Captain Kirk

Een beveiligingsonderzoeker heeft drie exploits van de NSA die vorig jaar april online verscheen aangepast zodat ze op alle Windows-versies sinds Windows 2000 werken. Het gaat om EternalSynergy, EternalRomance en EternalChampion, zoals de exploits worden genoemd. De exploits maken misbruik van kwetsbaarheden in de SMB-server van Windows en werden vorig jaar maart door Microsoft gepatcht. Een maand na het verschijnen van de beveiligingsupdates publiceerde een hackersgroep genaamd Shadow Brokers allerlei exploits die bij de NSA vandaan kwamen en misbruik van deze en verschillende andere kwetsbaarheden maakten. Sindsdien zijn de exploits bij allerlei aanvallen ingezet. Afgelopen oktober werd de BadRabbit-ransomware ontdekt die van de EternalRomance-exploit gebruikmaakte. Onderzoeker Sean Dillon van securitybedrijf RiskSense heeft de exploits zo aangepast dat ze op Windows 2000 tot en met Windows Server 2016 werken. De exploits zijn speciaal gemaakt voor Metasploit, een opensourceframework voor het testen van de beveiliging van systemen en netwerken dat door allerlei security professionals wordt gebruikt. Dillon laat weten dat de software alleen voor "academisch onderzoek" en de ontwikkeling van effectieve verdedigingstechnieken is ontwikkeld, en niet bedoeld is om systemen zonder toestemming van de eigenaar aan te vallen. RiskSense kwam vorig jaar ook al in het nieuws omdat het de EternalBlue-exploit van de NSA naar Windows 10 had geport. Deze exploit, die ook misbruik maakt van een kwetsbaarheid in de SMB-server van Windows, werd kort na de openbaarmaking door Shadow Brokers aan Metasploit toegevoegd. bron: security.nl

Tal van populaire internationale en Nederlandse websites maken nog altijd gebruik van Symantec-certificaten om een beveiligde verbinding tussen de website en bezoekers op te zetten, maar deze certificaten zullen vanaf 17 april niet meer door Google Chrome worden vertrouwd. Daardoor krijgen Chrome-gebruikers straks bij het bezoeken van deze websites, als die niet op tijd het certificaat vervangen, een certificaatwaarschuwing te zien. Aanleiding voor Google zijn verschillende incidenten met door Symantec uitgegeven ssl-certificaten. Met de lancering van Chrome 66 in april worden alle ssl-certificaten van Symantec van voor 1 juni 2016 niet meer vertrouwd. In het geval Chrome-gebruikers websites met dergelijke certificaten tegenkomen krijgen ze een waarschuwing van de browser. Onderzoeker Arkadiy Tetelman wilde weten hoeveel websites straks in de problemen komen. Hij ontwikkelde een scanner en besloot de certificaten van de 1 miljoen populairste websites op internet volgens Alexa te controleren. Dit leverde uiteindelijk 1656 websites met binnenkort niet meer vertrouwde Symantec-certificaten op. Het probleem lijkt dan ook mee te vallen, aldus Tetelman. Toch gaat het om een aantal populaire websites, zoals WeChat.com, Tesla.com, Blackberry.com en PureVPN.com. Ook in Nederland zijn er nog tientallen websites met een Symantec-certificaat te vinden dat in april niet meer wordt vertrouwd. Het gaat onder andere om Ede.nl, gls-info.nl, gfkpanel.nl, Ymere.nl, Helpling.nl, NEN.nl en SkyRadio.nl, aldus de onderzoeker. Met de lancering van Chrome 70 in oktober dit jaar zullen alle Symantec-certificaten afkomstig van de oude infrastructuur niet meer worden vertrouwd. bron: security.nl

Onderzoekers hebben een nieuwe variant van de Satori-bot ontdekt die in staat is om draadloze ip-camera's onderdeel van een botnet te maken, zo laat securitybedrijf Fortinet weten. Satori is malware die internet of things-apparaten infecteert en is op de beruchte Mirai-malware gebaseerd. De nu ontdekte Satori-variant beschikt over een exploit die wifi-camera's kan infecteren. Het gaat dan met name om draadloze ip-camera's die een kwetsbare versie van de GoAhead-webserver draaien. De exploit maakt gebruik van twee kwetsbaarheden die vorig jaar maart werden onthuld. Destijds werden meer dan 185.000 kwetsbare wifi-camera's ontdekt. Het is onduidelijk hoeveel apparaten op dit moment nog kwetsbaar zijn. De camera's worden door een Chinese fabrikant gemaakt en door verschillende partijen onder andere namen doorverkocht. Naast wifi-camera's kan Satori ook D-Link- en Huawei-routers en Claymore ethereum-miners infecteren. In december liet securitybedrijf Qihoo 360 weten dat Satori meer dan 200.000 apparaten had besmet. Begin dit jaar verscheen de broncode van Satori op internet. Net als Mirai kunnen ook met Satori besmette apparaten voor ddos-aanvallen worden ingezet, aldus Arbor Networks. bron: security.nl

