Captain Kirk

Antivirusbedrijf Trend Micro waarschuwt klanten voor een actief aangevallen kwetsbaarheid in de beveiligingssoftware van de virusbestrijder. Het beveiligingslek CVE-2020-24557 bevindt zich in Trend Micro Apex One, Apex One as a Service en OfficeScan XG. Via de kwetsbaarheid kan een aanvaller bepaalde beveiligingsfeatures uitschakelen, bepaalde Windows-features uitschakelen of misbruiken of zijn rechten verhogen. Een aanvaller moet wel toegang tot het systeem hebben om misbruik van de kwetsbaarheid te kunnen maken. Mogelijk is de kwetsbaarheid in de beveiligingssoftware gecombineerd met een ander beveiligingslek of is er via malware misbruik van gemaakt. Trend Micro kwam vorig jaar augustus met een beveiligingsupdate voor het beveiligingslek, maar maakte gisteren bekend dat de kwetsbaarheid actief wordt aangevallen. Klanten die de update nog niet hebben geïnstalleerd worden dan ook opgeroepen dit zo snel mogelijk te doen. Ook het Computer Emergency Reponse Team van de Japanse overheid (JPCERT) heeft een waarschuwing voor het aangevallen lek gegeven. Het is niet de eerste keer dat Trend Micro Apex One en OfficeScan het doelwit van aanvallen zijn. Vorig jaar liet de virusbestrijder nog weten dat zerodaylekken in de beveiligingssoftware actief waren misbruikt, mogelijk bij Mitsubishi Electric. bron: https://www.security.nl

De criminelen achter de REvil-ransomware claimen te hebben ingebroken op het netwerk van Quanta Computer, een bedrijf dat onder andere levert aan Apple, Cisco, Dell, HP en Lenovo. Daarbij zouden grote hoeveelheden vertrouwelijke tekeningen en gigabytes aan persoonlijke data zijn buitgemaakt en versleuteld. De aanvallers eisen 50 miljoen dollar voor het ontsleutelen van de gegevens en het niet publiceren van de gestolen data. Om de leverancier onder druk te zetten heeft de REvil-groep via de eigen website inmiddels verschillende afbeeldingen van een nieuwe laptop openbaar gemaakt, waaronder de binnenkant van wat lijkt een Macbook, zo laat Bloomberg weten. De criminelen zeggen dat ze de komende dagen meer bestanden zullen publiceren tenzij Apple betaalt. Quanta Computer erkent dat er een aanval op een "klein aantal" Quanta-servers heeft plaatsgevonden, maar geeft geen verdere informatie over de aard van deze aanval, behalve dat die geen wezenlijke impact op de bedrijfsvoering van de leverancier heeft. bron: https://www.security.nl

De Europese Commissie heeft vandaag nieuwe regels gepresenteerd voor kunstmatige intelligentie en de toepassingen waarvoor de technologie mag worden ingezet. Zo wil Brussel dat AI-systemen die een duidelijke bedreiging vormen voor de veiligheid, bestaansmiddelen en rechten van mensen, worden verboden. Het gaat dan om systemen of toepassingen die menselijk gedrag manipuleren en systemen die "sociale scoring" door overheden mogelijk maken. Zo wordt in China een sociaal kredietscoresysteem gebruikt dat bijhoudt hoe mensen zich gedragen. Als gevolg van bijvoorbeeld bepaalde overtredingen kunnen mensen een lagere score krijgen, wat weer maatschappelijke gevolgen kan hebben. Daarnaast wil de EC "strenge verplichtingen" voor AI-systemen waarvan het risico als "hoog" wordt bestempeld. Zo zullen alle systemen voor biometrische identificatie op afstand als risicovol worden beschouwd en aan strikte eisen moeten voldoen. Zo is het gebruik van dergelijke systemen in openbare ruimtes "in beginsel" verboden. Er zijn echter uitzonderingen die het mogelijk maken om deze systemen wel in te zetten, zoals het zoeken naar een vermist kind, opsporen van een dader of verdachte van een ernstig misdrijf en het voorkomen van een aanslag. Er moet dan vooraf toestemming worden gegeven door een rechterlijke of andere onafhankelijke instantie, die slechts geldt voor een beperkte termijn en omgeving en voor specifieke databases. Bij het gebruik van AI-systemen zoals chatbots moeten gebruikers zich ervan bewust zijn dat ze contact hebben met een machine. De Europese Commissie verwacht dat de meeste AI-systemen in de categorie "minimaal risico" vallen, zoals op AI-gebaseerde videospellen of spamfilters. "Voor kunstmatige intelligentie is vertrouwen een must, geen luxe. Met deze baanbrekende regels neemt de EU het voortouw bij de ontwikkeling van nieuwe mondiale normen om ervoor te zorgen dat iedereen AI kan vertrouwen", zegt Margrethe Vestager, Eurocommissaris voor Mededinging. "Door normen vast te stellen kunnen we de weg vrijmaken voor wereldwijde ethische technologie en ervoor zorgen dat de EU concurrerend blijft." bron: https://www.security.nl

