Captain Kirk

Een nieuwe exploitkit die onlangs nog op een forum voor cybercriminelen werd aangeboden wordt nu actief gebruikt om internetgebruikers via besmette advertenties met malware te infecteren. Het gaat om de Disdain-exploitkit die eerder deze week al werd besproken, zo meldt anti-virusbedrijf Trend Micro. Exploitkits maken gebruik van beveiligingslekken in browsers en browserplug-ins om internetgebruikers ongemerkt met malware te infecteren. De meeste exploitkits richten zich alleen op Internet Explorer en Adobe Flash Player, maar de Disdain-exploitkit werkt volgens de ontwikkelaar ook tegen Firefox en de Cisco WebEx-extensie, wat opmerkelijk is. In totaal zou de exploitkit 17 verschillende kwetsbaarheden kunnen uitbuiten, waar in alle gevallen al enige tijd beveiligingsupdates voor beschikbaar zijn. Bij de nu waargenomen aanvallen had de Disdain-exploitkit het echter op 5 kwetsbaarheden voorzien die zich allemaal in Internet Explorer bevinden. De twee meest recente IE-lekken werden in maart van dit jaar door Microsoft gepatcht. In het geval de aanval succesvol is wordt er malware geïnstalleerd die de computer cryptocurrency laat delven. Om zich te beschermen krijgen gebruikers het advies om hun software up-to-date te houden. Eén van de beveiligingslekken die de Disdain-exploitkit aanvalt dateert van mei 2013. Op welke websites de besmette advertenties zijn verschenen laat Trend Micro niet weten, we hebben dan ook navraag gedaan en zullen het artikel bijwerken als we meer informatie hebben. bron: security.nl

De WannaCry-ransomware die in mei wereldwijd systemen infecteerde is nog altijd actief, zo ontdekte de Zuid-Koreaanse elektronicagigant LG deze week. Computers in de Zuid-Koreaanse zelfservicecentra van het bedrijf raakten door de ransomware besmet. Na ontdekking van de ransomware werd besloten het servicenetwerk uit te schakelen. Inmiddels heeft LG beveiligingsupdates geïnstalleerd en draaien alle computers weer normaal, zo meldt The Korea Herald. Volgens het Korea Internet & Security Agency is de gevonden malware identiek aan die van WannaCry. Er wordt nu onderzocht hoe de apparaten besmet konden raken. Onlangs maakte de Indian Express nog melding dat een uitgeverij in Delhi door WannaCry was getroffen. bron: security.nl

Verschillende updates die Microsoft deze maand voor Windows 7 en 10 heeft uitgebracht zorgen bij gebruikers voor problemen. Het gaat om updates KB4034664 en KB4034679 voor Windows 7 in combinatie met systemen die over twee of meerdere beeldschermen beschikken. De updates zorgen voor weergaveproblemen in verschillende programma's zoals PDF viewer, Excel, Office 2013, Java en Irfanview. Bepaalde graphics of onderdelen van de applicaties worden na installatie van de updates niet weergegeven. Ook komt het voor dat in de actieve applicatie delen van de desktop of andere applicaties zichtbaar zijn. De grafische problemen doen zich alleen op de tweede monitor voor, zo laten gebruikers weten. Het verwijderen van de updates is één van de manieren om het probleem te verhelpen. Update KB4034679 is echter een security-update. Er worden dan ook andere oplossingen aangeraden. In het geval van Windows 10 gaat het om update KB4034658 voor Windows 10 versie 1607 (Anniversary Update) en Windows Server 2016. De update kan ervoor zorgen dat het overzicht van eerder geïnstalleerde updates niets laat zien, verborgen updates opnieuw worden aangeboden en WSUS-servers extra worden belast. Gebruikers laten weten dat Windows 10-computers die met WSUS zijn verbonden na de installatie van de betreffende update geen nieuwe updates meer vinden. Microsoft zegt de problemen te onderzoeken. De problemen doen zich niet voor bij Windows 10-computers die de Creators Update (versie 1703) hebben geïnstalleerd. bron: security.nl

