Captain Kirk

De versleutelde chatdienst Signal heeft opnieuw een ernstig beveiligingslek in de Desktop-app verholpen waardoor een aanvaller op afstand code had kunnen uitvoeren. Het ging om een variant van de aanval die op 14 mei werd geopenbaard. Signal is een chat-app waarmee smartphone-gebruikers end-to-end versleuteld kunnen communiceren. Naast de Signal-app voor smartphones is er Signal Desktop, een applicatie die gebruikers Signal-berichten via hun laptop of desktop laat ontvangen. Alle berichten worden vervolgen gesynchroniseerd met de Signal-app op de smartphone. Onderzoekers ontdekten dat het mogelijk was om willekeurige code uit te voeren door een kwaadaardige link naar een Signal Desktop-gebruiker te sturen. Verdere interactie was niet nodig en de aanval werkte platformonafhankelijk. Signal werd op 10 mei over de kwetsbaarheid ingelicht en een dag later was er een update beschikbaar. Onderzoeker Matthew Bryant besloot naar eigen zeggen te raden waar de kwetsbaarheid zich precies bevond en hoe die te misbruiken was. Hij ontdekte dat als er een HTML-bericht werd gemaakt en er vervolgens met Quoted Reply op het bericht werd gereageerd, de originele HTML-code ook als HTML werd beschouwd. Bryant installeerde de update van 11 mei, maar tot zijn verbazing bleek zijn exploit nog steeds te werken. Bryant besefte dat de onderzoekers voor hun exploit gewone Signal-berichten verstuurden die als HTML werden geïnterpreteerd. Ze maakten geen gebruik van Quoted Replies die Bryant voor zijn exploit gebruikte. Hij waarschuwde daarop het Signal-team. Binnen twee uur werd er een update onder Signal Desktop-gebruikers uitgerold. bron: security.nl

Red Hat, CentOS en Fedora hebben een ernstig beveiligingslek in de dhcp-client gedicht waardoor een aanvaller willekeurige code met rootrechten had kunnen uitvoeren. De kwetsbaarheid kon zich voordoen bij systemen die de NetworkManager gebruiken om via dhcp (dynamic host configuration protocol) de netwerkconfiguratie op te vragen. Een kwaadaardige dhcp-server of een aanvaller op het lokale netwerk die dhcp-responses kon spoofen had via de kwetsbaarheid op deze systemen willekeurige commando's met rootrechten kunnen uitvoeren. De NetworkManager wordt door sommige besturingssystemen ook gebruikt op server-systemen. Red Hat heeft updates uitgebracht voor Enterprise Linux 6 en 7. Ook zijn er updates voor CentOS 6 en 7 verschenen, alsmede Fedora 27 en 28. Het Nationaal Cyber Security Centrum (NCSC) verwacht dat er binnenkort een proof-of-concept exploit voor deze kwetsbaarheid zal worden gepubliceerd. bron: security.nl

Onderzoekers hebben eind maart een pdf-document ontdekt dat twee zeroday-lekken in Adobe Acrobat Reader en Windows combineerde waardoor systemen volledig konden worden overgenomen. Gisteren verscheen er een beveiligingsupdate van Adobe voor het lek in Acrobat Reader. Vorige week dinsdag werd het beveiligingslek in Windows al door Microsoft gepatcht. Het pdf-document was door iemand naar een publieke repository voor malware geupload, waar onderzoekers van anti-virusbedrijf ESET het bestand vonden. Het document bleek misbruik van twee onbekende kwetsbaarheden te maken waardoor een aanvaller op afstand code met kernelrechten had kunnen uitvoeren. Alleen het openen van het pdf-document was voldoende geweest. Acrobat beschikt over een sandbox die als een extra beveiligingslaag fungeert. Zelfs wanneer een aanvaller erin slaagt om code uit te voeren moet de aanvaller nog uit de sandbox breken om het onderliggende systeem over te nemen. Het ontsnappen uit de sandbox wordt meestal gedaan via een kwetsbaarheid in het besturingssysteem. Via het zeroday-lek in Windows konden de aanvallers hun rechten verhogen. De combinatie van beidde lekken maakte het zo mogelijk om een systeem volledig te compromitteren wanneer er een kwaadaardig pdf-document werd geopend. Het ontdekte pdf-document bevatte geen "payload". ESET vermoedt dan ook dat het document mogelijk vroegtijdig in de ontwikkeling is ontdekt. In de aankondiging van de beveiligingsupdate liet Adobe weten dat het niet bekend is met exploits in "het wild" die van de kwetsbaarheid misbruik maken. Wel adviseerde het softwarebedrijf om de beveiligingsupdate snel te installeren, waarbij als voorbeeld binnen 72 uur werd gegeven. Adobe adviseert normaliter om Acrobat-updates binnen 30 dagen te installeren. Het advies om snel te updaten wordt alleen gegeven als een kwetsbaarheid wordt aangevallen of wanneer er een groter risico op aanvallen is. bron: security.nl

