Captain Kirk

Mozilla heeft vandaag Firefox 59 gelanceerd die meerdere kwetsbaarheden verhelpt en voortaan ook referrers stript om te voorkomen dat gebruikers over meerdere websites worden gevolgd. Daarnaast heeft de browser een optie gekregen om verzoeken van websites te blokkeren. Wanneer gebruikers een link in hun browser openen om een nieuwe website te bezoeken, zorgt de referrer-waarde ervoor dat de nieuwe website ziet vanaf welke pagina de bezoeker afkomstig is. Volgens Mozilla lekt dit gebruikersdata aan websites en vertelt ze welke pagina de gebruiker bekeek voordat hij op de link klikte. Websites gebruiken de referrer-informatie voor operationele en statistische doeleinden, maar kunnen het ook gebruiken om zoveel mogelijk informatie over een gebruiker te verzamelen. Om de privacy van gebruikers te beschermen verwijdert de Private Browsing Mode in Firefox 59 voortaan de path-informatie van de referrer-waarde. Zodoende wordt alleen het domein aan de nieuwe website doorgegeven en niet meer allerlei parameters die persoonlijke informatie kunnen bevatten. Verzoeken Daarnaast is er een optie toegevoegd om verzoeken van opdringerige websites, die bijvoorbeeld push-notificaties willen versturen of toegang tot de camera of microfoon willen, te blokkeren. Op dit moment kunnen websites aan gebruikers vragen of ze push-notificaties mogen sturen of toegang tot apparaatfeatures zoals de webcam of geolocatie mogen krijgen. Via een nieuwe optie in de instellingen van de browser is het mogelijk om dergelijke verzoeken voor alle websites te blokkeren. Er is daarnaast ook de optie om betrouwbare websites te whitelisten, zodat die de verzoeken nog wel kunnen versturen. Mozilla laat in de aankondiging van Firefox 59 verder weten dat er ook meerdere kwetsbaarheden in de browser zijn verholpen, maar die waren op het moment van schrijven nog niet openbaar gemaakt. Vaak wacht de browserontwikkelaar enkele uren na het uitbrengen van een nieuwe versie voordat details over beveiligingslekken worden vrijgegeven. Updaten naar Firefox 59 kan via de automatische updatefunctie en Mozilla.org. bron: security.nl

De afgelopen maanden zijn miljoenen computers in aanraking gekomen met cryptominers, terwijl het aantal gevallen van ransomware juist is afgenomen, zo heeft Microsoft vandaag laten weten. Van september vorig jaar tot en met januari dit jaar werden er elke maand gemiddeld 644.000 unieke Windows-computers waargenomen die een cryptominer waren tegengekomen. Het gaat hierbij om malware die op verschillende manieren op de computer kan worden geïnstalleerd en het systeem naar cryptovaluta laat mijnen. Terwijl er een duidelijke stijging is van het aantal cryptominers, is het aantal computers dat ransomware tegenkomt aan het afnemen. Een mogelijke reden is dat cryptominers nu ook via exploitkits worden verspreid, alsmede via kwaadaardige e-mailbijlagen. "Het is niet waarschijnlijk dat cybercriminelen ransomware op korte termijn helemaal zullen verlaten, maar de toename van getrojaniseerde cryptominers laat zien dat aanvallers de mogelijkheden verkennen om met deze nieuwere methode op illegale wijze geld te verdienen", aldus Eric Avena van Microsoft. Doordat cybercriminelen nu meer voor cryptominers kiezen zal deze malware ook het gedrag van al bekende dreigingen overnemen, aldus Avena. Als voorbeeld wijst hij naar de NeksMiner, die een kopie van zichzelf in gedeelde netwerkmappen en op usb-sticks plaatst om zich zo verder te verspreiden, net als allerlei andere malware. bron: security.nl

Mozilla is bezig met het verzamelen van een dataset van in-page pop-ups om die uiteindelijk automatisch in Firefox te kunnen blokkeren. In-page pop-ups zijn pop-ups die pagina's op verschillende momenten laten zien, zoals tijdens het laden van de website, het scrollen, inactiviteit of het openen van een tab. Er wordt nu geëxperimenteerd met een pop-upblocker om deze pop-ups automatisch te sluiten. Hiervoor is Mozilla bezig met het aanleggen van een verzameling van dergelijke pop-ups. Internetgebruikers kunnen die via deze pagina rapporteren. De dataset is alleen nodig om de pop-upblocker te trainen. Het plan is om ze automatisch te kunnen blokkeren zonder over een volledige blocklist te beschikken. Of de feature er ook komt is nog onduidelijk. Firefox-ontwikkelaar Ehsan Akhgari zegt op Twitter dat Mozilla het als een mogelijke Firefox-feature aan het verkennen is. bron: security.nl

