Captain Kirk

Meer dan duizend WordPress-sites zijn met malware besmet geraakt omdat ze een beveiligingsupdate voor een oude kwetsbaarheid in twee themes niet geïnstalleerd hebben. Het gaat om de themes Newspaper en Newsmag. Het lek waar de aanvallers gebruik van maken werd in april 2016 gepatcht. Toch zijn er nog altijd websites die de update niet hebben uitgerold. Via de kwetsbaarheid kan een aanvaller kwaadaardige JavaScript in de website injecteren. Oorspronkelijk werd de geïnjecteerde JavaScript-code gebruikt voor het weergeven van pop-ups op gehackte website of het doorsturen van bezoekers naar andere websites. Een nieuwe variant van de aanval stuurt aanvallers nog steeds door naar andere websites, maar maakt ook een nieuwe WordPress-beheerder aan genaamd "simple001". Daarmee hebben de aanvallers volledige controle over de website. Zelfs wanneer een WordPress-gebruiker de infectie verwijdert en de kwetsbaarheid patcht, blijft de aanvaller via het aangemaakte beheerdersaccount toegang houden. Volgens securitybedrijf Sucuri zijn meer dan duizend WordPress-sites door de nieuwe variant van de aanval getroffen. bron: security.nl

Als het gaat om de detectie van malware ontlopen de meeste virusscanners elkaar niet zoveel, maar een gratis anti-viruspakket zet de beste score neer, zo blijkt uit een test van het Oostenrijkse testlab AV-Comparatives met echte besmette links en drive-by downloads op internet. Om de effectiviteit van anti-virussoftware buiten een testomgeving om te testen voert AV-Comparatives elke maand een "real-world protection test" uit. In plaats van een laboratoriumomgeving met duizenden exemplaren wordt er met echte links en bestanden getest. De testresultaten van juli tot en met november zijn nu bij elkaar genomen. In deze periode werden er 1769 kwaadaardige links en websites met een Windows 10-systeem bezocht. Alleen de gratis anti-virussoftware van Panda wist alle malware-exemplaren zonder tussenkomst van de gebruiker te detecteren. Vijftien van de 21 geteste anti-viruspakketten behalen een detectiescore van 99 procent of meer. Adaware eindigt met 95,4 procent onderaan. Microsoft Windows Defender weet 99,5 procent van de malware te detecteren. Naast de detectie van malware werd er ook op false positives getest, waarbij de virusscanners met legitieme, schone software en domeinen kregen te maken. Het ging om zo'n duizend willekeurig gekozen populaire domeinen en zo'n tweeduizend populaire en nieuwe/aanbevolen downloads. Alleen de oplossing van CrowdStrike slaat geen enkele keer onterecht alarm. Gemiddeld gaan de anti-viruspakketten 19 keer de fout in. F-Secure zet de slechtste score neer. 132 keer worden ten onrechte bestanden en websites geblokkeerd. Ook Seqrite, Symantec, Fortinet, BullGuard en Microsoft presteren slechter dan het gemiddelde. Vanwege het grote aantal false postives krijgen deze pakketten een lagere uiteindelijke beoordeling. Uiteindelijk worden Panda, Bitdefender, Tencent, Trend Micro, Kaspersky Lab, AVIRA, Avast, AVG, VIPRE, Emsisoft, ESET en McAfee als 'Advanced+' beoordeeld, de hoogste beoordeling. bron: security.nl

Touchpadfabrikant Synaptics gaat in alle keyboarddrivers die het ontwikkelt de debugger uitschakelen, nadat een beveiligingsonderzoeker vorige week waarschuwde dat het eigenlijk een keylogger is die toetsaanslagen kan opslaan. De onderzoeker waarschuwde dat de keylogger in de Synaptics Touchpad-driver op honderden HP-laptops is geïnstalleerd. De keylogger stond standaard uitgeschakeld, maar zou eenvoudig door malware kunnen worden ingeschakeld. HP stelde dat het om een achtergebleven debugger ging en kwam vervolgens met een beveiligingsupdate om het probleem te verhelpen. Synaptics liet destijds niets van zich horen, maar heeft nu toch via de eigen website een reactie gegeven. Volgens de touchpadfabrikant is de debugtool ten onrechte als keylogger aangemerkt. Alle Synaptics-drivers worden van een debugtool voorzien waarmee de fabrikant eventuele problemen kan achterhalen. Het betreft dus niet alleen HP-laptops, maar ook de computers van andere fabrikanten die de TouchPads van Synaptics gebruiken. De debugtool in de driver wordt standaard uitgeschakeld, maar de fabrikant kan ervoor kiezen om die in te schakelen. Wanneer de debugtool is ingeschakeld verzamelt die volgens Synaptics data in een binair formaat. Deze data wordt bij elk "power event" overschreven of verwijderd. Volgens Synaptics is er tegenwoordig sprake van een "verhoogde gevoeligheid voor security en privacy" en heeft het daarom uit voorzorg besloten om de debugtool in alle productiedrivers te verwijderen, zodat die niet voor kwade doeleinden is te gebruiken. Er wordt nu met fabrikanten samengewerkt zodat die updates onder hun gebruikers en klanten kunnen uitrollen om de debugtool uit te schakelen. bron: security.nl

