Captain Kirk

Intel heeft nieuwe microcode-updates voor de Spectre- en Meltdown-aanvallen uitgerold, nadat eerdere updates voor allerlei problemen zorgden. Gebruikers klaagden na de installatie van de eerdere updates over herstartende systemen en ander onverwacht systeemgedrag. Daarop waarschuwde Intel gebruikers en organisaties om de updates niet te installeren en kregen fabrikanten het verzoek om de updates niet meer aan te bieden. De nieuwe microcode-updates zijn nu voor verschillende Skylake-gebaseerde platformen uitgebracht. In de komende dagen zullen de updates ook voor andere platformen verschijnen. Deze updates moeten vervolgens door computerfabrikanten tot bijvoorbeeld een bios-update worden verwerkt die eindgebruikers kunnen installeren. Navin Shenoy van Intel stelt dat het belangrijk is voor gebruikers om hun systeem up-to-date te houden. Uit onderzoek blijkt dat er nogal een lange tijd zit tussen de beschikbaarheid van updates en het moment dat gebruikers ze daadwerkelijk installeren. Zo stelt het Computer Emergency Readiness Team (US-CERT) van de Amerikaanse overheid dat 85 procent van de gerichte aanvallen is te voorkomen door onder andere beveiligingsupdates te installeren. Intel verwacht dat onderzoekers en aanvallers uiteindelijk nieuwe varianten van de oorspronkelijke Spectre- en Meltdown-aanvallen zullen ontwikkelen. bron: security.nl

Microsoft heeft aan een nieuwe testversie van Windows 10 een optie toegevoegd waardoor gebruikers de diagnostische data kunnen verwijderen die Microsoft van het systeem heeft verzameld. Eind januari werd al bekend dat het besturingssysteem een optie zou krijgen om diagnostische data te bekijken. Windows 10 biedt twee niveaus voor het verzamelen van diagnostische data, namelijk standaard en volledig. Op het basisniveau worden zaken teruggestuurd als apparaat-, connectiviteit- en configuratiegegevens, beperkte foutrapportages en de status van update-installaties. Bij het volledige niveau worden de gegevens van het basisniveau verstuurd, aangevuld met extra gegevens over het apparaat, de connectiviteit en de configuratie, alsmede app- en browsergebruik, fragmenten van handgeschreven en getypte tekst en uitgebreidere foutrapportages. Via de Diagnostic Data Viewer kunnen gebruikers de door Microsoft verzamelde diagnostische data bekijken. In Windows 10 Insider Preview Build 17093 is het nu ook mogelijk om de gegevens te verwijderen. Microsoft laat weten dat als gebruikers een Microsoft Account hebben er mogelijk aanvullende diagnostische data is om te verwijderen. Dit kan via het Microsoft Account-portaal. Verder is in de nieuwste testversie van Windows 10 het menu met beveiligingsinstellingen hernoemd van "Windows Defender" naar "Windows Security". De opties om diagnostische data te bekijken en verwijderen zal op een later moment onder alle Windows 10-gebruikers worden uitgerold. bron: security.nl

