Captain Kirk

Google heeft een nieuwe testversie van Chrome uitgerold die over een betere pop-upblocker beschikt. Twintig procent van de meldingen die Chrome-gebruikers op de desktop doen gaat over ongewenste content. Het gaat dan bijvoorbeeld om third-party websites die vermomd zijn als een speelknop of transparante overlays op websites die alle clicks afvangen en een nieuwe tab of nieuw venster openen. Dergelijke methodes worden geregeld door scamsites en voor de verspreiding van adware en andere ongewenste software gebruikt. In Chrome 64 voorkomt de pop-upblocker dat websites met dergelijke content nieuwe tabs of vensters kunnen openen. Webmasters kunnen via de Google Search Console zien of dergelijke content op hun website is aangetroffen en maatregelen nemen. De nieuwe pop-upblocker is nu te testen in de betaversie van Chrome 64. bron: security.nl

Met de lancering van de Windows 10 April 2018 Update is het nu ook mogelijk om in de InPrivate browsing-mode van Microsoft Edge extensies in te schakelen. Net als Chrome en Firefox ondersteunt ook Edge een "private browsing-mode" die geen informatie over bezochte websites op het systeem opslaat. Voorheen was het in deze mode niet mogelijk om extensies in te schakelen. Na installatie van de Windows 10 April 2018 Update kunnen gebruikers echter per extensie bepalen of ze die ook in de InPrivate browsing-mode willen inschakelen. Hoewel Edge de standaard browser van Windows 10 is, heeft de browsers slechts een marktaandeel van zo'n 4 procent. Daarnaast blijft het aantal beschikbare extensies ver achter bij Chrome en Firefox. Waar deze browsers tienduizenden extensies hebben, zijn er voor Edge slechts 90 extensies beschikbaar. bron: security.nl

Mozilla heeft een optie aan Firefox Focus voor Android toegevoegd die gebruikers extra bescherming tegen tracking door adverteerders moet bieden. Firefox Focus is een op privacy gerichte Firefox-versie voor mobiele apparaten die standaard advertenties en trackers blokkeert en het mogelijk maakt om met een druk op de knop alle gegevens te wissen. Tot nu blokkeerde Firefox Focus alle first party trackers op websites waarvan bekend is dat ze gebruikers van website naar website volgen. Iets wat bekendstaat als "cross-site tracking". De nieuwe optie die aan Firefox Focus is toegevoegd geeft gebruikers meer controle over de herkomst van de trackers die gebruikers volgen. Zo is het mogelijk om bijvoorbeeld alle cookies te blokkeren of alleen die van derde partijen. De nieuwste versie van Firefox Focus voor Android is te downloaden via Google Play en als APK-bestand via GitHub. Firefox Focus is ook beschikbaar voor iOS, maar Mozilla maakt geen melding dat de nieuwe feature ook aan deze versie is toegevoegd. bron: security.nl

Een recent gedicht beveiligingslek in Internet Explorer 11 wordt actief door exploitkits aangevallen. Op dinsdag 8 mei kwam Microsoft met een update voor de kwetsbaarheid, die al sinds april het doelwit van gerichte aanvallen was. Bij deze aanvallen maakten de aanvallers echter gebruik van Word-documenten. Zodra gebruikers het toegestuurde kwaadaardige document openden werd de exploit uitgevoerd. Vier dagen geleden verscheen er een publieke exploit voor IE11 op Windows 7 die de kwetsbaarheid via een website aanvalt. In dit geval is alleen het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie voldoende om met een kwetsbare IE11-versie besmet te raken. De publieke exploit is nu onder andere aan de RIG-exploitkit toegevoegd, zo meldt beveiligingsonderzoeker Kafeine van het blog Malware don't need Coffee. Exploitkits maken gebruik van kwetsbaarheden in browsers en browserplug-ins die niet door gebruikers zijn gepatcht om zonder enige interactie malware te installeren. RIG is één van de populairste exploitkits van het moment. In het verleden werd de RIG-exploitkit onder andere gebruikt voor het infecteren van computers met ransomware en cryptominers. Volgens Net Applications heeft Internet Explorer 11 nog een marktaandeel van ruim 9 procent. bron: security.nl