Er is een nieuwe versie van de populaire Windows-firewall GlassWire verschenen die over allerlei nieuwe features beschikt, waaronder integratie met VirusTotal om verdachte bestanden te scannen en detectie van zogeheten Evil Twins. Het gaat in dit geval om wifi-netwerken die zich voordoen als het huidige wifi-netwerk van de gebruiker. GlassWire herkent het mac-adres van de wifi-router en waarschuwt als dit verandert. Door de integratie met de VirusTotal-dienst van Google kunnen gebruikers ervoor kiezen om netwerk-gerelateerde bestanden automatisch of handmatig door tientallen virusscanner-engines te laten scannen. Een andere nieuwe optie in GlassWire 2.0 is de mogelijkheid om firewall-profielen in te stellen en worden monitoren met hoge resoluties en setups met meerdere monitoren beter ondersteund. Verder is het eenvoudiger voor gebruikers om te zien hoeveel data hun computer verbruikt. GlassWire kent zowel gratis als betaalde versies. De firewall werd onlangs nog aangeraden in de door experts opgestelde Security Planner van het Canadese Citizen Lab. bron: security.nl

Google Chrome krijgt een sterkere pop-upblocker die gebruikers tegen ongewenste content moet beschermen. Twintig procent van de meldingen die Chrome-gebruikers op de desktop doen gaat over ongewenste content. Het gaat dan bijvoorbeeld om third-party websites die vermomd zijn als een speelknop of transparante overlays op websites die alle clicks afvangen en een nieuwe tab of nieuw venster openen. Dergelijke methodes worden geregeld door scamsites en voor de verspreiding van adware en andere ongewenste software gebruikt. Om gebruikers hier tegen te beschermen zal de pop-upblocker in Chrome 64 nu het openen van nieuwe tabs of vensters via automatische redirects en andere misleidende manieren tegengaan. De maatregel is nu al te testen in de betaversie van Chrome 64. bron: security.nl

Onderzoekers van securitybedrijf FireEye hebben malware ontdekt die ontwikkeld is om een industrieel veiligheidssysteem te manipuleren en dit ook bij een fabriek heeft gedaan. Triton, zoals de malware wordt genoemd, kan Triconex Safety Instrumented System (SIS) controllers aanpassen. Een SIS is een autonoom controlesysteem dat onafhankelijk de status monitort van de processen die het controleert. Als een proces een bepaalde parameter overschrijdt die op een gevaarlijke situatie duidt, probeert het SIS het proces in een veilige staat te krijgen of schakelt het proces uit. Naast SIS-controllers zijn fabrieken ook voorzien van een Distributed Control System (DCS), waarmee menselijke operators de industriële processen kunnen monitoren en controleren. Bij een aanval tegen een niet nader genoemde fabriek wist de aanvaller toegang te krijgen tot een SIS-werkstation dat op Windows draait. Vervolgens werd de Triton-malware ingeschakeld om de SIS-controllers te herprogrammeren. Daardoor raakten sommige controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Volgens FireEye was het waarschijnlijk niet de bedoeling van de aanvaller om het systeem uit te schakelen. De aanvaller had namelijk al toegang tot het DCS en had zo de mogelijkheid om het proces te manipuleren of de fabriek uit te schakelen. In plaats daarvan kozen ze ervoor om het SIS-systeem te compromitteren. Zodra er toegang tot het SIS-systeem was verkregen had de malware een commando kunnen geven om het proces uit te schakelen of opzettelijk defecte code naar de SIS-controller kunnen uploaden, waardoor die defect raakte. In plaats daarvan probeerde de aanvaller gedurende een periode om binnen de gehackte omgeving functionele controllerlogica voor de SIS-controller te ontwikkelen en installeren. De pogingen zouden door een fout in de gebruikte aanvalsscripts zijn mislukt. Toch bleef de aanvaller volhouden. Dit suggereert volgens FireEye dat de aanvaller een ander doel had dan het uitschakelen van het proces. Wat verder opvalt is dat de malware kort nadat er toegang tot het SIS-systeem was verkregen werd ingezet. Volgens het securitybedrijf wijst dit erop dat de malware al was gemaakt en getest. Hiervoor hadden de aanvallers toegang moeten hebben tot hardware en software die niet eenvoudig beschikbaar is. Daarnaast communiceert de malware via het gesloten TriStation-protocol waarvan geen documentatie openbaar is. Dit zou erop duiden dat de aanvaller het protocol zelf heeft gereverse engineered. Wie er achter de aanval zit en hoe de fabriek besmet raakte laat FireEye niet weten. bron: security.nl