Een beveiligingslek in de desktopapplicatie van de versleutelde chat-app Signal had aanvallers op afstand code kunnen laten uitvoeren, waardoor gevoelige data kon worden gestolen. Alleen het versturen van een speciaal geprepareerd bericht naar een Signal Desktop-gebruiker was voldoende geweest. Signal is een chat-app waarmee smartphone-gebruikers end-to-end versleuteld kunnen communiceren. Naast de Signal-app voor smartphones is er Signal Desktop, een applicatie die gebruikers Signal-berichten via hun laptop of desktop laat ontvangen. Alle berichten worden vervolgen gesynchroniseerd met de Signal-app op de smartphone. Beveiligingsonderzoekers Ivan Ariel Barrera Oro, Alfredo Ortega en Juliano Rizzo ontdekten het probleem bij toeval toen ze een link met cross-site scripting (XSS) op een andere website via Signal Desktop uitwisselden. De desktopapplicatie bleek niet goed met de link om te gaan. Content Security Policy (CSP) zorgde er echter voor dat de scripts die via de kwaadaardige link werden aangeroepen niet werkten. Door de url binnen een iframe te verwerken was het echter wel mogelijk om dit te doen, zelfs het laden van code vanaf een SMB-share werkte. "Het belangrijke is dat het geen interactie van het slachtoffer vereist, anders dan een gesprek te starten. Iedereen kan binnen Signal een gesprek starten, dus een aanvaller hoefde alleen een speciaal geprepareerde url te versturen om zonder verdere interactie het slachtoffer te hacken. En het is platformonafhankelijk", aldus de onderzoekers. Signal werd op 10 mei over de kwetsbaarheid ingelicht en een dag later was er een update beschikbaar. Gisteren maakten de onderzoekers details over het lek bekend. bron: security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft een nieuwe versie van de privacyplug-in Privacy Badger uitgebracht die een manier blokkeert waarop Facebook gebruikers volgt. Het gaat om een techniek genaamd link-tracking. Hierdoor ziet Facebook wanneer een gebruiker een link op Facebook opent. Een link op Facebook.com wijst niet direct naar de bedoelde website, maar eerst naar een url van Facebook. Deze url stuurt de gebruiker vervolgens door naar de bedoelde website. Zodra een link op Facebook.com door een gebruiker wordt geopend ziet Facebook daardoor wie de gebruiker is, waar die vandaan komt en waar die naar toe gaat. Facebook gebruikt echter code om link-tracking voor gebruikers te verbergen. Zodra die met hun muis over een link bewegen lijkt die gewoon direct naar de bedoelde website te gaan en wordt de tracking-link verborgen. Wanneer gebruikers de link openen wordt de tracking-link alsnog uitgevoerd. Om dit tegen te gaan stript Privacy Badger alle tracking-links op Facebook, zodat gebruikers direct naar de bedoelde website gaan, zonder dat dit eerst langs Facebook gaat. De komende maanden zal de EFF verder onderzoek doen naar de manieren waarop Facebook, Google en Twitter internetgebruikers op hun eigen sites volgen en hier mogelijk ook maatregelen tegen nemen. Privacy Badger is beschikbaar voor Chrome, Firefox en Opera. bron: security.nl

Adobe heeft vandaag belangrijke beveiligingsupdates uitgebracht voor Acrobat en Acrobat Reader die in totaal 47 beveiligingslekken verhelpen, waarvan er 24 als ernstig zijn aangemerkt. Via dergelijke kwetsbaarheden kan een aanvaller in het ergste geval volledige controle over een systeem krijgen. Alleen het openen van een kwaadaardig pdf-document is in dit geval voldoende. Via de overige beveiligingslekken was het mogelijk om beveiligingsmaatregelen te omzeilen en informatie te achterhalen, waaronder wachtwoordhashes. Gebruikers krijgen het advies om te updaten naar Acrobat DC of Acrobat Reader versie 22018.011.20040, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30080, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30418. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. In tegenstelling tot het vorige beveiligingsbulletin van Adobe voor Acrobat Reader wordt nu geadviseerd om de beveiligingsupdates snel te installeren. Als voorbeeld wordt gegeven het installeren van de update binnen 72 uur. In februari werd nog een termijn van 30 dagen aangehouden voor het installeren van de updates. Het advies om snel te updaten wordt gegeven als een kwetsbaarheid wordt aangevallen of wanneer er een groter risico op aanvallen is. Adobe zegt dat het niet bekend is met aanvallen die al op dit moment van de kwetsbaarheden misbruik maken. bron: security.nl

