Captain Kirk

Onderzoekers van SIDN Labs, InternetNZ en het USC Information Sciences Institute hebben een kwetsbaarheid ontdekt genaamd TsuNAME die grootschalige ddos-aanvallen tegen topleveldomeinen (TLD's) en andere autoritatieve dns-operators mogelijk maakt. Het beveiligingslek is inmiddels verholpen in Google Public DNS en Cisco OpenDNS, maar andere dns-servers en -resolvers lopen mogelijk nog risico, zo stellen de onderzoekers. Het domain name system (dns) speelt een essentiële rol op internet. Voor elke bezochte website worden verschillende dns-queries uitgevoerd en dns-storingen kunnen grote gevolgen hebben, zoals het onbereikbaar worden van belangrijke websites en diensten. Dit werd duidelijk in 2016 toen een ddos-aanval tegen dns-provider Dyn ervoor zorgde dat websites als Twitter, Spotify, en Netflix onbereikbaar waren. Het dns kan worden beschouwd als een hiërarchische en gedistribueerde database waar dns-records van authoritative servers worden opgeslagen en verspreid. Zo distribueren de root dns-servers records voor de root dns-zone. Alle informatie over een domeinnaam in het dns wordt aangeleverd door de authoritative servers voor dat domein. Deze informatie wordt meestal opgehaald door de recursive resolvers die het dns-verzoek van internetgebruikers en hun applicaties, zoals een browser, beantwoorden. Recursive dns-resolvers worden meestal beheerd door de internetprovider van de gebruiker, of door een dns-provider zoals Google, Cloudflare, Quad9 en Cisco OpenDNS. De configuratie van authoritative servers en hun records is volgens de onderzoekers gevoelig voor verschillende soorten fouten. Eén van die fouten, die de onderzoekers TsuNAME noemen, maakt het mogelijk om ddos-aanvallen tegen authoritative dns-servers uit te voeren. TsuNAME doet zich voor wanneer nameserverrecords van twee verschillende domeinnamen naar elkaar verwijzen en kwetsbare dns-resolvers deze misconfiguraties benaderen. Dit zorgt voor een loop waarbij een grote hoeveelheid dns-queries naar authoritative dns-servers en andere resolvers wordt gestuurd. Een dergelijke loop kan urenlang duren. Begin vorig jaar zorgden slechts twee verkeerd geconfigureerde domeinen voor een vijftig procent toename van het totale verkeer voor de authoritative servers van het .nz topleveldomein. "Dezelfde misconfiguratie kan voor veel meer queries zorgen, afhankelijk van het domein en TLD", waarschuwen de onderzoekers. Die vroegen zich af wat er zou gebeuren als een aanvaller opzettelijk de misconfiguratie zou gebruiken voor het aanvallen van een TLD. "Een oplossing voor deze kwetsbaarheid is het toevoegen van code aan resolvers die wederzijdse afhankelijkheden herkent en loops tussen dergelijke domeinnamen doorbreekt. Deze code moet worden geleverd door de maker van de resolversoftware. Recente versies van veel resolvers zijn niet meer kwetsbaar voor TsuNAME maar oudere mogelijk wel", zo stelt SIDN Labs. Voor beheerders van autoritatieve dns-servers is de opensourcetool CycleHunter ontwikkeld, waarmee beheerders wederzijdse afhankelijkheden tussen domeinnamen in hun zone kunnen detecteren. Aangezien NS-records elk moment kunnen veranderen wordt beheerders aangeraden om meerdere keren per dag een scan uit te voeren, om zo de impact van een misconfiguratie te verkleinen. Via CycleHunter analyseerden de onderzoekers zo'n 184 miljoen domeinnamen van zeven grote topleveldomeinen. Daarbij werden 44 wederzijds afhankelijke NS-recods aangetroffen die door 1400 domeinnamen worden gebruikt. Volgens de onderzoekers gaat het hier waarschijnlijk om configuratiefouten, maar zou een gemotiveerde aanvaller eenvoudig misbruik van de kwetsbaarheid kunnen maken en voor zoveel verkeer kunnen zorgen dat authoritative servers het verkeer niet aankunnen, wat gevolgen voor al de gebruikers van deze servers heeft. "De ontdekte kwetsbaarheid kan in potentie voor grote problemen zorgen. Het laat ook zien hoe belangrijk de samenwerking met andere partijen is bij dit soort ontwikkelingen. Dit is namelijk niet een kwetsbaarheid die alleen het .nl-domein raakt, maar voor alle topleveldomeinen grote gevolgen kan hebben. Net als bij andere grote ddos-aanvallen had het er bijvoorbeeld toe kunnen leiden dat online diensten van banken, overheden en webwinkels onbereikbaar zouden worden", zegt Giovane Moura, data scientist bij SIDN Labs. bron: https://www.security.nl