In de serverbeheersoftware van softwarebedrijf NetSarang, die onder andere door banken, energiebedrijven en telecombedrijven wordt gebruikt, is een backdoor aangetroffen waarmee aanvallers toegang tot netwerken en vertrouwelijke gegevens kunnen krijgen, zo laat het bedrijf zelf weten. De backdoor werd door anti-virusbedrijf Kaspersky Lab ontdekt. Aanvallers hebben de backdoor aan verschillende serverbeheerprogramma's van NetSarang toegevoegd die van 18 juli tot en met 4 augustus via de officiële website en als update werden aangeboden. Het gaat om Xmanager Enterprise 5.0 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218 en Xlpd 5.0 Build 1220. De backdoor staat niet standaard ingeschakeld, maar kan op afstand worden geactiveerd. Eenmaal geactiveerd kunnen aanvallers via de backdoor bestanden uploaden, processen starten en informatie opslaan. Voor zover bekend is de backdoor bij één niet nader genoemd bedrijf in Hong Kong geactiveerd. Hoe de backdoor aan de software kon worden toegevoegd is nog niet bekend. De backdoorcode was met een geldig certificaat van NetSarang gesigneerd en aan alle beschikbare softwarepakketten toegevoegd. Dat kan erop duiden dat de aanvallers de broncode hebben aangepast of de software op de buildservers hebben gepatcht, aldus de onderzoekers. De gebackdoorde versies van de softwarepakketten zijn op 4 augustus van de officiële server verwijderd. Daarnaast heeft NetSarang op 5 augustus een update uitgebracht die de backdoor verwijdert. Bedrijven krijgen het advies de gebackdoorde versies niet te gebruiken totdat ze de software hebben geüpdatet. Anti-virussoftware zou de backdoor inmiddels ook moeten herkennen. In juni van dit jaar werden tal van bedrijven nog getroffen door de Petya-ransomware, die op systemen werd geïnstalleerd via een backdoor die aan de boekhoudsoftware M.E.Doc was toegevoegd. bron: security.nl

Onderzoekers hebben een ransomware-exemplaar gevonden dat bestanden van WordPress-websites voor losgeld kan versleutelen. Om de ransomware te kunnen uitvoeren moet een aanvaller de WordPress-site wel eerst zien te compromitteren, bijvoorbeeld door een zwak wachtwoord te bruteforcen of van een beveiligingslek in WordPress of een geïnstalleerde extensie gebruik te maken. De ransomware versleutelt geen png-, php-, en htaccess-bestanden. Van andere bestanden die wel worden versleuteld wordt het origineel verwijderd. Daarna laat de website een melding zien dat er 700 euro voor het ontsleutelen moet worden betaald. Securitybedrijf Wordfence waarschuwt echter om niet te betalen. Het decryptiemechanisme blijkt namelijk niet te werken. Vorige maand werd een eerste aanval met de ransomware waargenomen. Er zijn echter nog geen meldingen bekend van succesvolle aanvallen. bron: security.nl

Aanvallers hebben de afgelopen weken acht extensies voor Google Chrome gehackt en voorzien van adware. Bij elkaar hebben de extensies 4,6 miljoen installaties. Het was al bekend dat de extensies Copyfish en Web Developer waren gehackt, maar nu blijkt er ook kwaadaardige code aan Chrometana, Infinity New Tab, Web Paint, Social Fixer, TouchVPN en Betternet VPN te zijn toegevoegd. Dat meldt securitybedrijf Proofpoint. Aanvallers verstuurden phishingmails naar de ontwikkelaars dat hun extensie uit de Chrome Web Store verwijderd zou worden omdat die niet meer aan het beleid zou voldoen. De link in de e-mail wees naar een phishingpagina. Extensie-ontwikkelaars die op de pagina inlogden verstuurden zo hun inloggegevens van het ontwikkelaarsaccount naar de aanvallers. Die konden zo toegang tot de extensie krijgen en die van kwaadaardige code voorzien. Aangezien Chrome-extensies automatisch worden bijgewerkt, kregen alle gebruikers de adware toegestuurd. De adware injecteerde advertenties en pop-ups, die gebruikers lieten geloven dat hun computer moest worden gerepareerd. Vanwege de phishingaanvallen besloot Google ontwikkelaars te waarschuwen. bron: security.nl

