Captain Kirk

Microsoft heeft het eenvoudiger gemaakt voor eigenaren van Windows 10 om een virtual machine met Ubuntu te draaien, zo laat de softwaregigant vandaag weten. De Windows 10 Fall Creators Update die eerder dit jaar verscheen voegde een nieuwe feature toe om snel Virtual machines aan te maken. Nu heeft Microsoft besloten om een vm-image van Ubuntu aan de feature toe te voegen. Hiervoor heeft Microsoft met Ubuntu samengewerkt. Via Hyper-V Quick Create zou het aanmaken van een virtual machine en het installeren van het besturingssysteem in enkele minuten gereed moeten zijn. Om van de feature gebruik te kunnen maken moet wel eerst Hyper-V worden ingeschakeld. Hyper-V is de virtualisatiesoftware van Microsoft voor het aanmaken van virtual machines. Volgens Ubuntu blijkt uit onderzoek dat veel mensen het besturingssysteem als virtual machine gebruiken en door het standaard aanbieden van een Ubuntu-image wordt dit eenvoudiger gemaakt. Naast het draaien van Ubuntu in een virtual machine kan ook het Windows Subsystem for Linux (WSL) worden gebruikt. WSL is een Windows 10-feature waarmee het mogelijk is om Linux-commandlinetools direct binnen Windows 10 uit te voeren. Hierdoor is het ook mogelijk om Linux-distributies zoals Kali Linux te draaien, een Linux-distributie die zeer populair onder security professionals is en eerder dit jaar in de Microsoft Store verscheen. bron: security.nl

Adobe komt aanstaande woensdag 19 september met beveiligingsupdates voor ernstige kwetsbaarheden in Adobe Acrobat en Reader, zo heeft het softwarebedrijf aangekondigd. Normaliter waarschuwt Adobe langer van tevoren dat er updates aankomen en verschijnen de beveiligingsupdates meestal op patchdinsdag, gelijktijdig met die van Microsoft. De updates van aanstaande woensdag verhelpen ernstige kwetsbaarheden in Acrobat DC en Acrobat Reader DC, Acrobat 2017 en Acrobat Reader 2017 en Acrobat DC Classic en Acrobat Reader DC Classic voor Mac en Windows. Adobe heeft de kwetsbaarheden een "prioriteit 2" gegeven, wat inhoudt dat er geen exploits bekend zijn en er niet op korte termijn aanvallen worden verdacht die van de kwetsbaarheden misbruik maken. Gebruikers krijgen in dit geval het advies om de updates "snel" te installeren, waarbij als voorbeeld binnen 30 dagen wordt geadviseerd. bron: security.nl

Het beveiligingslek dat de WannaCry-ransomware gebruikte om zich te verspreiden is anderhalf jaar later nog steeds niet overal gepatcht. Dat laat securitybedrijf Cybereason weten aan de hand van een nieuwe uitbraak van de WannaMine-cryptominer die zich op dezelfde manier verspreidt. Deze cryptominer maakt gebruik van de EternalBlue-exploit die de Amerikaanse geheime dienst NSA ontwikkelde. De exploit maakt weer gebruik van een kwetsbaarheid in Windows SMB Server die Microsoft vorig jaar maart patchte. Zodra WannaMine een kwetsbare machine vindt wordt die geïnfecteerd en zal de cryptominer naar andere kwetsbare machines zoeken. Besmette systemen worden vervolgens ingezet voor het delven van de cryptovaluta Monero. Hoewel organisaties zich kunnen beschermen door de beschikbare update te installeren, blijkt dat niet overal te gebeuren. "We blijven organisaties zien die zwaar getroffen worden door aanvallen die op de EternalBlue-exploit zijn gebaseerd", zegt onderzoeker Amit Serper. Hij merkt op dat er geen reden is om de update niet te installeren. "Organisaties moeten patches installeren en hun machines updaten." De WannaMine-cryptominer is al meer dan een jaar actief. Sommige van de ip-adressen die de malware gebruikt werden al meer dan een jaar geleden in beveiligingsrapporten genoemd, maar zijn nog steeds in gebruik. Serper adviseert organisaties dan ook om de ip-adressen in deze analyse te blokkeren. bron: security.nl

Onderzoekers van Google hebben een beveiligingslek in de zakelijke mobiele computers, tablets en pda's van fabrikant Honeywell ontdekt. Het gaat om apparaten die het Android-besturingssysteem draaien. Via de kwetsbaarheid kan een kwaadaardige applicatie zijn rechten verhogen en systeemrechten krijgen. Een aanvaller kan op deze manier toegang tot toetsaanslagen, wachtwoorden, persoonlijke identificeerbare informatie, foto's, e-mails of bedrijfsgevoelige gegevens krijgen, zo waarschuwt het Industrial Control Systems Cyber Emergency Response Team van de Amerikaanse overheid (ICS-CERT). Honeywell heeft inmiddels voor de 17 kwetsbare modellen beveiligingsupdates uitgebracht. Het gaat om de CT60, CN80, CT40, CK75, CN75, CT50, D75e, CN51 en verschillende modellen in de EDA-serie. Gebruikers worden opgeroepen om de update te installeren. bron: security.nl

