Captain Kirk

Een ernstig beveiligingslek in Tor Browser 7 maakt het mogelijk om JavaScript uit te voeren, ook als gebruikers hebben ingesteld dat alle JavaScript-code moet worden geblokkeerd. Dat laat het bedrijf Zerodium op Twitter weten. Zerodium is een bedrijf dat onderzoekers betaalt voor zeroday-lekken. Deze zeroday-lekken worden niet aan de softwareontwikkelaar gemeld, maar gedeeld met een "beperkt aantal" bedrijven en overheden, zo laat het bedrijf op de eigen website weten. In september loofde Zerodium 1 miljoen dollar uit voor onbekende kwetsbaarheden in Tor Browser waardoor de systemen van gebruikers konden worden overgenomen. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. Het gaat onder andere om activisten en journalisten in totalitaire regimes, alsmede mensen in landen waar censuur heerst. Om gebruikers tegen aanvallen te beschermen biedt Tor Browser allerlei extra beschermingsmaatregelen. Zo is standaard de Firefox-extensie NoScript toegevoegd die het uitvoeren van JavaScript blokkeert. Bij veel aanvallen tegen browsers is het nodig om JavaScript uit te voeren. Door een kwetsbaarheid in Tor Browser 7 is het echter mogelijk om deze maatregel te omzeilen en toch JavaScript uit te voeren. Dit lek zou in combinatie met een andere aanval of kwetsbaarheid kunnen worden gebruikt. Alleen op zichzelf is de kwetsbaarheid niet voldoende om het systeem van een Tor Browser-gebruiker over te nemen. Vorige week lanceerde het Tor Project een nieuwe versie van Tor Browser. Deze versie, Tor Browser 8, is niet kwetsbaar, aldus Zerodium. bron: security.nl

Softwarebedrijf Adobe zal binnenkort een opensourcetool lanceren waarmee organisaties kunnen voorkomen dat hun subdomeinen worden gekaapt. Voor veel clouddiensten wordt er gebruik gemaakt van dns-records, zo laat Adobe weten. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Organisaties maken bijvoorbeeld een subdomein aan en laten dat naar een clouddienst of domein wijzen. Het kan echter voorkomen dat de dienst of het ingestelde domein niet meer in gebruik is of verloopt, maar dat het dns-record nog steeds een verwijzing hiernaar heeft. Een aanvaller die vervolgens het domein opnieuw kan registreren kan hier misbruik van maken, aangezien het subdomein van de organisatie naar hetzelfde domein wijst, dat nu alleen in handen van een aanvaller is. Om dergelijke scenario's te voorkomen startte Adobe "Project Hijack". Het softwarebedrijf kijkt continu naar verlopen domeinen en probeert zo de overname van subdomeinen te voorkomen. Als onderdeel van dit project werd een tool ontwikkeld genaamd "Jaeger". Deze in Python geschreven tool kan herkenningspatronen toepassen en biedt een zogeheten "watchdog proces". De tool enumereert domeinen en subdomeinen van de organisatie en beoordeelt de dns-records van de domeinen. Ook worden referenties naar clouddiensten gecontroleerd en biedt de tool een proces om niet meer gebruikte dns-records op te schonen. Zodra er een kwetsbaar domein of subdomein is gevonden kan de dns-vermelding van het domein worden aangepast of verwijderd, om zo misbruik tegen te gaan. Wanneer Jaeger precies zal verschijnen heeft Adobe nog niet bekendgemaakt. bron: security.nl

Google is onder vuur komen te liggen omdat het in Chrome 69 "triviale subdomeinen" zoals www niet meer in de adresbalk weergeeft. Niet alleen zorgt de maatregel in bepaalde gevallen voor problemen, het wordt door tegenstanders ook een beveiligingsrisico genoemd. Verschillende veelgebruikte subdomeinen zoals "m" en "www" worden in Chrome 69 verborgen. De browser laat in het geval van www.example.com en m.example.com alleen example.com zien. Het kan echter zijn dat www.example.com en m.example.com naar verschillende pagina's wijzen. Tegenstanders waarschuwen dat het voor een aanvaller veel eenvoudiger wordt om zich als het hoofddomein voor te doen. Google is dan ook gevraagd om de maatregel terug te draaien, maar heeft nog niet laten weten of het dit ook zal doen. Chrome-gebruikers die hierop niet willen wachten kunnen in de adresbalk "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains" invoeren en vervolgens voor de optie "Disabled" kiezen. bron: security.nl

