Captain Kirk

De ICANN, de organisatie die verantwoordelijk is voor het beheer van domeinnaamextensies, heeft het cryptografische sleutelpaar voor het DNSSEC-protocol vervangen. Dit staat ook wel bekend als de ‘roll-over’ van de root zone Key Siging Key (KSK). Het sleutelpaar vormt de basis van de hele DNSSEC-infrastructuur. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. DNSSEC is een verzameling extensies voor het DNS-protocol waarmee DNS-informatie digitaal wordt ondertekend en moet voorkomen dat internetgebruikers naar malafide website worden geleid. Het vervangen van het sleutelpaar was spannend omdat het de eerste keer was dat de sleutel werd gewijzigd sinds DNSSEC in 2010 in gebruik werd genomen. Aanvankelijk zou het vervangen van de KSK op 11 oktober 2017 plaatsvinden, maar dat werd toen uitgesteld uit angst voor grote problemen voor veel internetgebruikers. Volgens ICANN is nu alles voltooid met ‘minimale verstoring van het wereldwijde internet’. “Op het eerste gezicht lijkt er geen significant aantal internetgebruikers te zijn dat negatief wordt beïnvloed door het wijzigen van de sleutel”, aldus de ICANN. Vanwege het geringe aantal klachten spreekt de organisatie van een succesvolle overgang naar de nieuwe Key Signing Key, ook wel bekend als KSK 2017. ICANN gaat nu verder met de volgende stap in het rollover-proces: het revoken van de oude KSK (KSK 2010). Dit zal plaatsvinden in het eerste kwartaal van 2019. bron: security.nl

Van de drie grootste contentmanagementsystemen, te weten WordPress, Joomla en Drupal, motiveert alleen Drupal haar gebruikers over te stappen op de nieuwste versie van PHP. Deze situatie levert na 1 januari 2019 mogelijk de nodige beveiligingsproblemen op. Drupal heeft aangekondigd dat het vanaf 6 maart 2019 alleen nog draait op computers waarop PHP 7.0 of hoger wordt gebruikt. Momenteel werkt Drupal ook nog met PHP 5.5.9. Joomla vereist minimaal PHP 5.3 en WordPress neemt momenteel ook nog genoegen met PHP 5.2.4. Met ingang van 1 januari 2019 vervalt de ondersteuning van PHP 5.6 en oudere versies, wat betekent dat eventuele nieuwe kwetsbaarheden niet meer worden gedicht. Volgens berekeningen van W3Techs maakt bijna 79% van alle internetsites gebruik van PHP. Ongeveer zes op de tien sites gebruiken een verouderde PHP-versie,wat betekent dat vanaf volgend jaar ongeveer 62 procent van alle internetsites geen beveiligingsupdates meer ontvangt waardoor honderden miljoenen websites, zo niet meer, aan serieuze beveiligingsrisico's worden blootgesteld, aldus ZDnet. De aanhoudende populariteit van PHP-versie 5.6 was vorig jaar al aanleiding om de ondersteuning te verlengen tot en met 31 december 2018. bron: security.nl

In de SSH-implementatie van libssh is een fout gevonden die gebruikers zonder authenticatie laat inloggen. Libssh is een lichtgewicht implementatie van het SSH protocol welke gebruikt kan worden door programmeurs om SSH ondersteuning toe te voegen aan hun programma's. De fout werd gevonden door Peter Winter-Smith van de NCC Group. Een aanvaller kan misbruik van de kwetsbaarheid maken door de SSH-server het bericht "SSH2_MSG_USERAUTH_SUCCESS" -te sturen in plaats van het bericht "SSH2_MSG_USERAUTH_REQUEST" wat aangeeft dat de authenticatieprocedure gestart moet worden. Door een fout in de code, interpreteert libssh het bericht "SSH2_MSG_USERAUTH_SUCCESS" als "de authenticatie heeft al plaatsgevonden" en verleent het de aanvaller direct toegang. De kwetsbaarheid is alleen aanwezig wanneer libssh in "server-mode" wordt gebruikt. Gelukkig wordt libssh niet veel in deze modus gebruikt, de meeste SSH servers maken gebruik van de OpenSSH library. Hierdoor valt de impact van deze kwetsbaarheid relatief mee. De kwetsbaarheid (CVE-2018-10933) bevindt zich in libssh 0.6.0, uitgebracht in januari 2014. Het libssh team heeft inmiddels versie 0.8.4 en 0.7.6 uitgebracht waarin de kwetsbaarheid is verholpen. bron: security.nl

Beste Wilmaharrie, Troost je, je bent niet de enige die dit overkomt. Via deze link kom je op de hulppagina van Microsoft. Lees de pagina even rustig door. Kom je met de adviezen op de pagina niet verder, ben je hier van harte welkom.

