Captain Kirk

Het ontwikkelteam van npm, de package manager voor de JavaScript-programmeertaal en naar eigen zeggen het grootste softwarearchief ter wereld, heeft een kwaadaardige module met een backdoor ontdekt en verwijderd. Npm biedt een groot archief met openbare en besloten, commerciële packages. Dit is het npm Registry. Gisteren werd het ontwikkelteam gewaarschuwd voor de module "getcookies" die aan het npm Registry was toegevoegd. De module deed zich voor als een softwarebibliotheek voor het verwerken van cookies, maar bleek in werkelijkheid een backdoor te bevatten. Twee andere modules genaamd express-cookies en http-fetch-cookies maakten ook gebruik van getcookies. Verder onderzoek wees uit dat een populaire package genaamd mailparser weer van http-fetch-cookies gebruikmaakte. Mailparser wordt niet meer ondersteund, maar wordt elke week nog zo'n 64.000 keer gedownload. Onlangs verscheen er een versie van mailparser die van http-fetch-cookies afhankelijk was. De versies van mailparser die werden aangeboden en van http-fetch-cookies gebruikmaakten bleken de kwaadaardige module echter op geen enkele manier te gebruiken. Het npm-ontwikkelteam vermoedt dat de aanvaller de backdoor mogelijk op een later moment in mailparser had willen activeren of op deze manier het aantal downloads van http-fetch-cookies wilde ophogen. Alleen gebruikers die express-cookies of getcookies direct gebruikten zouden risico hebben gelopen, aldus het npm-ontwikkelteam. Via de backdoor had een aanvaller willekeurige code kunnen uitvoeren op de server waarop de npm-packages draaiden. Na ontdekking van de kwaadaardige module werd die samen met express-cookies en http-fetch-cookies verwijderd. Ook werden drie versies van mailparser die van de http-fetch-cookies-module afhankelijk zijn verwijderd, alsmede het account van de aanvaller. Als laatste zijn npm-tokens van de mailparser-auteur gereset om te voorkomen dat er in de toekomst ongeautoriseerde versies worden uitgebracht. bron: security.nl

Microsoft heeft een noodpatch uitgebracht om Docker voor Windows-installaties tegen aanvallen te beschermen. Door het importeren van een kwaadaardige Docker-image was het mogelijk om willekeurige code op het onderliggende systeem uit te voeren. De kwetsbaarheid bevond zich in de Windows Host Compute Service Shim-library, waar Docker voor Windows gebruik van maakt. Om de kwetsbaarheid uit te buiten zou een aanvaller een kwaadaardige Docker-container moeten maken. Als vervolgens een geauthenticeerde beheerder deze container zou importeren, was het mogelijk om het onderliggende Windows-systeem over te nemen. De kwetsbaarheid werd ontdekt door onderzoeker Michael Hanselmann. Hij waarschuwde zowel Microsoft als Docker in februari van dit jaar. Volgens Hanselmann heeft Microsoft de eigen hostinginfrastructuur inmiddels gepatcht, alsmede Microsoft-partners zoals Google. Op 9 mei zal de onderzoeker een proof-of-concept exploit voor Docker voor Windows uitgeven. Docker is een platform waarmee het mogelijk is om applicaties te bouwen, testen en uit te rollen. bron: security.nl

Onderzoekers van onder andere Google hebben acht nieuwe Spectre-lekken in processors van Intel ontdekt, waarvan er vier als ernstig zijn aangemerkt. Het Duitse computermagazine c't kreeg informatie over de kwetsbaarheden in handen en zegt die op verschillende manieren te hebben geverifieerd. De beveiligingslekken, die inmiddels een eigen CVE-nummer hebben waar kwetsbaarheden mee worden geïdentificeerd, zullen waarschijnlijk hun eigen naam krijgen. Op dit moment worden ze als Spectre Next Generation (Spectre NG) omschreven. Eén van de kwetsbaarheden zou het mogelijk om maken om uit een virtual machine te ontsnappen en het onderliggende host-systeem aan te vallen. Iets wat grote impact op bijvoorbeeld hostingbedrijven zou kunnen hebben. Mogelijk dat ook ARM- en AMD-processors kwetsbaar zijn, maar het onderzoek hiernaar loopt nog. Intel zou inmiddels aan updates voor de nieuwe Spectre NG-lekken werken. De eerste patches zouden in mei moeten verschijnen, gevolgd door een tweede reeks in augustus. Het beveiligingslek dat de Google-onderzoekers ontdekten wordt mogelijk op 7 mei bekendgemaakt. Dan verloopt namelijk de deadline die Intel had gekregen voor het uitbrengen van een patch. Google geeft bedrijven die over een kwetsbaarheid zijn ingelicht 90 dagen de tijd om een update te ontwikkelen. bron: security.nl

Een repeater is hier een mogelijke oplossing. Maar die moet je maar zo ergens kunnen plaatsen dat deze veilig staat en de campingeigenaar moet meewerken ivm de instellingen (mits het een beveiligde verbinding is). Je zou ook kunnen denken aan een outdoorantenne, een zogenaamde outdoor-accespoint.

