Captain Kirk

Het Centrum voor Cybersecurity (CCB) van de Belgische overheid heeft alle internetgebruikers opgeroepen om phishingmails door te sturen en vervolgens te verwijderen, zo laat persbureau Belga weten. De doorgestuurde e-mails zullen automatisch door het CCB worden onderzocht. In het geval de phishingmails verdachte links bevatten worden die met browserontwikkelaars gedeeld, zodat die hun gebruikers kunnen beschermen. Zijn er ook bijlagen met de phishingmail meegestuurd, dan worden die met anti-virusbedrijven gedeeld. Phishingmails kunnen naar het adres verdacht@safeonweb.be worden doorgestuurd. Een maand lang vindt er in België een campagne plaats die gebruikers voor phishing waarschuwt. In juni van dit jaar meldde Febelfin, de overkoepelende organisatie van Belgische banken, dat er een sterke stijging van het aantal slachtoffers van fraude met internetbankieren is. In de eerste drie maanden ging het om 852 slachtoffers, meer dan alle slachtoffers van 2015 en 2016 bij elkaar opgeteld. Volgens Febelfin werden alle slachtoffers via phishingaanvallen gemaakt. Het gaat dan om aanvallen waarbij ontvangers wordt gevraagd hun bankkaart op te sturen of hun pincode op een phishingsite in te voeren. Ook komt het voor dat oplichters mensen thuis bellen en zich als een bankmedewerker voordoen. bron: security.nl

Het Internet Bug Bounty (IBB), een initiatief dat zich inzet voor het veiliger maken van de kerninfrastructuur van het internet, heeft een geldbeloning uitgeloofd voor onderzoekers die ernstige kwetsbaarheden in ImageMagick, TCPdump en andere belangrijke dataverwerkingsbibliotheken rapporteren. Kwetsbaarheden in deze softwarebibliotheken kunnen vergaande gevolgen hebben voor de internetgemeenschap. Zo werd vorig jaar nog een kwetsbaarheid in ImageMagick gebruikt om websites mee aan te vallen. ImageMagick is een softwarebibliotheek voor het verwerken van afbeeldingen en wordt door een groot aantal websites en progamma's gebruikt. Naast ImageMagick en TCPdump vallen curl, libpcap, libpng en GraphicsMagick onder het nu aangekondigde beloningsprogramma. Onderzoekers die deelnemen moeten naast het vinden van de kwetsbaarheid ook een exploit ontwikkelen waarmee wordt aangetoond dat het eenvoudig is om de kwetsbaarheid op afstand aan te vallen. Er is geen maximum gesteld aan de geldbeloning die wordt uitgekeerd. Het Internet Bug Bounty wordt gesponsord door Facebook, GitHub, Ford Foundation, Microsoft en HackerOne. bron: security.nl

Netgear heeft in september 52 beveiligingsbulletins uitgebracht voor kwetsbaarheden in routers, modems, switches en NAS-apparaten. Eén van de belangrijkste updates is voor de WNR2000v5-router verschenen. De update verhelpt een lek waardoor een aanvaller op afstand code kon uitvoeren. Een ander ernstig probleem dat vorige maand werd gepatcht betrof command injection in ReadyNAS Surveillance-apparaten, R7800- en R9000-routers, verschillende draadloze access points, ReadyNAS OS 6-apparaten en een groot aantal routers en modemrouters. Hierdoor had een aanvaller kwaadaardige commando's op de apparaten kunnen uitvoeren. Een beveiligingslek in de R6700v2-, R6800- en D7000-routers maakte het voor een aanvaller mogelijk om het wachtwoord van de beheerder te achterhalen. In het geval van de R6400v2-, R7000P/R6900P-, R7900-, R8300-, R8500- en D8500-routers zorgde een kwetsbaarheid ervoor dat een aanvaller willekeurige bestanden op de router hadden kunnen uitlezen. Een ander ernstig probleem bij 17 routermodellen maakte het mogelijk om de authenticatie te omzeilen. De andere problemen zijn minder ernstig van aard en betreffen kwetsbaarheden zoals denial of service, misconfiguraties en cross-site scripting. Eigenaren van Netgear-apparaten kunnen via de security-pagina het overzicht van uitgekomen beveiligingsbulletins bekijken en op hun model zoeken. bron: security.nl

Een beveiligingslek in Internet Explorer 11 zorgt ervoor dat websites de inhoud van de adresbalk, zoals zoekopdrachten die de gebruiker invoert, kunnen achterhalen. Het probleem doet zich voor als er een script binnen een object-html-tag wordt uitgevoerd en de pagina de compatibility meta-tag bevat. Dit zorgt ervoor dat de inhoud van wat de gebruiker in de adresbalk invoert wordt teruggegeven. "In andere woorden, als we de location.href van het object achterhalen terwijl de gebruiker de hoofdpagina verlaat, weten we wat hij in de adresbalk heeft getypt, of, als hij op een link klikte, weten we het adres van de link waar de browser naar toe gaat", aldus onderzoeker Manuel Caballero die het probleem ontdekte. Caballero heeft Microsoft niet over de kwetsbaarheid ingelicht. Via deze pagina wordt het beveiligingslek gedemonstreerd.

