Captain Kirk

Een database waarin Google allerlei gevoelige informatie over bugs en ongepatchte kwetsbaarheden opslaat was zelf kwetsbaar waardoor een onderzoeker hier toegang toe wist te krijgen. Dat laat onderzoeker Alex Birsan via een artikel op Medium weten. Birsan ontdekte verschillende kwetsbaarheden in de Google Issue Tracker. Dit is een intern systeem waarmee Google bugs en featureverzoeken tijdens de productontwikkeling bijhoudt. Het is beschikbaar voor gebruik buiten Google voor personen en partners die op bepaalde projecten met Google samenwerken. Het grootste gedeelte van het systeem is echter afgeschermd voor externe gebruikers. Zo zijn rapporten over nog niet gepatchte kwetsbaarheden in de diensten van Google alleen voor Google-medewerkers toegankelijk. Birsan ontdekte echter drie problemen waardoor hij deze beperkingen kon omzeilen en toegang tot de afgeschermde bugmeldingen kon krijgen. Ook ontdekte hij een manier om alle data van meerdere bugmeldingen via één enkel verzoek op te vragen, zodat Google dit niet zou opmerken. Na ontdekking van de kwetsbaarheden waarschuwde Birsan Google en een uur later was het systeem uit de lucht gehaald. De onderzoeker ontving voor zijn bugmelding een beloning van 7500 dollar. Voor zover bekend is er geen misbruik van de kwetsbaarheden gemaakt. Onlangs meldde persbureau Reuters op basis van voormalige medewerkers van Microsoft dat aanvallers vier jaar geleden toegang tot een interne bugdatabase van Microsoft hadden gekregen. Na ontdekking van de hack besloot Microsoft aanvallen op andere organisaties te onderzoeken. Er zou daarbij geen bewijs zijn gevonden dat de gestolen informatie bij deze aanvallen was gebruikt, aldus de ex-medewerkers. Microsoft heeft zichzelf nooit over het vermeende incident uitgelaten. In 2015 maakte Mozilla bekend dat een aanvaller toegang tot de interne bugdatabase 'Bugzilla' had verkregen en tenminste één ongepatchte kwetsbaarheid had gebruikt om Firefox-gebruikers aan te vallen. bron: security.nl

Mozilla is van plan om in Firefox 58 gebruikers te waarschuwen voor canvas-fingerprinting. Dit is een technologie waarmee internetgebruikers zonder het gebruik van cookies op internet kunnen worden gevolgd. Canvas-fingerprinting laat de browser iets "tekenen", bijvoorbeeld een combinatie van woorden of een afbeelding. Deze afbeelding wordt vervolgens gehasht waarna er een gebruikers-id ontstaat. Verschillen in hardware en geïnstalleerde drivers zorgen ervoor dat de getekende afbeelding per computer verschilt en elke gebruiker zodoende een ander id krijgt. Het gebruikers-id kan door een website of adverteerder worden uitgelezen, opgeslagen en gedeeld met anderen om de internetgebruiker op het web te volgen. Mozilla gaat in Firefox 58 gebruikers waarschuwen als een website toegang tot de afbeelding wil. Gebruikers hebben vervolgens de mogelijkheid om dit toe te staan of te weigeren, zo meldt de website Ghacks. De feature is afkomstig uit Tor Browser, die gebruikers al enige tijd tegen canvas-fingerprinting beschermt. Firefox 58 staat gepland voor 16 januari volgend jaar. bron: security.nl

Google is van plan om public key pinning in Chrome te gaan verwijderen, een maatregel die Chrome-gebruikers tegen man-in-the-middle-aanvallen moet beschermen. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. De hack in 2011 van de inmiddels failliete Nederlandse certificaatautoriteit DigiNotar werd via public key pinning ontdekt. Een aanvaller had bij DigiNotar voor tientallen domeinen geldige certificaten gegenereerd. Het ging onder andere om een certificaat voor Google.com. Alle browsers accepteerden dit certificaat, behalve Chrome. Chrome maakt namelijk gebruik van public key pinning en Google had ingesteld welke certificaatautoriteiten voor Google.com een certificaat mogen uitgeven. DigiNotar stond hier niet tussen, waardoor Google een waarschuwing ontving en internetgebruikers kon waarschuwen. Volgens Google maken webmasters en domeineigenaren echter weinig gebruik van public key pinning. Dit komt mede doordat de maatregel lastig is te gebruiken en die ervoor kan zorgen dat websites onbruikbaar worden. Google is dan ook van plan om de ondersteuning van public key pinning af te bouwen en uiteindelijk helemaal te verwijderen. Het voorstel is nu om de support van http public key pinning, waarbij er met dynamische 'pins' wordt gewerkt, in Chrome 67 uit te faseren. Deze versie staat gepland voor 29 mei 2018. Uiteindelijk zal ook de ondersteuning van statistische pins worden gestopt. Certificaattransparantie In plaats van public key pinning wil Google voor alle publiek vertrouwde certificaten op certificaattransparantie overstappen. Dit is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het certificaatsysteem te verhelpen en bijvoorbeeld onterecht uitgegeven certificaten in bijna real-time te detecteren. Bij certificaattransparantie verplichten browsers dat een https-website bewijs aanlevert dat het certificaat in een openbaar certificaattransparantie-log voorkomt. Dit is een eenvoudige netwerkdienst die een archief van certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast. Ze gebruiken verder een cryptografische methode om manipulatie te voorkomen en kunnen door het publiek worden gecontroleerd. Via zogeheten 'monitors' wordt er periodiek in de log-bestanden naar verdachte certificaten gezocht. Zodoende kunnen onterecht uitgegeven certificaten worden gedetecteerd, alsmede certificaatautoriteiten die zijn gehackt of kwaadaardig zijn. Chrome-ontwikkelaar Chris Palmer, die het plan voor het uitfaseren van public key pinning aankondigde, weet echter nog niet wanneer Chrome voor alle certificaten certificaattransparantie zal verplichten. bron: security.nl