Tijdens de tweede patchronde van 2021 heeft Oracle beveiligingsupdates beschikbaar gemaakt die in totaal 390 kwetsbaarheden in een groot aantal producten van het bedrijf verhelpen. Oracle roept organisaties op om de patches meteen te installeren. Vijf van de beveiligingslekken scoren op een schaal van 1 tot en met 10 wat betreft de ernst een 10. Tevens zijn er 25 kwetsbaarheden met een impactscore van 9,8. Via dergelijke beveiligingslekken kan een aanvaller kwetsbare systemen op afstand overnemen. De meeste beveiligingslekken (70) zijn verholpen in de E-Business Suite-software van Oracle, zoals Applications Framework, Marketing, Email Center en iStore. In de MySQL-software van het bedrijf zijn 49 kwetsbaarheden gepatcht, terwijl in de Fusion Middleware 45 beveiligingslekken tot het verleden behoren. Het gaat onder andere om twee kritieke kwetsbaarheden in Oracle WebLogic Server. WebLogic-lekken worden vaak kort na het uitkomen van de patches aangevallen. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update zonder enige vertraging te installeren en ondersteunde versies van de software te blijven gebruiken. In tegenstelling tot bijvoorbeeld Adobe en Microsoft die maandelijks patches uitbrengen doet Oracle dit eens per kwartaal. De volgende patchronde staat gepland voor 20 juli van dit jaar. bron: https://www.security.nl

Netwerkbeveiligingsleverancier SonicWall heeft beveiligingsupdates beschikbaar gemaakt voor drie actief aangevallen zerodaylekken waar voor zover bekend al sinds maart misbruik van wordt gemaakt. De kwetsbaarheden zijn aanwezig in de Email Security-oplossing van SonicWall. Deze oplossing moet organisaties tegen allerlei soorten aanvallen via e-mail beschermen en kan als een fysieke server, virtual appliance, software-installatie of gehoste SaaS-oplossing worden uitgerold. Het product biedt een beheerdersinterface. Deze interface hoeft niet vanaf het internet toegankelijk te zijn. Toch zijn er volgens securitybedrijf FireEye zevenhonderd beheerdersinterfaces publiek toegankelijk. In maart ontdekten onderzoekers van FireEye dat de SonicWall Email Security (ES) applicatie die op een Windows-server van een klant draaide was gecompromitteerd. Verder onderzoek wees uit dat de aanvallers voor deze aanval drie zerodaylekken hadden gebruikt. Via de kwetsbaarheden installeerden de aanvallers een backdoor, benaderden bestanden en e-mails en bewogen zich lateraal door het netwerk van de aangevallen organisatie. De gevaarlijkste kwetsbaarheid wordt aangeduid als CVE-2021-20021. Op een schaal van 1 tot en met 10 wat betreft de impact is dit beveiligingslek met een 9,4 beoordeeld. De kwetsbaarheid maakt het mogelijk voor aanvallers om zonder enige authenticatie een eigen beheerdersaccount toe te voegen en zo op de beheerdersinterface in te loggen. De SonicWall Email Security-applicatie biedt ingelogde beheerders de mogelijkheid om een aanvullende beheerder van een andere Microsoft Active Directory Organization Unit (AD OU) in te stellen. Bij verzoeken naar deze feature werd echter niet gekeken of de persoon die het verzoek deed wel op de applicatie was ingelogd. Zodoende kan een aanvaller zonder enige authenticatie een verzoek sturen en zo een eigen beheerdersaccount aanmaken. De andere twee zerodaylekken zijn alleen door een geauthenticeerde aanvaller te misbruiken en maken het mogelijk om bestanden te lezen en te uploaden. Bij de waargenomen aanval maakten de aanvallers eerst een beheerdersaccount aan. Vervolgens werden gehashte wachtwoorden van een lokaal aangemaakt beheerdersaccount bemachtigd en een webshell geïnstalleerd om toegang tot het systeem te behouden. Bij de aangevallen organisatie bleek dat het lokale beheerderswachtwoord voor meerdere hosts in het domein werd gebruikt. Hierdoor konden de aanvallers zich via dit account lateraal door de organisatie bewegen. Verder maakten de aanvallers gebruik van al aanwezige applicaties om niet op te vallen. Zo werd een al geïnstalleerde versie van archiveringsprogramma 7-Zip gebruikt om e-mails op het aangevallen systeem te archiveren en vervolgens te stelen. SonicWall stelt dat het van groot belang is dat organisaties de beschikbaar gestelde beveiligingsupdates installeren. bron: https://www.security.nl

Hey Joska, lukt het met de stappen van abbs? Laat het even weten.

Een aanvaller die toegang tot de ontwikkelomgeving van softwarebedrijf Codecov wist te krijgen is erin geslaagd om twee maandenlang malware in een script van het bedrijf te verbergen dat wachtwoorden, tokens en keys van klanten buitmaakte. Dat heeft Codecov via de eigen website bekendgemaakt. Codecov is de aanbieder van Bash Uploader, een script waarmee klanten hun "code coverage" rapporten voor analyse naar Codecov kunnen sturen. Op 31 januari wist een aanvaller toegang tot een Google Cloud Storage (GCS) key van Codecov te krijgen en kon zo het script aanpassen. Zodra klanten het script uitvoeren kon er allerlei vertrouwelijke informatie zoals credentials, tokens of keys naar een server van de aanvaller worden gestuurd. Volgens Codecov heeft probleem zich voorgedaan door een fout bij het proces dat voor het maken van Docker-images wordt gebruikt. Hierdoor kon de aanvaller de eerder genoemde key achterhalen en zo toegang krijgen om het Bash Uploader-script aan te passen. De malafide aanpassing werd op 1 april ontdekt door een klant die de shasum van het script op GitHub vergeleek met die van de gedownloade Bash Uploader. Die waardes bleken niet overeen te komen. Het onderzoek dat volgde wees uit dat het script al twee maanden eerder was aangepast. De Bash Uploader wordt ook binnen andere tools van Codecov gebruikt. Het softwarebedrijf heeft gedupeerde klanten gewaarschuwd en adviseert om credentials, tokens en keys van ontwikkelomgevingen waar Bash Uploader is gebruikt te wijzigen. bron: https://www.security.nl