Volgens de security-analisten Anton Cherepanov en Robert Lipovsky van ESET is de hackersgroep TeleBots (ook wel bekend als Sandworm) verantwoordelijk voor de drie grootste malware-uitbraken van de afgelopen jaren. Het is voor het eerst dat er een verband wordt gelegd tussen de drie uitbraken. De code van de drie malware varianten die bekend staan als BlackEnergy, Industroyer en NotPeyta vertoont diverse opvallende overeenkomsten. BlackEnergy bijvoorbeeld, bevat hetzelfde KillDisk encryptie-component als de NotPetya-malware. KillDisk wordt door de TeleBots-groep gebruikt om bestanden met bepaalde extensies op het systeem van het slachtoffer te overschrijven. Zo zijn er meer aanwijzingen in de code die duiden op één en dezelfde dader. Ook het startpunt van de aanvallen wijst op TeleBots. Het betrof bedrijven waar een TeleBots-backdoor was geïnstalleerd via de gecompromitteerde Oekraïense financiële software M.E.Doc., aldus ESET. Alle drie de malware varianten lijken bedoeld te zijn om het openbare leven in Oekraïne te verstoren. Industroyer richtte zich in december 2016 op het elektriciteitsnet van Oekraïne. In 2015 was de BlackEnergy-aanval al gericht op hetzelfde doelwit. NotPetya resulteerde in juni 2017 in stroomuitval in Kiev, de hoofdstad van Oekraïne. Aanleiding voor het onderzoek van ESET is de meeste recente malware van TeleBots van april dit jaar, Win32/Exaramel, dat een verbeterde versie van Industroyer blijkt te zijn, aldus Threatpost. Deze malware kopieert bestanden van besmette systemen, comprimeert en versleutelt ze en stuurt ze vervolgens naar de command-and-control server. Ook dat is een methode die eerder door TeleBots werd toegepast. bron: security.nl

Bijna één op de vijf Nederlandse websites die gebruik maken van een Symantec certificaat wordt na vandaag mogelijk onveilig verklaard door de nieuwste versie van de Chrome-browser. Daarvoor waarschuwt de Open State Foundation na een eigen scan. De browser van Google stopt namelijk met het ondersteunen van websites met bepaalde verouderde Symantec SSL-certificaten. De Open State Foundation onderzocht 16.085 Nederlandse websites die gebruikmaken van Symantec SSL-certificaten. Daarvan blijken er 3.106 gebruik te maken van dergelijk verouderde certificaten. Voor de test zijn websites uit de private en de publieke sector onderzocht. Bij de publieke sector lijkt het trouwens een stuk beter te gaan met het updaten van de websites, zo concludeert de Open State Foundation. Chrome komt vandaag (16 oktober) met een update naar versie 70 van de browser. Firefox komt waarschijnlijk binnenkort met een soortgelijke maatregel. Vanwege het aantal websites dat de oude certificaten nog gebruikt, heeft Firefox deze maatregel eerder uitgesteld. Overigens blijven de websites met een verouderd certificaat na de Chrome update wel toegankelijk. De nieuwste versie van Chrome toont bij een bezoek aan een dergelijke website een waarschuwing dat de verbinding onveilig is, plus het advies om de website te sluiten. Pas na het wegklikken van de waarschuwing is de website te bezoeken. bron: security.nl

Google en Microsoft gaan de ondersteuning van het Transport Layer Security (TLS) protocol versie 1.0 en 1.1 in hun browsers stoppen, zo hebben beide bedrijven aangekondigd. TLS wordt onder andere gebruikt voor het opzetten van een beveiligde verbinding tussen websites en hun bezoekers. Volgend jaar januari bestaat TLS 20 jaar, wat volgens Microsoft een lange tijd voor een beveiligingstechnologie is. De softwaregigant stelt dat er geen kwetsbaarheden in up-to-date implementaties van TLS 1.0 en 1.1 bekend zijn, maar kwetsbare third-party implementaties zijn wel bekend. Door alleen nieuwere versies te ondersteunen moet de veiligheid van Edge- en IE- gebruikers worden vergroot. Daarnaast verwacht Microsoft dat ook de grondlegger van het protocol, de IETF, de ondersteuning later dit jaar zal staken waardoor nieuwe kwetsbaarheden niet zullen worden verholpen. Microsoft adviseert websites dan ook te stoppen met het gebruik van TLS 1.0 of 1.1. Op dit moment maken de meeste websites echter gebruik van TLS 1.2 en zou minder dan 1 procent van TLS-verbindingen in Edge via TLS 1.0 of 1.1 lopen. Edge en Internet Explorer zullen vanaf de eerste helft van 2020 stoppen met de ondersteuning van TLS 1.0 en 1.1 Bij Google Chrome worden TLS 1.0 en 1.1 nog voor 0,5 procent van de versleutelde verbindingen gebruikt. Vanaf Chrome 72 zullen websites die van beide protocollen gebruikmaken waarschuwingen in de DevTools-console zien. De internetgigant zal beide protocollen met de lancering van Chrome 81 in januari 2020 in de browser uitschakelen. Google adviseert sitebeheerders om op TLS 1.2 of nieuwer over te stappen. bron: security.nl

Privacyzoekmachine DuckDuckGo heeft de 30 miljoen zoekopdrachten per dag gepasseerd, zo laat de zoekmachine via Twitter en op de eigen statistiekenpagina weten. DuckDuckGo is een zoekmachine die de privacy van gebruikers centraal stelt. Het maakt namelijk geen profielen van gebruikers, slaat geen ip-adressen op en logt geen gebruikersgegevens. De zoekmachine werd tien jaar geleden gelanceerd. Het duurde zeven jaar voordat de 10 miljoen zoekopdrachten per dag werden gepasseerd. Twee jaar later werd de mijlpaal van 20 miljoen zoekopdrachten per dag gehaald en nu, minder dan een jaar verder, is de grens van 30 miljoen zoekopdrachten per dag gepasseerd. Verschillende populaire browsers bieden DuckDuckGo ook als standaard te selecteren zoekmachine aan. bron: security.nl