Anti-virusbedrijf Bitdefender heeft vandaag een gratis tool gelanceerd die helpt bij het identificeren van ransomware op computers en de beschikbaarheid van een decryptietool. De Ransomware Recognition Tool analyseert zowel een versleuteld bestand als de ransomware-melding met de instructies voor het slachtoffer. Vervolgens kijkt de tool of er een decryptietool beschikbaar is om de versleutelde bestanden kosteloos te ontsleutelen. De inhoud van de ransomware-melding wordt naar Bitdefender gestuurd. Dat geldt niet voor de inhoud van het versleutelde bestand. De tool kijkt alleen naar de bestandsnaam en extensie. In het geval er geen decryptietool beschikbaar is laat het programma dit ook weten. Verschillende websites bieden een soortgelijke dienst. Zo is er het No More Ransom-project dat de Nederlandse politie, Europol en anti-virusbedrijven Kaspersky Lab en McAfee vorig jaar juli lanceerden en de website ID Ransomware waar slachtoffers kunnen kijken door welke ransomware ze zijn getroffen. bron: security.nl

Netwerkfabrikant D-Link heeft meerdere beveiligingslekken in de 850L-router gepatcht waardoor een aanvaller in het ergste geval kwetsbare apparaten kon overnemen. De kwetsbaarheden waren door onderzoeker Pierre Kim openbaar gemaakt, zonder dat D-Link hierover was geïnformeerd. De onderzoeker was niet tevreden met de reactie van D-Link op eerder onderzoek dat hij publiceerde, waarop hij tot 'full-disclosure' overging. Nog geen twee weken na het openbaar maken van de kwetsbaarheden in de 850L-router heeft D-Link de beveiligingslekken nu gepatcht. "Ik ben blij verrast met de resultaten van het openbaren van zero-days zonder gecoördineerde disclosure als het om D-Link-producten gaat", aldus Kim. Hij hoopt echter dat D-Link in de toekomst net zo snel op gecoördineerde bugmeldingen zal reageren. Daarnaast waarschuwt de onderzoeker dat hij over een ernstig beveiligingslek in de 850L-router beschikt dat hij nog niet openbaar heeft gemaakt.

Opera heeft op de eigen website een nieuwe downloadsectie met 'essentiele software' gelanceerd. Aanleiding voor het maken van de downloadsectie is dat mensen steeds meer moeite hebben om betrouwbare software voor hun computers te vinden, zegt Blazej Kazmierczak van Opera. Veel downloadsites bevatten misleidende downloadknoppen voor ongewenste programma's en tonen vervelende advertenties die adware of malware proberen te verspreiden, aldus Kazmierczak. Gebaseerd op de voorkeuren van Opera-medewerkers, de populariteit en kwaliteit van software, is er een verzameling met 'essentiele software' samengesteld. De 'Opera Apps Hub' bevat geen advertenties of andere downloads en de software wordt direct bij de softwareontwikkelaar in kwestie gedownload. "De Opera Apps Hub biedt je een selectie van essentiële applicaties voor je pc. Zodoende kun je eenvoudig kwaliteitssoftware direct bij de ontwikkelaar downloaden", zegt Kazmierczak. De applicaties zijn in verschillende categorieën onderverdeeld, zoals tools, security, office, add-ons, graphics, internet, communicatie, multimedia, drivers en file sharing. Opera heeft besloten om het aantal applicaties per categorie te beperken, zodat gebruikers direct aan de slag kunnen. bron: security.nl

Een nieuwe ransomware-variant vraagt geen bitcoin om slachtoffers toegang tot hun computer te geven, maar eist naaktfoto's. Onderzoekers van MalwareHunterTeam plaatsten op Twitter een screenshot van de ransomware die zichzelf 'nRansom' noemt. Volgens de tekst die de ransomware laat zien is de computer vergrendeld en kan die alleen via een speciale code worden ontgrendeld. Om deze code te verkrijgen moet er eerst een e-mailaccount bij ProtonMail worden aangemaakt. Vervolgens moeten naar een ander ProtonMail-adres tien naaktfoto's worden gestuurd. "Hierna moeten we verifiëren dat de naaktfoto's ook echt van jou zijn", laten de instructies verder weten. Tevens speelt de ransomware in de achtergrond een mp3-bestand. Hoe de ransomware wordt verspreid is onbekend. 32 van de 64 virusscanners op VirusTotal weten de malware inmiddels te detecteren. Het lijkt hier niet om ransomware te gaan die bestanden versleutelt, maar alleen de computer vergrendelt, ook wel een screenlocker genaamd. bron: security.nl