De populaire vpn-dienst Hotspot Shield ontkent dat een kwetsbaarheid ervoor zorgt dat het echte ip-adres van gebruikers kan lekken. Onderzoeker PaulosYibelo maakte vorige week een beveiligingslek bekend waardoor het mogelijk zou zijn om allerlei informatie over Hotspot Shield-gebruikers te achterhalen, waaronder hun ip-adres. Omdat de vpn-provider naar eigen zeggen niet reageerde besloot Yibelo de details openbaar te maken zonder dat het probleem is gepatcht. Hotspot Shield claimt 500 miljoen gebruikers wereldwijd te hebben en zorgt ervoor dat het verkeer van gebruikers via een beveiligde vpn-tunnel loopt. Daardoor kunnen bijvoorbeeld internetproviders niet zien welke websites hun abonnees bezoeken en is het mogelijk om bepaalde websites die in een land worden geblokkeerd toch te bezoeken. Yibelo stelt dat een kwaadaardige website met de lokale webserver van Hotspot Shield op het systeem van de gebruiker kan communiceren en zo allerlei gegevens kan opvragen. De website ZDNet bevestigt dat het met de proof-of-concept van Yibelo mogelijk is om de naam van het wifi-netwerk van een gebruiker te achterhalen. "Door informatie zoals de naam van het wifi-netwerk prijs te geven kan een aanvaller lokaliseren waar het slachtoffer zich bevindt", aldus de onderzoeker. Die stelt dat in bepaalde gevallen het ook mogelijk is om het echte ip-adres van het slachtoffer te zien, maar dat ontkent Hotspot Shield. Volgens de vpn-dienst zorgt de kwetsbaarheid ervoor dat "generieke informatie zoals het land van de gebruiker" kan lekken, maar geen ip-adres of andere persoonlijke informatie. Deze week zal Hotspot Shield een update uitrollen om het informatielek te verhelpen. bron: security.nl

Oplichters die zich als medewerkers van Microsoft voordoen maken gebruik van kwaadaardige advertenties en websites die Google Chrome via een "downloadbom" laten vastlopen, in de hoop dat mensen het opgegeven telefoonnummer bellen. Dat laat anti-malwarebedrijf Malwarebytes weten. De kwaadaardige advertenties sturen internetgebruikers door naar een webpagina die over twee functies beschikt genaamd "bomb_ch" en "ch_jam". Deze functies laten Chrome een groot aantal downloads tegelijkertijd uitvoeren waardoor de browser niet meer reageert. De webpagina heeft dan al een pop-up getoond waarin wordt beweerd dat de computer met een virus is besmet en "Microsoft" moet worden gebeld. Het opgegeven telefoonnummer is niet van Microsoft, maar van oplichters die slachtoffers proberen te laten betalen voor het verhelpen van het zogenaamde probleem. Het komt ook voor dat de oplichters geld van de rekening van slachtoffers stelen. Ze laten het slachtoffer namelijk software installeren waarmee de computer op afstand kan worden overgenomen. Volgens Malwarebytes zijn Google Chrome-gebruikers op Windows het voornaamste doelwit. Gebruikers kunnen zich beschermen door een adblocker te gebruiken, zodat ze niet naar de kwaadaardige pagina's worden doorgestuurd. Wanneer Chrome is vastgelopen kan de browser middels Windows Taakbeheer worden gesloten. In de onderstaande afbeelding is links de melding te zien die gebruikers op hun scherm krijgen. De rechter afbeelding laat zien wat er gebeurt wanneer er wordt geprobeerd om de tab op een krachtige computer aan het begin te sluiten. bron: security.nl

Onderzoekers van de Ben-Gurion Universiteit hebben malware ontwikkeld die via magnetische velden data van systemen kan stelen die niet met het internet verbonden zijn. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, airconditioning, geluid van de harde schijf, ventilatoren, radiogolven, infraroodcamera's, scanners, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes en routerlampjes om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. De nieuwste methode maakt gebruik van magnetische velden en wordt "MAGNETO" genoemd (pdf). MAGNETO bestaat uit malware voor een computer en een smartphone. De malware op de computer is in staat om de magnetische velden van de computer te controleren door de processor op bepaalde manieren te belasten. Op deze manier is het mogelijk om data op het systeem, zoals wachtwoorden en encryptiesleutels, te moduleren. De malware op de smartphone kan via de magnetische sensor van het toestel deze gemoduleerde data ontvangen en demoduleren. De aanval werkt ook als de smartphone zich in een kooi van Faraday bevindt of de vluchtmodus is ingeschakeld. Hoe dichter de smartphone bij de computer ligt, des te sneller de data kan worden verstuurd. Op een afstand van 3 centimeter wordt een snelheid van 5 bit per seconde gehaald. Wanneer de afstand tussen de computer en smartphone 12,5 centimeter bedraagt neemt de snelheid af naar 0,2 bit per seconde. Met deze snelheid is het alleen haalbaar om een beperkte hoeveelheid data te stelen, zoals encryptiesleutels en wachtwoorden. Als oplossing om dergelijke aanvallen te voorkomen suggereren de onderzoekers om het magnetische signaal van de computer te jammen of zones in te stellen waarin geen smartphones mogen worden meegenomen. Naast MAGNETO ontwikkelden de onderzoekers ook malware genaamd ODINI (pdf). Deze malware maakt ook gebruik van magnetische velden en heeft een maximaal bereik van 1 tot 1,5 meter en kan 40 bit per seconde versturen. ODINI is echter meer gericht op het stelen van data uit systemen die zich in een kooi van Faraday bevinden en maakt hierbij geen gebruik van een smartphone maar een laptop. In de volgende video demonstreren de onderzoekers de malware: bron: security.nl