Het nieuwe beveiligingslek in Adobe Flash Player waarvoor vorige week werd gewaarschuwd wordt al sinds november via een Excel-bestand aangevallen, zo meldt Cisco. Het openen van een kwaadaardig Excel-document is voldoende om aanvallers volledige controle over een Windows-pc te geven. Zowel het Computer Emergency Response Team van de Zuid-Koreaanse overheid (KrCERT) als een Zuid-Koreaanse beveiligingsonderzoekers waarschuwden voor de nieuwe kwetsbaarheid in Flash Player. Daarbij liet de onderzoeker een Word-document zien dat bij de aanvallen was gebruikt. Ook stelde de onderzoeker dat de aanvallen sinds november gaande waren. Cisco bevestigt dat de aanvallen inderdaad al sinds november vorig jaar plaatsvinden. Naast een Word-document hebben de aanvallers ook een Excel-document ingezet. Beide documenten bevatten een embedded Flash-object dat de exploit uitvoert die misbruik van de Flash-kwetsbaarheid maakt. Hierdoor kunnen gebruikers worden aangevallen ook als ze Flash Player in de browser hebben uitgeschakeld. Wanneer de aanval succesvol is wordt de ROKRAT remote administration tool geïnstalleerd waarmee er volledige controle over het systeem wordt verkregen. Adobe laat weten dat Flash Player op meer dan 1 miljard desktops is geïnstalleerd. Het softwarebedrijf komt deze week met een noodpatch voor de kwetsbaarheid. Securitybedrijven Flashpoint en FireEye hebben inmiddels een analyse van de aanval gemaakt, die voor zover bekend alleen tegen Zuid-Koreaanse organisaties is ingezet. bron: security.nl

Met de lancering van Firefox Quantum beschikt de browser over een nieuw extensiemodel waarbij voor het eerst met permissies wordt gewerkt. Voor de installatie van een extensie verschijnt er nu eerst een overzicht van permissies die de extensie wil hebben. Mozilla kreeg vooral vragen over de permissie waardoor een extensie toegang tot alle data van de gebruiker voor alle websites krijgt. In een antwoord laat de browserontwikkelaar weten dat sommige extensies alle informatie op een pagina moeten kunnen uitlezen om te functioneren, bijvoorbeeld in het geval van een adblocker of een wachtwoordmanager. Een wachtwoordmanager moet de velden met de gebruikersnaam en het wachtwoord kunnen detecteren en hiernaar toe kunnen schrijven. "Aangezien dit soort extensies, en ook Firefox, niet weten of een bepaalde webpagina het deel bevat dat ze nodig hebben totdat het geladen is, moeten ze toegang tot alles op een pagina hebben. Dit houdt in dat in theorie, hoewel zeldzaam, een kwaadaardige ontwikkelaar je kan vertellen dat hun extensie iets anders doet dan het zegt te doen", aldus Mozilla's Amy Tsay. Ze merkt op dat er altijd een risico is bij het installeren van third-party software, maar gebruikers wel verschillende maatregelen kunnen nemen om zichzelf te beschermen. Zo moet er gekeken worden naar de ontwikkelaar, recensies van gebruikers en of de permissieverzoeken overeenkomen met de features van de extensie. Mozilla heeft een kleine checklist gemaakt waarmee gebruikers de veiligheid van een extensie kunnen beoordelen. bron: security.nl

Het Computer Emergency Response Team van de Zuid-Koreaanse overheid (KrCERT) waarschuwt voor een nieuw beveiligingslek in Adobe Flash Player dat actief wordt aangevallen en waarvoor geen update beschikbaar is. De kwetsbaarheid bevindt zich in Adobe Flash Player ActiveX 28.0.0.137 en eerder. Flash Player 28.0.0.137 is de meest recente versie van de browserplug-in. Om de kwetsbaarheid aan te vallen worden Microsoft Word-documenten met een embedded Flash-object verstuurd. Zodra een gebruiker het Word-document opent zal de ActiveX-versie van Flash Player worden aangeroepen en de exploitcode uitgevoerd. Volgens beveiligingsonderzoeker Simon Choi is de kwetsbaarheid sinds halverwege november 2017 ingezet tegen Zuid-Koreaanse gebruikers die onderzoek naar Noord-Korea doen. Het KrCERT adviseert gebruikers om in afwachting van een update Adobe Flash Player te verwijderen. bron: security.nl