Google heeft een opensource-beveiligingstool ontwikkeld waarmee het 31 beveiligingslekken in Chrome, Edge, Firefox, Internet Explorer en Safari heeft gevonden. De tool, Domato genaamd, richt zich op het Document Object Model (DOM) van de browser. Het DOM is een programmeerinterface voor html- en xml-documenten. Het definieert de logische structuur van documenten en de manier waarop een document wordt benaderd en gemanipuleerd. De DOM-engines in browsers zijn volgens Ivan Fratric van Google een voorname bron van beveiligingslekken. Veel van deze kwetsbaarheden zijn eenvoudig te vinden via een fuzzer, aldus Fratric. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. Fratric ontwikkelde Domato om de DOM-engines van Chrome, Edge, Firefox, Internet Explorer en Safari te testen. Dit leverde in totaal 31 unieke kwetsbaarheden op, waarvan 17 in Safari. Via de kwetsbaarheden zou een aanvaller in het ergste geval willekeurige code op het systeem kunnen uitvoeren, bijvoorbeeld als er een kwaadaardige of gehackte website zou worden bezocht. Volgens Fratric is het aantal kwetsbaarheden in Safari, in vergelijking met de andere browsers, zorgwekkend. Zeker gezien de interesse van aanvallers in het platform, zoals blijkt uit de beloningen voor zeroday-exploits en recente gerichte aanvallen op iOS. De kwetsbaarheden die via Domato zijn gevonden zijn inmiddels allemaal gepatcht. Daarnaast heeft Google de fuzzer via GitHub open source gemaakt, zodat browserontwikkelaars en onderzoekers ermee aan de slag kunnen gaan. bron: security.nl

Een zeroday-lek in .NET dat Microsoft vorige week patchte en eerst werd gebruikt om de FinFisher-spyware te verspreiden wordt nu voor de verspreiding van andere malware gebruikt. Daarvoor waarschuwt Brad Duncan, handler bij het Internet Storm Center. Het gaat om een beveiligingslek in .NET dat met de code CVE-2017-8759 wordt aangeduid. De kwetsbaarheid werd al voor het uitkomen van een update aangevallen. Precies een week na het uitkomen van de update is er een aanval waargenomen waarbij het beveiligingslek opnieuw wordt aangevallen. Het gaat om een .doc-bestand dat als e-mailbijlage wordt verstuurd en van de Argentijnse overheid afkomstig lijkt. In het geval het document op een kwetsbare Windowscomputer wordt geopend zal de Betabot-malware worden geïnstalleerd, waarmee een aanvaller volledige controle over de computer krijgt. Hoewel de update nu iets meer dan een week beschikbaar is zijn volgens Duncan veel organisaties traag met het uitrollen van updates. Organisaties moeten er dan ook rekening mee houden dat het hier om een actief aangevallen beveiligingslek gaat, aldus Duncan. Hij verwacht dat de exploit uiteindelijk op grote schaal via kwaadaardige spamberichten zal worden verspreid. bron: security.nl

De ontwikkelaar van Adblock Plus heeft een filter ontwikkeld om crypto-miners te blokkeren die de browser naar cryptocurrencies laten minen. De crypto-miner bestaat uit JavaScript-code die door de browser wordt uitgevoerd en de rekenkracht van de computer inzet voor het minen van bijvoorbeeld de digitale valuta Monero. The Pirate Bay kondigde onlangs aan dat het een experiment met crypto-miners is gestart om advertenties te vervangen. "Misschien vind je dat prima, maar waarschijnlijk niet", zegt Ben Williams van eyeo, de ontwikkelaar van Adblock Plus. Op het blog van de adblocker is nu een uitleg geplaatst hoe gebruikers crypto-miners via een filter kunnen blokkeren. Dit filter moet handmatig worden aangemaakt, aangezien het nog niet aanwezig is in één van de lijsten waar Adblock Plus-gebruikers zich op kunnen abonneren. Onlangs verscheen er ook al een Chrome-extensie om crypto-miners te blokkeren, terwijl Google een extensie van de Chrome Web Store verwijderde waarin een crypto-miner zat verborgen. Naast The Pirate Bay zijn er op andere websites kwaadaardige advertenties met crypto-miners gesignaleerd die alle beschikbare rekenkracht in beslag nemen. bron: security.nl