Google heeft de nieuwste Windowsversie van Chrome voorzien van een beveiligingsmaatregel genaamd hardware-enforced stack protection die het lastiger moet maken voor aanvallers om kwetsbaarheden te misbruiken. Bij deze technologie gebruikt de processor een shadow stack, een nieuwe, beschermde stack met return adressen. De feature is beschikbaar voor Chrome-gebruikers op Windows 10 versie 20H1 (December Update) of nieuwer, die gebruikmaken van een processor met Control-flow Enforcement Technology (CET) zoals elfde generatie Intel- of AMD Zen 3-processoren, zo laat Google in een blogpost weten. Een veelvoorkomende kwetsbaarheid is de zogenaamde use-after-free (UAF), waarbij een aanvaller het aangevallen programma een door hem gekozen pointer laat aanroepen. Hier heeft de aanvaller controle over een object dat de adresruimte gebruikt die eerder door een ander object in gebruik was en door het programma gebruikt blijft worden. Vervolgens kan de aanvaller zijn code laten aanroepen die hij wil uitvoeren. In het verleden kon een aanvaller zijn shellcode naar een bekende geheugenlocatie schrijven en dan de instructiepointer naar deze shellcode laten wijzen. Om te voorkomen dat stacks of heaps uitvoerbaar waren werd Data Execution Prevention toegevoegd. In een reactie hierop kwamen aanvallers met Return Oriented Programming (ROP). Hierbij maken aanvallers misbruik van de eigen code van een proces, aangezien die uitvoerbaar moet zijn. Via controle over de stack en de instructiepointer kan een aanvaller de 'ret' instructie gebruiken om naar verschillende, handige stukken code te springen. Tijdens een exploit wordt de instructiepointer aangepast zodat niet de normale bestemming wordt aangeroepen, maar een klein gedeelte van de code genaamd een ROP-gadget. Door deze gadgets aan elkaar te koppelen kan een aanvaller uiteindelijk een gewenste functie aanroepen. Stack protection moet dergelijke aanvallen lastiger maken. Naast de bestaande stack beschikt de processor over een shadow stack. Deze stack is niet direct door een programma te manipuleren en bevat alleen return adressen. De ret-instructie maakt nog steeds gebruik van de return adressen van de normale stack, maar controleert nu dat die gelijk is aan het adres dat in de shadow stack is opgeslagen. Wanneer dit het geval is blijft het programma gewoon werken. Komen de adressen niet overeen, dan doet zich een exception voor die door het besturingssysteem wordt onderschept. Het besturingssysteem kan de shadow-regio aanpassen zodat het programma blijft werken, maar in de meeste gevallen wordt het programma meteen beëindigd, aldus Google. Naast Chrome kunnen ook andere programma's van hardware-enforced stack protection gebruikmaken. Via de Windows Task Manager kan worden gekeken of de maatregel staat ingeschakeld. Dit is zichtbaar via de Details-tab van de Task Manager en dan de procesweergave. "Het inschakelen van hardware-enforced stack protection past met bestaande en toekomstige maatregelen om misbruik lastiger en kostbaarder voor een aanvaller te maken, en zo de mensen te beschermen die Chrome dagelijks gebruiken", zegt Alex Gough van het Chrome Platform Security Team. bron: https://www.security.nl

Cloudcommunicatieplatform Twilio is één van de bedrijven die slachtoffer is geworden van de supply-chain-aanval op Codecov, waar aanvallers een backdoor aan de software van het bedrijf toevoegden. In het geval van Twilio konden aanvallers via de backdoor e-mailadressen van een "klein aantal" klanten stelen, zo meldt het cloudcommunicatieplatform in een verklaring. Codecov ontwikkelt tools voor het auditen van software. Zo kunnen softwareontwikkelaars kijken hoeveel van hun code door interne testscripts is getest. Eén van deze tools is Bash Uploader, die onder andere met GitHub-projecten is te integreren. Volgens Codecov wordt de tool door meer dan 29.000 bedrijven wereldwijd gebruikt. Begin dit jaar wisten aanvallers de ontwikkelomgeving van Bash Uploader te compromitteren en voegden code toe die inloggegevens, tokens, keys en andere data steelt zodra de tool binnen de ontwikkelomgeving wordt uitgevoerd. Vervolgens werden deze gegevens naar een server van de aanvallers gestuurd. Twilio maakt binnen de eigen ontwikkelomgeving ook gebruik van Bash Uploader waardoor de aanvallers via de backdoor gegevens konden stelen. Op 22 april werd Twilio door GitHub.com gewaarschuwd dat er verdachte activiteit met betrekking tot de Codecov-aanval was gedetecteerd en er een token van een Twilio-gebruiker was gecompromitteerd. Een aanvaller bleek verschillende GitHub-repositories te hebben gekloond. Daarop startte Twilio een onderzoek naar de inhoud van de gekloonde repositories. Daaruit blijkt dat de aanvallers e-mailadressen van een "klein aantal" klanten in handen hebben gekregen, maar Twilio noemt geen getallen. Wel zijn alle gedupeerde klanten inmiddels ingelicht. Tevens zijn alle mogelijke gecompromitteerde credentials gewijzigd. Bronnen lieten eerder tegenover persbureau Reuters weten dat honderden bedrijven slachtoffer van de supply-chain-aanval zijn geworden. Eén van de klanten die door de Codecov-backdoor werd getroffen en dit kenbaar maakte was softwarebedrijf HashiCorp. Dat besloot vanwege het incident om de GPG private key die het gebruikt voor het signeren van software te vervangen omdat aanvallers hier toegang toe hebben gekregen. Vorige week deelde Codecov nog nieuwe Indicators of Compromise (IOCs) die organisaties kunnen gebruiken om te kijken of ze ook slachtoffer zijn geworden. bron: https://www.security.nl

