Captain Kirk

Windows-systemen waarop handschriftherkenning is ingeschakeld slaan automatisch tekstinputs op in een bestand genaamd waitlist.dat. Dat ontdekte Digital Forensics and Incident Response (DFIR) expert Barnaby Skeggs. Het bestand is onversleuteld en kan makkelijk worden uitgelezen. Zodra de feature is ingeschakeld begint Windows met het verzamelen van toetsaanslagen en slaat deze op in het bestand waitlist.dat. Microsoft gebruikt dit bestand om woorden te voorspellen. Dit bestand wordt echter onversleuteld opgeslagen. Skeggs ontdekte dat het bestand alle teksten bevatte van e-mails en documenten die hij op z'n systeem heeft bekeken of gemaakt, "Niet alleen de bestanden die via de touchscreen-functie zijn gemaakt of geopend. De gebruiker hoeft de bestanden of e-mails niet eens te openen. Zolang er een kopie van het bestand op de schijf staat en het bestandsformaat wordt ondersteund door de Microsoft Search Indexer service," zegt Skeggs in een interview met ZDNet. Oud probleem De beveiligingsonderzoeker heeft dit probleem al twee jaar eerder aangekaart en daar een blogpost aan gewijd, maar dat kreeg destijds weinig aandacht. Vorige maand gooide Skeggs er een tweet uit waarin hij een "tip" gaf hoe het bestand gebruikt kon worden om wachtwoorden en andere gevoelige informatie te achterhalen. Omdat de data onversleuteld wordt opgeslagen, is het zeer makkelijk voor malware om het bestand te kopiëren of door te ploegen op zoek naar wachtwoorden. De onderzoeker heeft, als proof of concept twee applicaties uitgebracht waarmee het bestand kan worden geanalyseerd en teksten makkelijk kunnen worden geëxtraheerd. De eerste applicatie heeft wlrip en de tweede wlripEXE. Het gewraakte bestand is te vinden op de volgende locatie: C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\waitList.dat Deze manier van dataverzameling wordt al gedaan sinds Windows 8 en wellicht ook in oudere versies van Windows, dit is nog niet getest door de onderzoeker. Workaround Het bestand kan gewoon worden gewist. De handschriftherkenning-feature moet wel worden uitgeschakeld om te voorkomen dat het systeem direct opnieuw begint met verzamelen. Het is niet bekend of er al malware is die misbruik maakt van deze feature en/of het bestand uitleest. Ook is er geen bewijs dat deze informatie wordt verstuurd naar Microsoft. bron: webwereld.nl

Onderzoekers hebben nieuwe Internet of Things-malware ontdekt die zich net als andere exemplaren via Telnet verspreidt, maar een stuk geavanceerder is. De malware wordt Torii genoemd en ondersteunt verschillende architecturen, zoals MIPS, ARM, x86, x64, PowerPC, SuperH en Motorola 68000. De malware gebruikt zwakke of standaard wachtwoorden om via Telnet op apparaten in te loggen. Vervolgens wordt er een script uitgevoerd dat eerst de architectuur van het systeem vaststelt en dan de bijpassende malware installeert. Veel IoT-malware is via een reboot van het systeem te verwijderen, maar Torii past zes verschillende methodes toe om op het systeem actief te blijven, aldus onderzoekers van anti-virusbedrijf Avast. Verder valt de malware op omdat het maatregelen neemt die analyse moeten bemoeilijken en worden gegevens over het besmette systeem naar de aanvallers teruggestuurd. Het doel van de malware is op dit moment nog onduidelijk. De meeste Internet of Things-malware gebruikt besmette systemen voor ddos-aanvallen of het delven van cryptovaluta, maar dergelijke activiteiten zijn in het geval van Torii nog niet waargenomen. Hoeveel apparaten door Torii zijn besmet is niet bekend. De onderzoekers vonden zo'n 600 infecties, maar stellen dat dit waarschijnlijk een klein onderdeel van het totale aantal is. bron: security.nl