De manier waarop het flashgeheugen van ssd-schijven in elkaar zit maakt het mogelijk voor een aanvaller met schrijftoegang om rootrechten op het systeem te krijgen. Dat hebben onderzoekers van IBM tijdens de WOOT '17-conferentie aangetoond. De onderzoekers spreken van een "Rowhammer-achtige aanval". Rowhammer is een kwetsbaarheid in het DRAM-geheugen waardoor een aanvaller de data in het geheugen kan manipuleren zonder dit te benaderen. Door herhaaldelijk een specifieke geheugenlocatie te lezen kan er ergens anders in het geheugen een bit "flippen". Een één kan een nul worden of een nul een één. Door het flippen van deze bits is het uiteindelijk mogelijk om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het mogelijk is om kernelrechten te krijgen. De Rowhammer-aanval werd al in 2015 gedemonstreerd. De onderzoekers wilden echter kijken of een soortgelijke aanval ook tegen ssd-schijven met MLC NAND ?ashgeheugen werkt. "DRAM-geheugen is namelijk niet de enige plek die gevoelige data bevat die essentieel is voor het goed werken van security-primitieven in software", zo laten ze in hun rapport weten (pdf). Ook via het bestandssysteem waar het besturingssysteem gebruik van maakt kan er toegang tot vertrouwelijke data worden verkregen. Voor hun scenario gaan de onderzoekers er dan ook vanuit dat het slachtoffer een bestandssysteem op een ssd-schijf draait die van MLC NAND flashgeheugen gebruikmaakt. Om de aanval uit te kunnen voeren moet de aanvaller "unprivileged" rechten tot het systeem hebben. De onderzoekers gaan niet uit van een aanvaller met fysieke toegang, maar bijvoorbeeld om een server waar iemand met een standaard account op kan inloggen. Het account geeft de gebruiker of aanvaller via het bestandssysteem beperkte schrijftoegang. Net als met de Rowhammer-aanval op DRAM-geheugen blijkt dat ook de flashchips van ssd-schijven op een soortgelijke manier te manipuleren zijn en de aanvaller uiteindelijk zijn rechten op het systeem laten verhogen. De aanval kan volgens de onderzoekers door middel van schijfversleuteling, zoals dm-crypt, worden voorkomen. Voor de toekomst willen de onderzoekers een volledige systeemaanval uitwerken. Naar aanleiding van de Rowhammer-aanval kwamen fabrikanten zoals Apple met een update voor hun apparatuur. De onderzoekers van IBM laten niet weten of ze met hardwarefabrikanten over hun aanval hebben gesproken. bron: security.nl