Aanvallers maken gebruik van de anti-diefstalsoftware LoJack, ook bekend als Computrace, om toegang tot gehackte machines te krijgen. Dat laat securitybedrijf Arbor Networks weten. LoJack is ontwikkeld om gestolen laptops en computers terug te vinden. De anti-diefstalsoftware bevindt zich in het bios van de laptop of desktop en maakt het mogelijk om gestolen machines te traceren, zelfs als de harde schijf wordt geformatteerd of vervangen. Via LoJack is het ook mogelijk om op afstand code op het systeem uit te voeren. Volgens Arbor Networks is het dan ook de ideale "dubbelagent", mede omdat de meeste anti-virussoftware het programma niet als kwaadaardig beschouwt. Onlangs ontdekten onderzoekers van het bedrijf verschillende LoJack-agents die verbinding maakten met domeinen die eerder door een groep hackers genaamd Fancy Bear werden gebruikt. De LoJack-agents waren aangepast om verbinding met de domeinen te maken. Verdere aanpassingen waren niet aan het programma doorgevoerd. "De aanvallers kapen de communicatie waar LoJack gebruik van maakt en verschaffen zichzelf zo een backdoor tot machines die de software draaien", aldus de onderzoekers. Hoe de aanvallers toegang tot de systemen kregen om de LoJack-software aan te passen is onbekend. Fancy Bear heeft in het verleden gebruik gemaakt van phishingaanvallen om systemen over te nemen. "Het kapen van legitieme software is een veelgebruikte tactiek door aanvallers. Wat deze activiteit zo sluw maakt is dat de gekaapte bestanden als legitieme of "risicovolle tools" worden bestempeld, in plaats van malware. Daardoor worden kwaadaardige LoJack-exemplaren niet opgemerkt en bieden aanvallers een verborgen backdoor tot de systemen van slachtoffers", zo stellen de onderzoekers. bron: security.nl

Er is een nieuwe versie van het opensource-archiveringsprogramma 7-Zip verschenen waarin een ernstig beveiligingslek is gedicht. Via de kwetsbaarheid had een aanvaller in het ergste geval de computer kunnen overnemen als er een kwaadaardig RAR-bestand werd geopend. Het probleem wordt vergroot doordat de ontwikkelaar van 7-Zip bepaalde beveiligingsmaatregelen om de impact van een kwetsbaarheid tegen te gaan, zoals Address space layout randomization (ASLR), niet had genomen. ASLR moet het lastiger voor aanvallers maken om kwetsbaarheden in software te misbruiken. De ontwikkelaar van 7-Zip werd op 6 maart door een informaticastudent over het lek ingelicht en kwam gisteren met een nieuwe versie. 7-Zip 18.05 verhelpt niet alleen de ernstige kwetsbaarheid, maar voegt ook de beveiligingsmaatregel ASLR toe. Gebruikers krijgen dan ook het advies om te updaten. bron: security.nl

De Belgische onderzoeker Inti De Ceukelaire heeft melding van datamisbruik bij Facebook gedaan. De sociale netwerksite opende onlangs een meldpunt voor apps die de gegevens van gebruikers verzamelen en doorgeven of verkopen aan een derde partij, of de gegevens voor scams of politieke invloed gebruiken. "Zonet een grootschalig data misbruik gemeld aan Facebook via hun nieuw "Data Abuse" meldpunt. Héél benieuwd hoe dit zal verlopen", aldus De Ceukelaire op Twitter. De niet nader genoemde applicatie heeft volgens de onderzoeker 200 miljoen actieve gebruikers per maand. Via de app is het mogelijk om informatie van gebruikers op te vragen, zoals foto's, vriendenlijsten en Facebookberichten. "Interessant is dat je die informatie kan linken aan het IP-adres van mensen", aldus De Ceukelaire tegenover VRT NWS. Volgens de onderzoeker zijn er geen aanwijzingen dat de gelekte data effectief misbruikt werd. Hij waarschuwde Facebook op 22 april. Gisteren meldde De Ceukelaire dat de app verwijderd was, maar een aantal uren later was die weer terug. De onderzoeker heeft nog geen inhoudelijke reactie van Facebook gekregen, behalve dat er een onderzoek is ingesteld. Vorige week liet Facebook aan investeerders weten dat er waarschijnlijk meer dataschandalen zoals die met Cambridge Analytica aan het licht zullen komen. bron: security.nl