Beheerders van Exim-mailservers zijn gewaarschuwd voor meerdere kritieke kwetsbaarheden in de populaire mailserversoftware die wereldwijd op miljoenen servers draait. Het gaat in totaal om 21 beveiligingslekken die deels al sinds 2004 in Exim aanwezig zijn en "21Nails" worden genoemd. Tien van deze kwetsbaarheden zijn op afstand door aanvallers te misbruiken en maken het mogelijk om code op kwetsbare mailservers uit te voeren. Via de overige elf beveiligingslekken kan een aanvaller die toegang tot de server heeft zijn rechten verhogen en bijvoorbeeld code als root uitvoeren. Door het combineren van de kwetsbaarheden kan een ongeauthenticeerde aanvaller op afstand code uitvoeren en rootrechten op de mailserver krijgen. De kwetsbaarheden werden vorig jaar oktober door securitybedrijf Qualys aan het Exim-ontwikkelteam gemeld. "Vanwege verschillende interne redenen duurde het langer dan normaal voor het Exim-ontwikkelteam om deze problemen tijdig te verhelpen", zo laat Exim-ontwikkelaar Heiko Schlittermann op de Exim-mailinglist weten. Qualys heeft technische details over de 21 kwetsbaarheden gepubliceerd maar zegt geen exploits voor de beveiligingslekken openbaar te zullen maken. Het securitybedrijf moedigt beveiligingsonderzoekers aan om hun eigen exploits te ontwikkelen. De vandaag gepubliceerde advisory zou hiervoor voldoende informatie moeten bevatten. Beheerders wordt opgeroepen om te updaten naar Exim 4.94.2, waarin de gevonden problemen zijn verholpen. Kwetsbaarheden in Exim zijn in het verleden geregeld door aanvallers misbruikt. Zo werd de Russische inlichtingendienst GRU vorig jaar nog door de Amerikaanse geheime dienst NSA beschuldigd van het aanvallen van kwetsbare Exim-mailservers. Volgens zoekmachine Shodan zijn er vier miljoen Exim-servers vanaf het internet toegankelijk. bron: https://www.security.nl

Het netwerk van Belnet, de Belgische overheidsorganisatie die internettoegang levert aan overheidsinstanties, universiteiten, hogescholen en onderzoekscentra, is door een ddos-aanval ernstig verstoord. Dat laat de organisatie via Twitter weten. De aanval begon drie uur geleden en sindsdien is Belnet bezig met het verhelpen van de aanval. De laatste update op de statuspagina van de provider dateert van een uur geleden en stelt dat eraan een oplossing wordt gewerkt. Vanwege de aanval zijn bijna alle parlementaire commissies afgelast, meldt de Belgische krant De Tijd. In een reactie tegenover de krant laat Belnet weten dat het om een zeer grootschalige aanval gaat waarbij het hele Belnet-netwerk wordt aangevallen. Daardoor zitten zo'n tweehonderd organisaties, waaronder universiteiten, overheidsdiensten en onderzoeksinstellingen, zonder internet of is het internet er erg traag. Het gaat onder andere om het Belgische ministerie van Justitie. bron: https://www.security.nl

Miljoenen Dell-computers zijn kwetsbaar door een beveiligingslek in een driver die wordt gebruikt bij het updaten van de firmware. Dell heeft vandaag een beveiligingsupdate beschikbaar gesteld. Via de kwetsbaarheid kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en code met kernelrechten uitvoeren. Het beveiligingslek, CVE-2021-21551, is op een schaal van 1 tot en met 10 wat betreft de impact met een 8,8 beoordeeld. Onderzoekers van vier verschillende securitybedrijven, CrowdStrike, IOActive, OSR en SentinelOne, ontdekten de kwetsbaarheid en rapporteerden die aan de computerfabrikant. Dell-computers worden standaard geleverd met verschillende tools voor het up-to-date houden van het systeem, zoals Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent of Dell Platform Tags die op honderden modellen van Dell zijn te vinden. Deze programma's, alsmede packages voor het updaten van de firmware, maken gebruik van een driver genaamd dbutil_2_3.sys. Een beveiligingslek in deze driver maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om zijn rechten te verhogen en de computer zo volledig te compromitteren. SentinelOne heeft een beschrijving van de kwetsbaarheid online gezet, maar houdt technische details achter zodat Dell-klanten de tijd krijgen om de update te installeren of de driver te verwijderen. Een proof-of-concept exploit wordt 1 juni openbaar gemaakt. bron: https://www.security.nl

Mozilla gaat het updatemechanisme van Firefox aanpassen waardoor beveiligingsupdates en andere patches voortaan in de achtergrond worden gedownload en uitgevoerd, net als bij op Chromium-gebaseerde browsers het geval is. Dit moet het up-to-date houden van de browser voor gebruikers vereenvoudigen, zo laat Mozilla in de aankondiging weten. Met de lancering van Firefox 89 zal de browser wanneer die niet actief is periodiek op updates controleren. Hiervoor wordt er een taak aangemaakt die Firefox in een zogenoemde headless "background task mode" start. Elke zeven uur wordt deze taak uitgevoerd. Wanneer Firefox wel actief is vindt de controle niet plaats en zal de browser ook niet worden herstart. Firefox-gebruikers hebben de mogelijkheid om de controle op updates in de achtergrond uit te schakelen. Het nieuwe updatemechanisme is toegevoegd aan de laatste versie van Firefox Nightly, een vroege testversie van de browser. De releaseversie van Firefox 89 staat gepland voor 1 juni aanstaande. bron: https://www.security.nl

