Captain Kirk

Mozilla gaat Firefox ESR van een nieuwe feature voorzien waardoor het uitrollen van en beheren van de browser binnen organisaties eenvoudiger moet worden. Firefox Extended Support Release (ESR) is een versie die alleen maar beveiligingsupdates ontvangt en is vooral voor bedrijven en organisaties bedoeld. Alleen bij het uitbrengen van een geheel nieuwe ESR-versie worden er bepaalde features toegevoegd. Met Firefox 60 ESR zal Mozilla de browser van een "policy engine" voorzien, wat de integratie met bestaande beheersystemen moet vereenvoudigen. Via de policy engine kunnen beheerders bepaalde domeinen black- of whitelisten, voorkomen dat gebruikers de interne configuratie kunnen benaderen, telemetrie uitschakelen, bookmarks instellen en instellen hoe er met cookies, opslag, plug-ins en pop-ups moet worden omgegaan. De policy engine zal met elke tool werken die policies wil instellen en Mozilla is van plan om ook Windows Group Policy-ondersteuning te introduceren. De feature zal zoals gezegd aan Firefox 60 ESR worden toegevoegd die op 8 mei dit jaar moet uitkomen. bron: security.nl

De updates die gebruikers tegen de Spectre- en Meltdown-aanvallen moeten beschermen hebben invloed op de systeemprestaties, zo blijkt uit nieuwe benchmarks (pdf) die Intel heeft vrijgegeven. Volgens de chipfabrikant zijn de prestatiegevolgen op Kaby Lake- en Coffee Lake-processoren met een ssd-schijf klein. Zo laat de SYSMark2014SE-benchmark een prestatieverlies van 6 procent zien. In bepaalde gevallen zijn de gevolgen op de systeemprestaties groter. Bijvoorbeeld bij gebruikers die webapplicaties gebruiken die complexe JavaScript-operaties bevatten. Daar kan de impact zelfs tot 10 procent oplopen. Bij andere activiteiten, zoals games en computerintensieve financiële analyses, is de impact minimaal, aldus Intel. In het geval van mobiele Kaby Lake-H-processoren bedraagt de impact zo'n 7 procent in de SYSMark2014SE-benchmark. Voor Skylake-S-processoren zijn de prestatiegevolgen iets groter, namelijk 8 procent in de SYSMark2014SE- benchmark. In combinatie met Windows 7 werd er een prestatieverlies van 6 procent waargenomen. Wanneer het systeem over een ssd-schijf beschikt zijn gevolgen kleiner. Intel zegt dat het de komende week meer benchmarks zal verzamelen en publiceren. Inmiddels wordt er ook gewerkt aan maatregelen om de impact op de systeemprestaties te verminderen. bron: security.nl

AMD komt volgende week met zogeheten microcode-updates om gebruikers van de Ryzen- en EPYC-processors tegen de Spectre-aanval te beschermen, zo heeft de chipfabrikant aangekondigd. Updates voor oudere processors zullen de komende weken verschijnen. Net zoals andere moderne processors zijn ook de chips van AMD kwetsbaar voor de twee Spectre-aanvallen. De Meltdown-aanval is een probleem dat alleen bij Intel-processors speelt. Volgens AMD is de eerste Spectre-aanval via updates voor het besturingssysteem te verhelpen, maar vereist de tweede variant een microcode-update. De eerste van deze updates, bedoeld voor Ryzen- en EPYC-processors, wordt volgende week onder klanten en partners uitgerold. Onlangs werd bekend dat een Windows-update om tegen de Spectre-aanval te beschermen bij gebruikers van bepaalde AMD-processoren voor problemen zorgde. Vanwege deze problemen besloot Microsoft de uitrol tijdelijk te staken. AMD meldt nu dat het probleem oudere processors raakt, namelijk de AMD Opteron, Athlon en AMD Turion X2 Ultra. De chipfabrikant werkt samen met Microsoft om het probleem te verhelpen en verwacht dat Microsoft volgende week de beveiligingsupdate weer zal uitrollen. bron: security.nl

Microsoft heeft wegens aanvallen op gebruikers besloten om de DDE-feature ook in Excel uit te schakelen. Eerder werd dit al bij alle ondersteunde versies van Word gedaan. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd en nog steeds in gebruik is. De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. De functionaliteit wordt actief door cybercriminelen gebruikt om gebruikers met malware te infecteren en Microsoft besloot eerder al voor dergelijke aanvallen te waarschuwen. De feature werd op 12 december in Word uitgeschakeld. Een weet later liet Microsoft weten dat het maatregelen had genomen om gebruikers tegen aanvallen van de Lazarus-groep te beschermen. Details werden niet bekendgemaakt, maar mogelijk gaat het hier om het uitschakelen van de DDE-feature. Er is nu ook voor Excel een update verschenen die de feature uitschakelt. Gebruikers die de feature nodig hebben kunnen die wel weer inschakelen, zoals in de security advisory wordt uitgelegd. bron: security.nl