Mozilla heeft een nieuwe optie aan Firefox Focus toegevoegd waarmee gebruikers op een privacyvriendelijke manier snel hun favoriete websites kunnen opzoeken. Firefox Focus is een op privacy gerichte Firefox-versie voor mobiele apparaten die standaard advertenties en trackers blokkeert en het mogelijk maakt om met een druk op de knop alle gegevens te wissen. Vanwege privacyredenen ontbreken er bepaalde functies in de Firefox Focus, zoals autocomplete. Bij andere browsers kunnen gebruikers via autocomplete een aantal letters van een website in de adresbalk invoeren, waarna de browser verschillende suggesties toont. Deze suggesties zijn gebaseerd op eerdere zoekopdrachten, surfgedrag en populaire websites. Informatie die niet door Firefox Focus wordt bijgehouden. Toch hadden veel gebruikers om een dergelijke feature gevraagd, zo laat Mozilla weten. Daarom heeft de browserontwikkelaar een privacyvriendelijke autocomplete ontwikkeld. Nu kunnen gebruikers websites aan een persoonlijke autocompletelijst binnen de app toevoegen. Zodoende zijn deze websites alleen zichtbaar voor de gebruiker en kan die nog steeds door het intikken van een paar letters snel naar zijn favoriete website gaan. Daarnaast is er ook een andere optie toegevoegd waarbij gebruikers zoekmachines aan de browser kunnen toevoegen van elke website die over een zoekveld beschikt. Firefox Focus is zowel voor Android als iOS beschikbaar. bron: security.nl

Een ernstig beveiligingslek in firewalls van leverancier Palo Alto Networks maakte het mogelijk om de apparaten op afstand over te nemen. Door drie verschillende bugs aan elkaar te koppelen konden er zonder wachtwoord via de webinterface commando's met rootrechten worden uitgevoerd. Palo Alto Networks adviseert om de webinterface niet aan het internet te hangen. Diensten zoals Project Sonar en Shodan laten echter zien dat het vrij normaal is om firewalls uit te rollen waarbij de webinterface via internet toegankelijk is, aldus onderzoeker Philip Pettersson op de Full Disclosure-mailinglist. Palo Alto Networks heeft updates voor het besturingssysteem van de firewall uitgebracht om het probleem te verhelpen. Beheerders krijgen het advies om te updaten naar PAN-OS 6.1.19, PAN-OS 7.0.19, PAN-OS 7.1.14 of PAN-OS 8.0.6. bron: security.nl

Anti-virusbedrijf Avast heeft een tool open source gemaakt waarmee kan worden gekeken of applicaties malware zijn. RetDec is een machine-code decompiler voor platformonafhankelijke analyse van uitvoerbare bestanden. Via de tool kan worden gekeken wat applicaties doen, zonder ze uit te voeren. Met het open source maken van RetDec wil Avast een generieke tool bieden om platformspecifieke code, bijvoorbeeld x86/PE uitvoerbare bestanden, op een andere manier weer te geven, zoals C-broncode. Daarnaast is de tool niet beperkt tot één enkel platform en kan die verschillende platformen, architecturen, bestandsformaten en compilers ondersteunen. Avast maakt zelf gebruik van RetDec voor het analyseren van malware voor verschillende platformen, zoals x86/PE en ARM/ELF. De broncode van de decompiler en bijbehorende tools zijn nu via GitHub beschikbaar. bron: security.nl

Eigenaren van Internet of Things-apparaten doen er verstandig aan om de apparatuur in een afzonderlijk beveiligd netwerk te plaatsen en uit te schakelen wanneer die niet in gebruik is, zo adviseert de FBI. De opsporingsdienst verwacht dat het aantal IoT-apparaten de komende jaren sterk zal toenemen. Gebruikers moeten echter rekening houden met wat ze in huis halen, stelt FBI-agent Beth Anne Steele. Aanvallers maken namelijk misbruik van het ontbreken van beveiliging in deze apparaten, de moeite die fabrikanten hebben met het patchen van kwetsbaarheden en de onervarenheid van gebruikers met deze apparaten. "In veel gevallen maken deze apparaten gebruik van standaard gebruikersnamen en wachtwoorden, waardoor ze een eenvoudig doelwit van cyberdieven zijn", aldus Steele. De opsporingsdienst geeft daarom verschillende tips om IoT-apparatuur te beveiligen. Zo wordt aangeraden de standaard gebruikersnamen en wachtwoorden te wijzigen en de apparaten in een afzonderlijk, beveiligd netwerk te plaatsen. Ook krijgen gebruikers het advies om de apparatuur uit te schakelen wanneer die niet in gebruik is en moet voor de aanschaf worden uitgezocht welke fabrikanten veilige apparatuur bieden en regelmatig met updates komen. Verder moet worden uitgezocht welke data de IoT-apparaten allemaal verzamelen, hoe lang de data wordt bewaard, of die versleuteld is en of het wordt gedeeld met derde partijen. bron: security.nl