De Nederlandse beveiligingsonderzoeker Sjoerd van der Hoorn, die onlangs in het nieuws kwam met zijn onderzoek naar openbare beroepsregisters, heeft een Chrome-extensie ontwikkeld die reacties en andere ingevoerde tekst op websites versleutelt. "Zo kan bijvoorbeeld op een openbaar forum een gecodeerd bericht worden achtergelaten", aldus Van der Hoorn tegenover Security.NL. Ook wanneer gebruikers op locaties zijn waar andere beveiligde kanalen niet beschikbaar zijn wordt het gebruik van "Geheim", zoals de extensie heet, aangeraden om een versleuteld bericht via een openbaar kanaal achter te laten. De nieuwste versie van Geheim ondersteunt standaard AES (symmetrische) en RSA (asymmetrische) encryptie en kan door de gebruiker zelf worden uitgebreid met andere coderingsmethoden en sleutels. Alle encryptie en decryptie vindt plaats op de computer van de gebruiker. Van der Hoorn stelt dat hij geen toegang tot de gegevens van gebruikers heeft noch wachtwoorden en encryptiemethodes. De Geheim-extensie is open source. Voor de toekomst wil Van der Hoorn ondersteuning voor One-time pad sleutels toevoegen. "De enige 100 procent onbreekbare vorm van encryptie, waarbij alleen sleuteluitwisseling en -beheer mogelijkheid biedt om dit te kraken", zo merkt hij op. Daarnaast staat er een eenvoudigere methode om veilig sleutels en encryptiemethoden te kunnen importeren, exporteren, en delen in de planning. bron: security.nl

Onderzoekers waarschuwen voor ernstige kwetsbaarheden in PGP/GPG en S/MIME, software voor het versleutelen van e-mail, waardoor het mogelijk is om de inhoud van versleutelde e-mailberichten te lezen. Details over de beveiligingslekken zullen morgen bekend worden gemaakt, maar de onderzoekers hebben samen met de Amerikaanse burgerrechtenbeweging EFF besloten om gebruikers nu al te waarschuwen. "De EFF heeft contact gehad met het onderzoeksteam en kan bevestigen dat deze kwetsbaarheden een direct risico vormen voor mensen die deze tools gebruiken om via e-mail te communiceren, waaronder het mogelijk achterhalen van de inhoud van berichten die in het verleden zijn verstuurd", aldus Gennie Gebhart van de EFF. De burgerrechtenbeweging adviseert gebruikers om tools die automatisch met PGP-versleutelde e-mail ontsleutelen uit te schakelen of te verwijderen. Voor Thunderbird met Enigmail, Apple Mail met GPGTools en Outlook met Gpg4win heeft de EFF een handleiding gemaakt waarin wordt uitgelegd hoe de plug-ins zijn uit te schakelen. De burgerrechtenbeweging merkt op dat het om een tijdelijke maatregel gaat totdat er een echte oplossing beschikbaar is. "Totdat de ontdekte kwetsbaarheden beter zijn begrepen en verholpen, moeten gebruikers naar alternatieve end-to-end-versleutelde kanalen zoeken, zoals Signal, en tijdelijk stoppen met het versturen en met name het lezen van met PGP-versleutelde e-mail." Update Werner Koch, de ontwikkelaar van GNU Privacy Guard, laat via Twitter en de GnuPG-mailinglist weten dat de reactie van de EFF overtrokken is. Het probleem zou worden veroorzaakt door het gebruik van HTML in e-mails en de manier waarop die door sommige MIME-parsers worden verwerkt. Als oplossing adviseert Koch om geen HTML-mail te gebruiken. Daarnaast wordt het gebruik van geauthenticeerde encryptie aangeraden. Update 2 De website met informatie over de kwetsbaarheid, die EFAIL wordt genoemd, is online verschenen. Er worden twee aanvallen besproken. Om de EFAIL-aanvallen uit te voeren moet een aanvaller een versleuteld bericht van het slachtoffer bezitten en vervolgens een HTML-mail naar het slachtoffer sturen. Bij de eerste aanval verstuurt een aanvaller een HTML-mail met daarin het onderschepte versleutelde bericht. De e-mailclient ontsleutelt het versleutelde bericht en de HTML-code zorgt ervoor dat die naar een server van de aanvaller wordt teruggestuurd. Bij de tweede aanval wordt er gebruik gemaakt van het feit dat OpenPGP geen integriteitscontrole verplicht. Een aanvaller kan zodoende een versleuteld bericht onderscheppen en dit aanpassen. Vervolgens zal de e-mailclient van het slachtoffer het aangepaste bericht ontsleutelen. De aanpassing van de aanvaller zorgt ervoor dat de ontsleutelde inhoud van het bericht naar zijn server wordt gestuurd. Om de twee EFAIL-aanvallen te voorkomen wordt dan ook het uitschakelen van HTML-mails aangeraden. De onderzoekers merken op dat in het geval van S/MIME of PGP versleutelde e-mails worden versleuteld met de publieke sleutels van alle ontvangers en de afzender. Om beschermd te zijn moeten alle deelnemers aan de e-mailconversatie het weergeven van HTML in hun e-mailclient uitschakelen. Update 3 De Duitse overheid stelt dat S/MIME en PGP veilig te gebruiken zijn zolang ze correct en veilig geïmplementeerd zjin. Zo wordt aangeraden om het weergeven van actieve content in de e-mailclient uit te schakelen. Verder moeten mailservers en e-mailclients tegen ongeautoriseerde toegangspogingen worden beschermd, aldus het advies van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Update 4 Onderzoeker Robert Graham heeft een analyse van de kwetsbaarheid gepubliceerd. Hij stelt dat de aanval alleen werkt als een aanvaller de e-mail van een slachtoffer heeft onderschept en de e-mailclient staat ingesteld om standaard remote content te downloaden. Verder zou de aanval niet in alle gevallen eenvoudig te reproduceren zijn. "In plaats van PGP en S/MIME uit te schakelen moet je controleren dat je e-mailclient staat ingesteld om geen remote/externe content te downloaden. Dat is zelfs zonder dit lek al een grote privacy-overtreding", aldus Graham. Update 5 De ontwikkelaars van GnuPG en Gpg4Win hebben een verklaring gegeven waarin ze stellen dat de aanval tegen "buggy e-mailclients" is gericht. Wie zich zorgen over de aanval maakt krijgt het advies om naar de laatste versie van GnuPG te updaten en te controleren dat de gebruikte e-mailplug-in correct met MDC-fouten omgaat. Iets dat de meeste clients zouden doen. Alleen GnuPG-gebruikers die een zeer oude versie draaien lopen mogelijk risico. Het gaat dan om de 1.0-serie, terwijl op dit moment GnuPG versie 2.2 de meest recente versie is. Update 6 De Amerikaanse burgerrechtenbeweging EFF heeft nu ook meer details over de EFAIL-aanvallen vrijgegeven en blijft erbij dat PGP voorlopig niet gebruikt moet worden. bron: security.nl