Het installeren van Windows-updates is niet voldoende om volledig tegen de Spectre- en Meltdown-aanvallen beschermd te zijn, zo heeft Microsoft laten weten. Gebruikers moeten ook de bios-update van hun leverancier installeren. "Omdat deze kwetsbaarheden op het processorniveau beginnen, is het installeren van de nieuwste Windows-updates niet voldoende om volledig beschermd te zijn. Je moet ook de laatste firmware-updates van je computerleverancier installeren", zegt Microsofts John Cable. Vorige week verschenen er verschillende beveiligingsupdates voor Windows om gebruikers tegen Spectre en Meltdown te beschermen. Intel liet eerder al weten dat er voor alle processors die in de laatste 5 jaar zijn uitgekomen voor eind januari updates beschikbaar zullen zijn. Cable maakte de opmerking in een aankondiging over de uitrol van de Windows 10 Fall Creators Update. De update, die op 17 oktober verscheen, wordt nu aan alle Windows 10-computers aangeboden, waaronder bedrijfscomputers. Alle systemen met de Windows 10 Enterprise edition of Windows 10 Pro edition die zijn ingesteld om automatisch updates te ontvangen zullen vanaf 18 januari de Fall Creators Update aangeboden krijgen. bron: security.nl

Microsoft heeft in samenwerking met Signal end-to-end-encryptie aan Skype toegevoegd. De voip-applicatie van Microsoft beschikt over een nieuwe feature genaamd Private Conversations die via het Signal Protocol end-to-end-encryptie biedt. Hetzelfde protocol wordt door WhatsApp en Signal gebruikt. De end-to-end-encryptie zorgt ervoor dat de inhoud van chatgesprekken alleen toegankelijk is voor de zender en ontvanger. "Skype is één van de populairste applicaties in de wereld en we vinden het fantastisch dat Private Conversations in Skype ervoor zorgt dat meer gebruikers hun communicatie met de sterke encryptie van het Signal Protocol kunnen beveiligen", zegt Joshua Lund van Open Whisper Systems, de ontwikkelaar van het Signal Protocol. Private Conversations is nu in de testversie van Skype beschikbaar. bron: security.nl

Een groep aanvallers genaamd Turla slaagt er al geruime tijd in om een besmet installatieprogramma van Adobe Flash Player op onbekende wijze te verspreiden. Dat laat anti-virusbedrijf ESET weten (pdf). De virusbestrijder ontdekte een aanval gericht tegen ambassades en consulaten in voormalige Sovjet-landen. De aanvallers gebruiken een legitieme Flash Player-installer, gebundeld met een backdoor die informatie verzamelt en terugstuurt. Nu zijn er meer aanvallen bekend waarbij er besmette Flash Player-installers werden gebruikt. Wat opvalt aan deze aanval is dat het lijkt alsof de besmette Flash Player-installer bij Adobe is gedownload. Zowel de links, domeinen als ip-adressen die de onderzoekers tegenkwamen waren echt van Adobe. ESET sluit echter uit dat Adobe gehackt is geweest. Er wordt dan ook aan een soort van man-in-the-middle-aanval gedacht. De downloads van het besmette installatieprogramma, die waarschijnlijk door de slachtoffers werden geïnitieerd, vonden plaats via http. Een aanvaller tussen de gebruiker en het internet kan het http-verkeer manipuleren en zo het besmette installatieprogramma aanbieden. In een rapport over de aanval schetsen de onderzoekers verschillende mogelijk scenario's, zoals het gebruik van ARP-spoofing. Hierbij wordt het verkeer van het doelwit in real-time doorgestuurd naar een al besmette computer in het netwerk. Om een dergelijke aanval uit te voeren moeten de aanvallers al een machine in het netwerk hebben gecompromitteerd. Een andere mogelijkheid die wordt genoemd is een gehackte gateway waarmee http-verzoeken naar de website van Adobe kunnen worden onderschept en aangepast. Een man-in-the-middle-aanval zou ook op het niveau van de internetprovider kunnen plaatsvinden. De slachtoffers die ESET identificeerde zitten bij vier verschillende internetproviders. "Dit scenario zou suggerren dat de Turla-groep het verkeer in verschillende landen kan monitoren", zo stellen de onderzoekers. Als laatste wordt een techniek genaamd BGP-hijacking genoemd. Hierbij wordt het verkeer dat voor de servers van Adobe bedoeld is omgeleid naar de servers van de aanvallers. Deze techniek heeft als nadeel dat die snel kan worden opgemerkt, terwijl de aanvalscampagne waar ESET over schrijft al sinds augustus 2016 gaande is. Volgens de onderzoekers is het dan ook waarschijnlijk dat de Turla-groep een zelfgemaakte tool op de lokale gateways van getroffen organisaties installeert waarmee het verkeer kan worden onderschept en aangepast. Hoe de aanvallers echter precies te werk gaan is nog altijd onbekend. bron: security.nl

