Captain Kirk

De vier grootste internet exchanges ter wereld, AMS-IX, DE-CIX, LINX, en Netnod, gaan samen nieuwe route serversoftware ontwikkelen zodat men niet afhankelijk is van een beperkt softwareaanbod. Een route server zorgt ervoor dat op de exchange aangesloten netwerken weten welke IP-verkeersroutes andere netwerken op de exchange aanbieden en stelt een netwerk zo in staat het eigen IP-verkeer efficiënt te routeren. Een route server is met name handig voor netwerken die voor het eerst op een exchange worden aangesloten. Door van de route server gebruik te maken kan een nieuwkomer vrijwel meteen beginnen met het uitwisselen van IP-verkeer, zonder eerst allerlei afspraken met andere partijen te hoeven maken. Voor bestaande partijen betekent het ook dat nieuwkomers automatisch zichtbaar worden en "meedoen". Er is echter weinig verschillende software voor route servers beschikbaar. Op de schaal van een knooppunt zoals AMS-IX is er enkel de BIRD Internet Routing Daemon. De verschillende internet exchanges gaan daarom samenwerken in de Stichting Route Server Support (RSSF) om voor meer route serversoftware te zorgen. Dit moet voorkomen dat de exchanges afhankelijk zijn van één type technologie. De RSSF gaat de nieuwe route serversoftware bouwen op basis van OpenBSD’s OpenBGPD. bron: https://www.security.nl

Gebruikers van Twitter die op hun account willen inloggen kunnen er straks voor kiezen om in plaats van een wachtwoord alleen een fysieke beveiligingssleutel te gebruiken, zo heeft de microbloggingdienst aangekondigd. Een fysieke beveiligingssleutel is een apparaat dat bijvoorbeeld via usb of bluetooth wordt aangesloten. Op dit moment zijn fysieke beveiligingsleutels alleen als onderdeel van tweefactorauthenticatie te gebruiken. Na het invoeren van een wachtwoord controleert Twitter de aanwezigheid van de beveiligingssleutel als tweede inlogfactor. Dergelijke sleutels zijn zowel voor computers als mobiele apparaten beschikbaar. Straks wordt het mogelijk om in plaats van een wachtwoord alleen een beveiligingssleutel te gebruiken. Dit moet het lastiger voor aanvallers maken om accounts over te nemen, aangezien een aanvaller in dit geval over de beveiligingssleutel moet beschikken om op het account van de gebruiker in te loggen. Wanneer de optie beschikbaar komt is nog onbekend. Daarnaast ondersteunt Twitter nu meerdere fysieke beveiligingssleutels per account. Zo kunnen gebruikers meerdere beveiligingssleutels voor zowel het inloggen op web als mobiel gebruiken. bron: https://www.security.nl

Microsoft heeft een 'one-click' mitigatietool gelanceerd om Exchange-servers te beschermen tegen aanvallen en eventueel aanwezige malware te verwijderen. De "Exchange On-Premises Mitigation Tool" is bedoeld voor organisaties die niet over een aparte it-afdeling beschikken voor het patchen van hun Exchange-servers, niet bekend zijn met het patchproces of de beveiligingsupdates voor Exchange nog niet hebben uitgerold en hun servers willen beschermen. Op 2 maart bracht Microsoft noodpatches uit voor vier kwetsbaarheden in Exchange waarmee aanvallers kwetsbare systemen op afstand volledig kunnen overnemen. De beveiligingslekken worden wereldwijd op grote schaal misbruikt. Microsoft meldde vorige week dat er nog 83.000 Exchange-servers op internet zijn te vinden die kwetsbaar voor aanvallen zijn omdat ze de uitgebrachte beveiligingsupdates missen. De nu gelanceerde gratis tool doet verschillende zaken en kan via één klik vanaf een Exchange-server worden gestart. Als eerste zal de mitigatietool het beveiligingslek in Exchange (CVE-2021-26855), waardoor aanvallers op afstand code op kwetsbare servers kunnen uitvoeren, mitigeren. Het gaat hier niet om een beveiligingsupdate, maar een configuratieaanpassing waardoor de op dit moment bekende aanvallen geen misbruik meer van de kwetsbaarheid kunnen maken. Vervolgens zal de tool de Exchange-server met de Microsoft Safety Scanner scannen en gevonden malware verwijderen. Als laatste zal de tool proberen om aanpassingen die aanvallers aan de server hebben gemaakt terug te draaien. Microsoft waarschuwt dat de gratis tool effectief is tegen alle nu waargenomen aanvallen, maar geen garantie tegen toekomstige aanvallen biedt. De tool moet dan ook alleen als tijdelijke maatregel worden gebruikt totdat de Exchange-servers volledig zijn gepatcht. bron: https://www.security.nl