Google maakt technische details van gevonden kwetsbaarheden vanaf nu later bekend wanneer leveranciers binnen de gestelde deadline met een patch komen. Onderzoekers van Google zoeken actief naar kwetsbaarheden in de producten en programma's van andere bedrijven. Wanneer er een beveiligingslek wordt gevonden krijgt de leverancier in kwestie van Google negentig dagen de tijd om de gevonden kwetsbaarheid te verhelpen. Ongeacht of de leverancier een beveiligingsupdate voor de kwetsbaarheid heeft uitgerold maakte Google de technische details van de kwetsbaarheid altijd op de negentigste dag na de initiële bugmelding bekend. Leveranciers konden een verlenging van veertien dagen aanvragen, maar het was aan Google om dit toe te staan. Het techbedrijf heeft nu besloten om dit beleid iets aan te passen. Wanneer de gerapporteerde kwetsbaarheid binnen negentig dagen door de leverancier wordt gepatcht zal Google de technische details pas dertig dagen na het beschikbaar komen van de beveiligingsupdate openbaar maken. Dit moet voorkomen dat gebruikers al worden aangevallen voordat ze de beschikbare patch hebben kunnen installeren. De details van Google kunnen aanvallers namelijk helpen bij het ontwikkelen van een exploit. Mocht de leverancier in kwestie na negentig dagen het probleem nog niet hebben verholpen, dan zullen de details nog steeds op de negentigste openbaar worden gemaakt, zoals altijd het geval was. In het geval van actief aangevallen zerodaylekken maakte Google de details al na zeven dagen na de initiële melding aan de leverancier bekend. Komt de leverancier binnen zeven dagen met een beveiligingsupdate dan zal Google vanaf nu wederom de details pas na dertig dagen openbaar maken. Is er na zeven dagen geen patch gepubliceerd, dan maakt Google de details wederom zoals voorheen meteen bekend. Volgens Google zorgt het nieuwe beleid ervoor dat leveranciers negentig dagen de tijd hebben om een update te ontwikkelen en er vervolgens dertig dagen voor de uitrol van de update beschikbaar is. Het techbedrijf verwacht, gebaseerd op de huidige patchtijden dat deze verhouding waarschijnlijk volgend jaar zal worden aangepast naar 84 dagen voor het ontwikkelen van de patch en 28 dagen voor het uitrollen. bron: https://www.security.nl

De privacy-extensie HTTPS Everywhere, die ervoor zorgt dat websites die https ondersteunen standaard over https worden geladen, ook al tikt de gebruiker in de adresbalk http of opent een link die met http begint, gaat de Smarter Encryption van DuckDuckGo integreren. Dat laat de Amerikaanse burgerrechtenbeweging EFF weten die HTTPS Everywhere ontwikkelde. Om te kijken of websites https ondersteunen maakt HTTPS Everywhere gebruik van lijsten. Periodiek worden deze lijsten handmatig door de extensie-ontwikkelaars bijgewerkt. Wanneer een website geen https biedt wordt die gewoon via http geladen. Steeds meer websites maken echter gebruik van https en de meeste browsers blokkeren inmiddels mixed-content, waarbij bijvoorbeeld http-content op een https-site wordt geladen. De noodzaak van HTTPS Everywhere wordt daardoor steeds kleiner en het project zal op termijn worden uitgefaseerd. Om ervoor te zorgen dat de gebruikte lijsten met websites tot het einde van de extensie up-to-date blijven gaat de EFF samenwerken met DuckDuckGo. De zoekmachine heeft een eigen browser-extensie genaamd Privacy Essentials die onder andere een soortgelijke functionaliteit als HTTPS Everywhere biedt genaamd Smarter Encryption. In plaats van lijsten met https-sites handmatig bij te houden maakt DuckDuckGo gebruik van crawlers om te kijken of websites https ondersteunen. Daardoor bevat Smarter Encryption inmiddels veel meer domeinen dan HTTPS Everywhere. Gebruikers van HTTPS Everywhere hoeven niets te doen om van de Smarter Encryption-dataset gebruik te maken en kunnen de extensie voorlopig gewoon blijven gebruiken. De EFF is van plan om de HTTPS Everywhere-rulesets eind dit jaar uit te faseren, waarna de ondersteuning van HTTPS Everywhere volledig wordt gestaakt. Wanneer dit precies is zal de EFF op een later moment bekendmaken. bron: https://www.security.nl