Netwerkfabrikant Netgear heeft deze maand beveiligingsupdates voor de KRACK-aanval tegen WPA en WPA2 uitgebracht alsmede allerlei andere kwetsbaarheden in een groot aantal routers en andere apparaten verholpen. Netgear publiceert aan het einde van elke maand een overzicht van updates die in de betreffende maand zijn verschenen. In oktober zijn er firmware-updates uitgebracht voor veertien verschillende wireless access points van Netgear. De updates verhelpen de KRACK-aanval waarmee een aanvaller via WPA- en WPA2-beveiligd verkeer kan ontsleutelen. Volgens Netgear zijn ook Arlo-camera's, Orbi-wifi-systemen, zeventien type routers, achttien type wifi-extenders, vijf wifi-adapters en drie mobiele hotspots kwetsbaar voor de KRACK-aanval, maar voor deze producten zijn nog geen beveiligingsupdates beschikbaar. Daarnaast zijn er voor meer dan 30 type routers allerlei firmware-updates verschenen die kwetsbaarheden zoals buffer overflows, cross-site request forgery, command injection, het lekken van gevoelige informatie, cross-site scripting en misconfiguraties tegengaan. Eigenaren van Netgear-apparatuur krijgen het advies om via de beveiligingspagina te zoeken of er voor hun apparaat updates zijn uitgekomen. bron: security.nl

Oracle heeft een waarschuwing afgegeven voor een zeer ernstig beveiligingslek in de Oracle Identity Manager waardoor een aanvaller zonder inloggegevens via het netwerk het systeem volledig kan overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van een kwetsbaarheid is dit beveiligingslek met de hoogst mogelijke score van 10 beoordeeld. De Oracle Identity Manager is een identiteitsmanagementsysteem voor het beheren van toegangsrechten en privileges van gebruikersaccounts en onderdeel van Oracle Fusion Middleware. Via de kwetsbaarheid kan een aanvaller zonder inloggegevens het systeem over het netwerk compromitteren. Volgens Oracle is de aanval zeer eenvoudig uit te voeren en heeft die een grote impact. In de waarschuwing wordt verwezen naar een workaround voor het probleem. Een beveiligingsupdate wordt nog ontwikkeld. Zodra die beschikbaar is adviseert Oracle die meteen te installeren. bron: security.nl

Microsoft gaat data van Outlook.com-gebruikers voortaan in een datacentrum in dezelfde regio van de gebruiker opslaan, in plaats van het land dat de gebruiker in zijn profiel heeft opgegeven. Dat moet de prestaties verbeteren, zo heeft Microsoft bekendgemaakt. Bij het aanmaken van een nieuw Outlook.com-account worden automatisch de dichtstbijzijnde datacentra opgezocht. Van gebruikers die zich fysiek in de Verenigde Staten bevinden zal de data ook in de VS worden opgeslagen. Wanneer het account in Europa wordt aangemaakt, zal Microsoft de data hier opslaan. Microsoft stelt dat als blijkt dat gebruikers gedurende een bepaalde periode zich in een andere regio bevinden, de gebruikte datacentra automatisch worden aangepast aan de hand van deze nieuwe locatie. “We zullen niet continu je data heen en weer tussen regio’s verplaatsen als je naar het buitenland reist. De bedoeling is om de prestaties te verbeteren door je data in de buurt te houden van waar je je bevindt”, aldus het Microsoft Outlook team. De softwaregigant erkent dat de maatregel ook juridische gevolgen heeft. Vorig jaar bepaalde het Amerikaanse hooggerechtshof dat e-mailproviders zoals Microsoft niet gedwongen konden worden om aan Amerikaanse opsporingsdiensten persoonlijke data van gebruikers af te staan die in het buitenland werd gehost. Sommige Amerikaanse opsporingsdiensten vroegen zich af of Amerikaanse burgers hier misbruik van zouden kunnen maken. Een Amerikaanse gebruiker zou bijvoorbeeld een Microsoft-account kunnen aanmaken en instellen dat hij in het buitenland verblijft, waardoor de data zich buiten het bereik van Amerikaanse gerechtelijke bevelen zou bevinden. Microsoft stelt dat dit een hypothetische mogelijkheid is, maar dat dit door verbeterde technologie geen probleem meer zou moeten zijn. "Het is nooit onze bedoeling geweest om onderzoek van opsporingsdiensten te frustreren", zegt Microsofts Tom Burt. Hij benadrukt dat er voor de meeste Amerikanen niets zal veranderen, aangezien hun data al in de Verenigde Staten is opgeslagen. bron: security.nl

Aanvallers hebben op verschillende gehackte websites een cryptominer geplaatst die de computer van bezoekers gebruikt om naar de cryptocurrency Monero te minen. Daarvoor waarschuwt securitybedrijf Wordfence. Volgens het bedrijf gaat het om een beperkt aantal Joomla- en WordPress-sites. De aanvallers wisten toegang tot deze websites te krijgen via bekende kwetsbaarheden die niet door de beheerders zijn gepatcht, alsmede gecompromitteerde ftp- en beheerdersaccounts. Zodra er toegang is verkregen wordt de Coinhive-cryptominer aan de website toegevoegd. Coinhive is een cryptominer die via de browser de rekenkracht van de computer gebruikt om naar de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit. Op dit moment gaat het zoals gezegd om een beperkt aantal websites, maar Wordfence verwacht dat dit zal veranderen gezien de winstgevendheid van deze aanvallen. bron: security.nl