Het Duitse softwarebedrijf Ashampoo heeft een gratis tool uitgebracht die met één muisklik test of Windows-computers kwetsbaar voor de Spectre- en Meltdown-aanvallen zijn. De tool maakt gebruik van een door Microsoft ontwikkelde controle die handmatig kan worden uitgevoerd. Dit vereist echter de nodige handelingen. Via de "Spectre Meltdown CPU Checker" kan de controle via één muisklik worden uitgevoerd. Het programma controleert op beide aanvalsvectoren en biedt vervolgens verdere informatie over hoe gebruikers hun computer kunnen beschermen. Ashampoo is de ontwikkelaar van tientallen applicaties, waaronder AntiSpy for Windows 10, waarmee allerlei privacy-opties voor het besturingssysteem eenvoudig kunnen worden in- of uitgeschakeld. bron: security.nl

Computers met Windows 7 kwamen in de laatste helft van vorig jaar vaker in aanraking met ransomware dan computers die Windows 10 draaien, terwijl Windows 10 op meer machines geïnstalleerd staat, zo laat Microsoft weten. Van juni tot en met november kwamen Windows 7-pc's 3,4 keer vaker in aanraking met ransomware dan Windows 10-computers. "De data laat zien dat aanvallers zich op Windows 7 richten. Gegeven de moderne dreigingen van vandaag de dag, zijn oudere platformen eenvoudiger binnen te dringen omdat ze niet over de geavanceerde ingebouwde verdediging beschikken die op Windows 10 beschikbaar is", zegt Microsofts Tanmay Ganacharya. Als voorbeeld wijst hij naar de uitbraak van de WannaCry-ransomware. Windows 10 was niet vatbaar voor de ransomware en de manier waarop het zich verspreidde. Ook noemt Tanmay Ganacharya "Controlled folder access", de nieuwe feature die met de Windows 10 Fall Creators Update werd gelanceerd om ransomware te stoppen. Via de feature kunnen gebruikers mappen opgegeven die alleen voor geselecteerde programma's toegankelijk zijn. In het geval ransomware op het systeem de bestanden in deze mappen wil versleutelen wordt dit geblokkeerd en verschijnt er een waarschuwing voor de gebruiker. Hoewel Microsoft stelt dat Windows 10 een groter aantal installaties dan Windows 7 heeft laten cijfers van StatCounter zien dat het aandeel van beide besturingssystemen op de desktop nagenoeg identiek is, terwijl bij Net Applications Windows 7 nog altijd het dominante desktopbesturingssysteem is. bron: security.nl

Nvidia heeft vanwege de Spectre-aanval voor verschillende videokaarten driverupdates uitgebracht, zo heeft het bedrijf bekendgemaakt. Het gaat om de GeForce-, Quadro-, NVS-, Tesla- en GRID-series op verschillende platformen. Voor verschillende van deze videokaarten zijn nieuwe Linux- en Windows-drivers uitgekomen. Afhankelijk van het platform en gebruikte driver zullen voor de Tesla- en GRID-series de nieuwe drivers eind januari beschikbaar zijn. De afgelopen dagen hebben verschillende partijen, waaronder Intel en Microsoft, zich al uitgelaten over de gevolgen van de beveiligingsupdates op de systeemprestaties. Microsoft liet gisteren weten dat met name gebruikers van Windows 7 en Windows 8 de gevolgen zullen merken. Of de nieuwe Nvidia-drivers ook gevolgen voor de prestaties van de videokaarten hebben heeft de fabrikant niet bekendgemaakt. Update Nvidia laat in een update weten dat de videokaarten niet kwetsbaar zijn. De drivers zijn geüpdatet omdat die met mogelijk kwetsbare processors samenwerken. Het artikel is hierop aangepast. bron: security.nl

Er zijn updates voor Ubuntu, Tails en Linux Mint verschenen die gebruikers tegen de Spectre- en Meltdown-aanvallen moeten beschermen. Versie 3.4 van het privacybesturingssysteem Tails bevat een volledige oplossing voor de Meltdown-aanval, terwijl de Spectre-aanval gedeeltelijk wordt verholpen. Daarnaast verhelpt deze versie verschillende andere problemen, zoals het traag opstarten vanaf dvd. Ook voor gebruikers van Ubuntu en Linux Mint zijn er updates verschenen, waaronder nieuwe drivers van Nvidia. Ubuntu 17.04 ontvangt echter geen updates voor Meltdown en Spectre, zo laat Ubuntu weten. Deze versie, die 9 maanden geleden verscheen, bereikt op 13 januari de status "end of life" en zal daarna geen updates meer ontvangen. bron: security.nl