Onderzoekers van anti-virusbedrijf ESET hebben naar eigen zeggen voor het eerst een UEFI-rootkit ontdekt die bij een echte aanval is ingezet en het opnieuw installeren van het besturingssysteem of het vervangen van de harde schijf kan overleven. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. In het verleden hebben onderzoekers verschillende aanvallen tegen UEFI gedemonstreerd, maar volgens onderzoekers van ESET zijn UEFI-rootkits nooit eerder bij een daadwerkelijke aanval waargenomen. Eerder dit jaar waarschuwde securitybedrijf Arbor Networks dat aanvallers de anti-diefstalsoftware LoJack, ook bekend als Computrace, gebruikten om toegang tot gehackte machines te krijgen. LoJack is ontwikkeld om gestolen laptops en computers terug te vinden. De anti-diefstalsoftware bevindt zich in de firmware van de laptop of desktop en maakt het mogelijk om gestolen machines te traceren, zelfs als de harde schijf wordt geformatteerd of vervangen. Ook is het via LoJack mogelijk om op afstand code op het systeem uit te voeren. Tijdens het onderzoek naar systemen waarbij de LoJack-software was gebruikt vonden onderzoekers van ESET ook verschillende tools waarmee het mogelijk was om de UEFI-firmware van het systeem te lezen en aan te passen. In één geval bleek dat een deel van het flashgeheugen ook was uitgelezen, aangepast en opnieuw overschreven. Op deze manier hadden de aanvallers een kwaadaardige UEFI-module aan het flashgeheugen toegevoegd. Deze module kon malware tijdens het opstartproces uitvoeren. Het ging specifiek om malware die de LoJack-software als backdoor gebruikte. Door de firmware aan te passen kan de rootkit een herinstallatie van het besturingssysteem en zelfs het vervangen van de harde schijf overleven. Om een dergelijke rootkit te verwijderen zou de UEFI-firmware opnieuw moeten worden geflasht. Iets wat doorsnee gebruikers meestal niet doen, zo stellen de onderzoekers. Die merken wel op dat de UEFI-rootkit niet goed is gesigneerd. Het inschakelen van Secure Boot, dat vereist dat alle firmware-onderdelen zijn gesigneerd, had de rootkit dan ook gestopt. Volgens ESET is de rootkit waarschijnlijk ontwikkeld door een groep genaamd Fancy Bear, ook bekend als Pawn Storm, Strontium of APT28. Volgens verschillende securitybedrijven betreft het een groep hackers die vanuit Rusland opereert en mogelijk steun van de Russische overheid krijgt. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden. bron: security.nl

Eerder dit jaar werden honderdduizenden routers en NASsen door de VPNFilter-malware geïnfecteerd, maar het is nog altijd onduidelijk hoe dit precies kon gebeuren, zo stelt Cisco. Eenmaal actief kan de malware verschillende dingen doen, zoals het stelen van inloggegevens en het onbruikbaar maken van apparaten door de firmware te overschrijven. Daarnaast kan de malware, zodra een router eenmaal is geïnfecteerd, ook computers in het achterliggende netwerk aanvallen. Cisco heeft nieuw onderzoek naar de malware gepubliceerd, waarbij de onderzoekers vooral keken naar een protocol dat MikroTik-routers gebruiken. De aanvallers hadden het voornamelijk op deze apparaten voorzien. Het nieuwe onderzoek bevestigt dat VPNFilter aanvallers de mogelijkheid bood om vanaf besmette routers en NASsen achterliggende systemen aan te vallen. Zo werd er een module ontdekt die http-verkeer op de aanwezigheid van uitvoerbare Windows-bestanden te controleren. Waarschijnlijk om die in real-time aan te passen als ze door de gebruiker werden gedownload. Een andere module die de onderzoekers vonden is waarschijnlijk ontworpen om toegang tot bepaalde versleutelde chat-applicaties te blokkeren. Ook bleken de aanvallers besmette routers als proxy te kunnen gebruiken. Eén van de belangrijkste vragen is echter nog altijd niet beantwoord, namelijk de gebruikte verspreidingsmethode. Vermoedelijk werden bekende kwetsbaarheden gebruikt, maar Cisco heeft hier nog altijd geen definitief bewijs van. De dreiging van VPNFilter is volgens de onderzoekers zo goed als geneutraliseerd. De kanalen die de aanvallers gebruikten om met besmette systemen te communiceren zijn uitgeschakeld. Daarnaast was een deel van de malware niet persistent en alleen actief in het geheugen. Waarschijnlijk zijn veel getroffen systemen dan ook opgeschoond na een reboot. Wat betreft het persistente deel van de malware zijn er geen signalen dat de aanvallers hebben geprobeerd om daarmee nog verbinding te maken. bron: security.nl

De populaire opensource-browserextensie uBlock Origin is van een nieuwe feature voorzien waarmee gebruikers alle JavaScript op een website met één knop aan en uit kunnen zetten. UBlock Origin blokkeert advertenties, trackers en domeinen die malware verspreiden. Veel websites maken gebruik van JavaScript voor het laden van advertenties en trackers. Ook voor de verspreiding van malware op gehackte websites wordt geregeld JavaScript gebruikt. De nu geïntroduceerde "JavaScript master switch" laat gebruikers eenvoudig JavaScript in- en uitschakelen en heeft voorrang boven de filterregels die zijn ingesteld. UBlock Origin is de op één na populairste Firefox-extensie met 4,7 miljoen gebruikers. Daarnaast hebben meer dan 10 miljoen Chrome-gebruikers de extensie geïnstalleerd. De JavaScript-knop is aanwezig in versie 1.17.0. bron: security.nl

