Captain Kirk

Microsoft rolt in juli van dit jaar een update uit die Adobe Flash Player van Windows-computers verwijdert. Flash Player wordt sinds dit jaar niet meer door Adobe ondersteund en ook verschillende browserontwikkelaars hebben inmiddels de ondersteuning van de technologie uit hun browsers verwijderd. Daarnaast kwam Adobe met een update waardoor Flash Player sinds 12 januari geen Flash-content meer afspeelt. Om Flash Player van systemen te verwijderen kwam Microsoft vorig jaar al met Update KB4577586. Gebruikers die Flash Player van hun systeem willen hebben moeten deze update handmatig via de Microsoft Catalog downloaden en installeren. Microsoft kondigde aan dat de update ook via Windows Update zou worden uitgerold. Nu heeft het techbedrijf hierover meer informatie gegeven. In juni zal update KB4577586 worden toegevoegd aan de Preview Update voor Windows 10 versie 1809 en nieuwer. Het gaat hier echter om een optionele update. Vanaf juli is het einde van Flash Player definitief, want dan zal de update die de technologie verwijdert via Windows Update op alle Windows 10-computers worden uitgevoerd, alsmede op systemen die Windows 8.1, Windows Server 2012 en Windows Embedded 8 Standard draaien. Tevens zal Flash Player bij het updaten naar Windows 10 versie 21H1 of nieuwer worden verwijderd. bron: https://www.security.nl

Een kwetsbaarheid in ExifTool, software voor het bekijken en aanpassen van metadata in allerlei soorten bestanden, maakt het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren als er een malafide afbeelding wordt geopend. Het beveiligingslek, aangeduid als CVE-2021-22204, wordt veroorzaakt door de manier waarop ExifTool omgaat met gebruikersdata in het DjVu-bestandsformaat. Een aanvaller kan hier via een geldige afbeelding misbruik maken om zijn code op het systeem van de gebruiker uit te voeren. Verdere details over het lek zijn niet gegeven. De kwetsbaarheid is verholpen in ExifTool versie 12.24 en nieuwer. Beveiligingsonderzoeker William Bowling, die het lek ontdekte, maakte een demonstratie waarbij een aanval op een kwetsbare versie wordt getoond. ExifTool is beschikbaar als een platformonafhankelijke Perl-library, maar ook als losse applicatie voor macOS en Windows. bron: https://www.security.nl

Dat is balen. Helaas was ons vermoeden juist. Maar voor die 1000 kun je een behoorlijke laptop aanschaffen. Succes met de zoektocht.

Dat kennen we. Mijn zoon had van de week ook zo een 24 uur waar hij zich doorheen moest worstelen 😁 Ik weet bijna wel zeker dat het probleem de accu is. Te sterke accu qua vermogen kan ervoor zorgen dat niet iedere component het vermogen ook kan verwerken. Je zou de gok kunnen wagen de laptop te starten alleen op de originele voeding. Misschien valt dan de schade nog mee. Indien de laptop niet meer start, is het betreffende beschadigde onderdeel vaak niet meer terug te vinden, laat staan, te vervangen. Dus dan moet er al snel een nieuw moederbord in. Vaak betaal je ook nog eens voor onderzoekskosten, los van of ze het probleem kunnen vinden en fixen. Mijn advies zou dan ook zijn op zoek te gaan naar een nieuw model. Let dan vooral op het werkgeheugen. 8 is mooi, 16 nog beter. Laptops met 4g. draaien wel maar bij multitasking en een spel ga je vertraging merken. AMD of Intel, schelen niet zo veel van elkaar. Op dit moment loopt AMD iets voor. Maar dat merk je vooral bij het draaien van echt zware applicaties.

QNAP heeft eigenaren van een NAS-systeem gewaarschuwd voor een variant van de AgeLocker-ransomware die data op de apparaten versleutelt. Onlangs werden QNAP-NASsen ook al doelwit van de Qlocker-ransomware die honderden systemen infecteerde. Verdere details over de ransomware zijn nog niet gegeven. QNAP stelt dat het onderzoek nog gaande is. Wel wordt gebruikers aangeraden om het QTS-besturingssysteem of QuTS hero en alle geïnstalleerde applicaties geregeld te updaten. Om het NAS-systeem verder te beveiligen wordt aangeraden om die niet voor het hele internet bereikbaar te maken. Wanneer de NAS toch online toegankelijk moet zijn adviseert QNAP het gebruik van een vpn of een myQNAPcloud-link. Vorig jaar september kwam QNAP ook al met een waarschuwing voor de AgeLocker-ransomware. Die variant bleek zich te verspreiden via een beveiligingslek in het programma Photo Station dat op de NAS-systemen kan draaien. bron: https://www.security.nl