Tijdens de eerste geplande patchdag van 2018 heeft Adobe een beveiligingsupdate uitgebracht die één kwetsbaarheid in Flash Player verhelpt. Via de kwetsbaarheid kan een aanvaller bepaalde informatie van het systeem stelen. Om wat voor informatie het precies kan gaan laat Adobe niet weten. Het beveiligingslek werd door een anonieme onderzoeker aan het Zero Day Initiative van Trend Micro verkocht. Het bedrijf waarschuwde vervolgens Adobe. De kwetsbaarheid is aanwezig in Flash Player versie 28.0.0.126 en eerder. Gebruikers krijgen het advies om te updaten naar Flash Player-versie 28.0.0.137. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Adobe adviseert gebruikers om de update binnen 30 dagen te installeren. Door het uitblijven van aanvallen op bekende, al gepatchte Flash Player-kwetsbaarheden heeft Adobe de prioriteit voor het installeren van geplande Flash-updates verlaagd. Voorheen kregen gebruikers altijd het advies om de update binnen 72 uur uit te rollen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Volgens recent onderzoek is Flash Player op 77 procent van de computers geïnstalleerd. bron: security.nl

Microsoft heeft besloten om de updates die Windows-gebruikers tegen de Spectre-aanval moeten beschermen tijdelijk niet meer aan bepaalde AMD-systemen aan te bieden. Dit vanwege problemen waardoor gebruikers met vastlopers en niet meer werkende computers te maken kregen. Op het forum van Microsoft klaagden tal van gebruikers met voornamelijk AMD Athlon-processors dat de computer na de installatie van de Spectre-updates tijdens het opstarten vastliep. In een verklaring laat de softwaregigant weten dat sommige AMD-chipsets zich niet houden aan de documentatie die eerder aan Microsoft was gegeven om bescherming tegen Spectre en Meltdown te ontwikkelen. Meltdown raakt alleen Intel-processors, Spectre is een probleem dat bij nagenoeg alle moderne processors speelt, waaronder die van AMD. Om te voorkomen dat AMD-klanten hun computer niet meer kunnen starten heeft Microsoft daarom besloten om de uitrol van verschillende updates tijdelijk te staken. Het gaat om KB4056897, KB4056894, KB4056888, KB4056892, KB4056891, KB4056890, KB4056898, KB4056893 en KB4056895. Microsoft zegt dat het met AMD samenwerkt om de problemen zo snel als mogelijk te verhelpen om de updates opnieuw te kunnen uitrollen. In dit achtergrondartikel: Wat is dat nieuwe lek in computers?, wordt meer informatie over de Meltdown- en Spectre-aanvallen gegeven. bron: security.nl

Spamhaus wil dat cloudproviders meer gaan doen aan de bestrijding van botnets, zo heeft de anti-spamorganisatie in het jaaroverzicht van providers met de meeste botnetcontrollers bekendgemaakt. Botnetcontrollers worden gebruikt voor het aansturen van computers die onderdeel van een botnet zijn. Een botnetcontroller kan een gehackte server of website zijn, maar in steeds meer gevallen huren cybercriminelen met vervalste gegevens servers bij een hostingprovider. In 2017 werden meer dan 9500 botnetservers door Spamhaus geregistreerd, een stijging van 32 procent ten opzichte van het jaar daarvoor. Het aantal IoT-botnetcontrollers steeg zelfs van 393 in 2016 naar 943 in 2017. De meerderheid van de botnetcontrollers (68 procent) werd aangetroffen op servers die door cybercriminelen alleen voor dit doel waren gehuurd. De Top 10 van providers met de meeste botnetcontrollers wordt aangevoerd door de Franse hostingprovider OVH. Het Nederlandse WorldStream staat op een negende plek in het overzicht. Volgens Spamhaus laat de groei van het aantal botnetcontrollers zien dat providers nog steeds moeite hebben om frauduleuze aanmeldingen tegen te gaan. Daarbij maakt de anti-spamorganisatie zich vooral zorgen over cloudproviders die de ip-adressen van botnetcontrollers roteren. Iets dat als een dreiging voor Spamhaus-gebruikers wordt genoemd. "We hopen daarom dat cloudhostingproviders niet alleen sneller op abuseproblemen reageren, maar ook preventieve maatregelen nemen om frauduleuze aanmeldingen tegen te gaan", aldus Spamhaus, dat tevens hoopt dat hostingproviders hun abusepersoneel voorlichten om op op een professionelere manier met abuseproblemen om te gaan. Als voorbeeld wordt het misbruik van gehackte websites gegeven. Sommige providers verwijderen na een melding alleen de kwaadaardige bestanden, maar laten de oorzaak van de hack ongemoeid, waardoor de website op een later moment weer wordt gehackt en gebruikt voor malafide doeleinden. Verder geeft Spamhaus vanwege het groeiend aantal botnetcontrollers het advies aan netwerkeigenaren om verkeer van anonimiseringsdiensten zoals Tor standaard te blokkeren. Gebruikers zouden dan alleen via een "opt-in" toegang kunnen krijgen. Daarnaast worden Registries en Registrars opgeroepen om maatregelen te nemen die frauduleuze domeinregistraties moeten tegengaan. bron: security.nl