Pulse Secure heeft een belangrijke beveiligingsupdate uitgebracht voor een zeer kritiek zerodaylek in de vpn-software dat al voor het uitkomen van de patch werd aangevallen. Vanwege de kwetsbaarheid kwam het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid met het advies om vpn-servers dagelijks te controleren en werden door de Amerikaanse overheid noodinstructies afgegeven. De kwetsbaarheid, aangeduid als CVE-2021-22893, scoort op een schaal van 1 tot en met 10 wat betreft de impact een maximale score van 10. Via het beveiligingslek kan een aanvaller op afstand en zonder authenticatie code op kwetsbare Pulse Connect Secure (PCS) vpn-servers uitvoeren. Pulse Secure kwam op 20 april met een waarschuwing voor de zeroday-aanvallen en maakte gisterenavond een beveiligingsupdate beschikbaar. Naast het actief aangevallen zerodaylek worden ook drie andere kwetsbaarheden met de update verholpen. Het gaat om CVE-2021-22894, CVE-2021-22899 en CVE-2021-22900. De eerste twee van deze beveiligingslekken hebben een impactscore van 9,9. CVE-2021-22894 betreft een buffer overflow die het mogelijk maakt voor geauthenticeerde gebruikers om via een speciaal geprepareerde meetingroom willekeurige code met rootrechten uit te voeren. Via CVE-2021-22899 is command injection mogelijk en kunnen geauthenticeerde gebruikers ook code op de vpn-server uitvoeren. De in totaal vier kwetsbaarheden zijn verholpen in Pulse Connect Secure 9.1R11.4. Naast het installeren van de update adviseert Pulse Secure het gebruik van de Pulse Security Integrity Checker Tool, waarmee beheerders kunnen controleren of hun vpn-server is gecompromitteerd. bron: https://www.security.nl

Microsoft rolt in juli van dit jaar een update uit die Adobe Flash Player van Windows-computers verwijdert. Flash Player wordt sinds dit jaar niet meer door Adobe ondersteund en ook verschillende browserontwikkelaars hebben inmiddels de ondersteuning van de technologie uit hun browsers verwijderd. Daarnaast kwam Adobe met een update waardoor Flash Player sinds 12 januari geen Flash-content meer afspeelt. Om Flash Player van systemen te verwijderen kwam Microsoft vorig jaar al met Update KB4577586. Gebruikers die Flash Player van hun systeem willen hebben moeten deze update handmatig via de Microsoft Catalog downloaden en installeren. Microsoft kondigde aan dat de update ook via Windows Update zou worden uitgerold. Nu heeft het techbedrijf hierover meer informatie gegeven. In juni zal update KB4577586 worden toegevoegd aan de Preview Update voor Windows 10 versie 1809 en nieuwer. Het gaat hier echter om een optionele update. Vanaf juli is het einde van Flash Player definitief, want dan zal de update die de technologie verwijdert via Windows Update op alle Windows 10-computers worden uitgevoerd, alsmede op systemen die Windows 8.1, Windows Server 2012 en Windows Embedded 8 Standard draaien. Tevens zal Flash Player bij het updaten naar Windows 10 versie 21H1 of nieuwer worden verwijderd. bron: https://www.security.nl

Een kwetsbaarheid in ExifTool, software voor het bekijken en aanpassen van metadata in allerlei soorten bestanden, maakt het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren als er een malafide afbeelding wordt geopend. Het beveiligingslek, aangeduid als CVE-2021-22204, wordt veroorzaakt door de manier waarop ExifTool omgaat met gebruikersdata in het DjVu-bestandsformaat. Een aanvaller kan hier via een geldige afbeelding misbruik maken om zijn code op het systeem van de gebruiker uit te voeren. Verdere details over het lek zijn niet gegeven. De kwetsbaarheid is verholpen in ExifTool versie 12.24 en nieuwer. Beveiligingsonderzoeker William Bowling, die het lek ontdekte, maakte een demonstratie waarbij een aanval op een kwetsbare versie wordt getoond. ExifTool is beschikbaar als een platformonafhankelijke Perl-library, maar ook als losse applicatie voor macOS en Windows. bron: https://www.security.nl

Dat is balen. Helaas was ons vermoeden juist. Maar voor die 1000 kun je een behoorlijke laptop aanschaffen. Succes met de zoektocht.