WordPress-sites met een verouderde versie van de Snap Creek Duplicator-plug-in zijn het doelwit van aanvallen, zo waarschuwt securitybedrijf Sucuri. De verouderde versies laten een aanvaller op afstand willekeurige code uitvoeren. Via de plug-in is het mogelijk om een website van de ene naar de andere locatie te kopiëren of te verplaatsen. Ook fungeert het als een eenvoudige back-uptool. De plug-in is op meer dan 1 miljoen websites actief en is volgens de ontwikkelaars meer dan 10 miljoen keer gedownload. Om de aanval mogelijk te maken zijn er echter wel verschillende vereisten. Zo moet het bestand installer.php door de plug-in zijn gecreëerd en moet dit bestand in de root-map van de website zijn achtergebleven. Tevens moet de gebruikte Duplicator-plug-in ouder zijn dan versie 1.2.42. Deze versie verscheen op 24 augustus en verhelpt het beveiligingslek. Een soortgelijke kwetsbaarheid werd vorig jaar ook al in de plug-in ontdekt. In beide gevallen zorgen de kwetsbaarheden ervoor dat bij het gebruik van de plug-in het kwetsbare bestand installer.php achterblijft op de server. Ook al hebben eigenaren de meest recente versie van de plug-in geïnstalleerd, dan kan het kwetsbare bestand installer.php nog steeds in de root-map van de WordPress-sites aanwezig zijn. Beheerders krijgen dan ook het advies om dit bestand direct te verwijderen. Sucuri ziet naar eigen zeggen een toenemend aantal gevallen waarbij de aanvallers WordPress-sites uitschakelen door het wp-config.php-bestand te verwijderen of te overschrijven. Al deze gevallen hangen samen met de kwetsbare Duplicator-plug-in. Waarom de aanvallers dit doen is onduidelijk, aldus het securitybedrijf. Mogelijk gaat het om een mislukte manier om de website over te nemen. Bij verschillende van de websites werden ook backdoors aangetroffen, maar het is nog onduidelijk of die via de kwetsbaarheid of op een andere manier zijn geïnstalleerd. Voor het herstellen van getroffen WordPress-sites moet er een nieuw wp-config.php-bestand met de juiste database-inloggegevens worden aangemaakt. bron: security.nl

Het gebruik van kwaadaardige macro's in Microsoft Office-documenten om zo malware te verspreiden is aan het toenemen, zo laat Microsoft weten. Lange tijd hadden aanvallers het vooral voorzien op kwetsbaarheden in software, die via exploits werden aangevallen. "Continue verbeteringen in platform- en applicatiebeveiliging hebben voor een afname van software-exploits gezorgd. Aanvallers hebben een alternatieve infectievector in social engineering-aanvallen gevonden die van functionaliteit zoals macro's gebruikmaken", zegt Microsofts Giulia Biagini. Macro's laten gebruikers verschillende veelgebruikte taken automatiseren. Het is echter ook mogelijk om via een macro code op het systeem uit te voeren en bijvoorbeeld malware te downloaden en installeren. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's. Middels social engineering weten aanvallers slachtoffers zover te krijgen dat ze de macro toch uitvoeren en zo hun eigen systemen infecteren. "Macro's zijn ook populair onder aanvallers vanwege de uitgebreide mogelijkheden die Visual Basic for Applications (VBA) biedt en de geprivilegieerde context waarin macro's worden uitgevoerd. Een ander voordeel voor de aanvallers, net als bij andere scriptingtalen, is dat ze de kwaadaardige code via obfuscatie kunnen verbergen", gaat Biagini verder. Ook kan de kwaadaardige code uit de macro worden gehaald en in andere onderdelen van het worden document geplaatst, zoals tekstlabels, formulieren en Excel-cellen. De bevindingen van Microsoft staan niet op zichzelf. Securitybedrijf Cofense liet gisteren weten dat van alle kwaadaardige documenten die het vorige maand ontdekte, in 45 procent van de gevallen macro's werden gebruikt om de ontvanger met malware te infecteren. Deze week kwamen ook securitybedrijven FireEye en Palo Alto Networks met analyses van gerichte aanvallen tegen de mediasector in Japan en een land in het Midden-Oosten waarbij macro-documenten waren ingezet. Het zijn echter niet alleen zogeheten "advanced persistent threats" die macro's inzetten. Vorige maand werd er nog bankmalware ontdekt die zich op deze manier verspreidde. bron: security.nl