Betaalgegevens van 24.000 klanten van WeLeakInfo.com, een website die tegen betaling toegang bood tot gelekte en gestolen wachtwoorden, zijn door een verlopen domeinnaam op internet terechtgekomen. De website werd vorig jaar door de FBI uit de lucht gehaald en de domeinnaam in beslag genomen. Bij de operatie tegen de website waren het Britse National Crime Agency, de FBI, het Duitse Bundeskriminalamt en de Nederlandse politie betrokken. Het cybercrimeteam Oost-Nederland hield vorig jaar januari een 22-jarige man uit Arnhem aan. Volgens de politie was hij betrokken bij het bezitten en aanbieden van gestolen gebruikersnamen en wachtwoorden en faciliteerde hij cybercrime. In de woning van de verdachte werd apparatuur aangetroffen waar WeLeakInfo van gebruikmaakte. Het betalen bij WeLeakInfo kon via PayPal, Bitcoin en betaaldienst Stripe. Naast WeLeakInfo.com nam de FBI ook de domeinnaam in beslag die werd gebruikt voor de afhandeling van e-mails en betalingen. De Amerikaanse opsporingsdienst liet de domeinnaam echter verlopen, waardoor iemand anders die kon registreren. Deze persoon kon na de registratie van het domein een wachtwoordreset bij betaaldienst Stripe uitvoeren. Vervolgens resette deze persoon het wachtwoord en kreeg zo toegang tot Stripe-account van WeLeakInfo. Dit account bevatte nog altijd de betaalgegevens van WeLeakInfo-klanten die via Stripe hadden betaald. Het gaat om gedeeltelijke creditcardgegevens, e-mailadressen, volledige namen, ip-adressen, browser user-agent, fysieke adresgegevens, telefoonnummers en bedrag. Gegevens van klanten die via PayPal of Bitcoin betaalden zitten niet tussen de gelekte data. Dat blijkt uit een analyse van securitybedrijf Flashpoint waar it-journalist Brian Krebs over bericht. bron: https://www.security.nl

Wachtwoordmanager Bitwarden heeft een nieuwe feature gelanceerd waarmee gebruikers op versleutelde wijze data met anderen kunnen delen. Bitwarden Send ondersteunt het uitwisselen van tekst en bestanden tot honderd megabyte. Gebruikers kiezen een bestand of vullen de betreffende tekst in en kunnen daarna aangeven wanneer de aangeboden download wordt verwijderd of verloopt. Ook is het mogelijk om de download van een wachtwoord te voorzien. Vervolgens genereert Bitwarden Send een downloadlink die de gebruiker met anderen kan delen. De feature heeft zeer veel weg van Firefox Send, een dienst van Mozilla voor het versleuteld uitwisselen van data waar vorig jaar de stekker uit werd getrokken. Bitwarden plaatste een video van de nieuwe Send-feature op YouTube, waarin het laat zien hoe de feature is te gebruiken voor het delen van wachtwoorden tussen medewerkers van een organisatie. Volgende week zegt Bitwarden met meer informatie over de nieuwe feature te zullen komen. bron: https://www.security.nl

Vanaf volgende week moeten alle ontwikkelaars van Firefox-extensies tweefactorauthenticatie (2FA) hebben ingeschakeld. Mozilla stelt de beveiligingsmaatregel vanaf 15 maart voor alle ontwikkelaars verplicht. Dit moet voorkomen dat aanvallers het account van een extensie-ontwikkelaar kunnen overnemen om vervolgens malware onder Firefox-gebruikers te verspreiden. Ontwikkelaars van Google Chrome-extensies werden in het verleden herhaaldelijk doelwit van phishingaanvallen waarbij werd geprobeerd om hun accounts over te nemen en vervolgens malafide updates voor de betreffende extensie uit te rollen. Om een dergelijk scenario onder Firefox-gebruikers te voorkomen moeten extensie-ontwikkelaars 2FA voor hun Firefox-account inschakelen waarmee ze op addons.mozilla.org inloggen. In het geval ontwikkelaars dit nog niet hebben gedaan en vanaf 15 maart inloggen worden ze doorgestuurd naar de accountinstellingen om 2FA in te stellen. De volgende keer dat ze op addons.mozilla.org inloggen zal dit via 2FA gebeuren. Mozilla roept ontwikkelaars op om de herstelcodes, die bij het inschakelen van 2FA worden gegenereerd, te downloaden of te printen en ze op een veilige plek te bewaren. Mocht de ontwikkelaar de toegang tot zijn 2FA-apparaat verliezen, dan kan hij door middel van de herstelcodes weer toegang krijgen. bron: https://www.security.nl

