Captain Kirk

Gebruikers van Windows 7 ontvangen na 3 weken weer signature-updates voor Windows Defender, het ingebouwde anti-malwareprogramma van Microsoft. Windows Defender wordt via Windows Update met nieuwe signatures bijgewerkt, maar had sinds 11 juni geen updates meer ontvangen. De bekende anti-virusveteraan Vesselin Vladimirov Bontchev meldde gisteren op Twitter dat het programma weer wordt geüpdatet. Iets dat door Windows-expert Woody Leonhard wordt bevestigd. Windows Defender op Windows 7 is een basale tool die Microsoft eigenlijk door Security Essentials heeft vervangen. Afhankelijk van de gebruikte anti-virussoftware op het systeem wordt Windows Defender uitgeschakeld. Waarom Defender de afgelopen weken niet werd bijgewerkt is onbekend. bron: security.nl

Google en Mozilla hebben de browserextensie Stylish uit hun stores verwijderd omdat die de browsegeschiedenis van ruim 2 miljoen gebruikers verzamelde en terugstuurde naar de ontwikkelaar. Via Stylish konden gebruikers het uiterlijk en de gebruikersinterface van websites aanpassen. Vorig jaar januari werd de extensie echter van "bonus-spyware" voorzien die alle websites opslaat die gebruikers bezoeken, aldus onderzoeker Robert Heaton in een analyse van de extensie. Naar aanleiding van zijn onderzoek werden Google en Mozilla gevraagd om de extensie te verwijderen en blokkeren. Volgens Mozilla heeft Stylish de regels geschonden en is het daarom uit de store verwijderd en ook bij gebruikers uitgeschakeld. Stylish was door zo'n 300.000 Firefox-gebruikers geïnstalleerd. Daarnaast maakten bijna 1,9 miljoen Chrome-gebruikers gebruik van de extensie. Stylish is echter niet meer in de Chrome Web Store te vinden. Google heeft geen verklaring gegeven en het is onduidelijk of die ook bij Chrome-gebruikers is verwijderd. In het verleden heeft Google vaker malafide extensies uit de Web Store verwijderd, maar moesten gebruikers die vervolgens zelf in Chrome verwijderen. bron: security.nl

Mozilla heeft opnieuw een update voor de e-mailclient Thunderbird uitgebracht die gebruikers tegen de EFAIL-aanval moet beschermen, alsmede tegen aanvallen via SettingContent-ms-bestanden. Via de EFAIL-aanval is het in bepaalde gevallen mogelijk voor een aanvaller om de inhoud van een versleutelde e-mail te achterhalen. Hiervoor moet een aanvaller over een versleutelde e-mail van het slachtoffer beschikken en moet de e-mailclient van het slachtoffer HTML-code / remote content uitvoeren. Thunderbird 52.9 verhelpt in totaal twaalf kwetsbaarheden, waaronder twee EFAIL-lekken. Via de twee kwetsbaarheden is het mogelijk om ontsleutelde S/MIME-gedeeltes via HTML of CSS te lekken wanneer ze aan een HTML reply/forward worden toegevoegd, aldus de omschrijving van Mozilla. SettingContent-ms-bestanden Onlangs waarschuwde onderzoeker Matt Nelson voor aanvallen via SettingContent-ms-bestanden. Dit is een bestandsformaat van Windows 10 dat eigenlijk XML-code is om snelkoppelingen naar het Configuratiescherm te maken. Het is echter ook mogelijk om andere uitvoerbare bestanden aan te roepen. Een aanvaller kan een SettingContent-ms-bestand aan een Office-document toevoegen. De gebruiker wordt dan bij het openen van het document gevraagd of hij dit bestand wil uitvoeren, maar krijgt verder geen waarschuwing te zien. "Windows 10 waarschuwt gebruikers niet voor het openen van uitvoerbare bestanden met de SettingContent-ms-extensie, zelfs wanneer ze gedownload zijn van het internet en het "Mark of the Web" hebben. Zonder deze waarschuwing kunnen nietsvermoedende gebruikers, onbekend met dit nieuwe bestandstype, een ongewenst uitvoerbaar bestand uitvoeren", aldus Mozilla. Ook zorgt het ervoor dat een WebExtension met de beperkte "downloads.open" permissie zonder interactie van de gebruiker willekeurige code op Windows 10-systemen kan uitvoeren. Thunderbird gaat dit nu tegen. Updaten naar Thunderbird 52.9 kan via de automatische updatefunctie en Thunderbird.net. bron: security.nl