Volgende maand verschijnt er een nieuwe versie van Google Chrome die verschillende features introduceert, waaronder het inloggen op websites via een vingerafdruklezer, support van TLS 1.3 en Web Bluetooth op Windows 10. Web Authentication biedt een manier om zonder wachtwoord op websites in te loggen, bijvoorbeeld door gebruik te maken van een usb-beveiligingssleutel of smartphone. De optie werd eerder al ingeschakeld in de desktopversie van Chrome 67, maar zal met de lancering van Chrome 70 ook standaard worden ingeschakeld voor de Android-versie. Ook zal deze versie standaard Touch ID van macOS en de vingerafdruklezer van Android via Web Authentication ondersteunen. Zo kunnen gebruikers via de vingerafdruklezer van hun apparaat op websites inloggen. Verder zal de nieuwe Chrome-versie TLS 1.3 ondersteunen, een nieuwe versie van het TLS-protocol dat websites voor het opzetten van een beveiligde verbinding gebruiken. Deze nieuwe versie verbetert de veiligheid doordat een aantal overbodige en onveilige cryptografische algoritmen zijn verwijderd en zet verbindingen sneller op. Ook versleutelt TLS 1.3 een groter deel van de handshake die bij het opzetten van een beveiligde verbinding plaatsvindt. Met Chrome 70 zal Web Bluetooth ook beschikbaar worden voor gebruikers van Windows 10. Via Web Bluetooth kunnen websites communiceren met bluetooth-apparaten die bij de gebruiker thuis staan. Sinds Chrome 56 is deze optie al beschikbaar voor Android, ChromeOS en macOS. Gebruikers van oudere Windows-versies en Linux moeten nog wachten voordat de optie standaard beschikbaar zal zijn, maar kunnen die wel zelf inschakelen. Chrome 70 verschijnt in de week van 16 oktober. bron: security.nl

Vorig jaar september waarschuwden onderzoekers voor een nieuwe aanval via bluetooth genaamd BlueBorne, maar een jaar later zijn nog altijd 2 miljard apparaten kwetsbaar. Dat stelt securitybedrijf Armis dat BlueBorne ontdekte. Via de aanval is het mogelijk om bluetooth-apparaten in het ergste geval op afstand over te nemen. Alleen het ingeschakeld hebben van bluetooth is voldoende om te worden aangevallen. Verdere interactie van gebruikers, zoals het pairen met het bluetooth-toestel van de aanvaller, is niet vereist. Op het moment dat de aanval naar buiten werd gebracht zouden naar schatting 5,3 miljard toestellen kwetsbaar zijn. Partijen als Microsoft, Google, Linux en Apple kwamen met updates om tegen BlueBorne te beschermen. Toch zijn er nog altijd veel mensen die kwetsbare apparaten gebruiken. Het gaat om 1 miljard Android-apparaten, 768 miljoen Linux-apparaten, 200 miljoen Windows-apparaten en 50 miljoen iOS-apparaten, aldus cijfers van Armis. In het geval van Android en iOS gaat het voornamelijk om apparaten die niet meer worden ondersteund en geen beveiligingsupdates ontvangen. Ook wijst Armis naar ongepatchte of niet te patchen versies van Linux die op allerlei apparaten draaien, van servers en smartwatches tot medische apparatuur en industriële systemen. bron: security.nl

Gebruikers van Google Chrome zijn het doelwit van een nieuwe aanval die door zogeheten helpdeskfraudeurs wordt uitgevoerd en ervoor zorgt dat de muiscursor van de browser wordt gekaapt. Helpdeskfraude kent verschillende vormen. Zo worden mensen thuis gebeld door personen die zich bijvoorbeeld voordoen als medewerkers van Microsoft. Ook maken de oplichters gebruik van kwaadaardige advertenties die melden dat er een probleem met de computer is. Bij deze advertenties is het de bedoeling dat het slachtoffer het opgegeven telefoonnummer belt. De oplichters proberen vervolgens het slachtoffer software te laten installeren waarmee de computer kan worden overgenomen. Vervolgens wordt het slachtoffer onder druk gezet om te betalen voor het oplossen van de niet bestaande problemen of wordt er geld van de bankrekening gestolen. Sommige websites van deze helpdeskfraudeurs maken gebruik van zogeheten browser-lockers. Het gaat dan om code die ervoor zorgt dat de gebruiker de geopende website niet eenvoudig kan sluiten. Dit moet de gebruiker laten denken dat er een echt probleem is zodat hij eerder het opgegeven telefoonnummer belt. Onderzoekers van anti-malwarebedrijf Malwarebytes ontdekten onlangs een nieuwe browser-locker die speciaal voor Google Chrome is ontwikkeld. De pagina die gebruikers waarschuwt dat er iets mis is met hun computer kaapt namelijk de muiscursor. Hierdoor kan de gebruiker de website niet eenvoudig sluiten. Dit wordt gedaan door code die de oorspronkelijke muiscursor in een transparante pixel verandert en vervolgens een afbeelding van een muiscursor ergens anders op de pagina weergeeft. De gebruiker denkt dat deze afbeelding de muiscursor is, terwijl die in werkelijkheid ergens anders op klikt Om gebruikers naar deze malafide websites te krijgen maken de fraudeurs gebruik van advertenties. Verder ontdekten de onderzoekers meer dan 16.000 kwaadaardige domeinen die de fraudeurs bij deze specifieke campagne hebben ingezet. De techniek die de oplichters inzetten is inmiddels bij Google gerapporteerd. Volgens de melding zou het probleem alleen bij Chrome 69 spelen, wat de meest recente versie van de browser is. bron: security.nl