Onderzoekers van de Ben-Gurion Universiteit hebben malware ontwikkeld die via passieve luidsprekers data van systemen kan stelen die niet met het internet verbonden zijn. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers van de Ben-Gurion Universiteit in het verleden verschillende methodes, zoals het gebruik van speakers, airconditioning, geluid van de harde schijf, ventilatoren, radiogolven, infraroodcamera's, scanners, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes en routerlampjes om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. De onderzoekers demonstreren nu een nieuwe methode genaamd Mosquito (pdf) waarbij "speaker-to-speaker" communicatie wordt gebruikt om data van een niet met internet verbonden computer te stelen. Het scenario dat de onderzoekers schetsen bestaat uit een kamer met twee computers, waarvan er één wel en één niet met internet is verbonden. Beide computers zijn besmet met malware en beschikken over passieve luidsprekers of een koptelefoon. De malware maakt vervolgens misbruik van een feature van de audiochip waarbij de aangesloten luidsprekers van uitvoerapparaat in een invoerapparaat (microfoon) worden veranderd. Malware op de ene computer kan vervolgens via de luidsprekers en het gebruik van ultrasone golven informatie uitzenden die door de luidsprekers van de andere computer, die in feite een microfoon zijn geworden, worden opgevangen. Op deze manier is het mogelijk om op een afstand van 9 meter data met een snelheid van 10 - 166 bit/sec tussen de computers te versturen. Wanneer er in plaats van luidsprekers koptelefoons worden gebruikt, is een afstand van 3 meter mogelijk. De onderzoekers stellen dat in zwaarbeveiligde instellingen het gewoon is om zowel actieve als passieve luidsprekers te verbieden, om zo een air-gap te creëren. Minder strenge regels verbieden het gebruik van microfoons, maar staan wel het gebruik van "one-way" luidsprekers toe. In veel gevallen geldt het beleid en de beveiligingsmaatregelen niet voor moderne koptelefoons, wat in principe niet-aangedreven en onversterkte luidsprekers zijn. In deze situaties zou Mosquito effectief kunnen zijn. Om dergelijke aanvallen te voorkomen kunnen organisaties verschillende maatregelen nemen, zoals het verbieden van het gebruik van luidsprekers, koptelefoons of oortjes, het gebruik van actieve speakers, het uitschakelen van de audio-codec in het bios, het detecteren van ultrasone transmissies en het gebruik van low-pass filters. bron: security.nl

Om de privacy van gebruikers te beschermen gaat Mozilla de licht- en nabijheidssensor in Firefox uitschakelen, alsmede verschillende andere sensoren. Dat laat de Firefox Site Compatibility Working Group weten op basis van een Bugzilla-rapport en bericht van Firefox-ontwikkelaar Jonathan Kingston. Firefox biedt verschillende programmeerinterfaces waarmee de sensoren van smartphones zijn te gebruiken. Een aanvaller kan misbruik van deze sensoren maken om bijvoorbeeld de surfgeschiedenis van de gebruiker te stelen, zo lieten onderzoekers vorig jaar al zien. De lichtsensor wordt bijvoorbeeld gebruikt om de helderheid van het scherm automatisch aan te passen. Een website kan hiermee achterhalen welke websites de gebruiker eerder heeft bezocht. De link van een bezochte website wordt door de browser namelijk anders weergegeven dan een link die nog niet is bezocht. De sensor kan dit herkennen. Firefox-ontwikkelaar Jonathan Kingston laat weten dat in een testversie van Firefox 60 de licht- en nabijheidssensors zijn uitgeschakeld. Voor andere sensoren, zoals oriëntatie en beweging, verschijnt er een waarschuwing dat de ondersteuning zal worden gestaakt. Kingston stelt dat het plan is om de licht- en nabijheidssensors in de stabiele versie van Firefox 62 uit te schakelen, die gepland staat voor 21 augustus van dit jaar. bron: security.nl

Twee botnets waren in het vierde kwartaal van vorig jaar verantwoordelijk voor 97 procent van alle verstuurde spam, zo laat McAfee in een nieuw rapport weten. Het gaat om de Necurs- en Gamut-botnets, die door spammers worden gehuurd voor het versturen van spam, phishingmails en malware. Necurs werd met een aandeel van 60 procent het meestgebruikt, gevolgd door Gamut met 37 procent (pdf). Volgens McAfee is Necurs op dit moment ook het grootste spambotnet ter wereld. De besmette machines die onderdeel van het botnet zijn worden via een peer-to-peer-model bestuurd. In het vierde kwartaal van vorig jaar werden onder andere de Locky-ransomware en Dridex-bankmalware via Necurs verstuurd. Gamut richtte zich in deze periode meer op e-mails om money mules te werven en phishingmails. bron: security.nl

