Captain Kirk

Wanneer de laptop stil is, denk ik iet aan een warmteprobleem. Dan zou je echt de fan wel horen.Heb je meerdere vensters open staan wanneer je muis vast loopt?

De op privacy gerichte zoekmachine DuckDuckGo heeft een nieuwe versie van de eigen browser-extensie ontwikkeld die een nieuwe trackingmethode in Google Chrome blokkeert. In de nieuwste versie van Chrome is Google een proef gestart met Federated Learning of Cohorts (FLoC), een nieuwe technologie voor het gericht tonen van advertenties. Bij FLoC worden gebruikers op basis van hun browsegedrag in zogeheten cohorten geplaatst. Vervolgens kunnen adverteerders aan gebruikers binnen een bepaald cohort advertenties tonen. Google Chrome kijkt naar het browsegedrag en plaatst de gebruiker vervolgens in een cohort. Het kan dan gaan om de url's, de inhoud van die pagina's of andere factoren. Deze informatie blijft lokaal op het systeem. Het cohort wordt met websites en adverteerders gedeeld, zodat die op basis van het cohort gericht kunnen adverteren. Volgens de Amerikaanse burgerrechtenbeweging EFF zullen deze cohort-id's veel nieuwe informatie prijsgeven wat handig is voor fingerprinters die aan de hand van allerlei informatie een fingerprint van gebruikers maken om hen vervolgens op het web te volgen. Daarnaast doen Chrome-gebruikers uit Australië, Brazilië, Canada, Indonesië, Japan, Mexico, Nieuw-Zeeland, de Filipijnen en de Verenigde Staten standaard aan de proef mee, tenzij ze zelf het accepteren van third-party cookies in de browser hebben uitgeschakeld. Tijdens de proef zullen trackers de FLoC-id's naast third-party cookies kunnen verzamelen. "Dit houdt in dat alle trackers die op dit moment van cookies gebruikmaken om je gedrag op een deel van het web te monitoren ook je FLoC cohort-id zullen ontvangen. Het cohort-id is een directe weerspiegeling van je gedrag op het web. Dit kan een aanvulling zijn op de gedragsprofielen waar veel trackers al gebruik van maken", waarschuwde Bennett Cyphers van de EFF al eerder. De proef zal op dit moment onder 0,5 procent van de Chrome-gebruikers in de eerder genoemde landen worden uitgevoerd. Het Google-team achter FLoC heeft echter gevraagd om hier 5 procent van te maken, zodat advertentiebedrijven hun modellen beter met de nieuwe data kunnen trainen. DuckDuckGo heeft de eigen Chrome-extensie van een update voorzien zodat die de "FLoC interactions" op een website blokkeert. Deze versie moet echter nog door Google worden goedgekeurd en is op het moment van schrijven nog niet in de Chrome Web Store te vinden. De huidige versie van de DuckDuckGo Privacy Essentials-extensie in de Chrome Web Store is versie 2021.4.1. De versie die FLoC-tracking kan blokkeren heeft versienummer 2021.4.8. DuckDuckGo verwacht dat die snel in de Chrome Web Store zal verschijnen. In de tussentijd kunnen gebruikers ervoor kiezen om Google Chrome niet te gebruiken of de instellingen van de browser aan te passen, zo adviseert de zoekmachine. "We zijn teleurgesteld dat, ondanks de publiek geuite zorgen over FLoC die niet zijn verholpen, Google al begonnen is om FLoC aan gebruikers op te dringen zonder hen hier uitdrukkelijk toestemming om te vragen", laat DuckDuckGo verder weten. bron: https://www.security.nl

Er is een nieuwe versie van encryptiesoftware GnuPG verschenen die ondersteuning van de Trusted Platform Module (TPM) introduceert waardoor het mogelijk wordt om encryptiesleutels fysiek aan de computer in kwestie te koppelen. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. Het maakt hierbij gebruik van public key cryptography. De gebruiker heeft hierbij een public en een private key. Andere gebruikers die met de gebruiker versleuteld willen communiceren kunnen hiervoor zijn public key gebruiken. Het versleutelde bericht is vervolgens alleen door middel van de bijbehorende private key te ontsleutelen. Het is dan ook belangrijk dat de private key niet in handen van een aanvaller komt. Zo kan de key worden beveiligd met een passphrase. Om de private key verder te beschermen biedt GnuPG 2.3 nu TPM-ondersteuning. De Trusted Platform Module is een standaard voor het beschermen van cryptografische processen binnen een computer en wordt gebruikt voor het veilig opslaan van encryptiesleutels, wachtwoorden, certificaten en andere gevoelige data. De meeste moderne laptops beschikken over een TPM. Gebruikers van GnuPG en een computer met een TPM kunnen hun key in de TPM laden. Vervolgens zal de TPM met de ingeladen key berichten ontsleutelen of signeren. Dit gebeurt binnen de TPM en niet op de laptop. De key wordt op zo'n manier geladen dat alleen één specifieke TPM, die de sleutel genereerde, die kan gebruiken. Hierdoor is de key zowel bij het gebruik als in rust beveiligd, zo stelt GnuPG-ontwikkelaar James Bottomley. Zelfs wanneer een aanvaller het private key bestand en de passphrase weet, kan hij nog steeds geen gebruik van de key maken, omdat die fysiek aan de laptop van de gebruiker is gekoppeld. "De TPM beschermt niet tegen elke aanval. Met name wanneer er fysieke toegang is kan iemand in theorie de chip open maken en de secret wrapping keys uit het interne NVRam halen. Dit houdt echter in dat je altijd je TPM via de clear operation moet opschonen voordat je je laptop wegdoet", aldus Bottomley. bron: https://www.security.nl