België heeft ziekenhuizen niet aangemerkt als aanbieders van essentiële diensten, wat gevolgen heeft voor de beveiliging van systemen en het reageren op cyberaanvallen. Dat meldt de Belgische krant De Tijd. In 2016 werd de Europese Network and Information Systems (NIS)-richtlijn aangenomen. Die verplicht dat aanbieders van vitale diensten maatregelen nemen om hun systemen te beveiligden en incidenten en aanvallen melden. In Nederland werd de NIS-richtlijn omgezet naar de Wet beveiliging netwerk- en informatiesystemen (Wbni). De richtlijn verplicht vitale aanbieders om technische en organisatorische beveiligingsmaatregelen te nemen om cyberincidenten te voorkomen of hun impact te beperken. Ook moet er beveiligingsbeleid zijn uitgewerkt, geldt er een meldplicht voor het melden van ernstige incidenten en moeten er periodiek audits naar de veiligheid van systemen worden uitgevoerd. In België werd de richtlijn twee jaar geleden naar nationale wetgeving omgezet. De Belgische regering heeft echter nagelaten om ziekenhuizen als essentiële dienst aan te merken. Die zijn daardoor niet verplicht om cyberaanvallen te melden en kunnen in het geval van een incident niet eenvoudig een beroep doen op de overheid om hen te helpen. De Belgische minister van Volksgezondheid Frank Vandenbroucke laat in een reactie weten dat hij de situatie wil verbeteren. "Naar aanleiding van de recente cyberaanvallen is de overheid opnieuw in overleg gegaan met de sector van de ziekenhuizen en de laboratoria, en werden een aantal instrumenten aangereikt om de cyberveiligheid te verhogen. Sinds begin dit jaar wordt de richtlijn NIS-2 besproken. Binnen dit kader willen we tot een aanpak komen op maat van de ziekenhuissector." bron: https://www.security.nl

Mozilla heeft de eigen vpn-dienst nu ook gelanceerd in Duitsland en Frankrijk. Wanneer Nederland aan de beurt is, is nog niet bekend. Vorig jaar juli werd Mozilla VPN als eerste in Canada, Maleisië, Nieuw-Zeeland, Singapore, het Verenigd Koninkrijk en de Verenigde State uitgerold. De vpn-dienst maakt gebruik van het WireGuard-protocol dat volgens de ontwikkelaar een snellere, eenvoudigere en modernere vpn-oplossing is dan IPSec. Ook zou het beter moeten presteren dan de populaire vpn-oplossing OpenVPN. Het aantal regels code van WireGuard is veel kleiner dan dat van andere vpn-protocollen, wat het eenvoudiger uit te rollen, te gebruiken en te auditen zou moeten maken. Mozillas vpn is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Wat betreft de samenwerking met Mullvad stelt Mozilla dat de vpn-provider de privacy van gebruikers respecteert en geen logbestanden bijhoudt. Ook Mozilla zelf zegt geen logbestanden bij te houden of netwerkgegevens van gebruikers te volgen of delen. De vpn-dienst kost 5 dollar per maand en werkt met Android versie 8 en nieuwer, iOS 12.0 en nieuwer, macOS 10.14 en nieuwer, Ubuntu 18.04 en nieuwer en Windows 10 64-bit. Tevens is het gebruik van een Firefox-account verplicht. bron: https://www.security.nl

