Captain Kirk

Een kritieke kwetsbaarheid in de software Checkbox Survey wordt actief door aanvallers gebruikt om servers aan te vallen. Checkbox biedt software voor het maken van online enquêtes en onderzoeken. Het bedrijf claimt dat het wereldwijd honderden klanten heeft, waaronder grote bedrijven en organisaties als Microsoft, Philips, de NAVO, Boeing, Vodafone, Pfizer en Unilever. Checkbox Survey versie 6 en eerder bevatten een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand op kwetsbare servers willekeurige code met de rechten van de webserver kan uitvoeren. Het beveiligingslek wordt veroorzaakt doordat de software niet goed omgaat met ASP.NET View State data. Om aanvallen via malafide gebruikersinvoer te voorkomen kan ASP.NET van een ViewState Message Authentication Code (MAC) gebruikmaken. In het geval van Checkbox Survey versie 6 en ouder wordt de MAC-instelling op de server genegeerd. Zonder de MAC kan een aanvaller willekeurige data creëren wat tot het uitvoeren van willekeurige code op de server leidt, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. De organisatie stelt dat er actief misbruik van het beveiligingslek wordt gemaakt., Het CERT/CC meldt dat Checkbox Survey versie 6 niet meer wordt ondersteund, maar het softwarebedrijf laat op de eigen website weten dat de Checkbox Survey versie 6 vanaf 1 juli 2021 pas end-of-life zal zijn. De kwetsbaarheid is niet aanwezig in versie 7 van de software. Het CERT/CC raadt organisaties aan om versie 6, wanneer een update naar versie 7 niet mogelijk is, van systemen te verwijderen. bron: https://www.security.nl

Google heeft een nieuwe Rowhammer-aanval op dram-geheugen geïntroduceerd waardoor een aanvaller bestaande beschermingsmethodes kan omzeilen en in meer geheugenrijen 'bit flips' kan veroorzaken. Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen. Deze dichtheid zorgt ervoor dat de cellen invloed op elkaar kunnen hebben. Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Rowhammer zorgt ervoor dat bij het herhaaldelijk benaderen van een geheugenrij bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk voor een aanvaller op een systeem om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het bijvoorbeeld mogelijk is om kernelrechten te krijgen. De eerste Rowhammer-aanval werd tegen DDR3-geheugen gedemonstreerd. Om dergelijke aanvallen te voorkomen namen geheugenfabrikanten allerlei maatregelen in DDR4-geheugen, dat door moderne systemen en telefoons wordt gebruikt. Die maatregelen blijken tegen de originele Rowhammer-aanval te werken, maar zijn kwetsbaar voor nieuwe varianten. Eén van deze varianten werd vorig jaar door onderzoekers van de Vrije Universiteit (VU) Amsterdam gedemonstreerd. Nu heeft Google ook een nieuwe aanval ontwikkeld. Deze aanval wordt Half-Double genoemd. In tegenstelling tot de oorspronkelijke Rowhammer-aanval, waarbij bit flips alleen mogelijk zijn op een afstand van één geheugenrij, waardoor alleen de aangrenzende geheugenrijen zijn aan te vallen, maakt Half-Double het mogelijk om bits in verder gelegen geheugenrijen aan te passen. Volgens Google is de aanval mogelijk doordat de afstand tussen rijen van dram-geheugen steeds kleiner wordt. Het techbedrijf heeft met partijen in de halfgeleiderindustrie overlegd om te zoeken naar oplossingen voor het Rowhammer-fenomeen. "We publiceren dit onderzoek omdat we denken dat het de kennis over het Rowhammer-fenomeen vergroot en zowel onderzoekers als industriepartners zal helpen om samen oplossingen te ontwikkelen", aldus Salman Qazi van Google. bron: https://www.security.nl

Sinds 2018 waarschuwt Firefox gebruikers voor websites die zijn getroffen door een bekend datalek, maar dat zal in de toekomst deels veranderen. Voorheen kregen gebruikers een pop-up te zien wanneer de bezochte website recentelijk aan datalekzoekmachine Have I Been Pwned was toegevoegd. Vervolgens werd de gebruiker opgeroepen om via Firefox Monitor te controleren of zijn account was gecompromitteerd. Firefox toonde altijd een waarschuwing, ongeacht het soort gestolen data. Om de ruis die dit soort meldingen kunnen veroorzaken tegen te gaan zal Firefox nu alleen nog waarschuwingen tonen bij datalekken waarbij wachtwoorden zijn gelekt. "Hoewel we alle persoonlijke data belangrijk vinden, zorgen de waarschuwingen voor al deze datalekken voor ruis waar lastig op te reageren is. Een betere oplossing is om alleen te waarschuwen wanneer het belangrijk is om in actie te komen om je data te beschermen", zegt Luke Crouch van Mozilla. Gebruikers die voor alle datalekken een waarschuwing willen ontvangen kunnen zich aanmelden voor Firefox Monitor. bron: https://www.security.nl