Met de lancering van de Windows 10 April 2018 Update heeft Microsoft nieuwe privacyinstellingen in het besturingssysteem doorgevoerd. Daarmee wordt er een einde gemaakt aan de privacyovertredingen die door de Autoriteit Persoonsgegevens waren vastgesteld. De nieuwe instellingen moeten gebruikers meer informatie en keuzes over hun privacy geven en bieden twee nieuwe opties voor Inking & Typing en Find my device. In het geval van de optie Inking & Typing wordt informatie over het schrijfgedrag naar Microsoft teruggestuurd. Find my device, dat alleen met een Microsoft-account werkt, maakt van locatiegegevens gebruik om de locatie van een apparaat te bepalen zodat het gevonden kan worden. Niet alle gebruikers zullen dezelfde privacyschermen te zien krijgen. Afhankelijk van lokale wetgeving zullen sommige gebruikers alleen privacyinstellingen op één scherm te zien krijgen, terwijl er bij andere gebruikers meerdere schermen worden gebruikt. Alle privacyinstellingen zijn daarnaast via het instellingenmenu te bekijken en aan te passen. Windows Defender Application Guard Gebruikers van Windows 10 Pro krijgen met de April 2018 Update de beschikking over Windows Defender Application Guard (WDAG). Als een gebruiker via Internet Explorer of Microsoft Edge op een kwaadaardige link klikt, malware downloadt of een zeroday-exploit tegenkomt, zal WDAG de dreiging isoleren, aldus Microsoft. Dit moet voorkomen dat aanvallers toegang tot een lokale machine krijgen en zo de rest van het netwerk kunnen aanvallen. Windows 10 S Een andere nieuwe optie voor alle Windows 10-versies is de mogelijkheid om de Windows 10 S-modus te activeren. Dit is een aangepaste op veiligheid gerichte versie van het besturingssysteem. Windows 10 S werkt alleen met apps uit de Microsoft Store en ondersteunt alleen de Edge-browser met de Bing-zoekmachine. Doordat alleen door Microsoft gecontroleerde apps worden toegestaan zou dit Windows 10 S tegen ransomware en andere malware moeten beschermen, zo liet de softwaregigant eerder weten. Gebruikers van Windows 10 kunnen Windows 10 S kosteloos inschakelen. Het is vervolgens mogelijk om de oorspronkelijke Windows 10-versie weer te herstellen, maar het is dan niet meer mogelijk om terug naar Windows 10 S te gaan. De April 2018 Update is via Windows Update te downloaden. Microsoft zal de update aan gebruikers aanbieden, maar die kunnen ook zelf op de beschikbaarheid van de update controleren. bron: security.nl

Een malware-exemplaar dat bij gerichte aanvallen is ingezet controleert de temperatuur van de computer om te kijken of het wel om een echte machine gaat en geen virtueel systeem is. Dat laat Cisco in een analyse weten. Het gaat om de GravityRAT (Remote Access Tool) die informatie van systemen steelt. De malware wordt verspreid via een Microsoft Office-document met een kwaadaardige macro. Volgens het document moet de gebruiker macro's inschakelen om te bewijzen dat hij geen robot is, net zoals bij captcha's wordt gevraagd. Zodra de gebruiker macro's inschakelt wordt de malware geïnstalleerd. De malware kijkt echter of het besmette systeem wel een echte computer is en geen virtual machine. Veel anti-virusbedrijven en onderzoekers maken namelijk gebruik van virtual machines om verdachte bestanden te onderzoeken. Door een virtual machine tijdig te detecteren kan de malware detectie ontlopen. In het geval van de GravityRAT heeft de ontwikkelaar zeven technieken toegepast om te controleren dat het gecompromitteerde systeem geen virtual machine is. Hiervoor kijkt de malware naar de bios-versie en processor-id van het systeem, alsmede geïnstalleerde tools en het MAC-adres. Ook controleert de malware de huidige processor-temperatuur. Sommige virtualisatiesoftware, zoals VMWare, VirtualBox en Hyper-V, ondersteunen geen temperatuurcontroles. Op deze manier kan de malware identificeren of het aangevallen systeem een echte machine is. Volgens Cisco wordt de malware al sinds 2016 ingezet, maar is de ontwikkelaar lange tijd erin geslaagd om onder de radar te blijven. De malware is met name tegen Indiase doelen gebruikt. Het Computer Emergency Response Team van de Indiase overheid heeft vorig jaar al een waarschuwing voor een variant van de malware afgegeven (pdf). bron: security.nl