Klanten van wachtwoordmanager Passwordstate, die onlangs slachtoffer van een supply-chain-aanval werd, zijn doelwit van een gerichte phishingaanval geworden, zo laat softwareontwikkelaar Click Studios weten. Het bedrijf roept klanten tevens op om e-mails over de supply-chain-aanval niet via social media te delen. Passwordstate is een on-premise webgebaseerde oplossing voor zakelijk wachtwoordbeheer. Vorige week liet ontwikkelaar Click Studios weten dat aanvallers het updatemechanisme van de wachtwoordmanager hadden gecompromitteerd en zo klanten met malware konden infecteren. Volgens Click Studios wordt de wachtwoordmanager door 29.000 klanten en 370.000 it-professionals wereldwijd gebruikt, waaronder Fortune 500-bedrijven. De malafide update downloadde weer een ander bestand dat informatie over het besmette systeem, zoals gebruikersnaam, domeinnaam, computernaam, draaiende services, en Passwordstate-data terugstuurde naar de aanvallers. Daardoor is er een risico dat wachtwoorden van klanten in handen van de aanvallers terecht zijn gekomen. De afgelopen dagen heeft Click Studios via e-mail met klanten over de supply-chain-aanval en verspreidde malware gecommuniceerd. Sommige klanten deelden deze e-mails via social media. Iets wat Click Studios afraadt om te doen, aangezien de aanvaller hier nu misbruik van blijkt te maken. De inhoud van deze e-mails is namelijk gebruikt voor phishingaanvallen op klanten, aldus de softwareontwikkelaar. In de phishingmails die over de supply-chain-aanval gaan wordt klanten opgeroepen om een bepaald zip-bestand te downloaden. Dit zip-bestand bevat een variant van de malware die bij de supply-chain-aanval werd gebruikt en downloadt een aanvullend bestand. Wat dit bestand precies doet wordt op het moment nog onderzocht. Klanten wordt dan ook aangeraden om alert te zijn op phishingmails en bij twijfel contact op te nemen met de helpdesk (pdf). bron: https://www.security.nl

Cloudprovider DigitalOcean heeft van een onbekend aantal klanten de privégegevens gelekt die in handen van een aanvaller zijn gekomen. De datadiefstal vond plaats tussen 9 en 22 april van dit jaar. Daarbij kreeg de aanvaller toegang tot de naam, adresgegevens en creditcardgegevens van klanten. Wat de creditcardgegevens betreft gaat het om verloopdatum, laatste vier cijfers van het creditcardnummer en banknaam. DigitalOcean geeft geen informatie over hoe de aanvaller toegang tot factuurgegevens van klanten kon krijgen, maar stelt dat de gebruikte kwetsbaarheid is verholpen en "ongeautoriseerde partijen" geen toegang meer tot de data hebben. Tevens zijn relevante privacytoezichthouders over het datalek geïnformeerd, zo staat in een e-mail die naar gedupeerde klanten werd gestuurd. Tegenover TechCrunch laat de cloudprovider weten dat één procent van de "factuurprofielen" door het datalek is getroffen, maar noemt verder geen concreet aantal. bron: https://www.security.nl

Een toekomstige versie van Microsoft Edge biedt gebruikers de optie om alle domeinen die ze bezoeken standaard over https te laden, wat gebruikers tegen man-in-the-middle-aanvallen moet beschermen. Dat laat Microsoft in een roadmap voor Edge weten. Vanaf Edge 92, die gepland staat voor deweek van 22 juli, krijgen gebruikers de mogelijkheid om hun verbinding standaard via https in plaats van http te laten lopen voor domeinen die het veiligere protocol waarschijnlijk zullen ondersteunen. Hoe Microsoft zal bepalen of een domein ook via https bereikbaar is wordt nog niet duidelijk gemaakt. Daarnaast kan de browser ook zo worden ingesteld dat https standaard voor alle domeinen wordt gebruikt. "Veiligere verbindingen beschermen klanten tegen man-in-the-middle-aanvallen", aldus Microsoft. Eerder namen ook Google en Mozilla soortgelijke stappen. Zo is https inmiddels het standaard protocol in de adresbalk van Chrome en biedt Firefox een "https-only mode" waarbij gebruikers kunnen instellen dat websites alleen via https worden bezocht. bron: https://www.security.nl