De Duitse mededingingsautoriteit is een onderzoek gestart naar de voorwaarden waaronder Google de gegevens van gebruikers verwerkt en de marktpositie van het techbedrijf. De afgelopen maanden lanceerde het Bundeskartellamt soortgelijke onderzoeken naar Amazon en Facebook. Volgens de mededingingsautoriteit moeten gebruikers bij het gebruik van Googles diensten altijd akkoord gaan met bepaalde voorwaarden waarin de dataverwerking door Google staat uitgelegd. Het Bundeskartellamt zal nu onderzoeken in hoeverre de voorwaarden Google in staat stellen om data over meerdere diensten te verwerken en wat de impact van het beleid is op de informatie die via third-party websites en apps wordt verkregen. Ook kijkt de mededingingsautoriteit welke keuze gebruikers eigenlijk hebben als het gaat om de verwerking van hun data door Google. Verder wordt de marktpositie van Google onder de loep genomen, waarbij de toezichthouder wijst naar de dominantie van diensten zoals Google Search, Android, YouTube en Google Maps. "Het businessmodel van Google is voor een groot deel afhankelijk van het verwerken van gegevens van gebruikers", zegt Andreas Mundt, voorzitter van het Bundeskartellamt. Door de toegang die het techbedrijf heeft tot de gegevens van gebruikers geniet het een strategisch voordeel ten opzichte van concurrenten. De mededingingsautoriteit richt zich daarom met name op de dataverwerkingsvoorwaarden. "Een belangrijke vraag in deze context is of gebruikers die van Googles diensten gebruik willen maken voldoende keuze hebben in hoe Google hun data zal gebruiken", aldus Mundt. bron: https://www.security.nl

Quizsite DailyQuiz.me, voorheen bekend als ThisCrush.com, blijkt in januari te zijn getroffen door een datalek, waardoor aanvallers toegang kregen tot de gegevens van acht miljoen accounts, waaronder wachtwoorden in plaintext. Dat laat beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned weten. Via DailyQuiz kunnen gebruikers allerlei quizzen doen. In januari van dit jaar kreeg een aanvaller toegang tot de gebruikersdatabase van de site. Die bevatte meer dan acht miljoen unieke e-mailadressen, ip-adressen en wachtwoorden die in plaintext waren opgeslagen, aldus Hunt. Hoewel veel websites het hashen van wachtwoorden toepassen zijn er ook nog altijd sites die ze in plaintext opslaan. Dit is met name een risico voor gebruikers die hun wachtwoord op meerdere websites hergebruiken. De buitgemaakte data wordt sinds januari op een forum te koop aangeboden. Hunt heeft de meer dan acht miljoen gestolen e-mailadressen toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of hun accounts onderdeel van een datalek zijn geworden. Van de buitgemaakte e-mailadressen was 55 procent al via een ander datalek bij de zoekmachine bekend. DailyQuiz laat inmiddels een waarschuwing zien waarin gebruikers worden opgeroepen om hun wachtwoord aan te passen. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP die een kwetsbare versie van Hybrid Backup Sync (HBS 3) draaien zijn sinds de week van 19 april het doelwit van ransomware-aanvallen. Daarvoor waarschuwt de NAS-fabrikant in een security advisory. HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. De software bevat echter een hardcoded wachtwoord waarmee een aanvaller op afstand op het systeem kan inloggen. QNAP stelt dat het om een ernstig beveiligingslek gaat, aangeduid als CVE-2021-28799. Op 22 april kwam QNAP met een waarschuwing en stelde dat er beveiligingsupdates waren uitgerold om het probleem te verhelpen. De Qlocker-ransomware blijkt van dit beveiligingslek misbruik te maken om kwetsbare NAS-systemen te infecteren. Eenmaal actief verplaatst de ransomware bestanden op het NAS-systeem naar een met wachtwoord beveiligd 7z-bestand. Slachtoffers moeten vervolgens 0,01 bitcoin betalen voor het ontsleutelen van hun bestanden. De eerste meldingen van getroffen gebruikers dateren van 20 april. Honderden QNAP-gebruikers zouden de afgelopen weken door de Qlocker-ransomware zijn getroffen en bij elkaar 350.000 dollar losgeld hebben betaald. De bende achter deze ransomware zou inmiddels zijn gestopt. Slachtoffers kunnen daardoor niet meer het losgeld betalen om hun data terug te krijgen. Meerdere QNAP-gebruikers vonden dat ze niet goed door de NAS-fabrikant werden geholpen. Het ging onder andere om lange wachttijden voor de helpdesk. Vandaag komt QNAP met een update over de aanvallen door Qlkocker en stelt dat de ransomware misbruik maakt van het eerder genoemde lek in HBS 3. Gebruikers wordt dan ook opgeroepen om naar een nieuwere versie van de software te updaten. bron: https://www.security.nl

Microsoft stopt op 15 juni 2022 met de support van Internet Explorer 11, zo heeft het techbedrijf aangekondigd. Alleen op Windows 7, Windows 8,1, Windows 10 LTSC en Windows 10 Server blijft Microsoft de browser ondersteunen. Op alle andere Windowsversie zal IE11 worden vervangen door Edge. Volgens Microsoft is Edge niet alleen veiliger en biedt het een modernere browse-ervaring, het ondersteunt via de Internet Explorer-mode ook legacy websites en applicaties. Als eerste zullen Microsoft 365 en andere applicaties van het techbedrijf Internet Explorer 11 vanaf 17 augustus dit jaar niet meer ondersteunen. Op 15 juni 2022 zal daarna de support van de browser volledig worden beëindigd. Thuisgebruikers die nog met Internet Explorer 11 werken worden opgeroepen om voor volgend jaar 15 juni naar Edge over te stappen. In het geval van organisaties kan het zijn dat die nog van honderden legacy IE-gebaseerde websites en apps gebruikmaken. Voor deze organisaties heeft Microsoft een stappenplan opgesteld en laat weten dat de Internet Explorer-mode in Edge tot minstens 2029 zal worden ondersteund. bron: https://www.security.nl