Mozilla werkt aan een nieuwe wachtwoordmanager voor Firefox die binnenkort door gebruikers getest kan worden. Het gaat om een extensie genaamd Lockbox die de standaard in Firefox aanwezige wachtwoordmanager moet verbeteren. De extensie is nu al beschikbaar voor gebruikers van Firefox Nightly. Dit is een zeer vroege testversie van Firefox. Mozilla is daarnaast van plan om de extensie in het vierde kwartaal via Firefox Test Pilot aan te bieden, zo laat de website Ghacks weten. Test Pilot is een programma waarmee Firefox-gebruikers nieuwe features van de browser kunnen testen. Zo was het eerder al mogelijk om via Test Pilot een gratis dienst te testen om versleuteld bestanden mee te delen. Lockbox laat gebruikers net als andere wachtwoordmanagers wachtwoorden opslaan en kan die automatisch op websites invullen. Verdere details zijn nog niet beschikbaar. bron: security.nl

Google heeft een beveiligingsupdate voor Chrome 62 voor de desktop uitgebracht die een kwetsbaarheid verhelpt waardoor een aanvaller in het ergste geval code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. De kwetsbaarheid werd gevonden door een onderzoeker van Ant-financial Light-Year Security Lab die het probleem op 30 september van dit jaar rapporteerde. Google beloonde de onderzoeker voor zijn bugmelding met 3.000 dollar. De update naar Chrome 62.0.3202.75 zal op de meeste systemen automatisch worden geïnstalleerd, maar kan ook handmatig worden gedownload. Google heeft ook een nieuwe versie van Chrome 62 voor Android uitgebracht, maar deze update verhelpt geen security-gerelateerde problemen. bron: security.nl

Na Symantec geeft ook anti-virusbedrijf McAfee buitenlandse overheden geen toegang meer tot de broncode van de producten die het aanbiedt, zo laat het bedrijf tegenover persbureau Reuters weten. De mogelijkheid voor buitenlandse overheden om de broncode in zogeheten "certified testing labs" te bekijken werd eerder dit jaar al beëindigd, nadat McAfee zich in april van Intel losmaakte om als onafhankelijk bedrijf door te gaan. Volgens een woordvoerster is er geen bewijs dat het laten inspecteren van de broncode tot beveiligingsincidenten heeft geleid. Sommige overheden eisen toegang tot de broncode van de producten die ze afnemen om te controleren dat er geen backdoors in aanwezig zijn. Microsoft heeft bijvoorbeeld wereldwijd verschillende centra waar deze controles plaatsvinden. Eerder liet Symantec-ceo Greg Clark echter weten dat het inzage geven in de broncode de veiligheid van producten in gevaar kan brengen en een te groot beveiligingsrisico is. bron: security.nl

De Apache Software Foundation heeft in OpenOffice drie kwetsbaarheden gepatcht waardoor een aanvaller willekeurige code op systemen had kunnen uitvoeren. De beveiligingslekken bevonden zich in de Draw- en Writer-applicaties van OpenOffice en werden onder andere veroorzaakt door de manier waarop OpenOffice met stylesheets en fonts omgaat. Door de gebruiker een speciaal geprepareerd doc- of ppt-bestand te laten openen werd er een 'out of bound write' kwetsbaarheid veroorzaakt die het voor de aanvaller mogelijk maakte om willekeurige code met de rechten van de ingelogde gebruiker uit te voeren, aldus Cisco dat de drie beveiligingslekken ontdekte. De Apache Software Foundation werd in maart en april over de kwetsbaarheden ingelicht en kwam vorige week met OpenOffice 4.1.4 waarin de problemen zijn verholpen. Hoewel kwetsbaarheden in Microsoft Office de aandacht krijgen zijn ook alternatieven een doelwit van aanvallers. Cisco wijst op aanvallen tegen Zuid-Koreaanse gebruikers die via kwetsbaarheden in de Hangul Word Processor met malware werden besmet. "Dit laat zien hoe belangrijk het is om alle applicaties up-to-date te houden en niet alleen het besturingssysteem. Als je een OpenOffice-gebruiker bent adviseren we je om de noodzakelijke updates zo snel als mogelijk te installeren", aldus het advies van Cisco. bron: security.nl

Onderzoekers zijn erin geslaagd om de audio-captcha van Google met gemiddeld 85 procent nauwkeurigheid te kraken, waardoor bots automatisch accounts op websites kunnen aanmaken en spamberichten plaatsen. Om robots van mensen te onderscheiden moeten er bij captcha's vaak puzzels en vertekende teksten worden opgelost. De captcha van Google biedt gebruikers ook de mogelijkheid om een audio-captcha op te lossen. De audio-captcha bestaat uit meerdere cijfers die in verschillende snelheden, accenten en toonhoogtes met achtergrondgeluid worden voorgelezen. Onderzoekers van de Universiteit van Maryland bedachten een aanval die zich op de audio-captcha van Google richt. Om de audio-captcha te kraken ontwikkelden de onderzoekers "unCaptcha", software die het audio-bestand van de captcha downloadt en vervolgens de gedeeltes met spraak opdeelt. Het opgedeelde audiofragment van elk cijfer wordt vervolgens naar zes gratis online audiotranscriptiediensten gestuurd, waaronder die van Google. Aan de hand van de verschillende resultaten wordt bepaald welk cijfer er in het audiofragment werd voorgelezen. De resultaten worden hierna 'organisch' door de software in het captcha-venster ingevoerd. Gemiddeld weet de software de captcha's met 85 procent nauwkeurigheid op te lossen. Nadat de onderzoekers hun onderzoek (pdf) publiceerden heeft Google verschillende maatregelen genomen die de effectiviteit van unCaptcha beperken. bron: security.nl

