Captain Kirk

Eigenaren van een draagbare HooToo-router zijn gewaarschuwd voor ernstige beveiligingslekken waardoor een aanvaller het apparaat op afstand kan overnemen en een firmware-update van de fabrikant is nog niet beschikbaar. Op een schaal van 1 tot en met 10 wat betreft de ernst van een kwetsbaarheid zijn de beveiligingslekken beoordeeld met een 9 tot en met een 9,8. HooToo biedt verschillende draagbare routers aan met de naam "Tripmate", die onder andere voor het hosten en streamen van mediabestanden zijn te gebruiken. Onderzoeker Tao Sauvage van securitybedrijf IOActive besloot verschillende Tripmate-modellen te onderzoeken en ontdekte de kwetsbaarheden (pdf). Zo bevat een bestand van de webinterface bevat een kwetsbaarheid waardoor een aanvaller zonder inloggegevens een willekeurige shellscript kan uploaden dat met rootrechten wordt uitgevoerd. Ook ontdekte Sauvage een uploadkwetsbaarheid die een aanvaller zonder inloggegevens volledige toegang tot de router geeft. De andere kwetsbaarheden die de onderzoeker aantrof laten een aanvaller zonder inloggegevens willekeurige commando's met rootrechten uitvoerren. Het versturen van een kwaadaardig request naar de router kan al voldoende zijn. HooToo werd op 6 oktober 2017 over de kwetsbaarheden ingelicht. Het proces om de fabrikant te waarschuwen was echter moeizaam, zo blijkt uit de advisory van IOActive. Zo werd er op meerdere e-mails met informatie niet gereageerd. Een firmware-update is dan ook nog altijd niet beschikbaar. Wel kunnen gebruikers bepaalde kwetsbare onderdelen van de router via een curl-commando uitschakelen. Dit kan er echter voor zorgen dat de webinterface en de geavanceerdere features van de router niet meer te gebruiken zijn. bron: security.nl

Veel Internet of Things-apparaten missen basale beveiligings- en privacymaatregelen, delen informatie met derde partijen en maken het mogelijk om het gedrag van gebruikers af te leiden, zo blijkt uit onderzoek van de Princeton University. De onderzoekers zijn een grootschalig onderzoek naar de privacy en digitale veiligheid van IoT-apparatuur gestart en de eerste resultaten zijn niet bemoedigend. Zo blijkt dat de meeste onderzochte IoT-apparaten basale versleuteling en authenticatie missen. Een slimme bloeddrukmeter van Withings blijkt bijvoorbeeld verzoeken onversleuteld te versturen, waardoor een aanvaller kan achterhalen dat iemand een bloeddrukmeter bezit en hoe vaak die wordt gebruikt. Informatie die via het gebruik van encryptie kan worden afgeschermd. Ook het onderzochte IoT-speelgoed blijkt geen gebruik van versleutelde verbindingen te maken. Wanneer het verkeer van de IoT-apparaten wel wordt versleuteld is het mogelijk om aan de hand hiervan het gebruikersgedrag af te leiden. Het verkeer van een slaapmonitor laat bijvoorbeeld de slaappatronen van de gebruiker zien, terwijl een slim stopcontact laat zien wanneer er apparatuur in de woning wordt gebruikt. De onderzoekers zijn nu bezig om obfuscatietechnieken te ontwikkelen om ervoor te zorgen dat het gedrag van gebruikers niet via netwerkmetadata is af te leiden. Een andere constatering die de onderzoekers deden is dat veel IoT-apparaten met de servers van derde partijen communiceren. Iets wat gebruikers vaak niet weten. Zo maakt de onderzochte Samsung Smart TV een minuut na het aanzetten verbinding met Google Play, Double Click, Netflix, FandangoNOW, Spotify, CBS, MSNBC, NFL, Deezer en Facebook, ook al hebben de onderzoekers geen account bij deze diensten aangemaakt en probeerden ze er ook niet in te loggen. "Een derde partij kan gebruikersdata van een groot aantal apparaten verzamelen, waardoor het mogelijk wordt om het gedrag van een gebruiker over allerlei apparaten te volgen", zo waarschuwen de onderzoekers. Als onderdeel van het onderzoek werden meer dan 50 IoT-apparaten geanalyseerd, maar het is de bedoeling dat het aantal wordt uitgebreid. Zo kunnen mensen via deze website zelf IoT-apparaten aandragen waar ze zich zorgen over maken die de onderzoekers dan mogelijk gaan onderzoeken. bron: security.nl