Bij de aanval op Facebook die in september werd ontdekt zijn de toegangstokens van 30 miljoen gebruikers gestolen, zo laat de sociale netwerksite in een update over het incident weten. Via de gestolen toegangstokens konden de aanvallers op de Facebookaccounts van getroffen gebruikers inloggen. De aanval, die door een piek in het dataverkeer werd ontdekt, was mogelijk via drie kwetsbaarheden in de "weergeven als" feature. Facebook heeft nu meer details over de aanval gegeven. De aanvallers hadden de beschikking over een aantal accounts die weer verbonden waren met Facebookvrienden. Via de toegangstokens van deze gebruikers konden ze de tokens van hun Facebookvrienden stelen en van de vrienden van deze Facebookvrienden, enzovoorts. Op deze manier werden de tokens van 400.000 gebruikers bemachtigd. Een deel van deze gebruikersaccounts werd vervolgens gebruikt voor het stelen van de toegangstokens van 30 miljoen gebruikers. Van 15 miljoen gebruikers werden de naam en contactgegevens, te weten telefoonnummer, e-mail of beide, door de aanvallers geraadpleegd. Van 14 miljoen mensen ging het naast e-mail en contactgegevens ook om andere informatie, zoals gebruikersnaam, geslacht, taal, relatiestatus, religie, stad, geboortedatum, gebruikte apparaten om op Facebook in te loggen, opleiding, werk, de laatste tien plekken waarvandaan werd ingecheckt, websites, gevolgde mensen of pagina's en de 15 meest recente zoekopdrachten. Bij de resterende 1 miljoen gebruikers werden geen gegevens geraadpleegd. De getroffen gebruikers zullen een melding van Facebook ontvangen waarin staat welke gegevens de aanvallers hebben geraadpleegd. Het onderzoek naar het incident loopt nog. Facebook sluit niet uit dat de aanvallers ook kleinschaligere aanvallen hebben uitgevoerd. bron: security.nl

Mozilla heeft een nieuwe versie van het eigen Internet of Things-platform gelanceerd dat de privacy van gebruikers voorop stelt. De Things Gateway, zoals Mozilla de eigen oplossing noemt, laat gebruikers de apparaten in hun huis via het web bedienen en is daarbij gericht op veiligheid, privacy en interoperabiliteit. Een probleem met huidige IoT-systemen is dat ze een maandelijkse bijdrage vereisen en privégegevens naar een gecentraliseerde clouddienst versturen, aldus Mozillas Ben Francis. De Things Gateway werkt zonder "tussenpersoon" en laat gebruikers direct via het web hun huis monitoren. Daarbij blijven de gegevens van de gebruiker standaard in zijn woning. De nieuwste versie 0.6 voegt ondersteuning toe van verschillende deursensoren, bewegingssensoren en aan te passen push notificaties. Verder worden drukknoppen ondersteund en meer Apple HomeKit-apparaten en zijn de foutrapportages verbeterd. Things Gateway 0.6 is te downloaden via de website van Mozilla. bron: security.nl

Het gebruik van zogenaamde updates voor Adobe Flash Player om malware te verspreiden vindt al jaren plaats, maar onderzoekers hebben nu een malafide Flash-update ontdekt die een cryptominer en een echte Flash Player-update van Adobe installeert. Hoe internetgebruikers met deze specifieke malafide Flash-update in aanraking komen kan onderzoeker Brad Duncan van securitybedrijf Palo Alto Networks niet zeggen. Aangezien het niet om een gesigneerd bestand gaat krijgt de gebruiker een waarschuwing te zien bij het openen van de malafide Flash-update. Als er wordt besloten om de installatie voort te zetten wordt de echte versie van Flash Player bij Adobe gedownload. In de achtergrond wordt echter ook een cryptominer geïnstalleerd die de rekenkracht van het systeem gebruikt om de cryptovaluta Monero te delven. "Deze campagne gebruikt legitieme activiteiten om de verspreiding van cryptominers en andere ongewenste software te verbergen", merkt Duncan op. Hij stelt dat dergelijke nep-updates een veel kleiner risico zijn voor organisaties die hun webverkeer filteren en over securitybewuste gebruikers beschikken. bron: security.nl

De Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse overheid, ook bekend als de Five Eyes-landen, hebben een rapport gepubliceerd over vijf publiek beschikbare hackingtools die bij recente cyberaanvallen wereldwijd zijn ingezet (pdf). Op deze manier hopen de autoriteiten netwerkbeveiligers te helpen bij het verdedigen van hun netwerken. De eerste hackingtool die wordt genoemd is JBiFrost, een remote access trojan (RAT) waarmee een aanvaller besmette machines op afstand kan bedienen. De RAT is voor verschillende platformen beschikbaar (Android, Linux, macOS en Windows) en is onder andere gebruikt om gevoelige gegevens bij organisaties te stelen. De tweede tool is China Chopper, een webshell die aanvallers op al gehackte webservers installeren. Op deze manier kunnen de aanvallers op de webserver inloggen. China Copper wordt al sinds 2012 ingezet. Het rapport laat weten dat er eenvoudige manieren zijn om via de commandline op de aanwezigheid van de webshell te zoeken. Mimikatz is de derde hackingtool die in het rapport wordt genoemd. Een onder aanvallers zeer populaire tool voor het stelen van wachtwoorden en wachtwoordhashes. Het werd al in 2011 gebruikt bij de aanval op de Nederlandse certificaatautoriteit DigiNotar. Ook de aanvallers achter de NotPetya- en BadRabbit-malware maakten gebruik van Mimikatz. Het PowerShell Empire, een framework om lateraal door een netwerk te bewegen, wordt als vierde tool genoemd. Voordat het framework kan worden ingezet moet een aanvaller al toegang tot een systeem hebben. Het was ontwikkeld als een legitieme tool voor penetratietesters, maar is de afgelopen jaar zeer populair onder statelijke actoren en georganiseerde criminelen, zo laat het rapport weten. Het rapport sluit af met de hackingtool HTran. De HUC Packet Transmitter (HTran) is een proxytool die wordt gebruikt om tcp-verbindingen van de local host naar een remote host te onderscheppen en aan te passen. Hierdoor kan een aanvaller zijn verkeer van het gehackte netwerk obfusceren. De tool is al sinds 2009 op internet beschikbaar. Naast specifiek advies over de vijf genoemde hackingtools geeft het rapport ook verschillende algemene aanbevelingen. Daarin wordt onder andere gesteld dat organisaties hun mensen als eerste verdedigingslinie moeten beschouwen. bron: security.nl

De NotPetya-malware die vorig jaar voor grote schade zorgde en Industroyer, malware die elektriciteitsnetwerken kan saboteren, zijn van dezelfde groep aanvallers afkomstig, zo meldt anti-virusbedrijf ESET vandaag. Toen ESET Industroyer vorig jaar onthulde wist de virusbestrijder nog niet zeker of de malware ook daadwerkelijk was ingezet, maar in de vandaag verschenen analyse stelt het dat Industroyer verantwoordelijk was voor de aanval in Oekraïne die eind 2016 een stroomstoring veroorzaakte. Kort na de onthulling van Industroyer stelden sommige beveiligingsbedrijven dat die was ontwikkeld door een groep aanvallers genaamd Sandworm, ook bekend als APT 28, Fancy Bear, Sofacy, Pawnstorm, Sednit, Strontium en BlackEnery. Er was echter geen bewijs omdat dit verband te bewijzen. In april van dit jaar ontdekten onderzoekers van ESET een poging van de Sandworm-groep om een nieuwe backdoor te verspreiden. Deze backdoor is een verbeterde versie van de Industroyer-backdoor, aldus de vandaag verschenen analyse. In combinatie met de nieuwe backdoor vonden de onderzoekers ook een wachtwoordsteler genaamd CredRaptor, die Sandworm al sinds 2016 gebruikt om wachtwoorden van allerlei programma's te stelen, waaronder een groot aantal ftp-programma's zoals FileZilla en FlashFXP, browsers zoals Google Chrome, Internet Explorer, Firefox en Opera en andere software waaronder Outlook, Windows Vault en WinSCP. Eerder werd Sandworm al door ESET verantwoordelijk gehouden voor de verspreiding van de NotPetya-malware. De onderzoekers erkennen dat er altijd rekening moet worden gehouden met zogeheten 'false flags', waarbij een aanvaller opzettelijk code achterlaat om een andere aanvaller hiervoor op te laten draaien. Ook kan het zijn dat de gedeelde code die werd gevonden berust op toeval. "In dit geval vinden we dit onwaarschijnlijk", aldus de onderzoekers. bron: security.nl

De GandCrab-ransomware die onlangs nog in het nieuws kwam gebruikt twee kwetsbaarheden in Windows om systeemrechten te krijgen, waardoor de ransomware meer mogelijkheden heeft. Daarnaast blijkt dat de nieuwste versies van GandCrab door een programmeerfout niet goed op Windows XP werken. Het was al bekend dat de ransomware één beveiligingslek in Windows gebruikte om systeemrechten te krijgen, maar nu meldt McAfee dat er ook een tweede kwetsbaarheid in het spel is. Beide kwetsbaarheden zijn inmiddels al door Microsoft gedicht. De oudste kwetsbaarheid die GandCrab probeert werd op 8 mei door Microsoft gepatcht. Op 11 september verscheen een update voor het tweede beveiligingslek. Wanneer systemen up-to-date zijn kan de ransomware deze kwetsbaarheden niet gebruiken en zal GandCrab niet met systeemrechten worden uitgevoerd. De ransomware gebruikt de systeemrechten om systeemcommando's uit te voeren, zoals het verwijderen van Shadow Volume-kopieën en het dynamisch creëren van de ransomware-achtergrond die op het bureaublad wordt getoond. Ook worden de systeemrechten gebruikt om bestanden te versleutelen zonder dat anti-virussoftware dit proces kan stoppen, zo laat John Fokker van McAfee tegenover Security.NL weten. Verder blijkt dat de ontwikkelaars van GandCrab verschillende fouten hebben gemaakt, waardoor de ransomware niet goed werkt op Windows XP. Eind september verscheen GandCrab versie 5. Deze versie maakte gebruik van een dll-bestand dat niet op Windows XP of Vista aanwezig is, waardoor de malware op deze systemen niet werkt. Niet veel later verscheen GandCrab versie 5.0.2 die wel op Windows XP werkt, maar door een fout geen bestanden versleutelt. GandCrab verspreidt zich via e-mailbijlagen, ongepatchte software, besmette downloads en remote desktopverbindingen. Gebruikers kunnen zich dan ook beschermen door geen ongevraagde bijlagen te openen, software up-to-date te houden, alleen bij de officiële leverancier te downloaden en een sterk RDP-wachtwoord in te stellen. Voor gebruikers die extra bescherming zoeken heeft een onderzoeker genaamd Valthek een "vaccin" gemaakt dat ervoor zorgt dat de ransomware geen bestanden op het systeem kan versleutelen. McAfee bevestigt dat dit vaccin werkt. bron: security.nl