Criminelen gebruiken kwetsbaarheden in Exchange om zo de mailservers van organisaties met ransomware te infecteren, zo waarschuwt Microsoft. Aanvallers weten via kwetsbaarheden toegang tot Exchange-servers te krijgen en installeren vervolgens de ransomware. Microsoft maakte vorige week beveiligingsupdates voor de kwetsbaarheden beschikbaar, maar wereldwijd blijken nog vele tienduizenden servers ongepatcht te zijn. Zo kunnen aanvallers de DearCry-ransomware verspreiden, die door Microsoft DoejoCrypt wordt genoemd. Volgens Phillip Misner van Microsoft gaat het om gerichte ransomware-aanvallen waarbij de aanvallers handmatig de aanval uitvoeren en ransomware op de servers van getroffen organisaties installeren. Ook verschillende beveiligingsonderzoekers laten op Twitter weten dat de Exchange-kwetsbaarheden worden gebruikt voor de verspreiding van ransomware. Organisaties die de beveiligingsupdates hebben geïnstalleerd worden opgeroepen om toch hun servers op eventuele backdoors te controleren. Het is namelijk mogelijk dat aanvallers al voor het uitrollen van de patches toegang tot de servers hebben gekregen en zo een backdoor konden installeren. Het patchen van Exchange-servers zal deze backdoors niet verwijderen, waardoor aanvallers toegang tot de servers blijven houden. Microsoft Defender kan de DearCry-ransomwaren inmiddels herkennen en blokkeren. bron: https://www.security.nl

Microsoft heeft patches uitgerold voor niet meer ondersteunde versies van Exchange 2013 om vier kwetsbaarheden te verhelpen die op grote schaal wereldwijd worden aangevallen. Eerder kwam het techbedrijf ook met updates voor niet meer ondersteunde versies van Exchange Server 2016 en 2019. Exchange-servers moeten een bepaalde Cumulative Update hebben geïnstalleerd om beveiligingsupdates te blijven ontvangen. Servers die niet over de vereiste Cumulative Update beschikken worden niet meer ondersteund en ontvangen ook geen patches meer. Vanwege de aanvallen heeft Microsoft nu ook voor deze versies updates beschikbaar gesteld. Afgelopen maandag ging het om Exchange Server 2019 CU6, CU5 en CU4 en Exchange Server 2016 CU16, CU15 en CU14. Gisteren verschenen voor meer niet meer ondersteunde versies patches, namelijk Exchange Server 2019 CU3, Exchange Server 2016 CU7, CU13 en CU12 en Exchange Server 2013 CU22 en CU21. Deze updates, die via het Microsoft Download Center beschikbaar zijn, verhelpen alleen de vier kwetsbaarheden in kwestie. Om tegen andere beveiligingslekken beschermd te zijn is de installatie van een recente Cumulative Update vereist. bron: https://www.security.nl

F5 waarschuwt organisaties voor verschillende kritieke kwetsbaarheden in het BIG-IP-platform waardoor ongeauthenticeerde aanvallers systemen op afstand kunnen overnemen. Vorig jaar werd een kritiek beveiligingslek in het platform nog op grote schaal door criminelen aangevallen. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. F5 kwam gisteren met een beveiligingsbulletin voor BIG-IP waarmee zeven kwetsbaarheden worden verholpen, waarvan er vier als kritiek zijn aangemerkt. Twee kwetsbaarheden vallen daarbij op, namelijk CVE-2021-22986 en CVE-2021-22987. CVE-2021-22986 betreft een beveiligingslek in de iControl REST-interface van BIG-IP en BIG-IQ waardoor een ongeauthenticeerde aanvaller op afstand code kan uitvoeren. De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het andere beveiligingslek bevindt zich in de Traffic Management User Interface (TMUI) van BIG-IP en heeft een impactscore van 9,9. Deze kwetsbaarheid is echter alleen door een geauthenticeerde aanvaller te misbruiken. Vanwege de ernst van de kwetsbaarheden adviseert F5 organisaties om de beveiligingsupdates zo snel mogelijk te installeren. De beveiligingslekken zijn verholpen in BIG-IP versies 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 en 11.6.5.3. Organisaties die van BIG-IQ gebruikmaken kunnen updaten naar versie 8.0.0, 7.1.0.3 en 7.0.0.2. bron: https://www.security.nl

Bij de aanval op de Universiteit van Amsterdam (UvA) en de Hogeschool van Amsterdam (HvA) hebben aanvallers meer dan vijftig van de ruim duizend servers van de onderwijsinstellingen geïnfecteerd met malware, om op een later moment ransomware uit te rollen. Dat melden beide onderwijsinstellingen. De aanval werd echter in een vroegtijdig stadium opgemerkt door het Security Operations Centre (SOC), waarna direct maatregelen zijn genomen en forensisch onderzoek is gestart. De getroffen servers zijn inmiddels allemaal opgeschoond. Volgens de UvA en HvA zijn er vooralsnog geen aanwijzingen dat de aanvallers uit waren op data of persoonsgegevens. Omdat de aanvallers wel toegang hebben gehad tot een aantal systemen en de versleutelde wachtwoorden is alle gebruikers uit voorzorg gevraagd hun wachtwoord te wijzigen. Ruim 110.000 medewerkers en studenten hebben in anderhalve week hun wachtwoord gewijzigd. De komende weken worden de aanval en de aanpak van de HvA en de UvA geëvalueerd en vinden waar nodig aanvullende onderzoeken plaats. Na afronding van het onderzoek zullen de geleerde lessen en aanbevelingen openbaar worden gemaakt, in het bijzonder met andere hoger onderwijsinstellingen. Hoe de aanvallers binnen wisten te komen is nog niet bekendgemaakt. bron: https://www.security.nl