Onderzoekers hebben een nieuwe exploitkit ontdekt die naast Internet Explorer en Adobe Flash Player ook gebruikers van Firefox en Cisco WebEx probeert aan te vallen. Het gaat om de Disdain-exploitkit, zo laat securitybedrijf Intsight weten. Exploitkits maken gebruik van beveiligingslekken in browsers en browserplug-ins om internetgebruikers ongemerkt met malware te infecteren. Het gaat daarbij meestal om bekende kwetsbaarheden waarvoor al geruime tijd een update beschikbaar is. Alleen gebruikers die hun software niet up-to-date houden lopen daardoor risico. Exploitkits hebben echter steeds minder succes, omdat browsers zich automatisch kunnen updaten en kwetsbare browserplug-ins blokkeren. Een andere belangrijke reden voor de teloorgang van exploitkits is het uitblijven van nieuwe exploits. Alle tot nu toe bekende exploitkits maken gebruik van kwetsbaarheden in Internet Explorer en Flash Player waar al meer dan een jaar updates voor beschikbaar zijn. De ontdekking van de Disdain-exploitkit is dan ook opmerkelijk, aangezien deze exploitkit vrij recente exploits bevat voor kwetsbaarheden in Cisco WebEx, Firefox en Internet Explorer die dit jaar werden gepatcht. Ook het aanvallen van Cisco WebEx en Firefox valt op. Firefox is in het verleden vaker het doelwit van exploitkits geweest, maar de laatste jaren hadden cybercriminelen het voornamelijk op Internet Explorer voorzien. Disdain maakt echter gebruik van vijf kwetsbaarheden in Mozilla's browser, waarvan de meest recente van 2017 is en de oudste van 2013 dateert. Cisco WebEx kreeg dit jaar met verschillende grote kwetsbaarheden te maken. De Cisco WebEx-extensie is bedoeld voor het bijwonen van video- en webconferenties. Het wordt dan ook voornamelijk in zakelijke omgevingen gebruikt. De kwetsbaarheid laat een kwaadaardige website een WebEx-sessie starten. Via deze WebEx-sessie kan een aanvaller vervolgens willekeurige code op het systeem uitvoeren. De plug-in heeft meer dan 10 miljoen installaties. Het WebEx-lek dat Disdain aanvalt werd eind januari door Cisco gepatcht. In het geval van de recente kwetsbaarheden in Firefox en IE verschenen daar respectievelijk in januari en maart updates voor. Ook in het geval van de Disdain-exploitkit, die voor 1400 dollar per maand aan cybercriminelen wordt aangeboden, geldt dat gebruikers die up-to-date met hun software zijn geen risico lopen. bron: security.nl

Een ernstig beveiligingslek in Microsoft Office dat in april van dit jaar werd gepatcht wordt nu op een geheel nieuwe manier via PowerPoint-bestanden aangevallen, zo stelt anti-virusbedrijf Trend Micro. De kwetsbaarheid (CVE-2017-0199) werd al voor het verschijnen van de Office-update actief aangevallen. Alleen het openen van een kwaadaardig Office-document was voldoende om met malware besmet te raken. In eerste instantie werd het beveiligingslek aangevallen via rtf-documenten. Nu zijn er ook aanvallen via de slideshow-feature van PowerPoint waargenomen. Volgens de onderzoekers is dit de eerste keer dat deze aanpak door cybercriminelen wordt gehanteerd. De aanval begint met een gerichte phishingmail die een kwaadaardig ppsx-bestand bevat. Zodra de gebruiker het bestand met een kwetsbare versie van Microsoft PowerPoint opent, zal de animatiefeature van PowerPoint worden gebruikt om malware op het systeem te installeren. Om zich te beschermen krijgen gebruikers het advies om de patch te installeren, aangezien die al sinds april beschikbaar is. In de praktijk blijkt dat zowel eindgebruikers als organisaties traag zijn met het installeren van Office-updates. Voor het verschijnen van CVE-2017-0199 in april was een beveiligingslek in Microsoft Office uit 2012 het meest aangevallen Office-lek door cybercriminelen. bron: security.nl