Er is een nieuwe versie van het op security-gerichte besturingssysteem Qubes OS verschenen die belangrijke bescherming tegen de Spectre- en Meltdown-aanvallen bevat, hoewel Qubes-gebruikers toch al minder risico liepen. Het Qubes-besturingssysteem wordt ontwikkeld door de Poolse rootkit-expert Joanna Rutkowska, tevens oprichter van Invisible Things Lab. Qubes implementeert een "security by isolation" aanpak, wat het doet door verschillende programma's via virtualisatie van elkaar te scheiden. Als één programma wordt aangevallen heeft dit geen gevolgen voor de integriteit van de rest van het systeem. Daardoor zou het meer bescherming bieden dan veel huidige besturingssystemen. Bij de aankondiging van de Spectre- en Meltdown-aanvallen lieten de Qubes OS-ontwikkelaars al weten dat impact op het besturingssysteem beperkt was. Qubes OS 4.0 maakt standaard in bijna alle gevallen gebruik van volledig gevirtualiseerde virtual machines, wat bescherming tegen de Meltdown-aanval biedt, zo laat het ontwikkelteam weten. Daarnaast zorgt virtualisatie ervoor dat één van de twee Spectre-aanvallen lastig is uit te voeren. In het geval van Qubes lopen alleen actieve virtual machines risico. Gebruikers kregen dan ook het risico om belangrijke virtual machines te sluiten als er minder betrouwbare virtual machines werden gebruikt. Verder lieten de ontwikkelaars weten dat Spectre en Meltdown alleen read-only zijn, wat inhoudt dat een aanvaller de kwetsbaarheden niet kan gebruiken om bijvoorbeeld een backdoor te installeren. Ondanks de al aanwezige maatregelen bleken de eerste drie release candidates van Qubes 4.0 in bepaalde gevallen nog gebruik te maken van para-gevirtualiseerde virtual machines. Daardoor zou een Meltdown-aanval in bepaalde gevallen mogelijk zijn. In Qubes 4.0 Release Candidate 4 is dit probleem opgelost door nu overal virtualisatie te gebruiken. bron: security.nl

Een botnet dat besmette machines naar de cryptovaluta Monero laat minen bestaat inmiddels uit meer dan 526.000 Windows-machines en heeft de beheerders miljoenen dollars opgeleverd, zo claimt securitybedrijf Proofpoint. De cryptominer, genaamd Smominru, wordt onder andere via de EternalBlue-exploit van de NSA verspreid. Ook maken de aanvallers waarschijnlijk gebruik van de EsteemAudit-exploit van de NSA. Deze exploit is gericht tegen het Remote Desktop Protocol (RDP) op machines met Server 2003 en Windows XP. De meeste besmette machines die onderdeel van het botnet zijn bevinden zich in Rusland, India en Taiwan. Proofpoint-onderzoeker 'Kafeine' stelt dat het afgelopen jaar de hoeveelheid malware die over een cryptominer beschikt sterk is toegenomen. De onderzoeker verwacht dan ook dat er meer botnets zoals het Smominru-botnet zullen verschijnen. Dat sluit aan bij de analyse van Cisco, waarin wordt gesteld dat cybercriminelen steeds vaker ransomware voor cryptominers verruilen. Het Russische securitybedrijf Dr. Web kwam eerder ook al met een analyse waarbij Windows-servers worden gehackt en gebruikt voor het minen van de cryptovaluta Monero en Aeon. Het gaat in dit geval om servers die Cleverence Mobile SMARTS Server draaien. Vorig jaar werd er een ernstige kwetsbaarheid in de software gepatcht, maar niet alle beheerders hebben de update uitgerold. Via de kwetsbaarheid kan de server worden overgenomen en de miner geïnstalleerd. Wanneer beheerders het miner-proces proberen te sluiten zal Windows een "emergency shutdown" uitvoeren en een blue screen of death (BSOD) laten zien. Ook probeert de malware de services van verschillende anti-virusproducten te verwijderen. bron: security.nl

itse testlab AV-Test heeft vorige maand 119 malware-exemplaren ontdekt die geassocieerd worden met de Spectre- en Meltdown-aanvallen. Sinds de kwetsbaarheden in processors vorige maand werden onthuld zijn er nog geen aanvallen op gebruikers in "het wild" waargenomen. Het grootste deel van de malware die AV-Test aantrof is gebaseerd op de proof-of-concept-code van de onderzoekers die Spectre en Meltdown openbaar maakten, zo meldt securitybedrijf Fortinet. De onderzoekers lieten onder andere zien hoe de Spectre-aanval het mogelijk maakt om via kwaadaardige JavaScript-code informatie uit het geheugen van de browser te stelen. Ook via Meltdown is het mogelijk voor malware om informatie in het geheugen te benaderen waar het normaliter geen toegang toe heeft. Zeventien procent van de betreffende malware-exemplaren konden onderzoekers van Fortinet niet analyseren, mogelijk omdat die niet mogen worden gedeeld of om andere redenen ontoegankelijk waren. Meer informatie over de malware-exemplaren wordt niet gegeven. We hebben AV-Test dan ook om meer details gevraagd. Chipgigant Intel zou binnenkort met nieuwe updates moeten komen om gebruikers tegen Spectre en Meltdown te beschermen. De vorige updates werden vanwege allerlei problemen teruggetrokken. Update Andreas Marx van AV-Test laat in een reactie aan Security.NL weten dat er inmiddels 139 exemplaren zijn waargenomen. In de meeste gevallen gaat het om gehercompileerde/uitgebreidere versies van de proof-of-conceptcode. "Interessant genoeg voor verschillende platformen zoals Windows, Linux en macOS. We hebben ook de eerste JavaScript proof-of-conceptcode ontdekt voor browsers zoals Internet Explorer, Chrome of Firefox." De malware is afkomstig van verschillende bronnen, zoals andere onderzoekers en testers, maar ook van anti-virusbedrijven. "Ik denk dat verschillende groepen op dit moment aan proof-of-concepts werken om te kijken of ze voor "bepaalde" doeleinden zijn te gebruiken", gaat Marx verder. Gezien het grote aantal kwetsbare systemen zijn Spectre en Meltdown interessant voor cybercriminelen om informatie uit met name de browser te stelen. "Ik weet zeker dat we ons nog in de "onderzoekfase" voor aanvallen bevinden, maar het zou me niet verbazen als we de eerste gerichte aanvallen in de toekomst zullen zien", merkt Marx op. Grootschalige aanvallen zijn volgens hem afhankelijk van hoe eenvoudig het is om dergelijke aanvallen uit voeren. Afsluitend adviseer hij gebruikers naast het updaten van hun bios en besturingssysteem om ook de computer uit te schakelen als die enige tijd niet wordt gebruikt en bijvoorbeeld tijdens de lunchpauze de browser te sluiten. "Dit verkleint het aanvalsoppervlak en bespaart ook de nodige energie." bron: security.nl