Honderden bedrijven zijn kwetsbaar voor een hack waarbij een aanvaller door het aanmaken van een support-ticket toegang tot allerlei gevoelige systemen kan krijgen. Dat ontdekte de Belgische beveiligingsonderzoeker Inti De Ceukelaire. Via een paar muisklikken is het mogelijk om toegang tot intranetten, socialmedia-accounts en Yammer- en Slack-teams te krijgen, aldus de onderzoeker die zijn aanval "Ticket Trick" noemt. Populaire zakelijke communicatietools zoals Slack, Yammer en Facebook Workplace verplichten dat werknemers zich registreren via hun zakelijke e-mailadres. De werknemer ontvangt na de registratie op zijn zakelijke e-mailadres een e-mail met een verificatielink. Zodra de link wordt geopend kan hij toegang tot de communicatietool en interne communicatie krijgen. Er zijn echter verschillende methoden om deze authenticatie te omzeilen. Als voorbeeld noemt De Ceukelaire het Slack-team van GitLab, waar alleen medewerkers met een @gitlab.com e-mailadres zich voor kunnen registreren. Iets waar de onderzoeker geen beschikking over heeft. GitLab biedt gebruikers via de supportpagina echter de mogelijkheid om problemen te rapporteren en daarvoor een apart @gitlab.com e-mailadres aan te maken. Met dit e-mailadres kon de onderzoeker zich vervolgens voor het Slack-team van GitLab registreren. Een andere mogelijkheid zijn de support-portals die bedrijven gebruiken. Gebruikers kunnen hier support-tickets voor problemen aanmaken. Het e-mailadres dat de gebruiker opgeeft om zich voor de support-portal te registreren wordt in veel gevallen niet geverifieerd. Een gebruiker hoeft alleen een e-mailadres op te geven en een wachtwoord en het account wordt aangemaakt. Zodoende kan iemand zich aanmelden met elk willekeurig e-mailadres en elk support-ticket dat door het e-mailadres is aangemaakt lezen. De Ceukelaire gebruikte deze methode om toegang tot het Slack-team van videosite Vimeo te krijgen. Hiervoor maakte hij op de support-pagina van Vimeo een account aan met het hetzelfde e-mailadres dat Slack gebruikt om de verificatielink te sturen, namelijk feedback@slack.com. Vervolgens registreerde hij zich bij het Slack-team van Vimeo met het adres support@vimeo.com. Achter de schermen stuurt feedback@slack.com naar support@vimeo.com een e-mail met de verificatielink. Support@vimeo.com ontvangt de e-mail en beschouwt dit als een support-ticket dat door feedback@slack.com is aangemaakt, het e-mailadres waarmee De Ceukelaire zich bij de support-pagina heeft aangemeld. Door op de support-pagina in te loggen kan hij vervolgens het 'ticket' zien en zo toegang tot de verificatielink krijgen. Volgens de onderzoeker lopen bedrijven risico waar het mogelijk is om via e-mail support-tickets aan te maken en als support-tickets toegankelijk zijn voor gebruikers met niet geverifieerde e-mailadressen. Het probleem doet zich ook voor bij openbare 'issue-trackers' die een uniek @company.com e-mailadres bieden om informatie in een ticket, forumpost, privébericht of gebruikersaccount te zetten. De Ceukelaire stelt dat honderden bedrijven kwetsbaar zijn. Hij heeft besloten de details van de aanval te openbaren, aangezien het onmogelijk is om alle organisaties zelf te informeren. bron: security.nl

Acht populaire WordPress-plug-ins met honderdduizenden installaties zijn over een periode van 4,5 jaar gebruikt voor het injecteren van spam op allerlei websites. De plug-ins werden door de ontwikkelaars aan de spammer verkocht of ze gingen met hem een partnerschap aan. Zo kreeg de spammer toegang tot de plug-ins en kon hij zijn code toevoegen of leverde hij die aan. De code injecteerde spam op WordPress-websites die de plug-ins hadden geïnstalleerd. Zo werd er onder andere reclame voor escortbureaus en leningen gemaakt. Bij sommige plug-ins moesten webmasters eerst met vage overeenkomsten akkoord gaan dat hun website voor spam zou worden gebruikt. Bij andere plug-ins gebeurde dit zonder toestemming van de webmaster. Securitybedrijf Wordfence ontdekte dat de spammer al sinds 2013 op deze manier actief is. Eén van de getroffen plug-ins is Display Widgets, die onlangs al in het nieuws kwam. Daarnaast gaat het om 404 to 301, WP Slimstat, WP Maintenance Mode, Menu Image, NewStatPress, Weptile Image en No Comment. De laatste twee zijn inmiddels uit de database met WordPress-plug-ins verwijderd. De overige plug-ins bevatten inmiddels geen spamcode meer. Volgens Wordfence is het belangrijk dat eigenaren van een WordPress-site de gebruikersovereenkomst van de plug-in die ze willen installeren helemaal lezen, en dan met name het einde. In het geval van de spammer had die de vermelding voor het plaatsen van spam op websites helemaal aan het einde van de overeenkomst geplaatst. Daarnaast kunnen webmasters bijhouden of plug-ins die ze voor hun WordPress-website hebben geïnstalleerd uit de WordPress-repository zijn verwijderd. bron: security.nl