Chrome krijgt een optie waarmee gebruikers zelf kunnen aangeven of ze de browser automatisch op hun Google-account willen laten inloggen als ze op een Google-dienst inloggen. Google kreeg felle kritiek te verduren vanwege een aanpassing in Chrome 69 waardoor de browser automatisch op het Google-account wordt ingelogd als gebruikers bijvoorbeeld op Gmail inloggen. Het zou ervoor kunnen zorgen dat gebruikers eenvoudiger hun gegevens synchroniseren, waardoor al hun data naar Google wordt gestuurd. Met de lancering van Chrome 70 volgende maand krijgen gebruikers een optie in de browser waardoor ze kunnen aangeven dat Chrome niet automatisch op het Google-account wordt ingelogd wanneer ze op een Google-dienst inloggen. Na de ophef over het automatisch inloggen bleek dat Chrome ook Google-cookies niet verwijdert als gebruikers alle cookies verwijderen. Gebruikers blijven zo op hun Google-account ingelogd, ook als ze denken alle sessiegegevens te hebben verwijderd. Google stelt dat het ook dit gedrag zal aanpassen, zodat alle cookies daadwerkelijk worden verwijderd en de gebruiker wordt uitgelogd. bron: security.nl

Mozilla heeft vandaag een dienst gelanceerd die internetgebruikers voor datalekken waarschuwt. Firefox Monitor, zoals de dienst heet, is gebaseerd op de bekende zoekmachine Have I Been Pwned. Via deze zoekmachine kunnen gebruikers in meer dan 5 miljard gestolen records zoeken of hun data ooit bij een website is gestolen. Firefox Monitor maakt gebruik van de database van Have I Been Pwned. Zodra een door de gebruiker opgegeven e-mailadres in de database voorkomt verschijnt er een waarschuwing en een advies om het wachtwoord te wijzigen. Ook wordt aangeraden om een wachtwoordmanager zoals 1Password, LastPass of Dashlane te gebruiken. Net als Have I Been Pwned biedt ook Firefox Monitor de mogelijkheid voor gebruikers om hun e-mailadres te registreren, zodat ze waarschuwingen voor nieuwe datalekken kunnen ontvangen. bron: security.nl

Internetgebruikers vergeten uit te loggen bij Facebook en Google, waardoor de techbedrijven gebruikers ook nauwkeurig op andere websites kunnen volgen, zo blijkt uit onderzoek van de Consumentenbond onder 1800 mensen. Deelnemers aan het onderzoek werd gevraagd om hun privacyinstellingen te controleren en welke maatregelen worden genomen om online tracking tegen te gaan. Na genoeg alle deelnemers aan het onderzoek (95 procent) hebben geen adblocker op de smartphone geïnstalleerd en op de pc is dit 81 procent. Verder blijkt dat 87 procent van de Androidtelefoons met een Facebook-app continu de locatie met Facebook deelt, ook als de app niet in gebruik is. Bij iPhone-gebruikers is dit 38 procent. Het delen van de locatiegegevens kan leiden tot locatie-advertenties. Ook loggen gebruikers niet uit bij Facebook (60 procent) en Google (40 procent), zodat ze op andere websites kunnen worden gevolgd. "Die mensen blijven ingelogd bij Google en Facebook, ook als zij ándere websites bezoeken. Die sites hebben vaak de advertentiesystemen van Google en Facebook geïntegreerd. Die kunnen ingelogde personen stilletjes volgen bij het internetten en aan veronderstelde 'interesses' koppelen", aldus de Consumentenbond. Verder laat het onderzoek zien dat gebruikers de privacyinstellingen van hun Google-account niet aanpassen, waardoor Google allerlei data van gebruikers opslaat, zoals locatie, gebruikte zoekopdrachten en gezochte afbeeldingen. bron: security.nl

Cisco heeft een beveiligingsupdate uitgebracht voor een zeer ernstige kwetsbaarheid in de Video Surveillance Manager waardoor een aanvaller op afstand als root had kunnen inloggen. De Video Surveillance Manager is een platform voor het beheren van videosurveillancesystemen. Het gaat dan bijvoorbeeld om het archiveren en taggen van camerabeelden. De software bleek over een ongedocumenteerd, standaard, vast wachtwoord voor het root-account te beschikken. Een aanvaller had zo als root op het systeem kunnen inloggen en willekeurige commando's als root kunnen uitvoeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Gebruikers krijgen dan ook het advies om de update zo snel als mogelijk te installeren. bron: security.nl

Opera heeft een desktopbrowser gelanceerd die over een ingebouwde cryptowallet beschikt. Het is daarmee naar eigen zeggen de eerste desktopbrowser met een dergelijke feature. In juli lanceerde Opera ook al een browser voor Android met ingebouwde cryptowallet. Via de cryptowallet is het mogelijk om Web 3.0- en Dapp-transacties op de computer via de Androidtelefoon te signeren. Dapp staat voor "decentralized apps". Volgens Opera zijn steeds meer ontwikkelaars geïnteresseerd in het ontwikkelen van apps die van cryptovaluta gebruikmaken en willen ze gedecentraliseerde netwerken voor een deel van hun apps gebruiken. Gebruikers kunnen de desktopversie van Opera pairen met de cryptowallet van de mobiele versie. Als een Dapp of een website vraagt om een transactie of bericht te signeren, verschijnt er een prompt op de telefoon die via een vingerafdruk moet worden bevestigd. Gebruikers hoeven geen aparte wallet voor de desktop in te stellen. De walletsleutels blijven op de hardware van de telefoon en worden niet verstuurd. De cryptowallet in Opera voor Android is een zogeheten "user-controlled" wallet, wat inhoudt dat de sleutels voor het beheren van het geld op de telefoon zijn opgeslagen en nergens anders. De desktopversie van Opera met ingebouwde cryptowallet is beschikbaar gemaakt voor testers. Wanneer de uiteindelijke versie verschijnt is nog niet bekend. bron: security.nl