Malafide macro's worden al jaren toegepast om internetgebruikers met malware te infecteren, maar onderzoekers hebben nu een aanval ontdekt waarbij de macro's op een opmerkelijke manier worden ingezet. In plaats van het downloaden en uitvoeren van malware, zoals gebruikelijk is, worden snelkoppelingen op het bureaublad aangepast. Als de gebruiker deze snelkoppelingen opent wordt de malware pas uitgevoerd. Dat melden onderzoekers van anti-virusbedrijf Trend Micro. De aanval begint met een document dat de ontvanger vraagt om macro's in te schakelen. Standaard blokkeert Microsoft Office dit. Zodra de gebruiker macro's inschakelt zal de malafide macro naar snelkoppelingen op het bureaublad zoeken. Daarbij wordt er met name gezocht naar snelkoppelingen van Skype, Google Chrome, Mozilla Firefox, Opera en Internet Explorer. Zodra er één van deze snelkoppelingen is gevonden wordt de malware gedownload. Vervolgens wordt de snelkoppeling vervangen door een snelkoppeling die naar de malware wijst. Ook wordt de snelkoppeling op de Quick Launch balk aangepast. Wanneer de gebruiker op de snelkoppeling klikt wordt de malware ook daadwerkelijk uitgevoerd. Deze werkwijze zorgt ervoor dat het de gebruiker is die de malware uitvoert in plaats van het programma. Het uiteindelijke doel van de malware is het installeren van Ammyy Admin, een remote administration tool voor het beheren van computers op afstand, en het verzamelen van informatie. bron: security.nl

Windows 10 is niet kwetsbaar voor de twee zeroday-exploits die eind maart in een pdf-document werden aangetroffen. Ook zijn er geen aanvallen waargenomen die van de onbekende kwetsbaarheden in Windows en Adobe Acrobat Reader gebruik hebben gemaakt, zo heeft Microsoft laten weten. Zerodaylekken zijn kwetsbaarheden waarvoor nog geen updates van de fabrikant beschikbaar zijn. Hierdoor kunnen zeroday-aanvallen erg effectief zijn. De meeste aanvallen maken echter gebruik van kwetsbaarheden waarvoor al wel updates beschikbaar zijn, maar nog steeds werken omdat gebruikers en organisaties geen patches installeren. Eind maart vonden onderzoekers van anti-virusbedrijf ESET via VirusTotal, de online virusscandienst van Google, een pdf-document dat twee zerodaylekken in Adobe Acrobat Reader en Windows combineerde. Via de twee kwetsbaarheden konden systemen volledig worden overgenomen. Het ging echter nog om een testdocument zonder malware, maar met twee functionele zeroday-exploits. "Het vinden en neutraliseren van twee zeroday-exploits voordat een aanvaller ze kon gebruiken was een fantastisch resultaat van de goede samenwerking tussen onderzoekers van ESET, Microsoft en Adobe", zegt Microsofts Matt Oh. Hij merkt op dat Microsoft geen aanvallen heeft waargenomen waarbij de twee exploits zijn ingezet. Daarnaast blijkt dat de gebruikte zeroday-exploit voor Windows alleen tegen Windows 7 en Server 2008 werkte. Via deze exploit kon een aanvaller uit de sandbox-beveiliging van Adobe Acrobat Reader ontsnappen en code met verhoogde rechten op het Windows-systeem uitvoeren. De exploit werkt echter niet tegen Windows 10, omdat deze Windows-versie niet kwetsbaar is. "Windows 10-gebruikers zijn dankzij hardening en exploitbescherming van het systeem niet getroffen door de twee exploits", merkt Oh op. De kwetsbaarheden in Windows en Acrobat Reader werden in mei gepatcht. Windows 7 heeft in Nederland nog een marktaandeel van 25,5 procent, zo blijkt uit cijfers van StatCounter. bron: security.nl

Anti-virusbedrijf Symantec heeft een gratis online tool gelanceerd die routers op de VPNFilter-malware checkt. In mei werd bekend dat VPNFilter wereldwijd 500.000 routers en NASsen heeft geïnfecteerd. Eenmaal actief kan de malware verschillende dingen doen, zoals het stelen van inloggegevens en het onbruikbaar maken van apparaten door de firmware te overschrijven. Daarnaast kan de malware, zodra een router eenmaal is geïnfecteerd, ook computers in het achterliggende netwerk aanvallen. VPNFilter is in staat om apparaten van Linksys, MikroTik, Netgear, QNAP, Asus, D-Link, Ubiquiti, Upvel, Huawei en ZTE te infecteren. Hoe de malware dit precies doet is nog altijd niet bekend, maar er wordt aangenomen dat er van bekende kwetsbaarheden of standaardwachtwoorden gebruik wordt gemaakt. De "VPNFilter Check" van Symantec controleert of de router geïnfecteerd is. De check is echter niet volledig, aangezien alleen op de aanwezigheid van de "ssler-plug-in" wordt gecontroleerd. Via deze plug-in kan de malware gegevens onderscheppen en systemen in de rest van het netwerk aanvallen. In het geval deze plug-in niet op de router wordt gedetecteerd wil dat niet zeggen dat die niet door andere onderdelen van de VPNFilter-malware is besmet. Gebruikers die zich zorgen maken dat hun router is gecompromitteerd krijgen het advies om de fabrieksinstellingen terug te zetten, de router uit te schakelen en te herstarten, het standaard beheerderswachtwoord te wijzigen en de laatste firmware-updates te installeren. bron: security.nl