Mozilla hanteert vanaf 1 mei nieuwe regels voor certificaatautoriteiten waarmee het aantal gemaakte fouten bij het uitgeven van nieuwe certificaten moet worden teruggedrongen. In de Root Store Policy beschrijft Mozilla hoe het met certificaten en certificaatautoriteiten omgaat. Versie 2.7.1 van het beleid zal op 1 mei aanstaande van kracht worden. Certificaatautoriteiten spelen, doordat ze tls-certificaten voor websites uitgeven, een belangrijke rol bij het vertrouwen op internet. Met de Root Store Policy wil Mozilla ervoor zorgen dat het beter toezicht op de compliance van certificaatautoriteiten kan houden, de werkwijze van certificaatautoriteiten wordt verbeterd en er minder fouten worden gemaakt bij het uitgeven van nieuwe tls-certificaten. De nieuwe regels gaan onder andere over de verplichte auditrapporten die certificaatautoriteiten moeten aanleveren, de documentatie die bij incidenten moet worden verstrekt en welke methodes mogen worden gebruikt om aan te tonen dat de private key van de certificaatautoriteit is gecompromitteerd. Naast de regels die op 1 mei van kracht worden zal het vanaf 1 oktober 2021 verplicht zijn voor certificaatautoriteiten om domeinen en ip-adressen binnen 398 dagen voor de uitgifte van een certificaat te verifiëren. "Veel van deze aanpassingen zullen zorgen voor updates en verbeteringen van de processen van certificaatautoriteiten en auditors", aldus Ben Wilson van Mozilla. "Het updaten van de Root Store Policy verbetert het security-ecosysteem van het internet en de kwaliteit van elke https-verbinding, en helpt dus om je informatie privé en veilig te houden." bron: https://www.security.nl

Meer dan negenduizend WordPress-sites zijn door beveiligingslekken in een gebruikte plug-in kwetsbaar voor aanvallen en een beveiligingsupdate is niet beschikbaar. Het gaat om de plug-in Store Locator Plus, die inmiddels door WordPress van de officiële downloadsite voor plug-ins is verwijderd. Store Locator Plus is een plug-in waarmee bijvoorbeeld winkels, bedrijven of andere locaties een routebeschrijving voor bezoekers en klanten kunnen tonen. Er zijn twee kwetsbaarheden in de plug-in waardoor aanvallers beheerders kunnen worden. De eerste kwetsbaarheid maakt het mogelijk voor geauthenticeerde gebruikers om via hun metadata beheerder op elke website te worden die van de plug-in gebruikmaakt. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,9 beoordeeld. De ontwikkelaar van de plug-in werd op 5 maart door securitybedrijf Wordfence over het lek ingelicht en kwam op 5 april met een patch. Die blijkt onvolledig te zijn, waardoor de kwetsbaarheid als ongepatcht moet worden beschouwd. Vanwege het beveiligingslek besloot WordPress de plug-in op 12 april van de downloadsectie van WordPress.org te verwijderen. Een tweede kwetsbaarheid die nog altijd ongepatcht is en een impactscore van 7,2 heeft, maakt het voor ongeauthenticeerde aanvallers mogelijk om malafide JavaScript aan pagina's toe te voegen. Hiermee kan een aanvaller backdoors injecteren of een nieuw beheerdersaccount toevoegen en zo de website overnemen. Beheerders van websites die van de plug-in gebruikmaken wordt aangeraden die uit te schakelen. Aangezien updates ontbreken zijn er geen uitgebreide technische details van de kwetsbaarheden openbaar gemaakt. bron: https://www.security.nl

Criminelen maken gebruik van een ruim twee jaar oude kwetsbaarheid in SharePoint om servers met ransomware te infecteren, wat aantoont dat nog altijd veel organisaties de beschikbare beveiligingsupdate niet hebben geïnstalleerd, zo waarschuwt antivirusbedrijf Trend Micro. De kwetsbaarheid, aangeduid als CVE-2019-0604, werd in februari en maart 2019 door Microsoft gepatcht. Door een speciaal geprepareerde SharePoint-appplicatie naar een SharePoint-server te uploaden kan een aanvaller willekeurige code op de server uitvoeren. Al in mei van 2019 waarschuwde de Canadese overheid voor aanvallen die misbruik van het beveiligingslek maakten. Vorig jaar publiceerde de Amerikaanse overheid nog een Top 10 van meest aangevallen kwetsbaarheden waarin het beveiligingslek ook werd genoemd. Desondanks zijn een jaar later nog tal van organisaties waar er met kwetsbare SharePoint-servers wordt gewerkt, stelt Trend Micro. Die servers zijn nu het doelwit van ransomware-aanvallen. Door het beveiligingslek installeren aanvallers een webshell en daarmee de Beacon-dropper van het Cobalt Strike-framework. Via de dropper wordt uiteindelijk de Hello/WickrMe-ransomware geïnstalleerd. Slachtoffers moeten vervolgens losgeld betalen voor het ontsleutelen van hun gegevens. Hoe langer slachtoffers wachten met betalen, des te hoger het losgeld. Organisaties wordt aangeraden om de beschikbare beveiligingsupdate te installeren. bron: https://www.security.nl