Ontwikkelaars hebben een gratis opensource-extensie voor Google Chrome gemaakt die controleert of wachtwoorden van gebruikers ooit via een datalek op straat zijn beland. PassProtect, zoals de extensie heet, kijkt hiervoor in een database van meer dan 500 miljoen gelekte wachtwoorden. De database is afkomstig van onderzoeker Troy Hunt, die de afgelopen jaren tal van datalekken verzamelde. PassProtect is ontwikkeld door identiteitsmanagementbedrijf Okta. Aangezien de wachtwoorden die gebruikers invoeren worden vergeleken met eerder gelekte wachtwoorden gaat het hier om gevoelige data. Volgens Okta slaat PassProtect geen wachtwoorden van gebruikers op en verstuurt die ook niet via het netwerk. Hiervoor maakt de extensie gebruik van k-anonimity. Dit is een door Cloudflare ontwikkelde techniek die het mogelijk maakt om wachtwoorden te verifiëren zonder dat het wachtwoord of de volledige hash worden verstuurd. Als gebruikers op een website een wachtwoord invoeren dat onderdeel van een bekend datalek is, zal PassProtect een waarschuwing laten zien. Okta hoopt dat de extensie ervoor zal zorgen dat gebruikers hun wachtwoord na een datalek zullen wijzigen. PassProtect is te downloaden via de Chrome Web Store en de broncode via via GitHub in te zien. Binnenkort verschijnt er een versie voor Firefox. bron: security.nl

Netwerkfabrikant Netgear heeft gebruikers advies gegeven hoe ze hun router tegen de VPNFilter-malware kunnen beschermen. Gisteren lieten onderzoekers van Cisco weten dat de malware wereldwijd al 500.000 routers en NASsen heeft geïnfecteerd. De exacte infectievector is echter nog altijd onbekend. Wel is bekend dat verschillende Netgear-routers zich onder de getroffen apparaten bevinden. Daarop heeft Netgear een aparte security advisory met advies afgegeven. De fabrikant adviseert gebruikers om de laatste firmware te installeren, het standaard admin-wachtwoord te wijzigen en remote management uit te schakelen. Via deze laatste functie is het mogelijk om de router op afstand te beheren. Standaard staat de functie uitgeschakeld. In het advies wordt uitgelegd hoe gebruikers kunnen controleren of remote management inderdaad staat uitgeschakeld. MikroTik Fabrikant MikroTik, waarvan ook verschillende modellen het doelwit waren, stelt in een reactie dat de malware zeer waarschijnlijk is binnengekomen via een kwetsbaarheid die in maart 2017 werd gepatcht. Het installeren van de nieuwste RouterOS-versie, het besturingssysteem van MikroTik-routers, verwijdert de malware. bron: security.nl

Google heeft juridische stappen tegen verschillende bedrijven genomen die zich bij bedrijven en organisaties als Google voordoen. De scammers claimen dat ze de zoekranking van bedrijven kunnen verbeteren of ze vragen om geld voor diensten die Google gratis levert. Ook dreigen de scammers dat ze de bedrijven uit de zoekresultaten van Google en Google Maps verwijderen. Eerder deze maand nam de Amerikaanse toezichthouder FTC al maatregelen tegen een dergelijk bedrijf voor het misleiden van consumenten. Nu neemt ook Google stappen tegen verschillende van deze bedrijven. Daarnaast heeft de internetgigant technieken ontwikkeld die moeten helpen bij het identificeren van accounts die bij scams zijn betrokken. Verder is er een nieuwe tool ontwikkeld waar bedrijven scammers en beleidsovertredingen kunnen rapporteren en is er een programma gestart dat bedrijven een overzicht van betrouwbare partners toont. Wanneer bedrijven en organisaties worden gebeld door individuen die zich als een Google-medewerker voordoen adviseert Google om te vragen of ze een e-mail vanaf hun Google-account willen versturen. Alleen Google-medewerkers kunnen namelijk e-mail vanaf @google.com versturen. bron: security.nl