Een kwetsbaarheid in het gedistribueerde versiebeheersysteem Git maakt het mogelijk voor een aanvaller om code op systemen van gebruikers uit te voeren als die een malafide repository klonen. Git is een populaire oplossing voor softwareontwikkelaars om code van een lokale repository naar een remote Git-repository te krijgen. Zo kunnen meerdere programmeurs aan de code werken. Het is ook mogelijk om een remote Git-repository naar een lokale machine te kopiëren. Dit kan via het "git clone" commando. Een kwetsbaarheid in Git zorgt ervoor dat wanneer een programmeur een malafide remote repository wil klonen deze repository code op het lokale systeem van de programmeur kan uitvoeren. Het probleem speelt alleen op besturingssystemen met case-insensitive filesystems die symbolic links ondersteunen, zoals macOS en Windows. Gebruikers wordt aangeraden om te updaten naar een nieuwe versie. Het probleem is verholpen in Git v2.17.6, v2.18.5, v2.19.6, v2.20.5, v2.21.4, v2.22.5, v2.23.4, v2.24.4, v2.25.5, v2.26.3, v2.27.1, v2.28.1, v2.29.3 en v2.30.2. Wanneer dit niet mogelijk is wordt aangeraden om ondersteuning van symbolic links in Git en process filters uit te schakelen en geen onbetrouwbare repositories te klonen. bron: https://www.security.nl

Een internationaal hackerscollectief heeft door middel van een hard-coded wachtwoord toegang tot 150.000 beveiligingscamera's gekregen, onder andere in ziekenhuizen, gevangenissen, politiebureaus, scholen en bedrijven. Zo kon er worden meegekeken met internetbedrijf Cloudflare en autofabrikant Tesla, meldt Bloomberg. De hackers claimen ook toegang te hebben tot het videoarchief van de betreffende camera's. De beveiligingscamera's zijn van het bedrijf Verkada. Volgens Tillie Kottmann, een van de leden van het collectief, was een onbeveiligd intern Jenkins-ontwikkelsysteem van Verkada toegankelijk vanaf het internet. Het bevatte de inloggegevens van een account met "superadminrechten" op het Verkada-netwerk. Nadat er toegang tot het netwerk was verkregen kon het collectief meekijken met de camera's. Doordat de groep naar eigen zeggen roottoegang tot de camera's had was het daarvandaan ook mogelijk om toegang tot de netwerken van bepaalde Verkada-klanten te krijgen. Het collectief zegt verder informatie over duizenden Verkada-klanten te hebben gedownload, alsmede financiële cijfers van het bedrijf zelf. Verkada stelt in een reactie dat het alle interne beheerdersaccounts heeft uitgeschakeld om ongeautoriseerde toegang te voorkomen. Het bedrijf is nu bezig met een onderzoek naar de omvang van het incident. Nadat Verkada werd ingelicht door Bloomberg verloor het hackerscollectief, met de naam "APT 69420 Arson Cats", de toegang tot de camera's, aldus Kottmann. bron: https://www.security.nl

Microsoft is gestopt met de ondersteuning van Edge Legacy. De browser ontvangt vanaf nu geen beveiligingsupdates meer. Daarnaast zal Microsoft de browser volgende maand met de cumulatieve beveiligingsupdate voor Windows 10 van systemen verwijderen en vervangen door Chromium Edge. Als Chromium Edge al op het systeem aanwezig is zal Edge Legacy alleen van het systeem worden verwijderd. In aanloop naar de patchronde van volgende maand toont Edge Legacy nu een waarschuwing dat de browser niet meer wordt ondersteund en gebruikers de nieuwe versie van Edge kunnen downloaden. bron: https://www.security.nl