Vanaf 9 mei aanstaande maakt Microsoft voor alle grote diensten en processen, zoals tls-certificaten, het signeren van code en hashen van bestanden, gebruik van het SHA-2-algoritme en zal het zwakkere SHA-1-algoritme volledig zijn uitgefaseerd. Dat heeft het techbedrijf zelf aangekondigd. Het secure hash algorithm (SHA) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Sinds 2005 zijn er echter collision-aanvallen op het SHA-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft. Al sinds 2011 wordt daarom aangeraden SHA-1 uit te faseren. Microsoft besloot in 2019 het veiligere SHA-2-algoritme voor het signeren van Windows-updates te gebruiken en verwijderde vorig jaar augustus alle Windows-gesigneerde SHA-1-content van het Microsoft Download Center. Op 9 mei aanstaande zal Microsoft de eigen SHA-1 Trusted Root Certificate Authority laten verlopen. Volgens het techbedrijf heeft dit alleen gevolgen voor SHA-1-certificaten die aan de Microsoft SHA-1 Trusted Root Certificate Authority zijn gekoppeld. Het zal geen gevolgen hebben voor enterprise of zelfgesigneerde SHA-1-certificaten. Toch krijgen organisaties die van dergelijke certificaten gebruikmaken het advies om op SHA-2 over te stappen. "We verwachten dat het verlopen van het SHA-1-certificaat geen noemenswaardige problemen zal opleveren. Alle grote applicaties en diensten zijn getest en we hebben een uitgebreide analyse uitgevoerd van mogelijke problemen en oplossingen", zegt Microsofts Rommel Degracia. Het kan echter zijn dat gebruikers desondanks toch met problemen te maken krijgen. Zo kunnen gebruikers een foutmelding krijgen bij het installeren van een driver, kan Smart Screen het starten van bepaalde applicaties blokkeren of kan er een melding bij het installeren van een applicatie verschijnen. bron: https://www.security.nl

De Ierse privacytoezichthouder is een onderzoek gestart naar het grote datalek bij Facebook waardoor de persoonsgegevens van 533 miljoen gebruikers op straat kwamen te liggen. Dat meldt de Data Protection Commission (DPC) op de eigen website. De toezichthouder is het onderzoek uit eigen beweging gestart nadat de media berichtte over de dataset van 533 miljoen gebruikers die op internet werd aangeboden. De DPC heeft inmiddels over het datalek contact met Facebook gehad en meerdere vragen gesteld met betrekking tot het naleven van de AVG door Facebook. Daarop kwam het techbedrijf met een reactie. Aan de hand van de door Facebook gegeven antwoorden stelt de DPC dat Facebook mogelijk één of meerdere onderdelen van de AVG heeft overtreden of nog altijd overtreedt. De Ierse privacytoezichthouder gaat nu onderzoeken of Facebook zich bij het verwerken van persoonlijke data via de verschillende diensten die het aanbiedt wel aan de verplichtingen als verwerkingsverantwoordelijke heeft gehouden of dat er andere onderdelen van de AVG met betrekking hiertoe zijn overtreden. Eerder liet Facebook al weten dat het de 533 miljoen slachtoffers van het datalek niet gaat waarschuwen. Ook besloot het bedrijf de DPC niet proactief over de situatie te informeren. bron: https://www.security.nl

Google heeft Chrome 90 gelanceerd waarmee https voortaan het standaard protocol in de adresbalk is. Daarnaast zijn er 37 kwetsbaarheden in de browser verholpen. Wanneer gebruikers een url in de adresbalk invoerden, zonder http of https op te geven, maakte Chrome eerst altijd via http verbinding. Volgens Google was dit in het verleden praktisch, aangezien veel websites toen nog geen https ondersteunden. Inmiddels maakt het grootste deel van de websites wel gebruik van https. Daarom besloot Google om met de lancering van Chrome 90 https standaard in de adresbalk te gebruiken, tenzij de gebruiker bewust http opgeeft. "Naast de overduidelijke security- en privacyverbeteringen, verbetert deze aanpassing ook de laadsnelheid van sites die https ondersteunen, aangezien Chrome direct met het https-endpoint verbinding maakt, zonder de noodzaak om van http naar https te worden doorgestuurd", liet Google eerder over de aanpassing weten. Tevens zijn er 37 kwetsbaarheden met de nieuwste Chrome-versie verholpen, waarvan de impact als "high" is beoordeeld. Via dergelijke kwetsbaarheden kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het is niet mogelijk om systemen door middel van alleen een high-kwetsbaarheid te compromitteren. Hiervoor is een tweede beveiligingslek vereist. Een kwetsbaarheid in de permissies van Chrome, waardoor een aanvaller code binnen de browser kan uitvoeren, leverde onderzoekers Gengming Liu en Jianyu Chen van Tencent Keen Security Lab een beloning van 20.000 dollar op. De overige beveiligingslekken die onderzoekers bij Google rapporteerden en nu zijn verholpen waren goed voor beloningen van tussen de 500 en 10.000 dollar. Chrome 90.0.4430.72 is beschikbaar voor Linux, macOS en Windows. De update naar de nieuwste versie zal op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