Western Digital heeft een beveiligingslek in de My Cloud-dienst dat al meer dan een jaar bekend was eindelijk gedicht. Via My Cloud kunnen gebruikers vanaf het internet bestanden op hun harde schijf thuis benaderen. Een beveiligingslek dat twee onderzoekers los van elkaar hadden ontdekt en aan Western Digital gerapporteerd maakte het mogelijk om de authenticatie te omzeilen en zonder het opgeven van een wachtwoord als beheerder in te loggen. De kwetsbaarheid was al op 10 april 2017 door een onderzoeker van het Nederlandse securitybedrijf Securify aan de harde schijffabrikant gemeld. Aangezien Western Digital niet met een update kwam besloot de onderzoeker de details vorige week openbaar te maken. Ook onderzoekers van Exploitee.rs ontdekten het lek en rapporteerden die aan Western Digital. Tevens maakten ze de kwetsbaarheid vorig jaar juli openbaar tijdens de Def Con-beveiligingsconferentie in Las Vegas. Western Digital kwam vorige week met een blogpost waarin het op de openbaarmaking reageerde. Volgens het bedrijf moest een aanvaller al toegang tot het lokale netwerk van de gebruiker hebben om de kwetsbaarheid uit te buiten of moest de gebruiker de standaardinstellingen hebben aangepast door remote toegang toe te staan. Afgelopen vrijdag verscheen de firmware-update om het probleem te verhelpen. De update is handmatig te installeren en zal als onderdeel van een over-the-air upgrade worden aangeboden. bron: security.nl

De op privacy en security gerichte laptopfabrikant Purism heeft een eigen usb-beveiligingssleutel gelanceerd, die ook kan worden gebruikt om te controleren of laptops tijdens het verzendproces zijn onderschept en aangepast. De Librem Key fungeert als een tweede factor tijdens het inloggen. Gebruikers moeten naast hun wachtwoord ook de beveiligingssleutel aansluiten om toegang tot een systeem of account te krijgen. Ook is het mogelijk om GPG-sleutels op de sleutel op te slaan, zodat ze beschermd zijn tegen aanvallers die de laptop compromitteren. Wanneer de opgeslagen GPG-sleutels nodig zijn moet de gebruiker de sleutel aansluiten en zijn pincode invoeren, waarna het mogelijk is om te versleutelen, ontsleutelen, signeren of authenticeren. Er zijn verschillende fabrikanten van usb-beveiligingssleutels. Zo kondigde Google onlangs een eigen usb-beveiligingssleutel aan. De Librem Key is op open hardware, vrije firmware en vrije gebruikersapplicaties gebaseerd. Verder is de sleutel zo ontwikkeld dat die met de producten van Purism is te integreren. Zo kan de Librem Key worden aangesloten om automatisch de harde schijf te ontsleutelen, automatisch de laptop te vergrendelen wanneer de sleutel wordt verwijderd en kan er via de sleutel worden ingelogd. Een andere feature die de sleutel biedt is de integratie met het "Heads BIOS" van Purism, die tegen manipulatie bestand zou moeten zijn. Via Heads is het mogelijk om aan te tonen dat het BIOS niet is aangepast. BIOS staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Manipulatie van het BIOS kan grote gevolgen voor de veiligheid van het systeem hebben. De Librem Key beschikt over een feature waarmee het mogelijk is om te controleren of het BIOS is aangepast. De sleutel laat afhankelijk van de uitkomst een groen of rood licht zien. Verder biedt Purism de optie om tijdens de productie van een laptop die met een Librem Key te koppelen. Beide producten worden dan los van elkaar verzonden. Klanten kunnen zo meteen controleren of hun laptop tijdens het verzendproces is onderschept en aangepast. bron: security.nl

Microsoft heeft een verklaring gegeven waarom sommige gebruikers van Windows 7 bij de recente installatie van beveiligingsupdates en de maandelijkse verzamelupdates tegen problemen aanliepen. Gebruikers konden de maandelijkse verzamelupdates van augustus en september niet installeren, alsmede de beveiligingsupdates van september. De foutmelding "error 0x8000FFFF" verscheen dan. Het probleem wordt veroorzaakt doordat deze gebruikers een update missen die Microsoft in oktober 2016 uitbracht. Update KB 3177467 is een zogeheten "servicing stack update" voor Windows 7 Service Pack 1. Het gaat hier om updates die de betrouwbaarheid van het updateproces moeten verbeteren. De update werd dan ook als "critical" aangemerkt. "Omdat het niet als een beveiligingsupdate was gecategoriseerd, hebben veel organisaties de update gemist en besloten alleen de standaard maandelijkse beveiligingsupdates te installeren, in plaats van de volledige service stack-update", zegt Microsofts John Wilcox. Het ontbreken van KB 3177467 zorgde ervoor dat de updates van augustus en september niet konden worden geïnstalleerd. "We testen onze maandelijkse patches op volledig gepatchte, up-to-date systemen. Dat is waarom we dit probleem niet tijdens het testen of bij onze previewpartners hebben gezien", gaat Wilcox verder. Om herhaling te voorkomen heeft het Microsoft Windows Servicing en Delivery team alle release notes aangepast met de vermelding om de laatste servicing stack-update te installeren voordat de andere updates worden geïnstalleerd. Daarnaast gaat Microsoft toekomstige servicing stack-updates als critical beveiligingsupdate aanmerken. Gebruikers die met foutmelding error 0x8000FFFF te maken krijgen wordt aangeraden eerst KB 3177467 te installeren en daarna de updates van augustus en september. bron: security.nl