Tijdens de patchdinsdag van maart heeft Microsoft in totaal 89 kwetsbaarheden verholpen, waaronder twee zerodaylekken die actief werden aangevallen voordat de beveiligingsupdates beschikbaar waren. Het gaat om beveiligingslekken in Internet Explorer en Windows. De kwetsbaarheid in IE is ingezet tegen beveiligingsonderzoekers, zo maakte securitybedrijf ENKI begin februari bekend. Verschillende onderzoekers van ENKI ontvingen een MHTML-bestand, dat om toestemming vraagt voor het uitvoeren van JavaScript, om zo alle content te kunnen tonen. Wanneer dit wordt toegestaan downloadt het script een zeroday-exploit voor Internet Explorer. Via het beveiligingslek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 8,8 is beoordeeld, kan een aanvaller willekeurige code op het systeem uitvoeren. Naast het zerodaylek in Internet Explorer is ook een kwetsbaarheid in Windows actief aangevallen voor het uitkomen van de beveiligingsupdate. Via het beveiligingslek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen. Microsoft kwam vorige week al met noodpatches voor vier actief aangevallen kwetsbaarheden in Exchange Server. Gisterenavond rolde het techbedrijf een update voor drie andere beveiligingslekken uit, waaronder twee die remote code execution mogelijk maken. De impact van deze beveiligingslekken,CVE-2021-26412 en CVE-2021-27078, zijn met een 9,1 beoordeeld. Verder verdient ook een kritiek beveiligingslek in Windows DNS Server de aandacht. Deze kwetsbaarheid (CVE-2021-26897) maakt het ook voor een aanvaller mogelijk om op afstand code uit te voeren en heeft een impactscore van 9,8. Een andere opvallende kwetsbaarheid bevindt zich in Windows Hyper-V. Dit lek, CVE-2021-26867, maakt remote code execution mogelijk wanneer er gebruik wordt gemaakt van het Plan-9 file system. De impact van de kwetsbaarheid is met een 9,9 beoordeeld. De beschikbaar gemaakte beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Naar schatting 30.000 WordPress-sites lopen het risico om in handen van cybercriminelen te komen door een zerodaylek in een add-on voor de plug-in Elementor. De kwetsbaarheid wordt actief aangevallen en een beveiligingsupdate is nog niet beschikbaar. Via het beveiligingslek kan een aanvaller volledige controle over de website krijgen. Het beveiligingslek is aanwezig in The Plus Addons voor Elementor. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. The Plus Addons is een betaalde uitbreiding voor Elementor die verschillende widgets toevoegt die in combinatie met Elementor zijn te gebruiken. Er zouden zo'n 30.000 WordPress-sites van gebruikmaken, meldt securitybedrijf Wordfence. Eén van deze widgets, voor het registreren en inloggen van gebruikers, bevat een kwetsbaarheid. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het lek zorgt ervoor dat een aanvaller nieuwe beheerders kan aanmaken of als al bestaande beheerders kan inloggen. Bij de nu waargenomen aanvallen voegen aanvallers hun eigen accounts als beheerder toe. De kwetsbaarheid werd gemeld door WPScan. Zolang er geen patch beschikbaar is worden details achterwege gehouden. Update De ontwikkelaar heeft inmiddels twee beveiligingsupdates uitgerold om de kwetsbaarheid te verhelpen. De eerste update bleek geen volledige oplossing te bieden, waarop een tweede patch verscheen. Gebruikers krijgen het advies om te updaten naar versie 4.1.7. bron: https://www.security.nl

Microsoft heeft de beveiligingsupdates voor vier kwetsbaarheden in Exchange die vorige week dinsdag verschenen ook beschikbaar gemaakt voor niet meer ondersteunde Exchange-servers. Dat laat het techbedrijf in de bijbehorende beveiligingsbulletins weten. Via de beveiligingslekken kan een aanvaller kwetsbare Exchange-servers op afstand overnemen. Er wordt inmiddels op zeer grote schaal misbruik van de kwetsbaarheden gemaakt en wereldwijd zijn naar schatting vele tienduizenden organisaties getroffen. De beveiligingslekken zijn aanwezig in Server 2013, 2016 en 2019. Exchange-servers worden echter vanaf een bepaald patchniveau door Microsoft ondersteund. Dit wordt aangegeven door middel van de geïnstalleerde Cumulative Update (CU). Exchange-servers moeten een bepaalde Cumulative Update hebben geïnstalleerd om beveiligingsupdates te ontvangen. Servers onder de betreffende Cumulative Update worden niet meer ondersteund. Vanwege de aanvallen heeft Microsoft nu voor deze versies ook updates beschikbaar gesteld. Het gaat onder andere om Exchange Server 2019 CU 6, CU 5 en CU 4 en Exchange Server 2016 CU 16, CU 15 en CU14. Deze updates, die via het Microsoft Download Center beschikbaar zijn, verhelpen alleen de vier kwetsbaarheden in kwestie. Om tegen andere beveiligingslekken beschermd te zijn is de installatie van een recente Cumulative Update vereist. Kritiek Er is inmiddels ook kritiek op Microsoft gekomen, aangezien het techbedrijf begin januari al over de kwetsbaarheden was ingelicht. De bekende beveiligingsonderzoeker 'Orange Tsai' van securitybedrijf DEVCORE, die eerder de zeer kritieke en veel misbruikte kwetsbaarheid in Pulse Secure SSL VPN ontdekte, waarschuwde Microsoft begin januari en noemde het de gevaarlijkste remote code execution-kwetsbaarheid die hij ooit had ontdekt. Securitybedrijven Volexity en Dubex ontdekten misbruik van de kwetsbaarheden begin januari. De bedrijven waarschuwden Microsoft eind januari en begin februari. Uiteindelijk kwam Microsoft op 2 maart met beveiligingsupdates. Oorspronkelijk was Microsoft van plan om de updates vandaag, tijdens de geplande patchcyclus van maart, uit te rollen, maar besloot daar toch vanaf te zien en de patches een week eerder aan te bieden. bron: https://www.security.nl