De NotPetya-malware die vorig jaar voor grote schade zorgde en Industroyer, malware die elektriciteitsnetwerken kan saboteren, zijn van dezelfde groep aanvallers afkomstig, zo meldt anti-virusbedrijf ESET vandaag. Toen ESET Industroyer vorig jaar onthulde wist de virusbestrijder nog niet zeker of de malware ook daadwerkelijk was ingezet, maar in de vandaag verschenen analyse stelt het dat Industroyer verantwoordelijk was voor de aanval in Oekraïne die eind 2016 een stroomstoring veroorzaakte. Kort na de onthulling van Industroyer stelden sommige beveiligingsbedrijven dat die was ontwikkeld door een groep aanvallers genaamd Sandworm, ook bekend als APT 28, Fancy Bear, Sofacy, Pawnstorm, Sednit, Strontium en BlackEnery. Er was echter geen bewijs omdat dit verband te bewijzen. In april van dit jaar ontdekten onderzoekers van ESET een poging van de Sandworm-groep om een nieuwe backdoor te verspreiden. Deze backdoor is een verbeterde versie van de Industroyer-backdoor, aldus de vandaag verschenen analyse. In combinatie met de nieuwe backdoor vonden de onderzoekers ook een wachtwoordsteler genaamd CredRaptor, die Sandworm al sinds 2016 gebruikt om wachtwoorden van allerlei programma's te stelen, waaronder een groot aantal ftp-programma's zoals FileZilla en FlashFXP, browsers zoals Google Chrome, Internet Explorer, Firefox en Opera en andere software waaronder Outlook, Windows Vault en WinSCP. Eerder werd Sandworm al door ESET verantwoordelijk gehouden voor de verspreiding van de NotPetya-malware. De onderzoekers erkennen dat er altijd rekening moet worden gehouden met zogeheten 'false flags', waarbij een aanvaller opzettelijk code achterlaat om een andere aanvaller hiervoor op te laten draaien. Ook kan het zijn dat de gedeelde code die werd gevonden berust op toeval. "In dit geval vinden we dit onwaarschijnlijk", aldus de onderzoekers. bron: security.nl

Mozilla heeft besloten om het blokkeren van Symantec-certificaten in Firefox uit te stellen omdat nog duizenden populaire websites hier gebruik van maken. Het gaat om de certificaten die websites gebruiken voor het opzetten van een beveiligde verbinding en om zich tegenover gebruikers te identificeren. Vanwege verschillende beveiligingsincidenten met het uitgeven van deze certificaten door Symantec hebben browserontwikkelaars besloten het vertrouwen in deze certificaten op te zeggen. Dit vindt gefaseerd plaats, waarbij eerst alle Symantec-certificaten die voor 1 juli 2016 zijn uitgegeven niet meer worden vertrouwd. Dat is nu al het geval in Chrome, Firefox en Safari. Oorspronkelijk was Mozilla van plan om alle resterende Symantec-certificaten met de lancering van Firefox 63 op 23 oktober te blokkeren. Gebruikers zouden dan bij websites die nog van deze certificaten gebruikmaken een certificaatwaarschuwing te zien krijgen. Uit onderzoek blijkt dat nog meer dan 1 procent van de Top 1 miljoen populairste websites nog steeds niet de Symantec-certificaten heeft vervangen. Vanwege de impact die dit zal hebben voor Firefox-gebruikers, die bij meer dan 10.000 websites een certificaatwaarschuwing zouden krijgen, heeft Mozilla ervoor gekozen het vertrouwen in de Symantec-certificaten op een later moment op te zeggen. De planning is nu om de aanpassing met Firefox 64 door te voeren, die voor 11 december gepland staat. bron: security.nl