In de Ubuntu Snaps Store zijn kwaadaardige applicaties ontdekt die systemen naar cryptovaluta lieten delven. Het gaat om twee packages genaamd 2048buntu en Hextris. Beide applicaties bleken een verborgen cryptominer te bevatten, aldus een klacht op GitHub gericht aan Ubuntu-beheerder Canonical. Naar aanleiding van de klacht werden alle applicaties van de ontwikkelaar verwijderd. De Ubuntu Snap Store laat iedereen zogeheten "snap packages" uploaden, in tegenstelling tot packages die via de officiële Ubuntu-repositories worden aangeboden. Dit moet het eenvoudiger maken om packages te ontwikkelen en die onder andere Linux-gebruikers te verspreiden, maar zorgt er ook voor dat het eenvoudiger wordt om malware te verspreiden, aldus critici op Reddit. bron: security.nl

Een jaar na de uitbraak van WannaCry mist nog altijd 29 procent van de Windows-computers wereldwijd de Microsoft-update die tegen de ransomware beschermt. Daarnaast is de exploit die van het lek misbruik maakt nog altijd zeer populair en wordt nu vaker waargenomen dan ten tijde van WannaCry. Dat melden anti-virusbedrijven Avast en ESET. WannaCry maakt gebruik van een beveiligingslek in Microsoft Windows SMB Server dat Microsoft op 14 maart 2017 patchte. Via de kwetsbaarheid is het mogelijk om op afstand computers over te nemen. De EternalBlue-exploit waar WannaCry gebruik van maakt om het Windows-lek aan te vallen is afkomstig van de Amerikaanse geheime dienst NSA. Deze exploit werd bij de NSA gestolen en door een groep genaamd Shadow Brokers op 14 april openbaar gemaakt, een maand na het uitkomen van beveiligingsupdate MS17-010 die computers beschermt. Een week na het uitkomen van de EternalBlue-exploit verschenen er al berichten dat systemen hiermee werden aangevallen en geïnfecteerd met ransomware. Drie weken later sloeg WannaCry toe. Volgens Avast heeft 29 procent van de Windows-computers wereld beveiligingsupdate MS17-010 niet geïnstalleerd. In Azerbeidzjan is dit zelfs 61 procent. De virusbestrijder denkt dat mensen de update niet installeren omdat ze niet weten dat dit belangrijk is. Ook vermoedt ESET dat er organisaties zijn die de update opzettelijk niet installeren omdat ze geen downtime willen. Hoewel de update die tegen de EternalBlue-exploit bescherming biedt al meer dan een jaar beschikbaar is, is de exploit nog altijd zeer populair. ESET stelt dat het de exploit vaker detecteert dan op het moment van WannaCry. Naast WannaCry maakt ook andere malware gebruik van EternalBlue. De recente piek in de onderstaande grafiek wordt waarschijnlijk door de Satan-ransomware veroorzaakt, die zich ook via de exploit verspreidt. bron: security.nl

Onderzoekers waarschuwen voor malafide Chrome-extensies die Facebook-wachtwoorden stelen en de sociale mediasite gebruiken om andere Chrome-gebruikers te infecteren. De infectieketen begint met een malafide link op Facebook die naar een zogenaamde YouTube-pagina wijst. Deze pagina vraagt de gebruiker om een extensie te installeren voor het afspelen van video's. Eenmaal geïnstalleerd steelt de malafide extensie het Facebook-wachtwoord en Instagram-cookies van de gebruiker en stuurt een malafide link naar de Facebook-vrienden van het slachtoffer of plaatst de link als nieuw Facebook-bericht. Tevens wordt er een cryptominer geïnstalleerd voor het delven van cryptovaluta. Ook kan de malware clickfraude op YouTube plegen. De malafide extensies zijn kopieën van legitieme extensies waar een geobfusceerd script aan is toegevoegd voor het uitvoeren van de kwaadaardige activiteiten. Volgens securitybedrijf Radware, dat de malware ontdekte, wordt dit gedaan om de controle van Google in de Chrome Web Store te omzeilen. Om detectie en verwijdering door de gebruiker te voorkomen blokkeert de malware het openen van de extensie-tab in Chrome. Daarnaast worden bepaalde Facebook-pagina's geblokkeerd, zodat de gebruiker geen berichten kan aanpassen of verwijderen. Ook wordt het downloaden van de Chrome Cleanup Tool en beveiligingsprogramma's via Facebook geblokkeerd. bron: security.nl