Op internet zijn zo'n 100.000 Outlook Web Access (OWA)-servers te vinden die kwetsbaar zijn voor aanvallen omdat door Microsoft beschikbare beveiligingsupdates voor Exchange niet zijn geïnstalleerd en een aanzienlijk aantal is al besmet met malware, zo meldt internetbedrijf Netcraft op basis van eigen onderzoek. Via Outlook Web Access kan erop afstand toegang worden gekregen tot de mailboxes op Exchange-servers. Dit weekend detecteerde Netcraft meer dan 99.000 OWA-servers waarvan vaststaat dat ze kwetsbaar zijn. Daarnaast werden nog eens ruim 100.000 servers geteld die mogelijk risico lopen, maar waarvan de patchstatus niet met zekerheid kon worden vastgesteld. Via de kwetsbaarheden in Exchange kan een aanvaller op afstand toegang tot de mailserver krijgen. Volgens Netcraft is tenminste tien procent van alle gecontroleerde OWA-servers inmiddels besmet met webshells die als backdoor voor aanvallers dienen. Deze backdoors maken geen gebruik van willekeurige bestandsnamen en zijn zo door iedereen te raden, stelt Paul Mutton van Netcraft. Via de webshell krijgt een aanvaller toegang tot de server, ook al is de kwetsbaarheid in kwestie al verholpen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security kwam gisteren met een nieuwe waarschuwing waarin het alle organisaties oproept om de Exchange-kwetsbaarheden meteen te verhelpen, aangezien misbruik grootschalig en ongericht is. Ook de FBI adviseert organisaties om de beveiligingsupdates direct te installeren. bron: https://www.security.nl

Een beveiligingslek op GitHub, een populair platform voor softwareontwikkelaars, heeft ervoor gezorgd dat gebruikers op de accounts van andere gebruikers konden inloggen. Volgens GitHub ging het om een 'race condition' in de backend die ervoor zorgde dat gebruikers in zeer zeldzame gevallen een geldig en geauthenticeerd sessiecookie van een andere gebruiker kregen. Het platform stelt dat het probleem niet is veroorzaakt door gecompromitteerde wachtwoorden, SSH-keys of persoonlijke access tokens. Ook is er geen bewijs gevonden dat de situatie werd veroorzaakt door gecompromitteerde GitHub-systemen. "Het probleem was het gevolg van het onjuist verwerken van geauthenticeerde sessies", zegt Mike Hanley van GitHub. De bug waardoor een sessiecookie bij de verkeerde gebruiker terechtkwam kon niet opzettelijk door een aanvaller worden veroorzaakt, merkt Hanley op. In totaal was de bug een kleine twee weken tussen 8 februari en 5 maart van dit jaar op GitHub aanwezig. Na ontdekking van de oorzaak werd op 5 maart een patch uitgerold, gevolgd door een tweede patch op 8 maart die aanvullende bescherming tegen dergelijke bugs moet bieden. Hanley stelt dat minder dan 0,001 procent van de geauthenticeerde sessies op GitHub.com door de bug is getroffen. Uit voorzorg heeft GitHub besloten om alle sessies op GitHub.com die voor 8 maart waren gecreëerd ongeldig te maken. Gebruikers van getroffen accounts zijn door GiHub ingelicht en voorzien van verdere informatie en adviezen. Binnenkort zegt GitHub met een uitgebreidere analyse van de oorzaak te zullen komen. bron: https://www.security.nl

Cybercriminelen maken gebruik van twee kritieke kwetsbaarheden om NAS-systemen van fabrikant QNAP wereldwijd met een cryptominer te infecteren, die de rekenkracht van de apparaten gebruikt voor het delven van cryptovaluta. Dat meldt securitybedrijf 360 in een analyse. QNAP waarschuwde afgelopen oktober en in januari van dit jaar voor de kwetsbaarheden (CVE-2020-2506 en CVE-2020-2507), die aanwezig zijn in de Helpdesk-app van het QTS-besturingssysteem. Via de Helpdesk-app is het mogelijk om problemen met de NAS direct bij QNAP te rapporteren. De beveiligingslekken zijn verholpen in Helpdesk versie 3.0.3 die op 17 augustus vorig jaar verscheen. Via de kwetsbaarheden kan een aanvaller de NAS-systemen op afstand overnemen. Bij de nu waargenomen aanvallen wordt er een cryptominer op kwetsbare NAS-systemen geïnstalleerd. De cryptominer zorgt ervoor dat het cpu-gebruik en het miningproces niet zichtbaar zijn in managementinterface. Volgens onderzoek van 360 zijn er wereldwijd 4,3 miljoen NAS-systemen met 950.000 unieke ip-adressen online. Hoeveel daarvan kwetsbaar zijn is onbekend. Gebruikers worden opgeroepen om de firmware-update zo snel mogelijk te installeren. bron: https://www.security.nl