Gegevens van 500 miljoen LinkedIn-gebruikers worden te koop aangeboden op internet. De dataset bevat LinkedIn ID, naam, e-mailadres, telefoonnummer, geslacht, links naar socialmediaprofielen, functieomschrijving en andere werkgerelateerde informatie, zo meldt de website CyberNews. LinkedIn laat in een reactie weten dat de aangeboden data afkomstig is van een aantal websites en bedrijven. Het bevat daarnaast publiek toegankelijke profielgegevens van LinkedIn-gebruikers. Het lijkt erop dat deze gegevens via scraping van LinkedIn zijn verzameld, aldus het zakelijke sociale netwerk. Volgens LinkedIn is er geen sprake van een datalek bij het bedrijf en bevat de dataset voor zover nu bekend geen private accountgegevens van gebruikers. LinkedIn heeft nog niet laten weten of het gebruikers die in de aangeboden dataset voorkomen gaat waarschuwen. Onlangs verscheen ook een dataset met de gegevens van 533 miljoen Facebookgebruikers op internet die door misbruik van een Facebookfunctie waren verkregen. Facebook is niet van plan om deze mensen over het datalek te informeren. bron: https://www.security.nl

Tijdens de laatste dag van de Pwn2Own-wedstrijd hebben beveiligingsonderzoekers verschillende zerodaylekken in Microsoft Exchange, Parallels Desktop, Ubuntu Desktop en Windows 10 getoond. Een aantal van de gedemonstreerde kwetsbaarheden was echter al door andere onderzoekers gevonden. Pwn2Own is een jaarlijks terugkerende wedstrijd waar beveiligingsonderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire software. Details over de beveiligingslekken worden niet openbaar gemaakt, maar gedeeld met de betreffende leverancier, zodat die een beveiligingsupdate kan ontwikkelen. Op de derde en laatste dag van het evenement lieten onderzoekers Benjamin McBride van L3Harris Trenchant, Alisa Esage en Da Lao onafhankelijk van elkaar een succesvolle zeroday-aanval tegen virtualisatiesoftware Parallels Desktop zien. Het lukte de drie onderzoekers om door middel van een kwetsbaarheid het onderliggende besturingssysteem vanuit Parallels Desktop over te nemen. Het beveiligingslek dat Esage gebruikte was echter al door een andere onderzoeker gerapporteerd bij het Zero Day Initiative, dat Pwn2Own organiseert. Onderzoekers Billy Jheng Bing-Jhong van STAR Labs en onderzoeker Vincent Dehors toonden beiden een succesvolle aanval tegen Ubuntu Desktop, waarbij ze de rechten van een standaard gebruiker konden verhogen naar root. De kwetsbaarheid die Jheng Bing-Jhong gebruikte was echter al bij Ubuntu bekend en zal binnenkort worden gepatcht. Onderzoekers Fabien Perigaud van Synacktiv en Marcin Wiazowski lieten zien hoe ze via een use-after-free bug in Windows 10 de rechten van een standaard gebruiker kunnen verhogen naar die van system. De kwetsbaarheid waarvan Perigaud gebruikmaakte was echter al bekend bij Microsoft. Op de eerste en tweede dag lieten onderzoekers al succesvolle aanvallen tegen Microsoft Exchange zien en op de derde dag was dat weer het geval. Het lukte Steven Seeley van Source Incite om op afstand een volledig gepatchte Exchange-server over te nemen. De onderzoeker gebruikte twee onbekende kwetsbaarheden voor zijn aanval. Een deel van de aanval vond plaats via een "man-in-the-middle aspect", wat niet is toegestaan. De aanval werd dan ook als een 'partial win' bestempeld. In totaal ontvingen onderzoekers voor hun aanvallen de afgelopen drie dagen in totaal 1,2 miljoen dollar aan prijzengeld. Wanneer de gedemonstreerde kwetsbaarheden worden verholpen is onbekend. bron: https://www.security.nl

Cisco waarschuwt bedrijven en organisaties voor een kritieke kwetsbaarheid in vier type routers voor het mkb waardoor een aanvaller de apparaten op afstand kan overnemen. Doordat de routers end-of-life zijn zal Cisco geen beveiligingsupdates uitbrengen om het beveiligingslek te verhelpen. De kwetsbaarheid, aangeduid als CVE-2021-1459, is aanwezig in de Cisco Small Business RV110W, RV130, RV130W en RV215W routers. Het probleem wordt veroorzaakt doordat de webinterface van de apparaten niet goed omgaat met het valideren van gebruikersinvoer. Door het versturen van speciaal geprepareerde http requests kan een aanvaller code als root op de router uitvoeren. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. De vier type routers worden sinds december niet meer door Cisco ondersteund. Om de aanval uit te kunnen voeren moet de webinterface voor een aanvaller toegankelijk zijn. Cisco adviseert dan ook om remote management uit te schakelen. De optie staat standaard niet ingeschakeld. Verder wordt bedrijven aangeraden om te upgraden naar de RV132W, RV160, of RV160W routers die nog wel beveiligingsupdates ontvangen. In januari waarschuwde Cisco nog voor 61 kwetsbaarheden die in de RV110W, RV130, RV130W en RV215W aanwezig zijn. Voor zover bekend zijn er nog geen exploits die misbruik van CVE-2021-145 maken. bron: https://www.security.nl

Facebook gaat de 533 miljoen gebruikers waarvan de persoonsgegevens vorige week op straat kwamen te liggen niet waarschuwen. Dat laat het bedrijf in een reactie tegenover persbureau Reuters weten. Volgens een woordvoerder kan Facebook niet achterhalen welke gebruikers het moet informeren. Daarnaast kunnen gebruikers niets aan de situatie doen en gaat het om publiek beschikbare informatie. Op een forum werd vorige week een dataset aangeboden met data van 533 miljoen Facebookgebruikers, waaronder 5,4 miljoen Nederlanders en 3,1 miljoen Belgen. Het gaat om verschillende soorten gegevens, zoals naam, telefoonnummer, woonplaats, geboortedatum en in sommige gevallen ook e-mailadres. Op de eigen website meldt Facebook dat een aanvaller de data heeft verkregen door middel van scraping en er niet is ingebroken op systemen van het bedrijf. Facebook denkt dat de data voor september 2019 is gescrapet door middel van de "contact importer". De feature moest het eenvoudig maken voor gebruikers om hun vrienden op Facebook te vinden door hun contactlijsten te importeren. Een aanvaller maakte hier misbruik van door een grote hoeveelheid telefoonnummers in te voeren en zo bijbehorende informatie van Facebookgebruikers te verzamelen. Nadat het bedrijf ontdekte dat de feature werd misbruikt zijn er aanpassingen aan de contact importer doorgevoerd. bron: https://www.security.nl