Google is onder vuur komen te liggen nu bekend is geworden dat wanneer Chrome-gebruikers op een Google-dienst inloggen zoals Gmail, de browser automatisch op het Google-account wordt ingelogd. Dit wordt zonder toestemming en duidelijke kennisgeving aan gebruikers gedaan. De synchronisatiefeature die gebruikersgegevens naar Google stuurt wordt niet automatisch door Chrome ingeschakeld. Dat vereist een aanvullende stap van gebruikers. "Dus in theorie zouden je gegevens lokaal moeten blijven", parafraseert Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University, het Chrome-team. Green stelt dat de aanpassing grote gevolgen voor de privacy en het vertrouwen in Chrome en Google heeft. Zo noemt hij de gebruikersinterface van Chrome-sync een "dark pattern" die gebruikers zo ver probeert te krijgen dat ze hun gegevens synchroniseren. Ook heeft de beslissing van Google gevolgen voor de privacy. "De Chrome-ontwikkelaars claimen dat met "sync" uitgeschakeld, er geen privacygevolgen zijn. Dit is misschien waar, maar wanneer er om meer informatie werd gevraagd wist niemand het zeker te weten." Een ander kritiekpunt is dat de nieuwe werking van Chrome niet in het privacybeleid stond vermeld. Google heeft inmiddels aangegeven dat het dit gaat aanpassen. Toch heeft Green het vertrouwen in het bedrijf opgegeven en laat hij in een blogposting weten dat hij stopt met het gebruik van Chrome. De hoogleraar staat niet alleen in zijn kritiek. Ook beveiligingsexpert en voormalig Google-beveiligingstopman Michal Zalewski haalt uit naar de beslissing. bron: security.nl

Een bug in Twitter heeft ervoor gezorgd dat externe ontwikkelaars mogelijk toegang tot de privéberichten van gebruikers hebben gekregen, zo heeft de microbloggingdienst zelf bekendgemaakt. De bug zat in een programmeerinterface (API) die door externe ontwikkelaars wordt gebruikt voor het ontwikkelen van communicatietools voor bedrijven. Bedrijven kunnen via deze tools met hun klanten op Twitter communiceren. De bug zorgde ervoor dat privéberichten van gebruikers onbedoeld naar een andere ontwikkelaar werden gestuurd. Twitter stelt dat de bug zich alleen in bepaalde gevallen voordeed en van mei 2017 tot 10 september 2018 op het platform aanwezig was. De microbloggingdienst heeft 335 miljoen gebruikers. Minder dan 1 procent is door de bug getroffen. Alle gedupeerde gebruikers zullen door Twitter worden gewaarschuwd via een melding in de app en op Twitter.com. Verder zegt Twitter dat het met externe ontwikkelaars samenwerkt om ervoor te zorgen dat ze onterecht verkregen data verwijderen. bron: security.nl

Het Zero Day Initiative (ZDI), onderdeel van anti-virusbedrijf Trend Micro, heeft voor de tweede keer dit jaar een beveiligingslek in Windows onthuld waar nog geen beveiligingsupdate van Microsoft voor beschikbaar is en waardoor een aanvaller kwaadaardige code op het systeem kan uitvoeren. De kwetsbaarheid bevindt zich in de Microsoft JET Database Engine. Een aanvaller kan het beveiligingslek gebruiken om willekeurige code met de rechten van de ingelogde gebruiker uit te voeren. Hiervoor moet de gebruiker wel eerst een kwaadaardig bestand openen. Het beveiligingslek is bevestigd in Windows 7, maar volgens het ZDI zijn ook andere Windows-versies kwetsbaar. De kwetsbaarheid werd op 8 mei van dit jaar aan Microsoft gerapporteerd. Zes dagen later bevestigde de softwaregigant het probleem. Het ZDI betaalt onderzoekers voor het rapporteren van onbekende kwetsbaarheden. Informatie over deze lekken wordt vervolgens aan de beveiligingsproducten van Trend Micro toegevoegd. Daarnaast wordt de leverancier geïnformeerd, die vervolgens 120 dagen de tijd krijgt om de kwetsbaarheid te verhelpen. Op 11 september liet Microsoft weten dat de update niet op tijd gereed zou zijn. Nu de deadline van 120 dagen is verstreken heeft het ZDI de kwetsbaarheid openbaar gemaakt. Het bedrijf deed dit ook al in juni van dit jaar met een andere kwetsbaarheid in Windows. Google maakte eerder dit jaar een ongepatcht beveiligingslek in Edge openbaar. Het is echter niet alleen Microsoft dat hiermee te maken krijgt. Vorige week overkwam het Apple omdat het niet op tijd met een beveiligingsupdate voor een lek in Safari kwam. bron: security.nl