Onderzoekers waarschuwen voor een ernstig beveiligingslek in Oracle WebLogic waar nog geen patch voor beschikbaar is. Twee weken geleden kwam Oracle met updates voor 254 kwetsbaarheden. Eén van de updates was voor een ernstig lek in WebLogic waardoor een aanvaller het systeem kan overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid werd die met een 9,8 beoordeeld. De update van Oracle is echter niet afdoende en kan worden omzeild, zo meldt een onderzoeker van Alibaba. Zodoende zijn systemen zelfs met de update nog steeds kwetsbaar. Kort na het uitkomen van de Oracle-update op 17 april verscheen er een proof-of-concept exploit om kwetsbare systemen aan te vallen. Dit leidde tot een toename van het aantal scans naar kwetsbare systemen, hoewel er nog geen "opportunistische aanvallen" zijn waargenomen, zo laat securitybedrijf GreyNoise weten. Onderzoeker Kevin Beaumont adviseert beheerders om inkomend verkeer op tcp-poort 7001 te blokkeren, om zo aanvallers te stoppen. Begin dit jaar werd er nog gewaarschuwd voor een campagne waarbij aanvallers op Oracle WebLogic-servers een Monero-cryptominer installeerden. Dit gebeurde via een lek dat Oracle vorig jaar oktober patchte. Of Oracle met een tussentijdse oplossing voor het nu ontdekte probleem komt is onbekend. Het softwarebedrijf brengt updates eens per kwartaal uit. De volgende patchronde staat gepland voor 17 juli. bron: security.nl

De afgelopen maanden zijn zo'n 6.000 computers via een malafide Flash Player-updates besmet geraakt met een cryptominer, zo waarschuwt securitybedrijf Check Point. Via advertenties en dubieuze sites worden internetgebruikers doorgestuurd naar pagina's die melden dat ze Flash Player moeten updaten. Niet alleen bevatten de pagina's met de zogenaamde Flash Player-update een cryptominer die de rekenkracht van de browser gebruikt, de aangeboden "update" is ook een cryptominer. Deze cryptominer maakt gebruik van de volledige rekenkracht van de computer en blijf ook draaien als de browser wordt gesloten. Veruit de meeste van de 6.000 infecties werden in India geteld, gevolgd door Turkije en Thailand. Volgens Check Point is de campagne met de malafide Flash Player-updates afkomstig van de beheerder van de website OSDSoft. Deze website bood jaren geleden software aan voor het downloaden van video's van YouTube en andere websites. De laatste jaren is de site vooral betrokken geweest bij de verspreiding van potentieel ongewenste software (PUPs). Eind 2017 is de sitebeheerder begonnen met de verspreiding van de zogenaamde Flash Player-updates, aldus de onderzoekers. De cryptomining-campagne zou de beheerder naar schatting 700 dollar per dag opleveren. bron: security.nl

De zoekmachine Have I Been Pwned waar internetgebruikers kunnen zoeken of hun gegevens bij websites zijn gestolen bevat inmiddels meer dan 5 miljard gelekte accountgegevens. Dat laat onderzoeker Troy Hunt weten, aanbieder van de dienst. De gegevens van Have I Been Pwned zijn afkomstig van meer dan 280 gehackte websites, alsmede van data die op websites zoals Pastebin verscheen. De grootste datalekken betreffen samengevoegde datasets en data van spammers. Vorig jaar werd er een spambot ontdekt die 711 miljoen unieke e-mailadressen bevatte. Als er naar individuele websites wordt gekeken staat MySpace bovenaan. Bij de website werden in 2008 de gegevens van 359 miljoen gebruikers buitgemaakt. Verder volgen NetEase (234 miljoen), LinkedIn (164 miljoen) en Adobe (152 miljoen). Gebruikers kunnen zich opgeven om te worden gewaarschuwd wanneer hun e-mailadres in een datalek voorkomt. Daarnaast is het voor domeineigenaren mogelijk om binnen de database van Have I Been Pwned op e-mailadressen van hun eigen domein te zoeken. Onlangs besloot Hunt om 500 miljoen gehashte wachtwoorden afkomstig uit verschillende datalekken online te zetten. bron: security.nl

Facebook verwacht dat er meer dataschandalen zoals die met Cambridge Analytica aan het licht zullen komen. Dat heeft de sociale netwerksite in een document aan de Amerikaanse beurswaakhond SEC gemeld. "We verwachten dat onze voortdurende investeringen in veiligheid en contentcontroles meer gevallen zullen blootleggen van misbruik van gebruikersgegevens of andere ongewenste activiteiten door derde partijen op ons platform", stelt Facebook in het document. De sociale netwerksite houdt er dan ook rekening mee dat het gebruikers over nieuwe schandalen zal moeten informeren. "Als gevolg van deze maatregelen verwachten we dat we meer incidenten van misbruik van gebruikersgegevens of andere ongewenste activiteiten door derde partijen zullen ontdekken en aankondigen. Ook kunnen we via de media of andere derde partijen over dergelijke incidenten of activiteiten op de hoogte worden gesteld." Facebook stelt verder dat het sinds 20 maart meerdere keren wegens het dataschandaal met Cambridge Analytica is aangeklaagd en dat er onderzoeken van toezichthouders in de Verenigde Staten, Europa en andere landen lopen. Deze rechtszaken en onderzoeken kunnen voor "behoorlijke boetes en kosten" zorgen, aldus het 10-Q-formulier dat Facebook bij de Securities and Exchange Commission (SEC) indiende. Bedrijven zijn in de Verenigde Staten verplicht om mogelijke risico's voor investeerders via de SEC te melden. bron: security.nl