Mozilla gaat de op privacy gerichte mobiele browser Firefox Focus van een eigen engine voorzien. De maatregel moet het mogelijk maken om allerlei nieuwe privacyfeatures in de browser door te voeren. Firefox Focus blokkeert standaard advertenties en trackers en maakt het mogelijk om met een druk op de knop alle gegevens van de browsesessie te wissen. Op dit moment maakt Focus gebruik van de in Android ingebouwde WebView. Via dit onderdeel is het mogelijk voor apps om websites weer te geven. Hoewel WebView op de Chromium-browser is gebaseerd, is het niet bedoeld als basis voor browsers. Zo ondersteunt het slechts een subset van internetstandaarden. Mozilla wil allerlei nieuwe privacyfeatures aan Firefox Focus toevoegen, zoals het effectiever blokkeren van trackers en cryptominers en het tegengaan van fingerprinting. Dit is in WebView niet mogelijk, waarop er nu is besloten om GeckoView te gebruiken. Gecko is de render-engine van Firefox die ook de basis van GeckoView vormt. Volgens Mozilla zorgt GeckoView ervoor dat Firefox Focus websites 20 procent sneller kan laden dan de normale Androidversie van Firefox. De eerste versie van Firefox Focus voor Android met de nieuwe GeckoView-engine zal in de komende weken verschijnen, zo heeft Mozilla aangekondigd. bron: security.nl

Verschillende uitbreidingen voor de populaire mediaspeler Kodi verspreiden malware voor Linux en Windows, zo waarschuwen onderzoekers van anti-virusbedrijf ESET. Nederland is één van de landen waar de meeste infecties zijn aangetroffen. De Kodi-mediaspeler biedt gebruikers de mogelijkheid om allerlei uitbreidingen toe te voegen. Dit kan via een officiële locatie, alsmede repositories van derde partijen. Via twee repositories genaamd Bubbles en Gaia zijn uitbreidingen verspreid die van een cryptominer zijn voorzien en zowel Linux- als Windows-systemen naar de cryptocurrency Monero kunnen laten delven. Inmiddels zijn beide repositories offline. Onderzoekers stellen dat nietsvermoedende slachtoffers de malware nog steeds op hun systeem hebben kunnen draaien. Daarnaast is de malware nog steeds aanwezig in andere repositories en in een aantal Kodi-builds. Op dit moment zouden nog ruim 4700 systemen met de cryptominer zijn besmet, die de criminelen achter de operatie zo'n 5700 euro heeft opgeleverd. De meeste infecties zijn in de Verenigde Staten, Israël, Griekenland, Groot-Brittannië en Nederland waargenomen. Kodi-gebruikers die uitbreidingen van third-party repositories of een "ready-made" Kodi build gebruikmaken krijgen het advies om hun systeem met anti-virussoftware te scannen. ESET heeft zogeheten Indicators of Compromise gepubliceerd waarmee gebruikers ook kunnen kijken of ze de malware hebben binnengehaald. Het gaat onder andere om hashes van de kwaadaardige uitbreidingen. bron: security.nl

Onderzoeker Troy Hunt heeft een dataset met 42 miljoen gestolen e-mailadressen en bijbehorende wachtwoorden ontdekt, waarvan 4 miljoen adressen niet eerder bij een bekend datalek waren betrokken. De dataset was onlangs geüpload naar kayo.moe, een gratis hostingdienst om bestanden uit te wisselen. De beheerder van de hostingdienst besloot Hunt te waarschuwen omdat het om persoonlijke data ging die van een datalek afkomstig leek te zijn. Volgens Hunt is er in het geval van de ontdekte dataset waarschijnlijk sprake van "credential stuffing". Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is mogelijk doordat gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Vaak worden bij credential stuffing gebruikersnamen en wachtwoorden van verschillende datalekken tot één lijst gecombineerd. Hunt is de beheerder van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. De onderzoeker besloot de 42 miljoen e-mailadressen te vergelijken met de e-mailadressen die al eens bij een datalek waren buitgemaakt en in Have I Been Pwned aanwezig zijn. Zo'n 4 miljoen e-mailadressen kwamen niet in de zoekmachine voor. De onderzoeker heeft daarop besloten de gehele dataset toe te voegen. bron: security.nl