Het aantal kwetsbare memcached-servers die voor ddos-aanvallen kunnen worden gebruikt is dankzij de inzet van vrijwilligers de afgelopen dagen sterk gedaald. Dat meldt onderzoeker Victor Gevers van de GDI Foundation, een Nederlandse stichting van beveiligingsexperts zonder winstoogmerk. De GDI Foundation verstuurde ruim 4.000 e-mails naar internetproviders, organisaties en eigenaren in 150 landen waarin voor meer dan 51.000 kwetsbare memcached-servers werd gewaarschuwd. Volgens de stichting zijn er nog ruim 6.000 kwetsbare servers op internet te vinden. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Oorspronkelijk was het niet ontworpen om via het internet toegankelijk te zijn. Een aanvaller kan door ip-spoofing naar deze servers een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van de memcached-server veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Aanvallers wisten op deze manier een ddos-aanval van 1,7 Tbps te genereren. Het is niet voor het eerst dat de GDI Foundation organisaties en providers voor kwetsbare systemen waarschuwt. Eerder deed de stichting dit al bij onbeveiligde MongoDB-databases en Hadoop-installaties, kwetsbare D-Link-routers en Arris-apparaten, alsmede systemen die kwetsbaar voor de exploits van de NSA waren. bron: security.nl

Een recent gepatcht beveiligingslek in Adobe Flash Player wordt actief aangevallen via exploitkits. Dit houdt in dat het bezoeken van een gehackte website of het te zien krijgen van besmette advertenties met een kwetsbare Flash Player-versie voldoende is om met malware besmet te raken. De kwetsbaarheid in kwestie werd op 6 februari door Adobe via een noodpatch verholpen. Het beveiligingslek bleek namelijk al sinds vorig jaar november bij gerichte aanvallen tegen Zuid-Koreaanse organisaties ingezet. Hierbij werden Excel- en Word-bestanden met embedded Flash-objecten gebruikt. Nu blijkt dat cybercriminelen ook over de exploit beschikken om die via het web te gebruiken. Flash Player was en is nog altijd het populairste doelwit voor exploitkits. Door het uitblijven van nieuwe exploits, en het feit dat steeds meer browsers de ondersteuning van Flash Player uitfaseren, is de effectiviteit van exploitkits de afgelopen periode sterk afgenomen. Volgens onderzoeker Kafeine van het blog Malware don't need coffee is dit de eerste nieuwe Flash-exploit die sinds een exploit voor een Flash-lek uit juli 2016 aan een exploitkit is toegevoegd. De nieuwe Flash-exploit wordt via besmette advertenties ingezet en zal wanneer succesvol de Hermes-ransomware installeren. Gebruikers krijgen dan ook het advies om te upgraden naar Flash Player-versie 28.0.0.161 of nieuwer, aangezien daarin het lek is verholpen. bron: security.nl

