week publiceerde securitybedrijf QiAnXin op Twitter een demonstratie waarbij wordt getoond hoe een aanvaller via het lek code kan uitvoeren. Ook verscheen er proof-of-concept exploitcode online. Beveiligingsonderzoeker Matthew Hickey liet eerder vandaag op Twitter zien hoe een volledig gepatchte Windows 2019-domeincontroller via de kwetsbaarheid is te compromitteren. "Dit is erg belangrijk. Als je de Print Spooler Service hebt ingeschakeld (wat standaard is), kan elke remote geauthenticeerde gebruiker code als SYSTEM op de domeincontroller uitvoeren. Stop en schakel de service op elke domeincontroller nu uit!", zegt Will Dormann, analist bij het CERT Coordination Center (CERT/CC). Tijdens de komende Black Hat-conferentie in Las Vegas zullen onderzoekers van securitybedrijf Sangfor een presentatie over de kwetsbaarheid geven, die ze naar zeggen onafhankelijk van de drie andere bedrijven ontdekten. Windows-domeincontrollers worden gebruikt voor verschillende taken met betrekking tot het authenticeren van gebruikers en computers en vervullen een essentiële rol in het netwerk. bron: https://www.security.nl