Google gaat de informatie die Chrome via de user-agent verstuurt pas volgend jaar beperken, zo laat het techbedrijf weten. De user-agent-string die met elk http-request wordt verstuurd bevat informatie over onder andere het besturingssysteem van de gebruiker, gebruikte browser en versienummer, apparaatmodel en onderliggende architectuur. De combinatie van deze parameters en grote aantal mogelijke waardes zorgt ervoor dat internetgebruikers alleen aan de hand van hun User-Agent zijn te identificeren. Iets wat de via de website AmIUnique.org is te testen. Ook Google stelt dat de user-agent het fingerprinten van gebruikers mogelijk maakt. Daarnaast kan het voor compatibiliteitsproblemen zorgen wanneer browsers verkeerde informatie via de user-agent doorgeven. Iets wat volgens Google voornamelijk bij kleinere browsers het geval is. Begin vorig jaar kondigde Google het plan aan om de informatie die via de user-agent wordt verstrekt te beperken. Websites zullen dan niet meer zien welke specifieke browserversie of besturingssysteem iemand gebruikt. Straks zal alleen nog worden weergegeven dat het bijvoorbeeld om een Android-, macOS- of Windows-gebruiker gaat die van Chrome 93 gebruikmaakt, waarbij het specifieke versienummer niet meer wordt meegestuurd. Zo kunnen websites nog steeds zien dat het om een mobiele of desktopgebruiker gaat en welke browser en besturingssysteem hij gebruikt. Wanneer meer informatie is vereist wijst Google naar het gebruik van user-agent client hints. Deze oplossing biedt toegang tot dezelfde informatie als de normale user-agent, maar dan op een privacyvriendelijke manier waarmee wordt voorkomen dat de browser standaard alles uitzendt, zo stellen de bedenkers. Oorspronkelijk was Google van plan om de beperkingen vorig jaar al door te voeren, maar zag daar vanwege de coronapandemie vanaf. Vandaag meldt het techbedrijf dat het van plan is om de uitfasering van de user agent gefaseerd door te voeren. Om ontwikkelaars en het web-ecosysteem voldoende tijd te geven om hierop te reageren is echter besloten dat de user-agent van de releaseversie van Chrome dit jaar niet zal worden aangepast. Wanneer de uitfasering precies plaatsvindt wordt later bekendgemaakt. Apple Safari en Mozilla Firefox hebben al beperkingen aan de user-agent doorgevoerd. bron: https://www.security.nl

Mozilla gaat Firefox van een nieuwe beveiligingsmaatregel voorzien genaamd Site Isolation die gebruikers tegen toekomstige varianten van de Spectre-aanval en soortgelijke kwetsbaarheden moet beschermen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen. "Deze nieuwe beveiligingsarchitectuur zorgt ervoor dat Firefox code van verschillende sites volledig kan scheiden, en zo beschermt tegen kwaadaardige sites die gevoelige data van andere bezochte sites proberen te benaderen", zegt Anny Gakhokidze van Mozilla. Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen. Om dergelijke aanvallen te voorkomen is het nodig dat elke site op OS-niveau in een apart proces wordt geladen. Firefox maakt al gebruik van verschillende processen om bijvoorbeeld webcontent te laden. Toch biedt dit volgens Gakhokidze nog niet voldoende bescherming, omdat het kan voorkomen dat twee verschillende websites hetzelfde besturingssysteemproces gebruiken en zo het procesgeheugen delen. Vervolgens zou het via een kwetsbaarheid als Spectre mogelijk voor de ene site zijn om data van de andere sites in dit geheugen te benaderen. Met Site Isolation wordt dit voorkomen. Naast de bescherming die de maatregel biedt heeft het ook andere voordelen. Door meer websites in gescheiden processen te laden zal de ene website geen invloed hebben op de reactie van websites in andere processen. Door meer processen te gebruiken voor het laden van websites kan ook de belasting over meerdere cpu-cores worden verdeeld, waardoor de onderliggende hardware efficiënter wordt gebruikt. Daarnaast zal de betere scheiding ervoor zorgen dat een crashende website of tab geen invloed op websites in andere processen heeft, wat voor een betere stabiliteit en gebruikerservaring zorgt, aldus Gakhokidze. Site Isolation is nu beschikbaar in de desktopversies van Firefox Nightly, Firefox Beta en Firefox Release, maar moet nog wel door gebruikers zelf worden ingeschakeld. Volgens Gakhokidze gaat het om een "monumentale aanpassing" binnen Firefox die gebruikers tegen toekomstige varianten van Spectre moet beschermen. bron: https://www.security.nl

Google houdt er rekening mee dat dit jaar een recordaantal van zestig zerodaylekken zal worden gevonden die actief bij aanvallen zijn ingezet. Dat liet Maddie Stone van Google Project Zero weten tijdens een conferentie van het Australische Cyber Emergency Response Team (AusCERT). In de eerste vijf maanden van dit jaar registreerde Google 22 zerodaylekken die zijn gebruikt om gebruikers van de betreffende software aan te vallen. Het gaat dan met name om software van Microsoft (8) Apple (7) en Google (5). Als deze trend zich doorzet komt het totaal aantal zerodaylekken voor 2021 uit op zestig, merkte Stone op. In 2020 registreerde Google nog 25 zerodays. In 2015 werden tot nu toe de meeste zerodaylekken gevonden, namelijk 28. Volgens Stone hebben onderzoekers nu een beter beeld van de aanvallen die plaatsvinden, in plaats van dat slechts een klein gedeelte wordt gezien. Het Google Project Zero-team waar Stone deel van uitmaakt heeft als motto "make zero-day hard." Het is de bedoeling om het lastiger voor aanvallers te maken om zerodays in te zetten. Zo moet de toepassing van nieuwe technieken de ontwikkeling van exploits bemoeilijken. Daarnaast moeten softwareleveranciers betere beveiligingsupdates ontwikkelen om ervoor te zorgen dat gerelateerde kwetsbaarheden door één patch worden afgevangen. De huidige patchmethodes maken het niet lastiger om andere zerodays te vinden, stelt Stone. Eerder dit jaar stelde Google al dat een kwart van de in 2020 ontdekte zerodays door betere patches van leveranciers voorkomen had kunnen worden. Tevens moeten updates voor zerodaylekken sneller worden ontwikkeld en aangeboden. "Het is volledig haalbaar om tot een punt te komen waar zerodays veel lastiger zijn dan het nu is", zegt Stone tegen ISMG. "Dus laten we ervoor gaan." bron: https://www.security.nl