Lenovo heeft verschillende computermodellen van zogeheten FIDO-authenticators voorzien die gebruikers via een scan van de vingerafdruk of het aanklikken van een prompt op het beeldscherm op hun accounts laten inloggen. De Fast IDentity Online (FIDO)-Alliantie heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. Lenovo is één van de FIDO-leden, naast onder andere Google, Microsoft, MasterCard en PayPal. De betrokken partijen ontwikkelen producten en diensten die van het FIDO-protocol gebruik maken. Hierdoor zouden apparaten die FIDO ondersteunen automatisch worden herkend en krijgen gebruikers de mogelijkheid om wachtwoorden door een andere authenticatiemethode te vervangen. Lenovo claimt nu dat het de eerste pc-fabrikant is die door FIDO gecertificeerde authenticators direct in Windows-computers heeft geïntegreerd. In plaats van een wachtwoord om in te loggen kunnen gebruikers uit een alternatief kiezen. Zo kan er via het Universal Authentication Framework (UAF) met een scan van de vingerafdruk worden ingelogd. Daarnaast ondersteunt het systeem ook Universal 2nd Factor (U2F). In het geval een gebruiker tweefactorauthenticatie voor zijn account heeft ingeschakeld is het niet meer nodig om een aparte securitysleutel of sms-code in te voeren. De tweefactorauthenticatie is direct in de computer ingebouwd. Gebruikers krijgen in het geval van tweefactorauthenticatie via U2F op het scherm een prompt te zien die ze moeten bevestigen, waarna ze op hun account zijn ingelogd. Deze inlogmethode wordt onder andere door Google, Facebook en Dropbox ondersteund. Voor het ondersteunen van UAF en U2F maakt Lenovo gebruik van Intel Online Connect en de Intel Software Guard Extensions (Intel SGX) op de nieuwste Intel-processoren. De functionaliteit zal met verschillende computermodellen worden geleverd en voor al geleverde modellen beschikbaar worden gemaakt. Intel Online Connect is te downloaden via de website van Lenovo en zal via Lenovo System Update en Lenovo App Explorer beschikbaar worden aangeboden. bron: security.nl

Het Tor Project is vandaag een crowdfundingcampagne gestart om geld in te zamelen en Mozilla zal donaties tot een bedrag van totaal 500.000 dollar verdubbelen. Dagelijks maken 2 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Volgens het Tor Project was het aantal online aanvallen op censuur en privacy dit jaar ongekend. "Landen wereldwijd probeerden toegang tot het web te beperken, dissidenten de mond te snoeren en persoonlijke privacy aan te tasten", aldus Tommy Collison van het Tor Project. Ook voor volgend jaar verwacht het Tor Project dat veel overheden en bedrijven censuur de norm willen maken en privacy tot het verleden willen laten behoren. Een groot deel van de inkomsten van het Tor Project is afkomstig van de Amerikaanse overheid en de organisatie wil dat afbouwen door meer van individuele donaties afhankelijk te zijn. Aangezien er geen beperkingen aan crowdfunding zitten kan het geld dat hiermee wordt binnengehaald aan projecten worden besteed die volgens het Tor Project het belangrijkst zijn en kan er snel op veranderende omstandigheden worden gereageerd. Verder prijst het Tor Project de samenwerking met Mozilla. Niet alleen zal Mozilla donaties tot een bedrag van in totaal 500.000 dollar verdubbelen, beide partijen werken ook bij de ontwikkeling van software nauw samen. Zo vindt er regelmatig overleg plaats tussen de engineers van Mozilla en het Tor Project. Zo worden privacyverbeteringen van Tor Browser aan Firefox toegevoegd en hebben Mozilla-engineers de Tor-ontwikkelaars geleerd om in de Rust-programmeertaal te programmeren. Daarnaast helpt Mozilla het Tor-netwerk door verschillende Tor-servers te draaien. bron: security.nl

Een zeroday-lek in de WordPressplug-in Ultimate Form Builder Lite is actief gebruikt om websites aan te vallen en over te nemen voordat er een update beschikbaar was. Ultimate Form Builder Lite is een WordPressplug-in voor het maken van contactformulieren en draait op meer dan 50.000 websites. De kwetsbaarheid werd door onderzoekers van securitybedrijf Wordfence ontdekt. Wordfence waarschuwde begin deze maand al voor zeroday-lekken in drie plug-ins genaamd Appointments, Flickr Gallery en RegistrationMagic-Custom Registration Forms die actief werden aangevallen. Deze drie plug-ins werden in totaal door 21.000 websites gebruikt. Tijdens het onderzoek naar de aanvallen ontdekten de onderzoekers dat aanvallers het ook op WordPress-sites met Ultimate Form Builder Lite hadden voorzien. De aanvallers maakten gebruik van SQL injection in combinatie met een php-kwetsbaarheid. Door het versturen van één request konden aanvallers kwetsbare websites volledig overnemen. De ontwikkelaar van de WordPress-extensie werd op 13 oktober ingelicht en rolde afgelopen zondag 22 oktober een update uit waarin het probleem is verholpen. bron: security.nl

Met de lancering van de Windows 10 Fall Creators Update heeft Microsoft nieuwe beveiligingsmaatregelen aan het besturingssysteem toegevoegd die onder andere tegen de DDE-aanval beschermen die de laatste dagen in het nieuws is. De nieuwe beveiligingsmaatregelen worden door Microsoft 'Windows Defender Exploit Guard' genoemd. Het gaat om een verzameling van features die gebruikers tegen verschillende dreigingen moeten beschermen. Zo is er de feature genaamd 'Controlled folder access', die directories tegen ransomware beschermt. Alleen geautoriseerde applicaties krijgen in dit geval toegang tot bestanden in opgegeven mappen. Ongeautoriseerde uitvoerbare bestanden, dll-bestanden en scripts krijgen geen toegang, ook niet als ze met beheerdersrechten draaien. In het geval ransomware de bestanden in de opgegeven mappen benadert geeft Windows 10 een waarschuwing. Attack Surface Reduction Een andere feature is Attack Surface Reduction (ASR). Dit is een verzameling controls waarmee organisaties kunnen voorkomen dat een aanvaller via e-mail, scripts of Microsoft Office systemen kan infecteren. In het geval van Microsoft Office kan ASR voorkomen dat apps uitvoerbare content creëren of zichzelf in een proces injecteren. Ook wordt macro-code geblokkeerd. Een andere aanval die ASR blokkeert is die via de DDE-feature van Microsoft Office, zo heeft Microsoft bekendgemaakt. De Dynamic Data Exchange (DDE) feature van Microsoft Office maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. Hiervoor wordt er code aan het ene document toegevoegd die naar de data in het andere document wijst. In plaats van een document kan er ook naar het uitvoeren van kwaadaardige code worden gelinkt. Aanvallers maken nu gebruik van deze feature om internetgebruikers via Word-documenten met ransomware en andere malware te infecteren. Windows Defender Exploit Guard kan deze aanval detecteren en stoppen. Verder stopt de feature JavaScript-, VBScript- en PowerShell-code, alsmede uitvoerbare content die via e-mail of webmail binnenkomt. Exploitbescherming Windows Defender Exploit Guard biedt ook bescherming tegen exploits. Het vervangt hiermee de bekende Enhanced Mitigation Experience Toolkit (EMET) van Microsoft. Net als EMET voorziet Exploit Guard het systeem van een aanvullende beveiliging die bescherming tegen bekende en onbekende exploits moet bieden. De Fall Creators Update zal op Windows 10-computers EMET verwijderen als deze tool geïnstalleerd is. EMET-gebruikers kunnen wel hun instellingen binnen Exploit Guard importeren. De Fall Creators Update wordt de komende maanden onder Windows 10-machines uitgerold en kan ook handmatig worden geïnstalleerd. bron: security.nl