Onderzoekers van Cisco waarschuwen voor nieuwe malware genaamd VPNFilter die meer dan 500.000 routers en NASsen in meer dan 54 landen heeft geïnfecteerd en systemen onbruikbaar kan maken. Het gaat om routers van Linksys, MikroTik, NETGEAR en TP-Link en NASsen van fabrikant Qnap. De malware kan inloggegevens voor websites stelen en Modbus-SCADA-protocollen monitoren. Ook kan de malware een besmet apparaat onbruikbaar maken. Volgens de onderzoekers van Cisco heeft de code van VPNFilter overeenkomsten met de BlackEnergy-malware, die eerder tegen de Oekraïne werd ingezet. VPNFilter zou daarnaast Oekraïense systemen met een "alarmerende snelheid" infecteren. Hoewel het onderzoek naar de malware nog niet is afgerond heeft Cisco besloten om details al openbaar te maken. VPNFilter wordt omschreven als een "multi-stage, modulair platform" dat zowel het verzamelen van inlichtingen als destructieve cyberaanvallen ondersteunt. In tegenstelling tot de meeste malware die Internet of Things-apparaten infecteert kan de eerste fase van VPNFilter een herstart van het systeem overleven. Dat geldt echter niet voor de tweede fase, die wordt gebruikt om informatie te verzamelen. Sommige versies van deze tweede fase beschikken echter ook over een "self destruct" die een deel van de firmware overschrijft en daarna het systeem herstart, waarna het apparaat onbruikbaar achterblijft. "In de meeste gevallen kunnen de meeste slachtoffers deze actie niet ongedaan maken, en vereisen technische kennis, mogelijkheden en tools waarvan je niet kan verwachten dat eindgebruikers die hebben. We maken ons ernstig zorgen over deze mogelijkheid en het is de voornaamste reden dat we deze dreigingen de afgelopen maanden stilletjes hebben onderzocht", aldus William Largent van Cisco. De onderzoekers vermoeden dat er ook nog een derde fase van de malware bestaat, maar hebben die niet weten te bemachtigen. Hoe de apparaten precies besmet raken is nog onbekend, maar ze bevatten allemaal bekende kwetsbaarheden die op afstand zijn aan te vallen. Er wordt dan ook niet aan het gebruik van zeroday-exploits gedacht. Volgens Largent is het lastig om tegen de malware te beschermen, aangezien het lastig voor eindgebruikers is om de kwetsbaarheden te patchen. Afsluitend geeft Cisco gebruikers het advies om de fabrieksinstellingen van hun routers of NASsen te herstellen, aangezien dit de malware verwijdert. Providers wordt gevraagd om de routers van hun klanten te resetten. "Uit voorzorg adviseren we dat deze maatregelen voor alle SOHO-routers en NASsen worden genomen, ongeacht of ervan bekend is dat ze kwetsbaar voor deze dreiging zijn", besluit Largent. bron: security.nl

Europol heeft vandaag een waarschuwing afgegeven voor fraude die via social engineering plaatsvindt. De opsporingsdienst spreekt zelfs van één van de grootste dreigingen voor EU-burgers op het gebied van transnationale georganiseerde criminaliteit. Aanleiding voor de waarschuwing is het oprollen van een bende die via social engineering en phishing 8 miljoen euro wist te stelen. De bende deed zich voor als leveranciers van organisaties in de publiek sector. Vervolgens stelden de criminelen dat de organisatie nog een openstaande rekening had. Zodra er contact met de organisatie was gelegd werd die verteld om het geld naar een andere rekening over te maken. Het ging in deze gevallen om een rekening die door een katvanger was geopend. Volgens Europol heeft de bende bijna 700 rekeningen geopend om het geld van hun illegale activiteiten te ontvangen. Het geld werd vervolgens naar internationale bankrekeningen overgemaakt. Ook hield de bende zich bezig met online fraude tegen private instanties. Hierbij werd er gebruik gemaakt van phishing. Tevens maakte de bende zich schuldig aan oplichting door afbeeldingen van websites te kopiëren en zich als legitieme verhuursites voor te doen. Tijdens het onderzoek naar de bende werden 33 mensen in Roemenië en Spanje aangehouden en vijf woningen doorzocht. "Social engineering-gebaseerde fraude blijft één van de grootste dreigingen voor EU-burgers op het gebied van transnationale georganiseerde criminaliteit, alsmede voor private en publieke instanties. Elk jaar weten georganiseerde criminele organisaties miljarden te verdienen in wat wordt gezien als de één na grootste bron van criminele verdiensten na de drugshandel", aldus Jari Liukku, hoofd van Europols Serious Organised Crime Centre. bron: security.nl