Het is deze week precies negentien jaar geleden sinds de eerste aanval van het Chernobyl-virus, ook bekend als CIH. De malware was in 1998 ontwikkeld door een Taiwanese universiteitsstudent genaamd Chen Ing Hau. Het virus besmette uitvoerbare bestanden en programma's op Windows 95, 98 en ME. Zodoende kon het virus andere systemen infecteren. CIH werd onder andere via cd-roms van verschillende magazines, downloads en firmware-updates verspreid. Ook leverde IBM een serie computers waar het CIH-virus standaard op stond "geinstalleerd". Op 26 april 1999, dezelfde dag dat in 1986 de Tsjernobyl-ramp plaatsvond, voerde het CIH-virus voor het eerst zijn schadelijke lading uit. Als eerste werd de eerste megabyte van de harde schijf met nullen overscherven, waardoor de inhoud van de partitietabel werd verwijderd. Dit veroorzaakte een blue screen of death (bsod). Daarnaast probeerde het virus om het bios te flashen. Wanneer deze laatste actie succesvol was moesten gebruikers een nieuw bios of moederbord halen om weer aan de slag te kunnen. In september 2000, bijna anderhalf jaar na het verschijnen van het virus, werd Chen Ing-Hau door de Taiwanese autoriteiten aangehouden wegens het schrijven van het virus. Vanwege de Taiwanese wetgeving werd hij echter nooit vervolgd of veroordeeld, zegt Paul Ducklin van anti-virusbedrijf Sophos. Wereldwijd zou de malware naar schatting 60 miljoen computers hebben besmet en een schade van 1 miljard dollar hebben veroorzaakt. Hieronder een videodemonstratie van het CIH-virus. bron: security.nl

De volgende grote update voor Windows 10 verschijnt aanstaande maandag 30 april. De April 2018 Update introduceert verschillende nieuwe beveiligingsfeatures en maakt een einde aan vastgesteldee privacyovertredingen, zoals de Autoriteit Persoonsgegevens eerder deze maand al aankondigde. Het installeren van de April 2018 update is niet vrijblijvend. Gebruikers en organisaties zullen de update moeten installeren als ze op termijn nog beveiligingsupdates willen blijven ontvangen. Twee keer per jaar brengt Microsoft een grote feature-update voor Windows 10 uit die allerlei nieuwe features en beveiligingsverbeteringen aan het besturingssysteem toevoegt. Deze feature-updates, zoals bijvoorbeeld de Creators Update, worden 18 maanden door Microsoft met updates ondersteund. Daarna moet er naar een nieuwere feature-update worden geüpgraded om beveiligingsupdates te blijven ontvangen. Met de April 2018 Update krijgt Windows 10 beveiligingsvragen voor lokale accounts. Gebruikers van het besturingssysteem die het wachtwoord van hun lokale account vergeten zijn kunnen die straks via het beantwoorden van een aantal beveiligingsvragen resetten. Hiervoor moeten gebruikers eerst een aantal beveiligingsvragen en antwoorden instellen. Een andere nieuwe functie is de Diagnostic Data Viewer waarmee gebruikers kunnen zien welke diagnostische data over hun systeem naar Microsoft wordt gestuurd. De tool toont informatie over de naam van het besturingssysteem, versie, netwerkinstellingen, prestatiegegevens, geïnstalleerde apps, updates en details over het gebruik van het systeem, applicaties en diensten. Ook wordt er informatie over de "movie consumption functionality" teruggestuurd. Microsoft benadrukt dat het hier niet om kijk- of luistergedrag gaat. Via de Viewer kunnen gebruikers in deze gegevens zoeken en hier feedback over geven. Het wordt daarnaast ook mogelijk om diagnostische data te verwijderen. Edge heeft een nieuwe optie gekregen waardoor de browser automatisch creditcardgegevens op websites kan invullen. Zodra gebruikers een betaling met hun creditcard doen vraagt Edge om de gegevens op te slaan. De volgende keer dat er moet worden betaald kunnen gebruikers hun gewenste creditcard kiezen waarna alle velden automatisch worden ingevuld. Microsoft stelt dat Edge alle kaartgegevens veilig opslaat. CVV-informatie wordt niet door de browser opgeslagen. Alle creditcards die gebruikers aan hun Microsoft-account hebben gekoppeld kunnen ook worden geselecteerd bij het kiezen van een creditcard voor een betaling op een website. Privacy Op het gebied van privacy zijn er aanpassingen doorgevoerd. De manier waarop Microsoft telemetriegegevens van Windows 10-systemen verzamelde was in strijd met de Nederlandse privacywetgeving. Naar aanleiding van de bevindingen van de toezichthouder heeft Microsoft een "herstelplan" ontwikkeld. Met April 2018 Update worden alle vastgestelde overtredingen beëindigd, aldus de Autoriteit Persoonsgegevens. Zo worden gebruikers beter geïnformeerd over de gegevens die Microsoft verzamelt en waarvoor ze worden verwerkt. Daarnaast kunnen gebruikers op een duidelijke actieve wijze kiezen voor hun privacy-instellingen. bron: security.nl