Adblocker AdGuard heeft van alle gebruikers het wachtwoord gereset nadat het doelwit van een aanval is geworden. De aanvallers probeerden met inloggegevens die bij andere websites zijn gestolen op accounts van AdGuard-gebruikers in te loggen, zo laat het bedrijf op de eigen website weten. Bij "sommige" accounts lukte dit ook omdat deze gebruikers hun wachtwoord hadden hergebruikt. AdGuard zegt dat het niet weet op welke accounts de aanvallers hebben ingelogd, aangezien alle wachtwoorden in de AdGuard-database versleuteld zijn. Daardoor kan het bedrijf naar eigen zeggen niet controleren of wachtwoorden van gebruikers in gelekte databases van andere websites voorkomen. Uit voorzorg is nu besloten om van alle gebruikers het wachtwoord te resetten. Verder is AdGuard van plan om tweefactorauthenticatie te introduceren. De adblocker is op verschillende platformen beschikbaar. De Chrome-versie heeft meer dan 5 miljoen gebruikers en de Android-versie is meer dan 1 miljoen keer geïnstalleerd. bron: security.nl

Aanvallers hebben de afgelopen dagen tal van WordPress-sites gehackt en gebruikt voor het plegen van helpdeskfraude. Daarvoor waarschuwen securitybedrijven Malwarebytes en Sucuri. Volgens Denis Sinegubko van Sucuri is er zelfs sprake van een "massale infectiegolf". Het is echter onduidelijk hoe de aanvallers precies toegang tot de websites weten te krijgen. Jerome Segura van Malwarebytes stelt dat de getroffen WordPress-sites vaak verouderde plug-ins draaien, maar kan geen specifieke kwetsbaarheid noemen waar de aanvallers zich op richten. Securitybedrijf Wordfence meldt echter dat er bij deze aanvallen vaak verouderde versies van de Ultima Member-plug-in worden aangevallen. Zodra de aanvallers toegang tot een WordPress-site krijgen wordt er kwaadaardige code aan de database toegevoegd. Deze code zorgt er onder andere voor dat bezoekers van de websites worden doorgestuurd naar malafide websites. De websites laten weten dat er een probleem met de computer is en het opgegeven telefoonnummer moet worden gebeld. Vervolgens wordt het slachtoffer onder druk gezet om te betalen voor het oplossen van de niet bestaande problemen of wordt er geld van de bankrekening gestolen. De fraudewebsites maken ook gebruik van een probleem in Google Chrome waardoor het mogelijk is om de muiscursor te kapen. Dit wordt gedaan door code die de oorspronkelijke muiscursor in een transparante pixel verandert en vervolgens een afbeelding van een muiscursor ergens anders op de pagina weergeeft. De gebruiker denkt dat deze afbeelding de muiscursor is, terwijl die in werkelijkheid ergens anders op klikt. Hierdoor wordt het lastig om de pagina op de normale wijze te sluiten. Volgens de PublicWWW-zoekmachine zijn inmiddels meer dan 1500 WordPress-sites getroffen, waaronder ook verschillende Nederlandse websites. Afsluitend laat Segura weten dat eigenaren van getroffen websites een grote schoonmaak moeten houden door besmette pagina's, databases en backdoors op te schonen. Ook zullen ze moeten achterhalen hoe de aanvallers de site konden hacken, wat vaak via verouderde WordPress-installaties of plug-ins gebeurt. bron: security.nl

Aanvallers die e-mailaccounts van medewerkers van organisaties hacken gebruiken die vooral voor verdere phishingaanvallen. Dat laat onderzoek van securitybedrijf Barracuda zien. Voor het onderzoek werden 50 willekeurige organisaties gedurende een periode van drie maanden gemonitord. Het onderzoek vond plaats van april tot en met juni dit jaar en richtte zich op bedrijven, onderwijsinstellingen en publieke organisaties. Negentien organisaties lieten in deze periode weten dat er e-mailaccounts bij hen waren overgenomen. In totaal ging het om 60 e-mailaccounts van 50 medewerkers. Sommige accounts werden meerdere keren gekaapt. Het gebruik van gehackte accounts heeft als voordeel voor aanvallers dat filters of andere beveiligingsoplossingen verstuurde berichten niet altijd blokkeren. 47 van de gehackte accounts (78 procent) werden voor verdere phishingaanvallen tegen interne en externe e-mailaccounts gebruikt. Aanvallers gebruikten tien gehackte accounts (17 procent) voor het versturen van spam en via de resterende drie gehackte e-mailaccounts verstuurden de aanvallers kwaadaardige bijlagen naar andere medewerkers. Het onderzoek laat verder zien dat 6 procent van de gecompromitteerde accounts van leidinggevenden was. Het grootste gedeelte was van middel- en lagermanagement. bron: security.nl