Verschillende anti-virusbedrijven waarschuwen vandaag voor spionageaanvallen die via Microsoft Office-documenten plaatsvinden en gebruikmaken van macro's en de DDE-feature. Deze tactieken worden al jaren toegepast, maar zijn dankzij social engineering nog altijd effectief. Symantec bericht over een groep aanvallers die het heeft voorzien op verschillende overzeese ambassades van een Europees land en militaire en defensie doelwitten in het Midden-Oosten. De slachtoffers ontvangen een docx-bestand dat van de DDE-feature in Office gebruikmaakt om malware op het systeem te installeren. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd. De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. De functionaliteit wordt sinds de tweede helft van vorig jaar actief door cybercriminelen gebruikt om gebruikers met malware te infecteren. Voordat de DDE-feature kan worden geactiveerd moet het slachtoffer eerst zelf op "enable content" klikken. De aanvallers proberen het slachtoffer hiertoe te verleiden door te stellen dat het om een beveiligd document gaat en de inhoud alleen zichtbaar is door "enable content" in te schakelen. Vanwege het misbruik besloot Microsoft om vorig jaar december de DDE-feature in Word standaard uit te schakelen. In januari werd dit middels een update ook in Excel gedaan. De aangevallen slachtoffers die Symantec analyseerde hadden deze update echter niet geïnstalleerd en waren zodoende nog steeds kwetsbaar voor aanvallen via de DDE-feature. Macro's Naast het gebruik van de DDE-feature passen aanvallers ook nog steeds macro's toe. Anti-virusbedrijf Kaspersky Lab waarschuwt voor een campagne waarbij doelwitten doc-bestanden met kwaadaardige macro's ontvangen. Macro's laten gebruikers verschillende veelgebruikte taken automatiseren. Het is echter ook mogelijk om via een macro code op het systeem uit te voeren en bijvoorbeeld malware te downloaden en installeren. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's. Net als bij de aanval met de DDE-feature vragen de aanvallers ook bij de macro-aanvallen medewerking van het slachtoffer. Die wordt gevraagd om eerst "enable editing" in te schakelen en daarna "enable content". Pas als dit is gedaan wordt de kwaadaardige macro uitgevoerd en raakt het systeem besmet met malware. De campagne met de macro-documenten is gericht tegen overheidsinstellingen, militaire entiteiten, telecombedrijven en onderwijsinstellingen in het Midden-Oosten. bron: security.nl

Google profiteert het meest van de Algemene verordening gegevensbescherming (AVG), de nieuwe Europese privacywetgeving die op 25 mei van dit jaar van kracht werd. Dat stellen Cliqz en Ghostery aan de hand van eigen onderzoek. Cliqz is een Duits internetbedrijf en eigenaar van privacyplug-in Ghostery. Beide partijen verzamelen informatie over webtrackers en maken dat via WhoTracks.me inzichtelijk. Voor het onderzoek werd besloten om naar trackers in april en juli te kijken. Het aantal trackers in Europa per pagina nam in juli met 3,4 procent af ten opzichte van april. In de Verenigde Staten steeg het aantal trackers juist met 8,3 procent. Het blijkt dat met name kleinere trackers hun bereik in Europa hebben verloren, terwijl Google het aandeel zelfs met 1 procent zag groeien. Ook Facebook moest terrein prijsgeven. Volgens de onderzoekers hebben Google en andere grote advertentiebedrijven meer middelen om aan de nieuwe regels te voldoen. Daarnaast zouden uitgevers en eigenaren van websites zeker willen weten dat ze compliant zijn en daarom kleinere adverteerders laten vallen die niet kunnen aantonen aan de regels te voldoen. Ook zijn er berichten dat Google uitgevers aanmoedigt om het aantal trackers op hun websites te verminderen. Google is dan ook degene die van de nieuwe situatie weet te profiteren, aldus de onderzoekers. "Eén ding is zeker. Google profiteert indirect van de gevolgen van de AVG, die ervoor heeft gezorgd dat de online advertentiemarkt in Europa geconcentreerder is geworden, nu de meeste adverteerders marktaandeel hebben verloren. Google lijkt te profiteren van de onzekerheid rond de AVG om de positie als marktleider verder te versterken", zegt Björn Greif van Cliqz. bron: security.nl

Naar schatting 9 miljoen ip-camera's wereldwijd zijn toegankelijk omdat ze gebruikmaken van een kwetsbare cloudfeature, zo stelt securitybedrijf SEC Consult op basis van eigen onderzoek. De camera's zijn geproduceerd door het Chinese Hangzhou Xiongmai Technology en worden door meer dan 100 bedrijven onder hun eigen naam verkocht. Dit wordt ook wel "white labeling" genoemd. Alle Xiongmai-apparaten zijn voorzien van een feature genaamd "XMEye P2P Cloud", die standaard staat ingeschakeld. Via de feature kunnen gebruikers vanaf het internet hun camera's thuis benaderen. De verbinding loopt via de cloudservers van Xiongmai. Elke ip-camera beschikt over een uniek ID dat gebruikers in een applicatie kunnen opgeven om verbinding te maken. Het unieke ID blijkt echter helemaal niet zo uniek te zijn, aldus de onderzoekers van SEC Consult. Ze ontdekten dat het is afgeleid van het MAC-adres van de camera. Het MAC-adres is echter geen goede bron voor het genereren van willekeurige ID's, omdat het een duidelijk gedefinieerde structuur heeft, aldus de onderzoekers. Een aanvaller kan zodoende het MAC-adres enumereren en zo het ID achterhalen waarmee er toegang tot de camera kan worden verkregen. De onderzoekers ontwikkelden vervolgens een scanner die de Xiongmai-cloudinfrastructuur scant op geldige ID's. Aan de hand van deze scan schatten de onderzoekers dat er op elk gegeven moment 9 miljoen ip-camera's online en toegankelijk zijn. Zodra er verbinding is gemaakt moet een gebruiker nog wel inloggen. De camera maakt hiervoor gebruik van een standaardwachtwoord en gebruikers zijn niet verplicht een ander veilig wachtwoord in te stellen. Zodra de gebruiker is ingelogd kan die videostreams bekijken, instellingen aanpassen en firmware-updates uitvoeren. Naast het beheerdersaccount dat standaard is aangemaakt beschikt elke camera ook over een niet gedocumenteerde gebruiker. Dit gebruikersaccount, waar gebruikers geen weet van hebben, heeft een eenvoudig te achterhalen wachtwoord waarmee het mogelijk is om op de camera in te loggen en videostreams te bekijken. Verder blijkt dat het mogelijk is om kwaadaardige firmware op de camera's te installeren, aangezien de firmware-updates niet zijn gesigneerd. De onderzoekers waarschuwden Xiongmai zeven maanden geleden, maar de problemen zijn nog steeds niet verholpen. SEC Consult adviseert dan ook om te stoppen met het gebruik van Xiongmai-camera's. De onderzoekers hebben in hun analyse verschillende aanwijzingen gegeven hoe gebruikers kunnen controleren of ze een Xiongmai-camera hebben. bron: security.nl