Eind januari zijn er voor alle recente Intel-processors beveiligingsupdates beschikbaar die gebruikers tegen de Spectre- en Meltdown-aanvallen moeten beschermen, zo heeft Intel-ceo Brian Krzanich tijdens zijn keynote op de Consumer Electronics Show (CES) in Las Vegas laten weten. De processors van Intel zijn kwetsbaar voor zowel Spectre als voor Meltdown. Volgens Krzanich zijn er nog geen berichten binnengekomen dat de twee aanvallen zijn gebruikt om gegevens van gebruikers te stelen. Intel werkt inmiddels aan updates en stelt dat die voor meer dan 90 procent van de recente processors binnen eek week beschikbaar zullen zijn. Voor de overige processors zal dit eind januari worden. Het gaat hierbij om processors die in de afgelopen vijf jaar zijn uitgekomen. Wat betreft de impact van de updates op de prestaties van de computer is dit afhankelijk van waar ze voor worden gebruikt, merkte Krzanich op. Bij sommige "workloads" zijn de gevolgen groter dan bij andere. De Intel-ceo gaf echter aan dat er wordt gewerkt om de impact te beperken. Verder adviseerde hij het publiek om updates van systeemleveranciers en beveiligingsupdates voor het besturingssysteem zo snel als mogelijk te installeren. bron: security.nl

De Wi-Fi Alliance, een non-profitorganisatie die wifi-technologie promoot en wifi-producten certificeert, heeft in Las Vegas het WPA3-protocol aangekondigd, dat meer security en privacy dan WPA2 moet bieden. Vorig jaar onthulde de Belgische onderzoeker Mathy Vanhoef de KRACK-attack, waarmee een aanvaller met WPA- en WPA2-beveiligd wifi-verkeer kan ontsleutelen en manipuleren. Ondanks de aanval stelt de Wi-Fi Alliance dat WPA2 betrouwbare beveiliging voor miljarden apparaten biedt en in de nabije toekomst nog door allerlei wifi-apparaten zal worden gebruikt. De alliantie laat verder weten dat het WPA2 zal blijven verbeteren om ervoor te zorgen dat het een sterke beveiliging kan blijven bieden. Er wordt echter ook gewerkt aan de opvolger, WPA3. Deze nieuwe versie van het wifi-protocol die dit jaar zal verschijnen beschikt over vier nieuwe features voor wifi-netwerken. Twee van de features moeten voor bescherming zorgen zelfs wanneer gebruikers zwakke wachtwoorden kiezen, en zullen het proces vereenvoudigen voor het instellen van de beveiliging bij apparaten die over een beperkte of over helemaal geen gebruikersinterface beschikken. Een andere feature moet de privacy van gebruikers in open wifi-netwerken versterken door gebruik te maken van geïndividualiseerde versleuteling. Als laatste feature zal er een 192-bit security suite komen om wifi-netwerken te beschermen. Wanneer de eerste apparaten met WPA3 precies verschijnen is nog niet bekendgemaakt. bron: security.nl

Opera heeft een nieuwe optie aan een testversie van de browser toegevoegd waardoor het eenvoudiger voor gebruikers wordt om Flash Player in te schakelen. Mede vanwege het grote aantal aangevallen kwetsbaarheden besloten browserontwikkelaars om de ondersteuning van Flash Player langzaam af te bouwen en ook Adobe heeft het einde van de browserplug-in aangekondigd. In het geval van Opera zijn websites die nog met Flash werken verplicht om toestemming aan de gebruiker te vragen voordat de browserplug-in kan worden aangeroepen. Opera 51.0.2830.0, die gericht is op ontwikkelaars, introduceert echter een optie waarbij Flash Player vanuit de instellingen voor alle websites kan worden ingeschakeld. Websites zullen dan geen toestemming meer vragen. In het verleden kregen Flash Player-gebruikers geregeld met zeroday-aanvallen te maken of verschenen er kort na het uitkomen van beveiligingsupdates exploits voor de net gepatchte kwetsbaarheden. Het afgelopen jaar werd er één zeroday-lek in Flash Player gemeld en was er één geval waarbij net gepatchte kwetsbaarheden kort na het uitkomen van de beveiligingsupdate werden aangevallen. Doordat Flash Player met minder aanvallen te maken heeft, heeft Adobe zelfs het installeren van beveiligingsupdates een lagere prioriteit gegeven. Volgens recent onderzoek is Flash Player op 77 procent van de computers geïnstalleerd. Wanneer Opera de Flash-optie aan de standaardversie zal toevoegen is nog niet bekend. bron: security.nl