Google heeft een exploit gepubliceerd voor twee Bluetooth-kwetsbaarheden in de Linux-kernel waardoor het mogelijk is voor een ongeauthenticeerde aanvaller om op afstand en zonder interactie van het slachtoffer code met kernelrechten op kwetsbare systemen uit te voeren. Daarnaast is er een uitgebreide analyse online verschenen waarin Google-engineer Andy Nguyen de twee kwetsbaarheden en een derde beveiligingslek in detail beschrijft. De drie kwetsbaarheden, CVE-2020-24490, CVE-2020-12352 en CVE-2020-12351, hebben de naam "BleedingTooth" gekregen en zijn aanwezig in BlueZ, de officiële Linux Bluetooth protocol stack. Vorig jaar werden de beveiligingslekken in de Linux-kernel verholpen, waarop Nguyen nu de details en exploit openbaar heeft gemaakt. CVE-2020-24490 betreft een buffer overflow in BlueZ waardoor een denial of service of het uitvoeren van code mogelijk is. Dit lek werd in versie 4.19 van de Linux-kernel geïntroduceerd. Via CVE-2020-12352, een informatielek, is het mogelijk om de geheugenlay-out te achterhalen. De derde kwetsbaarheid, CVE-2020-12351, laat een aanvaller zijn rechten verhogen. Het beveiligingslek is sinds Linux-kernel 4.8 in de kernel aanwezig. Door de drie beveiligingslekken te combineren is remote code execution mogelijk. De nu gepubliceerde exploit laat een aanvaller calculator op het aangevallen systeem starten. De exploit is getest op een Dell XPS 15 met Ubuntu 20.04.1 LTS. Vanwege het werk van Nguyen werd besloten om de Bluetooth High Speed feature in de Linux-kernel standaard uit te schakelen en zo het aanvalsoppervlak te verkleinen. Door deze beslissing wordt de "heap primitive" verwijderd die de onderzoeker als onderdeel van zijn aanval gebruikte voor het alloceren van geheugen. Hieronder een videodemonstratie van de aanval. bron: https://www.security.nl

De Nederlandse beveiligingsonderzoekers Daan Keuper en Thijs Alkemade hebben drie kritieke kwetsbaarheden in Zoom gevonden waardoor het mogelijk is om systemen van gebruikers op afstand over te nemen. Een beveiligingsupdate om het probleem te verhelpen is nog niet beschikbaar. De twee onderzoekers van it-bedrijf Computest demonstreerden hun aanval op Zoom tijdens de jaarlijkse Pwn2Own-wedstrijd. Voor hun demonstratie ontvingen de onderzoekers 200.000 dollar. Pwn2Own is een driedaagse wedstrijd die jaarlijks in Vancouver wordt gehouden. Vanwege de coronapandemie is besloten om deelnemers, net als vorig jaar, op afstand te laten deelnemen. Tijdens Pwn2Own worden beveiligingsonderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten, zoals browsers, zakelijke applicaties, serversoftware en virtualisatiesoftware. Vanwege het vele thuiswerken is besloten om tijdens de editie van dit jaar videobelsoftware als nieuwe categorie toe te voegen. Een audiogesprek, videoconferentie of bericht waardoor gebruikers van Zoom of Microsoft Teams op afstand zijn te compromitteren levert 200.000 dollar op. Tijdens de tweede dag van Pwn2Own demonstreerden Keuper en Alkemade hun aanval op de chatfunctie van Zoom. Door het combineren van drie kwetsbaarheden wisten ze zonder enige interactie van het slachtoffer code op het systeem uit te voeren. Verdere details zijn niet bekendgemaakt. Informatie over de beveiligingslekken wordt nu gedeeld met Zoom, zodat het bedrijf een beveiligingsupdate kan ontwikkelen. "Zoom lag natuurlijk vorig jaar al onder vuur vanwege de nodige kwetsbaarheden. Daarbij ging het vooral om de veiligheid van de toepassing zelf, en het mogelijk meekijken en -luisteren met de video-calls. Onze ontdekkingen gaan echter verder. Door kwetsbaarheden in de client waren we in staat het hele systeem van gebruikers over te nemen", aldus Keuper. Google Chrome, Microsoft Edge, Exchange en Parallels Desktop De demonstratie van de Nederlandse beveiligingsonderzoekers was niet de enige aanval die vandaag werd getoond. Onderzoeker Jack Dates van RET2 Systems wist door middel van drie kwetsbaarheden in virtualisatiesoftware Parallels Desktop het onderliggende besturingssysteem over te nemen. De demonstratie werd beloond met 40.000 dollar. Bruno Keith en Niklas Baumstark van Dataflow Security wisten een exploit voor Google Chrome en Microsoft Edge te ontwikkelen. Door middel van een "type mismatch" bug lukte het de onderzoekers om code binnen beide browsers uit te voeren. De aanval, waarbij het voldoende is om alleen een malafide of gecompromitteerde website te bezoeken, leverde Keith en Baumstark in totaal 100.000 dollar op. Vervolgens lieten onderzoekers van Team Viettel een succesvolle aanval tegen Microsoft Exchange zien. Het lukte de onderzoekers om een volledig gepatchte Exchange-server op afstand over te nemen. Aangezien een aantal van de gebruikte kwetsbaarheden al tijdens de eerste dag van Pwn2Own door een ander securitybedrijf was gedemonstreerd werd de demonstratie van Team Viettel als een 'partial win' bestempeld. Morgen staat de laatste dag van Pwn2Own gepland, met aanvallen tegen Ubuntu Desktop, Windows 10, Parallels Desktop en Microsoft Exchange. bron: https://www.security.nl