In de eerste zes maanden van dit jaar zijn duizenden Belgen het slachtoffer van fraude met internetbankieren geworden en wisten criminelen ruim 3,7 miljoen euro te stelen. Dat meldt Febelfin vandaag, de overkoepelende organisatie van Belgische banken. Als de trend zich doorzet kan 2018 een "recordjaar" worden wat betreft het aantal slachtoffers van en de schade door fraude met internetbankieren. Vorig jaar werden 3200 Belgen slachtoffer. Meer dan 2013, 2014, 2015 en 2016 bij elkaar opgeteld. In de eerste helft van 2018 staat de teller al op 2650 slachtoffers. De schade door fraude met internetbankieren is inmiddels het bedrag van vorig jaar gepasseerd. In 2017 wisten criminelen nog 2,5 miljoen euro van slachtoffers te stelen, dit jaar gaat het al om 3,7 miljoen euro. De grootste schadepost werd in 2013 gemeten, toen er bijna 5,2 miljoen euro werd buitgemaakt. Volgens Febelfin is phishing nog altijd de voornaamste factor. "De voorbije maanden laat zich een verhoogde intensiteit opmerken van phishingaanvallen, en dit gericht naar klanten van meerdere banken. Hierdoor worden de mailboxen van consumenten vaak dagelijks overspoeld door phishingberichten", aldus de organisatie. Febelfin stelt verder dat door de toenemende professionalisering van zowel de phishingberichten als de onderliggende phishingsites het steeds lastiger wordt voor mensen om phishing te herkennen. bron: security.nl

Versleutelde computers en laptops in de slaapstand zijn kwetsbaar voor een nieuwe aanval waarbij een aanvaller met fysieke toegang encryptiesleutels en andere gevoelige informatie kan bemachtigen, zo waarschuwen onderzoekers van anti-virusbedrijf F-Secure. Zogeheten cold boot-aanvallen bestaan al sinds 2008. Destijds ontdekten onderzoekers dat encryptiesleutels in het geheugen van de computer worden opgeslagen en niet meteen hieruit verdwijnen als het systeem niet op een juiste wordt uitgeschakeld en weer wordt ingeschakeld. Door de geheugenchips met stikstof te besproeien blijft de informatie lang genoeg aanwezig om te kunnen achterhalen. Hierop kwamen organisaties en fabrikanten met verschillende tegenmaatregelen. Eén van de maatregelen van de Trusted Computing Group (TCG) was het overschrijven van de inhoud van het werkgeheugen wanneer de computer weer werd ingeschakeld. Onderzoekers van F-Secure ontdekten een manier om deze feature uit te schakelen, zodat de inhoud niet wordt overschreven. De instelling bevindt zich in een niet-vluchtige geheugenchip. De onderzoekers kunnen deze chip via een eenvoudige tool herprogrammeren en zo de overschrijffeature uitschakelen. Vervolgens kan er vanaf een extern apparaat worden opgestart en is een cold boot-aanval toch weer mogelijk. De aanval zou tegen bijna alle moderne laptops werken en er is geen eenvoudige oplossing beschikbaar. De onderzoekers hebben hun bevindingen inmiddels met Microsoft, Intel en Apple gedeeld. De techbedrijven zouden naar oplossingen kijken. Gebruikers krijgen van de onderzoekers het advies om hun computers volledig uit te schakelen of voor hibernate te kiezen. Verder moeten organisatie hun gebruikers verplichten om hun Bitlocker-pincode in te voeren wanneer ze het systeem weer inschakelen. Een aanvaller kan nog steeds een cold boot-aanval tegen dergelijke machines uitvoeren, maar de encryptiesleutels bevinden zich niet in het geheugen wanneer een machine is uitgeschakeld of hibernate. Zodoende kan een aanvaller geen waardevolle informatie stelen, aldus de onderzoekers. Verder zouden Macs met een Apple T2-chip tegen de aanval beschermd zijn. Apple geeft daarnaast het advies om een firmware-wachtwoord in te stellen voor Macs zonder deze chip. bron: security.nl