Een bug in Flash Player kon ervoor zorgen dat de instellingen van gebruikers onbedoeld werden gereset. Iets waarvoor Adobe nu een beveiligingsupdate heeft uitgebracht. Gebruikers van Flash Player kunnen allerlei instellingen aanpassen, zoals die van de camera of microfoon waar Flash-applicaties toegang toe kunnen krijgen. Volgens Adobe werden deze instellingen onbedoeld door een logische fout gereset. Gebruikers krijgen dan ook het advies om te updaten naar Flash Player-versie 28.0.0.126. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. bron: security.nl

Om gebruikers tegen aanvallen te beschermen heeft Microsoft gisterenavond een update voor Microsoft Office uitgebracht die de DDE-feature in alle ondersteunde versies van Word uitschakelt. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd en nog steeds op allerlei plekken wordt gebruikt. De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. De functionaliteit wordt actief door cybercriminelen gebruikt om gebruikers met malware te infecteren. Vorige maand gaf Microsoft al een waarschuwing voor deze aanvallen af, maar nu heeft de softwaregigant besloten om de functionaliteit voor Word in zijn geheel uit te schakelen. De update wordt aan alle ondersteunde versies van Microsoft Office aangeboden. In het geval van Office 2010 wordt de update alleen aan systemen aangeboden die specifieke configuraties van Office 2010 draaien. Wanneer gebruikers de update niet kunnen installeren of die in andere Office-applicaties zoals Excel of Outlook willen uitschakelen, wijst Microsoft naar deze advisory. bron: security.nl

De BadRabbit-ransomware die eind oktober allerlei bedrijven en organisaties in voornamelijk Oekraïne en Rusland infecteerde werd in eerste instantie niet door de beveiligingssoftware van Microsoft geblokkeerd omdat het bestand met de ransomware net niet verdacht genoeg was. Dat laat Microsoft in een vandaag gepubliceerde analyse weten. BadRabbit verspreidde zich via een zogenaamde Flash Player-update die via gehackte websites aan internetgebruikers werd aangeboden. Zodra deze "update" was gedownload en geopend werd de BadRabbit-ransomware geïnstalleerd. Naast het versleutelen van bestanden en het overschrijven van het Master Boot Record (MBR) van de harde schijf probeerde de ransomware ook andere machines in het netwerk te infecteren. Hiervoor werd gebruik gemaakt van een lijst met veelvoorkomende wachtwoorden, onderschepte inloggegevens en een exploit van de NSA. Microsoft heeft de eerste infectie met BadRabbit herleid naar een gebruiker van Windows Defender in Sint Petersburg, ook wel "patient zero" genoemd. Deze gebruiker downloadde het bestand "FlashUtil.exe". Windows Defender vond dit een verdacht bestand, maar niet verdacht genoeg om het meteen te blokkeren. Het bestand werd daarop naar de cloudscandienst van Microsoft geupload en met een zekerheidsscore van 81,6 procent als malware bestempeld. De cloudscandienst was echter ingesteld om bestanden pas bij een zekerheidsscore van 90 procent te blokkeren. Dit om false positives te voorkomen, waarbij schone bestanden ten onrechte als malware worden beschouwd. Daardoor kon de ransomware zijn gang gaan en het systeem infecteren. Microsoft laat weten dat het de percentages continu aanpast om de juiste balans te vinden tussen het stoppen van malware en het niet blokkeren van legitieme programma's. Verder geautomatiseerd onderzoek via machine learning naar het verdachte bestand leverde uiteindelijk een score van 90,7 procent op. Genoeg om het bestand te blokkeren, wat vervolgens bij gebruikers van Windows Defender werd gedaan. Er zaten in totaal 14 minuten tussen de infectie van patient zero en detectie door de beveiligingssoftware. In de tussentijd had de ransomware acht andere slachtoffers in Oekraïne, Rusland, Israel en Bulgarije gemaakt. Volgens Microsoft laat dit zien dat machine learning een belangrijke rol speelt bij het detecteren van malware. Daarnaast wijst de softwaregigant organisaties op de mogelijkheid om het cloudbeschermingsniveau aan te passen, zodat verdachte bestanden bij een lagere zekerheidsscore worden geblokkeerd. bron: security.nl