Anti-virusbedrijf Kaspersky Lab heeft een spionageaanval via gehackte MikroTik-routers ontdekt die vooral in Afrika en het Midden-Oosten slachtoffers heeft gemaakt. Volgens de virusbestrijder gaat het om een aanval die qua complexiteit vergelijkbaar is met twee eerder ontdekte spionageaanvallen die bekendstaan als Regin en Sauron. Slingshot, zoals de groep achter de aanval wordt genoemd, maakt gebruik van gecompromitteerde MikroTik-routers om slachtoffers te infecteren. MikroTik biedt klanten een programma genaamd WinBox om routers te beheren. Dit programma, dat op de router staat, downloadt een aantal dll-bestanden van het bestandssysteem van de router en laadt ze direct in het geheugen van de computer. Om beheerders van MikroTik-routers te infecteren hebben de aanvallers een kwaadaardige versie van het dll-bestand genaamd ipv4.dll op de gecompromitteerde routers geplaatst. Na te zijn toegevoegd wordt dit dll-bestand door WinBox gedownload en uitgevoerd. Volgens de onderzoekers is dit dll-bestand een Trojan-downloader die aanvullende malware op het systeem installeert. Hoe de aanvallers het voor elkaar hebben gekregen om de MikroTik-routers te hacken en van het malafide dll-bestand te voorzien is onbekend. Wat de onderzoekers wel weten is dat het dll-bestand verschillende modules downloadt, waaronder een kernel-module en een user-mode-module. Deze modules zijn ontwikkeld om gegevens te verzamelen en te stelen en het systeem gecompromitteerd te houden. Om code in kernel-mode te kunnen draaien laadt Slingshot gesigneerde kwetsbare drivers. Via de kwetsbaarheden in deze drivers voert de malware zijn eigen code uit. Doordat de code met kernel-rechten wordt uitgevoerd heeft die volledige controle over het systeem en kan zich onder andere voor anti-virussoftware verbergen. Cyberspionage Het doel van Slingshot is cyberspionage. Uit het onderzoek blijkt dat de malware screenshots, keyboarddata, netwerkgegevens, wachtwoorden, usb-verbindingen, desktopactiviteit, de inhoud van het clipboard en andere gegevens verzamelt en naar de aanvallers terugstuurt. Opmerkelijk aan de malware is dat die de software voor het defragmenteren van de harde schijf uitschakelt. Slingshot maakt gebruik van een eigen versleuteld bestandssysteem dat zich in een ongebruikt deel van de harde schijf kan bevinden. Bij het defragmenteren van de harde schijf kan data naar dit deel worden geschreven, wat het virtuele bestandssysteem kan beschadigen. Volgens Kaspersky Lab is Slingshot al sinds 2012 actief en nog steeds operationeel. Het anti-virusbedrijf heeft zo'n 100 slachtoffers waargenomen in Kenia, Yemen, Afghanistan, Libië, Congo, Jordanië, Turkije, Irak, Soedan, Somalië en Tanzania. De meeste slachtoffers zijn individuen in plaats van organisaties, maar ook verschillende overheidsorganisaties en -instellingen zijn door de malware getroffen. In Kenia en Yemen werden de meeste slachtoffers waargenomen. MikroTik heeft in een reactie aan Kaspersky Lab laten weten dat de laatste versie van WinBox het bestand ipv4.dll niet meer op de computer downloadt, waarmee deze aanvalsvector is gesloten. In dit rapport (pdf) geeft Kaspersky Lab informatie en hashes van bestanden en domeinen waar de malware gebruik van maakt. bron: security.nl

Broncode van de remote desktopsoftware Ammyy Admin is gebruikt voor malware die zowel bij zeer gerichte als grootschalige aanvallen is ingezet, aldus securitybedrijf Proofpoint. Ammyy Admin is een programma waarmee op afstand toegang tot computers kan worden verkregen. Enige tijd geleden verscheen de broncode van Ammyy Admin versie 3 op internet en cybercriminelen hebben daar gebruik van gemaakt voor het ontwikkelen van malware, genaamd "FlawedAmmyy". Deze kwaadaardige versie is al sinds begin 2016 bij aanvallen ingezet, maar nu pas ontdekt, zo laat Proofpoint weten. Onder andere de automobielindustrie zou het doelwit van de aanvallen zijn. Om de malware te verspreiden maken de aanvallers gebruik van e-mails die als bijlage Word- of ZIP-bestanden bevatten. De Word-bestanden zijn voorzien van een kwaadaardige macro die, wanneer ingeschakeld door de gebruiker, de malware op het systeem downloadt. Eenmaal actief op een systeem kan FlawedAmmyy worden gebruikt om bedrijfsgeheimen, klantgegevens en andere informatie van ondernemingen te stelen, aldus de onderzoekers. bron: security.nl

140 Nederlandse WordPress-sites zijn besmet met een cryptominer die de brower van bezoekers naar cryptovaluta laat mijnen, zo meldt beveiligingsonderzoeker Troy Mursch van Bad Packets Report. De onderzoeker waarschuwde vorige maand dat hij via de PublicWWW-zoekmachine bijna 50.000 gehackte sites had gevonden waar aanvallers een cryptominer aan hadden toegevoegd. Van de 50.000 gehackte websites met een cryptominer draaiden er 5400 op WordPress-websites. Deze week kwam de onderzoeker met een update waarin hij stelt dat het aantal gehackte WordPress-sites is opgelopen naar bijna 7400. In een overzicht van de gehackte websites blijkt dat het om 140 .nl-domeinen gaat. Hoe de websites konden worden gehackt laat de onderzoeker niet weten. Op de meeste gehackte websites is de Coinhive-cryptominer geplaatst. Deze cryptominer bestaat uit een stukje JavaScript-code dat in de browser draait en de rekenkracht van de computer gebruikt om de cryptovaluta Monero te minen. Eigenaren van de gehackte websites hebben hier geen weet van en worden hier ook niet voor betaald. Het geld dat de cryptominer oplevert gaat naar de aanvallers. Bezoekers kunnen de cryptominer opmerken doordat hun computer trager wordt en meer stroom verbruikt. bron: security.nl