De Belgische privacytoezichthouder GBA heeft Facebookgebruikers in het land waarvan de persoonsgegevens zijn gelekt opgeroepen om een klacht in te dienen. Vorige week kwamen de gegevens van 533 miljoen Facebookgebruikers op straat te liggen, waaronder ruim 3,1 miljoen Belgen. Het gaat om verschillende soorten gegevens, zoals naam, telefoonnummer, woonplaats, geboortedatum en in sommige gevallen ook e-mailadres. Naar aanleiding van het datalek heeft de Belgische Gegevensbeschermingsautoriteit (GBA) de Ierse privacytoezichthouder benaderd, aangezien het Europese hoofdkantoor van Facebook zich in Ierland bevindt. De GBA vindt dat Facebook zijn verantwoordelijkheid moet nemen en zo snel mogelijk volledige opheldering moet geven. De sociale netwerksite liet weten dat de gegevens al in het verleden zijn gestolen en de gebruikte kwetsbaarheid is verholpen, maar heeft nog altijd niet uitgelegd wat er precies heeft plaatsgevonden. "Facebook moet zijn gebruikers accuraat informeren over de precieze impact voor hen en de mogelijke maatregelen die zij kunnen nemen", aldus de Gegevensbeschermingsautoriteit. Die waarschuwt dat de gestolen data onder andere kan worden gebruikt om Facebookgebruikers op te lichten. Gebruikers worden dan ook opgeroepen om alert te zijn. Daarnaast adviseert de GBA om een klacht in te dienen. "Wist u dat als uw persoonsgegevens openbaar zijn gemaakt als gevolg van een gegevenslek, u altijd een klacht kunt indienen bij de Gegevensbeschermingsautoriteit? Zelf als de verantwoordelijkheid voor het lek bij een organisatie ligt waarvan het hoofdkantoor zich niet in België bevindt, zorgt de GBA ervoor dat uw klacht wordt behandeld." bron: https://www.security.nl

Criminelen maken misbruik van een bekende kwetsbaarheid in Fortinet vpn-servers om bedrijven met ransomware te infecteren, zo waarschuwt antivirusbedrijf Kaspersky. Het lek, CVE-2018-13379, bevindt zich in de FortiOS SSL VPN webportal. FortiOS is het besturingssysteem dat in de netwerkoplossingen van Fortinet wordt gebruikt, zoals firewalls en vpn-servers. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. Door middel van path traversal kan een ongeauthenticeerde aanvaller FortiOS-systeembestanden downloaden, waaronder de "sslvpn_websession". Dit bestand bevat de inloggegevens van ingelogde vpn-gebruikers in plain text. Exploits die misbruik van het beveiligingslek maken zijn al ruim een jaar beschikbaar. Fortinet bracht op 24 mei 2019 een beveiligingsupdate voor het lek uit. Zodra aanvallers toegang hebben wordt vanaf de gecompromitteerde vpn-server de rest van het bedrijfsnetwerk aangevallen. Hiervoor gebruiken de aanvallers onder andere de Mimikatz-tool. Daarmee kunnen de inloggegevens worden gestolen van gebruikers die recentelijk op het gecompromitteerde systeem hebben ingelogd. Kaspersky ontdekte een aanval waarbij aanvallers op deze manier de inloggegevens van het domeinbeheerdersaccount in handen kregen. Via dit account werden de overige systemen in het netwerk besmet en konden de aanvallers de Cring-ransomware uitrollen. Onlangs waarschuwde ook de FBI voor misbruik van het betreffende beveiligingslek in FortiOS, alsmede twee andere kwetsbaarheden. Organisaties worden dan ook opgeroepen om hun systemen te updaten. bron: https://www.security.nl

Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver hebben onderzoekers verschillende zerodaylekken in Microsoft Exchange, Microsoft Teams, Apple Safari, Windows 10 en Ubuntu Desktop gedemonstreerd. Het securitybedrijf dat vorig jaar een zeer kritieke kwetsbaarheid in Exchange ontdekte, waar de afgelopen maanden op zeer grote schaal misbruik van is gemaakt, lukte het weer om de mailserversoftware te compromitteren. Tijdens Pwn2Own worden beveiligingsonderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten, zoals browsers, zakelijke applicaties, serversoftware en virtualisatiesoftware. Vanwege het vele thuiswerken is besloten om videobelsoftware als nieuwe categorie toe te voegen. Een audiogesprek, videoconferentie of bericht waardoor gebruikers van Zoom of Teams zijn te compromitteren levert 200.000 dollar op. Een zelfde beloning wordt uitgekeerd voor aanvallen tegen Microsoft Exchange en het Windows remote desktopprotocol. Aanvallen in Microsoft Edge Chromium en Google Chrome waardoor er volledige controle over het onderliggende systeem kan worden verkregen zijn goed voor elk 150.000 dollar. Een aanval tegen de virtualisatiesoftware Microsoft Hyper-V, waarbij het hostsysteem vanuit het gastsysteem kan worden overgenomen, levert 250.000 dollar op. De hoogste beloning is echter weggelegd voor een succesvolle aanval tegen een Tesla Model 3. Een aanval via de tuner, wifi, bluetooth of modem op het infotainmentsysteem kan onderzoekers 500.000 dollar rijker maken. Met aanvullende aanvallen, waarbij bijvoorbeeld de autopiloot permanent wordt gecompromitteerd, kan dit bedrag worden verhoogd naar zelfs 600.000 dollar. Eerste dag Tijdens de eerste dag van het driedaagse evenement zijn er verschillende succesvolle aanvallen gedemonstreerd. Als eerste liet onderzoeker Jack Dates van RET2 Systems zien hoe hij door middel van een integer overflow in Safari en een out-of-bounds write willekeurige code met kernelrechten op macOS kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website is hiervoor voldoende. De aanval leverde Dates 100.000 dollar op. Securitybedrijf DEVCORE, dat in januari nog een zeer kritieke kwetsbaarheid in Exchange aan Microsoft rapporteerde, lukte het opnieuw om Exchange succesvol aan te vallen. Door middel van een authentication bypass en een privilege escalation kwetsbaarheid kunnen ze een volledig gepatchte versie van Exchange op afstand en zonder interactie van gebruikers overnemen. De demonstratie van de zeroday-aanval werd beloond met 200.000 dollar. Vervolgens demonstreerde een onderzoeker met het alias OV een succesvolle aanval tegen Microsoft Teams. Door een combinatie van kwetsbaarheden lukte het de onderzoeker om willekeurige code op het systeem van gebruikers uit te voeren. Ook deze aanval werd beloond met 200.000 dollar. Na deze demonstratie lieten onderzoekers van Team Viettel zien hoe ze op een volledig gepatchte versie van Windows 10 door middel van een integer overflow de rechten van een normale gebruiker kunnen verhogen naar die van het systeem. De aanval leverde 40.000 dollar op. De laatste succesvolle demonstratie van dag één werd getoond door onderzoeker Ryota Shiga van Flatt Security. Hij liet zien hoe een standaard lokale gebruiker op Ubuntu Desktop door middel van een out-of-bounds 'access bug' root kan worden. Details over de gedemonstreerde kwetsbaarheden zijn niet openbaar gemaakt. Die worden gedeeld met de betreffende leveranciers, zodat die beveiligingsupdates kunnen ontwikkelen. Pas daarna kunnen de onderzoekers ervoor kiezen om de details te publiceren. Tijdens de tweede dag van het evenement, dat later vandaag begint, staan onder andere aanvallen tegen Zoom Messenger, Parallels Desktop, Google Chrome, Microsoft Edge en Microsoft Exchange gepland. bron: https://www.security.nl