Windows-gebruikers die een bepaalde registersleutel missen zullen de beveiligingsupdates van januari en daarna niet ontvangen, zo heeft Microsoft aangekondigd. De softwaregigant heeft een probleem met een klein aantal anti-virusproducten ontdekt dat voor een blue screen of death kan (BSOD) zorgen. Om deze problemen door incompatibele anti-virusproducten te stoppen worden de Microsoft-beveiligingsupdates van 3 januari alleen aangeboden aan systemen die over een compatibele virusscanner beschikken. Anti-virusleveranciers moesten hiervoor aan Microsoft bevestigen dat hun software compatibel met de beveiligingsupdates van januari is, wat door het toevoegen van een speciale registersleutel aan het Windows Register wordt gedaan. In het geval de virusscanner deze registersleutel niet invoert zullen gebruikers de updates van januari en daarna niet ontvangen en zodoende kwetsbaar zijn voor aanvallen. Wanneer gebruikers geen virusscanner kunnen installeren of draaien adviseert Microsoft om de registersleutel handmatig in te voeren om de updates van januari te ontvangen. De softwaregigant waarschuwt dat het gebruik van de Registry Editor voor het invoeren van de registersleutel op eigen risico is. Verkeerd gebruik kan er zelfs voor zorgen dat Windows opnieuw geïnstalleerd moet worden, aldus de waarschuwing. De Britse beveiligingsonderzoeker Kevin Beaumont heeft een overzicht gemaakt van anti-virusproducten en of ze de registersleutel wel of niet installeren. Hij is bang dat door de nieuwe vereiste veel Windows-systemen geen updates meer zullen ontvangen. Een probleem dat volgens de onderzoeker zich ook bij organisaties kan voordoen. bron: security.nl

Onderzoekers hebben een nieuwe campagne ontdekt waarbij aanvallers op kwetsbare Oracle WebLogic-servers een Monero-cryptominer installeren. De aanvallers maken gebruik van een ernstige kwetsbaarheid in de Oracle WebLogic-serversoftware die vorig jaar oktober door Oracle werd gepatcht. Via de kwetsbaarheid kan een aanvaller op afstand willekeurige code met de rechten van de Oracle WebLogic-servergebruiker installeren. Volgens Renato Marinho, handler bij het Internet Storm Center (ISC), is de exploit die van de kwetsbaarheid misbruik maakt zeer eenvoudig uit te voeren en wordt die geleverd met een script om naar potentieel kwetsbare slachtoffers te zoeken. Het dropper-script dat de aanvallers voor de installatie van de cryptominer gebruiken blijkt echter onbedoeld de WebLogic-service uit te schakelen, wat mogelijk verschillende slachtoffers heeft gealarmeerd. Oracle-beheerders krijgen het advies om te kijken of hun omgeving niet gecompromitteerd is en als ze de update nog niet hebben geinstalleerd dit zo snel als mogelijk te doen. Oracle laat geregeld weten dat het meldingen van succesvolle aanvallen ontvangt die mogelijk waren omdat gebruikers beschikbare updates niet hadden uitgerold. bron: security.nl

De online virusscandienst VirusTotal heeft een tool ontwikkeld die verbanden tussen malware, ip-adressen, domeinen en url's visualiseert. Via VirusTotal, dat eigendom van Google is, kunnen gebruikers verdachte bestanden, url's, domeinen en ip-adressen door zo'n 60 verschillende anti-virusprogramma's en blacklistingdiensten laten controleren. Daarnaast wordt er allerlei informatie over het bestand, ip-adres of domein verstrekt. Zodoende kan VirusTotal als 'second opinion' ten opzichte van de al aanwezige virusscanner fungeren. Volgens Google ontvangt VirusTotal elke dag een groot aantal bestanden en url's die door virusscanners, sandboxes en andere tools worden geanalyseerd. De informatie die dit oplevert is erg belangrijk, aangezien het tussen verschillende entiteiten verbanden legt. Om bij het onderzoek naar malware een volledig beeld te krijgen wordt er vaak van meerdere datapunten gebruikgemaakt, zoals bestanden, url's, domeinen en ip-adressen. "We weten dat dit complex kan zijn als je meerdere open tabs hebt. Daarom hebben we VirusTotal Graph ontwikkeld", aldus Juan Infantes van VirusTotal. Het is een visualisatietool die van de VirusTotal-dataset gebruikmaakt om de relatie tussen bestanden, url's, domeinen en ip-adressen duidelijk te maken en biedt een eenvoudige interface om hierin te navigeren. Ook is het mogelijk om de graphs op te slaan en met andere gebruikers te delen. "We denken dat de gemeenschap van deze inlichtingen zal profiteren", laat Infantes verder weten. Hij merkt op dat er scenario's zijn waarbij het delen van graphs om meer privacy vraagt. Voor deze gevallen is een oplossing in de maak die binnenkort zal worden aangekondigd. VirusTotal Graph is nog vrij nieuw en VirusTotal is dan ook benieuwd naar feedback. bron: security.nl