Vorige week werd de Windows 10 October 2018 Update door Microsoft gelanceerd en vervolgens wegens problemen teruggetrokken. Sommige gebruikers lieten namelijk weten dat ze na de installatie van de Windows 10 October 2018 Update (versie 1809) allerlei bestanden kwijt waren. Microsoft laat nu weten dat het de problemen in de update heeft gevonden en verholpen. Het probleem deed zich voor op systemen waar Known Folder Redirection (KFR) eerder was ingeschakeld. Deze feature laat gebruikers een map als C:\Users\username\documents naar D:\Documents wijzen, bijvoorbeeld als er geen ruimte meer op de C-schijf is. Na de lancering van de April 2018 Update stelden sommige gebruikers dat ze na het gebruik van deze feature een lege kopie van de originele map hadden. Daarop kwam Microsoft met een feature om lege dubbele mappen te verwijderen. Deze aanpassing in combinatie met een andere verandering zorgde ervoor dat de originele "oude" map en inhoud bij de installatie van de oktober-update werden verwijderd, waardoor alleen de nieuwe "actieve" map overbleef. Microsoft heeft hiervoor nu een oplossing ontwikkeld. Een nieuwe versie van de Windows 10 October 2018 Update wordt nu onder Windows Insiders uitgerold. Het gaat hier om gebruikers die zich hebben aangemeld om vroege versies van nieuwe Windows-versies en -updates te ontvangen en fungeren eigenlijk als testers. Afhankelijk van hun feedback zal de update breder worden uitgerold. Verder laat Microsoft weten dat getroffen gebruikers de helpdesk van de softwaregigant kunnen bellen en er geprobeerd zal worden om verloren bestanden te herstellen. bron: security.nl

Microsoft heeft tijdens de patchdinsdag van oktober 50 kwetsbaarheden verholpen, waaronder een beveiligingslek in Windows dat actief werd aangevallen voordat een beveiligingsupdate beschikbaar was. Via dit zeroday-lek kon een aanvaller die al toegang tot een systeem had zijn rechten verhogen. De kwetsbaarheid werd in augustus ontdekt door anti-virusbedrijf Kaspersky Lab en is volgens de virusbestrijder tegen minder dan tien doelen in het Midden-Oosten ingezet. Het beveiligingslek werd op 17 augustus aan Microsoft gerapporteerd en gisteren op 9 oktober verholpen. Zoals gezegd moest een aanvaller al toegang tot een systeem hebben om de kwetsbaarheid uit te buiten. De aanvallers gebruikten het zeroday-lek om de benodigde rechten te krijgen zodat de malware het systeem persistent kon besmetten. De ontdekte exploit was volgens Kaspersky Lab van een hoge kwaliteit en in staat om verschillende Windowsversies aan te vallen. Naast het zeroday-lek zijn ook twee kwetsbaarheden gepatcht die al openbaar waren gemaakt, maar volgens Microsoft niet zijn aangevallen. Het gaat om een lek in de Microsoft JET Database Engine en de Windows-kernel. Wat ook opvalt is dat Microsoft een kwetsbaarheid heeft verholpen die uit 2010 stamt. Verder zijn er kwetsbaarheden gepatcht in Internet Explorer, Microsoft Edge, Windows, Microsoft Office, ChakraCore, .NET Core, PowerShell Core, SQL Server Management Studio, Microsoft Exchange Server, Azure IoT Edge en Hub Device Client SDK voor Azure IoT. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Zeker wanneer snel dit soort tegenberichten komen, moet je al voorzichtig zijn. Ik sta ook niet voor niets niet vooraan als het gaat om dit soort nieuwe updates. Op mijn werk gaan alle scholen ook over op een nieuw systeem. Ook daar geef ik altijd aan pas als een van de laatste over te willen. Eerst maar alle kinderziektes eruit.