GitHub heeft besloten om de nieuwe trackingmethode van Google genaamd FLoC standaard te blokkeren op alle pagina's van github.io. Dat laat het populaire platform voor softwareontwikkelaars in een blogposting weten en is ook aangekondigd door GitHub-ceo Nat Friedman op Twitter. Federated Learning of Cohorts (FLoC) is een nieuwe trackingmethode van Google waarbij Chrome-gebruikers op basis van hun browsegedrag in zogeheten cohorten worden geplaatst. Vervolgens kunnen adverteerders aan gebruikers binnen een bepaald cohort advertenties tonen. Google Chrome kijkt naar alle websites die de gebruiker bezoekt en deelt de gebruiker op basis hiervan in een cohort. Het cohort wordt met websites en adverteerders gedeeld, zodat die op basis van het cohort gericht kunnen adverteren. Zowel websites als Chrome-gebruikers doen standaard aan FLoC mee. "We vermoeden dat Google FLoC opt-out heeft gemaakt voor gebruikers en websites omdat Google weet dat een opt-in privacyschendend systeem nooit de schaal zou bereiken die het interessant voor adverteerders maakt om te gebruiken", liet Brandon Eich, ceo van browserontwikkelaar Brave, onlangs nog weten. Hij riep alle websites op om FLoC uit te schakelen. De Amerikaanse burgerrechtenbeweging EFF noemde FLoC eerder een verschrikkelijk idee. GitHub heeft geen reden gegeven voor het blokkeren van de trackingmethode. Door het toevoegen van een header aan alle websites op github.io wordt Google Chrome verteld dat FLoC voor de betreffende pagina moet worden uitgeschakeld. De maatregel geldt niet voor websites die van een custom domain gebruiken. Beheerders van deze sites moeten de header zelf toevoegen. Eerder liet ook WordPress weten dat het van plan is om FLoC te gaan blokkeren. bron: https://www.security.nl

Vandaag is door een actie van internationale opsporingsdiensten de beruchte Emotet-malware van ruim één miljoen besmette computers wereldwijd verwijderd. In januari wisten de Nederlandse politie en buitenlandse opsporingsdiensten het Emotet-netwerk over te nemen. Twee van de drie hoofdservers waarmee het Emotet-botnet werd aangestuurd bevonden zich in Nederland en kwamen in handen van de Nederlandse politie. "Op de Nederlandse centrale servers wordt een software-update geplaatst voor alle geïnfecteerde computersystemen. Alle geïnfecteerde computersystemen halen de update daar automatisch op, waarna de Emotet-besmetting in quarantaine wordt geplaatst", zo lieten het Openbaar Ministerie en de Nederlandse politie bij de aankondiging van de operatie weten. Naast de Nederlandse politie rolde ook de Duitse politie een update uit die ervoor zorgde dat de malware vandaag automatisch werd verwijderd. Het gaat hierbij alleen om de registersleutel en service waarmee Emotet zich op geïnfecteerde computers startte. Andere malware die via Emotet werd geïnstalleerd kan nog steeds op besmette machines actief zijn. "Het uitrollen van code via een botnet, zelfs met de juiste intenties, is vanwege de juridische consequenties die dit soort acties inhouden altijd een lastig onderwerp geweest", stelt beveiligingsonderzoeker Jerome Segura van antimalwarebedrijf Malwarebytes. Hoewel het Emotet-botnet al in januari werd uitgeschakeld werd besloten om de malware pas vandaag te verwijderen, zodat beheerders voldoende tijd hadden om geïnfecteerde computers te onderzoeken. bron: https://www.security.nl