De volgende versie van Chrome zal het www-subdomein niet meer in de adresbalk laten zien, zo heeft Google bekendgemaakt. De internetgigant besloot met de lancering van Chrome 69 "triviale subdomeinen" zoals "www" en "m" niet meer weer te geven. De browser liet in het geval van www.example.com en m.example.com alleen nog maar example.com zien. Volgens tegenstanders was de maatregel een beveiligingsrisico en zou het aanvallers kunnen helpen. Daarnaast waren er allerlei praktische bezwaren. Google kreeg dan ook een golf van kritiek te verduren, waarop het bedrijf de maatregel besloot terug te draaien. Subdomeinen worden nu weer normaal in de adresbalk weergegeven. Met de lancering van Chrome 70 zal de browser het www-subdomein opnieuw verbergen. Voor het m-subdomein is een uitzondering gemaakt, zo laat Googles Emily Schechter weten. Dit subdomein wordt vaak voor mobiele websites gebruikt. De internegigant hoopt hiermee een discussie te starten over hoe er met dergelijke subdomeinen moet worden omgegaan. Het bedrijf zou daarbij niet van plan zijn om een standaard op te stellen die andere ontwikkelaars moeten volgen. "We zijn niet van plan om te standaardiseren hoe browsers deze speciale gevallen in hun gebruikersinterface moeten behandelen", zegt Schechter. Ze merkt op dat Google op een later moment naar het m-subdomein zal kijken, als er een gelegenheid is geweest om dit verder met de community te bespreken. Chrome 70 staat gepland voor de week van 16 oktober. bron: security.nl

Intel heeft gisteren een beveiligingsupdate uitgebracht voor een kwetsbaarheid in de Management Engine (ME)-firmware waardoor het mogelijk was om encryptiesleutels van de ME te achterhalen. De Intel ME is een microcontroller die geïntegreerd is in de Platform Controller Hub (PCH). Doordat bijna alle communicatie via de processor en externe apparaten via de PCH verloopt, heeft de Intel ME toegang tot bijna alle data op de computer, zoals het netwerk, het besturingssysteem, het geheugen en de cryptografische engine. De Intel ME slaat gegevens op met behulp van het ME File System (MFS). De beveiligingsmechanismes van het MFS maken gebruik van vier soorten encryptiesleutels die voor verschillende zaken worden gebruikt. Het gaat om twee encryptiesleutels van Intel en twee sleutels die niet van Intel zijn. Onderzoekers van securitybedrijf Positive Technologies vonden vorig jaar een kwetsbaarheid waardoor het mogelijk was om alle vier de encryptiesleutels te achterhalen en de MFS-beveiligingsmechanismes te compromitteren. Intel kwam vervolgens met een update. Ondanks de patch ontdekten de onderzoekers een nieuwe kwetsbaarheid waardoor de twee encryptiesleutels die niet van Intel zijn, alsnog zijn te achterhalen. Deze sleutels worden gebruikt voor het versleutelen van het Intel Active Management Technology (AMT) wachtwoord. Ook kan een aanvaller via de sleutels bestanden toevoegen, verwijderen en de beveiligingsattributen van bestanden aanpassen. Door de kwetsbaarheden van vorig jaar en dit jaar te combineren is het mogelijk om zeer gevoelige informatie te achterhalen, zo waarschuwen de onderzoekers van Positive Technologies. De kwetsbaarheid bevond zich in de Intel CSME, Intel Server Platform Services en Intel Trusted Execution Engine Firmware. Volgens Intel kon een aanvaller met fysieke toegang via het lek informatie achterhalen of zijn rechten verhogen. bron: security.nl

Microsoft heeft een nieuwe testversie van Windows 10 uitgebracht die de installatie van Google Chrome en Mozilla Firefox blijkt te onderbreken. Zodra gebruikers deze browsers willen installeren verschijnt er een scherm dat de installatie onderbreekt en stelt dat Microsoft Edge al is geïnstalleerd. Volgens Microsoft is Edge de "veiligere, snellere browser voor Windows 10". Gebruikers hebben vervolgens de optie om Edge te openen of door te gaan met de installatie van de andere browser. Daarnaast hebben gebruikers de optie om dergelijke toekomstige waarschuwingen via het instellingenmenu uit te schakelen. Het scherm is ontdekt in een Preview van Windows 10 versie 1809, zo meldt de website Ghacks. Het is nog onduidelijk of de maatregel wordt doorgevoerd in de Windows 10 October 2018 Update die voor volgende maand gepland staat. Microsoft Edge heeft op de desktop volgens StatCounter een marktaandeel van 4,2 procent, nagenoeg hetzelfde percentage waar onderzoeksbureau Net Applications op uitkomt. In Nederland zou 8 procent van de desktopgebruikers met Edge browsen. Microsoft stelt dat Edge de "veiligere browser" voor Windows 10 is. Vorig jaar oktober verscheen er een testrapport waaruit bleek dat Microsofts browser meer phishing en malware blokkeert dan Chrome en Firefox. Een maand eerder liet een ander rapport echter weten dat Chrome veiliger is dan Edge. bron: security.nl