Door het wijzigen van de taal- en toetsenbordinstellingen van een computer kunnen infecties door ransomware worden voorkomen, zo stellen experts. Het is al jaren bekend dat verschillende malware-exemplaren, voordat ze een systeem infecteren, eerst de taal- en toetsenbordinstellingen controleren. Wanneer op het systeem de taalinstelling van bijvoorbeeld voormalige Sovjet-landen wordt aangetroffen schakelt de malware zichzelf uit. Deze controle voeren de aanvallers volgens beveiligingsonderzoekers uit om vervolging door de Russische autoriteiten te voorkomen. "Dit is voor hun juridische bescherming", zegt Allison Nixon van Unit221B tegenover it-journalist Brian Krebs. "Het installeren van een Cyrillisch toetsenbord, of het wijzigen van een registersleutel naar "RU" kan genoeg zijn om malware te overtuigen dat je Russisch bent en niet moet worden aangevallen. Dit is als een 'vaccin' tegen Russische malware te gebruiken." Het wijzigen van taal- en toetsenbordinstellingen is weer actueel geworden naar aanleiding van de aanval met de DarkSide-ransomware op de Colonial Pipeline Company in de Verenigde Staten. Een onderzoeker had eerder al ontdekt dat deze ransomware geen systemen in landen uit de voormalige Sovjet-Unie infecteert, zoals Security.NL vorige week berichtte. Verschillende experts stellen op Twitter dat het toevoegen van een Russisch toetsenbord of taalinstelling vaak voldoende is om ransomware te misleiden. "Uiteindelijk zullen Russische hackers met hetzelfde probleem te maken krijgen waar verdedigers in het westen mee te maken hebben - het feit dat het zeer lastig is om een binnenlandse van een buitenlandse machine te onderscheiden die zich als binnenlandse voordoet", aldus Nixon. Het aanpassen van deze instellingen biedt geen honderd procent zekerheid. Onlangs liet securitybedrijf FireEye nog weten dat het een exemplaar van de DarkSide-ransomware had aangetroffen die de systeemtaal niet controleerde. bron: https://www.security.nl

Een beveiligingsonderzoeker heeft proof-of-concept exploitcode gepubliceerd voor een 'wormable' kwetsbaarheid in Windows 10 en Windows Server. Afgelopen dinsdag kwam Microsoft met beveiligingsupdates voor het beveiligingslek. De kwetsbaarheid, aangeduid als CVE-2021-31166, bevindt zich in de http protocol stack van Windows 10 en Windows Server. Door het versturen van een speciaal geprepareerd netwerkpakket naar een kwetsbare server die gebruikmaakt van deze stack (http.sys) voor het verwerken van pakketten, kan een aanvaller willekeurige code met kernelrechten uitvoeren en zo het systeem volledig overnemen. Er is geen enkele interactie van gebruikers vereist. Op een schaal van 1 tot en met 10 wat betreft de ernst is het beveiligingslek met een 9,8 beoordeeld. Volgens Microsoft, dat het beveiligingslek zelf ontdekte, is misbruik van de kwetsbaarheid eenvoudig. Het techbedrijf raadt organisaties dan ook aan om het patchen van servers prioriteit te geven. Beveiligingsonderzoeker en voormalig Microsoft-engineer Axel Souchet maakte gisteren proof-of-concept exploitcode voor de kwetsbaarheid beschikbaar. Daarmee is het mogelijk om kwetsbare Windows-systemen waarop Microsoft Internet Information Services (IIS) draait te laten crashen. De exploitcode is niet voor de verspreiding van een computerworm te gebruiken. Eerder waarschuwde Adam Bunn van securitybedrijf Rapid7 dat het slechts een kwestie van tijd is voordat de kwetsbaarheid wordt gebruikt voor grootschalige aanvallen tegen Windows 10- en Windows Server-machines. Het Zero Day Initiative en antivirusbedrijf McAfee adviseerden organisaties om de beveiligingsupdate voor CVE-2021-31166 bovenaan de lijst te zetten van te testen en uit te rollen patches. bron: https://www.security.nl

Echt goed. Weet hoe lastig het is. Zelf zware roker geweest vanaf mijn dertiende. Nu alweer 18 jaar rookvrij, maar blijft soms lastig. Hou Vol!

Tijdens de patchcyclus van mei heeft Microsoft 55 beveiligingslekken verholpen, waaronder een kritieke kwetsbaarheid die een computerworm mogelijk maakt, zo waarschuwt het techbedrijf. Organisaties worden dan ook opgeroepen om de beschikbaar gestelde beveiligingsupdates zo snel mogelijk te installeren. De kwetsbaarheid, aangeduid als CVE-2021-31166, bevindt zich in de http protocol stack van Windows 10 en Windows Server. Door het versturen van een speciaal geprepareerd netwerkpakket naar een kwetsbare server die gebruikmaakt van deze stack (http.sys) voor het verwerken van pakketten kan een aanvaller willekeurige code met kernelrechten uitvoeren en zo het systeem volledig overnemen. Er is geen enkele interactie van gebruikers vereist. Op een schaal van 1 tot en met 10 wat betreft de ernst is het beveiligingslek met een 9,8 beoordeeld. Volgens Microsoft, dat het beveiligingslek zelf ontdekte, is misbruik van de kwetsbaarheid eenvoudig. Microsoft raadt organisaties dan ook aan om het patchen van servers prioriteit te geven. "Het is slechts een kwestie van tijd voordat iemand achterhaalt hoe het speciaal geprepareerde pakket moet worden gemaakt en zullen we grootschalige aanvallen tegen Windows 10- en Windows Server-machines zien", zegt Adam Bunn van securitybedrijf Rapid7. Het Zero Day Initiative adviseert organisaties om de beveiligingsupdate voor CVE-2021-31166 bovenaan de lijst te zetten van te testen en uit te rollen patches. bron: https://www.security.nl