Mozilla heeft een nieuw platform onthuld waarmee iedereen zijn eigen beveiligd en gedecentraliseerd Internet of Things kan maken. De Things Gateway laat gebruikers de apparaten in hun huis via het web bedienen en is daarbij gericht op veiligheid, privacy en interoperabiliteit. Volgens Mozilla worden IoT-apparaten steeds populairder, maar is er geen universele standaard om de apparaten met elkaar te laten communiceren. Elke leverancier ontwikkelt een eigen applicatie die alleen met zijn apparatuur werkt. Daardoor blijven de kosten hoog en zitten gebruikers vast aan een specifiek merk, platform of product. Iets wat de uitrol van het Internet of Things alleen maar zal vertragen, merkt Mozilla op. De Things Gateway moet hier verandering in brengen. Voor het opzetten van een Things Gateway is een computer nodig zoals een Raspberry Pi. De computer wordt gekoppeld aan de apparaten in huis en genereert een "beveiligde url" waarmee er via het internet toegang tot de apparatuur kan worden verkregen. Mozilla heeft de installatieprocedure zo gemaakt dat er niet al teveel technische kennis is vereist. Ook is er een handleiding online verschenen die de installatie stap voor stap uitlegt. "We vinden dat de toekomst van met internet verbonden apparaten meer als het open web moet zijn. De toekomst hoort gedecentraliseerd te zijn en moet de macht en controle aan de mensen geven die deze apparaten gebruiken. Daarom zetten wij ons in voor het opstellen van open standaarden en frameworks", aldus Mozilla. bron: security.nl

Een defecte update heeft er gisteren voor gezorgd dat de anti-virussoftware van Bitdefender stopte met werken. Gebruikers van de GravityZone- en consumentenversies kregen na ontvangst van de update een melding dat de virusscanner door een kritieke fout was gecrasht en niet meer werkte. Op het forum van Bitdefender klaagden tal van gebruikers dat de anti-virussoftware niet meer werkte. Bitdefender laat in een reactie weten dat het probleem werd veroorzaakt door een engine-update die niet volledig onder gebruikers was uitgerold. De update stond 15 minuten online voordat die werd teruggetrokken en vervangen door een werkende update. Volgens het anti-virusbedrijf kreeg een "beperkt aantal gebruikers" met het probleem te maken en zijn er geen bestanden door de defecte update verloren gegaan. bron: security.nl

Dat heeft waarschijnlijk te maken met de vorm van ondersteuning die ze geven. Dat beperken ze soms tot een basisfunctionaliteit. Waarom wil je de VPN hebben?

De piepjes geven aan dat er een probleem met het geheugen is. Logisch want je hebt ze er uit gehaald. Mbt je hoofdprobleem. Het lijkt alsof de videokaart het begeven heeft. Maar het zou ook de monitor zelf kunnen zijn. Heb je een andere monitor waarmee je dit zou kunnen testen?

Aangezien het probleem is opgelost, sluit ik het topic. Wil je het toch weer open hebben, stuur ons dan even een PM.