De Windows 10 Fall Creators Update die vorige week werd gelanceerd zal gefaseerd onder computers, smartphones en Internet of Things-apparaten worden uitgerold, zo heeft Microsoft bekendgemaakt. Als eerste zal de update naar nieuwere apparaten worden gestuurd die door Microsoft en partners zijn getest. Door zich op nieuwere machines te richten hoopt de softwaregigant feedback te ontvangen of de update voor problemen zorgt. Eerder dit jaar bij de Creators Update werd de uitrol vanwege een probleem tijdelijk stopgezet voor computers met bluetooth-apparaten. Afhankelijk van de feedback die bij Microsoft van gebruikers, bedrijven en fabrikanten binnenkomt zal de uitrol worden versneld. Dit zou de beste update-ervaring moeten bieden, zegt Microsofts John Cable. Cable noemt de Fall Creators Update de veiligste versie van Windows 10, die over allerlei nieuwe beveiligingsmaatregelen beschikt. "Gegeven deze ingebouwde beveiliging en het belang om apparaten te beschermen, is het up-to-date zijn belangrijker dan ooit te voren", aldus Cable. Hij stelt dat de meeste Windows 10-computers binnen 6 maanden na het verschijnen van een feature-update, zoals de Anniversary Update of Fall Creators Update, naar deze versie zijn gemigreerd. Semi-Annual Channel Voor zakelijke klanten is Microsoft nu begonnen met het Semi-Annual Channel. Organisaties en bedrijven konden voorheen uit verschillende updatemodellen kiezen, waaronder de Current Branch en Current Branch for Business. Bij de Current branch for Business werden alleen feature-updates geïnstalleerd nadat die uitgebreid in de consumentenmarkt zijn getest en gevalideerd. Microsoft heeft nu besloten om de Current Branch en Current Branch for Business door het Semi-Annual Channel te vervangen. Twee keer per jaar komen er grote feature-updates uit, namelijk in maart en september. Deze zogeheten 'feature releases' worden 18 maanden vanaf de lancering ondersteund. Cable adviseert systeembeheerders om, net als Microsoft, de Fall Creators Update gefaseerd binnen de organisatie uit te rollen om te controleren dat software en hardware met de nieuwe Windows 10-versie blijft werken. Kleinere downloads Verder stelt Cable dat Microsoft de downloadgrootte van feature-updates heeft aangepast. Voor Windows 10-gebruikers met de Creators Update zal de update naar de Fall Creators Update door het gebruik van differentiële downloads zo'n 25 procent kleiner zijn. bron: security.nl

Cybercriminelen maken op dit moment gebruik van de DDE-feature in Microsoft Word om computers met de Locky-ransomware te infecteren, zo waarschuwt het Internet Storm Center. De Dynamic Data Exchange (DDE) feature van Word maakt het mogelijk om data van het ene document in een tweede document te injecteren. In plaats van een document kan er ook naar kwaadaardige code worden gelinkt. De gebruiker moet echter nog steeds toestemming geven voor het uitvoeren van de code. Daarnaast werkt de aanval alleen als de gebruiker de Protected View-beveiliging van Word uitschakelt. Deze beveiligingsmaatregel staat standaard ingeschakeld, maar kan via één muisklik worden uitgeschakeld. Vorige week kwam de DDE-feature al in het nieuws omdat aanvallers er gebruik van maakten. De afgelopen dagen zijn er echter verschillende nieuwe spamruns waargenomen waarbij Word-documenten werden verstuurd die ontvangers via de DDE-feature met malware probeerden te infecteren. In het geval van de Locky-ransomware gaat het om e-mails die zich als een factuur voordoen. De e-mails hebben een Word-document als bijlage. Zodra gebruikers het document openen krijgen ze de vraag of ze velden in het document die naar andere bestanden verwijzen willen bijwerken. Vervolgens wordt de gebruiker gevraagd of cmd.exe mag worden uitgevoerd. Als de gebruiker hiermee akkoord gaat wordt de Locky-ransomware uitgevoerd, die bestanden op het systeem versleutelt. Voor het ontsleutelen moeten slachtoffers 1200 euro betalen. Volgens verschillende experts maken aanvallers gebruik van de DDE-feature om filters en beleidsinstellingen te omzeilen die op macro's en embedded objecten controleren. bron: security.nl