Er is een nieuwe versie van het populaire contentmanagementsysteem Joomla verschenen waarin twee beveiligingslekken zijn verholpen. Via één van de kwetsbaarheden kon een aanvaller de wachtwoorden van super users, zoals de beheerder, achterhalen en zo de website overnemen. De kwetsbaarheid bevond zich in de inlogpagina en maakte het mogelijk voor een aanvaller om alle inloggegevens van de LDAP-server die voor de Joomla-installatie wordt gebruikt te achterhalen. Het gaat dan onder andere om de gebruikersnaam en het wachtwoord van de beheerder. Een aanvaller kan met de achterhaalde informatie op het beheerderspaneel inloggen en de Joomla-installatie overnemen. Door het uploaden van custom Joomla-extensies voor het uitvoeren van willekeurige code op afstand zou ook de webserver kunnen worden overgenomen. De tweede kwetsbaarheid is minder ernstig en kon een aanvaller toegang tot de introtekst van gearchiveerde artikelen geven. De beveiligingslekken zijn gepatcht in Joomla 3.8. Het cms wordt volgens cijfers van W3Techs door 3,3 procent van alle websites gebruikt. Vanwege de kwetsbaarheid krijgen beheerders het advies om de update zo snel als mogelijk te installeren. bron: security.nl

De backdoor die in de populaire tool CCleaner werd verborgen is toch gebruikt om systemen met aanvullende malware te infecteren, zo laat Cisco in een nieuwe analyse weten. Aanvallers wisten in juli Piriform te hacken, de ontwikkelaar van CCleaner, en konden zo de backdoor toevoegen. Een maand lang werd deze besmette versie via de officiele downloadservers aangeboden voordat de backdoor werd ontdekt. De backdoor stuurt informatie over het systeem, zoals ip-adres, mac-adressen, computernaam, of het proces met adminrechten draait en geïnstalleerde software, naar een remote server en is in staat om code uit te voeren die door de server wordt teruggestuurd. Na de ontdekking stelden Piriform en Avast, het anti-virusbedrijf dat CCleaner in juli overnam, dat de server van de aanvallers geen code naar de backdoor had gestuurd. Er zou dan ook geen aanvullende malware op systemen zijn geïnstalleerd en slachtoffers hoefden volgens beide bedrijven hun systeem niet opnieuw te installeren, zoals sommige securitybedrijven en experts adviseerden. Op de server waar de backdoor mee communiceerde zijn echter bestanden gevonden waaruit blijkt dat dit niet het geval is. De server heeft naar zeker twintig slachtoffers aanvullende malware gestuurd. Het gaat om een andere backdoor die toegang tot het systeem geeft. De aanvallers hadden het vooral voorzien op techbedrijven, zoals HTC, Samsung, Sony, VMWare, Intel, Microsoft, Linksys, MSI, Epson, D-Link, Akamai, Google en Cisco zelf, zo blijkt uit een lijst met domeinen waar de aanvallers naar zochten. Volgens Cisco suggereert dit dat de aanvallers het op intellectueel eigendom hadden voorzien. Welke bedrijven of organisaties door de aanvullende malware zijn getroffen laat Cisco niet weten. Wel wijst het bedrijf naar een opmerking van anti-virusbedrijf Kaspersky Lab dat de gebruikte backdoorcode overlap heeft met een groep aanvallers die Group 72, Aurora of Axiom wordt genoemd. De aanvallers hebben het vooral op organisaties in de VS, Japan, Taiwan en Zuid-Korea voorzien. Cisco herhaalt dan ook het advies dat alle getroffen gebruikers van CCleaner hun systeem opnieuw moeten installeren of naar een staat van voor 15 augustus moeten herstellen. bron: security.nl

Wachtwoorden, encryptiesleutels en andere gevoelige bedrijfsgegevens van mediagigant Viacom waren door een datalek voor iedereen op internet toegankelijk, zo laat securitybedrijf UpGuard weten. Onderzoeker Chris Vickery van UpGuard ontdekte op 30 augustus een Amazon Web Services S3-bucket die voor iedereen toegankelijk was. Dit is de cloudopslagdienst van Amazon waar organisaties allerlei gegevens op kunnen slaan. In het geval van deze specifieke S3-bucket lijkt het om back-ups te gaan van Viacoms it-infrastructuur. Er werden 72 tgz-bestanden aangetroffen. In deze bestanden vond Vickery wachtwoorden en manifesten van Viacom-servers, alsmede gegevens om de it-infrastructuur van de multinational te beheren. Ook werd de toegangssleutel en geheime sleutel voor het zakelijke AWS-account van Viacom aangetroffen. Daarmee had een aanvaller servers, opslag en databases onder het AWS-account kunnen compromitteren. Sommige van de scripts die werden gevonden suggereren dat Viacom voor reguliere back-ups gebruikmaakt van GPG-encryptie. In de bestanden werden echter ook GPG-decryptiesleutels ontdekt. Tevens werden allerlei configuratiebestanden en scripts aangetroffen waar een aanvaller misbruik van had kunnen maken. Viacom werd op 31 augustus ingelicht en wist het probleem binnen aantal uur te verhelpen. Hoe het lek mogelijk was laat UpGuard niet weten, maar de afgelopen maanden werden bij meer organisaties onbeveiligde S3-buckets aangetroffen. In die gevallen waren de standaardinstellingen van de S3-bucket aangepast zodat de informatie voor iedereen op internet toegankelijk was. Alleen het kennen van de url was voldoende. bron: security.nl