Mozilla heeft naar aanleiding van een beveiligingsaudit die door een externe partij is uitgevoerd verschillende kwetsbaarheden in het Firefox-updatesysteem verholpen. Het updatesysteem speelt een belangrijke rol in het voorkomen dat gebruikers gemanipuleerde software ontvangen. De beveiligingsaudit vond eerder dit jaar plaats en werd door vier onderzoekers van het Duitse securitybedrijf X41 D-SEC gedurende een periode van 27 dagen uitgevoerd. De back-endservice die de updates regelt (Balrog) en de clientcode die de browser updatet werden bekeken. Het ging onder andere om een cryptografische review van het protocol dat voor het signeren van de updates wordt gebruikt en een handmatige codecontrole van alle onderdelen. De onderzoekers vonden geen ernstige kwetsbaarheden. Wel werden verschillende andere beveiligingslekken ontdekt die van "low" tot "high" werden beoordeeld. Het ergste beveiligingslek betrof een Cross-Site Request Forgery (CSRF)-kwetsbaarheid in de interface van de beheerdersapplicatie. Hiermee had een aanvaller in bepaalde gevallen onbedoelde beheerdersacties kunnen uitvoeren. Drie kwetsbaarheden die als "high" waren beoordeeld bevonden zich in de beheerdersconsole van Balrog. Om toegang tot dit systeem te krijgen, dat zich binnen het interne netwerk van Mozilla bevindt, moeten gebruikers zich meerdere keren authenticeren. Deze extra beveiligingslagen verkleinen het risico van de gevonden kwetsbaarheden, aldus Mozilla. De andere problemen waren minder ernstig van aard en vereisten dat een aanvaller de cryptografische handtekening kon omzeilen. Alle gevonden kwetsbaarheden zijn verholpen. Daarnaast heeft Mozilla het rapport van de beveiligingsaudit openbaar gemaakt. bron: security.nl

Criminelen kapen lopende mailwisselingen om malware te verspreiden, zo waarschuwt anti-virusbedrijf Trend Micro. De aanval begint met een e-mailaccount dat de aanvallers weten te hacken. Vervolgens beantwoorden ze lopende e-mailwisselingen met een e-mail die als bijlage een kwaadaardig Word-document bevat. "Als de gebruiker op de kwaadaardige .doc-bijlage in de e-mail klikt, wordt PowerShell aangeroepen om de laatste versie van de Ursnif-trojan te downloaden voordat het bestand wordt uitgevoerd", zegt onderzoeker Erika Mendoza. Het uitvoeren van kwaadaardige code in een doc-document zonder verdere interactie behalve het openen zou op een zeroday-exploit duiden. Er wordt echter geen verdere informatie gegeven. We hebben Trend Micro dan ook om uitleg gevraagd. De Ursnif-trojan die via de bijlage wordt verspreid is bankmalware die gegevens voor internetbankieren steelt. "Omdat de afzender een bekende is en de e-mail onderdeel van een conversatie, kan de ontvanger eenvoudig denken dat het om een echt antwoord gaat. Daarnaast lijken het onderwerp en de grammatica correct en de handtekening onderaan de e-mail is aanwezig", merkt Mendoza op. Toch zijn er ook signalen die erop duiden dat er iets mis is. In het voorbeeld dat wordt gegeven was de oorspronkelijke e-mailwisseling in het Frans, terwijl de e-mail met malware in het Engels was. Daarnaast is de inhoud van de ingevoegde e-mail ook vrij generiek en verscheelt de gebruikte handtekening. Gebruikers krijgen dan ook het advies om goed op dergelijke signalen te letten. Volgens Trend Micro zijn organisaties in de financiële, onderwijs- en energiesector in Europa en de Verenigde Staten het voornaamste doelwit van de aanvallers. bron: security.nl

Google heeft een datalek verzwegen dat 500.000 mensen raakte. Het ging om gebruikers van het sociale netwerk Google Plus van wie niet openbare informatie toch voor derden toegankelijk was. Het ging om namen, e-mailadressen, beroep, geslacht, leeftijd, geboortedatum, vaardigheden, profielfoto, relatiestatus, organisaties waar de gebruiker bij betrokken is of was, woonplaatsen en nog verschillende andere zaken. Meer dan 400 applicaties en externe ontwikkelaars hadden toegang tot deze gegevens, ook al waren die door gebruikers afgeschermd. Volgens Google was een softwarefout verantwoordelijk voor het datalek. Het probleem speelde van 2015 tot maart 2018. Google besloot het datalek echter te verzwijgen voor getroffen gebruikers en toezichthouders, uit angst dat er onderzoeken zouden plaatsvinden en er vergelijkingen zouden worden gemaakt met Facebook en Cambridge Analytica, zo blijkt uit interne memo's waar de Wall Street Journal over schrijft. Google laat in een verklaring weten dat het besloot om het datalek niet openbaar te maken omdat het getroffen gebruikers naar eigen zeggen niet kon identificeren. Wat ook in deze beslissing meespeelde was dat er geen aanwijzingen van misbruik waren gevonden en ontwikkelaars en gebruikers als gevolg van het datalek niets konden doen, aldus de internetgigant. Google heeft echter besloten om Google Plus voor eindgebruikers volgend jaar augustus te sluiten. In de tussentijd kunnen gebruikers hun data naar een ander platform migreren. Verder gaat Google accountgegevens die externe ontwikkelaars via programmeerinterfaces (API's) kunnen benaderen beperken en gaat het gebruikers meer permissies geven. bron: security.nl