De browser-extensie van het versleutelde berichtenplatform Keybase kan de inhoud van berichten lekken die eigenlijk end-to-end-versleuteld zouden moeten zijn, zo waarschuwt beveiligingsonderzoeker Wladimir Palant, tevens de ontwikkelaar van de populaire adblocker Adblock Plus. Keybase omschrijft zichzelf als een berichtenplatform dat gebruikers versleutelde berichten op socialmediaplatformen zoals Facebook en Twitter laat versturen. De berichten worden end-to-end versleuteld op het systeem van de gebruiker, zodat alleen de afzender en ontvanger die kunnen lezen. Naast een applicatie voor de desktop en mobiele platformen biedt Keybase ook een browser-extensie voor Chrome en Firefox. Gebruikers van de desktopapplicatie kunnen deze Keybase-extensie installeren. Deze extensie voegt een "Keybase Chat" knop toe aan de profielen van mensen op Facebook, Twitter, GitHub, Reddit of Hacker News. Op deze manier kunnen mensen eenvoudig contact met elkaar maken. Zodra de gebruiker de knop aanklikt verschijnt er een chatvenster en kan de gebruiker een bericht direct in de browser invoeren. Na dit eerste bericht wordt het gesprek via de Keybase-applicatie voortgezet. Palant ontdekte echter een probleem met de browser-extensie. Die blijkt de gebruikersinterface (de chatknop en het chatvenster) in de betreffende website te injecteren. De interface wordt echter niet gescheiden van de website. Als gebruikers bijvoorbeeld een Keybase-bericht op Facebook intikken, is het niet privé. De JavaScript-code op Facebook kan het bericht nog steeds lezen als de gebruiker het intikt. Keybase laat gebruikers van de extensie echter weten dat niemand de inhoud van berichten kan lezen. Niet alleen kan een website de inhoud van een bericht lezen, het kan ook de Keybase-gebruikersinterface berichten in naam van de gebruiker laten versturen, zonder dat de gebruiker dit ziet. Palant waarschuwde Keybase, maar kreeg te horen dat dit probleem op de pagina van de extensie wordt uitgelegd. Daar staat dat als de browser of JavaScript-code van een sociaal netwerk is gecompromitteerd, gebruikers berichten direct in de Keybase-applicatie moeten intikken, of alleen een kort bericht moeten versturen om binnen de applicatie verder te gaan. Volgens Palant is deze uitleg verwarrend. Daarnaast is het probleem eenvoudig te verhelpen. Keybase liet in een reactie echter weten dat het voor hen een zeer kleine feature betreft en dat het probleem niet de moeite waard is om te verhelpen. Gebruikers krijgen van Palant dan ook het advies om de Keybase-extensie zo snel als mogelijk te verwijderen. bron: security.nl

Microsoft gaat de support van bepaalde feature-updates voor Windows 10 Enterprise en Windows 10 Education verlengen van 18 maanden naar 30 maanden. Dit moet bedrijven, organisaties en onderwijsinstellingen meer tijd geven om een nieuwe feature-update te testen. Twee keer per jaar, in maart en september, brengt Microsoft zogeheten feature-updates uit. Het gaat dan bijvoorbeeld om de Creators Update of de Anniversary Update die allerlei nieuwe features toevoegen. Een Windows 10-systeem met bijvoorbeeld de Creators Update wordt normaliter 18 maanden door Microsoft ondersteund. Gebruikers die na deze periode nog beveiligingsupdates willen ontvangen moeten een nieuwere feature-update installeren. Voor Windows 10 Enterprise en Windows 10 Education komt Microsoft nu met een aangepast schema voor zowel eerder verschenen als toekomstige feature-updates. De Anniversary Update, Creators Update, Fall Creators Update en April 2018 Update en alle toekomstige feature-updates die in september verschijnen zullen voortaan 30 maanden worden ondersteund. Toekomstige features die in maart verschijnen zullen echter de gebruikelijke 18 maanden op ondersteuning kunnen rekenen. "Dit geeft klanten met een langere uitrolfase de tijd die ze nodig hebben om te plannen, testen en uit te rollen", aldus Microsofts Jared Spataro. Voor gebruikers van Windows 10 Home en Windows 10 Pro verandert er niets en blijft de supportperiode gewoon 18 maanden. bron: security.nl

Microsoft heeft een zeer gerichte aanval met macro-documenten ontdekt waarbij eindgebruikers en kleine bedrijven in bepaalde Amerikaanse steden het doelwit waren. Volgens de softwaregigant ging het om een zeer gelokaliseerde aanval die probeerde om informatie van minder dan 200 doelwitten te stelen. De slachtoffers kregen e-mails die zogenaamd van bedrijven afkomstig leken. De e-mails waren voorzien van een document dat een kwaadaardige macro bevatte. Wanneer gebruikers deze macro inschakelden werd de Ursnif-malware geïnstalleerd. Deze malware is ontwikkeld om allerlei informatie van het systeem te stelen. Het gaat dan om wachtwoorden, private keys, cookies en certificaten. Ook kan de malware screenshots maken, een sock-proxy starten en aanvullende malware installeren. In totaal werden bij de aanvallen 21 unieke documenten gebruikt, die naar slachtoffers in een bepaald geografisch gebied werden gestuurd. "Het doel is dat de ontvangers documenten ontvangen die van lokale, bekende bedrijven of leveranciers afkomstig lijken. Het is onderdeel van het social engineering-plan om de kans te vergroten dat de ontvanger denkt dat het om een legitiem document gaat en toe hapt, terwijl het in werkelijkheid een kwaadaardig document is", aldus Microsoft. bron: security.nl