Een Amerikaans securitybedrijf claimt dat het een 'kill-switch' heeft gevonden om ddos-aanvallen via publiek toegankelijke memcached-servers te stoppen. Daarnaast waarschuwen onderzoekers van Corero dat het ook mogelijk is om data van kwetsbare memcached-servers te stelen of manipuleren. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist. Oorspronkelijk was het niet ontworpen om via het internet toegankelijk te zijn. Wereldwijd zijn er echter nog zo'n 95.000 memcached-servers publiek toegankelijk. Een aanvaller kan door ip-spoofing naar deze servers een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van de memcached-server veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Dit heeft inmiddels geleid tot ddos-aanvallen met een recordomvang van 1,7 Tbps Corero zegt dat er een oplossing voorhanden is. Er is namelijk een 'kill-switch' waarbij er een commando naar de aanvallende memcached-server wordt gestuurd om het huidige ddos-misbruik te stoppen. De "flush_all" tegenmaatregel zorgt ervoor dat de cache van de kwetsbare servers komt te vervallen, waaronder ook de grote, kwaadaardige antwoorden van de aanvallers. Volgens de onderzoekers is de maatregel 100 procent effectief en heeft die geen gevolgen voor de kwetsbare memcached-server. De informatie is inmiddels met "nationale veiligheidsdiensten" gedeeld, aldus Corero. Verder ontdekten onderzoekers van het bedrijf dat het mogelijk is om informatie te stelen die memcached-servers van het lokale netwerk of host hebben opgeslagen. Het kan dan gaan om vertrouwelijke databasegegevens, klantdata of andere informatie. Ook is het mogelijk om de informatie aan te passen. "Door een eenvoudig debug-commando te gebruiken kunnen hackers de 'sleutels' van je data achterhalen. Daarnaast is het mogelijk om de data aan te passen en terug in het cache-geheugen te plaatsen, zonder dat de memcached-eigenaar dit weet", zo stelt het securitybedrijf. De Nederlandse beveiligingsonderzoeker Victor Gevers meldt op Twitter dat het aantal open memcached-servers gestaag aan het afnemen bron: security.nl

Microsoft heeft afgelopen dinsdag een grootschalige uitbraak van cryptomining-malware ontdekt en gestopt, zo meldt de softwaregigant in een analyse. In korte tijd werden er 400.000 exemplaren van Smoke Loader gedetecteerd, een Trojan downloader die aanvullende malware op systemen installeert en ook bekend staat als Dofoil. Smoke Loader verspreidt zich via exploitkits en spamcampagnes. In het geval van de aanval van afgelopen dinsdag probeerde Smoke Loader een zelfontwikkelde cryptominer te installeren die NiceHash ondersteunt. Dit houdt in dat de cryptominer verschillende cryptovaluta kan mijnen. De exemplaren die Microsoft analyseerde mijnden de cryptovaluta Electroneum. De analyse van Microsoft laat zien hoe de malware middels machine learning, gedragsgebaseerde detectie en big data-analyse binnen enkele minuten kon worden gedetecteerd. De campagne van Smoke Loader was met name in Rusland actief waar 73 procent van de exemplaren werd waargenomen. Turkije en Oekraïne volgden met respectievelijk 18 en 4 procent. bron: security.nl

Google heeft opnieuw een waarschuwing aan websites met Symantec-certificaten gegeven om in actie te komen, aangezien deze sites straks foutmeldingen in Google Chrome veroorzaken. Begin vorig jaar ontdekte Google dat certificaatautoriteiten die onder Symantec vallen, waaronder Thawte, VeriSign, Equifax, GeoTrust en RapidSSL, meerdere certificaten hadden uitgegeven die niet aan de richtlijnen van het CA/Browser Forum voldeden. Dit is een consortium van certificaatautoriteiten en softwareontwikkelaars die regels voor certificaten opstellen. Certificaten, die onder andere voor versleutelde verbindingen tussen websites en bezoekers worden gebruikt, spelen een belangrijke rol op internet. Het overtreden van deze regels wordt Symantec dan ook zwaar aangerekend. Google besloot daarom het vertrouwen in de certificaten van Symantec geleidelijk op te zeggen. De eerste fase in dit proces vindt volgende maand plaats, als Chrome 66 geen Symantec-certificaten meer vertrouwt die voor 1 juni 2016 zijn uitgegeven. Chrome-gebruikers krijgen dan bij deze websites een certificaatwaarschuwing te zien en kunnen de website niet zonder extra handelingen uit te voeren bezoeken. De maatregel zal Google binnenkort in een testversie van Chrome 66 doorvoeren. De definitieve versie van Chrome 66 staat gepland voor 17 april. Met de lancering van Chrome 70 op 16 oktober wordt geen enkel Symantec-certificaat meer vertrouwd, ongeacht uitgiftedatum. Google roept webmasters en beheerders dan ook dringend op om actie te ondernemen en de certificaten te vervangen. bron: security.nl