Onderzoekers van de Israëlische Ben-Gurion Universiteit hebben een nieuwe manier ontwikkeld om met besmette systemen te communiceren die niet op internet zijn aangesloten, namelijk het gebruik van beveiligingscamera's met infrarood. De onderzoekers ontwikkelden een malware-prototype genaamd aIR-Jumper (pdf) die via een infraroodcamera zowel data kan versturen als nieuwe opdrachten kan krijgen. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten, ook wel een air-gap genaamd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes en routerlampjes om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. AIR-Jumper introduceert een nieuw communicatiekanaal, namelijk beveiligingscamera's met infrarood. Een aanvaller moet eerst een computer binnen organisatie zien te infecteren. Vervolgens moeten beveiligingscamera's in de organisatie worden overgenomen. Hierna kan de malware wachtwoorden, encryptiesleutels en andere gevoelige data moduleren, encoderen en via de infraroodled's versturen. Een aanvaller die zicht op de beveiligingscamera's heeft kan deze signalen opvangen en decoderen. Een andere mogelijkheid is om de malware via de beveiligingscamera's te bedienen. De aanvaller stuurt in dit geval opdrachten via infraroodsignalen naar de camera's. De signalen in de videostream die de camera's hebben opgenomen worden door de malware op het netwerk onderschept en gedecodeerd. Het exfiltreren en infiltreren kan worden gecombineerd om een 'air-gapped' communicatiekanaal tussen het gehackte netwerk en de aanvaller op te zetten, zo laten de onderzoekers weten. bron: security.nl

Er is een belangrijke beveiligingsupdate voor WordPress-websites uitgekomen die beheerders en webmasters zo snel als mogelijk moeten installeren, aldus het advies van het WordPress-ontwikkelteam. WordPress 4.8.2 verhelpt meerdere kwetsbaarheden, waaronder cross-site scripting, path traversal en een open redirect. Daarnaast is er bescherming tegen SQL injection toegevoegd. Via SQL injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen. Een bepaalde WordPress-functie zou SQL injection bij plug-ins en themes kunnen veroorzaken. WordPress "core" was zelf niet kwetsbaar, maar om mogelijke beveiligingsproblemen met plug-ins en themes te voorkomen is er nu extra beveiliging aan WordPress toegevoegd. Alleen deze maatregel is reden genoeg om meteen naar WordPress 4.8.2 te updaten, zo stelt securitybedrijf Wordfence. Beheerders van WordPress-websites kunnen de update handmatig of via de automatische updatefunctie installeren. bron: security.nl

Google Chrome is veiliger dan Microsoft Edge en Internet Explorer, zo stellen onderzoekers van het Duitse securitybedrijf X-41 in een door Google gesponsord onderzoek van bijna 200 pagina's (pdf). Voor het onderzoek werd er onder andere gekeken naar het aanvalsoppervlak van de browsers, ontwerpkeuzes, beveiligingsmaatregelen, ondersteunde protocollen en de sandbox-beveiliging. Het securitybedrijf zegt dat het de sponsoring van Google alleen heeft geaccepteerd op de voorwaarde dat Google zich niet mocht bemoeien met de testmethodologie of inhoud van het onderzoeksrapport. De onderzoekers stellen verder dat ze door transparantie over de testmethodologie en het beslissingsproces hebben geprobeerd om een onbewuste voorkeur voor de sponsor tegen te gaan. Volgens het onderzoeksrapport is Chrome het beste bestand tegen aanvallen door het strenger beveiligen van onderdelen, het scheiden van taken, veiligere standaardinstellingen en het gebruik van fuzzing en geautomatiseerde tests om kwetsbaarheden te vinden. Ook scoort Googles browser beter als het om websecurity gaat, zoals Content Security en Same Origin Policies. Edge is daarentegen veiliger dan Internet Explorer, dat over een zwakkere sandbox beschikt. Een ander voordeel voor Edge is dat het geen gevaarlijke legacy-technologieën ondersteunt zoals IE wel doet. Hoewel de onderzoekers Chrome als veiligste browser bestempelen, stellen ze dat de browser ook meer html5-features ondersteunt, die voor nieuwe aanvallen kunnen worden gebruikt. Het gaat dan bijvoorbeeld om WebUSB, WebBluetooth en Service Works, die het aanvalsoppervlak kunnen vergroten. Internet Explorer ondersteunt de minste nieuwe webtechnologieën, gevolgd door Edge. Verder stellen de onderzoekers dat de Safe Browsing-technologie van Google in Chrome nauwkeuriger is als het gaat om bescherming tegen phishing dan de SmartScreen-technologie van Microsoft die in Edge en IE wordt gebruikt. Ook als het om de "security-bruikbaarheid" gaat, zoals het weergeven van http en https en andere waarschuwingen in de adresbalk, komt Chrome als beste uit de bus. Een ander voordeel van de browser is dat Chrome-gebruikers updates sneller ontvangen, aangezien Google geen vaste patchcyclus zoals Microsoft hanteert. bron: security.nl