Facebook heeft meer dan 800.000 gebruikers gewaarschuwd over een bug in Facebook en Messenger die ervoor zorgde dat sommige personen die de gebruikers hadden geblokkeerd werden gedeblokkeerd. Wanneer Facebook-gebruikers iemand blokkeren kan die persoon niet meer zien wat er op het profiel wordt geplaatst, de gebruiker als vriend toevoegen of gesprekken met hem of haar beginnen. Ook worden geblokkeerde personen die de gebruiker in eerste instantie als vriend had aangemerkt automatisch 'ontvriend'. Door de bug konden geblokkeerde personen de gebruiker toch benaderen alsmede berichten en foto's zien die de gebruiker op zijn profiel had geplaatst. Het probleem deed zich voor van 29 mei tot en met 5 juni. Inmiddels worden alle geblokkeerde personen weer geblokkeerd. Ook heeft Facebook getroffen gebruikers opgeroepen om hun blocklist te controleren. bron: security.nl

E-mails met HTML-opmaak zijn een beveiligingsrisico, zoals de recente EFAIL-aanval heeft laten zien. Toch zullen ontwikkelaars van e-mailclients HTML-mails niet opgeven, zo stelt beveiligingsonderzoeker Hanno Böck. Via de EFAIL-aanval was het in bepaalde gevallen mogelijk om toegang tot de inhoud van versleutelde e-mails te krijgen. Voor het uitvoeren van de aanval werd er van HTML in een e-mail gebruik gemaakt. Het is niet de eerste keer dat HTML binnen e-mails wordt toegepast voor het uitvoeren van aanvallen. "De kern van het probleem is dat er geen verstandig beveiligingsconcept voor HTML-mails is", zegt Böck. "Het begon met een inherent gevaarlijk concept, het embedden van iets in e-mails dat veel te krachtig is, met alleen vage richtlijnen hoe het beveiligd moet worden." Het gebruik van HTML binnen e-mails is niet te vergelijken met het volledige spectrum van HTML zoals het op het web wordt ondersteund. "Dus eigenlijk is het een subgroep van HTML. Er is echter geen consensus, en geen specificatie, wat die subgroep zou moeten zijn", gaat de onderzoeker verder. Het uitschakelen van HTML in de e-mailclient is dan ook de veiligste optie. Het is ook een haalbare optie merkt Böck op. Toch zullen ontwikkelaars van e-mailclients HTML-mails niet opgeven en moet er dus gekeken worden hoe ze te beveiligen zijn. De onderzoeker kijkt naar een RFC-document voor het specificeren van welke HTML en CSS is toegestaan binnen HTML-mails. RFC-documenten komen tot stand door een discussie- en publicatieproces en kunnen uiteindelijk tot een standaard leiden. Een dergelijk RFC-document bestaat echter nog niet. bron: security.nl

Aanvallers zijn er dit weekend in geslaagd om gebruikers van de Trezor Wallet-website een phishingsite voor te schotelen, wat vermoedelijk via dns poisoning of bgp hijacking is gedaan. Dat heeft het ontwikkelteam bekendgemaakt. De Trezor Wallet is een apparaat voor het opslaan van cryptovaluta. Dit weekend kregen gebruikers bij het bezoeken van de officiële domeinnaam wallet.trezor.io een certificaatwaarschuwing te zien. De website maakte van een ongeldig ssl-certificaat gebruik. Het bleek te gaan om een phishingsite die gebruikers vroeg hun "recovery seed" te herstellen. Daarnaast werden gebruikers gevraagd om hun ordernummer en recovery seed in te voeren. Volgens Trezor Wallet was ook dit een duidelijke waarschuwing dat er iets mis was, aangezien gebruikers wordt geïnstrueerd om nooit hun ordernummer en recovery seed op een computer in te voeren. Met de gegevens hadden de aanvallers toegang tot opgeslagen cryptovaluta kunnen krijgen. Of en hoeveel slachtoffers er zijn gemaakt laat het ontwikkelteam niet weten. Hoe de aanvallers het voor elkaar kregen om op de officiële domeinnaam een phishingsite te tonen is ook nog onbekend, maar het ontwikkelteam gaat uit van dns poisoning of bgp hijacking. Via beide aanvallen kan een aanvaller de domeinnaam naar een ander ip-adres laten wijzen. Het onderzoek loopt echter nog. De phishingsite is uit de lucht gehaald. bron: security.nl