De Franse overheid heeft een zelf ontwikkeld beveiligd besturingssysteem open source gemaakt. Het op Linux-gebaseerde Clip OS is ontwikkeld door het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) en maakt het mogelijk om publieke en gevoelige gegevens los van elkaar op dezelfde computer te verwerken. Hiervoor creëert het besturingssysteem twee compleet gescheiden omgevingen. Volgens ANSSI beschikt Clip OS over verschillende beveiligingsmaatregelen waardoor het zeer resistent tegen kwaadaardige code is en gevoelige informatie kan beschermen. Tevens biedt het partitioneringsmechanismen zodat publieke en gevoelige informatie gelijktijdig op dezelfde computer in gescheiden omgevingen kan worden verwerkt. Clip OS kan zowel op "security gateways" als werkstations en laptops worden geïnstalleerd. De website van Clip OS laat weten dat het besturingssysteem veel gemeen heeft met Qubes OS. Dit is ook een beveiligd besturingssysteem dat een "security by isolation" aanpak implementeert, wat het doet door verschillende programma's via virtualisatie van elkaar te scheiden.De manier waarop Clip OS en Qubes OS omgevingen van elkaar isoleren verschilt echter, aldus ANSSI. Ook hebben beheerders binnen Clip OS een andere rol en mogelijkheden dan bij Qubes OS het geval is. Op dit moment is er nog geen kant-en-klare versie van Clip OS voor eindgebruikers beschikbaar. Om ervoor te zorgen dat het besturingssysteem verder kan worden ontwikkeld en er wordt ingespeeld op behoeften van gebruikers is Clip OS open source gemaakt. ANSSI zal daarbij toezien op de ontwikkeling en het project blijven beheren. Het besturingssysteem bevindt zich nog in alfafase. bron: security.nl

Harde schijffabrikant Western Digital heeft een beveiligingslek in de My Cloud-dienst, waarmee gebruikers vanaf het internet bestanden op hun harde schijf thuis kunnen benaderen, al meer dan een jaar laten zitten. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en zonder het opgeven van een wachtwoord als beheerder inloggen. Het beveiligingslek was door twee onderzoekers onafhankelijk van elkaar ontdekt en aan Western Digital gerapporteerd. Onderzoeker Remco Vermeulen van het Nederlandse securitybedrijf Securify waarschuwde de harde schijffabrikant op 10 april 2017. Sindsdien werd er niets meer van Western Digital vernomen. Ook onderzoekers van Exploitee.rs ontdekten de kwetsbaarheid en rapporteerden die aan Western Digital. Tevens maakten ze de kwetsbaarheid vorig jaar juli openbaar tijdens de Def Con-beveiligingsconferentie in Las Vegas. Begin dit jaar lieten de onderzoekers van Exploitee.rs via Twitter weten dat de kwetsbaarheid nog steeds niet was verholpen. Aangezien er nog altijd geen update beschikbaar is besloot ook Vermeulen de details over het beveiligingslek openbaar te maken. Daarop kwam Western Digital met een verklaring dat het binnen een aantal weken met een beveiligingsupdate zal komen. Verder stelt de fabrikant dat een aanvaller al toegang tot het lokale netwerk van de gebruiker moet hebben om de kwetsbaarheid uit buiten of dat de gebruiker de standaardinstellingen heeft aangepast door remote toegang toe te staan. De volgende modellen zijn kwetsbaar: My Cloud EX2, EX4, EX2100, EX4100 en EX2 Ultra, DL2100 en DL4100, PR2100 en PR4100, de My Cloud Mirror en My Cloud Mirror 2e generatie. Wanneer de beveiligingsupdate precies zal verschijnen is nog niet bekend. bron: security.nl

Buiten de gebruikelijke patchcyclus om heeft Adobe gisteren updates uitgebracht die ernstige kwetsbaarheden in Acrobat en Adobe Reader verhelpen. Via de lekken had een aanvaller in het ergste geval een systeem volledig kunnen overnemen als er een kwaadaardig pdf-document werd geopend. In totaal zijn er zeven beveiligingslekken verholpen waardoor het mogelijk was om willekeurige code uit te voeren of informatie te achterhalen. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2018.011.20063, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30102, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30452 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt dat het niet bekend is met exploits die misbruik van de kwetsbaarheden maken. bron: security.nl