Smartphones van fabrikant Gigaset zijn met malware besmet nadat aanvallers een officiële updateserver wisten te compromitteren. Getroffen toestellen ontvingen vorige week donderdag een malafide update die ongewenste adware-apps installeerde en de browser van de telefoon kaapte. Zo werden binnen de browser allerlei vensters met advertenties geopend. Ook werden Facebook-accounts van gebruikers overgenomen. Verder bleek de malware WhatsApp-accounts te blokkeren, sms-berichten te versturen, het toestel traag te maken en voor een lege batterij te zorgen. Bij gebruikers die de malware via Android Debug Bridge (ADB) wisten te verwijderen werd die na een aantal uur weer opnieuw geïnstalleerd, meldt de website Borncity. Gigaset laat tegenover de website weten dat aanvallers een updateserver wisten te compromitteren die inmiddels is opgeschoond. Verder meldt Gigaset dat het op korte termijn met een oplossing voor getroffen gebruikers komt. Volgens de smartphonefabrikant zijn alleen oudere toestellen door de malafide updates getroffen. De fabrikant gaat ervan uit dat de GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 en GS4-modellen niet besmet zijn geraakt. Gigaset komt vandaag of morgen met aanvullende informatie over het incident. bron: https://www.security.nl

De Europese tak van Office Depot heeft via een onbeveiligde Elasticsearch-database gegevens van klanten gelekt, alsmede gevoelige interne data. Dat meldt beveiligingsonderzoeker Jeremiah Fowler. De database, die voor iedereen op internet zonder wachtwoord toegankelijk was, bevatte klantnamen, telefoonnummers, adresgegevens en andere informatie, alsmede de bestelgeschiedenis. De database telde volgens Fowler in totaal 924.000 records. Naast klantgegevens werden er ook ssh-inloggegevens van medewerkers aangetroffen en informatie met ip-adressen en poorten die voor verdere aanvallen tegen het bedrijf gebruikt hadden kunnen worden. De database werd op 3 maart door Fowler gevonden, die vervolgens Office Depot waarschuwde. Op 5 maart ontving de onderzoeker bericht van de kantoorartikelenleverancier dat de database was beveiligd. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. bron: https://www.security.nl

Meer dan 2,5 miljoen e-mailadressen van Facebookgebruikers die bij het bedrijf werden gestolen en gepubliceerd op internet zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. De gestolen e-mailadressen zijn onderdeel van een dataset die de gegevens van 533 miljoen Facebookgebruikers bevat. Deze data is volgens Facebook in 2019 gestolen door middel van een kwetsbaarheid die in augustus van dat jaar werd verholpen. De gegevens werden eerder dit jaar al te koop aangeboden op internet, maar verschenen vorige week op een forum waar ze konden worden gedownload. Het gaat onder andere om geboortedatum, werkgever, geslacht, geografische locatie, namen, telefoonnummers en relatiestatus. Van 2,5 miljoen gebruikers staat ook hun e-mailadres in de dataset. De e-mailadressen zijn nu toegevoegd aan Have I Been Pwned (HIBP), meldt beveiligingsonderzoeker Troy Hunt, de man achter de datalekzoekmachine. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de gelekte e-mailadressen was 65 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