QNAP heeft de eigen anti-malwaretool van een update voorzien om de Qlocker-ransomware te verwijderen die afgelopen dagen honderden NAS-systemen wist te infecteren. Volgens QNAP maken de aanvallers gebruik van bekende kwetsbaarheden in de multimedia console, media streaming add-on en Hybrid Backup Sync om toegang tot NAS-systemen te krijgen en vervolgens de ransomware te installeren. Die versleutelt bestanden op de NAS en eist 450 euro voor het ontsleutelen van de data. QNAP adviseert gebruikers om naar de meest recente versie van de genoemde software te updaten. Tevens wordt aangeraden om de Malware Remover-tool op het NAS-systeem uit te voeren. In het geval data is versleuteld moeten slachtoffers eerst een scan uitvoeren en daarna contact opnemen met de helpdesk van QNAP. Het NAS-systeem moet niet worden uitgeschakeld. Ook niet getroffen gebruikers wordt uit voorzorg aangeraden om de nieuwste versie van de Malware Remover te installeren. Verder raadt QNAP aan om de standaardpoort 8080 voor het benaderen van het NAS-systeem te wijzigen, back-ups van de data op de NAS te maken en een sterk wachtwoord te gebruiken. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om het updatemechanisme van de zakelijke wachtwoordmanager Passwordstate te compromitteren en zo een update te verspreiden die klanten met malware genaamd 'Moserpass' infecteerde. Het gaat om een zogenaamde supply-chain-aanval. Dat laat ontwikkelaar Click Studios in een waarschuwing op de eigen website en in een e-mail aan klanten weten (pdf). Passwordstate is een on-premise webgebaseerde oplossing voor zakelijk wachtwoordbeheer. Volgens Click Studios wordt de wachtwoordmanager door 29.000 klanten en 370.000 it-professionals wereldwijd gebruikt, waaronder Fortune 500-bedrijven. Aanvallers wisten van 20 april tot en met 22 april het updatemechanisme te compromitteren en konden zo een besmette update onder klanten uitrollen. Deze update downloadde weer een ander bestand dat informatie over het besmette systeem, zoals gebruikersnaam, domeinnaam, computernaam, draaiende services, en Passwordstate-data terugstuurde naar de aanvallers. Daardoor is er een risico dat wachtwoorden van klanten in handen van de aanvallers terecht zijn gekomen. Updates voor de wachtwoordmanager die klanten handmatig installeren zijn niet door de aanvallers gecompromitteerd. Hoe de aanvallers toegang tot het updatesysteem konden krijgen is nog niet bekendgemaakt, maar volgens Click Studios is er geen sprake van zwakke of gestolen inloggegevens. Click Studios adviseert klanten om alle wachtwoorden die ze in de wachtwoordmanager hebben opgeslagen te wijzigen. bron: https://www.security.nl

Zeker tienduizend WordPress-sites zijn nog altijd kwetsbaar voor aanvallen omdat een beschikbare beveiligingsupdate niet is geïnstalleerd. De websites maken gebruik van The Plus Addons voor Elementor. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. The Plus Addons is een betaalde uitbreiding voor Elementor die verschillende widgets toevoegt die in combinatie met Elementor zijn te gebruiken. Er zouden zo'n 30.000 WordPress-sites van gebruikmaken. Eén van deze widgets, voor het registreren en inloggen van gebruikers, bevat een kwetsbaarheid. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het lek zorgt ervoor dat een aanvaller nieuwe beheerders kan aanmaken of als al bestaande beheerders kan inloggen. De kwetsbaarheid werd al voor het uitkomen van een beveiligingsupdate aangevallen. Op 9 maart kwamen de ontwikkelaars van de add-on met een patch. Volgens securitybedrijf Wordfence heeft een kleine zestig procent van de websites de update inmiddels geïnstalleerd. Zeker tienduizend websites hebben dat niet gedaan en lopen daardoor risico. Wordfence claimt dat het miljoenen aanvallen heeft waargenomen waarbij aanvallers het hadden voorzien op het beveiligingslek in The Plus Addons. Zodra aanvallers een website hebben gecompromitteerd voegen ze onder andere JavaScript toe die bezoekers naar malafide websites doorstuurt. bron: https://www.security.nl