Vanwege verschillende problemen met updates de afgelopen maanden doen Windows-gebruikers er verstandig aan om de automatische updatefunctie van het besturingssysteem uit te schakelen, zo stelt Windows-expert Woody Leonhard, tevens auteur van verschillende "Windows For Dummies" boeken. Morgen brengt Microsoft tijdens de laatste patchdinsdag van dit jaar weer allerlei beveiligingsupdates uit voor Windows, Office en andere software. Beveiligingsexperts adviseren om dergelijke updates altijd direct te installeren en dit bij voorkeur via de automatische updatefunctie te doen. Volgens Leonhard hebben gebruikers de beveiligingsupdates niet meteen nodig, tenzij het om een grote kwetsbaarheid gaat. "Zoals ik al vaker heb gezegd is het verstandig om het installeren van Windows- en Office-updates uit te stellen totdat de grote bugs eerst zijn verhopen. Laat onbetaalde betatesters hun machine maar eerst opofferen", aldus Leonhard, die in zijn column voor Computerworld ook uitlegt hoe gebruikers de updates kunnen uitstellen. De Windows-expert benadrukt dat gebruikers de updates uiteindelijk wel moeten installeren, maar niet meteen. Het advies van Leonhard is risicovol. Zo werd een ernstig beveiligingslek in Microsoft Office dat Microsoft vorige maand patchte een aantal dagen na het uitkomen van de update al actief aangevallen. bron: security.nl

De Conficker-worm die op zijn hoogtepunt negen miljoen computers besmette is 9 jaar sinds de eerste verschijning op 21 november 2008 nog altijd op 150.000 computers actief, zo laat anti-virusbedrijf Trend Micro weten. Conficker verspreidt zich op verschillende manieren, waaronder een kwetsbaarheid in de Windows Server-service, gedeelde netwerkmappen en de Autorun-functie van Windows. Het beveiligingslek in de Windows Server-service werd op 23 oktober 2008 door Microsoft gepatcht. In januari 2009 begon Conficker zich ook via de Autorun-functie van Windows te verspreiden, iets waarvoor Microsoft in februari 2011 een update uitbracht. Volgens Trend Micro is Conficker vooral actief in China, Brazilië en India. Deze drie landen zijn bij elkaar voor ruim de helft van alle infecties verantwoordelijk. De meeste besmettingen werden in overheidssystemen aangetroffen, gevolgd door productiebedrijven en gezondheidszorg. Na een infectie probeert Conficker dagelijks met allerlei domeinen verbinding te maken om te kijken of er nieuwe instructies van de makers zijn. ICANN, de organisatie die onder andere verantwoordelijk is voor de verdeling van ip-nummers en domeinen, heeft echter maatregelen genomen zodat deze domeinen niet kunnen worden geregistreerd. Zodoende kunnen de besmette computers niet worden gebruikt voor criminele doeleinden. Volgens Trend Micro is Conficker dan ook te bestempelen als "achtergrond-malware" die vooral op legacy-systemen actief is. "Hoewel het voor het grote publiek niet zo interessant is als modernere malware als WannaCry en Petya, blijft het een persistente dreiging en zal het dit blijven zolang niet meer ondersteunde, ongepatchte legacy-systemen nog steeds onderdeel van bedrijfsnetwerken zijn", aldus de virusbestrijder. bron: security.nl

Niet alleen legitieme websites maken steeds vaker gebruik van https, ook phishingsites beschikken meer en meer over een beveiligde verbinding. Er is zelfs sprake van een sterke toename van het aantal https-phishingsites, zo stelt securitybedrijf PhishLabs. In het derde kwartaal van dit jaar beschikte bijna 25 procent van de waargenomen phishingsites over een https-verbinding. Een kwartaal eerder ging het nog om zo'n 12 procent, terwijl een jaar geleden minder dan 3 procent van de phishingsites over een ssl-certificaat beschikte. Volgens het securitybedrijf zijn er twee redenen waarom er een toename is van het https-gebruik onder phishingsites. De eerste reden is dat phishingsites geregeld via gehackte, legitieme websites worden aangeboden. Wanneer een legitieme website met een ssl-certificaat wordt gehackt, zal ook de phishingpagina die via de website wordt aangeboden over een beveiligde verbinding beschikken. De tweede reden volgens PhishLabs is dat criminelen domeinen voor hun phishingsite registreren en vervolgens zelf https inschakelen. Dit gebeurt dan via certificaatautoriteiten die gratis ssl-certificaten aanbieden, zoals Let's Encrypt en Comodo. Op deze manier ziet de phishingsite er legitiemer uit, aldus Crane Hassold van PhishLabs. Chrome laat bij https-sites automatisch de melding "Veilig" zien. Dit slaat op de beveiligde verbinding, maar eindgebruikers denken dat de website die ze bezoeken veilig is, merkt Hassold op. "Het misverstand over de betekenis van https onder het algemene publiek en de verwarrende benoeming van https-websites in browsers zijn de voornaamste redenen waarom het een populaire voorkeur is van phishers bij het hosten van phishingsites", gaat Hassold verder. "Gecombineerd met de snelle groei van https onder website-eigenaren, verwachten we dat het aantal https-phishingsites verder zal groeien."