De aanvallers die gameontwikkelaar Capcom vorig jaar november met ransomware infecteerden wisten via een oude vpn-server die als back-up werd gebruikt binnen te komen. Dat heeft het bedrijf in een update over het incident bekendgemaakt. Voordat de aanvallers hun ransomware uitrolden maakten ze allerlei persoonlijke informatie buit van medewerkers, sollicitanten, aandeelhouders en klanten. Het ging om data van 390.000 mensen. Naar aanleiding van de aanval werd er een onderzoek ingesteld. Daaruit blijkt dat de aanvallers via een oudere vpn-server wisten binnen te komen die als back-up bij een Noord-Amerikaanse dochteronderneming was geplaatst. Zowel Capcom als de dochteronderneming maakten gebruik van een nieuwer vpn-systeem, maar vanwege de coronapandemie werd besloten een oudere vpn-server als back-up achter de hand te houden. Deze server werd vervolgens het doelwit van de aanval. Om wat voor aanval het precies ging is niet bekendgemaakt. Nadat de aanvallers toegang tot de oude vpn-server hadden gekregen wisten ze systemen van zowel de Amerikaanse dochteronderneming als Capcom in Japan te infecteren. Vervolgens werden allerlei gegevens gestolen. Capcom meldt dat het bezig was om allerlei beveiligingsmaatregelen te treffen, zoals een security operations center (SOC) en endpoint detection and response (EDR), maar die waren vanwege de coronapandemie nog niet geïmplementeerd. De aanvallers besloten de ransomware op 1 november uit te rollen, wat voor problemen met mail- en fileservers zorgde. Capcom wist de systemen naar eigen zeggen snel te herstellen en heeft het losgeld dat de aanvallers vroegen niet betaald. Daarop maakten die de gestolen gegevens openbaar. Inmiddels is de oude vpn-server verwijderd en heeft Capcom een SOC-service geïntroduceerd die externe verbindingen monitort en wordt door middel van EDR verdachte activiteiten op systemen gedetecteerd. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarin twee kwetsbaarheden zijn verholpen waarvoor exploits op internet zijn te vinden. Eén van de kwetsbaarheden werd vorige week tijdens de Pwn2Own-hackwedstrijd gedemonstreerd. De impact van beide beveiligingslekken is door Google als "high" bestempeld. Via dergelijke kwetsbaarheden kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het is niet mogelijk om systemen door middel van alleen een high-kwetsbaarheid te compromitteren. Hiervoor is een tweede beveiligingslek vereist. Patch gap Kwetsbaarheid CVE-2021-21220 is aanwezig in de V8 JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Dit lek werd kort na de Pwn2Own-wedstrijd in de V8-engine gepatcht, maar de oplossing was nog niet doorgevoerd in Chrome, wat ook wel een "patch gap" wordt genoemd. Er is sprake van een patch gap wanneer er een beveiligingslek in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken. Iets waar ook Google Chrome in het verleden vaker mee te maken kreeg. Aan de hand van de aanpassingen die binnen V8 waren doorgevoerd kon een beveiligingsonderzoeker de kwetsbaarheid achterhalen en een exploit ontwikkelen, die hij vervolgens openbaar maakte. Ook in het geval van CVE-2021-21206 is een exploit online, maar details hierover ontbreken. Dit beveiligingslek, dat door een anonieme onderzoeker aan Google werd gerapporteerd, is aanwezig in de Blink-browserengine die Chrome gebruikt voor het weergeven van webcontent. Updaten naar Chrome 89.0.4389.128 voor Linux, macOS en Windows zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Tijdens de patchcyclus van april heeft Microsoft in totaal 108 kwetsbaarheden verholpen, waaronder een zerodaylek in Windows dat actief werd aangevallen voordat de beveiligingsupdates beschikbaar waren. Daarnaast zijn er vier kwetsbaarheden in Azure en Windows gepatcht die al voor de patchronde bekend waren, maar waar volgens Microsoft geen misbruik van is gemaakt. Het zerodaylek, aangeduid als CVE-2021-28310, is een out-of-bounds (OOB) write kwetsbaarheid in het bestand dwmcore.dll, dat onderdeel van de Desktop Window Manager (dwm.exe) is. Via het lek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen om vervolgens code met systemrechten uit te voeren. Het lek alleen is niet voldoende om een systeem over te nemen en moet met een ander beveiligingslek worden gecombineerd. De kwetsbaarheid werd gevonden door antivirusbedrijf Kaspersky dat onderzoek deed naar een ander zerodaylek, waarvoor in februari een update verscheen. Via dat zerodaylek kon een aanvaller ook zijn rechten verhogen. Deze eerste zeroday was ontdekt door securitybedrijf DBAPPSecurity en zou door een Advanced Persistent Threat (APT)-groep genaamd Bitter zijn misbruikt. Kaspersky denkt dat de exploit voor CVE-2021-28310 mogelijk door meerdere actoren is misbruikt en waarschijnlijk is ingezet in combinatie met een browser-exploit om uit de sandbox van de browser te ontsnappen of systeemrechten voor verdere toegang te krijgen. Het lukte de virusbestrijder niet om de gehele exploitketen in handen te krijgen, waardoor het onbekend is wat voor soort kwetsbaarheden de aanvallers hebben gebruikt. De beveiligingsupdate voor de kwetsbaarheid zal op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Microsoft waarschuwt organisaties voor twee kritieke kwetsbaarheden in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller kwetsbare servers op afstand kan overnemen. Voor zover bekend is er nog geen misbruik van de beveiligingslekken gemaakt, maar Microsoft houdt er wel rekening mee dat dit zal gebeuren. De kwetsbaarheden, aangeduid als CVE-2021-28480 en CVE-2021-28481, zijn beide op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. De Amerikaanse geheime dienst NSA ontdekte en rapporteerde de beveiligingslekken aan Microsoft. Onderzoekers van het techbedrijf hadden de kwetsbaarheden echter onafhankelijk van de NSA ook al gevonden. Verdere details over de lekken zijn niet door Microsoft gegeven. Organisaties worden opgeroepen om de beveiligingsupdates meteen te installeren, mede gezien de aanvallen die de afgelopen maanden op Exchange-servers plaatsvonden. "Recente gebeurtenissen hebben aangetoond dat securityhygiëne en patchmanagement belangrijker dan ooit tevoren zijn", aldus Microsoft. "Het is echt belangrijk dat onze klanten de laatste versie van de software gebruiken die up-to-date beveiligingsupdates heeft." Organisaties die van Exchange Online gebruikmaken zijn al beschermd en hoeven geen verdere actie te ondernemen. bron: https://www.security.nl