Google heeft dit jaar weer een ernstig beveiligingslek in Chrome gepatcht waardoor een aanvaller het onderliggende systeem in het ergste geval had kunnen overnemen. Het gaat om een "keten" van kwetsbaarheden waardoor een aanvaller uit de sandbox van Chrome had kunnen ontsnappen en code op het systeem had kunnen uitvoeren met de rechten van de gebruiker. Een anonieme onderzoeker rapporteerde het beveiligingsprobleem op 23 april aan Google. Vanwege de impact van ernstige kwetsbaarheden streeft de internetgigant ernaar om dergelijke lekken binnen 30 dagen te patchen. Ernstige beveiligingslekken worden in vergelijking met andere browsers zelden door externe onderzoekers in Chrome gevonden. Dit jaar heeft Google echter al vier van dergelijke kwetsbaarheden verholpen, een recordaantal. In 2014, 2015, 2016 en 2017 werden er respectievelijk drie, twee, geen en drie ernstige kwetsbaarheden door externe onderzoekers in Chrome ontdekt en aan Google gerapporteerd. Wat voor beloning de anonieme onderzoeker krijgt voor het melden van de kwetsbaarheid is nog niet bekendgemaakt. Updaten naar Chrome 66.0.3359.170 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Is het gelukt? CCleaner wil nog wel eens een keertje toch resten laten zitten. Mocht je probleem nog niet opgelost zijn, laat het even weten. Dan kunnen we nog proberen ze handmatig te verwijderen.

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die ondersteuning biedt voor inloggen via usb-tokens op websites, gesponsorde content en Windows Group Policy. Ook zijn er verschillende kwetsbaarheden verholpen, maar details waren op het moment van schrijven niet beschikbaar. Firefox 60 is de eerste browser die de Web Authentication API ondersteunt. Deze programmeerinterface laat gebruikers via een usb-token, zoals een YubiKey, op websites inloggen, zonder dat er een wachtwoord moet worden ingevoerd. Volgens Mozilla biedt Web Authentication een extra beveiligingslaag. De feature werkt echter alleen bij websites die Web Authentication ondersteunen. Naast usb-tokens zal Web Authentication in de toekomst ook smartphones of biometrische kenmerken gaan ondersteunen, zoals inloggen via gezichtsherkenning of vingerafdrukken. Op dit moment worden alleen usb-tokens ondersteund. Gebruikers sluiten hun usb-token aan, waarna die door de website wordt gelezen. Vervolgens wordt de gebruiker automatisch ingelogd op zijn account. Gepersonaliseerde content Een andere nieuwe feature is gepersonaliseerde content voor Amerikaanse Firefox-gebruikers. Als die een nieuwe tab openen kunnen er in het gedeelte "Recommendations by Pocket" gesponsorde verhalen verschijnen. Mozilla merkt op dat de personalisatie niet ten koste van de privacy gaat. De aanbevelingen die gebruikers te zien krijgen worden lokaal op de computer bepaald. Mozilla, Pocket en sponsors ontvangen dan ook geen kopie van de browsegeschiedenis, aldus Mozilla. Windows Group Policy Voor beheerders die Firefox binnen hun organisatie willen uitrollen ondersteunt de browser nu Windows Group Policy. Op deze manier wordt het veel eenvoudiger om de browser voor een groot aantal werkplekken te configureren. Naast Windows Group Policy kan er ook van een JSON-bestand gebruik worden gemaakt dat op Mac, Linux en Windows werkt. Verder worden TLS-certificaten van Symantec die voor 1 juni 2016 zijn uitgegeven niet meer vertrouwd. Wanneer Firefox-gebruikers websites bezoeken die nog van deze certificaten gebruikmaken krijgen ze een certificaatwaarschuwing te zien. Updaten naar Firefox 60 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Onderzoekers hebben voor het eerst Internet of Things-malware ontdekt die een herstart van het systeem kan overleven. Het gaat om een variant van de "Hide and Seek" bot die onder andere ip-camera's via beveiligingslekken en Telnet-toegang besmet, zo meldt anti-virusbedrijf Bitdefender. IoT-malware, zoals Mirai, is eenvoudig te verwijderen door het besmette apparaat in kwestie te herstarten. De malware bevindt zich namelijk alleen in het geheugen van het apparaat, dat door een herstart wordt gewist. De nieuwe varianten van Hide and Seek kopiëren zich na een succesvolle infectie echter naar /etc/init.d/ en zorgen ervoor dat ze bij het starten van het systeem worden geladen. Het is hierbij wel nodig dat de infectie via Telnet plaatsvindt, aangezien rootrechten zijn vereist om de malware naar de init.d-directory te kopiëren. Volgens Bitdefender bevindt het Hide and Seek-botnet, dat uit zo'n 90.000 apparaten bestaat, zich nog in de groeifase. De beheerders zouden dan ook zoveel mogelijk machines proberen te infecteren voordat het botnet voor bijvoorbeeld ddos-aanvallen of andere doelen wordt ingezet. Zo beschikken de nieuwste varianten over twee nieuwe exploits om ip-camera's van onder andere AVTech en Wansview te infecteren. bron: security.nl