Een onderzoeker met het alias ZwClose heeft een keylogger in een keyboarddriver van HP ontdekt waar malware gebruik van had kunnen maken. De keylogger bevond zich in het bestand SynTP.sys. Dit is een onderdeel van de Synaptics Touchpad-driver die op honderden HP-laptops is geïnstalleerd. Hoewel de keylogger standaard stond uitgeschakeld, had die via een aanpassing aan het Windows Register kunnen worden ingeschakeld. De onderzoeker waarschuwde HP en de fabrikant bevestigde de aanwezigheid van de keylogger. Het ging om code die eigenlijk bedoeld was voor het debuggen van de driver en was achtergebleven. HP heeft nu een update uitgebracht om de code te verwijderen. De update is via de website van HP en Windows Update te downloaden, zo laat de onderzoeker weten. Op de website van HP staan ook alle getroffen modellen vermeld. Het gaat om bijna 500 verschillende laptops. Volgens HP heeft de aanwezigheid van de keylogger er niet voor gezorgd dat het zelf of Synaptics toegang tot klantgegevens hebben gekregen. Eerder dit jaar werd er ook een keylogger in een audiodriver van HP aangetroffen. bron: security.nl

Een internetprovider in een niet nader genoemd land voorziet progamma's die abonnees willen downloaden opnieuw van spyware, zo laat anti-virusbedrijf ESET weten. In september waarschuwde de virusbestrijder voor een aanval waarbij providers in twee landen actief voor getrojaniseerde downloads zorgden. Als het doelwit van de surveillance-operatie een populaire applicatie wilde downloaden, zoals WhatsApp, VLC, WinRAR, Skype of Avast, werd hij door de provider doorgestuurd naar de server van de aanvallers. Daar werd een getrojaniseerde versie van de applicatie aangeboden. Tijdens de installatie wordt vervolgens de legitieme applicatie en de FinFisher-spyware geïnstalleerd. Via de FinFisher-spyware wordt volledige controle over het systeem verkregen en is het mogelijk om live met de webcam mee te kijken en de microfoon af te luisteren. Nadat ESET het nieuws over de aanvallen op 21 september naar buiten bracht stopten die. Op 8 oktober werd in één van de twee landen de campagne hervat, zo meldt het anti-virusbedrijf vandaag. Wederom worden gebruikers bij het downloaden van populaire software naar een kwaadaardige server doorgestuurd. Het gaat om downloads van CCleaner, Driver Booster, Opera, Skype, VLC media player en WinRAR. In plaats van de FinFisher-spyware wordt nu echter de StrongPity-spyware geïnstalleerd. Via deze spyware zoeken de aanvallers naar allerlei soorten documenten. In welk land de aanvallen zijn waargneomen laat ESET niet weten. Wel heeft de virusbestrijder verschillende indicators of compromise gepubliceerd die gebruikers kunnen helpen bij het vinden van een infectie. bron: security.nl

Microsoft heeft eerder dit jaar de tls-privésleutel voor een cloud ERP-oplossing gelekt, waardoor het mogelijk was om gebruikers van de software aan te vallen, zo laat Matthias Gliwka weten. Microsoft Dynamics 365 for Finance and Operations helpt organisaties en bedrijven bij allerlei bedrijfskritische processen, zoals inkoop, productie, verkoop, productplanning en financiën, en wordt door Microsoft in de Azure-cloud gehost. Gliwka werkte voor een bedrijf dat met Microsoft Dynamics werkt en besloot via RDP op een installatie van de ERP-software in te loggen. Tot zijn grote verbazing ontdekte hij in de certificaatmanager het geldige tls-certificaat en bijbehorende privésleutel. Het bleek om een wildcard-certificaat te gaan dat voor alle klantomgevingen kon worden gebruikt. Via het certificaat wordt een versleutelde verbinding tussen gebruikers van de ERP-software en de server opgezet. Met het gelekte certificaat en de privésleutel had een aanvaller tussen een gebruiker en de server een man-in-the-middle-aanval kunnen uitvoeren. Gliwka besloot Microsoft halverwege augustus te informeren, maar dit bleek een lastig proces. Pas toen er eind november een ticket bij Mozilla werd geopend omdat Microsoft het certificaat niet had ingetrokken, terwijl certificaatautoriteiten dit volgens de regels wel horen te doen, kwam er beweging in de zaak. Afgelopen dinsdag, meer dan 100 dagen na de eerste melding, liet Microsoft weten dat het certificaat was ingetrokken en er nu voor alle klantomgevingen een apart certificaat wordt gebruikt. bron: security.nl