Dat is ook een optie. Advies is dan ook gebaseerd op de voorkeur van de TS. Maar er zijn gelukkig altijd meer wegen naar Rome...of was het nu naar PC-Helpforum

Gezien de stilte ben ik bang dat je de enige bent met dit probleem. Ik zou je adviseren om hier even wat hulp te vragen om je systeem na te laten kijken.

Je kunt voldoen met 1 kabel naar beneden en daar met een switch verder de verdeling regelen. Let wel dat je hiervoor een Gigaswitch gebruikt. Wil of kun je geen kabels trekken, kun je ook een draadloze router overwegen met een doorvoer van minimaal 300 Mb/s. Alleen hier moet je wel rekening houden of je wifi van de X-box ook een aardige doorvoercapaciteit heeft. Voordeel van kabel is weer dat je verbinding stabieler doorvoersnelheid hoger is.

Het lijkt mij dat je de Asus een vast ip=ades geeft en op je hoofdrouter dit adres gebruikt voor de toegang naar buiten toe. Hiervoor zul je een poortforwarding moeten toepassen in de hoofdrouter.

Adobe heeft vandaag een noodpatch uitgebracht voor een zeroday-lek in Flash Player en adviseert om die binnen 72 uur te installeren. De kwetsbaarheid, waardoor aanvallers volledige controle over systemen kunnen krijgen, werd al sinds november vorig jaar aangevallen. Aanvallers verstuurden via e-mail kwaadaardige Excel- en Word-documenten naar Zuid-Koreaanse organisaties. De documenten bevatten een Flash-exploit die van de kwetsbaarheid misbruik maakte. Alleen het openen van een dergelijk document was voldoende om de exploit te activeren. Wanneer de aanval succesvol was werd er een Remote Administration Tool op het systeem geïnstalleerd waarmee de aanvallers volledige controle over het systeem hadden. Naast het zeroday-lek verhelpt de noodpatch ook een andere kwetsbaarheid waardoor het mogelijk was geweest om systemen aan te vallen en over te nemen. Beide beveiligingslekken maken het uitvoeren van willekeurige code mogelijk. De kwetsbaarheden zijn aanwezig in Flash Player versie 28.0.0.137 en eerder. Gebruikers krijgen het advies om te updaten naar Flash Player-versie 28.0.0.161. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. bron: security.nl

Cisco heeft een nieuwe beveiligingsupdate voor een zeer ernstige kwetsbaarheid in de Adaptive Security Appliance (ASA) software uitgerold omdat de vorige patch onvolledig was. Daarnaast zijn er nieuwe manieren gevonden om de kwetsbaarheid aan te vallen. De ASA-software is het besturingssysteem van Cisco-firewalls en andere netwerkapparaten. De software beschikt over een vpn-functionaliteit waarin de kwetsbaarheid zich bevindt. Wanneer die staat ingeschakeld had een aanvaller door het versturen van xml-pakketten naar de interface van het systeem een denial of service kunnen veroorzaken of willekeurige code kunnen uitvoeren en zo het systeem volledig kunnen overnemen. De eerste versie van de update verscheen op 29 januari en kreeg vooral veel aandacht vanwege de impact. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid werd die met een 10 beoordeeld. Het beveiligingslek was ontdekt door Cedric Halbronn van de NCC Group. Nadat de update al was uitgekomen ontdekten onderzoekers van Cisco ook nog andere aanvalsvectoren en features die met de kwetsbaarheid te maken hebben. Ook bleek dat de update bepaalde aanvullende manieren voor het uitvoeren van een denial of service niet verhielp. Daarop is er een nieuwe versie van de update uitgegeven. bron: security.nl