Usb is één van de meest gebruikte interfaces om apparaten met computers te verbinden, maar onderzoekers van de Universiteit van Adelaide waarschuwen nu dat usb-poorten allerlei vertrouwelijke informatie kunnen lekken die door kwaadaardige usb-apparaten kan worden opgepikt. De onderzoekers onderzochten meer dan vijftig verschillende computers en externe usb-hubs en ontdekten dat meer dan 90 procent informatie naar een extern usb-apparaat lekt. Het gaat om zogenoemde "channel-to-channel crosstalk leakage". Een kwaadaardig of gemanipuleerd usb-apparaat dat op een usb-poort van een externe of interne usb-hub wordt aangesloten waarop ook andere usb-apparaten zijn aangesloten, kan informatie van deze apparaten achterhalen. Het gaat dan om toetsaanslagen, wachtwoorden en andere gegevens. Onderzoeker Yuval Yarom vergelijkt het met water dat uit leidingen lekt. "Elektriciteit stroomt net als water in leidingen en kan lekken", zo laat hij weten. "In ons project hebben we laten zien spanningsschommelingen in de datalijnen van de usb-poort door naastgelegen poorten op de usb-hub kunnen worden gemonitord." De aanvallers ontwikkelden een usb-lamp die toetsaanslagen van een aangesloten usb-toetsenbord kan opvangen. Vervolgens stuurt de lamp de gegevens via bluetooth naar een andere computer. Yarom wijst naar een ander onderzoek waaruit blijkt dat als usb-sticks ergens worden achtergelaten, driekwart door voorbijgangers wordt aangesloten. Usb-sticks die kunnen zijn aangepast, zo waarschuwt de onderzoeker. Gebruikers krijgen dan ook voor nu het advies om alleen betrouwbare usb-apparaten aan te sluiten. Yarom stelt dat voor de lange termijn usb-verbindingen opnieuw ontworpen moeten worden om ze veiliger te maken. "Usb is ontwikkeld met de aanname dat de gebruiker de controle over alle verbonden apparaten heeft en dat alles is te vertrouwen, maar we weten dat dit niet het geval is. Usb zal nooit veilig zijn tenzij de data voor het versturen wordt versleuteld." De onderzoekers zullen hun onderzoek volgende week tijdens het USENIX Security Symposium in Vancouver presenteren. bron: security.nl

Softwarebedrijf Elcomsoft heeft een nieuwe versie van de eigen recoverytool uitgebracht die nu ook het kraken van populaire wachtwoordmanagers zoals 1Password, KeePass, LastPass en Dashlane ondersteunt. Wachtwoordmanagers zijn een populaire manier om wachtwoorden te beheren. Zo kunnen wachtwoordmanagers unieke wachtwoorden genereren en in een wachtwoordkluis opslaan. Als beveiliging van de opgeslagen wachtwoorden maken wachtwoordmanagers gebruik van een meesterwachtwoord. Dit moet voorkomen dat een aanvaller meteen toegang tot alle opgeslagen wachtwoorden krijgt als hij de wachtwoordkluis weet te stelen. Om het kraken van het meesterwachtwoord tegen te gaan hebben wachtwoordmanagers verschillende beveiligingsmaatregelen genomen. Toch stelt Elcomsoft dat de veiligheid van dergelijke programma's te wensen overlaat. "Zijn wachtwoordmanagers veiliger dan het bijhouden van een lijst met wachtwoorden in een Excel-bestand? Niet per definitie, maar dit gebrek aan veiligheid wordt gemakkelijk goed gemaakt door het gemak dat wachtwoordmanagers bieden in vergelijking met een Excel-spreadsheet", aldus Oleg Afonin. Hij merkt op dat Office 2016-documenten een betere bescherming tegen bruteforce-aanvallen bieden dan wachtwoordmanagers. Voor een vergelijkende test werd gekeken hoe snel het meesterwachtwoord van de vier eerder genoemde wachtwoordmanagers is te kraken in vergelijking met het wachtwoord van beveiligde Office 2016-documenten en beveiligde RAR5-bestanden. Dan blijkt dat een aanvaller op een systeem met een Nvidia GTX 1080 videokaart bij een Office 2016-document 7300 wachtwoorden per seconde kan proberen, terwijl dit er bij de wachtwoordmanager Dashlane 129.000 per seconde zijn. Dit laat zien dat gebruikers ook voor hun meesterwachtwoord een sterk wachtwoord moeten kiezen. bron: security.nl