De Belgische beveiligingsonderzoeker Mathy Vanhoef, bekend van zijn KRACK-aanval tegen WPA en WPA2, heeft nieuwe kwetsbaarheden in de wifi-standaard en in tal van wifi-producten ontdekt die teruggaan tot 1997. Via de FragAttacks (fragmentation and aggregation attacks) kan een aanvaller in de buurt van een kwetsbaar apparaat willekeurige malafide frames injecteren en zo informatie van de gebruiker proberen te stelen, zoals een gebruikersnaam en wachtwoord, of apparaten aanvallen. Drie van de gevonden kwetsbaarheden zijn ontwerpfouten in de wifi-standaard en raken daardoor de meeste wifi-apparaten. Daarnaast vond Vanhoef verschillende andere beveiligingslekken die worden veroorzaakt door programmeerfouten in wifi-apparaten. "Experimenten laten zien dat elk wifi-product door tenminste één kwetsbaarheid wordt geraakt en dat de meeste producten met meerdere kwetsbaarheden te maken hebben", aldus de onderzoeker. De beveiligingslekken raken alle wifi-beveiligingsprotocollen, van WEP tot en met WPA3. "Dit houdt in dat verschillende van de gevonden ontwerpfouten al onderdeel van wifi zijn sinds de release in 1997!. Gelukkig zijn de ontwerpfouten lastig te misbruiken omdat er interactie van de gebruiker is vereist of die alleen mogelijk zijn bij ongewone netwerkinstellingen." De grootste zorg zijn dan ook de programmeerfouten in de wifi-producten die Vanhoef ontdekte en volgens de onderzoeker eenvoudig zijn te misbruiken. Via de kwetsbaarheden kan een aanvaller onder andere onversleutelde wifi-frames op een beveiligd wifi-netwerk injecteren. Hierdoor is het bijvoorbeeld mogelijk om gebruikers een malafide dns-server te laten gebruiken en zo hun verkeer te onderscheppen. In het geval van een aanval tegen wifi-routers kan de methode worden gebruikt om de NAT/firewall te omzeilen en achterliggende apparaten aan te vallen. De aanval is mogelijk omdat bepaalde wifi-apparaten onversleutelde frames accepteren zelfs wanneer ze met een beveiligd wifi-netwerk zijn verbonden. Verder blijkt dat sommige wifi-apparaten plaintext "aggregated frames" accepteren die op handshake messages lijken en het injecteren van de code van de aanvaller mogelijk maken. De afgelopen negen maanden ontwikkelden leveranciers beveiligingsupdates om de gevonden kwetsbaarheden te verhelpen. Zo rolde Microsoft gisterenavond patches uit. Wanneer updates niet beschikbaar zijn adviseert Vanhoef om te controleren dat bezochte websites van https gebruikmaken, aangezien dit bescherming biedt tegen een aantal van de aanvallen. Het gaat dan om de aanvallen waarbij er gevoelige informatie kan worden gestolen. Daarnaast wordt gebruikers aangeraden om hun dns-server handmatig in te stellen, om zo dns poisoning te voorkomen. In het geval van wifi-configuraties kunnen gebruikers als mitigatie fragmentatie, pairwise rekeys en dynamic fragmentation in Wi-Fi 6 (802.11ax) apparaten uitschakelen. Vanhoef heeft ook een testtool beschikbaar gesteld waarmee kan worden gekeken of wifi-apparaten kwetsbaar zijn. bron: https://www.security.nl

Gebruikers van Adobe Reader zijn opnieuw het doelwit van een zeroday-aanval geworden waardoor aanvallers in het ergste geval volledige controle over systemen kunnen krijgen. Adobe heeft vandaag beveiligingsupdates voor de kwetsbaarheid uitgebracht die al voor het uitkomen van de patch werd misbruikt. Het softwarebedrijf spreekt over "beperkte aanvallen" gericht tegen Reader-gebruikers op Windows, maar verdere details worden niet gegeven. Via het beveiligingslek, aangeduid als CVE-2021-28550, kan een aanvaller willekeurige code met de rechten van de ingelogde gebruiker op het systeem uitvoeren als die een kwaadaardig pdf-bestand opent. Naast het aangevallen zerodaylek zijn er ook tien andere kwetsbaarheden in de pdf-lezer verholpen. Jarenlang waren Adobe Reader en Acrobat geregeld het doelwit van zeroday-aanvallen. De afgelopen jaren werden dergelijke aanvallen niet meer gemeld, tot februari van dit jaar, toen Adobe sinds lange tijd weer een zeroday in de pdf-software rapporteerde. Vandaag is dat weer het geval. Net als het zerodaylek in februari werd ook de vandaag verholpen kwetsbaarheid door een anonieme beveiligingsonderzoeker aan Adobe gerapporteerd. Gebruikers krijgen het advies om "zo snel mogelijk" te updaten naar Acrobat DC of Acrobat Reader DC versie 2021.001.20155, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30196, Acrobat 2020 of Acrobat Reader 2020 versie 2020.001.30025 voor Windows en macOS. Als voorbeeld noemt Adobe het installeren van de updates binnen 72 uur. bron: https://www.security.nl