Een beveiligingsonderzoeker heeft drie exploits van de NSA die vorig jaar april online verscheen aangepast zodat ze op alle Windows-versies sinds Windows 2000 werken. Het gaat om EternalSynergy, EternalRomance en EternalChampion, zoals de exploits worden genoemd. De exploits maken misbruik van kwetsbaarheden in de SMB-server van Windows en werden vorig jaar maart door Microsoft gepatcht. Een maand na het verschijnen van de beveiligingsupdates publiceerde een hackersgroep genaamd Shadow Brokers allerlei exploits die bij de NSA vandaan kwamen en misbruik van deze en verschillende andere kwetsbaarheden maakten. Sindsdien zijn de exploits bij allerlei aanvallen ingezet. Afgelopen oktober werd de BadRabbit-ransomware ontdekt die van de EternalRomance-exploit gebruikmaakte. Onderzoeker Sean Dillon van securitybedrijf RiskSense heeft de exploits zo aangepast dat ze op Windows 2000 tot en met Windows Server 2016 werken. De exploits zijn speciaal gemaakt voor Metasploit, een opensourceframework voor het testen van de beveiliging van systemen en netwerken dat door allerlei security professionals wordt gebruikt. Dillon laat weten dat de software alleen voor "academisch onderzoek" en de ontwikkeling van effectieve verdedigingstechnieken is ontwikkeld, en niet bedoeld is om systemen zonder toestemming van de eigenaar aan te vallen. RiskSense kwam vorig jaar ook al in het nieuws omdat het de EternalBlue-exploit van de NSA naar Windows 10 had geport. Deze exploit, die ook misbruik maakt van een kwetsbaarheid in de SMB-server van Windows, werd kort na de openbaarmaking door Shadow Brokers aan Metasploit toegevoegd. bron: security.nl

Tal van populaire internationale en Nederlandse websites maken nog altijd gebruik van Symantec-certificaten om een beveiligde verbinding tussen de website en bezoekers op te zetten, maar deze certificaten zullen vanaf 17 april niet meer door Google Chrome worden vertrouwd. Daardoor krijgen Chrome-gebruikers straks bij het bezoeken van deze websites, als die niet op tijd het certificaat vervangen, een certificaatwaarschuwing te zien. Aanleiding voor Google zijn verschillende incidenten met door Symantec uitgegeven ssl-certificaten. Met de lancering van Chrome 66 in april worden alle ssl-certificaten van Symantec van voor 1 juni 2016 niet meer vertrouwd. In het geval Chrome-gebruikers websites met dergelijke certificaten tegenkomen krijgen ze een waarschuwing van de browser. Onderzoeker Arkadiy Tetelman wilde weten hoeveel websites straks in de problemen komen. Hij ontwikkelde een scanner en besloot de certificaten van de 1 miljoen populairste websites op internet volgens Alexa te controleren. Dit leverde uiteindelijk 1656 websites met binnenkort niet meer vertrouwde Symantec-certificaten op. Het probleem lijkt dan ook mee te vallen, aldus Tetelman. Toch gaat het om een aantal populaire websites, zoals WeChat.com, Tesla.com, Blackberry.com en PureVPN.com. Ook in Nederland zijn er nog tientallen websites met een Symantec-certificaat te vinden dat in april niet meer wordt vertrouwd. Het gaat onder andere om Ede.nl, gls-info.nl, gfkpanel.nl, Ymere.nl, Helpling.nl, NEN.nl en SkyRadio.nl, aldus de onderzoeker. Met de lancering van Chrome 70 in oktober dit jaar zullen alle Symantec-certificaten afkomstig van de oude infrastructuur niet meer worden vertrouwd. bron: security.nl

Onderzoekers hebben een nieuwe variant van de Satori-bot ontdekt die in staat is om draadloze ip-camera's onderdeel van een botnet te maken, zo laat securitybedrijf Fortinet weten. Satori is malware die internet of things-apparaten infecteert en is op de beruchte Mirai-malware gebaseerd. De nu ontdekte Satori-variant beschikt over een exploit die wifi-camera's kan infecteren. Het gaat dan met name om draadloze ip-camera's die een kwetsbare versie van de GoAhead-webserver draaien. De exploit maakt gebruik van twee kwetsbaarheden die vorig jaar maart werden onthuld. Destijds werden meer dan 185.000 kwetsbare wifi-camera's ontdekt. Het is onduidelijk hoeveel apparaten op dit moment nog kwetsbaar zijn. De camera's worden door een Chinese fabrikant gemaakt en door verschillende partijen onder andere namen doorverkocht. Naast wifi-camera's kan Satori ook D-Link- en Huawei-routers en Claymore ethereum-miners infecteren. In december liet securitybedrijf Qihoo 360 weten dat Satori meer dan 200.000 apparaten had besmet. Begin dit jaar verscheen de broncode van Satori op internet. Net als Mirai kunnen ook met Satori besmette apparaten voor ddos-aanvallen worden ingezet, aldus Arbor Networks. bron: security.nl