Afgelopen maandag 16 oktober kwam Adobe met een noodpatch voor een actief aangevallen zeroday-lek in Flash Player en nog geen twee dagen later is er een nieuwe aanval waargenomen die van de kwetsbaarheid misbruik maakt. Dat laat securitybedrijf Proofpoint in een analyse weten. De aanvallers versturen een e-mail met als bijlage een Microsoft Word-document genaamd "World War 3.docx". Aan het Word-document is een embedded ActiveX-object toegevoegd dat de Flash Player-exploit bevat. Deze exploit maakt misbruik van de kwetsbaarheid in Flash Player. Alleen het openen van het document met een ongepatchte versie van Flash Player op een Windows-computer is voldoende om besmet te raken. Onderzoekers hebben het document getest en stellen dat de aanval succesvol is op Windows 7 en Windows 10 met een kwetsbare versie van Flash Player en Microsoft Office 2013. MacOS-gebruikers zijn geen doelwit van de aanval en ook gebruikers met een 64-bit versie van Microsoft Office 2016 in combinatie met de Windows 10 Fall Creators Update zijn tegen de exploit beschermd. Volgens Proofpoint blijkt uit verschillende zaken dat de aanvallers deze aanvalscampagne waarschijnlijk snel in elkaar hebben gezet, om zo gebruikers en organisaties aan te kunnen vallen die de beschikbare update nog niet hebben geïnstalleerd. In het geval de aanval succesvol is wordt er malware geinstalleerd waarmee aanvallers het systeem verder kunnen verkennen. De aanval wordt door Proofpoint toegeschreven aan een groep aanvallers genaamd APT28, die ook bekendstaat als Fancy Bear, Pawn Storm, Sofacy en Strontium. Volgens verschillende beveiligingsbedrijven gaat het om een groep hackers die vanuit Rusland opereert en mogelijk steun van de Russische overheid krijgt. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden. Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de presidentscampagne van Hillary Clinton, de Franse televisiezender TV5, het Wereld Anti-Doping Agentschap (WADA), de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta, het campagneteam van de Franse president Macron, Europese diplomaten en wifi-netwerken in Europese hotels door de groep aangevallen. bron: security.nl

Securitybedrijf Check Point heeft gewaarschuwd voor een nieuw groot botnet dat uit Internet of Things-apparaten bestaat en naar schatting een miljoen organisaties zou hebben geïnfecteerd. Het botnet bestaat uit besmette ip-camera's, routers en NAS-systemen van GoAhead, D-Link, AVTech, Netgear en Linksys. De apparaten worden onder andere gehackt via een ernstig beveiligingslek dat in maart van dit jaar werd geopenbaard en in honderdduizenden ip-camera's aanwezig zou zijn. Zodra een IoT-apparaat is besmet wordt het gebruikt om andere IoT-apparaten aan te vallen en onderdeel van het botnet te maken. "We schatten dat meer dan een miljoen organisaties wereldwijd zijn getroffen en het aantal is alleen maar aan het toenemen", aldus Check Point. De aanvallers zouden vooral bezig zijn met het creëren van hun IoT-botnet en hebben de besmette apparaten nog niet ingezet voor bijvoorbeeld het uitvoeren van ddos-aanvallen, zoals bij het Mirai-botnet het geval was. Eén van de kwetsbaarheden die de aanvallers gebruiken werd in maart openbaar gemaakt voordat fabrikanten werden ingelicht. In veel gevallen is er dan ook geen update beschikbaar. De verantwoordelijke onderzoeker besloot dit te doen omdat het beveiligingslek in meer dan 1250 verschillende modellen van een groot aantal fabrikanten aanwezig is. Volgens de onderzoeker zou het lastig zijn om alle fabrikanten van te voren te waarschuwen. In de advisory van de kwetsbaarheid geeft de onderzoeker het advies aan gebruikers om de kwetsbare apparaten los te koppelen van het internet. bron: security.nl

Er is een nieuwe versie van Tor Browser verschenen die in het geval van de Linux-versie over een ingeschakelde content-sandbox beschikt. De content-sandbox moet gebruikers extra tegen aanvallen beschermen. In juni kondigde het Tor Project al aan dat Tor Browser 7 over een content-sandbox beschikte, maar dat bleek achteraf niet het geval te zijn. Tor Browser bestaat uit een aangepaste Firefox-versie en software om met het Tor-netwerk verbinding te maken. De Firefox-versie van Tor Browser is gebaseerd op Firefox ESR (Extended Support Release). De Firefox ESR-versie die de basis voor Tor Browser 7 vormde bleek niet over een content-sandbox te beschikken, waardoor deze beveiligingsmaatregel ook niet in Tor Browser aanwezig was. Met de lancering van Tor Browser 7.0.7 heeft het Tor Project de content-sandbox van Firefox 54 aan de Firefox ESR-versie toegevoegd waar Tor Browser gebruik van maakt. Het gaat hierbij alleen om de Linux-versie van Tor Browser die over de content-sandbox beschikt. Het Tor Project waarschuwt dat de sandbox nog niet erg sterk is, met name gezien de dreigingen waar Tor Browser mee te maken heeft. De sandbox maakt het nog steeds mogelijk voor een aanvaller om willekeurige socket- en connect-calls te lezen. "Er is dus waarschijnlijk een manier voor een vastberaden aanvaller om uit de sandbox te ontsnappen en het maakt het zeker mogelijk om persoonlijk identificeerbare informatie zoals een MAC-adres te achterhalen", aldus één van de Tor Browser-ontwikkelaars. Verder zal Tor Browser 7.0.7 vanaf volgende week ook een donatie-banner laten zien die gebruikers vraagt om geld aan het Tor Project te doneren. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. De nieuwste versie van de browser is te downloaden via de updatefunctie van de Tor Browser of Torproject.org. bron: security.nl