Mac- en Windows-gebruikers in Azië, het Midden-Oosten en Zuid-Europa zijn het doelwit van malafide advertenties geworden die ransomware en nep-virusscanners probeerden te installeren. Aan de hand van hun browserprofiel werden gebruikers door de advertenties naar een kwaadaardige pagina doorgestuurd. Afhankelijk van het browserprofiel en gebruikte besturingssysteem kon het gaan om een pagina met de Fallout-exploitkit. De exploitkit maakt gebruik van een kwetsbaarheid in de Windows VBScript Engine die op 8 mei van dit jaar door Microsoft werd gepatcht. Wanneer gebruikers de beschikbare beveiligingsupdate niet hebben geïnstalleerd kan de exploitkit de GandCrab-ransomware op het systeem installeren. Deze ransomware versleutelt bestanden en vraagt een bepaald bedrag voor het ontsleutelen ervan. In andere gevallen werden gebruikers afhankelijk van hun browserprofiel naar een pagina doorgestuurd die via social engineering malware op het systeem probeerde te installeren. Volledig gepatchte Mac-gebruikers kregen bijvoorbeeld pagina's te zien die een nep-virusscanner of zogenaamde Flash Player aanboden. In deze gevallen is er medewerking van het slachtoffer vereist om de malafide software geïnstalleerd te krijgen. De malafide advertenties werden door securitybedrijf FireEye ontdekt. Het bedrijf stelt dat het gebruik van exploitkits de afgelopen jaren is afgenomen, maar dat exploitkits nog steeds een grote dreiging zijn voor gebruikers die niet up-to-date zijn met hun beveiligingsupdates. Exploitkits zouden met name in Azië worden ingezet, waar gebruikers vaker nog kwetsbare software draaien. In bijvoorbeeld Noord-Amerika wordt er juist meer van social engineering gebruikgemaakt. bron: security.nl

Op 14 januari 2020 stopt Microsoft de ondersteuning van Windows 7 en zal het besturingssysteem geen beveiligingsupdates meer ontvangen. Organisaties die niet in staat zijn om voor deze datum op een nog wel ondersteund besturingssysteem over te stappen kunnen een verlengd onderhoudscontract afsluiten. Microsoft zal Windows 7 namelijk tot januari 2023 van betaalde beveiligingsupdates blijven voorzien. De zogeheten Windows 7 Extended Security Updates (ESU) worden per apparaat aangeboden en zullen elk jaar in prijs toenemen. De Extended Security Updates zijn beschikbaar voor Windows 7 Professional- en Windows 7 Enterprise-klanten in Volume Licensing. Verder zal Office 365 ProPlus op apparaten met actieve Windows 7 Extended Security Updates tot januari 2023 worden ondersteund. Klanten die de betaalde updates aanschaffen kunnen zo van de kantoorsoftware gebruik blijven maken. Volgens StatCouter heeft Windows 7 onder Windows-gebruikers wereldwijd nog een marktaandeel van bijna 39 procent, terwijl Net Applications het op 42 procent houdt. In Nederland draait Windows 7 nog op een kwart van de Windows-computers. Ook met Windows XP bood Microsoft een verlengd onderhoudscontract aan. Zo werd in 2014 bekend dat de Rijksoverheid hiervoor 4,7 miljoen euro had betaald. De Amerikaanse marine zag zich genoodzaakt om een onderhoudscontract van 9,1 miljoen dollar af te sluiten omdat er niet op tijd naar een ondersteund besturingssysteem kon worden overgestapt. bron: security.nl

Met de lancering van Firefox ESR 60 afgelopen dinsdag is Mozilla gestopt met het ondersteunen van Windows XP en Vista, wat gevolgen voor zo'n 2,5 miljoen gebruikers zal hebben. Firefox-gebruikers op beide Windows-versies zullen geen beveiligingsupdates meer voor de browser ontvangen. Het 17 jaar oude Windows XP ontvangt zelf al sinds 2014 geen updates meer van Microsoft. Volgens Mozillas Chris Hutten-Czapski heeft de maatregel naar schatting gevolgen voor 2 procent van alle Firefox-gebruikers. Dat zou nog altijd om zo'n 2,5 miljoen mensen gaan. De ondersteuning van Windows XP kostte de nodige middelen van de browserontwikkelaar, die niet voor andere zaken konden worden ingezet. Eerder stopte Google al de ondersteuning van Chrome op Windows XP en Vista. Van de grote browsers ondersteunt alleen Opera nog beide Windows-versies. Hutten-Czapski adviseert gebruikers om naar een wel ondersteund besturingssysteem te upgraden. bron: security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen die voor het eerst de encryptiesoftware VeraCrypt integreert. VeraCrypt is een programma voor het versleutelen van systemen en bestanden. Tails heeft nu ondersteuning voor VeraCrypt in het besturingssysteem ingebouwd, zodat gebruikers eenvoudig hun met VeraCrypt versleutelde schijven en containers kunnen ontsleutelen. Het ontwikkelteam van Tails liet recentelijk nog weten dat het ook mogelijk zou zijn om met TrueCrypt versleutelde schijven en containers te ontgrendelen, maar daar wordt in de release notes van Tails 3.9 geen melding van gemaakt. TrueCrypt was een zeer populair encryptieprogramma totdat de ondersteuning in 2014 werd gestopt. VeraCrypt is op TrueCrypt gebaseerd. Verder biedt Tails 3.9 de mogelijkheid om automatisch aanvullende software te installeren als het besturingssysteem wordt gestart. Het gaat dan om aanvullende Debian packages van Tails, zoals bijvoorbeeld de populaire mediaspeler VLC Media Player. Het ontwikkelteam laat weten dat de via Tails aangeboden packages zorgvuldig op veiligheid zijn getest. Wel worden gebruikers gewaarschuwd dat het installeren van aanvullende software de veiligheid van Tails kan ondermijnen. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat allerlei tools bevat om anoniem mee te internetten. Het is vanaf een dvd of usb-stick te gebruiken en wordt door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden aangeraden. Dagelijks maken zo'n 22.000 mensen gebruik van Tails. bron: security.nl