Een ernstig beveiligingslek in phpMyAdmin dat eind december werd gepatcht maakte het mogelijk voor een aanvaller om databasetabellen te verwijderen wanneer de beheerder een kwaadaardige link opende, zo laat onderzoeker Ashutosh Barot weten. PhpMyAdmin is een populaire tool voor het beheren van MySQL- en MariaDB-databases. De kwetsbaarheid werd op 20 december gepatcht, maar Barot heeft afgelopen vrijdag de details gepubliceerd. PhpMyAdmin was kwetsbaar voor cross-site request forgery (CSRF). Daarbij worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een webapplicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Wanneer gebruikers op phpMyAdmin waren ingelogd en op een kwaadaardige link klikten was het mogelijk om verschillende database-opdrachten uit te voeren, zoals het "drop table" statement, waarbij tabellen en hun inhoud worden verwijderd. De aanval werkte ook als de gebruiker op cPanel was ingelogd en phpMyAdmin na het gebruik was gesloten. Gebruikers krijgen dan ook het advies om te updaten naar phpMyAdmin 4.7.7. bron: security.nl

Alle moderne browsers beschikken over een ingebouwde wachtwoordmanager waarmee gebruikers hun wachtwoorden kunnen opslaan, maar de functionaliteit wordt door webtrackers misbruikt om internetgebruikers op het web te volgen, zo waarschuwen onderzoekers. Als gebruikers op een website voor de eerste keer inloggen vraagt de wachtwoordmanager of de inloggegevens moeten worden opgeslagen. De volgende keer dat de gebruiker de website bezoekt zal de wachtwoordmanager de inloggegevens automatisch in het inlogveld invullen. Onderzoekers hebben op meer dan duizend websites webtrackers ontdekt die van deze functionaliteit misbruik maken. De webtracker injecteert op de website een onzichtbaar inlogveld. Als de wachtwoordmanager voor deze website inloggegevens heeft opgeslagen worden die automatisch in het onzichtbare inlogveld ingevuld. Het script van de webtracker leest het e-mailadres uit en stuurt hiervan een hash naar de server van de derde partij die voor het script verantwoordelijk is. E-mailadressen zijn uniek en worden vaak over een langere periode gebruikt. Het volgen van gebruikers via hun e-mailadres biedt dan ook allerlei voordelen. Zo kan de gebruiker over meerdere apparaten worden gevolgd en heeft het verwijderen van cookies of het gebruik van private browsing geen effect op het volgen. Het probleem is al jaren bekend en wordt veroorzaakt door de manier waarop browsers met het huidige beveiligingsmodel van het web omgaan. Dit model, de same origin policy, zorgt ervoor dat een browser scripts op een eerste webpagina toegang geeft tot data in een tweede webpagina, maar alleen als beide webpagina's dezelfde herkomst hebben. Als een uitgever het trackingscript van een derde partij op de website embed, in plaats van het isoleren hiervan in een iframe, wordt het script gezien alsof het van de website van de uitgever afkomstig is. Het is tegenwoordig standaard om third-party scripts direct te embedden in plaats van een iframe te gebruiken. Daardoor verliezen gebruikers de bescherming van de same origin policy. "Dit model is slecht geschikt voor de praktijk. Uitgever hebben geen volledig vertrouwen of wantrouwen in derde partijen en dus passen de twee opties (iframe sandboxing en direct embedden) niet. De één beperkt de functionaliteit en de ander is een privacynachtmerrie", aldus de onderzoekers. Ze merken op dat derde partijen vaak vaag zijn over het gedrag van hun scripts en de meeste uitgevers niet de tijd of technische kennis hebben om ze te beoordelen. Van de 1 miljoen populairste websites werden scripts die de wachtwoordmanager misbruiken op 1110 websites aangetroffen. De onderzoekers stellen dat uitgevers, gebruikers en browserontwikkelaars stappen kunnen nemen om het automatisch invullen van wachtwoorden op onzichtbare inlogvelden tegen te gaan. Zo kunnen websites aparte subdomeinen voor het inloggen gebruiken, waardoor het automatisch invullen niet werkt op andere pagina's. Gebruikers kunnen zich beschermen door adblockers of extensies tegen webtrackers te installeren. bron: security.nl