Adobe heeft belangrijke beveiligingsupdates uitgebracht die ernstige kwetsbaarheden in Flash Player en Creative Cloud Desktop Application verhelpen. Via de beveiligingslekken kan een aanvaller willekeurige code op het systeem uitvoeren. In het geval van Flash Player gaat het om één ernstige kwetsbaarheid. Gebruikers krijgen het advies om te updaten naar Flash Player 29.0.0.171. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe adviseert gebruikers om de update "snel" te installeren, waarbij als voorbeeld 'binnen 30 dagen' wordt genoemd. In Creative Cloud Desktop Application zijn drie kwetsbaarheden opgelost, waarvan er één als ernstig is aangemerkt. De andere twee lekken laten een aanvaller zijn rechten op het systeem verhogen. Gebruikers krijgen het advies om Creative Cloud 4.5.0.331 te installeren. Ook in het geval van deze update krijgen gebruikers het advies om die "snel" uit te rollen. Als laatste is er ook nog een update voor Adobe Connect verschenen. Dit vanwege een kwetsbaarheid waardoor de authenticatie is te omzeilen. Dit lek werd door Adobe echter als belangrijk bestempeld. bron: security.nl

Tijdens de patchdinsdag van mei heeft Microsoft twee beveiligingslekken in Internet Explorer en Windows gepatcht die actief werden aangevallen voordat er een update beschikbaar was. Securitybedrijf Qihoo 360 waarschuwde in april voor het IE-lek dat via een Microsoft Word-document werd aangevallen. Alleen het openen van een kwaadaardig Word-document of het bezoeken van een kwaadaardige of gehackte website met een kwetsbaar systeem is voldoende om aanvallers willekeurige code op het systeem uit te laten voeren. Ook anti-virusbedrijf Kaspersky Lab rapporteerde het probleem aan Microsoft. "We verwachten dat deze kwetsbaarheid één van de meest aangevallen lekken in de nabije toekomst zal worden, aangezien het niet lang zal duren voordat exploitkit-auteurs die zowel via drive-by downloads in de browser als spearphishing-aanvallen via documenten zullen misbruiken", aldus onderzoeker Vladislav Stolyarov. Het tweede zeroday-lek dat Microsoft deze maand patchte geeft een aanvaller die al toegang tot een systeem heeft de mogelijkheid om code met kernelrechten uit te voeren. Aangezien een systeem al gecompromitteerd moet zijn is de ernst van dit beveiligingslek, dat door een onderzoeker van anti-virusbedrijf ESET werd ontdekt, door Microsoft als "belangrijk" bestempeld. Twee andere kwetsbaarheden in de Windows-kernel waardoor een aanvaller zijn rechten kan verhogen en informatie kan achterhalen waren ook al voor het uitkomen van de updates openbaar gemaakt, maar zijn volgens Microsoft niet aangevallen. Van de 67 kwetsbaarheden die Microsoft deze maand heeft verholpen zijn er 21 als ernstig aangemerkt, 42 als belangrijk en vier als "laag". Het gaat ook om kwetsbaarheden in Microsoft Office waardoor een aanvaller een kwetsbaar systeem kan overnemen als er een kwaadaardig document wordt geopend. Verder zijn er beveiligingslekken in ChakraCore, .NET Framework en Exchange Server gepatcht. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Aanvallers hebben een manier gevonden om het filter van Office 365 te omzeilen zodat e-mails met kwaadaardige links niet worden gefilterd, zo stelt securitybedrijf Avanan. Microsoft scant inkomende e-mails van gebruikers op bekende kwaadaardige links. De filters van Office 365 blijken echter niet goed met de base-tag in html-mails om te gaan. Door het gebruik van deze tag is het mogelijk om de kwaadaardige link te "splitten". Links die het filter anders zou blokkeren worden in dergelijke gevallen gewoon doorgelaten. De link wordt in de e-mailclient gewoon weergegeven. De ontvanger kan echter nog steeds zien dat het om een kwaadaardige link gaat. Volgens Avanan maken aanvallers gebruik van de techniek om de filters van Office 365 te misleiden en phishingmails te versturen. Microsoft is ingelicht, maar wanneer er een oplossing komt is onbekend. In deze video wordt de aanval gedemonstreerd. bron: security.nl