Alle Windows 10-versies krijgen straks de beschikking over de Windows 10 S-modus, wat een aangepaste en op veiligheid gerichte versie van het besturingssysteem is. Windows 10 S werkt alleen met apps uit de Microsoft Store en ondersteunt alleen de Edge-browser met de Bing-zoekmachine. Doordat alleen door Microsoft gecontroleerde apps worden toegestaan zou dit Windows 10 S tegen ransomware en andere malware moeten beschermen, zo liet de softwaregigant weten. In eerste instantie werd Windows 10 S als losstaande Windows 10-versie gepresenteerd, die met name voor leerlingen en studenten was bedoeld. Windowsvolger Ed Bott noemde het zelfs de oplossing voor de 'clueloze pc-gebruiker', aangezien het installeren van malware een stuk lastiger is met Windows 10 S. In het geval Windows 10 S-gebruikers een applicatie wilden gebruiken die niet in de Window Store is te vinden, konden ze op Windows 10 Pro overschakelen, wat een permanente beslissing was. Nu laat Microsoft weten dat Windows 10 S straks in elke Windows 10-versie kan worden ingeschakeld en uitgeschakeld, zonder extra kosten. bron: security.nl

400.000 mailservers lopen risico door een kwetsbaarheid in Exim, een message/mail transfer agent (MTA) voor het versturen en ontvangen van e-mail. Via het beveiligingslek kan een aanvaller zonder authenticatie op afstand willekeurige code op het systeem uitvoeren. Hiervoor hoeft een aanvaller alleen een speciaal geprepareerd bericht te versturen. Onderzoeker Meh Chang van securitybedrijf Devcore rapporteerde het probleem op 5 februari aan de ontwikkelaars van Exim. Vijf dagen later op 10 februari verscheen Exim 4.90.1, waarin de kwetsbaarheid was gepatcht. Chang heeft nu een analyse van het beveiligingslek online gezet. Daarin stelt hij dat nog minstens 400.000 mailservers risico lopen en geeft het advies aan beheerders om meteen naar de laatste versie te upgraden. Volgens de ontwikkelaars van Exim zou het lastig zijn om de kwetsbaarheid te misbruiken. Chang stelt in zijn analyse echter dat de bug eenvoudig is te triggeren en beschikt over een werkende exploit om dit te laten zien. Exim is onder andere in verschillende Linux-distributies aanwezig, waarin het probleem ook is gepatcht. Eind vorig jaar werd er ook al een ernstig beveiligingslek in de software ontdekt. bron: security.nl

Vorig jaar is een recordaantal Belgen slachtoffer van fraude met internetbankieren geworden. Het aantal slachtoffers in 2017 was groter dan de vier voorgaande jaren bij elkaar opgeteld. Dat blijkt uit cijfers van Febelfin, de overkoepelende federatie voor de Belgische financiële sector. In totaal werden er 3200 Belgen gedupeerd, met name via phishing. Van 2013 tot en met 2016 ging het in totaal om 2800 slachtoffers. De schade die slachtoffers vorig jaar leden bedroeg 2,5 miljoen euro, wat neerkomt op een gemiddelde van 780 euro per geval. Ook dit bedrag is hoger dan voorgaande jaren. Van 2014 tot en met 2016 bedroeg het schadebedrag in totaal 2,1 miljoen euro. Alleen in 2013 wisten criminelen met een bedrag van bijna 5,2 miljoen euro meer geld te stelen. "Deze fraudegevallen blijven hoofdzakelijk toe te schrijven aan phishing. Hoewel het principe van phishing steeds hetzelfde blijft, passen de fraudeurs voortdurend hun werkwijze aan", aldus Febelfin. Volgens de organisatie maken fraudeurs ook gebruik van nieuwe communicatiekanalen zoals Facebook of WhatsApp om potentiële slachtoffers te benaderen. Zo worden links in socialmediaberichten gebruikt die naar phishingsites wijzen. Febelfin waarschuwt gebruikers dan ook om alert te zijn op phishing. bron: security.nl