Google heeft opnieuw een ernstig beveiligingslek in de desktopversie van Chrome gepatcht waarmee een aanvaller het onderliggende systeem had kunnen overnemen. Vorige week verscheen er ook al een update, toen voor twee ernstige kwetsbaarheden in de Disk Cache-functie van de browser. Dit keer zat het beveiligingslek in de Media Cache-functie van Chrome. De browser maakt hier gebruik van voor het cachen van mediabestanden. De drie kwetsbaarheden werden door beveiligingsonderzoeker Ned Williamson ontdekt. Het lek in de Media Cache-functie werd op 12 april door hem aan Google gemeld. Voor zijn melding ontving hij een beloning van 10.500 dollar. De beloning voor de twee Disc Cache-lekken is nog niet bekendgemaakt. Ook zijn de details van de drie kwetsbaarheden nog niet vrijgegeven. Via een ernstig beveiligingslek kan een aanvaller code op het onderliggende systeem uitvoeren en dat in theorie volledig overnemen. Alleen het bezoeken van een kwaadaardige of gehackte website is dan voldoende. Er is geen verdere interactie van de gebruiker vereist. Dit soort beveiligingslekken worden geregeld in Edge, Firefox, Internet Explorer en Safari gevonden, maar zijn een zeldzaamheid in Chrome. In 2014 ging het in totaal om drie ernstige kwetsbaarheden in Googles browser en in 2015 werden er twee geteld. Een jaar later in 2016 werden er geen ernstige lekken gevonden en vorig jaar ging het er om drie. Dit jaar staat de teller ook al op drie. Updaten naar Chrome 66.0.3359.139 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Dat klopt. Verlies in kwaliteit heb je sowieso.

Meest eenvoudige is een screenshot maken van de opname en via bijvoorbeeld Paint opslaan.

185.000 routers van fabrikant TP-Link die via internet te vinden zijn bevatten een ernstig beveiligingslek en een beveiligingsupdate is nog niet beschikbaar. Het gaat om de TLWR740n-router. Via de kwetsbaarheid kan een aanvaller op afstand code op het apparaat uitvoeren. Het beveiligingslek kwam vorig jaar al aan het licht in een ander model, de WR940N. De kwetsbaarheid werd ontdekt door onderzoeker Tim Carrington van securitybedrijf Fidus. Carrington waarschuwde TP-Link en binnen een week verscheen er een beveiligingsupdate om het probleem in dit model te verhelpen. Daarop publiceerde de onderzoeker zijn bevindingen, alsmede een proof-of-concept exploit om van de kwetsbaarheid misbruik te maken. Begin dit jaar besloot Carrington naar een andere TP-Link-router te zoeken en kwam uit bij de TLWR740n. Een ouder model dat al enige tijd geen beveiligingsupdates meer heeft ontvangen. Van dit model waren er meer dan 185.000 via internet te vinden. Bij het onderzoek naar de firmware ontdekte Carrington dezelfde kwetsbaarheid die eerder in de WR940N was gepatcht, maar in het oudere model nog aanwezig was. Beide modellen bleken dezelfde code te gebruiken. "Het hergebruik van code is een groot probleem binnen de IoT-industrie", aldus de onderzoeker. Hij waarschuwde TP-Link eind januari over het lek in de TLWR740n. Waar de netwerkfabrikant bij de WR940N snel reageerde was dit nu een ander verhaal. Eind maart liet TP-Link weten dat er een firmware-update was ontwikkeld. Het ging hier echter om een testversie en Carrington wilde weten wanneer de definitieve versie online zou verschijnen. Daarop kreeg hij ondanks meerdere verzoeken geen reactie. De onderzoeker heeft daarom nu het onderzoek openbaar gemaakt. Carrington stelt dat dit een lastige beslissing was, aangezien een proof-of-concept exploit al beschikbaar is in de publicatie over het lek in de WR940N. "We weten niet of de kwetsbaarheid actief wordt aangevallen, maar het is waarschijnlijk", zo merkt hij op. bron: security.nl