Dat kennen we. Mijn zoon had van de week ook zo een 24 uur waar hij zich doorheen moest worstelen 😁 Ik weet bijna wel zeker dat het probleem de accu is. Te sterke accu qua vermogen kan ervoor zorgen dat niet iedere component het vermogen ook kan verwerken. Je zou de gok kunnen wagen de laptop te starten alleen op de originele voeding. Misschien valt dan de schade nog mee. Indien de laptop niet meer start, is het betreffende beschadigde onderdeel vaak niet meer terug te vinden, laat staan, te vervangen. Dus dan moet er al snel een nieuw moederbord in. Vaak betaal je ook nog eens voor onderzoekskosten, los van of ze het probleem kunnen vinden en fixen. Mijn advies zou dan ook zijn op zoek te gaan naar een nieuw model. Let dan vooral op het werkgeheugen. 8 is mooi, 16 nog beter. Laptops met 4g. draaien wel maar bij multitasking en een spel ga je vertraging merken. AMD of Intel, schelen niet zo veel van elkaar. Op dit moment loopt AMD iets voor. Maar dat merk je vooral bij het draaien van echt zware applicaties.

QNAP heeft eigenaren van een NAS-systeem gewaarschuwd voor een variant van de AgeLocker-ransomware die data op de apparaten versleutelt. Onlangs werden QNAP-NASsen ook al doelwit van de Qlocker-ransomware die honderden systemen infecteerde. Verdere details over de ransomware zijn nog niet gegeven. QNAP stelt dat het onderzoek nog gaande is. Wel wordt gebruikers aangeraden om het QTS-besturingssysteem of QuTS hero en alle geïnstalleerde applicaties geregeld te updaten. Om het NAS-systeem verder te beveiligen wordt aangeraden om die niet voor het hele internet bereikbaar te maken. Wanneer de NAS toch online toegankelijk moet zijn adviseert QNAP het gebruik van een vpn of een myQNAPcloud-link. Vorig jaar september kwam QNAP ook al met een waarschuwing voor de AgeLocker-ransomware. Die variant bleek zich te verspreiden via een beveiligingslek in het programma Photo Station dat op de NAS-systemen kan draaien. bron: https://www.security.nl

België heeft ziekenhuizen niet aangemerkt als aanbieders van essentiële diensten, wat gevolgen heeft voor de beveiliging van systemen en het reageren op cyberaanvallen. Dat meldt de Belgische krant De Tijd. In 2016 werd de Europese Network and Information Systems (NIS)-richtlijn aangenomen. Die verplicht dat aanbieders van vitale diensten maatregelen nemen om hun systemen te beveiligden en incidenten en aanvallen melden. In Nederland werd de NIS-richtlijn omgezet naar de Wet beveiliging netwerk- en informatiesystemen (Wbni). De richtlijn verplicht vitale aanbieders om technische en organisatorische beveiligingsmaatregelen te nemen om cyberincidenten te voorkomen of hun impact te beperken. Ook moet er beveiligingsbeleid zijn uitgewerkt, geldt er een meldplicht voor het melden van ernstige incidenten en moeten er periodiek audits naar de veiligheid van systemen worden uitgevoerd. In België werd de richtlijn twee jaar geleden naar nationale wetgeving omgezet. De Belgische regering heeft echter nagelaten om ziekenhuizen als essentiële dienst aan te merken. Die zijn daardoor niet verplicht om cyberaanvallen te melden en kunnen in het geval van een incident niet eenvoudig een beroep doen op de overheid om hen te helpen. De Belgische minister van Volksgezondheid Frank Vandenbroucke laat in een reactie weten dat hij de situatie wil verbeteren. "Naar aanleiding van de recente cyberaanvallen is de overheid opnieuw in overleg gegaan met de sector van de ziekenhuizen en de laboratoria, en werden een aantal instrumenten aangereikt om de cyberveiligheid te verhogen. Sinds begin dit jaar wordt de richtlijn NIS-2 besproken. Binnen dit kader willen we tot een aanpak komen op maat van de ziekenhuissector." bron: https://www.security.nl

Mozilla heeft de eigen vpn-dienst nu ook gelanceerd in Duitsland en Frankrijk. Wanneer Nederland aan de beurt is, is nog niet bekend. Vorig jaar juli werd Mozilla VPN als eerste in Canada, Maleisië, Nieuw-Zeeland, Singapore, het Verenigd Koninkrijk en de Verenigde State uitgerold. De vpn-dienst maakt gebruik van het WireGuard-protocol dat volgens de ontwikkelaar een snellere, eenvoudigere en modernere vpn-oplossing is dan IPSec. Ook zou het beter moeten presteren dan de populaire vpn-oplossing OpenVPN. Het aantal regels code van WireGuard is veel kleiner dan dat van andere vpn-protocollen, wat het eenvoudiger uit te rollen, te gebruiken en te auditen zou moeten maken. Mozillas vpn is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Wat betreft de samenwerking met Mullvad stelt Mozilla dat de vpn-provider de privacy van gebruikers respecteert en geen logbestanden bijhoudt. Ook Mozilla zelf zegt geen logbestanden bij te houden of netwerkgegevens van gebruikers te volgen of delen. De vpn-dienst kost 5 dollar per maand en werkt met Android versie 8 en nieuwer, iOS 12.0 en nieuwer, macOS 10.14 en nieuwer, Ubuntu 18.04 en nieuwer en Windows 10 64-bit. Tevens is het gebruik van een Firefox-account verplicht. bron: https://www.security.nl