Windows 10 zal van een nieuw privacyscherm gebruik gaan maken voor het instellen van de privacyopties, zo heeft Microsoft laten zien. Het nieuwe ontwerp moet gebruikers helpen bij het maken van keuzes over hun privacy en biedt twee nieuwe instellingen voor Inking & Typing en Find my device. Via het privacyscherm kunnen gebruikers kiezen hoe er met locatiegegevens, diagnostische data, spraakherkenning en andere zaken moet worden omgegaan. In het geval van de optie Inking & Typing wordt informatie over het schrijfgedrag naar Microsoft teruggestuurd. Find my device, dat alleen met een Microsoft-account werkt, maakt van locatiegegevens gebruik om de locatie van een apparaat te bepalen zodat het gevonden kan worden. Microsoft heeft het nieuwe privacyscherm in een testversie van Windows 10 uitgerold. Daarbij wordt er van twee verschillende vormgevingen gebruikmaakt. De ene vormgeving laat alle opties in één scherm zien, terwijl de andere vormgeving voor elke privacyinstelling een apart scherm toont. Het nieuwe privacyscherm zal deze lente via een update in Windows 10 beschikbaar worden. bron: security.nl

Google heeft een nieuwe desktopversie van Chrome uitgebracht waarin 45 kwetsbaarheden zijn verholpen waardoor een aanvaller in het ergste geval code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. De kwetsbaarheden bevonden zich in verschillende onderdelen van de browser, zoals Flash, de ingebouwde pdf-lezer, de V8 JavaScript-engine en WebGL. Van de verholpen beveiligingslekken werden er 27 door externe beveiligingsonderzoekers aan Google gerapporteerd. Google betaalde hen in totaal ruim 34.000 dollar voor de bugmeldingen. Daarnaast beschermt Chrome 65 gebruikers tegen ongewenste redirects. Het gaat dan bijvoorbeeld om websites die zich voordoen als afspeelknop of transparante overlays op websites, die alle clicks afvangen en nieuwe tabs of vensters openen. Ook als gebruikers bijvoorbeeld een link openen kan er een redirect plaatsvinden. Sommige websites maken hier gebruik van door aangeklikte links in een nieuwe tab te openen, terwijl de hoofdpagina een andere pagina opent. Chrome zal dergelijke redirects nu blokkeren. Updaten naar Chrome 65.0.3325.146 gebeurt op de meeste systemen automatisch. bron: security.nl

Onderzoekers zullen deze week tijdens een beveiligingsconferentie van Kaspersky Lab in Mexico laten zien hoe het mogelijk was om via stemassistent Cortana de vergrendeling van Windows 10 te omzeilen en een systeem kwaadaardige websites te laten bezoeken. Zelfs wanneer een Windows 10-systeem is vergrendeld en in slaapstand luistert Cortana naar bepaalde stemopdrachten, zo ontdekten onderzoekers Tal Be'ery and Amichai Shulman. Een aanvaller met fysieke toegang tot een vergrendelde Windows 10-computer zou een kwaadaardige usb-netwerkadapter op het systeem kunnen aansluiten en vervolgens Cortana de opdracht kunnen geven om de browser te starten en een http-site te bezoeken. De kwaadaardige netwerkadapter vangt het http-verzoek af en stuurt de browser vervolgens naar een kwaadaardige website die malware op de computer installeert, zo meldt Vice Magazine dat al door de onderzoekers werd ingelicht. Na te zijn gewaarschuwd heeft Microsoft het probleem verholpen door alle browse-opdrachten die via Cortana op een vergrendelde computer worden uitgevoerd via de Bing-zoekmachine te laten lopen. bron: security.nl

Microsoft heeft een update uitgebracht voor een probleem met usb-apparaten dat na de installatie van een beveiligingsupdate voor Windows 10 ontstond. Tijdens de patchdinsdag van februari verschenen er verschillende cumulatieve updates, waaronder KB4074588. Deze update bevat onder andere belangrijke beveiligingsupdates voor ernstige kwetsbaarheden in de Microsoft Scripting Engine, Edge, Internet Explorer, Windows Search, Windows Kernel, Windows Authentication, Device Guard en andere onderdelen. Na het installeren van de update konden op Windows 10-systemen sommige usb- en onboard-apparaten, zoals een ingebouwde laptopcamera, keyboard of muis, stoppen met werken. Het probleem, dat zich alleen voordeed bij de Windows 10 Fall Creators Update (versie 1709), werd veroorzaakt door de installatie van nieuwe drivers die in de update aanwezig waren. Windows Update kon in bepaalde gevallen de installatie van de nieuwe drivers overslaan en de huidige geïnstalleerde drivers verwijderen. Microsoft heeft nu KB4090913 uitgebracht om het probleem te verhelpen. Deze update is beschikbaar via Windows Update en de Microsoft Update Catalogus. bron: security.nl