Cloudprovider DigitalOcean heeft zowel de eigen klanten als die van andere providers gewaarschuwd voor een beveiligingslek dat zich bij het installeren van virtual machines kan voordoen. Veel cloudproviders bieden klanten images met vooraf geïnstalleerde software, zodat het eenvoudiger wordt om nieuwe virtual machines te installeren. DigitalOcean noemt deze images 1-Clicks. De 1-Clicks van DigitalOcean bestaan uit MySQL en andere packages. De MySQL-installatie van de 1-Click-image bevat een MySQL-gebruiker genaamd 'debian-sys-maint'. Deze gebruiker is bedoeld voor lokaal beheer. Voor alle installaties die met de gemeenschappelijke 1-Click-images worden uitgevoerd heeft de gebruiker debian-sys-maint hetzelfde wachtwoord. Een aanvaller zou hier op afstand misbruik van kunnen maken, aldus een e-mail van DigitalOcean naar klanten. Het gaat om de volgende 1-Click-images: MySQL en PHPMyAdmin, LAMP, LEMP, WordPress en OwnCloud. DigitalOcean waarschuwt dat ook de images van andere cloudproviders deze 'misconfiguratie' hebben. De provider besloot klanten eerst via e-mail te waarschuwen voordat het een publieke waarschuwing afgeeft. Voor getroffen gebruikers is er op GitHub een script beschikbaar gemaakt om het probleem te verhelpen. bron: security.nl

Browser-extensies die advertenties blokkeren zijn algemeen bekend, maar een ontwikkelaar heeft nu ook een extensie ontwikkeld die code blokkeert die Google Chrome naar cryptocurrencies laat minen. Aanleiding is het nieuws dat The Pirate Bay een experiment is gestart om een JavaScript-miner in de browsers van bezoekers te laten draaien. Op deze manier wil de populaire torrentsite advertenties vervangen. De JavaScript-miner van de The Pirate Bay neemt 20 tot 30 procent van de rekenkracht van de computer in beslag om de digitale valuta Monero te minen. Er zijn echter ook kwaadaardige advertenties gesignaleerd die alle beschikbare rekenkracht in beslag nemen. The Pirate Bay liet weten dat gebruikers de JavaScript-miner via een adblocker kunnen blokkeren, maar een ontwikkelaar genaamd Ismail Belkacim heeft een Chrome-extensie ontwikkeld die zich specifiek op web-gebaseerde miners richt. De extensie heet MinerBlock en is via de Chrome Web Store te downloaden. De broncode is via GitHub te bekijken. bron: security.nl

Het Tor Project heeft een update voor de Tor-software uitgebracht wegens een beveiligingslek in onion services waardoor gevoelige informatie in logbestanden kon worden opgeslagen. De meeste mensen bezoeken via het Tor-netwerk 'normale' websites. Tor kan echter ook worden gebruikt om websites en diensten te benaderen die alleen binnen het Tor-netwerk toegankelijk zijn. Dit worden onion services genoemd en stonden eerder bekend als hidden services. Een kwetsbaarheid in de code van onion services kan ervoor zorgen dat gevoelige informatie in de logbestanden van de website wordt opgeslagen. Het probleem deed zich alleen voor als de optie SafeLogging, die standaard staat ingeschakeld, door de beheerder was uitgeschakeld. Vanwege de kwetsbaarheid zijn er nu updates voor de Tor-software uitgekomen met versienummer 0.2.8.15, 0.2.9.12 en 0.3.0.11. Alleen beheerders van een onion service moeten actie ondernemen. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. bron: security.nl