Het nieuwe beveiligingslek in Adobe Flash Player waarvoor vorige week werd gewaarschuwd wordt al sinds november via een Excel-bestand aangevallen, zo meldt Cisco. Het openen van een kwaadaardig Excel-document is voldoende om aanvallers volledige controle over een Windows-pc te geven. Zowel het Computer Emergency Response Team van de Zuid-Koreaanse overheid (KrCERT) als een Zuid-Koreaanse beveiligingsonderzoekers waarschuwden voor de nieuwe kwetsbaarheid in Flash Player. Daarbij liet de onderzoeker een Word-document zien dat bij de aanvallen was gebruikt. Ook stelde de onderzoeker dat de aanvallen sinds november gaande waren. Cisco bevestigt dat de aanvallen inderdaad al sinds november vorig jaar plaatsvinden. Naast een Word-document hebben de aanvallers ook een Excel-document ingezet. Beide documenten bevatten een embedded Flash-object dat de exploit uitvoert die misbruik van de Flash-kwetsbaarheid maakt. Hierdoor kunnen gebruikers worden aangevallen ook als ze Flash Player in de browser hebben uitgeschakeld. Wanneer de aanval succesvol is wordt de ROKRAT remote administration tool geïnstalleerd waarmee er volledige controle over het systeem wordt verkregen. Adobe laat weten dat Flash Player op meer dan 1 miljard desktops is geïnstalleerd. Het softwarebedrijf komt deze week met een noodpatch voor de kwetsbaarheid. Securitybedrijven Flashpoint en FireEye hebben inmiddels een analyse van de aanval gemaakt, die voor zover bekend alleen tegen Zuid-Koreaanse organisaties is ingezet. bron: security.nl

Met de lancering van Firefox Quantum beschikt de browser over een nieuw extensiemodel waarbij voor het eerst met permissies wordt gewerkt. Voor de installatie van een extensie verschijnt er nu eerst een overzicht van permissies die de extensie wil hebben. Mozilla kreeg vooral vragen over de permissie waardoor een extensie toegang tot alle data van de gebruiker voor alle websites krijgt. In een antwoord laat de browserontwikkelaar weten dat sommige extensies alle informatie op een pagina moeten kunnen uitlezen om te functioneren, bijvoorbeeld in het geval van een adblocker of een wachtwoordmanager. Een wachtwoordmanager moet de velden met de gebruikersnaam en het wachtwoord kunnen detecteren en hiernaar toe kunnen schrijven. "Aangezien dit soort extensies, en ook Firefox, niet weten of een bepaalde webpagina het deel bevat dat ze nodig hebben totdat het geladen is, moeten ze toegang tot alles op een pagina hebben. Dit houdt in dat in theorie, hoewel zeldzaam, een kwaadaardige ontwikkelaar je kan vertellen dat hun extensie iets anders doet dan het zegt te doen", aldus Mozilla's Amy Tsay. Ze merkt op dat er altijd een risico is bij het installeren van third-party software, maar gebruikers wel verschillende maatregelen kunnen nemen om zichzelf te beschermen. Zo moet er gekeken worden naar de ontwikkelaar, recensies van gebruikers en of de permissieverzoeken overeenkomen met de features van de extensie. Mozilla heeft een kleine checklist gemaakt waarmee gebruikers de veiligheid van een extensie kunnen beoordelen. bron: security.nl