Een tien jaar oud beveiligingslek in Internet Explorer wordt nog steeds door cybercriminelen gebruikt om computers met malware te infecteren. Dat laten cijfers van securitybedrijf Palo Alto Networks zien. De it-beveiliger maakte een overzicht van meest aangevallen kwetsbaarheden in het tweede kwartaal. Het gaat dan om websites die de kwetsbaarheden via een exploit aanvallen. Er werden 472 websites ontdekt die misbruik van een twee jaar oud beveiligingslek in Internet Explorer maakten. Ook een kwetsbaarheid in de Windows VBScript Engine was een geliefd doelwit. Voor dit beveiligingslek verscheen afgelopen augustus een beveiligingsupdate van Microsoft. Ook oudere kwetsbaarheden kunnen nog steeds bruikbaar zijn, aldus het overzicht van Palo Alto Networks. Op de vierde plek staat namelijk een kwetsbaarheid in Internet Explorer 7 die uit 2009 stamt en op de vijf plek is een beveiligingslek terug te vinden in IE5, IE6 en IE7 dat in 2008 door Microsoft werd verholpen. Exploits voor de twee beveiligingslekken werden op zo'n 50 websites aangetroffen. In het eerste kwartaal verschenen deze oude IE-kwetsbaarheden ook al in het overzicht. "De cijfers van dit kwartaal leren dat de zeer oude en zeer nieuwe kwetsbaarheden zeer bruikbaar zijn", aldus onderzoeker Tao Yan. "Het gebruik van de oude IE-kwetsbaarheden laat ook zien dat ongepatchte versies van Internet Explorer 7 en eerder nog steeds in gebruik zijn." bron: security.nl

Het Tor Project heeft een nieuwe versie van Tor Browser uitgebracht die gebruikers centraal stelt, zo laat de organisatie zelf weten. Tor Browser 8.0 is de eerste versie die op Firefox 60 ESR is gebaseerd. Het bevat daarnaast allerlei aanpassingen die de ervaring van gebruikers moet verbeteren. Zo is de startpagina aangepast en wordt het bezoeken van .onion-sites en opgezette Tor-circuits anders weergegeven. Daarnaast is er een nieuwe "onboarding experience" die gebruikers uitlegt hoe ze Tor Browser op de beste manier kunnen gebruiken. Verder is de manier voor het aanvragen van een bridge, die kan worden gebruikt in landen waar Tor wordt geblokkeerd, veranderd en is het aantal ondersteunde talen uitgebreid. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen, zoals activisten, journalisten en mensen in totalitaire regimes. Tor Browser 8.0 is te downloaden via de automatische updatefunctie van de browser en TorProject.org. bron: security.nl

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die onder andere de bescherming tegen trackers beter vindbaar maakt. Firefox biedt gebruikers al enige tijd de optie om trackers te blokkeren, maar dit moet via het instellingenmenu worden ingesteld. In Firefox 62 is dit veranderd en wordt de optie om trackingbescherming in te schakelen meteen getoond als gebruikers het "hamburgermenu" openen. Dat is het menu dat via de drie strepen naast de adresbalk zichtbaar is. Zodra dit menu wordt geopend zien gebruikers de optie en kunnen die eenvoudig in- en uitschakelen. Mozilla maakte afgelopen donderdag bekend dat het in de toekomst trackers standaard gaat blokkeren, maar dat is nu nog niet het geval. Met de lancering van Firefox 63 in oktober zal Firefox alle door Symantec uitgegeven tls-certificaten niet meer vertrouwen. Bij het bezoeken van een website met een Symantec-certificaat zullen gebruikers dan een certificaatwaarschuwing te zien krijgen. In voorbereiding op deze maatregel beschikt Firefox 62 over een optie om het vertrouwen in alle Symantec-certificaten nu al op te zeggen. Dit kan door about:config in de adresbalk in te voeren en vervolgens de instelling "security.pki.distrust_ca_policy" op 2 te zetten. Een andere beveiligingsmaatregel betreft het laden van Adobe Flash-applets op macOS. Dat vindt voortaan op een veiligere manier plaats via "process sandboxing". Meestal verhelpt Mozilla bij het lanceren van een nieuwe versie ook allerlei beveiligingslekken. Op het moment van schrijven waren er echter nog geen beveiligingsbulletins van Firefox 62 beschikbaar. Updaten naar Firefox 62 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Een beveiligingslek in Windows dat onlangs openbaar werd gemaakt en waar nog geen beveiligingsupdate van Microsoft voor beschikbaar is wordt actief aangevallen. Dat laat anti-virusbedrijf ESET vandaag weten. Via de kwetsbaarheid kan een aanvaller zijn rechten op het systeem verhogen. Dit geeft een aanvaller veel meer mogelijkheden om het systeem verder te compromitteren, bijvoorbeeld als de besmette gebruiker met beperkte rechten is ingelogd. Het beveiligingslek werd door een onderzoeker op Twitter openbaar gemaakt, zonder dat Microsoft van tevoren was ingelicht. Een update is dan ook nog niet beschikbaar. ESET meldt nu dat het een groep aanvallers heeft ontdekt die misbruik van de kwetsbaarheid maakt. De eerste aanvallen werden twee dagen na het online verschijnen van de details en exploit waargenomen. Volgens de virusbestrijder hebben de aanvallers niet de exploit gebruikt die door de onderzoeker openbaar werd gemaakt, maar gaat het om een licht aangepaste variant. Het aantal slachtoffers van de groep is klein en de doelwitten bevinden zich in Chili, Duitsland, India, de Filipijnen, Polen, Rusland, het Verenigd Koninkrijk, de Verenigde Staten en Oekraïne. Voordat het nieuwe beveiligingslek in Windows kan worden uitgebuit moeten de aanvallers al toegang tot het systeem hebben. Hiervoor worden e-mails met kwaadaardige bijlagen gebruikt. "Deze specifieke campagne is op een beperkt aantal gebruikers gericht, maar laat je daardoor niet misleiden. Het laat zien dat cybercriminelen het nieuws volgen en exploits gebruiken zodra die openbaar worden gemaakt", aldus onderzoeker Matthieu Faou. In afwachting van een beveiligingsupdate van Microsoft heeft het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit verschillende workarounds verzameld. Daarnaast heeft een securitybedrijf een onofficiële patch beschikbaar gemaakt. bron: security.nl