De nieuwe trackingtechnologie die Google aan Chrome heeft toegevoegd schaadt de privacy van gebruikers, maakt het eenvoudiger om mensen te volgen en geeft een verkeerde voorstelling van wat privacy inhoudt en waarom het belangrijk is, zo stelt browserontwikkelaar Brave, die de technologie in de eigen browser en op de eigen websites heeft uitgeschakeld. Federated Learning of Cohorts (FLoC) is een nieuwe trackingmethode van Google waarbij Chrome-gebruikers op basis van hun browsegedrag in zogeheten cohorten worden geplaatst. Vervolgens kunnen adverteerders aan gebruikers binnen een bepaald cohort advertenties tonen. Google Chrome kijkt naar alle websites die de gebruiker bezoekt en deelt de gebruiker op basis hiervan in een cohort. Het cohort wordt met websites en adverteerders gedeeld, zodat die op basis van het cohort gericht kunnen adverteren. Onlangs heeft Google FLoC bij miljoenen gebruikers zonder hun toestemming of medeweten ingeschakeld. Volgens Brendan Eich, ceo van Brave, is FLoC een stap in de verkeerde richting. "Het ergste van FLoC is dat het de privacy van gebruikers echt schaadt, onder het mom van privacyvriendelijk te zijn." Google presenteert FLoC als een alternatief voor trackingcookies dat gericht adverteren mogelijk maakt op een privacyvriendelijkere manier. Volgens Eich is dit onzin en is FLoC "by design" ontworpen om de privacy van gebruikers te schaden. Zo deelt FLoC informatie over het browsegedrag van de gebruiker met websites en adverteerders, die anders geen toegang tot deze informatie zouden hebben. "FLoC vertelt websites over jouw browsegeschiedenis op een nieuwe manier die browsers op dit moment nog niet toepassen", merkt Eich op. De Brave-ceo benadrukt dat privacy meer is dan de afwezigheid van het volgen van gebruikers over meerdere websites en er eigenlijk rekening moet worden gehouden met het idee van "vertel anderen niets over wat je van me weet zonder mijn toestemming". Iets waar Google in het geval van FLoC geen rekening mee houdt. FLoC maakt het daarnaast eenvoudiger voor websites en trackers om mensen op basis van de doorgegeven cohorten over het web te volgen. Eich hekelt ook de manier waarop Google met gevoelige categorieën omgaat, zoals medische klachten, politieke partijen en seksuele geaardheid. Om te bepalen of een FLoC-cohort gevoelig is moet Google eerst informatie over dit cohort verzamelen. Daarnaast noemt de Brave-ceo het idee van Google om een wereldwijde lijst met "gevoelige categorieën" op te stellen onlogisch en immoreel. Zowel websites als gebruikers doen standaard aan FLoC mee. "We vermoeden dat Google FLoC opt-out heeft gemaakt voor gebruikers en websites omdat Google weet dat een opt-in privacyschendend systeem nooit de schaal zou bereiken die het interessant voor adverteerders maakt om te gebruiken", gaat Eich verder. Hij roept dan ook alle websites op om FLoC uit te schakelen. Afsluitend stelt de Brave-ceo dat het web dringend behoefte heeft aan een radicale aanpassing waar de gebruiker bij elke nieuwe feature centraal wordt gesteld. "In plaats daarvan kijken FLoC en de "Privacy Sandbox" alleen hoe het voor adverteerders kan werken op een manier die gebruikers tolereren of niet opmerken", besluit Eich. bron: https://www.security.nl