Windows Defender dat standaard met Windows 10 wordt meegeleverd is een veelgebruikte virusscanner, maar de anti-virussoftware heeft in vergelijking met andere beveiligingssoftware een grote impact op systemen, zo claimt het Oostenrijkse testlab AV-Comparatives aan de hand van een eigen test (pdf). Voor de test werd de systeembelasting gemeten van 21 virusscanners en internet security suites voor eindgebruikers. De test werd uitgevoerd op een Lenovo G50-computer met een Intel Core i3-4005U processor, 4GB geheugen en een traditionele harde schijf. Als besturingssysteem werd Windows 10 64-bit gebruikt. Volgens AV-Comparatives zijn dergelijke prestatietests belangrijk omdat een trage computer na de installatie van een virusscanner de grootste ergernis van gebruikers is als het om beveiligingssoftware gaat. Reden voor sommige gebruikers om de virusscanner al dan niet tijdelijk uit te schakelen, wat weer risico's met zich meebrengt. AV-Comparatives vergelijkt daarom niet alleen hoe goed anti-viruspakketten malware kunnen vinden en verwijderen, maar ook wat de impact op het systeem is. De test bestond uit twee onderdelen. Tijdens het eerste onderdeel werd de impact van de beveiligingssoftware getest tijdens het kopiëren van bestanden, archiveren en uitpakken van bestanden, installeren en verwijderen van programma's, downloaden van bestanden, het starten van applicaties en het laden van websites. Hierbij kon een maximale score van 90 punten worden gehaald. Als laatste werd ook nog het benchmarkprogramma PC Mark 8 gedraaid. Als basis werd een computer zonder virusscanner genomen die 100 punten bij PC Mark 8 scoort. Bij het eerste onderdeel zetten Bitdefender, Bullguard, ESET, F-Secure en Vipre de hoogste score neer. Van de 90 haalbare punten behaalden deze pakketten 88 punten. Microsoft Windows Defender en Adaware eindigen met respectievelijk 63 en 55 punten onderaan. Windows Defender blijkt het systeem vooral zwaar te belasten bij het kopiëren van bestanden. De test met PC Mark 8 wordt gewonnen door Secrite (99,5), gevolgd door ESET (99,2) en F-Secure (99,0). Hekkensluiters zijn Windows Defender (94,66), Tencent (93,0) en Adaware (92,8). Aan de hand van de twee tests berekende AV-Comparatives een uiteindelijke impactscore. ESET eindigt met een impactscore van 2,8 bovenaan, gevolgd door F-Secure met 3,0 punten. De systeembelasting is het grootst bij Microsoft Windows Defender (30,4) en Adaware (39,1). Bij dezelfde test in mei eindigde Microsoft onderaan en was Adaware een-na-laatste. Ook die test werd door ESET gewonnen. Computerkennis Hoewel gebruikers vaak de virusscanner de schuld van een trage computer geven is dat niet altijd het geval, aldus AV-Comparatives. Oude hardware is vaak ook een reden. Gebruikers krijgen dan ook het advies om meer geheugen te installeren, alle software up-to-date te houden, 20 procent vrije ruimte op de harde schijf te houden, ongebruikte software te verwijderen en programma's uit de Start-up map in Windows te verwijderen. Ook wordt het advies gegeven om regelmatig de harde schijf te defragmenteren. Hiervoor is het wel nodig om 15 procent vrije ruimte te hebben. Het defragmenteren is niet nodig bij een ssd-schijf. Als de computer vol staat met ongebruikte bestanden en registervermeldingen van allerlei geïnstalleerde en verwijdere software is het verstandig om een volledige herinstallatie te doen. Verder krijgen gebruikers het advies om regelmatig een volledige systeemscan uit te voeren. Door een technologie genaamd fingerprinting worden al gescande bestanden enige tijd niet meer door de virusscanner gescand, wat de snelheid kan verbeteren. Als laatste kan ook een beetje geduld geen kwaad merkt het testlab op. "Een vertraging van een paar seconden vanwege beveiligingssoftware is niet per definitie een groot probleem." bron: security.nl

Het komt geregeld voor dat onderzoekers van Google Project Zero kwetsbaarheden in de producten van onder andere Microsoft vinden, maar onderzoekers van Microsoft hebben op hun beurt een kwetsbaarheid in Google Chrome gevonden. Om gebruikers te beschermen richt Google Chrome zich op het hebben van een sterke sandbox, wat de impact van kwetsbaarheden beperkt. Een aanvaller moet naast een kwetsbaarheid in Chrome ook uit de sandbox zien te breken. Microsoft wilde kijken hoe Chrome presteert in het geval van een enkele kwetsbaarheid waardoor een aanvaller op afstand code kan uitvoeren en of het hebben van een sterke sandbox voldoende is om een browser veilig te maken. Het onderzoek van Microsoft volgt op onderzoek van Google-engineer Justin Schuh begin dit jaar. Schuh besloot de veiligheid van Edge en Chrome met elkaar te vergelijken. De engineer kwam tot de conclusie dat Microsoft veel investeert in het voorkomen dat aanvallers aan de 'voorkant' willekeurige code kunnen uitvoeren. Google richt zich juist meer op het isoleren tijdens het surfen, om zo de impact van een aanval te beperken. Ook Microsoft komt tot een dergelijke conclusie. Doordat Chrome relatief weinig bescherming biedt tegen zogeheten remote code execution (RCE)-kwetsbaarheden is er weinig werk vereist om aan de hand van een geheugenbug een exploit te ontwikkelen. Doordat de Chrome-sandbox verschillende veiligheidscontroles uitvoert kan een RCE-exploit onder andere de Same Origin Policy (SOP) omzeilen, waardoor een aanvaller toegang tot de online diensten van de gebruiker krijgt, zoals e-mail, documenten en banksessies, alsmede opgeslagen inloggegevens. Microsoft stelt dat het vanwege dit soort kwetsbaarheden de producten op alle fronten beveiligt. "Met Microsoft Edge verbeteren we zowel de technologie om te isoleren en maken remote code execution lastiger", aldus Jordan Rabet van het Microsoft Offensive Security Research team. Rabet merkt ook op dat Google werkt aan een isoleringsfeature die Chrome beter bestand tegen bepaalde RCE-aanvallen moet maken. Google werd op 14 september door Microsoft over de kwetsbaarheid ingelicht en had vier dagen later een update klaarstaan. Wel waarschuwt Microsoft dat de manier waarop Google Chrome patches verwerkt een risico voor gebruikers is. De broncode van de update werd namelijk beschikbaar gemaakt via GitHub, terwijl de update nog niet onder gebruikers was uitgerold. Microsoft ontving voor de kwetsbaarheid 7500 dollar. Voor een aantal andere bugs ontving de softwaregigant ook nog eens ruim 7500 dollar. Het geld wordt door Microsoft aan een goed doel gedoneerd. "Onze strategieën verschillen misschien, maar we geloven in samenwerken met de hele security-industrie om klanten te beschermen", besluit Rabet. bron: security.nl