Een Amerikaanse organisatie is bijna een jaar lang gecompromitteerd geweest door aanvallers die de vpn-wachtwoorden van thuiswerkers hadden bemachtigd en een kwetsbaarheid in de software van SolarWinds gebruikten voor de installatie van een backdoor. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Volgens het CISA staat deze aanval en de gebruikte Supernova-malware los van de wereldwijde supply-chain-aanval via de software van SolarWinds die vorig jaar werd ontdekt. Microsoft waarschuwde eind december vorig jaar al voor de Supernova-malware die wordt geïnstalleerd via een kwetsbaarheid in het Orion-platform van SolarWinds. Via dit lek kan een ongeauthenticeerde aanvaller commando's op de Orion-server uitvoeren en zo de backdoor installeren. Microsoft stelde destijds al dat de aanval met de Supernova-malware los stond van de supply-chain-aanval en was uitgevoerd door een andere groep aanvallers. Het CISA heeft nu meer details over de aanval op één van de getroffen organisaties gegeven. De aanvallers wisten van maart 2020 tot en met februari 2021 via de Pulse Secure vpn-server van deze organisatie in te loggen op het bedrijfsnetwerk. Hierbij maakten de aanvallers gebruik van geldige vpn-wachtwoorden van thuiswerkers. Voor deze accounts was geen multifactorauthenticatie ingesteld. Hoe de aanvallers deze wachtwoorden hebben bemachtigd is onbekend. Daarnaast gebruikten de aanvallers Amerikaanse ip-adressen om verbinding met de vpn-server te maken. "Zo konden ze zich voordoen als thuiswerkers", laat het CISA in de analyse weten. De ip-adressen in kwestie waren van routers die zeer vermoedelijk door de aanvallers zijn gecompromitteerd. Nadat er toegang tot het netwerk was verkregen maakten de aanvallers verbinding met de SolarWinds Orion-server. Via de kwetsbaarheid in de software, die inmiddels is gepatcht, werd de Supernova-backdoor geïnstalleerd. Via de backdoor brachten de aanvallers vervolgens het netwerk in kaart en konden allerlei gevoelige informatie en inloggegevens stelen. Het CISA geeft in de analyse verschillende details over de aanvallers en malware, waaronder ip-adressen. Organisaties die de Supernova-malware in hun netwerk aantreffen wordt opgeroepen om dit incident als een andere aanval dan de supply-chain-aanval te beschouwen. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS wil dat er een verbod komt op gezichtsherkenning en andere vormen van biometrische identificatie in de openbare ruimte. Dat laat de EDPS weten naar aanleiding van een wetsvoorstel van de Europese Commissie om misbruik van kunstmatige intelligentie tegen te gaan. Het wetsvoorstel van de Europese Commissie stelt onder andere dat alle systemen voor biometrische identificatie op afstand als risicovol worden beschouwd en aan strikte eisen moeten voldoen. Zo is het gebruik van dergelijke systemen in openbare ruimtes "in beginsel" verboden. Er zijn echter uitzonderingen die het mogelijk maken om deze systemen wel in te zetten. De Europese Toezichthouder voor gegevensbescherming (EDPS) had eerder opgeroepen tot een compleet verbod van biometrische identificatie in openbare ruimtes, waaronder gezichtsherkenning, maar daar is geen gehoor aan gegeven. De EDPS zegt zich dan ook te zullen blijven inzetten voor een strengere aanpak van technologie waarmee menselijke kenmerken in de openbare ruimte automatisch worden herkend, zoals gezicht, beweging, vingerafdruk en stem. "Een strengere aanpak is noodzakelijk, gegeven dat biometrische identificatie op afstand, waar AI op ongekende wijze aan kan bijdragen, zeer grote risico's met zich meebrengt wat betreft een vergaande en ondemocratische inbreuk op het privéleven", aldus de EDPS. De toezichthouder zal het voorstel van de Europese Commissie nauwgezet en uitgebreid analyseren, waarbij de nadruk ligt op tools en systemen die een risico voor de fundamentele rechten op databescherming en privacy vormen. bron: https://www.security.nl

Tientallen webshops van het bedrijf DutchDo uit Kerkrade zijn getroffen door een datalek nadat een aanvaller toegang tot de database kreeg, zo blijkt uit een e-mail die het bedrijf naar klanten heeft gestuurd. De gelekte gegevens betreffen in ieder geval adresgegevens en e-mailadres, maar op Twitter laten gedupeerde klanten weten dat in het bericht dat zij ontvingen ook de diefstal van hun IBAN-nummer wordt gemeld. DutchDo exploiteert meer dan dertig verschillende webshops, zoals Adapters.nl, Coaxkabel.nl, Externehardeschijf.nl, Ventilators.nl en Wifiversterken.nl, zo meldt Opgelicht?!. Het bedrijf waarschuwt klanten dat de gestolen gegevens voor spam en phishingaanvallen kunnen worden gebruikt. Het datalek is inmiddels gemeld bij de Autoriteit Persoonsgegevens. Verdere details over de aanval zijn niet gegeven. Op Twitter wordt verder gemeld dat DutchDo en AlleKabels, waar onlangs bleek dat de gegevens van 3,6 miljoen klanten waren gestolen, dezelfde holding hebben. bron: https://www.security.nl