Softwareontwikkelaar VideoLAN heeft een nieuwe versie van VLC media player voor Windows uitgebracht die een probleem met de automatische updatefunctie verhelpt. De bug werd in versie 3.0.12 geïntroduceerd en zorgt ervoor dat VLC nieuwe versies wel downloadt maar niet installeert. Dit is een beveiligingsrisico voor gebruikers, aangezien versie 3.0.12 verschillende kwetsbaarheden bevat die in versie 3.0.13 zijn verholpen. Deze versie is bij gebruikers van VLC versie 3.0.12 op Windows echter nooit geïnstalleerd. De nu uitgebrachte versie 3.0.14 verhelpt dit probleem, maar moet na de automatische download wel handmatig worden geïnstalleerd. VLC laat wel aan gebruikers zien dat het installatieprogramma van de nieuwe versie vanwege een fout niet kan worden gestart. Daarnaast kunnen gebruikers ervoor kiezen om de nieuwe versie via VideoLAN.org te downloaden. bron: https://www.security.nl

Een aanvaller heeft de klantgegevens van webwinkel ServerKast.com gestolen en die gebruikt voor phishingaanvallen, zo meldt DSIT, het bedrijf achter de webshop. Begin april ontvingen verschillende klanten van de webshop een bericht waarin werd gesteld dat hun pakket onderweg was, maar de verzendkosten niet waren betaald. Het ging hier echter om een phishingmail. "De specifieke e-mailadressen waaraan deze berichten zijn verzonden deed vermoeden dat de gegevens uit onze administratie afkomstig zijn", aldus DSIT in een uitleg over het datalek. Uit het onderzoek dat werd ingesteld bleek dat een aanvaller toegang tot de administratie van de webshop heeft gekregen. De gestolen data is vervolgens gebruikt voor een phishingaanval. Volgens DSIT heeft de aanvaller naam, bedrijfsnaam, btw-nummer, e-mailadres, telefoonnummer en bestelgegevens in handen gekregen. Het bedrijf laat weten dat het een groot deel van de phishingmails heeft kunnen tegenhouden. Daarnaast is de beveiliging aangescherpt en zijn wachtwoorden aangepast. Hoe de aanvaller toegang tot de klantgegevens kon krijgen is niet bekendgemaakt. Het datalek is bij de Autoriteit Persoonsgegevens gemeld. DSIT is naast ServerKast.com ook aanbieder van PatchKast.nl, PatchKast.com, PatchKast.be, UTP-Kabel.nl en Glasvezel-kabel.com. Op de andere websites wordt echter geen melding van een datalek gemaakt. bron: https://www.security.nl

De FBI en het Australische Cyber Security Centre (ACSC) hebben een waarschuwing afgegeven voor aanvallen met Avaddon-ransomware en roepen organisaties op om hun thuiswerkoplossingen beter te beveiligen, aangezien de criminelen hier misbruik van maken (pdf). Volgens het ACSC hebben de aanvallers achter deze ransomware het voorzien op organisaties in verschillende landen, waaronder België, Duitsland, Frankrijk, Spanje, het Verenigd Koninkrijk en de Verenigde Staten. Nederland wordt niet in het overzicht genoemd. Onlangs werd de Labor Party van New South Wales slachtoffer van de Avaddon-ransomware. Om toegang tot de systemen van hun slachtoffers te krijgen maken de aanvallers onder andere gebruik van inloggegevens voor vpn en rdp. De FBI benadrukt dat het hier om 'single-factor' authenticatie gaat, oftewel alleen een gebruikersnaam en wachtwoord. Ook werden slachtoffers via verkeerd geconfigureerde rdp-systemen gecompromitteerd. Zodra de aanvallers toegang tot het netwerk hebben zoeken ze naar back-ups om die te verwijderen of te versleutelen. Aanwezige data wordt zowel gestolen als versleuteld. Wanneer organisaties weigeren om het gevraagde losgeld te betalen maken de aanvallers de buitgemaakte gegevens via hun eigen website openbaar. Ook dreigen de aanvallers met ddos-aanvallen, maar die zijn niet door de FBI waargenomen. Organisaties wordt onder andere aangeraden om offsite, offline back-ups te maken en tweefactorauthenticatie in te schakelen. bron: https://www.security.nl

Verschillende kwetsbaarheden in de Vembu BDR Suite, software die door bedrijven wordt ingezet voor het maken van back-ups en disaster recovery, maken remote code execution mogelijk. De beveiligingslekken, die inmiddels in de nieuwste versies zijn verholpen, werden gevonden door de Nederlandse beveiligingsonderzoeker Wietse Boonstra van het Dutch Institute for Vulnerability Disclosure (DIVD). Het lukte de onderzoeker om slechts via een browser toegang tot een kwetsbaar Vembu-systeem te krijgen. "Een kwetsbaarheid in dit soort software is ernstig. Backup en recovery-software grijpt per definitie diep in op het systeem van gebruikers van van Vembu", aldus het DIVD. Volgens Vembu maken wereldwijd meer dan zestigduizend bedrijven gebruik van de oplossingen die het biedt, waaronder NASA, Fujitsu, Kawasaki, Samsung en Epic Games. In totaal ontdekte Boonstra vier kwetsbaarheden, waarvan er drie remote code execution mogelijk maken. Via het vierde beveiligingslek is server-side request forgery (SSRF) mogelijk en kan de toegangscontrole tot een systeem worden omzeild. De Nederlandse onderzoeker rapporteerde de kwetsbaarheden bij Vembu, maar kreeg volgens het DIVD aanvankelijk geen respons. Halverwege februari slaagde het DIVD erin om Vembu wel te benaderen. De leverancier liet weten dat de kwetsbaarheden al waren opgelost in de laatste versies van de software. "Klanten kregen echter alleen een update als ze er actief om vroegen", zo stelt het DIVD. Na aandringen van het instituut is een gepatchte versie sinds april online te vinden. Het DIVD meldt dat uit nader onderzoek blijkt dat de kwetsbaarheden mogelijk ook in andere door Vembu gemaakte oplossingen aanwezig zijn. In het geval van de SSRF-kwetsbaarheid zouden zelfs veel van de producten hiermee kampen. bron: https://www.security.nl