Miljoenen Internet of Things-apparaten en industriële systemen zijn kwetsbaar voor aanvallen door beveiligingslekken in de gebruikte TCP/IP-stack, zo meldt securitybedrijf Forescout op basis van eigen onderzoek. Voor het onderzoek werd ernaar de veiligheid van verschillende TCP/IP-stacks gekeken. Dit is software die basale netwerkcommunicatie voor alle IP-verbonden apparaten implementeert. Het onderzoek richtte zich specifiek op de dns (domain name system)-clients van verschillende TCP/IP-stacks en hoe die met dns-verkeer omgaan. Volgens de onderzoekers is dns een complex protocol en kan een verkeerde implementatie ervan allerlei kwetsbaarheden opleveren waar aanvallers misbruik van kunnen maken. Zo biedt het dns-protocol een feature genaamd "message compression" waarmee dns-berichten worden gecomprimeerd. Dns response packets bevatten vaak dezelfde domeinnaam of een deel daarvan. Via message compression kan het herhaaldelijk gebruik van dezelfde naam worden voorkomen waardoor het dns-bericht kleiner wordt. De onderzoekers ontdekten dat de TCP/IP-stacks van FreeBSD, Nucleus NET, NetX en IPNet dns message compression niet goed implementeren, wat tot kwetsbaarheden leidt. In totaal gaat het om negen beveiligingslekken die de naam NAME:WRECK hebben gekregen en tot remote code execution, denial of service of dns-cache poisoning kunnen leiden. FreeBSD, Nucleus NET en NetX hebben updates uitgebracht. Het is echter de vraag of die uiteindelijk bij alle kwetsbare IoT-apparaten terechtkomen. Zo moet de leverancier van de apparatuur updates beschikbaar stellen en moeten beheerders die vaak handmatig installeren. In een rapport over de kwetsbaarheden beschrijven de onderzoekers een aanvalsscenario waarbij een aanvaller eerst toegang tot het netwerk van een organisatie moet zien te krijgen. Vervolgens zou de aanvaller een interne, malafide DHCP-server moeten opzetten om zo andere apparaten in het netwerk aan te vallen. Om zich tegen eventuele aanvallen te beschermen krijgen organisaties het advies om apparaten met kwetsbare TCP/IP-stacks in kaart te brengen, netwerksegmentatie toe te passen, apparaten zo in te stellen dat alleen interne dns-servers worden gebruikt, beschikbare updates meteen te installeren en het netwerkverkeer op malafide packets te monitoren. bron: https://www.security.nl

Wereldwijd kunnen gebruikers van de vpn-oplossing van Pulse Secure door een verlopen certificaat niet inloggen. Het probleem speelt bij Pulse Connect Secure (PCS) en Pulse Policy Secure (PPS) voor Windows en zorgt ervoor dat gebruikers een certificaatfoutmelding krijgen. Vanwege de coronapandemie wordt de vpn-oplossing door tal van werknemers gebruikt om vanuit huis te kunnen werken. Pulse Secure werkt op het moment aan een oplossing, zo blijkt uit een document over het probleem. Als tijdelijke workaround wordt aangeraden om de Pulse Desktop Client te gebruiken en die niet via de browser te starten. Het probleem speelt niet bij de Linux- en macOS-versies. Sommige gebruikers melden dat de foutmelding is te verhelpen door het aanpassen van de systeemdatum. bron: https://www.security.nl

Microsoft stopt volgende maand de ondersteuning van Windows 10 Home en Pro versie 1909 wat inhoudt dat gebruikers geen beveiligingsupdates meer ontvangen. Verder zullen alle edities van Windows 10 versies 1809, op de LTSC-versies na, en Windows 10 versie 1803 vanaf 11 mei niet meer worden ondersteund, zo laat Microsoft nogmaals weten. Twee keer per jaar brengt de softwaregigant een grote feature-update uit voor Windows 10. In het geval van Windows 10 Home, Pro, Pro Education en Pro for Workstations worden die achttien maandenlang met beveiligingsupdates ondersteund. Gebruikers die na deze periode nog patches willen blijven ontvangen moeten naar een nieuwere versie upgraden. Windows 10 versie 1909 verscheen op 12 november 2019. Voor Windows 10 Enterprise, Education en IoT Enterprise hanteert Microsoft een ander supportbeleid. Feature-updates die in de tweede helft van het jaar verschijnen worden 30 maanden met beveiligingsupdates ondersteund. Feature-updates die in de eerste helft van het jaar uitkomen kunnen 18 maanden op beveiligingsupdates rekenen. Ook gebruikers van deze versies zullen na de supportperiode naar een nieuwere Windows 10-versie moeten upgraden om updates te blijven ontvangen. Windows 10 Enterprise en Education versies 1803 en 1809 verschenen respectievelijk op 30 april 2018 en 13 november 2018. Oorspronkelijk zou de support van versie 1803 op 10 november 2020 eindigen, maar Microsoft besloot dit vanwege de coronapandemie met zes maanden te verlengen. Dit moest organisaties meer tijd geven om naar een nieuwere Windows 10-versie te upgraden. De LTSC-release van Windows 10 is bedoeld voor systemen en omgevingen waar functionaliteit en features lange tijd hetzelfde moeten blijven en alleen beveiligingsupdates worden geïnstalleerd. Het gaat dan bijvoorbeeld om medische systemen, industriële procescontrollers en luchtverkeersleidingssystemen. Deze systemen zijn vaak voor één specifiek doel ontwikkeld. Om deze systemen te ondersteunen kwam Microsoft met de Windows 10 Long Term Servicing Channel (LTSC)-release. Gedurende tien jaar blijven de features en functionaliteit van deze versie ongewijzigd. Alleen beveiligingsupdates worden beschikbaar gemaakt. Microsoft besloot afgelopen februari om de support van nieuwe Windows 10 Enterprise LTSC-versies tot vijf jaar te beperken. Windows 10 versie 1809 LTSC blijft echter tot en met 2028 ondersteund. bron: https://www.security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft een website gelanceerd waarop Chrome-gebruikers kunnen zien of ze deelnemen aan het recent gestarte FLoC-experiment van Google, waarmee het techbedrijf een nieuwe trackingtechnologie test. Volgens de EFF is FLoC een verschrikkelijk idee en moet Google hiermee stoppen en de technologie uit de browser verwijderen. Bij Federated Learning of Cohorts (FLoC) worden gebruikers op basis van hun browsegedrag in zogeheten cohorten geplaatst. Vervolgens kunnen adverteerders aan gebruikers binnen een bepaald cohort advertenties tonen. Google Chrome kijkt naar alle websites die de gebruiker bezoekt en deelt de gebruiker op basis hiervan in een cohort. Het cohort wordt met websites en adverteerders gedeeld, zodat die op basis van het cohort gericht kunnen adverteren. Volgens de Amerikaanse burgerrechtenbeweging EFF zullen deze cohort-id's veel nieuwe informatie prijsgeven wat handig is voor fingerprinters die aan de hand van allerlei informatie een fingerprint van gebruikers maken om hen vervolgens op het web te volgen. Daarnaast doen Chrome-gebruikers uit Australië, Brazilië, Canada, Indonesië, Japan, Mexico, Nieuw-Zeeland, de Filipijnen en de Verenigde Staten standaard aan de proef mee, tenzij ze zelf het accepteren van third-party cookies in de browser hebben uitgeschakeld. De proef vindt plaats onder 0,5 procent van de Chrome-gebruikers in de eerder genoemde landen. Het Google-team achter FLoC heeft echter gevraagd om hier 5 procent van te maken, zodat advertentiebedrijven hun modellen beter met de nieuwe data kunnen trainen. Google heeft FLoC bedacht zodat het mogelijk blijft om zonder cookies gerichte advertenties te tonen. Het aantal mensen in een cohort is echter klein genoeg zodat adverteerders zeer gericht kunnen blijven adverteren, zo laat de EFF weten. Google stelt dat het browsegedrag lokaal op het systeem van de gebruiker blijft en alleen het cohort-id wordt gedeeld, waardoor de privacy van de gebruiker beter zou zijn beschermd. "We verwerpen het idee dat "omdat het op je apparaat staat is het privé." Als de data wordt gebruikt om iets over jou af te leiden, wie je bent en hoe je kunt worden benaderd, en dat wordt gedeeld met andere websites en adverteerders, is het helemaal niet privé", aldus de EFF. De burgerrechtenbeweging vindt dat Google door middel van FLoC de status quo van surveillancekapitalisme in stand houdt, met een zweem van gebruikerskeuze. Google claimt ook dat FLoC gebruikers in staat stelt om bij het bezoeken van websites anoniem te blijven, maar voor zover bekend is dat niet waar, aldus de EFF. Ook hekelt de burgerrechtenbeweging het feit dat gebruikers niet goed worden ingelicht en FLoC standaard staat ingeschakeld. "Dit is niet het zoveelste Chrome-experiment. Dit is een fundamentele aanpassing aan de browser en hoe mensen worden misbruikt voor hun data. Het feit dat Google na alle kritiek en zorgen ervoor heeft gekozen om de waarschuwingen te negeren zegt genoeg waar het bedrijf met betrekking tot onze privacy staat", besluit de EFF. Via de nu gelanceerde website Am I FLoCed laat de EFF aan Chrome-gebruikers zien of FLoC voor hun browser staat ingeschakeld. bron: https://www.security.nl