Het afgelopen jaar is er een recordaantal kwetsbaarheden in software ontdekt, waarbij Android het product is waar de meeste beveiligingslekken in werden gevonden. Dat blijkt uit cijfers van CVE-Details. CVE staat voor Common Vulnerabilities en Exposures. Zodra leveranciers of onderzoekers een lek vinden kunnen ze hiervoor een CVE-nummer aanvragen. Vervolgens kan de betreffende kwetsbaarheid via het uitgegeven CVE-nummer worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. In 2017 werden in totaal 14.709 CVE-nummers uitgegeven. In zowel 2015 als 2016 ging het in beide jaren om zo'n 6400 CVE-nummers. Wordt er naar de Top 50 van producten met de meeste kwetsbaarheden gekeken, dan staat Android met 841 beveiligingslekken bovenaan de lijst, gevolgd door de Linux-kernel (435) en iPhone OS (387). Opmerkelijk aan de Top 10 producten met de meeste kwetsbaarheden is dat het om negen besturingssystemen gaat en een applicatie, namelijk Imagemagick. Imagemagick, een softwarebibliotheek voor het verwerken van afbeeldingen, had het afgelopen jaar met 357 beveiligingslekken te maken. Meer dan de 266 die in Windows 10 werden gevonden. Browsers Vorig jaar was Google Chrome nog de browser met de meeste kwetsbaarheden, maar die positie is in 2017 door Microsoft Edge overgenomen. In Microsofts browser werden 202 beveiligingslekken gemeld. Safari volgt op een tweede plek met 178 beveiligingslekken, gevolgd door Chrome (153) en Internet Explorer (79). Mozilla Firefox is niet in de Top 50 van CVE Details te vinden, maar dit lijkt een bug van de website te zijn. Dit jaar patchte Mozilla namelijk bijna 180 kwetsbaarheden in Firefox. bron: security.nl

Firefox heeft negen maanden lang zonder toestemming van gebruikers crashrapporten naar Mozilla gestuurd, zo heeft de browserontwikkelaar laten weten. In het geval Firefox crasht kan de browser informatie over het probleem naar Mozilla sturen, zodat eventuele bugs kunnen worden verholpen. Standaard zal Firefox gebruikers toestemming vragen om de crashrapporten te versturen. Crashrapporten kunnen namelijk gevoelige en persoonlijke informatie bevatten. Het gaat dan bijvoorbeeld om geopende tabs en de geheugeninhoud van Firefox. Met de lancering van Firefox 52 op 7 maart van dit jaar werd er een bug in de browser geïntroduceerd die ervoor zorgde dat crashrapporten zonder toestemming van de gebruiker werden verstuurd. De bug is deze week via Firefox 57.0.3 verholpen. Mozilla laat weten dat het niet kan zien welke gebruikers toestemming hebben gegeven voor het versturen van crashrapporten en welke niet. "Hoewel we het crashrapportagesysteem hebben ontwikkeld zodat het lastig naar individuen te herleiden is, moeten we er bewust van zijn dat crashdumps de inhoud van de crashende tab kunnen bevatten. In geringe aantallen kan het om privé of identificerende informatie gaan", zegt Mozilla's Chris Lonnen. Mozilla heeft daarom besloten alle toegestuurde data te verwijderen. Updaten naar Firefox 57.0.3 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Een extensie voor Google Chrome met 105.000 gebruikers is stilletjes voorzien van een cryptominer die de browsers van gebruikers laat minen naar de cryptocurrency Monero, zo meldt beveiligingsonderzoeker Troy Mursch op Twitter. Het gaat om de Chrome-extensie "Archive Poster" die bedoeld is om artikelen van andere blogs te gebruiken of te beoordelen. Op 7 december maken gebruikers in de recensies van de extensie al melding van een update die een cryptominer aan de extensie toevoegt en de processor van de computer zwaar belast. Een van de getroffen gebruikers plaatste vervolgens deze week een vraag op het officiële Chrome-helpforum over de cryptominer in de extensie, maar wordt door een "community specialist" verwezen naar de extensie-ontwikkelaar. Community specialists zijn mensen die door Google worden betaald voor het beantwoorden van forumvragen. Ondanks meerdere meldingen dat er een cryptominer in de extensie aanwezig is, wordt die op het moment van schrijven nog steeds via de Chrome Web Store aangeboden. bron: security.nl