Mozilla gaat maatregelen in Firefox nemen om datalekken via zogeheten http-referrers te voorkomen. Wanneer gebruikers een link in hun browser openen om een nieuwe website te bezoeken, zorgt de referrer-waarde ervoor dat de nieuwe website ziet vanaf welke pagina de bezoeker afkomstig is. "Dit lekt gebruikersdata aan websites en vertelt ze welke pagina je precies bekeek voordat je op de link klikte", zegt Mozilla's privacy-engineer Luke Crouch. Websites gebruiken de referrer-informatie voor operationele en statistische doeleinden, maar kunnen het ook gebruiken om zoveel mogelijk informatie over een gebruiker te verzamelen. De data is voor allerlei doelen in te zetten, zoals gerichte advertenties, of kan worden doorverkocht. Afhankelijk van de bezochte pagina in kwestie kan het om zeer gevoelige informatie gaan die naar de nieuwe website wordt doorgestuurd, zoals het volgende voorbeeld van Crouch laat zien. Het gaat hier om een echt datalek waarbij de Amerikaanse overheidssite HealthCare.gov persoonlijke informatie naar tientallen trackingsites doorstuurde. Referer: https://www.healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1&pregnant=1&zip=85601&state=AZ&income=35000. Om dergelijk datalekken tegen te gaan zal Firefox 59 in de Private Browsing Mode voortaan de path-informatie van de referrer-waarde verwijderen. Zodoende zal in het geval van het voorbeeld alleen https://www.healthcare.gov/ aan de nieuwe website worden doorgegeven. Firefox-gebruikers zijn niet afhankelijk van de Private Browsing Mode. De referrer-waarde is ook via "about:config" en deze instellingen in de browser in te stellen. Firefox 59 staat gepland voor 13 maart. bron: security.nl

Bij het ongevraagd installeren van de Looking Glass-extensie bij Firefox-gebruikers zijn verschillende fouten gemaakt, zo heeft Mozilla toegegeven. De extensie was mede door Mozilla ontwikkeld voor fans van de televisieserie Mr. Robot. Firefox-gebruikers maakten zich echter zorgen, mede omdat de eerste versie van de extensie geen enkele uitleg of omschrijving bevatte. De opensource-ontwikkelaar kreeg een golf van kritiek over zich heen en beloofde met een post-mortem te komen waarin het zou uitleggen over hoe en wat er precies is gebeurd. De post-mortem is nu online verschenen en Mozilla maakt opnieuw excuses. Volgens Mozilla's Nick Nguyen is er niet lang genoeg nagedacht over de gevolgen van het uitrollen van de Firefox-extensie. Een extensie die voor verwarring en zorgen bij gebruikers kon zorgen, aldus Nguyen. Voor de uitrol van de extensie werd gebruik gemaakt van het SHIELD-platform. Daarmee kan Mozilla allerlei nieuwe instellingen en features binnen Firefox testen. Vervolgens worden de gevolgen van deze nieuwe instellingen of features op een "privacyvriendelijke" manier bekeken. Aan de hand daarvan kan Mozilla kijken of de technologie stabiel genoeg is en besluiten om het te implementeren. De Looking Glass-extensie verzamelde geen enkele data en kwam dan ook door de interne privacycontrole van Mozilla heen. Iets wat volgens Nguyen een deel van het probleem was. Een geldig SHIELD-experiment hoort namelijk altijd testdata te verzamelen. Een "experiment" dat geen data verzamelt is geen experiment, aldus Nguyen. Mozilla concludeerde dan ook dat het gebruik van het SHIELD-platform beter moet worden omschreven. De opensource-ontwikkelaar heeft daarom een aantal principes opgesteld. Zo moeten toekomstige SHIELD-studies een specifieke vraag beantwoorden. In het geval van Looking Glass was het feit dat er geen data werd verzameld achteraf gezien een goede aanwijzing dat het geen geschikt SHIELD-experiment was. Daarnaast moeten SHIELD-experimenten ook altijd een duidelijke naam hebben. Iets wat bij Looking Glass ook niet het geval was en tegen het advies van Mozilla inging wat betreft het herkennen van malware. Experimenten die niet aan de nieuwe principes voldoen zullen voortaan niet meer worden uitgerold. bron: security.nl