Het Computer Emergency Response Team van de Zuid-Koreaanse overheid (KrCERT) waarschuwt voor een nieuw beveiligingslek in Adobe Flash Player dat actief wordt aangevallen en waarvoor geen update beschikbaar is. De kwetsbaarheid bevindt zich in Adobe Flash Player ActiveX 28.0.0.137 en eerder. Flash Player 28.0.0.137 is de meest recente versie van de browserplug-in. Om de kwetsbaarheid aan te vallen worden Microsoft Word-documenten met een embedded Flash-object verstuurd. Zodra een gebruiker het Word-document opent zal de ActiveX-versie van Flash Player worden aangeroepen en de exploitcode uitgevoerd. Volgens beveiligingsonderzoeker Simon Choi is de kwetsbaarheid sinds halverwege november 2017 ingezet tegen Zuid-Koreaanse gebruikers die onderzoek naar Noord-Korea doen. Het KrCERT adviseert gebruikers om in afwachting van een update Adobe Flash Player te verwijderen. bron: security.nl

Er is een nieuwe versie van het op security-gerichte besturingssysteem Qubes OS verschenen die belangrijke bescherming tegen de Spectre- en Meltdown-aanvallen bevat, hoewel Qubes-gebruikers toch al minder risico liepen. Het Qubes-besturingssysteem wordt ontwikkeld door de Poolse rootkit-expert Joanna Rutkowska, tevens oprichter van Invisible Things Lab. Qubes implementeert een "security by isolation" aanpak, wat het doet door verschillende programma's via virtualisatie van elkaar te scheiden. Als één programma wordt aangevallen heeft dit geen gevolgen voor de integriteit van de rest van het systeem. Daardoor zou het meer bescherming bieden dan veel huidige besturingssystemen. Bij de aankondiging van de Spectre- en Meltdown-aanvallen lieten de Qubes OS-ontwikkelaars al weten dat impact op het besturingssysteem beperkt was. Qubes OS 4.0 maakt standaard in bijna alle gevallen gebruik van volledig gevirtualiseerde virtual machines, wat bescherming tegen de Meltdown-aanval biedt, zo laat het ontwikkelteam weten. Daarnaast zorgt virtualisatie ervoor dat één van de twee Spectre-aanvallen lastig is uit te voeren. In het geval van Qubes lopen alleen actieve virtual machines risico. Gebruikers kregen dan ook het risico om belangrijke virtual machines te sluiten als er minder betrouwbare virtual machines werden gebruikt. Verder lieten de ontwikkelaars weten dat Spectre en Meltdown alleen read-only zijn, wat inhoudt dat een aanvaller de kwetsbaarheden niet kan gebruiken om bijvoorbeeld een backdoor te installeren. Ondanks de al aanwezige maatregelen bleken de eerste drie release candidates van Qubes 4.0 in bepaalde gevallen nog gebruik te maken van para-gevirtualiseerde virtual machines. Daardoor zou een Meltdown-aanval in bepaalde gevallen mogelijk zijn. In Qubes 4.0 Release Candidate 4 is dit probleem opgelost door nu overal virtualisatie te gebruiken. bron: security.nl