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft een waarschuwing afgegeven voor een probleem met automatische dns-registratie en autodiscovery waardoor een aanvaller in bepaalde gevallen gevoelige gegevens op netwerken kan stelen. Het probleem doet zich voor als een aanvaller erin slaagt om een kwaadaardig apparaat aan het netwerk toe te voegen met de naam "WPAD". Andere apparaten op het netwerk zullen vervolgens dit apparaat als proxy gebruiken en allerlei verkeer via dit apparaat versturen. Een aanvaller kan dit verkeer onderscheppen en zo toegang tot gevoelige gegevens krijgen. De aanval is mogelijk door een combinatie van factoren. De eerste is dat veel routers zogeheten "LAN based device discovery" ondersteunen. De routers registreren standaard een dns-record gebaseerd op de naam van het apparaat dat op het netwerk wordt aangesloten. Wanneer een aanvaller het apparaat met de naam WPAD aansluit, zal deze naam door de automatische dns-registratie of autodiscovery worden overgenomen. De tweede factor waardoor het probleem ontstaat is het WPAD-protocol. WPAD staat voor Web Proxy Auto-Discovery en laat computers binnen een organisatie dezelfde webproxyconfiguratie gebruiken. In plaats van het individueel configureren van elke computer die met het netwerk verbinding maakt, vindt WPAD het proxyconfiguratiebestand (PAC) en past deze configuratie automatisch toe. Zodoende hoeft er bijvoorbeeld bij een browser geen server van te voren worden ingesteld om verbinding mee te kunnen maken. Door beide factoren te combineren beschouwen op het netwerk aangesloten apparaten het "WPAD"-apparaat van de aanvaller als proxy en zullen vervolgens hun verkeer via dit apparaat laten lopen. In het verleden hebben onderzoekers al verschillende keren aangetoond hoe WPAD door aanvallers kan worden gebruikt om zich als proxy voor het netwerkverkeer aan te kondigen. Het was echter nog niet bekend dat dergelijke aanvallen ook via automatische dns-registratie en autodiscovery zijn uit te voeren. Volgens het CERT/CC is een kortetermijnoplossing dat routers niet automatisch lokale dns-namen registreren in combinatie met autoconfiguratie. Daarnaast zou de autodiscovery-feature van routers multicast dns-gebaseerde namen niet als gezaghebbende bron moeten beschouwen. bron: security.nl

Medewerkers van banken in meer dan 25 landen zijn het doelwit van aanvallen geworden waarbij werd geprobeerd om banksystemen via Microsoft Office-exploits en LNK- en CHM-bestanden met malware te infecteren. Dat meldt securitybedrijf Group-IB in een analyse. De aanvallers zouden sinds de zomer van 2016 actief zijn en onder andere in 2017 phishingaanvallen op Oekraïense banken hebben uitgevoerd. Hoewel de groep zich in eerste instantie richtte op Oekraïense en Russische banken, zijn de activiteiten van de aanvallers in meer dan 25 landen waargenomen. Om banken binnen te dringen versturen de aanvallers phishingmails met kwaadaardige bijlagen. "In het begin gebruikte de groep gehackte servers en gecompromitteerde accounts voor de aanvalscampagnes, maar later registreerden ze aparte phishingdomeinen en creëerden zelf gesigneerde certificaten", aldus de analyse van Group-IB. "Om filtersystemen te omzeilen maakten ze gebruik van DKIM en SPF. Om 'legitieme' e-mails te maken die van de banken afkomstig leken, gebruikten de hackers domeinen van de banken waar geen SPF-records voor waren ingesteld." De phishingmails waren van een kwaadaardige bijlage voorzien. Het ging dan om Microsoft Office-documenten die van vijf bekende kwetsbaarheden in de kantoorsoftware van Microsoft misbruik maakten. Het gaat om beveiligingslekken waar in 2017 en 2018 updates van Microsoft voor verschenen. Wanneer banken deze updates niet hadden geïnstalleerd kon er door het openen van de kwaadaardige documenten malware worden geïnstalleerd. Daarnaast maakten de aanvallers gebruik van CHM- en LNK-bestanden die als bijlage werden meegestuurd. Zodra de aanvallers toegang tot het banknetwerk hebben richten ze zich op systemen die verantwoordelijk zijn voor geautomatiseerde banktransacties, geldautomaten en betaalkaartverwerkingssystemen. Bij drie bevestigde aanvallen zou de groep 800.000 dollar uit geldautomaten hebben weten te stelen. Opvallend aan de groep is dat die volgens Group-IB uit twee personen bestaat, een ontwikkelaar en operator. Volgens Dmitry Volkov, CTO van Group-IB, is het tegenwoordig veel eenvoudiger om een cybercrimineel te worden dan vijf tot zeven jaar geleden. "Je kunt servers huren, bestaande exploits aanpassen en legitieme tools gebruiken. Dit maakt het lastiger voor de verdedigers, maar eenvoudiger voor de aanvallers." De aangevallen banken bevinden zich in Europa, Azië en Afrika. bron: security.nl