Softwarebedrijf Veeam, dat back-up- en datarecovery-oplossingen biedt, heeft door een onbeveiligde MongoDB-database meer dan 200 gigabyte aan klantgegevens gelekt. Dat ontdekte onderzoeker Bob Diachenko. Via de zoekmachine Shodan ontdekte Diachenko de database van het bedrijf. Deze database was op 31 augustus door de zoekmachine geïndexeerd en bleek onbeveiligd te zijn. Iedereen kon daardoor zonder wachtwoord toegang tot de inhoud krijgen. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. De database van Veeam bleek meer dan 200 gigabyte groot te zijn en bevatte klantgegevens die van 2013 tot 2017 waren verzameld. In totaal ging het om meer dan 445 miljoen records, waaronder voor- en achternaam, e-mailadressen en soort organisatie van klanten. Diachenko vond de database op 5 september en probeerde Veeam vervolgens te waarschuwen, wat de eerste keren onsuccesvol was, aldus de onderzoeker. Op 9 september werd de database stilletjes beveiligd, zo laat Diachenko weten. bron: security.nl

Het op privacy gerichte besturingssysteem Tails wil via een nieuwe campagne een groter publiek bereiken. Zo moet het duidelijker voor internetgebruikers worden wat Tails is en hoe het werkt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat allerlei tools bevat om anoniem mee te internetten. Het is vanaf een dvd of usb-stick te gebruiken en wordt door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden aangeraden. Dagelijks wordt Tails zo'n 22.000 keer opgestart, wat ongeveer overeenkomt met het aantal gebruikers. Tails heeft het normaal niet over het aantal gebruikers, maar in februari 2015 meldde één van de ontwikkelaars dat Tails zo'n 10.000 gebruikers heeft. Dat aantal kwam min of meer overeen met het dagelijkse aantal "boots" van die periode. Om het aantal gebruikers te vergroten is het Tails-project een samenwerkingsverband met Simply Secure aangegaan. Zo zullen er nieuwe concepten en richtlijnen worden ontwikkeld die aan nieuwe gebruikers uitleggen wat Tails is en ervoor zorgen dat gebruikers eenvoudiger met het besturingssysteem kunnen starten. Het gaat dan zowel om aanpassingen aan de website en gebruikersinterface alsmede het schetsen van een beeld van personen die met Tails werken. Hiervoor zijn verschillende "personas" gecreëerd, die vorige maand zijn gepresenteerd. Het gaat bijvoorbeeld om Riou "The censorship evader", Cris "The information gatherer", Kim "The Surveilled at home" en Dery "The privacy advocate". Via een achtergrondverhaal wordt vervolgens uitgelegd waarom deze personen via Tails het internet opgaan. Het Tails-project heeft besloten om de aandacht te richten op het persona Riou, een Vietnamese student die opkomt voor burgerrechten en de censuur in zijn land probeert te omzeilen. Iets waar het gebruik van Tails bij kan helpen. Het Tails-project zal later meer informatie over de campagne geven. bron: security.nl

Programmeurs die meewerken aan de projecten van Mozilla op het ontwikkelaarsplatform GitHub moeten verplicht tweefactorauthenticatie instellen, zo laat de opensource-ontwikkelaar weten. De maatregel is onderdeel van een reeks 'best practices' die worden genomen om de GitHub-omgeving van Mozilla te beschermen. GitHub is een populair platform voor allerlei softwareprojecten en wordt door tal van partijen als alternatieve methode gebruikt om toegang tot broncode te geven. Mozilla maakt gebruik van de eigen infrastructuur voor een groot deel van de Firefox-code, maar veel projecten bestaan alleen op GitHub. Een aanvaller die toegang tot een GitHub-account krijgt kan, afhankelijk van de rechten van dit account, kwaadaardige code aan een softwareproject toevoegen. Onlangs was dit het geval bij Gentoo Linux. De pagina van de Linuxdistributie kon worden gehackt omdat één van de beheerders een voorspelbaar wachtwoordschema gebruikte. De aanvaller had een wachtwoord van de beheerder op een andere website buitgemaakt. Aan de hand van dit wachtwoord kon hij het GitHub-wachtwoord van de beheerder afleiden. Vervolgens plaatste de aanvaller kwaadaardige code op de GitHub-pagina van Gentoo Linux. Mozilla heeft daarom een aantal best practices opgesteld om dergelijke incidenten te voorkomen. Zo wordt het gebruik van tweefactorauthencatie voor alle GitHub-accounts verplicht. Ook moeten alle gebruikers, en op z'n minst personen met verhoogde rechten, over contactmethodes beschikken en begrijpen dat ze het moeten laten weten wanneer hun account is gecompromitteerd. Verder doet Mozilla verschillende aanbevelingen voor het inrichten van GitHub-respositories en workflows. Zo wordt aangeraden om alle commits via GPG te signeren middels sleutels die van tevoren bekend zijn gemaakt. Mozilla zegt dat het bezig is om de eigen aanbevelingen onder de ontwikkelteams uit te rollen en al doende aan het leren is. bron: security.nl