Mozilla is begonnen om Firefox Accounts van tweefactorauthenticatie te voorzien. Dat heeft de opensource-ontwikkelaar via een blogposting laten weten. Via een Firefox Account kunnen Firefox-gebruikers hun bookmarks, wachtwoorden en open tabbladen op meerdere apparaten benaderen. Om gebruikers een extra beveiligingslaag te bieden is het nu mogelijk om tweefactorauthenticatie in te stellen. Gebruikers moeten dan naast hun wachtwoord ook een aanvullende beveiligingscode invoeren. Hiervoor heeft Mozilla gekozen voor de TOTP-standaard (Time-based One-Time Password). TOTP-codes zijn via verschillende authenticator-apps te genereren, zoals Authy, Duo, FreeOTP en Google Authenticator. Daarnaast is er ondersteuning voor recovery-codes toegevoegd in het geval gebruikers toegang tot hun TOTP-applicatie verliezen. Gebruikers kunnen tweefactorauthenticatie via de instellingen instellen. bron: security.nl

Microsoft gaat volgende maand Flash, Shockwave en Silverlight in Office 365 blokkeren, zo heeft de softwaregigant aangekondigd. Volgens Microsoft maken aanvallers gebruik van de plug-ins om Office-gebruikers aan te vallen. Daarnaast worden ze weinig gebruikt en wordt de ondersteuning van Flash en Silverlight door browsers en besturingssystemen afgebouwd. Zo werd er eerder dit jaar nog een zeroday-aanval ontdekt waarbij aanvallers Excel- en Word-documenten gebruikten die een kwaadaardig Flash-object bleken te bevatten. Een andere reden die Microsoft noemt is dat Adobe vorig jaar juli het einde van de ondersteuning van Flash Player aankondigde. De technologie wordt na 2020 niet meer ondersteund. Microsoft zal naar verwachting Silverlight in 2021 niet meer ondersteunen, waarbij sommige browserontwikkelaars en besturingssystemen de technologie al sinds 2016 niet meer ondersteunen. De aanpassing geldt alleen voor Office 365 en niet voor Office 2016,2013 of 2010. Gebruikers van Office 365 en Office 2016 die de maatregel nu al willen invoeren worden door Microsoft naar deze uitleg verwezen. De softwaregigant zal Flash, Shockwave en Silverlight volgende maand in het Office 365 Monthly Channel blokkeren. In september volgt het Office 365 Semi Annual Targeted (SAT) Channel en in januari 2019 is ook als laatste het Office 365 Semi Annual (SA) Channel aan de beurt. Voor gebruikers die bijvoorbeeld Flash willen inschakelen is het mogelijk om dit te "unblocken". bron: security.nl

Aanvallers maken gebruik van SYLK-bestanden om malware te verspreiden, zo waarschuwt het Internet Storm Center (ISC). SYmbolic LinK (SYLK)-bestanden is een bestandsformaat van Microsoft dat met name wordt gebruikt om data tussen applicaties uit te wisselen, met name spreadsheets. In Windows-omgevingen krijgen de bestanden een op Excel-lijkend icoon. De bestanden worden via e-mail verspreid en doen zich voor als een factuur. Wanneer het bestand wordt geopend zal Excel vragen om dynamische content in het bestand bij te werken. In werkelijkheid zorgt dit ervoor dat er malware op het systeem wordt geïnstalleerd. Het bijwerken van de dynamische content is echter afhankelijk van de Excel-instellingen. Naast het vragen om toestemming kan Excel dit ook automatisch doen, zo meldt ISC-handler Xavier Mertens. bron: security.nl

Microsoft heeft besloten om de rechten die "het hart" van de nieuwe Europese privacywetgeving AVG vormen voor alle gebruikers wereldwijd te laten gelden. Het gaat om de "Data Subject Rights" die mensen onder andere het recht geven om te vragen welke informatie Microsoft over hen heeft verzameld en om die data vervolgens aan te passen, te verwijderen of ergens anders mee naar toe te nemen. Ook heeft Microsoft de privacyverklaring voor consumentenproducten en -diensten bijgewerkt. Volgens de softwaregigant gelden de belangrijkste rechten van de AVG nu voor alle gebruikers wereldwijd. Ook bevat de nieuwe verklaring specifieke informatie en aanpassingen met betrekking tot de AVG. "Maar misschien het belangrijkste is dat het ontworpen is om duidelijker en transparanter te zijn", aldus Microsofts Julie Brill. bron: security.nl