De Nederlandse beveiligingsonderzoeker Niels van Dijkhuizen heeft vandaag tijdens een securityconferentie in Luxemburg een nieuwe USB HID-aanval gepresenteerd waarmee het mogelijk is om vergrendelde systemen aan te vallen en bestaande beveiligingsmaatregelen te omzeilen. In het verleden zijn er meerdere aanvallen gedemonstreerd waarbij een aanvaller een usb-apparaatje aansluit om allerlei informatie te stelen. Bekende voorbeelden zijn de Rubber Ducky of het aangepaste Teensy-board dat Google-onderzoeker Elie Bursztein vorig jaar demonstreerde. Deze usb-apparaten maken gebruik van HID (Human Interface Device) spoofing. De computer denkt in dit geval dat het aangesloten usb-apparaat een toetsenbord is. Dit nep-toetsenbord kan bijvoorbeeld allerlei commando's uitvoeren waarmee de computer van het slachtoffer wordt gehackt of toetsaanslagen opslaan. Volgens Van Dijkhuizen zijn veel van dergelijke apparaten of de manier waarop ze werken te opzichtig en vallen zodoende op. Gebruikers zullen in dit geval doorhebben dat er iets mis is. Aanvallen met dergelijke apparatuur werken hierdoor alleen als de computer ontgrendeld is, aldus de onderzoeker tijdens de Hack.lu-conferentie. Vanwege het risico van USB HID-aanvallen werden verschillende oplossingen ontwikkeld, zoals de USBProxy, USG en Beamgun. De Nederlandse onderzoeker wilde een HID-aanval ontwikkelen die tegen een vergrendelde computer werkt en in staat is om bekende beveiligingsmaatregelen te omzeilen Het usb-apparaat moest daarnaast goedkoop, klein en onopgemerkt zijn. Tevens moest het apparaat over-the-air (ota) kunnen communiceren. Op deze manier is remote sniffing en beheer mogelijk. De oplossing die Van Dijkhuizen ontwikkelde kreeg de naam Keynterceptor, wat de onderzoeker als een 'proof of concept keyboard implant' omschrijft. Voor zijn ontwerp maakte Van Dijkhuizen onder andere gebruik van een Teensy 2.0 Arduino-board, een soort van micro-computer, en een 433MHz draadloze UART-module. In totaal kostte het usb-apparaatje bij elkaar 30 euro. Om beveiligingsmaatregelen te omzeilen besloot de onderzoeker de usb-omschrijving van toetsenborden te klonen. De Keynterceptor kan zich op deze manier als een vertrouwd toetsenbord voordoen. Ook paste hij nog verschillende andere trucs toe, zoals Keynterceptor met menselijke snelheid laten typen. Eenmaal aangesloten is het mogelijk om op afstand het toetsenbord te bedienen, automatisch in te loggen met gestolen inloggegevens, maar ook de invoer van de gebruiker te blokkeren via een radiofrequentie kill-switch. Tevens ontwikkelde de onderzoeker een uitbreiding die op een power adapter lijkt en over een 4G-dongle en een 433MHz-ontvanger beschikt. Het communiceren op deze frequentie valt minder op dan het gebruik van wifi. Een mogelijke oplossing tegen deze aanval is een extra verificatiestap bij het inloggen/ontgrendelen. Het gaat dan bijvoorbeeld om een captcha of twee/multifactor-authenticatie. "Als ethisch hacker wil ik graag aandacht voor de hoge mate van vertrouwen in onze usb-apparatuur", zo laat Van Dijkhuizen tegenover Security.NL weten. Ook onderzoekers Karsten Nohl en Jakob Lell waarschuwen hiervoor naar aanleiding van hun BadUSB-aanval in 2014. Van Dijkhuizen hoopt dan ook dat de industrie met een oplossing komt, omdat usb-apparaten op dit moment niet te vertrouwen zijn, zo liet hij afsluitend weten. bron: security.nl

Oracle heeft tijdens de vaste patchronde van oktober 252 nieuwe beveiligingslekken in een groot aantal producten gepatcht waardoor het totaal voor 2017 op 1129 uitkomt. De meeste kwetsbaarheden, 40 in totaal, werden in Oracle Fusion Middleware gepatcht. Ook in Hospitality Applications (37), E-Business Suite (26) en Oracle MySQL (25) werden meerdere ernstige kwetsbaarheden verholpen waardoor een aanvaller systemen op afstand had kunnen overnemen. In het geval van Java, dat ook een product van Oracle is, gaat het in totaal om 22 beveiligingslekken. Twintig van deze kwetsbaarheden zijn op afstand en zonder authenticatie aan te vallen. Op een schaal van 1 tot en met 10 zijn twee van de kwetsbaarheden met een 9,6 beoordeeld. Java staat nog altijd op miljoenen computers geinstalleerd, zowel bij eindgebruikers als bedrijven. De beveiligingslekken bevinden zich in Java 6u161, 7u151, 8u144 en 9, alsmede Java SE Embedded 8u144. De nieuwste Java-versie is te downloaden via Java.com. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gehackt omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. De volgende patchronde van Oracle staat gepland voor 16 januari 2018. In tegenstelling tot bijvoorbeeld Microsoft en Adobe, die elke maand met updates komen, brengt Oracle elk kwartaal updates uit. De updates verschijnen in januari, april, juli en oktober. bron: security.nl