Het Institute of Electrical and Electronics Engineers (IEEE) heeft zich uitgesproken tegen pogingen van overheden om backdoors aan encryptie toe te voegen of versleuteling te verzwakken. Het IEEE noemt zich de grootste professionele organisatie gericht op het vooruithelpen van technologie voor de mensheid. De afgelopen jaren hebben overheidsinstanties en opsporingsdiensten regelmatig gepleit voor het invoeren van "meestersleutels" of backdoors waarmee encryptie ongedaan is te maken. Volgens het IEEE zorgen dergelijke backdoors ervoor dat kwaadwillenden hier ook misbruik van kunnen maken. Daarnaast zorgt het verzwakken van encryptie er niet voor dat kwaadwillenden geen toegang meer tot sterke encryptie hebben. Ze kunnen opereren vanuit landen die geen backdoors verplichten of maken gebruik van encryptiesoftware die specifiek voor hen is ontwikkeld. Wanneer bedrijven in bepaalde landen worden verplicht om de encryptie in hun producten te verzwakken zal dit een hindernis zijn in het concurreren met andere bedrijven op de wereldwijde markt. Verder waarschuwt het IEEE dat backdoors in consumentenproducten langdurige negatieve gevolgen voor de privacy, veiligheid en burgervrijheden van burgers zullen hebben. "Overheden hebben legitieme veiligheidsbelangen. Het IEEE denkt dat het verplichten van het opzettelijk aanbrengen van backdoors, hoe goed ook bedoeld, deze belangen niet dient en zal leiden tot kwetsbaarheden die voor onvoorziene gevolgen zullen zorgen, alsmede voor sommige voorspelbare negatieve gevolgen", aldus de raad van bestuur van de organisatie. bron: security.nl

Het is precies een jaar geleden dat de NotPetya-malware zich verspreidde en de belangrijkste les is dat bedrijven en organisaties meer moeten doen om te voorkomen dat desktops elkaar besmetten. Dat stelt beveiligingsexpert Robert Graham van securitybedrijf Errata Security, die bijval krijgt van Microsoft. De infectie met NotPetya begon met een boekhoudprogramma dat een besmette update ontving. Zodra er een machine in het netwerk was besmet gebruikte de malware twee manieren om zich verder te verspreiden. Er werden beveiligingslekken in de smb-dienst van Windows gebruikt waardoor eerder ook de WannaCry-ransomware zich verspreidde. Daarnaast maakte NotPetya gebruik van een soort Mimikatz-achtige tool. Via deze tool werden inloggegevens op een besmette machine gestolen. Vervolgens werd er geprobeerd om met deze inloggegevens op andere machines in te loggen. Wanneer de malware de inloggegevens van de beheerder wist te bemachtigen werd het gehele Windows-domein geïnfecteerd. "Een dergelijke manier van verspreiden via Windows-wachtwoorden blijft een plaag voor organisaties", aldus Graham. Als voorbeeld wijst hij naar de ransomware-infectie van de Amerikaanse stad Atlanta, die op soortgelijke wijze plaatsvond en voor miljoenen dollars schade veroorzaakte. "Dit is de belangrijkste les die organisaties moeten leren en degene die ze negeren. Ze moeten meer doen om te voorkomen dat desktops elkaar infecteren, bijvoorbeeld door port-isolation en microsegmentatie." Ook moet er meer controle plaatsvinden op de verspreiding van adminwachtwoorden binnen de organisatie. Veel organisaties gebruiken hetzelfde lokale adminwachtwoord voor elk werkstation, wat de verspreiding van NotPetya-achtige malware eenvoudig maakt. Tevens moet er naar de vertrouwensrelatie tussen domeinen worden gekeken, zodat de beheerder van het ene domein de andere niet kan infecteren. "De lessen die van NotPetya geleerd kunnen worden is niet het patchen van systemen, maar het omgaan met vijandige automatische updates die diep het netwerk binnenkomen en het belangrijkste, het stoppen van de verspreiding van malware via vertrouwensrelaties en rondzwervende beheerderswachtwoorden", stelt Graham. Ook Microsoft waarschuwde deze week voor het probleem van aanvallers die zich via standaardtools lateraal door netwerken bewegen en misbruik van admin-wachtwoorden maken. bron: security.nl

Aanvallers hebben gisteren toegang tot de Gentoo Linux GitHub-pagina gekregen en de inhoud van de pagina's en repositories aangepast. Alle Gentoo-code die op GitHub wordt gehost moest als gecompromitteerd worden beschouwd, aldus een waarschuwing van de Linux-distributie. Code die op de Gentoo-infrastructuur werd gehost heeft geen risico gelopen. Volgens Gentoo-ontwikkelaar Francisco Blas Izquierdo Riera heeft de aanvaller de portage en musl-dev trees met kwaadaardige versies van de ebuilds vervangen met de bedoeling om alle bestanden van de gebruiker te verwijderen. Een ebuild is een bestand dat de Gentoo-packagemanagers gebruiken om een specifieke softwarepackage te identificeren en hoe de packagemanager hiermee moet omgaan. Gentoo-gebruikers krijgen het advies om geen ebuilds te gebruiken die voor 28 juni 20:00 uur Nederlandse tijd via de gehackte GitHub-pagina zijn verkregen. Inmiddels heeft Gentoo weer de controle over de GitHub-pagina. Hoe de aanvaller toegang tot het account wist te krijgen wordt nog onderzocht. bron: security.nl