Klanten van wachtwoordmanager Passwordstate, die onlangs slachtoffer van een supply-chain-aanval werd, zijn doelwit van een gerichte phishingaanval geworden, zo laat softwareontwikkelaar Click Studios weten. Het bedrijf roept klanten tevens op om e-mails over de supply-chain-aanval niet via social media te delen. Passwordstate is een on-premise webgebaseerde oplossing voor zakelijk wachtwoordbeheer. Vorige week liet ontwikkelaar Click Studios weten dat aanvallers het updatemechanisme van de wachtwoordmanager hadden gecompromitteerd en zo klanten met malware konden infecteren. Volgens Click Studios wordt de wachtwoordmanager door 29.000 klanten en 370.000 it-professionals wereldwijd gebruikt, waaronder Fortune 500-bedrijven. De malafide update downloadde weer een ander bestand dat informatie over het besmette systeem, zoals gebruikersnaam, domeinnaam, computernaam, draaiende services, en Passwordstate-data terugstuurde naar de aanvallers. Daardoor is er een risico dat wachtwoorden van klanten in handen van de aanvallers terecht zijn gekomen. De afgelopen dagen heeft Click Studios via e-mail met klanten over de supply-chain-aanval en verspreidde malware gecommuniceerd. Sommige klanten deelden deze e-mails via social media. Iets wat Click Studios afraadt om te doen, aangezien de aanvaller hier nu misbruik van blijkt te maken. De inhoud van deze e-mails is namelijk gebruikt voor phishingaanvallen op klanten, aldus de softwareontwikkelaar. In de phishingmails die over de supply-chain-aanval gaan wordt klanten opgeroepen om een bepaald zip-bestand te downloaden. Dit zip-bestand bevat een variant van de malware die bij de supply-chain-aanval werd gebruikt en downloadt een aanvullend bestand. Wat dit bestand precies doet wordt op het moment nog onderzocht. Klanten wordt dan ook aangeraden om alert te zijn op phishingmails en bij twijfel contact op te nemen met de helpdesk (pdf). bron: https://www.security.nl

Cloudprovider DigitalOcean heeft van een onbekend aantal klanten de privégegevens gelekt die in handen van een aanvaller zijn gekomen. De datadiefstal vond plaats tussen 9 en 22 april van dit jaar. Daarbij kreeg de aanvaller toegang tot de naam, adresgegevens en creditcardgegevens van klanten. Wat de creditcardgegevens betreft gaat het om verloopdatum, laatste vier cijfers van het creditcardnummer en banknaam. DigitalOcean geeft geen informatie over hoe de aanvaller toegang tot factuurgegevens van klanten kon krijgen, maar stelt dat de gebruikte kwetsbaarheid is verholpen en "ongeautoriseerde partijen" geen toegang meer tot de data hebben. Tevens zijn relevante privacytoezichthouders over het datalek geïnformeerd, zo staat in een e-mail die naar gedupeerde klanten werd gestuurd. Tegenover TechCrunch laat de cloudprovider weten dat één procent van de "factuurprofielen" door het datalek is getroffen, maar noemt verder geen concreet aantal. bron: https://www.security.nl

Een toekomstige versie van Microsoft Edge biedt gebruikers de optie om alle domeinen die ze bezoeken standaard over https te laden, wat gebruikers tegen man-in-the-middle-aanvallen moet beschermen. Dat laat Microsoft in een roadmap voor Edge weten. Vanaf Edge 92, die gepland staat voor deweek van 22 juli, krijgen gebruikers de mogelijkheid om hun verbinding standaard via https in plaats van http te laten lopen voor domeinen die het veiligere protocol waarschijnlijk zullen ondersteunen. Hoe Microsoft zal bepalen of een domein ook via https bereikbaar is wordt nog niet duidelijk gemaakt. Daarnaast kan de browser ook zo worden ingesteld dat https standaard voor alle domeinen wordt gebruikt. "Veiligere verbindingen beschermen klanten tegen man-in-the-middle-aanvallen", aldus Microsoft. Eerder namen ook Google en Mozilla soortgelijke stappen. Zo is https inmiddels het standaard protocol in de adresbalk van Chrome en biedt Firefox een "https-only mode" waarbij gebruikers kunnen instellen dat websites alleen via https worden bezocht. bron: https://www.security.nl

Mozilla hanteert vanaf 1 mei nieuwe regels voor certificaatautoriteiten waarmee het aantal gemaakte fouten bij het uitgeven van nieuwe certificaten moet worden teruggedrongen. In de Root Store Policy beschrijft Mozilla hoe het met certificaten en certificaatautoriteiten omgaat. Versie 2.7.1 van het beleid zal op 1 mei aanstaande van kracht worden. Certificaatautoriteiten spelen, doordat ze tls-certificaten voor websites uitgeven, een belangrijke rol bij het vertrouwen op internet. Met de Root Store Policy wil Mozilla ervoor zorgen dat het beter toezicht op de compliance van certificaatautoriteiten kan houden, de werkwijze van certificaatautoriteiten wordt verbeterd en er minder fouten worden gemaakt bij het uitgeven van nieuwe tls-certificaten. De nieuwe regels gaan onder andere over de verplichte auditrapporten die certificaatautoriteiten moeten aanleveren, de documentatie die bij incidenten moet worden verstrekt en welke methodes mogen worden gebruikt om aan te tonen dat de private key van de certificaatautoriteit is gecompromitteerd. Naast de regels die op 1 mei van kracht worden zal het vanaf 1 oktober 2021 verplicht zijn voor certificaatautoriteiten om domeinen en ip-adressen binnen 398 dagen voor de uitgifte van een certificaat te verifiëren. "Veel van deze aanpassingen zullen zorgen voor updates en verbeteringen van de processen van certificaatautoriteiten en auditors", aldus Ben Wilson van Mozilla. "Het updaten van de Root Store Policy verbetert het security-ecosysteem van het internet en de kwaliteit van elke https-verbinding, en helpt dus om je informatie privé en veilig te houden." bron: https://www.security.nl