Firefox 60 gaat "same-site cookies" ondersteunen, wat gebruikers tegen csrf-aanvallen moet beschermen, zo laat Mozilla weten. Bij elk verzoek naar een website stuurt de browser een cookie mee. De meeste websites maken van dit mechanisme gebruik om te bepalen of gebruikers zijn ingelogd. Het feit dat cookies automatisch met elk verzoek van de browser worden meegestuurd kan door aanvallers worden misbruikt om gebruikers ongewenste acties uit te laten voeren op de website waar ze op dat moment zijn ingelogd. Dit soort aanvallen worden cross-site request forgery (csrf) aanvallen genoemd. Een aanvaller die de controle over third-party code op de website heeft kan in naam van de gebruiker acties uitvoeren. De huidige webarchitectuur biedt op dit moment geen mogelijkheid voor websites om op betrouwbare wijze onderscheid te maken tussen de acties van een gebruiker of die van een third-party script. Het same-site cookie kan hierbij echter uitkomst bieden. Het same-site cookie attribuut laat een website aan de browser weten dat cookies alleen moeten worden verstuurd als het verzoek afkomstig is van de website waar ook het cookie vandaan komt. Verzoeken die van andere url's afkomstig zijn dan van de url die in de adresbalk staat vermeld zullen geen van de cookies met dit nieuwe attribuut bevatten, zo stelt Mozillas Christoph Kerschbaumer. Het same-site-attribuut kent twee modes waar websites uit kunnen kiezen, een strenge en een lakse mode. Dit bepaalt onder andere wanneer een gebruiker als ingelogd wordt beschouwd na het openen van een link op een externe website. Firefox 60 staat gepland voor 9 mei van dit jaar. bron: security.nl

De ontwikkelaars van het Drupal-platform komen op 25 april met een aanvullende noodpatch voor een zeer ernstig beveiligingslek dat op 28 maart werd gepatcht. Beheerders van een Drupal-website krijgen het advies om de update snel te installeren, aangezien er een risico is dat ongepatchte websites uren of dagen na het uitkomen van de noodpatch zullen worden aangevallen. Op 28 maart verscheen er een noodpatch voor een zeer ernstige kwetsbaarheid waardoor aanvallers Drupal-websites volledig kunnen overnemen. Alle Drupal-websites die deze noodpatch sinds 11 april niet hebben geïnstalleerd moeten volgens experts als gehackt worden beschouwd. Vorige week waarschuwde een securitybedrijf nog dat gehackte Drupal-sites door een botnet worden gebruikt voor het delven van cryptovaluta en het uitvoeren van ddos-aanvallen. De noodpatch van 28 maart loste het probleem waarschijnlijk niet volledig op, aangezien er nu een aanvullende noodpatch is aangekondigd. Deze noodpatch verschijnt woensdag 25 april tussen 18:00 en 20:00 uur Nederlandse tijd voor Drupal 7.x, 8.4.x en 8.5.x. Meer dan een miljoen websites draaien deze versies van het Drupal-platform. De noodpatch vereist geen database-update. bron: security.nl

Google heeft spamberichten die dit weekend in de sent-folder van Gmail-gebruikers verschenen verwijderd, zo heeft de internetgigant via Hacker News laten weten. Gisteren klaagden honderden gebruikers op het Google-forum over spamberichten die in hun sent-folder waren verschenen. Daardoor leek het alsof de gebruikers deze spammails hadden verstuurd. Gebruikers dachten dan ook dat hun Gmail-account was gehackt. Het bleek echter om gespoofte e-mailadressen te gaan, die reclame voor bitcoin en uitvaartverzekeringen maakten. Verschillende getroffen gebruikers melden dat de e-mails waren verstuurd via de Canadese telecomprovider Telus. In het geval de spamberichten niet konden worden afgeleverd kreeg het gespoofte Gmail-adres een "bounce" en verschenen de spammails in de sent-folder van het Gmail-adres. Google stelt in een reactie dat gebruikers geen nieuwe spamberichten meer in hun sent-folder zouden moeten ontvangen en bestaande spamberichten de komende dagen worden verwijderd. Het probleem met gespoofte gmail-adressen is al geruime tijd bekend. Een onderzoeker meldde het al meer dan een jaar geleden, maar kreeg als reactie terug dat het niet als een "security bug" werd gezien. Naar aanleiding van het incident van dit weekend heeft Google aangegeven dat het meer informatie zal delen zodra het beschikbaar komt en relevant is. bron: security.nl

Securitybedrijf Qihoo 360 waarschuwt voor een beveiligingslek in Internet Explorer dat actief wordt aangevallen en waar nog geen patch van Microsoft voor beschikbaar is. Het bedrijf kondigde de kwetsbaarheid via Twitter aan, alsmede via de Chinese microbloggingdienst Weibo. Volgens de onderzoekers wordt de kwetsbaarheid aangevallen via Microsoft Office-documenten die een embedded webpagina bevatten. Het openen van een kwaadaardig Office-document is voldoende om aanvallers volledige controle over het systeem te geven. Het beveiligingslek is aanwezig in de meest recente versie van Internet Explorer. Ook applicaties die van de IE-kernel gebruikmaken lopen risico. De aanvallers maken daarnaast gebruik van een bekende techniek om User Account Control (UAC) te omzeilen. UAC zorgt ervoor dat applicaties met standaardrechten worden uitgevoerd, tenzij de beheerder verhoogde rechten toestaat. Door de techniek kunnen de aanvallers hun code met verhoogde rechten uitvoeren. De onderzoekers merken op dat de kwetsbaarheid door een bekende "APT-actor" is aangevallen. Meer details worden echter niet gegeven. Microsoft zou inmiddels zijn ingelicht, maar het is onbekend wanneer er een update zal verschijnen. Gebruikers krijgen het advies om geen documenten van onbekende bronnen te openen. bron: security.nl