De populaire cloudopslagdienst MEGA heeft gebruikers gewaarschuwd voor een besmette versie van de eigen Chrome-extensie die via het officiële downloadkanaal werd verspreid en allerlei gegevens van gebruikers probeerde te stelen. Volgens MEGA, de cloudopslagdienst van internetondernemer Kim Dotcom, heeft een aanvaller toegang gekregen tot het officiële Chrome Web Store-account van het bedrijf. Vervolgens werd er een besmette versie van de MEGA Chrome-extensie in de Web Store geplaatst en automatisch aan al bestaande gebruikers aangeboden. Deze versie vroeg permissie om data op alle websites te lezen. Zodra gebruikers deze permissie verleenden probeerde de extensie privésleutels voor cryptocurrency wallets en gebruikersnamen en wachtwoorden voor Amazon-, GitHub-, Google- en Microsoft-accounts te stelen. Na vijf uur werd de besmette Chrome-extensie door Google uit de Chrome Web Store verwijderd. MEGA stelt dat het een onderzoek heeft ingesteld om te achterhalen hoe het Web Store-account kon worden overgenomen. De cloudopslagdienst haalt ook uit naar Google, omdat het ontwikkelaars niet toestaat om hun Chrome-extensies te signeren. De extensies worden nu automatisch gesigneerd nadat ze naar de Chrome Web Store zijn geüpload. Volgens MEGA wordt hierdoor een belangrijke maatregel die tegen aanvallers moet beschermen weggenomen. Voordat MEGA de waarschuwing gaf kwam Jeremy Nation van MetaCert al met een analyse van de besmette extensie. Het is niet voor het eerste dat aanvallers toegang tot het Web Store-account van een extensie-ontwikkelaar krijgen en vervolgens een besmette update of versie verspreiden. Eind vorig jaar werden acht Chrome-extensies ontdekt die waren gehackt en adware bij de 4,6 miljoen gebruikers installeerden. De aanvallers hadden bij deze ontwikkelaars de inloggegevens voor de Web Store via een phishingaanval weten te achterhalen. bron: security.nl

Om het tienjarig bestaan van Google Chrome te vieren is er een nieuwe versie van de browser verschenen die het woord 'beveiligd' niet meer laat zien bij https-sites, het gebruik van Flash Player lastiger maakt, een verbeterde wachtwoordmanager introduceert en 40 beveiligingslekken verhelpt. Op 2 september 2008 lanceerde Google de eigen browser die sindsdien de dominante browser is geworden. Volgens StatCounter heeft Chrome op de desktop een marktaandeel van bijna 68 procent. In Nederland zou zo'n 54 procent van desktopgebruikers met Chrome browsen. Gisterenavond verscheen de 69ste versie van Chrome die allerlei nieuwe features en verbeteringen bevat. Zo kan Chrome 69 nauwkeuriger wachtwoorden, adresgegevens en creditcardnummers invullen. Het gaat om gegevens die in het Google-account van de gebruiker zijn opgeslagen en direct vanuit de Chrome-toolbar toegankelijk zijn. Ook beschikt de browser over een verbeterde wachtwoordmanager die unieke wachtwoorden voor websites en accounts kan genereren. Opgeslagen wachtwoorden zijn bij gebruikers met een Google-account vervolgens beschikbaar op zowel de computer als mobiele apparaten. Verder laat Chrome 69 bij websites met een beveiligde verbinding het woord "beveiligd" niet meer zien. Alleen het slot-icoon geeft weer dat er van een beveiligde verbinding gebruik wordt gemaakt. Uiteindelijk zal ook het slot-icoon verdwijnen. Google besloot in juli om bij alle http-sites de melding "niet beveiligd" weer te geven. De internetgigant wil dat https-sites straks de norm zijn en dat gebruikers alleen bij http-sites nog een melding te zien krijgen. Ook zijn er in de browser maatregelen genomen om het gebruik van Adobe Flash Player lastiger te maken. Voorheen konden gebruikers websites whitelisten die toegang tot de in Chrome ingebouwde Flash Player wilden krijgen. Dat is nu veranderd. Gebruikers moeten elke keer dat een website Flash-content wil inschakelen dit apart toestaan, ongeacht of ze dit bij eerdere sessies ook hebben gedaan. Google heeft daarnaast 40 beveiligingslekken in de browser verholpen waardoor een aanvaller in het ergste geval data van andere websites had kunnen stelen of aanpassen. Updaten naar Chrome 69.0.3497.81 zal op de meeste systemen automatisch gebeuren. Voor Android-gebruikers is Chrome 69.0.3497.76 beschikbaar gemaakt. bron: security.nl