Google en Microsoft waarschuwen voor nieuwe Spectre- en Meltdown-aanvallen waardoor aanvallers toegang tot gevoelige informatie kunnen krijgen. De aanvallen, Speculative Store Bypass (SSB) en Rogue System Register Read (RSRE), zijn zogenaamde "speculative execution side channel" aanvallen en maken misbruik van de architectuur die ontwikkeld is om de prestaties van processors te verbeteren. Via RSRE, wat een variant van de Meltdown-aanval is, kan een aanvaller die al lokale toegang tot een systeem heeft via side-channel analyse systeemparameters uitlezen en gevoelige informatie verkrijgen. SSB is een aanval die misbruik maakt van "speculatieve bypass" en maakt het mogelijk voor een aanvaller om oudere geheugenwaarden in de cpu-stack of andere geheugenlocaties uit te lezen. Zodoende kan code met lagere rechten toegang tot data met hogere rechten krijgen en oudere commando's speculatief uitvoeren. Systemen met processors van AMD, ARM en Intel zijn kwetsbaar. De fabrikanten laten weten dat er updates worden ontwikkeld. Volgens Microsoft vormt de SSB-aanval een klein risico voor gebruikers. Daarnaast heeft Microsoft al eerder updates voor Spectre en Meltdown uitgerold die ook in bepaalde gevallen tegen SSB helpen. AMD laat weten dat Microsoft op dit moment aan AMD-specifieke updates werkt die via Windows Update zullen worden uitgerold en tegen de SSB-aanval bescherming bieden. AMD-processors zijn niet kwetsbaar voor de RSRE-aanval. Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT), het het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit en Red Hat hebben meer informatie over de kwetsbaarheden gepubliceerd bron: security.nl

Dell heeft een beveiligingslek in SupportAssist gedicht, een tool die standaard op de nieuwste Dell-apparaten met Windows wordt meegeleverd. SupportAssist controleert de status van de hardware en software op het systeem en zal bij problemen automatisch informatie naar Dell versturen zodat het "probleemoplossingsproces" kan worden gestart. Onderzoeker Bryan Alexander ontdekte een kwetsbaarheid in de driver van SupportAssist waardoor een ongeprivilegieerde gebruiker zijn rechten op het systeem kan verhogen. Volgens Alexander is er niet echt sprake van een bug, omdat de driver de functie waardoor een gebruiker zijn rechten kan verhogen "maar al te graag blootstelt". Dell werd op 5 april over de kwetsbaarheid geïnformeerd. Vorige week woensdag verscheen SupportAssist versie 2.2 waarin het probleem is verholpen, waarop Alexander details over het beveiligingslek openbaar maakte. bron: security.nl

De Duitse overheid heeft processorfabrikanten opgeroepen om nieuwe kwetsbaarheden genaamd Spectre NG te patchen. Begin mei werd bekend dat er nieuwe beveiligingslekken in de processors van Intel aanwezig zijn en mogelijk ook in die van andere fabrikanten. Via de kwetsbaarheden is het onder andere mogelijk om uit een virtual machine te ontsnappen en het onderliggende host-systeem aan te vallen. Ook kan er toegang tot wachtwoorden en encryptiesleutels worden verkregen. Net als de Spectre-lekken die in januari bekend werden gemaakt maken ook de Spectre NG-lekken misbruik van de architectuur die ontwikkeld is om de prestaties van processors te verbeteren. "Aangezien een kortetermijnrevisie van kwetsbare processors in de praktijk niet realistisch is, moeten deze en soortgelijke toekomstige kwetsbaarheden goed worden opgelost. Alleen met de hulp van fabrikantonafhankelijke patches in hardware en software kan de potentiële schade zoveel mogelijk worden beperkt", aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Volgens het BSI, dat de Spectre NG-lekken heeft onderzocht en bevestigd, is het omwisselen van kwetsbare processors alleen op de lange termijn haalbaar. Op dit moment stelt de Duitse overheidsinstantie dat het niet mogelijk is om de zwakke plekken helemaal te verhelpen en kunnen de risico's alleen worden beperkt. Het BSI roept chipfabrikanten dan ook op om de kwetsbaarheden op te lossen. Cloud- en virtualisatieproviders, die met name door deze kwetsbaarheden risico lopen, moeten de impact voor hun diensten bepalen. Als laatste krijgen eindgebruikers het advies om software-updates zo snel mogelijk te installeren. Onlangs werd bekend dat updates voor Intel-processors zijn uitgesteld. bron: security.nl