Meer dan negenduizend WordPress-sites zijn door beveiligingslekken in een gebruikte plug-in kwetsbaar voor aanvallen en een beveiligingsupdate is niet beschikbaar. Het gaat om de plug-in Store Locator Plus, die inmiddels door WordPress van de officiële downloadsite voor plug-ins is verwijderd. Store Locator Plus is een plug-in waarmee bijvoorbeeld winkels, bedrijven of andere locaties een routebeschrijving voor bezoekers en klanten kunnen tonen. Er zijn twee kwetsbaarheden in de plug-in waardoor aanvallers beheerders kunnen worden. De eerste kwetsbaarheid maakt het mogelijk voor geauthenticeerde gebruikers om via hun metadata beheerder op elke website te worden die van de plug-in gebruikmaakt. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,9 beoordeeld. De ontwikkelaar van de plug-in werd op 5 maart door securitybedrijf Wordfence over het lek ingelicht en kwam op 5 april met een patch. Die blijkt onvolledig te zijn, waardoor de kwetsbaarheid als ongepatcht moet worden beschouwd. Vanwege het beveiligingslek besloot WordPress de plug-in op 12 april van de downloadsectie van WordPress.org te verwijderen. Een tweede kwetsbaarheid die nog altijd ongepatcht is en een impactscore van 7,2 heeft, maakt het voor ongeauthenticeerde aanvallers mogelijk om malafide JavaScript aan pagina's toe te voegen. Hiermee kan een aanvaller backdoors injecteren of een nieuw beheerdersaccount toevoegen en zo de website overnemen. Beheerders van websites die van de plug-in gebruikmaken wordt aangeraden die uit te schakelen. Aangezien updates ontbreken zijn er geen uitgebreide technische details van de kwetsbaarheden openbaar gemaakt. bron: https://www.security.nl

Criminelen maken gebruik van een ruim twee jaar oude kwetsbaarheid in SharePoint om servers met ransomware te infecteren, wat aantoont dat nog altijd veel organisaties de beschikbare beveiligingsupdate niet hebben geïnstalleerd, zo waarschuwt antivirusbedrijf Trend Micro. De kwetsbaarheid, aangeduid als CVE-2019-0604, werd in februari en maart 2019 door Microsoft gepatcht. Door een speciaal geprepareerde SharePoint-appplicatie naar een SharePoint-server te uploaden kan een aanvaller willekeurige code op de server uitvoeren. Al in mei van 2019 waarschuwde de Canadese overheid voor aanvallen die misbruik van het beveiligingslek maakten. Vorig jaar publiceerde de Amerikaanse overheid nog een Top 10 van meest aangevallen kwetsbaarheden waarin het beveiligingslek ook werd genoemd. Desondanks zijn een jaar later nog tal van organisaties waar er met kwetsbare SharePoint-servers wordt gewerkt, stelt Trend Micro. Die servers zijn nu het doelwit van ransomware-aanvallen. Door het beveiligingslek installeren aanvallers een webshell en daarmee de Beacon-dropper van het Cobalt Strike-framework. Via de dropper wordt uiteindelijk de Hello/WickrMe-ransomware geïnstalleerd. Slachtoffers moeten vervolgens losgeld betalen voor het ontsleutelen van hun gegevens. Hoe langer slachtoffers wachten met betalen, des te hoger het losgeld. Organisaties wordt aangeraden om de beschikbare beveiligingsupdate te installeren. bron: https://www.security.nl

GitHub heeft besloten om de nieuwe trackingmethode van Google genaamd FLoC standaard te blokkeren op alle pagina's van github.io. Dat laat het populaire platform voor softwareontwikkelaars in een blogposting weten en is ook aangekondigd door GitHub-ceo Nat Friedman op Twitter. Federated Learning of Cohorts (FLoC) is een nieuwe trackingmethode van Google waarbij Chrome-gebruikers op basis van hun browsegedrag in zogeheten cohorten worden geplaatst. Vervolgens kunnen adverteerders aan gebruikers binnen een bepaald cohort advertenties tonen. Google Chrome kijkt naar alle websites die de gebruiker bezoekt en deelt de gebruiker op basis hiervan in een cohort. Het cohort wordt met websites en adverteerders gedeeld, zodat die op basis van het cohort gericht kunnen adverteren. Zowel websites als Chrome-gebruikers doen standaard aan FLoC mee. "We vermoeden dat Google FLoC opt-out heeft gemaakt voor gebruikers en websites omdat Google weet dat een opt-in privacyschendend systeem nooit de schaal zou bereiken die het interessant voor adverteerders maakt om te gebruiken", liet Brandon Eich, ceo van browserontwikkelaar Brave, onlangs nog weten. Hij riep alle websites op om FLoC uit te schakelen. De Amerikaanse burgerrechtenbeweging EFF noemde FLoC eerder een verschrikkelijk idee. GitHub heeft geen reden gegeven voor het blokkeren van de trackingmethode. Door het toevoegen van een header aan alle websites op github.io wordt Google Chrome verteld dat FLoC voor de betreffende pagina moet worden uitgeschakeld. De maatregel geldt niet voor websites die van een custom domain gebruiken. Beheerders van deze sites moeten de header zelf toevoegen. Eerder liet ook WordPress weten dat het van plan is om FLoC te gaan blokkeren. bron: https://www.security.nl