Om Windows-gebruikers tegen onnodige aankopen van schimmige software te beschermen gaat Microsoft dubieuze cleaners en optimalisatiesoftware aanpakken. Volgens de softwaregigant is er een toename van gratis versies van programma's die beweren de computer op problemen te scannen. Vervolgens verschijnen er alarmerende en dwingende meldingen waarmee wordt geprobeerd de gebruiker een betaalde versie van het programma aan te laten schaffen. "De betaalde versies van deze programma's, vaak cleaner- of optimalisatiesoftware, beweren de fouten te verhelpen die de gratis versie ontdekte. We vinden deze werkwijze problematisch, omdat het klanten onder druk zet om onnodige aanschafbeslissingen te maken", aldus Microsofts Barak Shein. Microsoft gaat daarom het beleid aanpassen dat wordt gebruikt om software als ongewenst aan te merken. Software mag geen alarmerende of dwingende berichten tonen die gebruikers onder druk kunnen zetten om iets te kopen of andere acties uit te voeren. In het geval software wel dergelijke berichten toont zal de beveiligingssoftware van Microsoft, zoals Windows Defender en Security Essentials, het programma als ongewenste software bestempelen, detecteren en vervolgens verwijderen. Het nieuwe beleid wordt op 1 maart van dit jaar van kracht. bron: security.nl

Een cryptominer die besmette computers naar de cryptovaluta Monero laat minen verspreidt zich binnen netwerken via een exploit van de Amerikaanse geheime dienst NSA en een tool genaamd Mimikatz. Het gaat om de EternalBlue-exploit waar ook de WannaCry-ransomware vorig jaar gebruik van maakte. Daarom heeft de cryptominer ook de naam "WannaMine" gekregen. De malware werd afgelopen oktober voor het eerst ontdekt en is nog altijd actief. Hoe de aanvallers in eerste instantie toegang tot het netwerk weten te krijgen is onbekend. Zodra de malware eenmaal op een machine binnen het netwerk actief is wordt er van de Mimikatz-tool gebruik gemaakt. Dit is een populair programma voor het stelen van inloggegevens. Met de gestolen inloggegevens probeert WannaMine zich lateraal door het netwerk te bewegen om zo andere systemen te infecteren. Wanneer het gebruik van Mimikatz niets oplevert wordt de EternalBlue-exploit ingezet om nieuwe systemen te infecteren. De exploit werkt alleen als systemen Microsoft Security Bulletin MS17-010 van maart vorig jaar niet hebben geïnstalleerd. De cryptominer vormt een grote belasting voor systemen. De malware gebruikt namelijk de volledige rekenkracht van de computer voor het minen van Monero. Securitybedrijf CrowdStrike meldt dat bij één getroffen organisatie nagenoeg de gehele omgeving door de hoge systeembelasting onbruikbaar was geworden. WannaMine is in het gebruik van de EternalBlue-exploit niet uniek. Vorig jaar werden ook al twee andere cryptominers ontdekt die van dezelfde exploit gebruikmaakten om zich te verspreiden genaamd Adylkuzz en Zealot. bron: security.nl

Mozilla heeft een update voor Firefox 58 uitgerold die een ernstige kwetsbaarheid en een security-gerelateerde bug verhelpt. Het beveiligingslek betrof een probleem met de output in de gebruikersinterface van de browser waardoor er willekeurige code kon worden uitgevoerd. De kwetsbaarheid werd door een ontwikkelaar van Mozilla zelf ontdekt. Firefox voor Android en Firefox 52 ESR waren niet kwetsbaar. Daarnaast was er een probleem met niet-standaard beveiligingsbeleid op Windows, bijvoorbeeld met Windows Defender Exploit Protection of bepaalde beveiligingssoftware, waardoor Firefox 58 sommige pagina's niet laadde. De kwetsbaarheid en bug zijn in Firefox 58.0.1 verholpen. Updaten naar de nieuwste versie kan via de automatische updatefunctie of Mozilla.org. Er is nog wel een bekend probleem met het gebruik van Firefox voor Windows over een remotedesktopverbinding. Vanwege veiligheidsbeperkingen kan er op dit moment geen audio worden afgespeeld. Dit heeft te maken met de sandboxbeveiliging van Firefox en zal in een toekomstige versie worden opgelost. In de tussentijd kunnen gebruikers als oplossing ervoor kiezen om het beveiligingsniveau van de sandbox te verlagen, zo blijkt uit de documentatie van Mozilla. bron: security.nl