Een kwetsbaarheid in de My Cloud EX2-nas van Western Digital, die ook in Nederland wordt verkocht, zorgt ervoor dat iedereen op het lokale netwerk toegang tot de bestanden op het apparaat kan krijgen, ongeacht de instelde bestandspermissies. WD wil het probleem echter niet verhelpen. Dat stelt securitybedrijf Trustwave. Het probleem wordt veroorzaakt door een UPnP-mediaserver die automatisch wordt gestart bij het aanzetten van het apparaat. Hierdoor kan een ongeautenticeerde gebruiker alle bestanden op de nas benaderen, ongeacht ingestelde bestandspermissies of andere beperkingen. Trustwave waarschuwde WD, maar de fabrikant wil de onveilige standaardinstelling niet verhelpen. Gebruikers worden verwezen naar een artikel waarin wordt uitgelegd hoe DLNA kan worden uitgeschakeld als men deze feature niet wil gebruiken. De onderzoekers hebben een tool ontwikkeld waarmee gebruikers hun eigen apparaten kunnen testen. bron: security.nl

Een zeer ernstig beveiligingslek in het Drupal-platform dat gisterenavond via een noodpatch werd verholpen wordt nu al actief aangevallen, waardoor meer dan een miljoen websites risico lopen. Dat laten de ontwikkelaars weten. Via het lek kan een aanvaller volledige controle over websites krijgen. De noodpatch van gisteren is een aanvulling op een noodpatch die op 28 maart verscheen. De kwetsbaarheid van 28 maart wordt sinds 11 april actief aangevallen. Alle Drupal-websites die de eerste noodpatch sinds 11 april niet hebben geïnstalleerd moeten volgens experts als gehackt worden beschouwd. Vorige week waarschuwde een securitybedrijf nog dat gehackte Drupal-sites door een botnet worden gebruikt voor het delven van cryptovaluta en het uitvoeren van ddos-aanvallen. Beheerders van Drupal-sites krijgen het advies om meteen te updaten naar Drupal 7.59, 8.4.8 of Drupal 8.5.3. Drupal 8.4 wordt niet meer ondersteund, maar vanwege de ernst van de kwetsbaarheid heeft het ontwikkelteam besloten om voor deze versie toch een update uit te brengen. Om de noodpatch van gisteren te installeren moet eerst de noodpatch van 28 maart zijn geïnstalleerd. bron: security.nl

Microsoft heeft meer dan drie maanden na de eerste beveiligingsupdates voor de Meltdown- en Spectre-aanvallen een losse beveiligingsupdate uitgebracht die Windows 10-systemen tegen de tweede variant van de Spectre-aanval moet beschermen. Tevens bevat de update meerdere microcode-updates van Intel. De Spectre-aanval maakt het mogelijk om via JavaScript vertrouwelijke informatie uit het geheugen van een computer te stelen, zoals wachtwoorden. Om volledig tegen de tweede variant beschermd te zijn moeten gebruikers zowel een update voor het besturingssysteem als een microcode-update voor de processor installeren. De nu uitgebrachte "stand-alone" beveiligingsupdate met het nummer 4078407 is te downloaden via de Microsoft Update Catalogus en is bedoeld voor systemen die eerdere Spectre-updates niet hebben ontvangen. Deze updates werden onder andere via de automatische updatefunctie van Windows uitgerold. bron: security.nl

Eigenaren van een draagbare HooToo-router zijn gewaarschuwd voor ernstige beveiligingslekken waardoor een aanvaller het apparaat op afstand kan overnemen en een firmware-update van de fabrikant is nog niet beschikbaar. Op een schaal van 1 tot en met 10 wat betreft de ernst van een kwetsbaarheid zijn de beveiligingslekken beoordeeld met een 9 tot en met een 9,8. HooToo biedt verschillende draagbare routers aan met de naam "Tripmate", die onder andere voor het hosten en streamen van mediabestanden zijn te gebruiken. Onderzoeker Tao Sauvage van securitybedrijf IOActive besloot verschillende Tripmate-modellen te onderzoeken en ontdekte de kwetsbaarheden (pdf). Zo bevat een bestand van de webinterface bevat een kwetsbaarheid waardoor een aanvaller zonder inloggegevens een willekeurige shellscript kan uploaden dat met rootrechten wordt uitgevoerd. Ook ontdekte Sauvage een uploadkwetsbaarheid die een aanvaller zonder inloggegevens volledige toegang tot de router geeft. De andere kwetsbaarheden die de onderzoeker aantrof laten een aanvaller zonder inloggegevens willekeurige commando's met rootrechten uitvoerren. Het versturen van een kwaadaardig request naar de router kan al voldoende zijn. HooToo werd op 6 oktober 2017 over de kwetsbaarheden ingelicht. Het proces om de fabrikant te waarschuwen was echter moeizaam, zo blijkt uit de advisory van IOActive. Zo werd er op meerdere e-mails met informatie niet gereageerd. Een firmware-update is dan ook nog altijd niet beschikbaar. Wel kunnen gebruikers bepaalde kwetsbare onderdelen van de router via een curl-commando uitschakelen. Dit kan er echter voor zorgen dat de webinterface en de geavanceerdere features van de router niet meer te gebruiken zijn. bron: security.nl