Opera-gebruikers die van het ingebouwde vpn gebruikmaken zullen bij zoekopdrachten standaard hun eigen ip-adres naar de betreffende zoekmachine sturen, zo laat Opera weten. Volgens de ontwikkelaar klaagden gebruikers over de kwaliteit van de zoekresultaten wanneer het vpn stond ingeschakeld. Engelstalige gebruikers konden bijvoorbeeld Nederlandstalige zoekresultaten krijgen omdat ze de Nederlandse vpn-server van Opera gebruikten. Opera stelt dat dit een probleem voor de meeste vpn-diensten is. Om gebruikers tegemoet te komen is nu besloten om een "lokale zoekfeature" te introduceren. Standaard zal Opera nu de browser-vpn bij zoekopdrachten omzeilen, waardoor het ip-adres van de gebruiker zichtbaar voor de zoekmachine is. Wanneer gebruikers de zoekresultaten openen wordt het vpn weer ingeschakeld. "We denken dat dit een verstandige balans is tussen absolute privacy en gebruikerscomfort", zegt Andrzej Czarnecki van Opera. Gebruikers hebben echter de optie om de lokale zoekfeature uit te schakelen, waarbij de vpn-verbinding ook voor de zoekopdrachten wordt gebruikt. Een testversie van Opera 50 met de nieuwe vpn-opties is nu beschikbaar. bron: security.nl

Certificaatautoriteit Let's Encrypt waar websites gratis certificaten voor een versleutelde verbinding kunnen aanvragen heeft voor een stijging van het https-verkeer gezorgd. Dat blijkt uit cijfers van Let's Encrypt en Mozilla. Dit jaar zag de certificaatautoriteit het aantal actieve certificaten meer dan verdubbelen naar 46 miljoen. Het aantal domeinen dat van een Let's Encrypt-certificaat gebruikmaakt verdrievoudigde naar 61 miljoen. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) en wordt gesteund door Mozilla, Akamai, Cisco, de EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van ssl-certificaten zo eenvoudig mogelijk te maken. Een doel dat dit jaar weer een stuk dichterbij is gekomen, aldus cijfers van Mozilla. Van alle websites die Firefox-gebruikers dit jaar opvroegen werd 67 procent via een beveiligde https-verbinding aangeboden. Een stijging van 21 procent ten opzichte van een jaar geleden. Voor volgend jaar wil Let's Encrypt het aantal actieve certificaten en unieke domeinen verdubbelen naar respectievelijk 90 miljoen en 120 miljoen. Daarnaast zullen er verschillende belangrijke features worden uitgerold, zoals ondersteuning van wildcard-certificaten. Nu moeten webmasters voor elk subdomein dat onder hun domein valt een apart certificaat aanvragen. Via een wildcard-certificaat zijn alle subdomeinen meteen van een beveiligde verbinding voorzien. De feature zou eind februari beschikbaar moeten zijn. bron: security.nl

Microsoft heeft een ernstige kwetsbaarheid in Windows Defender, Security Essentials, Microsoft Forefront en verschillende andere beveiligingsprogramma's gedicht waardoor een aanvaller kwetsbare systemen volledig had kunnen overnemen, zonder enige interactie van gebruikers. De Microsoft Malware Protection Engine, waar de beveiligingssoftware van Microsoft gebruik van maakt, bleek speciaal geprepareerde bestanden niet goed te scannen, waardoor het geheugen gecorrumpeerd kon raken. In het geval van een succesvolle aanval had een aanvaller willekeurige code met systeemrechten kunnen uitvoeren en zo volledige controle over het systeem kunnen krijgen. De kwetsbaarheid kon zonder interactie van gebruikers worden uitgebuit. Het versturen van een kwaadaardige e-mailbijlage die automatisch bij binnenkomst wordt gescand was bijvoorbeeld voldoende geweest. De update voor de beveiligingssoftware wordt automatisch binnen 48 uur geïnstalleerd en gebruikers hoeven in principe geen actie te ondernemen, zo laat Microsoft weten. bron: security.nl