De FBI heeft een waarschuwing afgegeven voor actief misbruik van drie bekende kwetsbaarheden in FortiOS, het besturingssysteem dat in de netwerkoplossingen van fabrikant Fortinet wordt gebruikt, zoals firewalls en vpn-systemen. Het gaat om CVE-2018-13379, CVE-2019-5591 en CVE-2020-12812. Volgens de FBI maken meerdere Advanced Persistent Threat (APT)-groepen gebruik van de kwetsbaarheden om toegang tot de netwerken van overheden en bedrijven te krijgen om vervolgens data te stelen of ransomware-aanvallen uit te voeren. De FBI zag vorige maand deze groepen scans op poorten 4443, 8443 en 10443 uitvoeren, om zo kwetsbare Fortinet-apparaten te vinden (pdf). CVE-2018-13379 is een kwetsbaarheid in de FortiOS SSL VPN webportal. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. Door middel van path traversal kan een ongeauthenticeerde aanvaller FortiOS-systeembestanden downloaden. Op deze manier kan een aanvaller de inloggegevens van ingelogde vpn-gebruikers bemachtigen. Exploits die misbruik van het beveiligingslek maken zijn al ruim een jaar beschikbaar. Fortinet bracht op 24 mei 2019 een beveiligingsupdate voor het lek uit. CVE-2019-5591 is een beveiligingslek in FortiOS waardoor een ongeauthenticeerde aanvaller op hetzelfde subnet gevoelige informatie kan onderscheppen door zich voor te doen als de LDAP-server. De impact van deze kwetsbaarheid is beoordeeld met een 7,5. Voor dit beveiligingslek is sinds 26 juli 2019 een beveiligingsupdate beschikbaar. Vorig jaar juli kwam Fortinet met een patch voor de derde kwetsbaarheid, CVE-2020-12812. Via dit beveiligingslek kan een aanvaller inloggen zonder dat een tweede factor moet worden opgegeven, ook al staat dit wel ingeschakeld. Dit probleem doet zich voor wanneer tweefactorauthenticatie staat ingeschakeld in de "user local" setting en er een remote authenticatiemethode voor deze gebruiker staat geconfigureerd. Door het wijzigen van de gebruikersnaam kan een aanvaller dan de tweefactorauthenticatie omzeilen. Deze kwetsbaarheid heeft een impactscore van 9,8. Aangezien beveiligingsupdates voor de genoemde kwetsbaarheden al geruime tijd beschikbaar zijn, adviseert de FBI om de patches meteen te installeren. Verder wordt een reeks van algemene beveiligingsadviezen gegeven om de beveiliging van systemen te verbeteren. bron: https://www.security.nl

Op internet zijn de privégegevens van 533 miljoen Facebookgebruikers gelekt, waaronder meer dan 5,4 miljoen Nederlanders en 3,1 miljoen Belgen, zo meldt beveiligingsonderzoeker Alon Gal van securitybedrijf Hudson Rock op Twitter. Het gaat om Facebook ID, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie, geboortedatum, in sommige gevallen e-mailadres, relatiestatus en andere informatie. "Kwaadwillenden zullen de informatie zeker voor social engineering, scams, hacking en marketing gebruiken", aldus Gal. Facebook laat in een reactie weten dat het om oude gegevens gaat die in 2019 zijn gestolen. Het onderliggende probleem waardoor de datadiefstal mogelijk was is in augustus van dat jaar verholpen. Om wat voor kwetsbaarheid het gaat laat Facebook niet weten. Axios meldt dat Facebook destijds een functie uitschakelde waardoor het mogelijk was om meerdere telefoonnummers in te voeren en via een algoritme te kijken welk nummer bij een specifieke gebruiker hoorde. De gestolen data werd eerder dit jaar nog te koop aangeboden, maar is nu gratis op een forum beschikbaar gemaakt. bron: https://www.security.nl

Excuus voor de late reactie. Mijn baan laat het niet altijd toe om geregeld hier te zijn. Een laptop schoon maken gaat wat lastiger dan een desktop. Voordat je dit gaat proberen, hoor je de fan van de laptop hard draaien voordat alles vast loopt? Zo ja, dan kan de warmte de oorzaak zijn. Zo niet is er of een probleem met de drivers of met je werkgeheugen. Loopt de laptop bij dezelfde prog's ook vast wanneer je de muis niet aangesloten hebt?

Dit klinkt als een warme- of geheugenprobleem. Mocht het een desktop zijn, kijk dan eens of alle fan's nog we schoon genoeg zijn. Stof in de pc kan ervoor zorgen dat de pc niet meer goed werkt. Hier kun je lezen hoe je je pc van binnen schoon kunt maken. koppel alle stekkers van de pc af haal de kast van de pc af maak even voor een tiental tellen met je hand contact met de aarde door even bijvoorbeeld de radiator van de CV beet te paken. Hierdoor raak je statisch ontladen (anders kunnen delen van de pc kapot gaan) blaas een busje perslucht (te verkrijgen bij bijvoorbeeld Action, fotozaken of electronica specialisten) de pc goed schoon. Pas wel op dat je geen onderdelen aanraakt. Zorg dat je ook de voeding goed schoon blaast. Je hoeft hiervoor de voeding niet te demonteren, alleen even doorblazen is genoeg! zorg dat de koeling van de processor goed schoongeblazen wordt maar kom niet aan de processor of de koeling! plaats de behuizing van de kast weer terug en sluit de pc weer aan. Loopt de muis ook vast wanneer je maar 1 programma open hebt staan?

Mozilla heeft de ontwikkeling van de op privacy gerichte browser Firefox Focus een nieuwe boost gegeven. Firefox Focus blokkeert automatisch een groot aantal trackers en laat gebruikers eenvoudig hun geschiedenis, wachtwoorden en cookies verwijderen. De eerste versie van de browser verscheen in 2016, maar de afgelopen jaren stond de ontwikkeling van Firefox Focus nagenoeg stil. De laatste grote feature-update, Firefox Focus 8.0, dateert van december 2018. Sindsdien zijn er sporadisch updates voor de browser verschenen. De ontwikkeling werd mede teruggeschaald vanwege de ontwikkeling van de nieuwe Firefox voor Android. De afgelopen weken heeft de ontwikkeling van de browser een nieuwe boost gekregen en zijn er allerlei aanpassingen aan de code doorgevoerd. Die bevatten geen nieuwe functionaliteit, maar moeten ervoor zorgen dat Firefox Focus klaar is voor de toekomst, zegt Mozilla-volger en webontwikkelaar Sören Hentzschel. Het is nog onduidelijk wanneer de eerste versie van Firefox Focus met nieuwe features zal verschijnen. Mozilla heeft nog geen roadmap met concrete plannen voor de browser gepubliceerd. Aan de hand van de Issue Tracker op GitHub blijkt echter dat het onder andere gaat om het toevoegen van privacyfeatures die al in de standaardversie van Firefox aanwezig zijn. Firefox Focus werd gisteren nog in een artikel van The New York Times genoemd. Tijdens een test met verschillende browsers blijkt Firefox Focus de meeste trackers te blokkeren. De browser kan er echter voor zorgen dat bepaalde websites, of onderdelen van sites, niet goed of helemaal niet meer werken. Gebruikers kunnen er echter voor kiezen om trackers en cookies toe te staan. bron: https://www.security.nl