Mozilla heeft een nieuwe versie van Thunderbird uitgebracht om gebruikers tegen de EFAIL-aanval te beschermen. Via deze aanval, die afgelopen maandag werd geopenbaard, is het in bepaalde gevallen mogelijk voor een aanvaller om de inhoud van een versleutelde e-mail te achterhalen. Hiervoor moet een aanvaller over een versleutelde e-mail van het slachtoffer beschikken en moet de e-mailclient van het slachtoffer HTML-code / remote content uitvoeren. De kwetsbaarheden die voor de aanval worden gebruikt waren gevonden door onderzoekers van de Universiteit van Münster, Ruhr-Universität Bochum en NXP Semiconductors. Thunderbird 52.8 verhelpt in totaal dertien kwetsbaarheden, waaronder twee EFAIL-lekken die de onderzoekers ontdekten. De eerste kwetsbaarheid maakt het mogelijk om via remote content in een versleuteld bericht de onversleutelde inhoud te achterhalen. Het tweede lek betreft de mogelijkheid om via het src-attribuut de inhoud van versleutelde berichten te achterhalen. Eerder deze week liet Mozilla al weten dat gebruikers tot het verschijnen van Thunderbird 52.8 en 52.8.1 remote content moeten uitschakelen (iets wat de standaardinstelling is) en de optie "allow now" voor het laden van remote content in versleutelde e-mails niet moeten toestaan. Updaten naar Thunderbird 52.8 kan via de e-mailclient en Thunderbird.net. bron: security.nl

Het was al langer bekend dat de nieuwste versie van Windows 10 problemen had met verschillende SSD's, maar nu zorgt het bedrijf ervoor dat computers met deze hardware de update niet langer krijgen. Het gaat om de Intel SSD 600p, Intel SSD Pro 6000p, Toshiba XG4, XG5 en BG3-series. Systemen met de Intel drives krijgen te maken met de zwarte UEFI-schermen en kunnen Windows niet meer starten en gebruikers met de Toshiba SSD's krijgen te maken met oververhitte drives en snel leeglopende accu's. Terugdraaien Gebruikers die deze drives in hun systeem hebben en de nieuwste update al hebben geïnstalleerd wordt aangeraden een rollback uit te voeren of, als het herstelproces faalt, de vorige versie van Windows 10 opnieuw te installeren. Microsoft zegt in verschillende ondersteuningsthreads intensief samen te werken met de fabrikanten om het probleem zo snel mogelijk op te lossen. Het is nog niet bekend wanneer er een patch voorhanden is. bron: Webwereld.nl

Microsoft gaat een maatregel aan Edge en Internet Explorer toevoegen die gebruikers extra bescherming tegen cross-site request forgery (CSRF) aanvallen moet bieden. Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een webapplicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Om dergelijke aanvallen tegen te gaan gaat Microsoft same-site cookies in Edge en IE ondersteunen. Bij elk verzoek naar een website stuurt de browser een cookie mee. De meeste websites maken van dit mechanisme gebruik om te bepalen of gebruikers zijn ingelogd. Het feit dat cookies automatisch met elk verzoek van de browser worden meegestuurd kan door aanvallers worden misbruikt om gebruikers ongewenste acties uit te laten voeren op de website waar ze op dat moment zijn ingelogd. Een aanvaller die controle over third-party code op de website heeft kan vervolgens in naam van de gebruiker acties op die website uitvoeren. De huidige webarchitectuur biedt op dit moment geen mogelijkheid voor websites om op betrouwbare wijze onderscheid te maken tussen de acties van een gebruiker of die van een third-party script. Het same-site cookie kan hierbij echter uitkomst bieden. Het same-site cookie attribuut laat een website aan de browser weten dat cookies alleen moeten worden verstuurd als het verzoek afkomstig is van de website waar ook het cookie vandaan komt. Verzoeken die van andere url's afkomstig zijn dan van de url die in de adresbalk staat vermeld zullen geen van de cookies met dit nieuwe attribuut bevatten. Het same-site-attribuut kent twee modes waar websites uit kunnen kiezen; een strenge en een lakse mode. Dit bepaalt onder andere wanneer een gebruiker als ingelogd wordt beschouwd na het openen van een link op een externe website. Same-site cookies zijn backwards compatibel. Browsers die het niet ondersteunen zullen het attribuut negeren en het cookie als een normaal cookie beschouwen. Microsoft heeft de maatregel nu al in een testversie van Edge doorgevoerd. Eerder kondigde ook Mozilla aan dat het same-site cookies in Firefox gaat ondersteunen. bron: security.nl