Oracle heeft klanten gewaarschuwd voor een ernstig beveiligingslek in Apache Struts dat ook in verschillende producten van het softwarebedrijf aanwezig is. Struts is een populair opensourceframework voor het ontwikkelen van Java-webapplicaties. Tenminste 65 procent van de Fortune 100-bedrijven maakt gebruikt van webapplicaties die via Apache Struts gemaakt zijn. Vorige maand verscheen er een beveiligingsupdate voor een zeer ernstige kwetsbaarheid waardoor een aanvaller op afstand applicaties kan overnemen die met Struts zijn gemaakt of van het framework gebruikmaken. Oracle stelt dat producten die van Struts gebruikmaken niet per definitie kwetsbaar zijn en wijst naar het recent gepubliceerde beveiligingsbulletin waarin staat welke producten risico lopen. Het bulletin is echter alleen beschikbaar voor Oracle-klanten, die verder het advies krijgen om updates zodra ze beschikbaar zijn te installeren. Eind augustus werd bekend dat de Struts-kwetsbaarheid actief werd aangevallen om systemen met een cryptominer te infecteren. Op een schaal van 1 tot en met 10 wat betreft de ernst van het beveiligingslek werd dat met een 9,8 beoordeeld. bron: security.nl

Meer dan de helft van de 1 miljoen populairste websites biedt inmiddels een beveiligde verbinding aan. In februari van dit jaar ging het nog om 38 procent, zo blijkt uit cijfers van beveiligingsonderzoeker Scott Helme. De groei leek begin dit jaar af te nemen, maar laat inmiddels weer een sterke stijging zien. In augustus van dit jaar wees bijna 52 procent van de Top 1 miljoen websites volgens Alexa naar https. Een jaar geleden ging het nog om zo'n 30 procent en in 2016 was iets meer dan 13 procent van de websites via https bereikbaar. Een groot deel van de https-websites maakt voor het aanbieden van een beveiligde verbinding gebruik van tls-certificaten die van Let's Encrypt afkomstig zijn. Deze certificaatautoriteit biedt gratis tls-certificaten aan. Naast normale tls-certificaten kunnen websites ook voor een Extended Validation (EV) tls-certificaat kiezen. Deze certificaten moeten gebruikers meer zekerheid geven over de identiteit van de website die ze bezoeken. Bij EV tls-certificaten wordt de naam van de entiteit die het certificaat heeft aangevraagd in de adresbalk van de browser weergegeven. Voordat het certificaat wordt uitgegeven vindt er een uitgebreidere controle plaats dan bij normale tls-certificaten het geval is. EV tls-certificaten zijn dan ook duurder dan normale tls-certificaten en worden anders door de browser weergegeven. Ondanks de stijging van het aantal websites met een tls-certificaat is er geen groei zichtbaar in het aantal websites met een EV tls-certificaat. Volgens Helme laten de cijfers zien dat we op weg zijn naar een honderd procent versleuteld web. bron: security.nl

Volgende maand verschijnt er een nieuwe versie van Firefox die allerlei nieuwe opties voor extensies introduceert, waaronder verbeterde clipboard-toegang, zo laat Mozilla weten. Eind vorig jaar lanceerde Mozilla een nieuwe Firefox-versie genaamd Quantum die alleen extensies ondersteunt die op het WebExtensions-model zijn gebaseerd. Via dit model is het mogelijk om extensies in andere browsers te laten werken. Met de lancering van Firefox 63 zal de grootste upgrade van de WebExtensions-interface plaatsvinden. Daardoor moet het voor extensies eenvoudiger worden om de inhoud van het clipboard te benaderen. Iets wat nu op nog omslachtige wijze plaatsvindt. Ook zal het mogelijk worden om meerdere tabs te selecteren en zullen extensies toegang kunnen krijgen tot al in Firefox aanwezige zoekmachines. In totaal gaat het om 111 features en verbeteringen die aan de WebExtensions-interface zijn doorgevoerd. Firefox 63 staat gepland voor 23 oktober. bron: security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft woordenlijsten uitgebracht die op Game of Thrones, Star Trek, Star Wars en Harry Potter zijn gebaseerd en gebruikers moeten helpen bij het genereren van willekeurige passphrases. Een passphrase is een wachtwoord dat uit meerdere woorden bestaat. Beveiligingsexpert adviseren passphrases boven een normaal wachtwoord omdat ze eenvoudiger te onthouden en lastiger te kraken of te raden zijn. Om mensen te helpen bij het kiezen van willekeurige woorden voor hun passphrase zijn er verschillende systemen bedacht. De bekendste woordenlijst is de Diceware-lijst van Arnold Reinhold die in 1995 werd gepubliceerd en 7776 woorden bevat. Door verschillende keren met een dobbelsteen te rollen komt er een getal uit, dat met een woord op de woordenlijst overeenkomt, vandaar ook de naam Diceware. Op deze manier kan er geheel willekeurig een passphrase van verschillende woorden worden samengesteld. In 2016 publiceerde de EFF al verschillende woordenlijsten die met een dobbelsteen kunnen worden gebruikt. Vanwege Dragon Con 2018 dat afgelopen weekend en vandaag in Atlanta plaatsvindt heeft de EFF verschillende nieuwe woordenlijsten gepubliceerd die op Game of Thrones (pdf, txt), Star Trek (pdf, txt), Star Wars (pdf, txt) en Harry Potter (pdf, txt) zijn gebaseerd. De woorden op de woordenlijsten zijn afkomstig van verschillende officiële encyclopedieën en Wiki-pagina's. Elke woordenlijst bestaat uit 4.000 unieke woorden, die één keer zijn herhaald. De lijsten zijn geoptimaliseerd voor een dobbelsteen met 20 zijden. Gebruikers krijgen wel het advies om de woorden nadat ze zijn gekozen niet te veranderen of opnieuw de dobbelsteen te rollen omdat ze de eerdere gekozen woorden niet fijn vinden. Volgens de EFF is een aanvaller die weet welke woordenlijst de gebruiker heeft gebruikt en over een computer beschikt die 15 miljoen wachtwoorden per seconden kan proberen, nog steeds 2000 jaar bezig om alle mogelijke combinaties te proberen, waarbij het gemiddeld 1000 jaar duurt om een wachtwoord te kraken. bron: security.nl