Beveiligingsonderzoeker Roman Hüssy van Abuse.ch en verschillende botnettrackers heeft een nieuw gratis platform gelanceerd genaamd ThreatFox voor het delen van indicators of compromise (IOC's). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Hüssy omschrijft ThreatFox als een "community driven project" waar beveiligingsonderzoekers en threat-analisten ICO's met de infosec community kunnen delen. Op dit moment kunnen domeinen, ip-adressen, e-mailadressen en bestandshashes van malware worden gedeeld. In tegenstelling tot veel andere platformen waarop IOC's zijn te vinden is ThreatFox gratis en vereist geen registratie. Onderzoekers kunnen IOC's ook anoniem delen. Naast een gebruikersinterface voor het delen en vinden van IOC's biedt ThreatFox ook een API waarmee organisaties de informatie binnen hun eigen omgeving kunnen integreren. Tevens wordt per IOC de betrouwbaarheid weergegeven. bron: https://www.security.nl

Onderzoekers hebben naar eigen zeggen de allereerste side-channel-aanval tegen de ringbus van Intel-processors gedemonstreerd. Via de aanval is het mogelijk om wachtwoorden af te leiden en "key bits" van kwetsbare RSA- en EdDSA-implementaties te achterhalen. Deze laatste aanval is echter beperkt toepasbaar, zo erkennen de onderzoekers in hun rapport "Lord of the Ring(s): Side Channel Attacks on the CPU On-Chip Ring Interconnect Are Practical" De ringbus, ook ring interconnect genoemd, is een onderdeel van de processor dat communicatie tussen verschillende onderdelen van Intel-processors verzorgt, zoals de cores, last-leve cache, system agent en graphics. Door middel van een zogeheten "contention-based channel" aanval kunnen de onderzoekers passief de latency monitoren die zich voordat bij het verkrijgen van toegang tot een gedeelde resource. In dit geval de ringbus. Door het beïnvloeden van ring-verkeer is het mogelijk om aan de hand van de ontstane "contention" informatie van andere gebruikers op het systeem af te leiden, zoals toetsaanslagen of de eerder genoemde key bits. Deze laatste aanval vereist wel dat de cache van het slachtoffer op de "context switches" wordt geleegd. Iets wat de grote besturingssystemen allemaal niet doen. Daardoor is de toepasbaarheid van deze aanval beperkt. Bij de tweede aanval kijkt een aanvaller naar de keystroke timing informatie om zo een wachtwoord af te kunnen leiden. De onderzoekers ontdekten dat toetsaanslagen voor pieken in de ring contention zorgen, die door een aanvaller zijn waar te nemen. Door naar de ringbus te kijken is het mogelijk om 4 Mbps aan informatie te achterhalen. Volgens de onderzoekers de grootste cross-core channel-aanval waarbij er geen gebruik wordt gemaakt van gedeeld geheugen. De aanval werkt niet tegen AMD-processors, omdat de chipfabrikant een andere technologie gebruikt dan de ringbus van Intel. De onderzoekers rapporteerden hun bevindingen aan Intel, maar de chipgigant stelde dat het om een traditionele side-channel-aanval gaat en dergelijke aanvallen door middel van softwaremitigaties zijn te verhelpen. Met die reactie zijn de onderzoekers het niet eens en stellen dat er onder andere "hardware-only" mitigaties zijn vereist. Om de aanval uit te voeren moet een aanvaller wel toegang tot het systeem hebben. Daarnaast werkt de aanval niet tegen nieuwere server-processors van Intel omdat die geen traditionele ringbus gebruiken (pdf).. bron: https://www.security.nl

Microsoft heeft verschillende scripts gepubliceerd en de Microsoft Safety Scanner bijgewerkt voor het controleren van Exchange-servers op eventuele aanvallen. Verschillende kwetsbaarheden in Exchange worden volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security wereldwijd op grote schaal aangevallen. Via de beveiligingslekken kan een aanvaller op afstand toegang tot Exchange-servers krijgen en aanvullende malware installeren zoals een webshell. Microsoft kwam vorige week met beveiligingsupdates voor Exchange Server 2013, 2016 en 2019 om de in totaal zerodaylekken te verhelpen. De kwetsbaarheden werden al voor het uitkomen van de patches aangevallen. Om organisaties te helpen bij de controle op eventuele gecompromitteerde Exchange-servers heeft Microsoft verschillende tooling beschikbaar gesteld. Zo is er een script dat Exchange-servers op de aanwezigheid van webshells controleert. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Vaak worden webshells voor verdere aanvallen ingezet. Daarnaast is er een PowerShell-script gepubliceerd genaamd Test-ProxyLogon.ps1 waarmee beheerders kunnen kijken of hun Exchange-server via één van de Exchange-kwetsbaarheden (CVE-2021-26855) is gecompromitteerd. Het CISA adviseert alle organisaties die van Exchange-servers gebruikmaken om dit script uit te voeren en zo hun servers op de aanwezigheid van aanvallers te controleren. Vervolgens heeft Microsoft ook een update uitgebracht voor de Microsoft Safety Scanner (MSERT) en Microsoft Defender voor het detecteren en verwijderen van malware die via de Exchange-kwetsbaarheden is geïnstalleerd. De Safety Scanner is een standalone tool waarmee organisaties webshells kunnen verwijderen die bij de recente aanvallen zijn gebruikt. bron: https://www.security.nl