Vanaf september dit jaar zal Chrome bij https-websites niet meer de melding "Veilig" laten zien. Uiteindelijk zal ook het slotje niet meer worden getoond, zo heeft Google aangekondigd. Begin april werd al bekend dat Google dit van plan was, alleen ontbraken toen concrete details. De internetgigant wil de "positieve beveiligingsindicatoren" gaan verwijderen zodat gebruikers alleen worden gewaarschuwd als er iets mis is. "Gebruikers moeten kunnen verwachten dat het web standaard veilig is en ze worden gewaarschuwd wanneer er een probleem is", zegt Emily Schechter, productmanager Chrome Security. In september met de lancering van Chrome 69 zal daarom de melding "Veilig" niet meer worden getoond. Uiteindelijk zal ook het slotje worden uitgefaseerd. Google was eerder van plan om alle http-sites standaard als "Onveilig" te bestempelen. Volgens Schechter was het aantal http-sites echter te groot om die allemaal van een "duidelijke rode waarschuwing" te voorzien. Vanaf oktober, met de lancering van Chrome 70, zal echter bij alle http-sites waar gebruikers data kunnen invoeren een dergelijke waarschuwing verschijnen. "We hopen dat deze aanpassingen voor een web zullen zorgen dat standaard veilig is te gebruiken", aldus Schechter. bron: security.nl

Internationale politieke organisaties die bescherming tegen ddos-aanvallen zoeken kunnen binnenkort bij Google terecht. Google en Jigsaw, beide onderdelen van moederbedrijf Alphabet, hebben daarvoor Project Shield aangekondigd. Een gratis dienst die Google-technologie gebruikt om ddos-aanvallen te voorkomen. Google besloot eerder al om via Project Shield nieuwsorganisaties en mensenrechtenbewegingen wereldwijd tegen ddos-aanvallen te beschermen. Zo werden vorig jaar nog Nederlandse stemwijzers via Project Shield beschermd. In een aankondiging op Medium stelt Google dat politieke organisaties een essentiële rol in het democratische proces spelen en dezelfde verdediging tegen cyberaanvallen verdienen waar nieuwsorganisaties gebruik van kunnen maken. Google merkt op dat er een toename is van digitale aanvallen tegen democratische instellingen, zowel qua frequentie als intensiteit. Om deze aanvallen af te slaan is Project Shield ontwikkeld, dat gebruik maakt van een "reverse proxy multi-layer defense system". Dat houdt in dat verzoeken van eindgebruikers eerst lang Project Shield gaan. Op deze manier kan Google kwaadaardig verkeer filteren. De legitieme verzoeken worden vervolgens naar de website doorgelaten. Amerikaanse politieke organisaties kunnen nu al gebruik van de dienst maken. De komende maanden zal Project Shield ook onder internationale politieke organisaties worden aangeboden. bron: security.nl

Onderzoekers hebben een agressieve cryptominer ontdekt die de computer laat crashen zodra geprobeerd wordt om de malware te verwijderen. WinstarNssmMiner, zoals securitybedrijf Qihoo 360 de malware noemt, kijkt eerst wat voor soort anti-virussoftware op het systeem is geïnstalleerd. Wanneer "degelijke" anti-virussoftware wordt aangetroffen, zoals Avast of Kaspersky Lab aldus de onderzoekers, zal de malware automatisch stoppen. Gaat het echter om zwakke anti-virussoftware, dan zal de malware die uitschakelen. De malware start ook twee processen, waarvan er één de computer voor cryptomining inzet, terwijl het tweede proces de virusscanner probeert te detecteren om zo detectie te ontlopen. Wanneer slachtoffers proberen om de malware te stoppen en verwijderen zal de computer crashen, zo laten de onderzoekers verder weten. Hiervoor heeft de malware het crypto-miningproces als kritiek proces ingesteld. Wanneer het proces wordt beëindigd zal zodoende de computer crashen. Aan de hand van de wallet die de cryptominer gebruikt hebben de onderzoekers vastgesteld dat die al 133 Monero heeft verkregen, wat bijna 23.000 euro is. bron: security.nl