Google gaat maatregelen tegen frauduleuze helpdesks nemen, aangezien die steeds lastiger van legitieme helpdesks zijn te onderscheiden, zo heeft de internetgigant aangekondigd. Via advertenties doen oplichters zich voor als de helpdesks van Microsoft en andere computerbedrijven. Ook komt het voor dat de advertenties naar pagina's wijzen die laten geloven dat er een probleem met de computer is en laten vervolgens het nummer van een 'helpdesk' zien. Zodra slachtoffers het in de advertentie of website opgegeven nummer bellen worden ze op verschillende manieren opgelicht. Zo proberen de oplichters het slachtoffer software te laten installeren waarmee de controle over het systeem kan worden overgenomen en moeten slachtoffers voor niet verrichtte of onnodige diensten of producten betalen. Ook komt het voor dat de oplichters geld van de bankrekening van het slachtoffer stelen. Volgens Google wordt het steeds lastiger om deze frauduleuze helpdesks van legitieme helpdesks te onderscheiden. Daarom heeft de internetgigant besloten om alle advertenties voor deze categorie diensten wereldwijd te beperken. De komende maanden wordt er een verificatieprogramma geïntroduceerd dat alleen legitieme helpdesks kunnen gebruiken om hun diensten via de platformen van Google te adverteren en aan te bieden. bron: security.nl

Safari-gebruikers op macOS zijn gewaarschuwd voor een optie in de browser die ervoor zorgt dat zip-bestanden automatisch worden uitgepakt, aangezien aanvallers hier misbruik van maken. Eerder deze week verscheen al het bericht dat Mac-gebruikers in het Midden-Oosten het doelwit van gerichte aanvallen zijn geweest. De aanvallers stuurden doelwitten een spearphishingmail die een link naar een kwaadaardige website bevat. Zodra het doelwit deze website bezoekt wordt er een download van een zip-bestand geactiveerd, dat de malware bevat. Safari zal het zip-bestand automatisch uitpakken en zo de malware op het systeem van de gebruiker plaatsen. Alleen het feit dat dit kwaadaardige bestand op het systeem van de gebruiker is geplaatst is voldoende om het een eigen "url-scheme" te laten registreren. Via een url-scheme kan een applicatie aangeven dat als de gebruiker een bepaalde url opent, de betreffende applicatie hiervoor verantwoordelijk is. Bekende url-schemes zijn http:// en ftp://. Applicaties kunnen echter ook een eigen url-scheme registreren. In het geval van de nu waargenomen aanvallen registreert macOS het url-scheme van de malware. Vervolgens zal de kwaadaardige website dit url-scheme aanroepen om de malware op het systeem van de gebruiker uit te voeren. Dit veroorzaakt wel een waarschuwing in Safari, maar de aanvaller heeft volledige controle over deze melding. Wanneer de gebruiker de website toestaat om de malware te starten verschijnt er een waarschuwing van File Quarantine dat er een bestand dat van het internet afkomstig is wordt geopend. Als de gebruiker ook deze waarschuwing negeert wordt de malware geïnstalleerd. De malware is van een geldig ontwikkelaarscertificaat voorzien, waardoor Apples GateKeeper dit in de standaardconfiguratie gewoon toestaat. bron: security.nl

Er is een nieuwe versie van het populaire programma CCleaner verschenen die over een privacyinstelling beschikt waarmee gebruikers kunnen aangeven of hun data mag worden verzameld. CCleaner is software om cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden mee te verwijderen. Eind juli lanceerde Pirifom CCleaner versie 5.45 die gebruiksgegevens bleek te verzamelen. Zo werd onder andere vastgelegd welke functies de gebruiker gebruikte. Het verzamelen van de data gebeurde volgens ontwikkelaar Piriform geheel anoniem en er werden geen persoonsgegevens vastgelegd. Het bleek echter lastig om de analytics-functie uit te schakelen. CCleaner 5.45 bood wel een optie voor het uitschakelen, maar na een herstart van de computer werd de optie weer automatisch ingeschakeld. Daarnaast was de optie die aangaf dat gebruikersdata werd verzameld gecombineerd met de Monitoring-feature. Deze feature staat echter helemaal los van het verzamelen van gebruikersdata. Gebruikers reageerden woedend waarna CCleaner 5.45 door Piriform offline werd gehaald. Het bedrijf beloofde een nieuwe versie waarin het gebruikers tegemoet zou komen. In CCleaner 5.46 heeft Pirifom nu een aparte instelling voor het verzamelen van gebruikersdata en de Monitoring-feature toegevoegd. De Monitoring-feature is tevens hernoemd naar Smart Cleaning. Verder is er een link toegevoegd naar een datasheet die uitlegt welke gegevens worden verzameld en waarvoor. Wederom herhaalt Piriform dat het alleen data verzamelt voor statistische doeleinden om de applicatie te verbeteren. bron: security.nl