Vandaag is door een actie van internationale opsporingsdiensten de beruchte Emotet-malware van ruim één miljoen besmette computers wereldwijd verwijderd. In januari wisten de Nederlandse politie en buitenlandse opsporingsdiensten het Emotet-netwerk over te nemen. Twee van de drie hoofdservers waarmee het Emotet-botnet werd aangestuurd bevonden zich in Nederland en kwamen in handen van de Nederlandse politie. "Op de Nederlandse centrale servers wordt een software-update geplaatst voor alle geïnfecteerde computersystemen. Alle geïnfecteerde computersystemen halen de update daar automatisch op, waarna de Emotet-besmetting in quarantaine wordt geplaatst", zo lieten het Openbaar Ministerie en de Nederlandse politie bij de aankondiging van de operatie weten. Naast de Nederlandse politie rolde ook de Duitse politie een update uit die ervoor zorgde dat de malware vandaag automatisch werd verwijderd. Het gaat hierbij alleen om de registersleutel en service waarmee Emotet zich op geïnfecteerde computers startte. Andere malware die via Emotet werd geïnstalleerd kan nog steeds op besmette machines actief zijn. "Het uitrollen van code via een botnet, zelfs met de juiste intenties, is vanwege de juridische consequenties die dit soort acties inhouden altijd een lastig onderwerp geweest", stelt beveiligingsonderzoeker Jerome Segura van antimalwarebedrijf Malwarebytes. Hoewel het Emotet-botnet al in januari werd uitgeschakeld werd besloten om de malware pas vandaag te verwijderen, zodat beheerders voldoende tijd hadden om geïnfecteerde computers te onderzoeken. bron: https://www.security.nl

QNAP heeft de eigen anti-malwaretool van een update voorzien om de Qlocker-ransomware te verwijderen die afgelopen dagen honderden NAS-systemen wist te infecteren. Volgens QNAP maken de aanvallers gebruik van bekende kwetsbaarheden in de multimedia console, media streaming add-on en Hybrid Backup Sync om toegang tot NAS-systemen te krijgen en vervolgens de ransomware te installeren. Die versleutelt bestanden op de NAS en eist 450 euro voor het ontsleutelen van de data. QNAP adviseert gebruikers om naar de meest recente versie van de genoemde software te updaten. Tevens wordt aangeraden om de Malware Remover-tool op het NAS-systeem uit te voeren. In het geval data is versleuteld moeten slachtoffers eerst een scan uitvoeren en daarna contact opnemen met de helpdesk van QNAP. Het NAS-systeem moet niet worden uitgeschakeld. Ook niet getroffen gebruikers wordt uit voorzorg aangeraden om de nieuwste versie van de Malware Remover te installeren. Verder raadt QNAP aan om de standaardpoort 8080 voor het benaderen van het NAS-systeem te wijzigen, back-ups van de data op de NAS te maken en een sterk wachtwoord te gebruiken. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om het updatemechanisme van de zakelijke wachtwoordmanager Passwordstate te compromitteren en zo een update te verspreiden die klanten met malware genaamd 'Moserpass' infecteerde. Het gaat om een zogenaamde supply-chain-aanval. Dat laat ontwikkelaar Click Studios in een waarschuwing op de eigen website en in een e-mail aan klanten weten (pdf). Passwordstate is een on-premise webgebaseerde oplossing voor zakelijk wachtwoordbeheer. Volgens Click Studios wordt de wachtwoordmanager door 29.000 klanten en 370.000 it-professionals wereldwijd gebruikt, waaronder Fortune 500-bedrijven. Aanvallers wisten van 20 april tot en met 22 april het updatemechanisme te compromitteren en konden zo een besmette update onder klanten uitrollen. Deze update downloadde weer een ander bestand dat informatie over het besmette systeem, zoals gebruikersnaam, domeinnaam, computernaam, draaiende services, en Passwordstate-data terugstuurde naar de aanvallers. Daardoor is er een risico dat wachtwoorden van klanten in handen van de aanvallers terecht zijn gekomen. Updates voor de wachtwoordmanager die klanten handmatig installeren zijn niet door de aanvallers gecompromitteerd. Hoe de aanvallers toegang tot het updatesysteem konden krijgen is nog niet bekendgemaakt, maar volgens Click Studios is er geen sprake van zwakke of gestolen inloggegevens. Click Studios adviseert klanten om alle wachtwoorden die ze in de wachtwoordmanager hebben opgeslagen te wijzigen. bron: https://www.security.nl