Onderzoekers hebben malware ontdekt die cache en sleutelbestanden van de versleutelde chatdienst Telegram steelt om zo sessies te kapen. De eerste versie van de malware, die zich op de desktopversie van Telegram richt, werd op 10 april van dit jaar ontdekt, gevolgd door een tweede variant vier dagen later. Dat meldt Cisco in een analyse. De eerste versie kon alleen inloggegevens en cookies in de browser stelen, alsmede alle tekstbestanden die op het systeem werden gevonden. De tweede variant maakte ook de desktopcache en sleutelbestanden van Telegram buit en inloggegevens voor het spelplatform Steam. De maker van de malware zou verschillende video's hebben gemaakt waarin wordt uitgelegd hoe de verzamelde bestanden zijn te gebruiken om Telegram-sessies te kapen. De onderzoekers merken op dat de malware geen gebruik maakt van kwetsbaarheden in Telegram. "De malware richt zich op de desktopversie van Telegram, die geen Secret Chats ondersteunt en zwakke standaardinstellingen heeft", aldus onderzoeker Vitor Ventura. Telegram maakt standaard geen gebruik van end-to-end-encryptie. Bij Secret Chats wordt er wel via deze encryptiemethode gecommuniceerd en zijn berichten alleen door de afzender en ontvanger te lezen. "De malware maakt misbruik van het ontbreken van Secret Chats in de desktopapplicatie, wat een feature is en geen bug", gaat Ventura verder. Daarnaast beschikt de desktopversie van Telegram niet over een automatisch uitlogfunctie. "Deze twee elementen samen laten de malware de sessie en vervolgens berichten kapen", zegt de onderzoeker. Ook contacten en eerdere chatgesprekken van het slachtoffer worden hierbij gecompromitteerd. Ventura merkt op dat de malware zich voornamelijk op Russisch sprekende gebruikers richt. bron: security.nl

Microsoft heeft een nieuwe regel opgesteld voor anti-virussoftware die op Windows 10 draait. De Windows Security Center (WSC) service vereist voortaan dat anti-virussoftware als een beveiligd proces draait. Pas dan wordt het door het WSC geregistreerd. Een beveiligd proces staat alleen vertrouwde, gesigneerde code toe en heeft ingebouwde bescherming tegen aanvallen waarbij wordt geprobeerd om code in het proces te injecteren. Dit moet de Windows-kernel beschermen tegen aanvallen die op systeemkritieke onderdelen zijn gericht. Virusscanners bevinden zich diep in het besturingssysteem en een kwetsbaarheid of aanval kan dan ook vergaande gevolgen hebben. Anti-virussoftware die hier niet aan voldoet zal niet in de gebruikersinterface van het Windows Security Center van Windows 10 worden weergegeven en Windows Defender zal in deze gevallen naast de geïnstalleerde virusscanner draaien. Microsoft heeft de nieuwe verplichting al doorgevoerd in de Windows 10 Insider Preview Build 17672. Gebruikers kunnen in deze testversie van het besturingssysteem via een registersleutel de vereiste uitschakelen, maar Microsoft merkt op dat deze sleutel uiteindelijk zal worden verwijderd. bron: security.nl

Screenshots die Firefox-gebruikers maakten en besloten op te slaan werden in een publiek toegankelijke cloud bewaard. Daar waren ze voor iedereen toegankelijk, zo ontdekte een Nederlandse ethische hacker op Twitter. Firefox Screenshots is een feature die gebruikers screenshots laat maken en delen. Zodra er een screenshot is gemaakt kunnen gebruikers kiezen voor een knop met de tekst "Opslaan", een downloadknop of de optie om de afbeelding naar het klembord te kopiëren. Zodra gebruikers voor Opslaan kozen werd de afbeelding naar screenshots.firefox.com geupload en geïndexeerd door zoekrobots. Via bijvoorbeeld Google kon er specifiek naar screenshots op dit subdomein worden gezocht. Nadat het probleem via Twitter openbaar was gemaakt kwam Mozilla binnen twee uur met een oplossing. Ook heeft Mozilla aan Google gevraagd om de domeinen te "strippen". bron: security.nl