Microsoft gaat Windows 10 van een aanvullende nieuwe beveiligingslaag voorzien die het besturingssysteem tegen rootkits, exploits en andere aanvallen moet beschermen. Het gaat om Windows Defender System Guard runtime attestation, dat onderdeel van de Windows-kern gaat uitmaken. De technologie controleert de integriteit van het systeem tijdens het opstarten en maakt hiervoor gebruik van een apart "vertrouwensdomein". Huidige beveiligingstechnologieën zijn geregeld het doelwit van aanvallen die in hetzelfde vertrouwensdomein draaien. Neem als voorbeeld geprivilegieerde processen, die zijn ontworpen om een bepaald niveau van scheiding te geven van normale gebruikers-mode processen . De NT-kernel bepaalt aan de hand van bepaalde waarden in het proces-object of een proces beschermd is. Het aanpassen van deze waarden, bijvoorbeeld via een kernel-exploit of een driver, kan de procesbescherming uitschakelen. Door de beveiligingsbeslissing met betrekking tot het manipuleren naar een apart vertrouwensdomein te verplaatsen, wordt de complexiteit voor aanvallers vergroot, aldus Microsoft. Runtime attestation moet in verschillende scenario's gaan helpen, zoals het geven van aanvullende signalen voor anti-virussoftware, het detecteren van rootkits en exploits, detectie van cheats, het uitvoeren van gevoelige transacties en het verzorgen van de toegang tot een apparaat. Windows Defender System Guard runtime attestation stelt de integriteit en veiligheid van het systeem in een rapport vast en geeft dit via een programmeerinterface (API) door aan bijvoorbeeld een applicatie. Die weet zo dat het systeem niet is gemanipuleerd en alle belangrijke processen naar behoren draaien. Het rapport moet echter niet eenvoudig kunnen worden aangepast. Daarom moet het op een locatie worden gegenereerd waar de aanvaller niet bij kan. De scheiding tussen deze locatie en de aanvaller moet daarnaast te controleren zijn. Verder moet het rapport cryptografisch ondertekend zijn op een manier die niet na te maken is buiten de geïsoleerde locatie. Iets wat runtime attestation doet. "Je kunt runtime attestation meer beschouwen als het detecteren van minuscule symptomen die op een aanval kunnen duiden dan dat er naar knipperende signalen wordt gezocht", zegt Microsofts David Kaplan. Het doel is dat de veiligheid van Windows continu wordt gemonitord en aanpassingen die invloed op de veiligheid van het systeem hebben te detecteren zijn. Volgens Kaplan heeft de technologie de potentie om grote stappen te maken in de veiligheid van Windows. Met de volgende Windows 10-update wordt de eerste fase van Windows Defender System Guard runtime attestation geïmplementeerd. bron: security.nl

Onderzoekers waarschuwen voor een botnet dat op een "wormachtige" manier ongepatchte Drupal-sites infecteert en vervolgens gebruikt voor het delven van cryptovaluta en vinden van andere kwetsbare sites. Ook zijn er aanwijzingen dat de websites voor het uitvoeren van ddos-aanvallen worden gebruikt. Het Mushtik-botnet, zoals het wordt genoemd, maakt gebruik van een ernstige kwetsbaarheid in Drupal die op 28 maart van dit jaar werd gepatcht. Via het beveiligingslek kan een aanvaller op afstand volledige controle over een ongepatchte Drupal-site krijgen. Er wordt sinds 13 april actief door het botnet naar kwetsbare websites gezocht. Zodra een ongepatchte Drupal-site is geïnfecteerd wordt die ingezet om andere kwetsbare sites te vinden. Daarnaast worden er cryptominers geïnstalleerd voor het delven van de cryptovaluta Monero en Bitcoin, zo laten onderzoekers van securitybedrijf 360 Netlab weten. De onderzoekers merken op dat ze het botnet gisteren ook instructies hebben zien versturen voor het uitvoeren van een ddos-aanval. Eerder deze week waarschuwden experts al dat alle nog ongepatchte Drupal-sites als gehackt beschouwd moeten worden. bron: security.nl

Google Chrome is een belangrijke reden dat het gebruik van adblockers de afgelopen jaren is gestegen, maar meer dan 20 miljoen Chrome-gebruikers hebben een nep-adblocker geïnstalleerd, zo meldt AdGuard. Eind vorig jaar bleek dat nep-adblockers een terugkerend probleem zijn. Zo bleek één nep-adblocker 37.000 gebruikers te hebben. Door de slechte moderatie van Google is de situatie veel erger, aldus AdGuard. Het bedrijf ontdekte vijf nep-adblockers die bij elkaar opgeteld meer dan 20 miljoen gebruikers hadden. Sommige van de nep-adblockers bleken kwaadaardige code te bevatten die bijvoorbeeld het browsegedrag van de gebruiker aan een derde partij doorgaf. "Met de huidige stand van zaken is het surfen door de Chrome Web Store net als het lopen door een mijnenveld", zegt Andrey Meshkov van AdGuard. Hij adviseert gebruikers dan ook om goed na te denken voordat ze een extensie installeren. Meshkov krijgt bijval van Wladimir Palant, de ontwikkelaar van Adblock Plus. "Je moet er rekening mee houden dat het updaten van extensies in de Chrome Web Store een volledig geautomatiseerd proces is. Er zijn geen menselijke controles zoals bij Mozilla en Opera. Dus niemand houdt je tegen om een onschuldige extensie in een kwaadaardige te veranderen." Volgens Palant hebben de ontwikkelaars van de nep-adblockers bots gebruikt om het aantal downloads op te hogen. Toch noemt hij de situatie met nep-adblockers in de Chrome Web Store een "tikkende tijdbom". Google heeft de nep-adblockers die Meshkov rapporteerde inmiddels uit de Chrome Web Store verwijderd. bron: security.nl