Cisco heeft een zeer ernstig beveiligingslek in de vpn-functie van de ASA-software gedicht waardoor een aanvaller op afstand het systeem volledig had kunnen overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 10 beoordeeld. De Adaptive Security Appliance (ASA) software is het besturingssysteem van Cisco-firewalls en andere netwerkapparaten. De software beschikt over een vpn-functionaliteit. Wanneer die staat ingeschakeld had een aanvaller door het versturen van xml-pakketten naar de interface van het systeem willekeurige code kunnen uitvoeren en zo het systeem volledig kunnen overnemen. Cisco heeft nu een beveiligingsupdate uitgebracht om het probleem te verhelpen. In de bijbehorende advisory legt Cisco uit hoe de update kan worden verkregen, welke producten kwetsbaar zijn en hoe kan worden gecontroleerd of de vpn-functionaliteit staat ingeschakeld. bron: security.nl

Onderzoekers hebben een kwaadaardige Tor-proxy ontdekt die bitcoinbetalingen van ransomwareslachtoffers onderschept. Veel ransomware-exemplaren maken gebruik van websites die op het Tor-netwerk worden gehost. Op de website staat vermeld wat het slachtoffer moet doen om zijn bestanden te ontsleutelen. Het gaat dan onder andere om het te betalen bedrag en het bitcoin-adres waar het geld naar toe moet worden overgemaakt. Om websites op het Tor-netwerk te bezoeken moeten gebruikers over Tor Browser beschikken, wat vaak niet het geval is. Via een Tor-proxy is het echter mogelijk om deze websites zonder het gebruik van Tor Browser te bezoeken. Sommige ransomware-exemplaren adviseren zelfs het gebruik van een Tor-proxy. De Tor-proxy zit echter tussen de gebruiker en het Tor-netwerk en kan zodoende allerlei informatie aanpassen. Onderzoekers van securitybedrijf Proofpoint ontdekten onlangs een ransomware-exemplaar dat waarschuwde voor de Tor-proxy Onion.top, omdat het bitcoin-adressen zou vervangen. Iets wat de onderzoekers inmiddels ook zelf hebben vastgesteld. De Tor-proxy laat gebruikers een ander bitcoin-adres zien dan op de echte Tor-pagina van het ransomware-exemplaar staat vermeld. Zodoende maken ransomwareslachtoffers het geld naar het verkeerde adres over en worden zo twee keer gedupeerd. De bitcoin-adressen die de Tor-proxy aan slachtoffers laat zien hebben bij elkaar inmiddels 1,82 bitcoin ontvangen, wat op dit moment ruim 16.000 euro is. Het werkelijke bedrag kan mogelijk hoger liggen, aangezien het onbekend is of er ook van andere bitcoin-adressen gebruik wordt gemaakt. bron: security.nl

Het Duitse testlab AV-Test heeft 20 anti-viruspakketten voor Windows 10 vergeleken, waarbij een groot aantal producten de maximale score behaalt voor het detecteren van malware. In totaal werden de 20 pakketten voor eindgebruikers met bijna 11.000 malware-exemplaren getest. De virusscanners en internet security suites werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 185 "zero-day" malware-exemplaren en ruim 10.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,5 procent gehaald. De test met de 10.000 exemplaren leverde een gemiddelde detectiescore van 99,9 procent op. Dertien virusscanners wisten voor de detectie van malware de maximale 6 punten te halen, waaronder Windows Defender, de in Windows ingebouwde virusscanner. In het verleden scoorde Windows Defender vaak slecht op dit onderdeel en bij een vorige test werden nog 5 punten gehaald. Microworld zet met 4,5 punten de laagste score neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Acht pakketten scoren de maximale 6 punten. Panda zet met 3,5 punten de laagste score neer en vormt de grootste belasting voor systemen, gevold door ESET met 4 punten. Als laatste kwamen de 'false positives' aan bod, dat voor veel pakketten geen probleem is. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Acht pakketten halen op dit onderdeel de maximale 6 punten. Microsoft en PC Pitstop eindigen met 4 punten onderaan. Uiteindelijk weten Kaspersky Lab, McAfee en Vipre Security voor de gehele test de maximale score van 18 punten te halen. ESET eindigt met 15 punten onderaan. Avast is met 17 punten de beste gratis virusscanner. bron: security.nl