Mozilla heeft een vroege testversie van Firefox 60 gelanceerd die oudere door Symantec uitgegeven tls-certificaten blokkeert, wat voor foutmeldingen op tal van populaire websites zorgt. Het gaat om certificaten die voor 1 juni 2016 zijn uitgegeven en worden gebruikt voor het opzetten van een beveiligde verbinding tussen websites en hun bezoekers. Aanleiding voor de maatregel zijn verschillende incidenten met door Symantec uitgegeven tls-certificaten. Verschillende browserontwikkelaars, waaronder Google en Mozilla, hebben besloten om het vertrouwen in de certificaten van Symantec geleidelijk op te zeggen. De eerste stap is het opzeggen van het vertrouwen in de certificaten die voor 1 juni 2016 zijn uitgegeven. Google voert deze maatregel volgende maand in, met de lancering van Chrome 66. Mozilla volgt op 9 mei met Firefox 60. De maatregel is echter nu al te testen in de Nightly-versie van Firefox 60. Volgens Mozilla blijkt uit cijfers dat zo'n 300 populaire websites van deze oudere Symantec-certificaten gebruikmaken en gebruikers van de testversie daardoor een certificaatwaarschuwing te zien krijgen. Met de lancering van Firefox 63 in oktober dit jaar wordt het vertrouwen in alle certificaten van Symantec opgezegd, ongeacht uitgiftedatum. Websites die nog van Symantec-certificaten gebruikmaken krijgen dan ook het advies om een ander certificaat te installeren. bron: security.nl

Besmette computers laten mijnen naar cryptovaluta is een lucratieve business voor cybercriminelen, die daarbij geen concurrentie dulden, zo ontdekte beveiligingsonderzoeker Xavier Mertens van het Internet Storm Center. Martens ontdekte malware die een cryptominer op systemen installeert, maar ook zoekt naar al aanwezige andere cryptominers, securitytools en processor-intensieve processen om die vervolgens uit te schakelen. "Cryptominers maken intensief gebruik van je processor en hoe meer rekenkracht ze kunnen gebruiken, hoe meer geld het oplevert", aldus Martens. De malware die hij ontdekte zoekt naar andere cryptominers en schakelt die uit. Hierbij maakt de malware gebruik van een lijst met procesnamen van andere cryptominers. De lijst is volgens Martens ook te gebruiken om te kijken of systemen met een cryptominer besmet zijn. Gisteren publiceerde anti-virusbedrijf Kaspersky Lab nog een rapport waarin wordt gesteld dat criminelen vorig jaar via cryptominer-malware miljoenen dollars hebben verdiend. bron: security.nl

Nadat internetgigant Akamai vorige week de grootste ddos-aanval tot dan toe waarnam van 1,3 Tbps, is er nu een nog grotere aanval waargenomen. Securitybedrijf Arbor Networks heeft een aanval van 1,7 Tbps gezien die gericht was tegen een klant van een Amerikaanse serviceprovider. Net als de ddos-aanval van 1,3 Tbps waar softwareontwikkelingsplatform GitHub het doelwit van werd, maakte ook deze ddos-aanval gebruik van publiek beschikbare memcached-servers. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist. Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van bijvoorbeeld 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd. "Hoewel de internetgemeenschap samenwerkt om veel publiek toegankelijke memcached-servers uit te schakelen, zorgt het grote aantal open servers dat memcached draait ervoor dat dit een beveiligingslek is dat aanvallers over langere tijd zullen aanvallen", aldus Carlos Morales van Arbor Networks. Hij merkt op dat de aanval geen storing of downtime bij de serviceprovider veroorzaakte. bron: security.nl

Facebook heeft een beveiligingsmaatregel geïmplementeerd die ervoor zorgt dat links altijd naar de https-versie wijzen als die beschikbaar is, zo heeft de sociale netwerksite vandaag bekendgemaakt. Hiervoor wordt gebruik gemaakt van HSTS, wat staat voor HTTP Strict Transport Security. Het zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd of op een http-link geklikt. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Dit moet de veiligheid van gebruikers vergroten, aldus Facebook. Om te bepalen of er van een link op Facebook.com een https-versie beschikbaar is wordt er gebruik gemaakt van twee bronnen. Als eerste is er de Chromium-preloadlist, die in deze meeste browsers wordt gebruikt. Via deze lijst wordt bijgehouden welke websites over https moeten worden bezocht. Daarnaast verzamelt Facebook de HSTS-headers van websites die op Facebook worden gedeeld. Via deze header kunnen websites aangegeven dat ze bij het volgende bezoek via https moet worden bezocht. Door beide bronnen te combineren hoopt Facebook dat mensen veiliger en sneller kunnen browsen. Daarnaast doet de sociale netwerksite een oproep aan websites om HSTS in te schakelen. bron: security.nl