Twitter heeft per ongeluk een e-mail naar gebruikers verstuurd waarin hen werd gevraagd om hun Twitteraccount te bevestigen. Veel gebruikers dachten dat het om een phishingaanval of scam ging, mede omdat de e-mail onverwachts kwam. De e-mail had als onderwerp "Confirm your Twitter account" met de Twitternaam van de gebruiker en bevatte een grote knop genaamd "Confirm Now". Via het officiële Twitter Support-account laat de microbloggingdienst weten dat het om een fout ging en het bericht niet verstuurd had moeten worden. Twittergebruikers die de e-mail hebben ontvangen hoeven hun account niet te bevestigen en kunnen het bericht negeren. bron: https://www.security.nl

Met de volgende versie van Google Chrome kan de browser inloggegevens tussen aanverwante websites delen. Wanneer de gebruiker een account heeft op de website example.com kan Chrome straks aanbieden om daarmee ook in te loggen op example.co.uk als deze site van dezelfde achterliggende partij is, zo heeft Google bekendgemaakt. Op dit moment biedt Chrome deze optie niet aan, wat ervoor kan zorgen dat hetzelfde wachtwoord voor verschillende domeinen in de browser wordt opgeslagen. Chrome 91 biedt gebruikers straks de optie om een opgeslagen wachtwoord voor alle aanverwante websites in te voeren die via Digital Asset Links (DALs) aan elkaar zijn gekoppeld. Het Digital Asset Links (DAL)-protocol maakt het mogelijk voor een app of website om een verifieerbare verklaring over andere apps of websites te maken. Zo kan website A aangeven dat de inloggegevens die Chrome voor de site heeft opgeslagen ook voor website B zijn te gebruiken, zodat gebruikers niet op website B hoeven in te loggen als ze al op website A zijn ingelogd. Bedrijven, organisaties of andere partijen die meerdere websites met hetzelfde accountsysteem hebben kunnen vanaf Chrome 91 ervoor zorgen dat de browser aan gebruikers aanbiedt om opgeslagen inloggegevens voor de ene website ook voor aanverwante websites te gebruiken. Hiervoor moeten de websites in kwestie wel een DAL-koppeling maken, wat is te doen door het toevoegen van een JSON-bestand. Chrome 91 staat gepland voor 25 mei. bron: https://www.security.nl

Eigenaren van een QNAP NAS-systeem die gebruikmaken van Hybrid Backup Sync (HBS 3) zijn gewaarschuwd voor een kritieke kwetsbaarheid in de software waardoor een aanvaller op afstand toegang tot het apparaat kan krijgen. HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. De software bevat echter een hardcoded wachtwoord waarmee een aanvaller op afstand op het systeem kan inloggen. QNAP stelt dat het om een ernstig beveiligingslek gaat, aangeduid als CVE-2021-28799. Er zijn echter beveiligingsupdates beschikbaar gesteld en QNAP adviseert gebruikers om naar de laatste versie van HBS 3 te updaten. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP zijn de afgelopen dagenb het doelwit geworden van een aanval met de Qlocker-ransomware die bestanden voor losgeld versleutelt. Volgens QNAP maken de aanvallers gebruik van een recent verholpen kwetsbaarheid om systemen met de ransomware te infecteren. Het kritieke beveiligingslek, aangeduid als CVE-2020-36195, is aanwezig in de multimedia console en media streaming add-on en maakt het mogelijk voor aanvallers om op afstand volledige toegang tot een kwetsbaar NAS-systeem te krijgen en ransomware uit te voeren. Vorige week kwam QNAP met een waarschuwing voor de kwetsbaarheid en liet weten in welke versies van de applicaties en QTS die is verholpen. De ransomware maakt gebruik van het archiveringsprogramma 7-Zip om bestanden op het NAS-systeem te versleutelen en eist 450 euro voor het ontsleutelen van de data. Op het forum van Bleeping Computer hebben zich al honderden slachtoffers van de ransomware gemeld. Onderzoekers hebben mogelijk een manier gevonden waardoor slachtoffers kosteloos hun bestanden kunnen ontsleutelen, maar dit wordt nog verder onderzocht. bron: https://www.security.nl