Facebook heeft voor het eerst de eigen privacyprincipes gepubliceerd en video's online gezet waarin het uitlegt hoe gebruikers kunnen bepalen wie er toegang tot hun gegevens heeft. De publicatie volgt in aanloop naar de Europese privacywetgeving die eind mei van kracht wordt. Deze wetgeving moet de rechten van burgers op het gebied van privacy versterken. Via de privacyprincipes en video's wil Facebook duidelijk maken hoe het met de privacy van gebruikers omgaat. "Jij moet de privacykeuzes kunnen maken die juist zijn voor jou. We willen er zeker van zijn dat je weet waar je je privacyinstellingen kunt vinden en hoe je ze kunt aanpassen", aldus Facebook. Volgens de sociale netwerksite speelt privacy een "hoofdrol" bij de producten die het ontwikkelt. "We ontwikkelen privacymaatregelen voor Facebook-producten met begeleiding van experts op gebieden als gegevensbescherming en privacywetgeving, beveiliging, interfacedesign, engineering, productmanagement en overheidsbeleid. Ons privacyteam zorgt dat al deze perspectieven in elke stap van het productontwikkelingsproces worden meegenomen." Facebook stelt verder dat gebruikers de eigenaar zijn van de gegevens die ze via het sociale netwerk delen."Dit houdt in dat jij bepaalt wat je deelt en met wie je iets deelt op Facebook en dat je altijd van gedachten kunt veranderen. Daarom zorgen wij voor hulpmiddelen waarmee je alles wat je plaatst ook weer kunt verwijderen. We verwijderen het van je tijdlijn en van onze servers. Bovendien kun je ook je account verwijderen wanneer je maar wilt." Verder zal Facebook gebruikers erop gaan wijzen om een "privacycontrole" te doen, waarmee ze kunnen aangeven wat ze willen delen. bron: security.nl

Microsoft heeft dit weekend een update uitgerold die de bescherming tegen de tweede Spectre-aanval uitschakelt. Dit vanwege problemen met de bios-updates van Intel die voor reboots en onverwacht systeemgedrag kunnen zorgen, wat weer tot dataverlies kan leiden. De Meltdown-aanval raakt alleen Intel-processors, maar Spectre is een probleem waar alle moderne processors kwetsbaar voor zijn. Er zijn twee varianten van de Spectre-aanval. Zo is het mogelijk om via de Spectre-aanval informatie uit het geheugen van een systeem te stelen, zoals wachtwoorden. De aanval is via JavaScript uit te voeren. Updates die Intel uitbracht om Meltdown en Spectre te voorkomen zorgden bij allerlei gebruikers voor problemen. Microsoft stelt dat de systeeminstabiliteit die de Intel bios-updates veroorzaken in sommige gevallen voor dataverlies of beschadiging kunnen zorgen. Naar aanleiding van de problemen met de bios-updates besloot Intel die terug te trekken en aan nieuwe updates te werken. In afwachting van deze nieuwe bios-updates heeft Microsoft een "out of band" update uitgebracht die de bescherming tegen de tweede variant van de Spectre-aanval uitschakelt. Dit voorkomt namelijk de waargenomen problemen bij Intel-systemen, aldus Microsoft. De update is beschikbaar voor Windows 7, Windows 8.1 en Windows 10. Voor de installatie ervan wijst Microsoft naar dit document (pdf) van Intel met problematische bios-updates. Gebruikers met een getroffen systemen kunnen de Windows-update van Microsoft via de Microsoft Update Catalogus downloaden. Voor "gevorderde gebruikers" is er daarnaast een nieuwe optie om de bescherming tegen de tweede variant van de Spectre-aanval handmatig via het Windows Register uit en in te schakelen. Microsoft laat verder weten dat er nog geen meldingen zijn dat Windows-gebruikers via de tweede Spectre-aanval zijn aangevallen. Windows-gebruikers krijgen het advies om de bescherming tegen de tweede Spectre-aanval weer in te schakelen als Intel een nieuwe bios-update heeft uitgebracht. bron: security.nl

De officiële downloadpagina van de populaire opensourceforumsoftware phpBB heeft enige tijd naar twee besmette versies met kwaadaardige code gelinkt, zo hebben de ontwikkelaars bekendgemaakt. De links op phpBB.com wezen naar een server die niet van de ontwikkelaars was. Op deze server werden aangepaste packages van phpBB aangeboden die JavaScript van een remote locatie probeerden te laden. Het team achter phpBB heeft de domeinnamen van de aanvallers inmiddels in handen, waardoor de kwaadaardige code geen kwaad meer kan. Volgens de ontwikkelaars gebruikten de aanvallers een "third-party site" als toegangspunt, maar meer informatie hierover is niet gegeven. Gebruikers die op vrijdag 26 januari tussen 13:02 en 17:03 uur Nederlandse tijd phpBB "3.2.2 full package" of de "3.2.1 -> 3.2.2 automatic updater package" hebben gedownload ontvingen een besmette versie. Gebruikers die denken een besmette versie te hebben gedownload moeten een e-mail naar het ontwikkelteam sturen of kunnen zelf via de checksum op downloadpagina beoordelen of ze inderdaad de malafide versie hebben ontvangen. In het geval het om de besmette versie gaat kan er een incidentrapport worden aangemaakt en zal het ontwikkelteam helpen met het opschonen van de kwaadaardige code. Alle downloads op phpBB.com die nu worden aangeboden zijn veilig, aldus de ontwikkelaars. Gezien het tijdsvenster schatten de phpBB-ontwikkelaars dat de besmette versies niet meer dan 500 keer zijn gedownload. bron: security.nl

Het is een gegeven dat een pc bij gemiddeld gebruik na een jaar of drie in gaat leveren op oa snelheid. Zijn alle drivers up-to-date en heb je de pc al eens een schoonmaakbeurt gegeven met CCleaner? Ook stof in de pc zelf kan in sommige gevallen voor vertraging gaan zorgen. Daarnaast is Anti-virussoftware soms ook een processorslurper. Het loont soms om even te kijken of een ander AV je systeem minder belast.