Beheerders van WordPress-websites zijn het doelwit van een phishingaanval waarbij wordt geprobeerd om de inloggegevens van de website te stelen. De aanval begint met een e-mail die stelt dat de WordPress-database van de website is verouderd en moet worden geüpgraded. De knop in de e-mail om WordPress te "upgraden" wijst naar een phishingpagina. Deze pagina wordt op een gehackte website gehost, zo meldt securitybedrijf Sucuri. Zodra gebruikers hun inloggegevens hebben ingevoerd vraagt de phishingpagina om het adres en de gebruikersnaam van de WordPress-website. Via de verkregen gegevens kan een aanvaller een backdoor aan de website toevoegen, de website defacen of de website gebruiken om malware te verspreiden, aldus het beveiligingsbedrijf. Gebruikers krijgen dan ook het advies om geen e-mails te vertrouwen waarin wordt opgeroepen om een actie uit te voeren. Ook moeten gebruikers de url van de website in kwestie controleren. bron: security.nl

Microsoft heeft tijdens de patchdinsdag van september een actief aangevallen kwetsbaarheid in Windows gepatcht, alsmede 61 andere beveiligingslekken. Eind augustus maakte een onderzoeker een nieuw beveiligingslek in Windows bekend zonder eerst Microsoft te informeren. Via de kwetsbaarheid kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen tot systeemrechten. Een aantal dagen nadat het beveiligingslek openbaar werd gemaakt verscheen er malware die er misbruik van maakte. Naast deze kwetsbaarheid heeft Microsoft ook drie beveiligingslekken verholpen waarvan de details al voor het verschijnen van de patch openbaar waren. Er zijn echter geen aanvallen waargenomen waarbij er misbruik van is gemaakt, aldus Microsoft. Het gaat om kwetsbaarheden in System.IO.Pipelines, de scripting engine van Internet Explorer en Edge en een ernstig lek in Windows. Deze laatste kwetsbaarheid laat een aanvaller willekeurige code op het systeem uitvoeren als de gebruiker een malafide afbeelding opent. De overige 58 beveiligingslekken bevonden zich in Internet Explorer, Microsoft Edge, Windows, Microsoft Office, ChakraCore, .NET Framework, Microsoft.Data.OData en ASP.NET. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Ikzelf heb een Asustablet liggen met Windows 10. Ook daar vreet Windows de ruimte compleet op. De boosdoener is het WinSxs-bestand. Dit is een veel genoemd probleem op internet. Het nadeel is dat je daar beter niet in kan gaan rommelen omdat je anders je hele systeem om zeep help. Ik zat eerste met met hetzelfde probleem. Op de een of andere manier heeft WIndoiws toen spontaan zelf iets geschoond. Maar dat bleek nog steeds niet genoeg voor de grote update. Gevolg dat nu bepaalde aps niet bijgewerkt kunnen worden en dus niet meer te gebruiken zijn. Wat oa @Porrelaar al zegt, eigenlijk zijjn tablets of mini-pc's met 32g niet geschikt voor Windows. Voor mij h=geen Windows meer op een 32g-systeem

De Zwitserse aanbieder van versleutelde e-mail ProtonMail heeft vandaag een nieuwe feature geïntroduceerd waarmee gebruikers eenvoudig phishingmails kunnen rapporteren. De maatregel moet helpen bij het beschermen van gebruikers, aldus de e-maildienst. Volgens ProtonMail behoort phishing tot één van de meest effectieve online aanvallen. Wanneer gebruikers via de "Report Phishing" optie een phishingmail rapporteren, zal het securityteam van ProtonMail het bericht analyseren. Op deze manier kunnen de filters voor alle ProtonMail-gebruikers worden aangepast. De optie om phishingmails aan te geven is zowel beschikbaar in de web als mobiele versie van de e-maildienst. ProtonMail, ontwikkeld met hulp van wetenschappers van Harvard, het Massachusetts Institute of Technology en het Europese onderzoekslaboratorium CERN, heeft naar eigen zeggen 5 miljoen gebruikers. De e-maildienst biedt zowel gratis als betaalde e-mailaccounts. bron: security.nl

Anti-virusbedrijf Avast brengt begin volgend jaar een nieuwe virusscanner uit, maar die zal niet op Windows XP en Windows Vista werken. Avast Antivirus client versie 19 vereist minimaal Windows 7 of nieuwer, zo laat de virusbestrijder vandaag in een bericht aan bedrijven weten. In juli van dit jaar werden thuisgebruikers al gewaarschuwd voor het einde van de ondersteuning van de oude Windows-versies. Bedrijven en thuisgebruikers die nog met Windows XP of Vista werken kunnen echter van versie 18 gebruik blijven maken. Deze versie blijft namelijk virusdefinities ontvangen voor het detecteren van malware. Upgrades en updates van de software zullen echter niet meer worden aangeboden. Voor gebruikers van Windows XP en Vista blijft het daarnaast mogelijk om het installatieprogramma van Avast versie 18 te downloaden. bron: security.nl