Ontwikkelomgeving CCleaner mogelijk al sinds 3 juli gehackt De ontwikkelomgeving van de het populaire programma CCleaner was mogelijk al sinds 3 juli gehackt, zo laat Avast weten, het anti-virusbedrijf dat de tool en ontwikkelaar Piriform op 18 juli overnam. Gisteren maakte Piriform bekend dat aanvallers een backdoor aan CCleaner hadden toegevoegd. Het ging om CCleaner versie 5.33.6162 en CCleaner Cloud versie 1.07.3191 voor 32-bit Windows die van 15 augustus tot 12 september via de officiële downloadservers werden aangeboden en over een geldig certificaat beschikten. De backdoor stuurt informatie over het systeem, zoals ip-adres, mac-adressen, computernaam, of het proces met adminrechten draait en geïnstalleerde software, naar een remote server en is in staat om code uit te voeren die door de server wordt teruggestuurd. De besmette versies van CCleaner werden in de vier weken dat ze werden aangeboden door 2,27 miljoen gebruikers gedownload. Inmiddels zijn er nog 730.000 gebruikers met een besmette versie van CCleaner. Volgens Avast moeten deze gebruikers naar de nieuwste versie upgraden, maar lopen ze geen risico aangezien de server waarmee de backdoor communiceerde uit de lucht is gehaald. Cisco adviseerde getroffen gebruikers om hun systeem opnieuw te installeren of te herstellen naar een staat van voor 15 augustus, maar dat is niet nodig, aldus Avast. De backdoor-server werd namelijk uitgeschakeld voordat die kwaadaardige code naar besmette systemen kon terugsturen. Inmiddels is de ontwikkelomgeving van Piriform naar de infrastructuur van Avast gemigreerd en zullen alle Piriform-medewerkers naar het interne it-systeem van Avast worden verhuisd. Hoe de aanvallers toegang tot de ontwikkelomgeving van CCleaner wisten te krijgen is nog niet bekendgemaakt. CCleaner is een zeer populaire tool die cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden kan verwijderen. Het is in totaal meer dan 2 miljard keer gedownload en heeft wereldwijd 130 miljoen gebruikers. bron: security.nl

Een optie voor Apache-servers kan er in bepaalde gevallen voor zorgen dat er servergeheugen lekt, zo waarschuwt onderzoeker Hanno Böck. Het gaat om de OPTIONS-methode van http. Het http-protocol ondersteunt verschillende methodes, waarbij GET en POST erg bekend zijn. Via de OPTIONS-methode is het mogelijk om een server te vragen welke http-methodes die allemaal ondersteunt. De server kan vervolgens met de "Allow" header antwoorden en een overzicht van ondersteunde methodes teruggeven. In bepaalde gevallen geeft de server meer dan alleen een overzicht van http-methodes terug, maar ook de inhoud van het servergeheugen. Het kan dan om gevoelige informatie gaan, aldus Böck. Het probleem doet zich voor als de beheerder van de server een "Limit directive", waarmee beperkingen voor http-methodes kunnen worden opgegeven, in een .htaccess-bestand voor een ongeldige http-methode instelt. Dit veroorzaakt een gecorrumpeerde Allow-header die een willekeurig deel van het servergeheugen kan bevatten. Böck voerde een scan van de 1 miljoen populairste websites uit en ontdekte het probleem bij 466 hosts. De onderzoeker stelt dat er een aanvullend risico bij shared hosting-omgevingen is, omdat de corruptie niet tot een enkele virtuele host is beperkt. Een kwaadwillende gebruiker in een shared hosting-omgeving zou opzettelijk een .htaccess-bestand kunnen aanmaken dat een gecorrumpeerde header teruggeeft, in de hoop dat die informatie van andere hosts op hetzelfde systeem bevat. Er is inmiddels een patch voor Apache uitgekomen. "Als je een Apache-webserver in een shared hosting-omgeving draait die toestaat om gebruikers .htaccess-bestanden aan te maken, dan moet je alles laten vallen en meteen updaten en de server daarna herstaten", laat Böck weten.

Aanvallers maken gebruik van een feature in Microsoft Word om informatie over computers te achterhalen, zo laat anti-virusbedrijf Kaspersky Lab in een blogpost weten. Het gaat om de IncludePicture-feature waarmee het mogelijk is om via een link een afbeelding aan een document toe te voegen. Zodra het document wordt geopend zal Word de gelinkte afbeelding laden en in het document weergeven. Kaspersky meldt dat aanvallers documenten als e-mailbijlage versturen die van deze feature misbruik maken. In plaats van een afbeelding bevatten de documenten links naar verschillende php-scripts. Als de ontvanger het document opent wordt de naam en versie van het besturingssysteem, de browser, .Net Framework en Microsoft Office naar de opgenomen links gestuurd. Volgens het anti-virusbedrijf zijn vorig jaar verschillende klanten het doelwit van deze aanval geworden. In april van dit jaar gaven onderzoekers van Kaspersky Lab tijdens de Security Analyst Summit al een presentatie over de aanval. Eén van de documenten die de aanvallers gebruikten heeft als onderwerp "Google and Google Scholar Tips". Een slachtoffer dat dit document had geopend ontving een aantal dagen later opnieuw een document via e-mail, dit keer met een exploit voor zijn specifieke versie van Microsoft Word. Wie er achter de aanval zit en wie het doelwit zijn laat Kaspersky Lab niet weten. Volgens het anti-virusbedrijf werkt de IncludePicture-feature ook in in Microsoft Office voor Android en iOS. LibreOffice en OpenOffice bevatten de feature niet en zullen de kwaadaardige links in het document dus niet openen. In tegenstelling tot de aanvallen via Microsoft Office-documenten die tot op heden plaatsvinden, waarbij er gebruik wordt gemaakt van macro's, embedded Flash-objecten of andere actieve content, vereist deze aanval geen extra interactie van de gebruiker. Alleen het openen van het document is voldoende om de systeeminformatie te versturen. bron: security.nl