Een hacker heeft een manier gevonden om de permissies van het programma TeamViewer aan te passen, waardoor het mogelijk is om de computer te besturen van degene die via TeamViewer op een computer inlogt. TeamViewer is software waarmee computers op afstand kunnen worden beheerd. Het wordt bijvoorbeeld binnen bedrijven gebruikt, maar ook telefonische oplichters maken er gebruik van. Het gaat dan om oplichters die zich bijvoorbeeld als Microsoftmedewerker voordoen en mensen thuis opbellen. Vervolgens proberen ze hun slachtoffers een progamma zoals TeamViewer te laten installeren, waarmee de computer van het slachtoffer op afstand kan worden overgenomen. TeamViewer moet zowel op de lokale client (server) als remote client zijn geïnstalleerd. Iemand die via TeamViewer op een remote client inlogt heeft volledige controle over dat systeem. De eigenaar van de remote client kan vervolgens zien hoe zijn computer via TeamViewer door de server wordt overgenomen. Een hacker met het alias "xpl0yt" heeft echter ontdekt dat het mogelijk is voor de client om de computer te besturen van de persoon die inlogt. De client kan namelijk een dll-bestand injecteren waarmee zijn permissies worden aangepast. Zodoende kan hij de muis en het keyboard van de server besturen. De hacker heeft de tool waarmee de permissies kunnen worden aangepast via GitHub openbaar gemaakt. Hij merkt daarbij op dat de tool alleen voor educatieve testdoeleinden is bedoeld. De tool is getest op Windows 10. Linux wordt niet ondersteund. Op Reddit stellen sommige gebruikers dat dit een probleem voor telefonische oplichters is, aangezien nu hun computer kan worden overgenomen. bron: security.nl

De honderden Andromeda-botnets die Europol, de FBI, internationale opsporingsdiensten en bedrijven vorige week uit de lucht haalden schakelden op besmette computers Windows Update uit, wat inhoudt dat een groot aantal computers geen beveiligingsupdates ontvangt, zo laat Microsoft weten. Andromeda, ook bekend als Gamarue, is sinds 2011 actief. De malware verspreidt zich op verschillende manieren, zoals e-mailbijlagen, socialmediaberichten, drive-by downloads en usb-sticks. Eenmaal actief kan Andromeda allerlei andere malware installeren, zoals ransomware, bankmalware, ddos-malware, spambots en clickfraudemalware. Ook probeert de malware Windows Update en de Firewall uit te schakelen. Deze functionaliteit kan niet worden ingeschakeld totdat de Andromeda-infectie van het systeem is verwijderd. En dat is een probleem gezien het aantal besmette machines. Bij de operatie tegen Andromeda wisten opsporingsdiensten de domeinen in beslag te nemen waarmee Andromeda besmette computers aanstuurt. Vervolgens werden deze domeinen zo ingesteld dat ze niet meer naar de malware-servers wezen, maar naar servers van Microsoft. In een periode van 48 uur maakten twee miljoen unieke ip-adressen verbinding met de ingestelde Microsoft-servers. Door het aanpassen van de malware-domeinen is de infectie nog niet van de getroffen systemen verwijderd en het is de vraag hoe lang dit gaat duren. Vorig jaar haalden opsporingsdiensten het Avalanche-botnet offline. Een jaar later blijkt nog 55 procent van de destijds besmette machines nog steeds geïnfecteerd te zijn. De meeste met Andromeda besmette Windows-computers bevinden zich in India, Indonesië en Turkije. Zolang de infectie aanwezig is ontvangen deze machines geen updates en lopen zo risico door andere malware besmet te raken. Anti-virusbedrijf ESET was ook bij de operatie tegen de malware betrokken en heeft een analyse online gezet. bron: security.nl

Europol en de FBI hebben in samenwerking met verschillende bedrijven en organisaties vorige week het Andromeda-botnet uit de lucht gehaald, zo laat de Europese opsporingsdienst vandaag weten. De malware, die ook bekend staat als Gamarue, is al jaren actief en besmette een groot aantal computers. Via de malware hadden criminelen volledige controle over de computers van hun slachtoffers en konden die voor allerlei zaken gebruiken. Een jaar geleden haalden Europol, Eurojust, FBI en de Duitse politie het Avalanche-botnet offline. Dit botnet werd gebruikt voor de verspreiding van allerlei malware, waaronder Andromeda. Informatie die de Duitse autoriteiten via het onderzoek naar het Avalanche-botnet verkregen werd met internationale partners gedeeld, wat uiteindelijk tot het oprollen van het Andromeda-botnet leidde. Om het botnet uit te schakelen werden meer dan 1500 domeinen in beslag genomen die de Andromeda-malware gebruikte om met besmette machines te communiceren. Vervolgens lieten de autoriteiten deze domeinen naar machines van Microsoft wijzen. Op deze manier maakten de besmette computers verbinding met servers van Microsoft. Volgens de softwaregigant werden gedurende een periode van 48 uur zo'n 2 miljoen unieke ip-adressen uit 223 landen waargenomen van computers die met de Andromeda-malware zijn besmet. Tevens is er een arrestatiebevel uitgevaardigd tegen een verdachte uit Wit-Rusland. Gelijktijdig hebben de Duitse autoriteiten besloten om het sinkholen van het Avalanche-botnet met een jaar te verlengen. Volgens Europol was deze maatregel nodig, aangezien wereldwijd nog 55 procent van de machines die een jaar geleden met Avalanche was besmet, nog steeds geïnfecteerd is. bron: security.nl