Criminelen maken op grote schaal gebruik van de contactformulieren van websites om op een unieke wijze malware te verspreiden, zo stelt Microsoft. Volgens het bericht dat de aanvallers via het contactformulier achterlaten heeft de betreffende website zich schuldig gemaakt aan copyrightschending. Als de afbeeldingen in kwestie niet snel worden verwijderd dreigt de afzender met juridische stappen. De afbeeldingen zijn via een meegestuurde link te bekijken. De link wijst echter naar een Google-pagina die alleen toegankelijk is wanneer de gebruiker via zijn Google-account inlogt. Volgens Microsoft kan het gebruik van een contactformulier met een Google-url die alleen via authenticatie toegankelijk is ervoor zorgen dat beveiligingssoftware het bericht niet als kwaadaardig detecteert. Zodra de gebruiker op de Google-pagina is ingelogd wordt er automatisch een zip-bestand gedownload dat een js-bestand bevat. Dit bestand, wanneer geopend door het slachtoffer, downloadt de IcedID-malware. Deze malware kan het netwerk van de getroffen organisatie verder verkennen, inloggegevens stelen en aanvullende malware installeren, zoals ransomware. Op internet zijn vele duizenden reacties te vinden die de aanvallers via het contactformulier van de betreffende website hebben achtergelaten en waarin met juridische stappen wordt gedreigd. Microsoft raadt organisaties aan om hun gebruikers over social engineering-aanvallen als deze voor te lichten. bron: https://www.security.nl

Ik heb even de vraag neergelegd bij mijn collega's alhier.

Ok, dan zijn we een stapje verder. Ik denk dan toch dat we ergens een conflict hebben zitten welke door het spelletje veroorzaakt wordt. Ik wet niet of we daar achter kunnen komen. Je zou eens kunnen kijken wat er gebeurd wanneer je de muis los koppelt bij het spelen van het spelletje. Wanneer dan hetzelfde gebeurd, moeten we denk ik even de hulp inroepen van de echte kenners hier, die op dit terrein meer thuis zijn.

Je zou eens kunnen kijken of de muis ook vast loopt wanneer je enkel het spelletje speelt of Youtube draait. Ik begrijp dat je geen vastloper hebt wanneer je alleen met je werkpog's bezig bent, maar alleen wanneer je even een pauze neemt en dan Youtube of een spelletje speelt?