Mozilla gaat het ftp-protocol deels in Firefox 61 blokkeren, zo heeft de opensource-ontwikkelaar aangekondigd. Ftp (File Transfer Protocol) is een protocol om, zoals de volledige naam al doet vermoeden, bestanden van de ene naar de andere computer te kopiëren. Een zeer groot nadeel van ftp is dat er op onbeveiligde wijze informatie wordt uitgewisseld. Inloggegevens worden als platte tekst naar de ftp-server verstuurd. "Het fundamentele onderliggende probleem met ftp is dat alle data onversleuteld wordt uitgewisseld en in platte tekst verstuurd, waardoor aanvallers de verstuurde data kunnen stelen, spoofen en zelfs aanpassen. Veel malware-campagnes maken gebruik van gehackte ffp-servers en downloaden via het ftp-protocol malware op de apparaten van eindgebruikers", aldus Mozillas Christoph Kerschbaumer. Daarom worden in Firefox 61 alle "ftp subresource loads" vanaf http- en https-sites geblokkeerd. Hierdoor zal het voor websites niet meer mogelijk zijn om bijvoorbeeld afbeeldingen, scripts en iframes via ftp te laden. Firefox 61 staat gepland voor 26 juni van dit jaar. Eind vorig jaar kondigde Google al aan dat Chrome ftp-locaties als "niet veilig" gaat weergeven. bron: security.nl

Chipfabrikant Intel zou aanstaande maandag met de eerste beveiligingsupdates voor de nieuwe Spectre-lekken komen, maar dit is uitgesteld. De in totaal acht kwetsbaarheden in Intel-processors worden vooralsnog Spectre Next Generation (Spectre NG) genoemd en maken het onder andere mogelijk om uit een virtual machine te ontsnappen en het onderliggende host-systeem aan te vallen. De eerste updates stonden voor vandaag, 7 mei, gepland, met een tweede reeks in augustus. Eén van de kwetsbaarheden werd door onderzoekers van Google ontdekt, die vandaag de details bekend zouden maken. Vandaag zou namelijk de deadline verlopen die Intel had gekregen voor het uitbrengen van een patch. Google geeft bedrijven die het over een kwetsbaarheid inlicht 90 dagen de tijd om een update te ontwikkelen. Nu meldt het Duitse Heise dat Intel meer tijd nodig heeft voor het uitbrengen van de updates. Intel zou van plan zijn om op 21 mei met een "gecoördineerde release" van microcode-updates te komen. Tegelijkertijd zullen er details over twee van de Spectre NG-lekken verschijnen. Volgens Heise is het niet zeker dat ook deze datum wordt gehaald, aangezien Intel verder uitstel tot 10 juli heeft aangevraagd. Het gevaarlijkste Spectre NG-lek, waardoor er uit een virtual machine kan worden ontsnapt, zou pas op 14 augustus worden gepatcht. De kwetsbaarheden zijn aanwezig in nagenoeg alle Intel-processors sinds 2010. bron: security.nl

De afgelopen dagen zijn honderden ongepatchte Drupal-sites gehackt en gebruikt voor cryptomining. Het gaat onder andere om websites van de Amerikaanse overheid en dierentuin van San Diego. De aanvallers voegen een Coinhive-script aan de sites toe dat de browser van bezoekers cryptovaluta laat delven. Onderzoeker Troy Mursch ontdekte het specifieke script op 348 Drupal-sites. Al deze websites hadden gemeen dat ze ongepatcht waren. Zowel in maart als in april werden twee zeer ernstige Drupal-lekken gepatcht waardoor aanvallers volledige controle over websites kunnen krijgen. Experts lieten eerder al weten dat alle ongepatchte websites in principe als gehackt moeten worden beschouwd. Wereldwijd zijn er zo'n 1,2 miljoen Drupal-sites. Hoeveel daarvan nog steeds kwetsbaar of gehackt zijn is onbekend. De aanval die Mursch ontdekte is niet de enige. Eerder werden ook al andere aanvallen waargenomen waarbij gehackte Drupal-sites voor cryptomining werden ingezet. In het geval van de 348 gehackte websites bevinden de meeste zich in de Verenigde Staten, gevolgd door Frankrijk en Canada. bron: security.nl

Chrome- en Firefox-gebruikers die een browserplug-in zoeken om hun privacy op het web te beschermen kunnen tegenwoordig ook uit Privacy Possum kiezen. Een opensource-uitbreiding die is ontwikkeld door één van de ontwikkelaars van Privacy Badger, Blake Griffith. Privacy Badger is een plug-in die door de Amerikaanse burgerrechtenbeweging EFF wordt aangeboden en Griffith werkte naar eigen zeggen zes maanden full-time aan de extensie. Vorige maand verscheen er nog een nieuwe versie van Privacy Badger. Volgens de ontwikkelaar zijn de privacyvoordelen van Privacy Badger echter beperkt en is het met de huidige architectuur lastig of bijna onmogelijk om nieuwe privacybescherming toe te voegen. "En de beheerders van het project waren niet geïnteresseerd om deze problemen te verhelpen", aldus Griffith. Daarop kwam hij met een nieuwe plug-in genaamd Privacy Possum, die het tracken van gebruikers door adverteerders en andere partijen moet dwarsbomen. Zo blokeert de browserplug-in cookies waarmee trackers gebruikers over verschillende websites kunnen identificeren. Ook worden refer-headers geblokkeerd die de browsinglocatie van de gebruiker prijsgeven. Daarnaast blokkeert Privacy Possum "etags", een trackingmethode waarmee gebruikers zelfs in de incognito-mode van de browser zijn te volgen. Als laatste worden trackers geblokkeerd die gebruikers aan de hand van de unieke eigenschappen van hun browser proberen te volgen. Privacy Possum is te downloaden via addons.mozilla.org en de Chrome Web Store. bron: security.nl