Een populaire Facebook-app met meer dan 120 miljoen maandelijkse gebruikers bleek allerlei gegevens van deze gebruikers te lekken. Dat meldt de Belgische beveiligingsonderzoeker Inti De Ceukelaire in een blogposting op Medium. Het gaat om de quiz-app van Nametests.com. De Ceukelaire ontdekte dat het voor derde partijen mogelijk was om data van gebruikers op te vragen, zoals Facebook-ID, naam, geboortedatum, leeftijd, geslacht, tijdszone en een token. Met dit token kon toegang worden verkregen tot foto's, berichten en vrienden van de gebruiker. Normaliter horen websites dit niet te kunnen. In dit geval waren de gegevens echter in JavaScript verpakt. JavaScript kan met andere websites worden gedeeld. Aangezien NameTest de persoonlijke data van gebruikers in een JavaScript-bestand weergaf, had elke website dit bestand kunnen benaderen. Een gebruiker van de app had in dit geval alleen een kwaadaardige website moeten bezoeken. De gegevens waren zelfs opvraagbaar wanneer gebruikers de app hadden verwijderd. De Ceukelaire waarschuwde Facebook op 22 april over de app. Een maand later kreeg hij te horen dat het onderzoek drie tot zes maanden in beslag kon nemen. Een maand later had Nametests.com echter een aanpassing doorgevoerd zodat derde partijen niet langer meer bij de persoonlijke data van gebruikers konden. Facebook beloonde de Belgische onderzoeker met 4.000 dollar voor zijn melding. De Ceukelaire besloot het bedrag aan de Freedom of the Press te doneren. Aangezien het om een goed doel gaat verdubbelde Facebook de donatie naar 8.000 dollar. In onderstaande video wordt de kwetsbaarheid gedemonstreerd. bron: security.nl

Het Tor Project is dringend op zoek naar mensen die willen helpen met het testen van de nieuwe versie van Tor Browser. Deze versie bevat namelijk een aantal grote veranderen op het gebied van de gebruikersinterface en veiligheid. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen, zoals activisten, journalisten en mensen in totalitaire regimes. Om Tor Browser voor meer mensen toegankelijk te maken is het Tor Project begonnen om zowel de website als de browser te vernieuwen. In september staat de volgende nieuwe versie van Tor Browser gepland die verschillende grote veranderingen zal bevatten. Er is nu een vroege testversie van deze browser gelanceerd die door het publiek getest kan worden. Dit moet ervoor zorgen dat de uiteindelijke versie stabiel is en geen bugs bevat. "Als je bekend met Tor Browser hebben we je hulp nodig! Deze testversie bevat veel nieuwe features, waaronder een aantal grote aanpassingen aan de gebruikersinterface, en we willen dat die helemaal kloppen als de stabiele versie in september verschijnt", zegt Nicolas Vigier van het Tor Project. Het gaat onder andere om het geven van meer informatie over de Guard-node en een visuele weergave voor .onion-sites met een tls-certificaat. Naast de gebruikersinterface introduceert Tor Browser 8 ook volledige sandboxing op Windows-systemen, wat een zeer belangrijke beveiligingsmaatregel is. De testversie is te downloaden via TorProject.org. bron: security.nl

Windows 10 gaat gebruikers inzicht gegeven in foutrapportages die naar Microsoft zijn of worden verstuurd. Microsoft zegt de rapportages te gebruiken om crashes en andere verstoringen op het apparaat te identificeren en verhelpen. De foutrapportages zijn straks via de Diagnostic Data Viewer in te zien. De Diagnostic Data Viewer geeft een overzicht van de diagnostische data die Windows 10 naar Microsoft verstuurt. Het gaat dan om zaken als configuratie, browsegeschiedenis, geïnstalleerde applicaties en het gebruik hiervan en netwerkinformatie. Straks zijn ook de foutrapportages hier terug te vinden. Gebruikers kunnen zo zien wanneer het rapport is verstuurd en welke applicatie de oorzaak was. Jaren geleden werd bekend dat de NSA foutrapportages van Windows-computers onderschepte. De informatie in de rapporten zou de NSA helpen bij het inbreken op computers. Naast het toevoegen van foutrapportages gaat Microsoft ook de gebruikersinterface van de Diagnostic Data Viewer aanpassen. De aanpassingen zijn nu al te proberen in de Windows 10 Insider Preview Build 17704. bron: security.nl

De ontwikkelaars van de populaire browseruitbreiding Adblock Plus hebben een nieuw systeem ontwikkeld dat machine learning gebruikt om advertenties op Facebook te detecteren en blokkeren. Facebook-gebruikers worden nu gevraagd om het "Sentinel" systeem van advertenties te voorzien. Volgens Adblock Plus, wat de meestgebruikte adblocker op internet is, is het blokkeren van advertenties een kat- en muisspel. "Advertentiebedrijven stellen niet jouw belangen voorop en ze respecteren niet je recht om te kiezen voor het zien van advertenties. Daarom geven ze veel geld uit om nieuwe manieren te vinden om adblocker-gebruikers te omzeilen en irriteren", aldus de ontwikkelaars van Adblock Plus. Op dit moment houden Adblock Plus en vrijwilligers allerlei filterlijsten bij om advertenties te blokkeren. Die lijsten worden weer omzeild door advertentienetwerken en partijen als Facebook. Om het detecteren van advertenties te moderniseren kijken de Adblock Plus-ontwikkelaars naar machine learning en neurale netwerken om advertenties visueel te detecteren. Het is echter nodig dat het systeem allerlei voorbeelden van Facebook-advertenties leert herkennen. Gebruikers kunnen hierbij helpen door screenshots van Facebook-ads naar de Sentinel-bot op Facebook Messenger te sturen. Verzonden screenshots kunnen op elk moment weer worden verwijderd. Meer informatie over het systeem is te vinden op adblock.ai. bron: security.nl