Microsoft heeft een nieuwe feature aan de Windows Defender Firewall van Windows 10 toegevoegd waardoor nu ook Windows Subsystem for Linux (WSL) processen worden ondersteund. WSL is een compatibiliteitslaag om Linux-bestanden en -tools op Windows 10 te draaien. Wanneer bijvoorbeeld een Linux-tool toegang tot een poort van buiten wil toestaan, zoals SSH of een webserver als nginx, zal de Windows Defender Firewall een notificatie aan de gebruiker laten zien waarin om toegang wordt gevraagd, net zoals bij Windows-processen het geval is als de poort een verbinding wil accepteren. Daarnaast heeft in de nieuwste testversie van Windows 10 het Windows Defender Security Center een "design refresh" gekregen. De nieuwe features zijn te testen in Windows 10 Insider Preview Build 17650. Wanneer ze naar de definitieve versie van het besturingssysteem komen is nog niet bekend. bron: security.nl

Een Amerikaans databedrijf dat miljoenen profielen van Facebook, LinkedIn en Twitter schraapt en vervolgens koppelt en aanvult met andere data heeft deze gegevens via een clouddienst van Amazon gelekt. Het gaat onder andere om namen, adresgegevens en geboortedata van miljoenen mensen. LocalBlox omschrijft zichzelf als een "inlichtingenplatform" dat op grote schaal informatie van het internet verzamelt en combineert. Het gaat dan om uitgebreide persoonlijke en bedrijfsprofielen die aan allerlei partijen worden aangeboden. De gegevens waren echter op een onbeveiligde Amazon S3-bucket opgeslagen en voor iedereen toegankelijk. Organisaties gebruiken S3-buckets om allerlei data in op te slaan. Standaard zijn de gegevens niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende. Iets wat bij LocalBlox het geval was. Onderzoekers van securitybedrijf UpGuard ontdekten in de S3-bucket een bestand van 151 GB groot. Uitgepakt ging het om 1,2TB aan data en 48 miljoen gebruikersprofielen. "De enorme omvang van de blootgestelde data bevat informatie zoals namen, adresgegevens, geboortedata, van LinkedIn geschraapte werkverledens, openbare Facebook-gegevens en Twitter-namen", aldus de onderzoekers. Ze merken op dat de verzamelde profielgegevens waren aangevuld met data van de vastgoedwebsite Zillow. "De database lijkt te werken door een ip-adres te volgen en verzamelde data aan dat ip-adres te koppelen wanneer mogelijk, en zo een duidelijk beeld te geven van het gedrag en achtergrond van de gebruiker van dat ip-adres", zo laten de onderzoekers weten. Na te zijn ingelicht op 28 februari van dit jaar werd de data dezelfde dag nog beveiligd. bron: security.nl

Een gratis verfprogramma om stress tegen te gaan dat tevens malware bevatte heeft de afgelopen dagen meer dan 40.000 internetgebruikers geïnfecteerd en tienduizenden Facebook-wachtwoorden gestolen, zo meldt securitybedrijf Radware. De malware werd aangeboden via een domein dat de naam "aol.net" leek te hebben. Het ging echter om een Unicode-weergave van aol.net. Het werkelijke adres was een reeks cijfers, tekens en letters die als "aol.net" werden weergegeven. Het aangeboden verfprogramma was functioneel, maar stal in de achtergrond cookies, gebruikersnamen en wachtwoorden uit Google Chrome. Onderzoekers van Radware wisten toegang tot het beheerderspaneel te krijgen en konden zo zien dat er meer dan 40.000 gebruikers door de malware waren geïnfecteerd. Ook zagen ze tienduizenden Facebook-accounts waarvan de inloggegevens waren gestolen. Na de ontdekking werd Facebook ingelicht en is de sociale netwerksite een onderzoek gestart. bron: security.nl

Microsoft heeft een extensie voor Google Chrome uitgebracht die gebruikers tegen phishing en kwaadaardige websites moet beschermen. Windows Defender Browser Protection, zoals de extensie heet, controleert opgevraagde links en websites aan de hand van een blacklist die Microsoft beheert. Wanneer het om een bekende kwaadaardige website gaat krijgen gebruikers een waarschuwingsscherm te zien. Vervolgens kunnen gebruikers via één muisklik weer terug naar een veilige pagina gaan. Chrome beschikt ook over een ingebouwd beveiligingsmechanisme om kwaadaardige websites te detecteren. In het verleden bleek echter uit tests van NSS Labs dat het filter van Microsoft beter werkte. De Windows Defender-extensie heeft op het moment van schrijven 289 gebruikers. bron: security.nl