Het populaire platform voor softwareontwikkelaars GitHub ondersteunt nu fysieke security keys voor Git over SSH, wat gebruikers meer bescherming moet geven dan bij het gebruik van een traditionele SSH-key die op het systeem van de ontwikkelaar wordt bewaard. Een fysieke beveiligingssleutel is een apparaatje dat bijvoorbeeld via usb, nfc of bluetooth met de computer verbinding maakt. In het geval van GitHub zullen ontwikkelaars die via SSH willen inloggen nog steeds een SSH-key voor de beveiligingssleutel moeten genereren. De key vereist de aanwezigheid van de beveiligingssleutel en kan daarnaast met een wachtwoord worden beveiligd. Zodra de key is gegenereerd moet de ontwikkelaar die aan zijn account toevoegen, net als bij andere SSH-keys het geval is. Er is dan ook nog steeds sprake van een public en private sleutelpaar, alleen worden de 'secret bits' gegenereerd en opgeslagen in de beveiligingssleutel, waarbij het publieke gedeelte op het systeem van de ontwikkelaar wordt opgeslagen, net als met andere SSH public keys. Er is ook een private key bestand op de computer, maar de private SSH key is een verwijzing naar de beveiligingssleutel. "Als het private key bestand op je computer wordt gestolen is het niet zonder de beveiligingssleutel te gebruiken. Bij het gebruik van SSH met een beveiligingssleutel blijft de gevoelige informatie op de fysieke beveiligingssleutel", zegt Kevin Jones van GitHub. Ontwikkelaars die als enige fysieke toegang tot hun beveiligingssleutel hebben kunnen die in het systeem laten, merkt Jones op. Op dit moment kunnen ontwikkelaars Git op GitHub nog via een wachtwoord benaderen, maar dat zal later dit jaar niet meer mogelijk zijn en wordt token- of SSH-gebaseerde authenticatie verplicht. "Door het niet meer ondersteunen van wachtwoorden voor Git, zoals we al voor onze API hebben gedaan, wordt het beveiligingsniveau verhoogd voor elke gebruiker en organisatie, en de achterliggende software-supply-chain", besluit Wilson. bron: https://www.security.nl

Mozilla waarschuwt applicatieontwikkelaars voor het verkeerd gebruik van de Mozilla root store, aangezien dit tot een ernstig beveiligingsprobleem binnen applicaties kan leiden. De root store bevat goedgekeurde rootcertificaten die voor serverauthenticatie (TLS) en digitaal gesigneerde en versleutelde e-mail (S/MIME) worden gebruikt. Firefox controleert bij het opzetten van een beveiligde verbinding met een website via de root store of het door de website aangeboden TLS-certificaat van een vertrouwde certificaatautoriteit afkomstig is. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing. De root store zit ingebouwd in Firefox en Network Security Services (NSS). De NSS-library is een verzameling libraries die de cross-platformontwikkeling van 'security-enabled' client- en serverapplicaties ondersteunt. NSS is open souce en wordt binnen veel Linux-distributies gebruikt. Naast de Mozilla root store biedt NSS ook de mogelijkheid voor ontwikkelaars om hun eigen root store te gebruiken. "Applicaties die Mozillas root store voor andere doeleinden gebruiken hebben met een ernstig beveiligingsprobleem te maken", zegt Kathleen Wilson van Mozilla. Sommige applicaties blijken de root stores van Mozilla of het ondergelegen besturingssysteem namelijk voor doeleinden te gebruiken waarvoor ze niet zijn bedoeld. Dit leidt tot een ernstige kwetsbaarheid die te vergelijken is met het niet valideren van aangeboden certificaten. Zo maken sommige applicatieontwikkelaars gebruik van de root store op een manier waarbij niet-vertrouwde certificaten, zoals die van DigiNotar, toch worden vertrouwd, waarschuwt Wilson. Ze wijst applicatieontwikkelaars dan ook op het belang om root stores op de juiste manier te gebruiken en alleen rootcertificaten toe te staan die voor hun specifieke situatie vereist zijn. bron: https://www.security.nl