Er bevindt zich een ongepatcht beveiligingslek in WordPress waardoor aanvallers websites in bepaalde gevallen volledig kunnen overnemen, code op de onderliggende server kunnen uitvoeren en willekeurige bestanden kunnen verwijderen. De kwetsbaarheid is meer dan 7 maanden geleden aan de WordPress-ontwikkelaars gerapporteerd, maar een beveiligingsupdate is nog steeds niet voorhanden. De kwetsbaarheid doet zich voor doordat gebruikersinvoer voor de deletefunctie niet goed wordt opgeschoond. Om van het lek gebruik te kunnen maken moet een aanvaller wel de mogelijkheid hebben om mediabestanden te kunnen wijzigen en verwijderen. WordPress biedt de mogelijkheid om gebruikers verschillende rollen toe te kennen. De rol van "Auteur" is al voldoende om de kwetsbaarheid te misbruiken. Een aanvaller kan bijvoorbeeld het account van een WordPress-gebruiker proberen te kapen of misbruik van een ander beveiligingslek maken om hier toegang toe te krijgen. Ook biedt het lek mogelijkheden voor kwaadwillende medewerkers van een WordPress-site. Wanneer de aanvaller over een account beschikt is het mogelijk om elk willekeurig WordPress-bestand te verwijderen, alsmede alle andere bestanden die op de server staan. Daarnaast kan de aanvaller bepaalde beveiligingsmaatregelen omzeilen en willekeurige code op de server uitvoeren. Tevens maakt de kwetsbaarheid het mogelijk om de WordPress-site over te nemen. De ontwikkelaars van WordPress werden op 20 november vorig jaar over de kwetsbaarheid ingelicht. Op 24 januari van dit jaar liet het ontwikkelteam weten dat een update naar schatting 6 maanden in beslag zou nemen. Eind mei vroegen onderzoekers van securitybedrijf RIPS Technologies om een update, maar kregen geen reactie. Daarop zijn nu de details openbaar gemaakt. Ook heeft het securitybedrijf een tijdelijke "hotfix" gemaakt. Deze hotfix wordt met name aangeraden voor websites waar meerdere gebruikers op het WordPress-systeem kunnen inloggen. bron: security.nl

Facebook, Google en Microsoft tonen misleidende privacyschermen die gebruikers instellingen laten kiezen die ten koste van hun privacy gaan, zo blijkt uit onderzoek van de Noorse consumentenbond Forbrukerradet (pdf). Zo maken de techbedrijven gebruik van standaard privacy-invasieve instellingen en misleidende bewoording en worden privacyvriendelijke opties verborgen. Ook krijgen gebruikers de illusie dat ze in controle zijn, terwijl dat niet zo is. Verder blijkt dat het kiezen van privacyvriendelijke opties meer moeite van gebruikers vergt. "Facebook en Google hebben standaard privacy-invasieve instellingen. Gebruikers die de privacyvriendelijke opties willen moeten veel meer moeite doen. De bedrijven verbergen deze instellingen soms zodat de gebruiker niet weet dat de meer privacy-invasieve optie standaard was geselecteerd", aldus de onderzoekers. Maar zelfs als gebruikers hun instellingen wijzigen verandert er volgens de onderzoekers niet veel. "We concluderen dat het lijkt dat gebruikers geen behoorlijke keuze hebben, zelfs als ze alle moeite doen om hun instellingen te veranderen met de bedoeling om gebruik van hun privacyrechten te maken." De Nederlandse Consumentenbond heeft de Autoriteit Persoonsgegevens nu om opheldering gevraagd over de toepassing van de nieuwe Europese privacywetgeving AVG. "Er is te veel ruimte voor eigen interpretatie. Mag een cookiemuur nu wel of niet? Zijn er uitzonderingen voor bedrijven die onder de e-privacywetgeving vallen? De wet stelt (uiteraard) algemene eisen, maar sommige bedrijven maken daar misbruik van, wat leidt tot scheve situaties. Bedrijven die de wet netjes naleven, krijgen bijvoorbeeld minder advertentie-inkomsten dan bedrijven die de wet aan hun laars lappen. Dat kan niet de bedoeling zijn. Het is aan de Autoriteit Persoonsgegevens om aan deze onduidelijkheid een einde te maken. En om erop te handhaven natuurlijk, want anders heeft een wet geen zin", zegt directeur Bart Combée. bron: security.nl

Aangezien er nog geen reactie is gekomen, gaan we er van uit dat je probleem is opgelost. Hierbij sluit ik het topic. Mocht je het toch terug open willen hebben, laat dit dan even weten.