Veel Internet of Things-apparaten missen basale beveiligings- en privacymaatregelen, delen informatie met derde partijen en maken het mogelijk om het gedrag van gebruikers af te leiden, zo blijkt uit onderzoek van de Princeton University. De onderzoekers zijn een grootschalig onderzoek naar de privacy en digitale veiligheid van IoT-apparatuur gestart en de eerste resultaten zijn niet bemoedigend. Zo blijkt dat de meeste onderzochte IoT-apparaten basale versleuteling en authenticatie missen. Een slimme bloeddrukmeter van Withings blijkt bijvoorbeeld verzoeken onversleuteld te versturen, waardoor een aanvaller kan achterhalen dat iemand een bloeddrukmeter bezit en hoe vaak die wordt gebruikt. Informatie die via het gebruik van encryptie kan worden afgeschermd. Ook het onderzochte IoT-speelgoed blijkt geen gebruik van versleutelde verbindingen te maken. Wanneer het verkeer van de IoT-apparaten wel wordt versleuteld is het mogelijk om aan de hand hiervan het gebruikersgedrag af te leiden. Het verkeer van een slaapmonitor laat bijvoorbeeld de slaappatronen van de gebruiker zien, terwijl een slim stopcontact laat zien wanneer er apparatuur in de woning wordt gebruikt. De onderzoekers zijn nu bezig om obfuscatietechnieken te ontwikkelen om ervoor te zorgen dat het gedrag van gebruikers niet via netwerkmetadata is af te leiden. Een andere constatering die de onderzoekers deden is dat veel IoT-apparaten met de servers van derde partijen communiceren. Iets wat gebruikers vaak niet weten. Zo maakt de onderzochte Samsung Smart TV een minuut na het aanzetten verbinding met Google Play, Double Click, Netflix, FandangoNOW, Spotify, CBS, MSNBC, NFL, Deezer en Facebook, ook al hebben de onderzoekers geen account bij deze diensten aangemaakt en probeerden ze er ook niet in te loggen. "Een derde partij kan gebruikersdata van een groot aantal apparaten verzamelen, waardoor het mogelijk wordt om het gedrag van een gebruiker over allerlei apparaten te volgen", zo waarschuwen de onderzoekers. Als onderdeel van het onderzoek werden meer dan 50 IoT-apparaten geanalyseerd, maar het is de bedoeling dat het aantal wordt uitgebreid. Zo kunnen mensen via deze website zelf IoT-apparaten aandragen waar ze zich zorgen over maken die de onderzoekers dan mogelijk gaan onderzoeken. bron: security.nl

Firefox 60 gaat "same-site cookies" ondersteunen, wat gebruikers tegen csrf-aanvallen moet beschermen, zo laat Mozilla weten. Bij elk verzoek naar een website stuurt de browser een cookie mee. De meeste websites maken van dit mechanisme gebruik om te bepalen of gebruikers zijn ingelogd. Het feit dat cookies automatisch met elk verzoek van de browser worden meegestuurd kan door aanvallers worden misbruikt om gebruikers ongewenste acties uit te laten voeren op de website waar ze op dat moment zijn ingelogd. Dit soort aanvallen worden cross-site request forgery (csrf) aanvallen genoemd. Een aanvaller die de controle over third-party code op de website heeft kan in naam van de gebruiker acties uitvoeren. De huidige webarchitectuur biedt op dit moment geen mogelijkheid voor websites om op betrouwbare wijze onderscheid te maken tussen de acties van een gebruiker of die van een third-party script. Het same-site cookie kan hierbij echter uitkomst bieden. Het same-site cookie attribuut laat een website aan de browser weten dat cookies alleen moeten worden verstuurd als het verzoek afkomstig is van de website waar ook het cookie vandaan komt. Verzoeken die van andere url's afkomstig zijn dan van de url die in de adresbalk staat vermeld zullen geen van de cookies met dit nieuwe attribuut bevatten, zo stelt Mozillas Christoph Kerschbaumer. Het same-site-attribuut kent twee modes waar websites uit kunnen kiezen, een strenge en een lakse mode. Dit bepaalt onder andere wanneer een gebruiker als ingelogd wordt beschouwd na het openen van een link op een externe website. Firefox 60 staat gepland voor 9 mei van dit jaar. bron: security.nl