Een phishingaanval op een Office 365-account heeft geleid tot ceo-fraude waarbij criminelen probeerden om 3 miljoen euro van een Fins investeringsbedrijf te stelen. Dat laat anti-virusbedrijf F-Secure weten. Een medewerker van het bedrijf ontving een e-mail die van transportbedrijf DHL afkomstig leek. Het ging echter om een phishingmail die naar een phishingsite linkte. Op deze phishingpagina vulde de medewerker de inloggegevens van zijn Office 365-account in. Aangezien er geen tweefactorauthenticatie werd gebruikt konden de criminelen zodoende op het account inloggen. De medewerker in kwestie verstuurde vanuit zijn e-mailaccount e-mails met betaalgegevens voor een transactie. De criminelen monitorden deze berichten en verstuurden twee van deze e-mails opnieuw, alleen dan met een aangepast rekeningnummer. In een meegestuurd Excel-bestand hadden de criminelen het rekeningnummer gewijzigd waar 3 miljoen euro naar toe moest worden overgemaakt, wat ook werd gedaan. Het Fins dat de criminelen in het begeleidende bericht hadden gebruikt was dusdanig slecht dat dit uiteindelijk alarmbellen deed afgegaan. "Het was zeer slecht vertaald", zegt onderzoeker Michael Sandelson. Het investeringsbedrijf wist de transactie op tijd te bevriezen en heeft het bedrag inmiddels terug. Uit een onderzoek dat werd ingesteld bleek dat het account van de medewerker was gehackt. Inmiddels heeft het investeringsbedrijf tweefactorauthenticatie ingeschakeld en wachtwoorden van alle medewerkers gereset. "Het was de cybercriminelen bijna gelukt", voegt Marko Buuri van F-Secure toe. bron: security.nl

Een Windows-bestand op touchscreencomputers kan gevoelige informatie bevatten, zoals de inhoud van e-mails en documenten. Daarvoor waarschuwt forensisch expert Barnaby Skeggs. Het gaat om het bestand WaitList.dat wordt aangemaakt op computers met een touchscreen en waar handschriftherkenning staat ingeschakeld. De feature zorgt ervoor dat tekst op het touchscreen naar tekst wordt omgezet. "Zodra het staat ingeschakeld wordt tekst van elk document en e-mail dat door de Windows Search Indexer service is geïndexeerd in WaitList.dat opgeslagen. Niet alleen de bestanden die via de touchscreen-schrijffeature zijn gebruikt", aldus Skeggs tegenover ZDNet. De expert merkt op dat het niet eens nodig is voor een gebruiker om een ondersteund bestand eerst te openen. Zodra het bestand door de Indexer wordt gevonden en geïndexeerd, verschijnt het in WaitList.dat. In een tweet stelt Skeggs dat penetratietesters hiervan gebruik kunnen maken om in WaitList.dat naar wachtwoorden te zoeken. Ook kan WaitList.dat worden gebruikt om tekst van verwijderde documenten terug te halen. "Naast het bestaan en de inhoud van een document, bewaart WaitList gedurende de tijd ook verschillende indexes van een enkel document. Dit biedt forensisch onderzoekers de mogelijkheid om verschillende versies van een bestand te bekijken, ook als een shadow copy niet staat ingeschakeld of wanneer het bestand van de harde schijf is verwijderd", aldus Skeggs op zijn eigen blog. Om misbruik van het WaitList-bestand te maken moet de gebruiker dit eerst zelf hebben ingeschakeld en moet een aanvaller via malware of op fysieke wijze toegang tot de computer hebben. Microsoft zou de functie vanaf Windows 8 aan het besturingssysteem hebben toegevoegd. In maart van dit jaar gaf Skeggs tijdens een beveiligingsconferentie een prestatie over het Windows-bestand. Eerder publiceerde hij ook twee tools voor het analyseren van WaitList.dat. bron: security.nl

De makers van de populaire software CCleaner hebben automatisch een update onder gebruikers uitgerold die hadden aangegeven geen automatische updates te willen ontvangen. Volgens softwareontwikkelaar Piriform was dit nodig om aan de nieuwe Europese privacywetgeving AVG te voldoen. Door de geforceerde update werden ook de instellingen van gebruikers overschreven en stond het automatisch doorsturen van gebruikersgegevens ingeschakeld. Vanwege de hack van Piriform vorig jaar, waarbij aanvallers toegang tot de ontwikkelomgeving kregen en een backdoor aan het programma toevoegden, werd er door de ontwikkelaars een "emergency updater" aan CCleaner toegevoegd. Deze updater, die het mogelijk maakt om updates te installeren ook al hebben gebruikers ingesteld dat ze dit niet willen, zou alleen in noodgevallen worden gebruikt, zo liet Piriform weten. Nu blijkt dat de functie is ingezet om gebruikers met een verouderde versie naar de nieuwste versie te krijgen. Iets wat werd gedaan om aan de AVG te voldoen, aldus de ontwikkelaar. Dit zorgde voor boze reacties op het forum van Piriform. Niet alleen waren gebruikers niet te spreken over de onaangekondigde update, de nieuwe versie stuurt ook standaard gebruikersgegevens door. Volgens Piriform gaat het om geanonimiseerde, statistische data die voor het verbeteren van de software wordt gebruikt. Gebruikers hebben daarnaast de mogelijkheid om deze optie uit te schakelen. De optie staat echter standaard ingeschakeld, wat volgens sommige gebruikers ook in strijd met de AVG is. CCleaner is software om cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden mee te verwijderen en heeft miljoenen gebruikers. bron: security.nl