Mozilla heeft een nieuwe versie van Firefox gelanceerd waarin het ftp-protocol deels wordt geblokkeerd. Een zeer groot nadeel van ftp is dat er op onbeveiligde wijze informatie wordt uitgewisseld. Zo worden inloggegevens als platte tekst naar de ftp-server verstuurd. Daarnaast maken volgens Mozilla veel malware-campagnes gebruik van gehackte ffp-servers en downloaden via het ftp-protocol malware op de apparaten van eindgebruikers. Daarom worden in Firefox 61 alle "ftp subresource loads" vanaf http- en https-sites geblokkeerd. Hierdoor zal het voor websites niet meer mogelijk zijn om bijvoorbeeld afbeeldingen, scripts en iframes via ftp te laden. Verder draaien WebExtensions op macOS nu in hun eigen proces, wat de veiligheid en stabiliteit ten goede moet komen. Ook ondersteunt Firefox nu standaard de laatste versie van de TLS 1.3-specificatie. Nieuwe Firefox-versies bevatten over het algemeen ook beveiligingsupdates, maar Mozilla maakt daar in de release notes geen melding van. Op het moment van schrijven geeft de Mozilla-pagina met "Security Advisories" geen nieuwe informatie weer. Het komt echter voor dat Mozilla beveiligingsupdates pas op een later moment bekendmaakt als gebruikers de mogelijkheid hebben gehad om te updaten naar de nieuwe versie. Dat kan via de automatische updatefunctie en Mozilla.org bron: security.nl

Het populaire ftp-programma FileZilla is opnieuw onder vuur komen te liggen wegens de aanwezigheid van adware en 'potentieel ongewenste programma's' in de installatiebundel. Eerder deze week wees een lezer van Reddit naar een topic op het forum van FileZilla. In het topic, dat van december is, stelt een FileZilla-gebruiker vragen over het feit dat verschillende anti-virusprogramma's voor de FileZilla-installatiebundel waarschuwden. Daarop stelt één van de ontwikkelaars dat het om een false positive gaat en FileZilla geen malware bevat. De reactie en uitleg van de ontwikkelaar zorgde echter voor een golf van kritiek op Reddit. Het forumtopic verscheen vervolgens op Hacker News, waar ook veel mensen zich negatief over het ftp-programma uitlieten. Volgens een nieuwe scan van de FileZilla-installatiebundel beschouwen 9 virusscanners het als verdachte software. Het gaat hier echter om de installatiebundel die via de officiële website wordt aangeboden. Deze installatiebundel biedt tijdens de installatie aanvullende software aan. Het installatieprogramma dat via Sourceforge wordt aangeboden bevat deze bundel niet en wordt door alle anti-viruspakketten op VirusTotal als schoon beschouwd. Sourceforge kwam echter in het verleden ook onder vuur te liggen wegens het bundelen van installatieprogramma's. bron: security.nl

Mozilla heeft een beveiligingstool voor Firefox ontwikkeld die gebruikers voor gehackte accounts waarschuwt. Firefox Monitor, zoals de tool heet, maakt gebruik van data die van Have I Been Pwned afkomstig is. Have I Been Pwned is een zoekmachine waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. Volgens Mozilla is er een sterke stijging van het aantal datalekken en heeft het daarom besloten Firefox Monitor te ontwikkelen zodat gebruikers kunnen kijken of ze slachtoffer zijn geworden. Om te kijken of een account is gehackt moeten gebruikers in Firefox Monitor een e-mailadres invoeren. Mozilla merkt op dat het beschermen van de privacy van gebruikers erg belangrijk is. Daarom wordt het volledige e-mailadres van de gebruiker nooit volledig buiten Mozilla verstuurd. Zodra de gebruiker zijn e-mailadres invoert maakt Firefox Monitor hier een hash van en stuurt de eerste zes karakters naar Have I Been Pwned. Mozilla stelt dat gehashte gegevens nog steeds kwetsbaar voor bruteforce-aanvallen zijn. Een aanvaller kan een lijst met e-mailadressen langsgaan om zo het e-mailadres te vinden dat bij een bepaalde hash hoort. Om dit aanvalsoppervlak te verkleinen slaat Firefox Monitor de zogeheten range queries en resultaten niet op in een database. In plaats daarvan worden de resultaten van de gebruiker in een versleutelde clientsessie opgeslagen. Op dit moment bevindt Firefox Monitor zich nog in de testfase. Begin volgende week zullen 250.000 Firefox-gebruikers, voornamelijk in de Verenigde Staten, worden uitgenodigd om de feature te proberen. Zodra Mozilla tevreden met de testresultaten is zal de dienst voor alle Firefox-gebruikers beschikbaar worden gemaakt. bron: security.nl