De aanvallers die vorig jaar maart softwarebedrijf Piriform hackten en een backdoor aan de populaire tool CCleaner toevoegden wisten via het programma TeamViewer toegang tot het bedrijfsnetwerk te krijgen. Dat meldt anti-virusbedrijf Avast, dat Piriform vorig jaar juli overnam. De besmette versie met backdoor werd uiteindelijk door 2,27 miljoen gebruikers gedownload. De eerste fase van de malware was om informatie over CCleaner-gebruikers te verzamelen, zoals de naam van de computer, geïnstalleerde software en actieve processen. De tweede fase bestond uit het downloaden van aanvullende malware. Dit werd echter bij een select aantal machines gedaan. Uiteindelijk ontvingen 40 computers deze aanvullende malware. Het ging om systemen van grote techbedrijven zoals Intel, Samsung, Sony, Asus, NEC en de Zuid-Koreaanse telecomaanbieder Chunghwa Telecom. De aanvallers waren uiteindelijk ook van plan om een derde fase uit te voeren, waarbij er een keylogger op besmette systemen zou worden geïnstalleerd. Dat liet Avast vorige maand weten. Nu meldt de virusbestrijder dat het heeft ontdekt hoe de aanvallers toegang tot het Piriform-netwerk kregen. Ze maakten daarbij gebruik van het programma TeamViewer dat op één van de ontwikkelsystemen stond geinstalleerd. TeamViewer is een programma om computers op afstand mee te beheren. Volgens Avast wisten de aanvallers in één keer op de ontwikkelmachine in te loggen, wat inhoudt dat ze over de inloggegevens beschikten. Hoe de aanvallers de inloggegevens in handen hebben gekregen is onbekend. "We kunnen alleen speculeren dat de aanvallers inloggegevens hebben gebruikt om toegang tot het TeamViewer-account te krijgen die de Piriform-ontwikkelaar voor een andere dienst heeft gebruikt en mogelijk zijn gelekt", aldus Ondrej Vlcek van Avast. Uit de logbestanden blijkt dat TeamViewer op 11 maart 2017 om 5 uur 's ochtends werd benaderd, toen de computer van de ontwikkelaar onbeheerd was achtergelaten maar nog steeds draaide. De aanvallers probeerden twee kwaadaardige dll-bestanden te installeren. Doordat ze niet over beheerdersrechten beschikten mislukte dit. Bij de derde poging wisten ze de dll-bestanden via een VBScript te installeren. De volgende dag op 12 maart wisten de aanvallers zich lateraal naar een tweede computer te bewegen. Dit gebeurde buiten de werkuren van Piriform. De aanvallers openden een backdoor via Microsofts Remote Desktopdienst en installeerden malware in het Windows Register. Het ging om een oudere versie van de tweede fase malware die uiteindelijk onder de 40 CCleaner-gebruikers werd geïnstalleerd. Twee dagen later gingen de aanvallers terug naar de eerste computer en infecteerden ook die met een oudere versie van de tweede fase malware. Na weken van inactiviteit werd er opnieuw malware op de eerste besmette computer geïnstalleerd. Avast vermoedt dat de aanvallers tijdens de periode van inactiviteit de andere malware hebben ontwikkeld. De aanvallers gebruikten verschillende technieken om andere Piriform-systemen te infiltreren, waaronder wachtwoorden die via een keylogger waren verzameld en het inloggen met beheerdersrechten via de Windows Remote Desktopdienst. In totaal waren de aanvallers vijf maanden actief op het Piriform-netwerk. bron: security.nl

Tijdens de geplande patchcyclus van april heeft Oracle in een groot aantal producten in totaal 254 kwetsbaarheden gepatcht. Het gaat om meerdere ernstige beveiligingslekken waardoor aanvallers in het ergste geval systemen op afstand kunnen overnemen. De meeste kwetsbaarheden zijn gepatcht in Fusion Middleware (39), Financial Services Applications (36), Oracle MySQL (33), Retail Applications (31), Java (14), Sun Systems Products (14) en Oracle VirtualBox (13). Op een schaal van 1 tot en met 10 wat betreft de impact van een kwetsbaarheid zijn de lekken in Java met maximaal een 8.3 beoordeeld. De kwetsbaarheden zijn aanwezig in Oracle Java SE versies 6u181, 7u161, 7u171, 8u152, 8u162 en 10. Gebruikers kunnen via Java.com de nieuwste versie downloaden. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gehackt omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update direct te installeren. In tegenstelling tot bijvoorbeeld Microsoft komt Oracle eens per kwartaal met updates. De volgende patchronde staat gepland voor 17 juli. bron: security.nl

Microsoft gaat een update voor Windows Hello uitrollen zodat gebruikers ook via FIDO2-beveiligingssleutels kunnen inloggen. Windows Hello is een functie van Windows 10 waarmee gebruikers via verschillende biometrische kenmerken kunnen inloggen, zoals vingerafdruk, iris of gezicht. Het is echter ook mogelijk om apparaten te gebruiken, zoals een biometrische ring. FIDO2 is een project van de Fast IDentity Online (FIDO)-Alliantie. Deze alliantie, waar ook Microsoft lid van is, heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. Via FIDO2 moeten gebruikers straks op apps en websites kunnen inloggen zonder het gebruik van een gebruikersnaam of wachtwoord. Onlangs werden FIDO2-beveiligingssleutels door de FIDO-werkgroep goedgekeurd. De sleutels lijken op een usb-stick en bevatten de inloggegevens van de gebruiker. Deze gegevens kunnen met een tweede factor worden beveiligd, zoals een vingerafdrukcontrole op de sleutel zelf of het ingeven van een pincode als er met de sleutel op Windows wordt ingelogd. Microsoft heeft met verschillende partijen samengewerkt om FIDO2-sleutels op Windows 10 te laten werken. De feature is nu in "beperkte preview" beschikbaar. Geïnteresseerden kunnen zich op een wachtlijst aanmelden. bron: security.nl[/url