Elektronicafabrikant Logitech heeft een update uitgebracht voor de Harmony Hub, een apparaat waarmee het mogelijk is om 250.000 verschillende apparaten in huis te bedienen. Via verschillende lekken in de Harmony Hub was het mogelijk voor een lokale aanvaller om roottoegang te krijgen. Zo bleek dat er geen wachtwoord voor het rootaccount was ingesteld en dat ongeldige tls-certificaten door de updater werden genegeerd. Hierdoor was het voor een aanvaller mogelijk om updateverzoeken die van de Harmony Hub afkomstig waren te onderscheppen. Het apparaat controleert geregeld of er aanvullende software of updates beschikbaar zijn. De aanvaller had het onderschepte updateverzoek naar een kwaadaardig package kunnen laten wijzen, dat vervolgens door de updater werd gedownload en uitgevoerd. Op deze manier was het mogelijk om SSH op de Harmony Hub in te schakelen. Aangezien er voor het rootaccount geen wachtwoord was ingesteld had een aanvaller vervolgens met de gebruikersnaam root en een leeg wachtwoord via SSH kunnen inloggen. Logitech werd in januari door securitybedrijf FireEye ingelicht en bracht in april firmware 4.15.96 uit om het probleem te verhelpen. Details over de kwetsbaarheden zijn nu bekendgemaakt. Daarop heeft Logitech gebruikers via Twitter gewaarschuwd om de firmware-update te installeren mocht dat nog niet zijn gedaan. bron: security.nl

Na Google en Amazon gaat ook Microsoft stoppen met het aanbieden van een techniek om overheidscensuur mee te omzeilen. Het gaat om een techniek genaamd "domain fronting", waar onder andere Tor Browser en de versleutelde chat-apps Signal en Telegram gebruik van maken. Via domain fronting lijkt het verkeer van een applicatie naar een domein van bijvoorbeeld Amazon, Google of Microsoft te gaan, terwijl er in werkelijkheid met een ander domein verbinding wordt gemaakt. Landen die internetcensuur toepassen en bijvoorbeeld het gebruik van Signal, Telegram of Tor Browser blokkeren, zullen door domain fronting ook domeinen van Amazon, Google of Microsoft moeten blokkeren. Voor veel landen die censuur toepassen is dat geen optie, waardoor mensen in deze landen toch van geblokkeerde applicaties gebruik kunnen blijven maken. Google besloot begin dit jaar om te stoppen met het toestaan van domain fronting. De internetgigant wil zich naar eigen zeggen niet in een positie plaatsen waarbij het dekking voor een domein biedt dat landen willen blokkeren. Deze week werd bekend dat ook Amazon domain fronting niet meer zal toestaan. Nu laat het Tor Project weten dat ook Microsoft binnenkort met domain fronting stopt. "Helaas lijkt er geen snelle oplossing voorhanden te zijn. We zijn niet van tevoren over deze aanpassingen ingelicht, dus zijn we hard over mogelijke oplossingen aan het nadenken zodat onze vrienden die in repressieve regimes leven toegang tot het open web blijven houden", aldus Steph Whited van het Tor Project. bron: security.nl

Onderzoekers waarschuwen voor een nieuwe variant van de GandCrab-ransomware die Windows 7-systemen ogenschijnlijk onbruikbaar achterlaat. De ransomware wordt verspreid via e-mailbijlagen. Zodra een slachtoffer de bijlage opent versleutelt GandCrab allerlei bestanden. Ook probeert de ransomware de afbeelding van het bureaublad te wijzigen met een afbeelding waarop de instructies staan om de bestanden te ontsleutelen. Hierna wordt het systeem herstart. Een bug in de ransomware zorgt er bij Windows 7-computers voor dat het opstarten niet wordt voltooid. Het systeem zit vast op een punt voordat de Windows-shell volledig is geladen. De besmette gebruiker kan zodoende de Windows-interface niet benaderen, waardoor het lijkt alsof de machine niet meer werkt. Alleen de bureaubladafbeelding met instructies en de website om Tor Browser te downloaden zijn zichtbaar. Aangezien de ransomware zichzelf start, zal ook een nieuwe reboot van het systeem ervoor zorgen dat Windows niet volledig wordt geladen. Via Taakbeheer en het Windows Register kunnen gebruikers het ransomwareproces stoppen. "Voor de doorsnee gebruiker is het vinden van malware in de lijst met draaiende processen een complexe onderneming", aldus onderzoeker Joie Salvio van Fortinet. Ze stelt dat malwarefouten met onbedoelde gevolgen vrij vaak voorkomen. "Wat nog een reden is om extra voorzichtig met ongevraagde e-mails te zijn", merkt Salvio op. bron: security.nl