Alleen door het openen van de verkeerde link of het zien van een advertentie kan een aanvaller toegang tot het lokale netwerk en achterliggende apparaten krijgen. Daarvoor waarschuwt onderzoeker Brannon Dorsey. De techniek die aanvallers hiervoor kunnen gebruiken wordt dns rebinding genoemd. Het zorgt ervoor dat een aanvaller vanaf het internet de firewall van de gebruiker kan omzeilen en zijn browser kan gebruiken om direct met de apparaten op het thuisnetwerk te communiceren. Dns rebinding kwam de afgelopen maanden verschillende keren in het nieuws. Zo bleken games van gameontwikkelaar Blizzard, zoals StarCraft en World of WarCraft, hier kwetsbaar voor te zijn, alsmede de torrentclient Transmission en de Fritzbox-modems van fabrikant AVM. De same-origin policy is een beveiligingsmaatregel die moet voorkomen dat een website die in de browser is geopend geen andere geopende websites kan benaderen. Ook zorgt het ervoor dat een script op een website geen toegang tot andere machines op het lokale netwerk kan krijgen. Een belangrijk onderdeel van de same-origin policy is het vergelijken van domeinnamen. Dns rebinding maakt hier gebruik van door het ip-adres van een domeinnaam snel te veranderen in een ander ip-adres. Voor de browser gaat het nog steeds om dezelfde domeinnaam, maar wordt er wel een ander ip-adres geladen. Dit kan zowel een lokaal als extern ip-adres zijn. Op deze manier kan een aanvaller via de browser van de gebruiker bij lokale ip-adressen komen en zo toegang tot allerlei apparaten krijgen. Dorsey plaatste op Medium een uitgebreide uitleg over de werking van dns rebinding. Ook ontdekte hij dat verschillende apparaten, zoals de Radio Thermostat CT50, Google Home, Chromecast, RokuTV en Sonos WiFi-speakers hiervoor kwetsbaar zijn of waren. Inmiddels is Roku met een update gekomen en doet Sonos dit volgende maand. Daarnaast zijn er verschillende maatregelen die eindgebruikers kunnen nemen, zoals het gebruik van OpenDNS dat verdachte ip-adressen in dns-verzoeken filtert. Een andere optie is het gebruik van Dnsmasq of het installeren van router-firmware zoals DD-WRT, aldus de onderzoeker. bron: security.nl

Oracle heeft beveiligingsupdates uitgebracht voor twee nieuwe varianten van de Spectre-aanvallen die vorige maand door Google en Microsoft werden aangekondigd. Het gaat om Spectre-variant 3a en variant 4 waarmee een aanvaller gevoelige informatie kan achterhalen. Voor het uitvoeren van de beide aanvallen moet een aanvaller al toegang tot het aangevallen systeem hebben. Voor het verhelpen van de vierde Spectre-variant moeten zowel software- als microcode-updates worden geïnstalleerd, terwijl voor de derde Spectre-variant de installatie van alleen microcode-updates voldoende is. Oracle heeft nu voor Oracle Linux en Oracle VM beveiligingsupdates uitgebracht, samen met de microcode die Intel onlangs uitrolde. bron: security.nl

De meeste Ubuntu-gebruikers die een nieuwe desktop-installatie uitvoeren kiezen ervoor om hun systeemgegevens met de ontwikkelaar te delen, zo meldt Will Cooke, directeur Ubuntu Desktop bij Canonical. In februari werd bekend dat Ubuntu gebruikers tijdens de installatie om data ging vragen. Tijdens de eerste login na de installatie verschijnt er een pop-up die vraagt of de gebruiker Ubuntu wil verbeteren. Daarin staat dat er systeemgegevens, locatiedata en informatie over geïnstalleerde applicaties worden verstuurd. Standaard staat de optie aangevinkt en gebruikers hebben de optie om het rapport met systeemgegevens eerst in te zien. Cooke meldt in een blogposting dat 67 procent van de gebruikers die de afgelopen maanden een nieuwe desktop-installatie uitvoerden hun diagnostische gegevens heeft gedeeld. Bij de aankondiging van het plan liet Cooke ook weten dat de verzamelde gegevens openbaar zouden worden gemaakt, waarbij de gebruikers anoniem zullen blijven. Het plan is dat de gegevens tijdens de ontwikkelfase van Ubuntu 18.10 beschikbaar worden gemaakt. Ubuntu heeft echter al een aantal gegevens vrijgegeven, zoals de installatietijd, schijfpartities en globale locaties van Ubuntu-gebruikers. Zo blijkt dat de gemiddelde installatie 18 minuten in beslag neemt en de meeste mensen een schone installatie uitvoeren waarbij hun schijf wordt gewist. De diagnostische data bestaat uit Ubuntu-versie, netwerkverbinding of niet, soort processor, geheugen, schijfgrootte, schermresolutie, videokaartfabrikant en model, computerfabrikant, locatie, installatieduur, of automatisch inloggen staat ingeschakeld, geselecteerde schijflayout, of er bij de installatie software van derden wordt geïnstalleerd, of het downloaden van updates tijdens de installatie staat aangevinkt en of LivePatch staat ingeschakeld of niet. Met de gegevens wil Ubuntu een duidelijker beeld van gebruikers krijgen. bron: security.nl