Mozilla heeft de eigen vpn-dienst van verschillende nieuwe beveiligingsfeatures voorzien, die onder andere gebruikers van openbare wifi-netwerken moeten beschermen. Vorig jaar juli werd Mozilla VPN als eerste in Canada, Maleisië, Nieuw-Zeeland, Singapore, het Verenigd Koninkrijk en de Verenigde Staten uitgerold. De vpn-dienst maakt gebruik van het WireGuard-protocol dat volgens de ontwikkelaar een snellere, eenvoudigere en modernere vpn-oplossing is dan IPSec. Mozillas vpn is zelf door Mozilla ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. De dienst is nu van twee nieuwe beveiligingsfeatures voorzien, gericht op gebruikers van zowel openbare als eigen netwerken. Voor gebruikers die de vpn-dienst zelf inschakelen zal er voortaan een waarschuwing verschijnen als ze verbinding met een openbaar wifi-netwerk maken of een wifi-netwerk dat een zwakke encryptie gebruikt. Via de waarschuwing kan vervolgens de vpn-dienst worden ingeschakeld. De tweede feature, Local Area Network Access, zorgt ervoor dat apparaten op het lokale netwerk met elkaar kunnen blijven communiceren zonder dat de vpn moet worden uitgeschakeld. Mozilla VPN, dat vijf dollar per maand kost, is beschikbaar voor Android versie 6 en nieuwer, iOS 13.0 en nieuwer, macOS 10.15 en nieuwer, Ubuntu en Windows 10 64-bit. Tevens is het gebruik van een Firefox-account verplicht. De komende maanden zal de dienst in meer landen beschikbaar komen, waaronder in Duitsland en Frankrijk. bron: https://www.security.nl

Netwerkfabrikant Ubiquiti heeft de werkelijke impact van een datalek waar het in januari klanten voor waarschuwde verzwegen en bepaalde details verzonnen, om zo de gevolgen voor de aandelenkoers te beperken. Dat laat een anonieme klokkenluider tegenover it-journalist Brian Krebs weten. Ubiquiti wilde niet tegenover Krebs reageren en klanten eisen nu opheldering. Ubiquiti waarschuwde klanten op 11 januari voor een mogelijk datalek nadat onbevoegden toegang tot verschillende systemen van het netwerkbedrijf hadden gekregen. Deze systemen werden bij een externe niet nader genoemde cloudprovider gehost. Althans, dat was de uitleg van Ubiquiti. De klokkenluider, die het getroffen netwerkbedrijf bijstond, stelt dat Ubiquiti het verhaal opzettelijk heeft verzonnen om te doen alsof de third-party cloudprovider risico liep en Ubiquiti slechts een slachtoffer daarvan was geworden. In werkelijkheid was het netwerkbedrijf zelf een direct doelwit van de aanval en was de impact daarvan vele malen groter dan in de waarschuwing aan klanten werd voorgesteld. De aanvallers wisten volgens de klokkenluider toegang tot inloggegevens te krijgen die in het LastPass-account van een Ubiquiti-medewerker waren opgeslagen. Daarmee konden ze op alle Amazon Web Services-accounts van het netwerkbedrijf als root administrator inloggen. Het ging onder andere om alle S3-buckets die voor de opslag van data worden gebruikt, alle applicatielogs, alle databases, alle inloggegevens van gebruikersdatabases en secrets vereist voor het creëren van single sign-on (SSO) cookies. Tevens hadden de aanvallers toegang tot de broncode van Ubiquiti Met dergelijke toegang hadden de aanvallers op afstand kunnen inloggen op tal van cloud-gebaseerde netwerkapparaten van Ubiquiti. Het bedrijf claimt dat het meer dan 85 miljoen netwerkapparaten heeft geleverd die een belangrijk onderdeel vormen van netwerken wereldwijd. Ubiquiti ontdekte eind december dat iemand met beheerderstoegang verschillende onbekende Linux virtual machines had aangemaakt. Vervolgens werd er een backdoor ontdekt die de aanvallers hadden achtergelaten. Nadat de onderzoekers dit backdoor-account in de eerste week van januari hadden verwijderd reageerden de aanvallers dat ze 2,8 miljoen dollar eisten om het datalek stil te houden. Tevens gaven de aanvallers bewijs dat ze de broncode van Ubiquiti hadden buitgemaakt en beloofden om de aanwezigheid van een tweede backdoor te openbaren. Ubiquiti ging hier niet op in en het onderzoeksteam ontdekte uiteindelijk de tweede achtergelaten backdoor. De dagen daarna werden alle inloggegevens van medewerkers gereset, waarna klanten werd aangeraden om hun wachtwoorden te wijzigen. Volgens de klokkenluider had Ubiquiti klanten niet moeten vragen om hun wachtwoord te resetten, maar had het bedrijf dit moeten afdwingen. Met name omdat de aanvallers over inloggegevens beschikten waarmee ze op afstand konden inloggen op de systemen van klanten. Ubiquiti logde niet wie er toegang tot de databases had, waardoor het niet kon bewijzen of ontkennen wat de aanvallers hadden buitgemaakt, aldus de klokkenluider. Tevens zou de juridische afdeling van Ubiquiti herhaaldelijke verzoeken om de wachtwoorden van klanten te resetten en aanpassingen in de betreffende periode terug te draaien hebben afgeschoten. Eigenaren van een Ubiquiti-apparaat die hun wachtwoord sinds 11 januari van dit jaar niet hebben aangepast wordt aangeraden dit alsnog te doen. Op het forum van Ubiquiti eisen klanten inmiddels opheldering, maar ook daar heeft het bedrijf nog niet gereageerd. bron: https://www.security.nl