Google heeft een nieuwe desktopversie van Chrome uitgebracht waarin twee ernstige beveiligingslekken zijn verholpen. Daarnaast zal de browser bepaalde certificaten van Symantec niet meer vertrouwen en worden gebruikers gewaarschuwd als software code in de browser probeert te injecteren. In tegenstelling tot Edge, Internet Explorer, Safari en Firefox worden ernstige kwetsbaarheden in Chrome zelden gevonden. Via een ernstig beveiligingslek kan een aanvaller code op het onderliggende systeem uitvoeren en dat in theorie volledig overnemen. Alleen het bezoeken van een kwaadaardige of gehackte website is dan voldoende. Er is geen verdere interactie van de gebruiker vereist. In 2014 ging het in totaal om drie ernstige kwetsbaarheden in Chrome en in 2015 werden er twee geteld. Een jaar later in 2016 werden er geen ernstige lekken gevonden en vorig jaar ging het er om drie. Dit keer gaat het om twee ernstige kwetsbaarheden die door onderzoeker Ned Williamson werden gevonden. Williamson ontdekte ook twee van de drie ernstige kwetsbaarheden die vorig jaar in Chrome werden gepatcht. De nu gevonden beveiligingslekken bevinden zich in het Disk Cache-onderdeel van Chrome, maar verdere informatie wordt op dit moment nog niet gegeven. Dat zal pas later gebeuren als alle gebruikers de update naar Chrome 66 hebben ontvangen. In totaal zijn er in de nieuwste Chrome-versie 62 kwetsbaarheden gepatcht. Google betaalde onderzoekers meer dan 33.000 dollar voor het melden hiervan, maar de uiteindelijke kosten zullen hoger uitvallen aangezien de beloning voor Williamson nog niet bekend is gemaakt. Symantec-certificaten Daarnaast waarschuwt Chrome nu ook voor websites die bepaalde Symantec-certificaten gebruiken voor het aanbieden van een versleutelde verbinding. Begin vorig jaar ontdekte Google dat certificaatautoriteiten die onder Symantec vallen, waaronder Thawte, VeriSign, Equifax, GeoTrust en RapidSSL, meerdere certificaten hadden uitgegeven die niet aan de richtlijnen van het CA/Browser Forum voldeden. Daarop besloot Google om het vertrouwen in certificaten van Symantec op te zeggen. Dit gebeurt in fasen, waarbij nu Symantec-certificaten die voor 1 juni 2016 zijn uitgegeven niet meer worden vertrouwd. Chrome-gebruikers krijgen dan bij deze websites een certificaatwaarschuwing te zien en kunnen de website niet zonder extra handelingen uit te voeren bezoeken. Code-injecties Een andere belangrijke maatregel die in Chrome 66 is doorgevoerd betreft het waarschuwen voor geïnjecteerde code. Volgens Google heeft tweederde van de Chrome-gebruikers op Windows software geïnstalleerd die interacties met Chrome heeft, zoals anti-virussoftware. Gebruikers met software die code in Chrome injecteert hebben 15 procent meer kans om met crashes te maken krijgen. Vanaf juli 2018 met de lancering van Chrome 68 zal Google daarom het injecteren van code door third-party software in de Windows-versie van Chrome gaan blokkeren. Deze aanpassing zal in drie fases plaatsvinden, waarbij wordt begonnen met Chrome 66. Gebruikers zullen nu na een crash een waarschuwing te zien krijgen dat andere software code in Chrome injecteert. Vervolgens krijgen gebruikers advies om deze software te updaten of van het systeem verwijderen. Updaten naar Chrome 66.0.3359.117 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Intel heeft een nieuwe technologie aangekondigd waardoor anti-virussoftware gebruik kan maken van de geïntegreerde videochip op Intel-processors, wat de processorbelasting moet verminderen, alsmede andere voordelen heeft. Accelerated Memory Scanning, zoals de technologie heet, moet meer scans mogelijk maken en de impact op de prestaties en stroomverbruik verminderen. Anti-virussoftware kan grote invloed op de systeemprestaties hebben en is voor sommige gebruikers reden om de virusscanner al dan niet tijdelijk uit te schakelen. Uit vroege benchmarks van Intel blijk dat Accelerated Memory Scanning de processorbelasting van 20 procent naar 2 procent doet afnemen. Microsoft zal de technologie aan Windows Defender Advanced Threat Protection toevoegen. Of andere aanbieders zullen volgen is nog niet bekend. Daarnaast heeft Intel nog verschillende andere aankondigingen op veiligheidsgebied gedaan, zoals Advanced Platform Telemetry waar Cisco gebruik van zal maken en Intel Security Essentials. Dit is een verzameling van hardwarematige beveiligingseigenschappen in de processors van Intel. Tevens is Intel een samenwerking met de Purdue University aangegaan. bron: security.nl