Een botnet dat besmette machines naar de cryptovaluta Monero laat minen bestaat inmiddels uit meer dan 526.000 Windows-machines en heeft de beheerders miljoenen dollars opgeleverd, zo claimt securitybedrijf Proofpoint. De cryptominer, genaamd Smominru, wordt onder andere via de EternalBlue-exploit van de NSA verspreid. Ook maken de aanvallers waarschijnlijk gebruik van de EsteemAudit-exploit van de NSA. Deze exploit is gericht tegen het Remote Desktop Protocol (RDP) op machines met Server 2003 en Windows XP. De meeste besmette machines die onderdeel van het botnet zijn bevinden zich in Rusland, India en Taiwan. Proofpoint-onderzoeker 'Kafeine' stelt dat het afgelopen jaar de hoeveelheid malware die over een cryptominer beschikt sterk is toegenomen. De onderzoeker verwacht dan ook dat er meer botnets zoals het Smominru-botnet zullen verschijnen. Dat sluit aan bij de analyse van Cisco, waarin wordt gesteld dat cybercriminelen steeds vaker ransomware voor cryptominers verruilen. Het Russische securitybedrijf Dr. Web kwam eerder ook al met een analyse waarbij Windows-servers worden gehackt en gebruikt voor het minen van de cryptovaluta Monero en Aeon. Het gaat in dit geval om servers die Cleverence Mobile SMARTS Server draaien. Vorig jaar werd er een ernstige kwetsbaarheid in de software gepatcht, maar niet alle beheerders hebben de update uitgerold. Via de kwetsbaarheid kan de server worden overgenomen en de miner geïnstalleerd. Wanneer beheerders het miner-proces proberen te sluiten zal Windows een "emergency shutdown" uitvoeren en een blue screen of death (BSOD) laten zien. Ook probeert de malware de services van verschillende anti-virusproducten te verwijderen. bron: security.nl

itse testlab AV-Test heeft vorige maand 119 malware-exemplaren ontdekt die geassocieerd worden met de Spectre- en Meltdown-aanvallen. Sinds de kwetsbaarheden in processors vorige maand werden onthuld zijn er nog geen aanvallen op gebruikers in "het wild" waargenomen. Het grootste deel van de malware die AV-Test aantrof is gebaseerd op de proof-of-concept-code van de onderzoekers die Spectre en Meltdown openbaar maakten, zo meldt securitybedrijf Fortinet. De onderzoekers lieten onder andere zien hoe de Spectre-aanval het mogelijk maakt om via kwaadaardige JavaScript-code informatie uit het geheugen van de browser te stelen. Ook via Meltdown is het mogelijk voor malware om informatie in het geheugen te benaderen waar het normaliter geen toegang toe heeft. Zeventien procent van de betreffende malware-exemplaren konden onderzoekers van Fortinet niet analyseren, mogelijk omdat die niet mogen worden gedeeld of om andere redenen ontoegankelijk waren. Meer informatie over de malware-exemplaren wordt niet gegeven. We hebben AV-Test dan ook om meer details gevraagd. Chipgigant Intel zou binnenkort met nieuwe updates moeten komen om gebruikers tegen Spectre en Meltdown te beschermen. De vorige updates werden vanwege allerlei problemen teruggetrokken. Update Andreas Marx van AV-Test laat in een reactie aan Security.NL weten dat er inmiddels 139 exemplaren zijn waargenomen. In de meeste gevallen gaat het om gehercompileerde/uitgebreidere versies van de proof-of-conceptcode. "Interessant genoeg voor verschillende platformen zoals Windows, Linux en macOS. We hebben ook de eerste JavaScript proof-of-conceptcode ontdekt voor browsers zoals Internet Explorer, Chrome of Firefox." De malware is afkomstig van verschillende bronnen, zoals andere onderzoekers en testers, maar ook van anti-virusbedrijven. "Ik denk dat verschillende groepen op dit moment aan proof-of-concepts werken om te kijken of ze voor "bepaalde" doeleinden zijn te gebruiken", gaat Marx verder. Gezien het grote aantal kwetsbare systemen zijn Spectre en Meltdown interessant voor cybercriminelen om informatie uit met name de browser te stelen. "Ik weet zeker dat we ons nog in de "onderzoekfase" voor aanvallen bevinden, maar het zou me niet verbazen als we de eerste gerichte aanvallen in de toekomst zullen zien", merkt Marx op. Grootschalige aanvallen zijn volgens hem afhankelijk van hoe eenvoudig het is om dergelijke aanvallen uit voeren. Afsluitend adviseer hij gebruikers naast het updaten van hun bios en besturingssysteem om ook de computer uit te schakelen als die enige tijd niet wordt gebruikt en bijvoorbeeld tijdens de lunchpauze de browser te sluiten. "Dit verkleint het aanvalsoppervlak en bespaart ook de nodige energie." bron: security.nl