Softwarebedrijf SolarWinds, waarvan de software voor een wereldwijde supply-chain-aanval werd gebruikt, verwacht dat de aanval het bedrijf rond de 25 miljoen dollar zal kosten. Dat liet het bedrijf weten tijdens de presentatie van de cijfers van het vierde kwartaal van 2020. SolarWinds maakte op 14 december vorig jaar bekend dat aanvallers maandenlang onopgemerkt toegang hadden tot de systemen van het bedrijf. Zo konden updates voor de Orion-software van een backdoor worden voorzien. Zo'n 18.000 organisaties installeerden de besmette updates. SolarWinds werd zelf op 12 december over de aanval ingelicht. In de resterende negentien dagen van de maand gaf het softwarebedrijf 3,5 miljoen dollar uit aan zaken die met het verhelpen van de aanval te maken hadden, zoals juridische kosten en het inschakelen van externe experts. Voor dit jaar verwacht SolarWinds dat er nog eens 20 miljoen tot 25 miljoen dollar zal worden uitgegeven met betrekking tot de aanval en het verbeteren van de digitale beveiliging van het bedrijf. Er loopt inmiddels ook een onderzoek van de Amerikaanse beurswaakhond SEC naar handel met voorkennis. Een aantal dagen voordat de aanval openbaar werd gemaakt verkochten de grootste investeerders in totaal 315 miljoen dollar in aandelen. bron: https://www.security.nl

Er is een nieuwe versie van Google Chrome verschenen waarmee een actief aangevallen zerodaylek wordt verholpen. Het is de tweede keer dit jaar dat Google met een update voor een zeroday komt. De kwetsbaarheid, CVE-2021-21166, bevindt zich in het onderdeel van de browser dat wordt gebruikt voor het verwerken van audio. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Details over de waargenomen aanvallen, zoals het aantal slachtoffers, wanneer de aanvallen plaatsvonden en hoe, zijn niet door Google gegeven. Gebruikers krijgen het advies om te updaten naar Google Chrome 89.0.4389.72, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen. Begin februari kwam Google ook al met een beveiligingsupdate voor een kwetsbaarheid die al voor het uitkomen van de patch werd aangevallen. Vorig jaar werden voor zover bekend in totaal zes zerodaylekken tegen gebruikers van Google Chrome ingezet. bron: https://www.security.nl

Microsoft heeft buiten de vaste patchcyclus om beveiligingsupdates uitgebracht voor vier actief aangevallen zerodaylekken in Exchange. Via de kwetsbaarheden kregen aanvallers toegang tot Exchange-servers en aanwezige e-mailaccounts en konden aanvullende malware installeren om langere tijd toegang tot de omgeving van slachtoffers te behouden. Volgens Microsoft zijn de vier kwetsbaarheden (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065) in Exchange Server 2013, 2016 en 2019 op beperkte schaal bij gerichte aanvallen ingezet. Van die vier lekken is CVE-2021-26855 het gevaarlijkst. Het betreft een server-side request forgery (SSRF) kwetsbaarheid in Exchange waardoor een aanvaller willekeurige http-requests kan versturen en zich als de Exchange-server kan authenticeren. Op een schaal van 1 tot en met 10 wat betreft de ernst is deze kwetsbaarheid met een 9,1 beoordeeld. Om hoeveel en wat voor slachtoffers het precies gaat laat Microsoft niet weten. De waargenomen aanvallen beginnen met het maken van een "untrusted connection" naar een Exchange-server op poort 443. Dit kan worden voorkomen door dergelijke verbindingen te verbieden of door de Exchange-server alleen via een vpn vanaf het internet toegankelijk te maken, aldus Microsoft. Deze maatregel beschermt tegen het eerste deel van de aanval. De overige kwetsbaarheden kunnen worden misbruikt wanneer een aanvaller al toegang tot de server heeft of een beheerder zover weet te krijgen om een kwaadaardig bestand te openen. Nadat de aanvallers via de zerodaylekken toegang tot de Exchange-server kregen installeerden ze webshells. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. Vaak worden webshells voor verdere aanvallen ingezet. Ook in dit geval gebruiken de aanvallers de webshells om data te stelen en aanvullende aanvallen uit te voeren om zo de omgeving van het slachtoffer verder te compromitteren. De aanvallen zijn volgens Microsoft uitgevoerd door een groep genaamd Hafnium die vanuit China opereert. De groep zou het voornamelijk hebben voorzien op entiteiten in de Verenigde Staten, waaronder onderzoekers van infectieziektes, advocatenkantoren, onderwijsinstellingen, defensiebedrijven, politieke denktanks en ngo's. Organisaties worden opgeroepen om de beschikbare beveiligingsupdates te installeren. In dit artikel geeft Microsoft verschillende Indicators of Compromise (IOC's) waarmee organisaties kunnen kijken of ze zijn gecompromitteerd. bron: https://www.security.nl