Er zijn zeker nog zo'n 76.000 webshells op gecompromitteerde Exchange-servers actief, een daling van de 283.000 webshells die twee weken geleden werden gedetecteerd, zo blijkt uit onderzoek van de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt. Shadowserver voerde de afgelopen weken meerdere scans uit naar kwetsbare Exchange-servers. Twee weken geleden detecteerde de organisatie nog zo'n 283.000 unieke webshells op bijna 87.000 ip-adressen en 102.000 hostnames. Tijdens de laatste scan van gisterenavond bleek dat van de eerder waargenomen webshells er nog bijna 76.000 actief waren. Verspreid over 14.300 ip-adressen en bijna 17.000 hostnames. De Exchange-servers zijn gecompromitteerd via verschillende kwetsbaarheden waarvoor Microsoft op 2 maart noodpatches uitbracht. Die beveiligingslekken werden echter al voor het uitkomen van de updates misbruikt. Aanvallers gebruikten de kwetsbaarheden voor het installeren van webshells. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers. Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen. bron: https://www.security.nl

Google is in de Verenigde Staten aangeklaagd omdat het gegevens van gebruikers via real time bidding (RTB) aan adverteerders zou verkopen, ook al zegt het techbedrijf dit niet te doen. RTB is een technologie waarbij advertentieruimte op websites via een geautomatiseerde veiling wordt verkocht aan adverteerders. Elke keer dat iemand een website bezoekt en een gerichte advertentie te zien krijgt, worden gegevens over wat hij of zij leest of bekijkt naar bedrijven gestuurd. Dit worden ook "bid requests" genoemd. Advertentiebedrijven versturen deze gegevens naar tal van bedrijven om zo adverteerders te laten bieden om advertenties aan bezoekers te tonen. Bedrijven kunnen zo gericht adverteren. De bid requests die dit mogelijk maken bevatten vaak allerlei persoonlijke informatie van internetgebruikers, zoals hetgeen dat de bezoeker leest of bekijkt, locatiegegevens, informatie over het gebruikte apparaat, uniek tracking-ID en ip-adres. Volgens de klagers komt deze gevoelige gebruikersdata ook terecht bij adverteerders die de veiling niet winnen. Uit onderzoek dat de klagers lieten uitvoeren blijkt dat er 1,3 miljoen verschillende uitgevers zijn die aan het advertentiesysteem van Google deelnemen, zo meldt Vice Magazine. Elk van deze uitgevers is een potentiële ontvanger van de 'bidstream data' die persoonlijke informatie bevat. Informatie waarvan Google zegt dat het die niet deelt, zo staat in de aanklacht. Via de rechtszaak willen de klagers voor alle deelnemers aan de massaclaim een schadevergoeding. Vorig jaar besloot Google, naar aanleiding van onderzoek door verschillende autoriteiten, de eigen advertentieveilingen aan te passen. De bid requests die Google naar adverteerders stuurt bevatten geen contentcategorieën meer, die duidelijk maken wat voor soort pagina of website iemand bezoekt. bron: https://www.security.nl

Een kwetsbaarheid in de veelgebruikte npm-package netmask raakt duizenden applicaties en repositories. Een beveiligingsupdate is inmiddels beschikbaar gemaakt. Netmask wordt gebruikt voor het verwerken of vergelijken van IPv4-adressen en Classless Inter-Domain Routing (CIDR)-blocks. Softwareplatform GitHub telt 279.000 respositories die er gebruik van maken. Door het niet goed valideren van "octal strings" kan een ongeauthenticieerde remote aanvaller verschillende soorten aanvallen uitvoeren op packages en projecten die er gebruik van maken, zoals server-side request forgery (SSRF), remote file inclusion (RFI) en local file inclusion (LFI), aldus onderzoekers Victor Viale, Sick Codes, Kelly Kaoudis, John Jackson en Nick Sahler. Ip-adressen kunnen in verschillende formaten worden weergegeven, bijvoorbeeld in een decimaal of octaal formaat. Meestal wordt het decimale formaat gebruikt. De kwetsbaarheid, CVE-2021-28918, doet zich voor bij decimale ip-adressen waar een 0 voor wordt geplaatst. Zo wordt ip-adres 127.0.0.1 normaal gebruikt voor localhost. Wanneer echter 0127.0.0.1 wordt gebruikt dan wordt dit vertaald naar 87.0.0.1. Volgens de IETF-specificatie kunnen delen van een IPv4-adres als een octaal worden beschouwd als het adres met een 0 begint. Netmask negeert dit en gaat van het decimale formaat uit. Wanneer een applicatie wil controleren of een ip-adres binnen een bepaalde reeks hoort, gaat het fout met octale weergaven van IPv4-adressen. "Een remote ongeauthenticeerde aanvaller kan lokale resources opvragen door middel van invoerdata 0177.0.0.1 (127.0.0.1), dat netmask als publiek ip-adres 177.0.0.1 beschouwt", aldus de onderzoekers. Die stellen dat een remote geauthenticeerde of ongeauthenticeerde aanvaller 0127.0.0.01 (87.0.0.1) als localhost kan opgeven, terwijl het eigenlijk een publiek ip-adres is waardoor LFI/RFI mogelijk wordt. Tevens zou het mogelijk zijn om applicaties te omzeilen die netmask gebruiken om ip-adressen te filteren om te voorkomen dat die toegang tot een intranet, vpn of containers krijgen. Zo wordt 012.0.0.1 (10.0.0.1) door Netmask gezien als 12.0.0.1, wat weer een publiek ip-adres is. De kwetsbaarheid is aanwezig in netmask versie 1.1.0 en eerder en verholpen in versie 2.0.0. bron: https://www.security.nl