Gebruikers van het Tor-netwerk zijn nog altijd het doelwit van man-in-the-middle (mitm)-aanvallen die via malafide exit-servers worden uitgevoerd, waarbij begin dit jaar 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen van de aanvaller was. Dat stelt een beveiligingsonderzoeker met het alias "nusenu" in een nieuw onderzoek. Vorig jaar publiceerde de onderzoeker al onderzoek over mitm-aanvallen tegen Tor-gebruikers. Dagelijks maken zo'n twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. De eigenaar van de exitnode kan het verkeer van de Tor-gebruiker zien, maar weet niet van wie het afkomstig is. In het geval van http-verkeer kan de exitnode-beheerder het verkeer ook aanpassen. De aanvaller waarover beveiligingsonderzoeker "Nusenu" bericht maakt hiervan misbruik. De aanvaller verwijdert http-to-https redirects om toegang tot het onversleutelde http-verkeer te krijgen, zonder dat de gebruiker een certificaatwaarschuwing in Tor Browser te zien krijgt. De meeste websites maken inmiddels gebruik van https. Wanneer de gebruiker in de adresbalk alleen de domeinnaam intikt zal de website via een http-to-https redirect de https-versie van de website laden. Bij de nu waargenomen aanval onderschept de aanvaller deze redirect en plaatst zichzelf tussen de gebruiker en opgevraagde website. De aanvaller zet tussen hemzelf en de website een beveiligde verbinding op, maar stuurt de informatie via het onversleutelde http naar de gebruiker. De gebruiker kan de aanval opmerken doordat er http en geen https in de adresbalk staat. Om niet al teveel op te vallen wordt de aanval alleen bij bepaalde websites toegepast. Het gaat dan met name om crypto-gerelateerde websites, waaronder bitcoin-mixerdiensten. De aanvaller vervangt het bitcoinadres dat de gebruiker heeft opgegeven door zijn eigen bitcoinwallet. De aanvallen waar Nusenu vorig jaar augustus over berichtte vinden nog altijd plaats. Op 2 februari van dit jaar was volgens de onderzoeker 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen van de aanvaller. Malafide Tor-exitnodes worden wel verwijderd, maar de aanvaller voegt die ook weer toe aan het netwerk. Veel van deze servers blijken niet over contactgegevens te beschikken. Het Tor-netwerk bestaat meestal uit minder dan vijftienhonderd Tor-exitnodes. Begin deze maand werden er meer dan duizend nieuwe Tor-exitnodes binnen 24 uur toegevoegd. De onderzoeker merkt op dat dit indrukwekkend klinkt, maar de meeste van deze servers nagenoeg meteen worden verwijderd voordat veel mensen er gebruik van maken. Daardoor was het risico voor gebruikers dan ook klein. Nusenu stelt dat de werkwijze van de aanvaller deels bekend is, zoals het aanpassen van de bitcoin-adressen. Andere aanvallen kunnen echter niet worden uitgesloten. "Stel eens voor dat een aanvaller 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen heeft en een Firefox-exploit voor Tor Browser wordt gepubliceerd voordat alle gebruikers hun updates ontvangen", waarschuwt de onderzoeker. Een goede bescherming is de HTTPS-Only mode van Firefox die standaard alleen https-sites laadt. Het is nog de vraag wanneer en hoe dit binnen Tor Browser zal worden verwerkt. Er zijn zorgen bij het Tor-ontwikkelteam dat met name regionale websites https niet ondersteunen en hoe Tor Browser hiermee moet omgaan. bron: https://www.security.nl

Google gaat binnenkort bij gebruikers automatisch tweestapsverificatie (2SV) inschakelen als hun account hiervoor correct is geconfigureerd. Gebruikers bij wie 2SV staat ingeschakeld moeten na het inloggen met gebruikersnaam en wachtwoord ook nog op een andere manier bewijzen dat ze de eigenaar van het account zijn. Dit kan op verschillende manieren, zoals het bevestigen van een Google-prompt op de telefoon. "Je staat er misschien niet bij stil, maar wachtwoorden vormen de grootste bedreiging voor je online veiligheid - ze zijn eenvoudig te stelen, lastig te onthouden en vervelend om te beheren", zegt Mark Risher van Google. "Eén van de beste manieren om je account tegen een gelekt of slecht wachtwoord te beschermen is het gebruik van een tweede verificatiefactor, een andere manier voor je account om te bevestigen dat jij het echt bent die inlogt." Bij gebruikers die er "technisch gezien al helemaal klaar voor zijn" zal tweestapsverificatie binnenkort automatisch worden ingeschakeld. "Dit verkleint de kans aanzienlijk dat zij het slachtoffer worden van kwaadwillenden die hun wachtwoord te weten zijn gekomen", zo laat het techbedrijf weten. "We hopen dat wachtwoorden in de toekomst iets uit het verleden zijn, maar tot die tijd zijn authenticatie in twee stappen en beveiligingssleutels de beste manier om jezelf te beschermen." bron: https://www.security.nl

QNAP waarschuwt gebruikers van een NAS-systeem voor een kwetsbaarheid die in oudere versies van Music Station aanwezig is. Verdere details zijn nog niet gegeven, maar via eerdere beveiligingslekken in Music Station was het mogelijk om NAS-systemen op afstand over te nemen. Music Station laat gebruikers een "personal music center" in de cloud aanmaken. Via de webapplicatie kunnen gebruikers naar muziekbestanden op hun NAS-systeem luisteren of muziekcollecties met vrienden en familie delen. In een vandaag gepubliceerde advisory meldt QNAP dat er een kwetsbaarheid is gemeld die in oudere versies van Music Station aanwezig is. Een onderzoek loopt echter nog. De afgelopen weken werden beveiligingslekken in applicaties van QNAP nog gebruikt bij ransomware-aanvallen. Aanvallers achter de AgeLocker-ransomware en Qlocker-ransomware maakten hierbij gebruik van bekende kwetsbaarheden in de multimedia console, media streaming add-on en Hybrid Backup Sync van QNAP om toegang tot NAS-systemen te krijgen en bestanden te versleutelen. De NAS-fabrikant roept gebruikers dan ook op om Music Station te updaten. De kwetsbaarheid is verholpen in: QTS 4.5.2: Music Station 5.3.16 and later QTS 4.3.6: Music Station 5.2.10 en nieuwer QTS 4.3.3: Music Station 5.1.14 en nieuwer QuTS hero h4.5.2: Music Station 5.3.16 en nieuwer QuTScloud c4.5.4: Music Station 5.3.16 en nieuwer bron: https://www.security.nl