Een oud infectienetwerk dat sinds 2011 werd gebruikt om miljoenen internetgebruikers naar kwaadaardige websites door te sturen is uit de lucht gehaald. Het gaat om het EITest-netwerk dat gehackte webservers en websites gebruikte om bezoekers door te sturen naar websites die malware bevatten. Het kon dan gaan om websites die bezoekers via exploitkits met malware probeerden te infecteren of social engineering toepasten om bezoekers zelf de malware te laten installeren. Onderzoekers van Proofpoint, Brillantit en Abuse.ch wisten het domein in handen te krijgen dat EITest gebruikte voor het aansturen van gehackte websites en servers. Vervolgens lieten de onderzoekers de gehackte websites en servers naar hun eigen servers wijzen. In drie weken tijd ontvingen de onderzoekers bijna 44 miljoen verzoeken afkomstig van 52.000 gehackte servers. Wanneer het infectienetwerk niet uit de lucht zou zijn gehaald waren al deze verzoeken doorgestuurd naar kwaadaardige websites. 1,5 miljoen van de verzoeken die de onderzoekers opvingen waren afkomstig uit Nederland. De informatie over de gehackte servers wordt gedeeld met de autoriteiten, zodat die kunnen helpen bij het opschonen van de servers. bron: security.nl

Om de privacy en veiligheid van internetgebruikers te verbeteren moeten cookies die via het onbeveiligde http worden verstuurd een kortere levensduur krijgen. Daarvoor heeft Chrome-engineer Mike West een voorstel op GitHub en Google Groups gedaan. "Cookies die via het onversleutelde http worden gestuurd zijn zichtbaar voor iedereen op het netwerk. Deze zichtbaarheid stelt behoorlijke hoeveelheden data bloot aan aanvallers op het netwerk", aldus West, die op Twitter meldt dat via onversleutelde kanalen verstuurde cookies voor "echte risico's" voor de privacy van gebruikers zorgen. West ziet dan ook liever dat cookies alleen nog via https worden uitgewisseld. Om het risico van onveilig verstuurde cookies te verkleinen wil West de levensduur beperken. "In plaats van voldoende oude cookies via onbeveiligde verbindingen te versturen zouden we ze moeten verwijderen uit de cookie-jar van de gebruiker", stelt de engineert. Zodra een gebruiker met http://example.com verbinding maakt, wordt er een "Cookie" header gemaakt. Als cookies die in deze header worden geplaatst voldoende oud zijn, worden ze van de header uitgezonderd en verwijderd. Het plan is om als levensduur te beginnen met bijvoorbeeld een jaar en dat dan verder af te bouwen om zo het risico te mitigeren dat cookies via onbeveiligde verbindingen vormen. Volgens West kunnen cookies "fragiel" zijn, maar zullen gebruikers van een kortere cookie-levensduur waarschijnlijk weinig merken. "Aan de andere kant zullen diensten die van langlevende onveilige cookies gebruikmaken waarschijnlijk niet blij zijn, wat goed is. Er zijn duidelijke risico's bij het versturen van cookies via onbeveiligde kanalen, met name als het op grote schaal wordt gedaan als onderdeel van een advertentienetwerk." West heeft nu om feedback op zijn voorstel gevraagd. In het verleden heeft Mozilla al een keer naar een soortgelijke oplossing gekeken. bron: security.nl

Er is een exploit voor een zeer ernstig beveiligingslek in Drupal online verschenen waarmee het mogelijk is om websites over te nemen. Eind maart verscheen er een patch om de kwetsbaarheid in het contentmanagementsysteem (cms) te verhelpen. Meer dan een miljoen Drupal-sites liepen risico. Beheerders van Drupal-sites kregen het advies om de update direct te installeren omdat een exploit binnen enkele uren of dagen zou kunnen verschijnen. Gisteren is op GitHub een exploit verschenen en sindsdien wordt er actief naar kwetsbare Drupal-sites gezocht, zo melden het Internet Storm Center (ISC) en securitybedrijf Sucuri. Drupal-beheerders wordt aangeraden om te updaten naar versie 7.58 of 8.5.1. bron: security.nl

In navolging van de zoekmachine Gotcha.pw die onlangs verscheen en de eerste twee karakters van allerlei gelekte wachtwoorden toont, is er nu een website verschenen die het gehele wachtwoord toont en tegen betaling verwijdert. Dat meldt RTL Nieuws, dat de naam van de website niet bekend heeft gemaakt. De website zou pas sinds kort online zijn en van data uit allerlei bekende datalekken gebruikmaken, zoals LinkedIn, Dropbox en Playstation. Net als bij soortgelijke zoekmachines moeten gebruikers een e-mailadres opgeven, waarna alle aan het e-mailadres gekoppelde en gelekte wachtwoorden worden getoond. Om wachtwoorden van de website te verwijderen wordt 10 dollar in bitcoin, ethereum of litecoin gevraagd. Ict-jurist Arnoud Engelfriet liet onlangs op Security.NL over de zoekmachine Gotcha.pw het volgende weten: "Bij Gotcha.pw zie ik nergens wachtwoorden gepubliceerd. De dienst is iets makkelijker in dat je een domeinnaam kunt (kon) invoeren en dan van alle bijbehorende mailadressen met bekend wachtwoord een melding krijgt. Dat zou in theorie de kans op misbruik kunnen vergemakkelijken, maar je krijgt per mailadres slechts de helft van de gebruikersnaam te zien en 2 letters van het wachtwoord. Daarmee heb je alsnog te weinig om daadwerkelijk op dat account in te loggen. Wat mij betreft is dit dus gewoon legaal." bron: security.nl