Cybercriminelen hebben Googles advertentienetwerk DoubleClick gebruikt om besmette advertenties met twee verschillende cryptominers op populaire websites te krijgen, zo laat anti-virusbedrijf Trend Micro weten. De cryptominers gebruiken de rekenkracht van de browser om naar de cryptovaluta monero te minen. Daarbij wordt 80 procent van de processor voor het minen gebruikt. Trend Micro ontdekte de advertenties nadat het een piek in het aantal detecties van cryptominers zag. Verder onderzoek wees uit dat Googles DoubleClick werd gebruikt om de besmette advertenties op populaire websites te krijgen. "De getroffen website laat een legitieme advertentie zien, terwijl de twee webminers in het geheim hun taak uitvoeren", aldus analist Joseph Chen. Google is inmiddels over de advertenties ingelicht. Internetgebruikers die zich tegen cryptominers willen beschermen kunnen dit doen door JavaScript te blokkeren. bron: security.nl

Oracle heeft deze maand een beveiligingslek in de populaire virtualisatiesoftware VirtualBox gedicht waardoor het mogelijk was om het onderliggende host-systeem aan te vallen. VirtualBox biedt gebruikers de mogelijkheid om een virtual machine te draaien, wat het guest-systeem is. Beveiligingsonderzoekers gebruiken virtualisatiesoftware zoals VirtualBox om bijvoorbeeld malware te onderzoeken. De infectie blijft zo alleen tot het guest-systeem beperkt. De kwetsbaarheid in VirtualBox maakt het echter mogelijk om systeemrechten op een Windows 10-host te krijgen, zo meldt onderzoeker Niklas Baumstark die de kwetsbaarheid ontdekte. Vorige week waarschuwde Baumstark al om de update voor VirtualBox te installeren, zeker wanneer de virtualisatiesoftware wordt gebruikt om kwaadaardige code te onderzoeken. Nu heeft securitybedrijf SecuriTeam de details van de kwetsbaarheid openbaar gemaakt. Het beveiligingslek bevindt zich in het graphics framework en raakt alle host-besturingssystemen. Oracle adviseert gebruikers om te updaten naar VirtualBox 5.2.6 of 5.1.32. Gisteren werd bekend dat VirtualBox in maart zijn debuut maakt op de internationale Pwn2Own-hackwedstrijd. Onderzoekers worden hier beloond voor het demonstreren van onbekende kwetsbaarheden in populaire software. Een succesvolle hack van VirtualBox levert onderzoekers 35.000 dollar op. bron: security.nl

Mozilla heeft een nieuwe versie van de e-mailclient Thunderbird uitgebracht waarin meerdere kwetsbaarheden zijn verholpen. Het gaat in totaal om 10 beveiligingslekken waardoor een aanvaller in theorie systemen had kunnen overnemen. Ook is er een url-spoofinglek verholpen. Mozilla laat echter weten dat de kwetsbaarheden in het algemeen niet via e-mail zijn uit te buiten, aangezien scripting bij het lezen van e-mail in Thunderbird is uitgeschakeld. In het geval van een browser of "browser-achtige context" is er mogelijk wel een risico, aldus de opensource-ontwikkelaar. Updaten naar Thunderbird 52.6 kan via Thunderbird.net en de automatische updatefunctie. Thunderbird.net kwam vorig jaar in handen van het Thunderbird Project en wordt de nieuwe thuisbasis voor de e-mailclient. bron: security.nl

Om Tor Browser toegankelijker voor internetgebruikers te maken is er een nieuwe versie met een aangepaste gebruikersinterface verschenen. Tor Browser laat gebruikers hun ip-adres en privacy beschermen. De gebruikersinterface, zoals het welkomstscherm, waren voor sommige gebruikers verwarrend. Uit onderzoek (pdf) blijkt dat sommige gebruikers 40 minuten bezig waren om te kijken wat ze hier moesten doen. "Het oude scherm had teveel informatie voor de gebruikers, wat ze verwarde over wat er moest worden gedaan", aldus Nicolas Vigier van het Tor Project. Daarom zijn het scherm en de tekst vereenvoudigd, zodat het eenvoudiger voor gebruikers wordt om te bepalen of ze iets moeten configureren. Ook de instellingen voor landen waar Tor wordt gecensureerd en het gebruik van een proxy zijn nu aangepast. Een andere aanpassing die is doorgevoerd betreft de "security slider", waarmee gebruikers het gewenste beveiligingsniveau kunnen instellen. Verder is voor de Windows-versie van Tor Browser 7.5 "context sandboxing" ingeschakeld, wat aanvullende bescherming biedt. De nieuwste Tor Browser ondersteunt ook de "Next Generation of Onion Services", wat voor betere prestaties zou moeten zorgen en bevat de Firefox-beveiligingsupdates die deze week uitkwamen. Updaten kan via Torproject.org of de automatische updatefunctie van de browser. bron: security.nl