Mozilla heeft een rapport gepubliceerd dat de gezondheid van het internet in kaart brengt, zoals de openheid van het web en hoe het met de privacy van internetgebruikers staat gesteld. Met het rapport wil Mozilla internetgebruikers oproepen om in actie te komen en voor een gezond internet te zorgen. De softwareontwikkelaar stelt echter niet dat het internet ongezond is. "In de meeste gevallen is het geen eenvoudige vraag. Er zijn wel duidelijke indicatoren om in de gaten te houden. Het gaat in bepaalde gebieden beter, zoals toegang, betaalbaarheid en encryptie. En het gaat slechter in andere, zoals censuur, online intimidatie en energieverbruik. Simpele indicatoren missen de complexiteit die met globale ecosystemen zoals het internet komt", aldus Mozilla. Volgens de organisatie moet er worden gelet op de samentrekkingen, zoals de groeiende spanning tussen vrije meningsuiting en intimidatie. "We moeten naar technologieën en mensen kijken die vandaag klein, maar morgen groot kunnen zijn, zoals fabrikanten van opensourcehardware of blockchain-innovators ", laat Mozilla weten. Om de gezondheid van het web te verbeteren zijn er maatregelen die gebruikers volgens het rapport zelf kunnen nemen, zoals het installeren van updates en het kiezen van goede wachtwoorden, alsmede uitzoeken wat voor data bedrijven zoals Facebook en Google over hen verzamelen en hierop de privacyinstellingen aanpassen. bron: security.nl

Het is volgende maand precies een jaar geleden dat WannaCry uitbrak, maar nog altijd zijn miljoenen computers met de ransomware besmet. Dat meldt securitybedrijf Kryptos Logic. Een onderzoeker van het bedrijf registreerde een domeinnaam die als killswitch voor de ransomware fungeerde. Zodra WannaCry op een machine actief is probeert het verbinding met deze domeinnaam te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken. In maart zag het securitybedrijf zo'n 100 miljoen verbindingspogingen afkomstig van meer dan 2,7 miljoen unieke ip-adressen. Dit is al een jaar gaande en volgens de onderzoekers zijn er geen aanwijzingen dat de infecties aan het afnemen zijn. "We schatten dat honderdduizenden van onbehandelde Windows-infecties verantwoordelijk zijn voor de continue verspreiding van WannaCry, die volgens onze dataset en schattingen verschillende (tientallen) miljoenen systemen via een eb- en vloedcyclus van infecties elke maand weet te bereiken", aldus het bedrijf. Kryptos Logic geeft in deze blogposting verschillende scenario's waarin WannaCry nog steeds een "serieuze dreiging" kan vormen en wat bedrijven kunnen doen om infecties te voorkomen. "Bedrijven waar geen WannaCry-infecties zijn waargenomen lopen nog steeds risico op een uitbraak als het installeren van updates niet is afgerond. De perfecte storm doet zich voor als computers geen virusscanner gebruiken en Windows niet up-to-date is. Ironisch genoeg is dit vrij normaal in de meeste belangrijke productieomgevingen", zo stelt Kryptos Logic. De kwetsbaarheid waar WannaCry misbruik van maakt werd op 14 maart 2017 door Microsoft gepatcht. Het feit dat de ransomware nog steeds actief is houdt in dat organisaties al een jaar lang geen beveiligingsupdates voor Windows hebben geïnstalleerd of besmette machines hebben opgeschoond. bron: security.nl

Phishing is de voornaamste oorzaak van datalekken, zo stelt Verizon in een nieuwe editie van het Data Breach Investigations Report (DBIR). Voor het rapport werden 53.000 incidenten en iets meer dan 2200 "breaches" in 65 landen onderzocht. 93 procent van de onderzochte datalekken had phishing als oorzaak. Volgens Verizon klikt gemiddeld 4 procent van de personen die doelwit zijn van een phishingaanval op de link in de phishingmail. Verder blijkt dat veel phishingmails niet door medewerkers worden gemeld. Slechts 17 procent van de phishingcampagnes werd doorgegeven. Uit testresultaten blijkt dat de eerste click bij de meeste phishingcampagnes na 16 minuten plaatsvindt. De meeste mensen die op een phishinglink klikken doen dit in het eerste uur nadat het bericht is verstuurd. De eerste melding van de phishingmail, afkomstig van meer technische gebruikers, komt gemiddeld na zo'n 28 minuten, terwijl de helft van de meldingen na 33 minuten is gedaan. Verder laat het rapport zien dat de meeste "breaches" door buitenstaanders worden veroorzaakt. Dat geldt echter niet voor de gezondheidszorg. Daar zijn "insiders" voor de meeste datalekken en incidenten verantwoordelijk. Het gaat dan bijvoorbeeld om het verlies of diefstal van laptops, opslagmedia en papieren dossiers, alsmede misbruik van bevoegdheden. Als voorbeeld geeft Verizon het bekijken van het medische dossier van een "date" of een bekendheid die in het ziekenhuis wordt opgenomen. Iets dat onlangs ook nog in Nederland speelde toen personeel van het HagaZiekenhuis in Den Haag het medisch dossier van Barbie had bekeken. bron: security.nl