Beheerders en gebruikers van Windows 10 die de EMET-beveiligingstool van Microsoft hebben geïnstalleerd zijn gewaarschuwd, de Fall Creators Update die later dit jaar voor Windows 10 verschijnt zal het programma namelijk verwijderen of blokkeren, zo heeft Microsoft bekendgemaakt. De Enhanced Mitigation Experience Toolkit (EMET) is een gratis programma van Microsoft dat een extra beveiligingslaag aan Windows en geïnstalleerde applicaties toevoegt.Deze extra beschermingslaag moet het lastiger voor aanvallers maken om zowel bekende als onbekende kwetsbaarheden in het besturingssysteem of geïnstalleerde programma's of plug-ins aan te vallen. Ook kan EMET systeembeheerders een waarschuwing geven als een applicatie door een mogelijke aanval is gecrasht. De beveiligingstool wordt dan ook door menig expert en organisatie aangeraden. In juni van dit jaar kondigde Microsoft aan dat het de beveiliging van EMET direct aan Windows 10 gaat toevoegen in de vorm van de Windows Defender Exploit Guard. Via de Windows 10 Fall Creators Update zullen gebruikers straks vanuit het Windows Defender Security Center (WDSC) deze exploitbescherming voor hun systeem kunnen instellen. Ook biedt Windows Defender Exploit Guard dezelfde bescherming voor legacy applicaties die EMET biedt. Daarnaast heeft Microsoft een module ontwikkeld om EMET-instellingen naar Windows Defender Exploit Guard te migreren. Om mogelijke compatibiliteitsproblemen te voorkomen zal Windows 10 vanaf de Fall Creators Update EMET automatisch verwijderen of blokkeren. Eerder liet Microsoft al weten dat de ondersteuning van EMET vanaf 31 juli 2018 wordt gestopt. bron: security.nl

Na kritiek van anti-virusbedrijven over Windows 10 heeft Microsoft besloten om verschillende aanpassingen aan het besturingssysteem door te voeren. Ook zal het nauwer met anti-virusbedrijven gaan samenwerken. Volgens virusbestrijders probeert Microsoft met Windows Defender, de standaard virusscanner van Windows 10, de oplossingen van anti-virusbedrijven uit de markt te drukken. Daarnaast zou Microsoft aanpassingen in feature-updates niet duidelijk communiceren en het lastig voor anti-virusbedrijven maken om gebruikers van een betaalde anti-virusoplossing te waarschuwen dat hun abonnement gaat verlopen of verlopen is. Microsoft laat nu weten dat het nauwer met anti-virusbedrijven gaat samenwerken zodat ze hun software voor toekomstige feature-updates compatibel kunnen maken. Gebruikers zullen feature-updates van Windows 10 pas ontvangen als de anti-virussoftware na de update blijft werken. Verder gaat Microsoft meer inzicht in de planning van feature-updates geven. Zo krijgen virusbestrijders meer tijd om de uiteindelijke versie van een feature-update te testen. Tevens krijgen anti-virusbedrijven de mogelijkheid om hun eigen waarschuwingen en meldingen in Windows weer te geven als het abonnement van een virusscanner op het punt staat te verlopen of al verlopen is. Ook heeft Microsoft de manier aangepast waarop Windows gebruikers laat weten dat hun virusscanner is verlopen en ze niet meer beschermd zijn. De gebruiker krijgt in dit geval een scherm te zien dat zichtbaar blijft totdat de gebruiker ervoor kiest om zijn abonnement te verlengen of voor Windows Defender of een ander anti-virusbedrijf kiest. bron: security.nl

Dat was ook het eerste wat ik dacht .

Welkom Aluerris, Ik kan mij voorstellen dat het een vervelend probleem is. Wanneer dit probleem zich voor doet, werk je dan via een kabelverbinding of via de wifi?

Beste Jupi, Ik neem aan dat je deze stappen al geprobeerd hebt?

Beste Patrick 1, Hoe staat het met je probleem? Indien het is opgelost, laat het dan even weten zodat we dit topic kunnen afsluiten. Indien het probleem er nog is, volg dan alsnog het advies van dorado.

Hoe staat het met je probleem? Mocht je nog steeds niet verder kunnen, heb je al geprobeerd via een ander medium (telefoon, tablet, computer familielid) te resetten?

Google waarschuwt websites met een ssl-certificaat van certificaatautoriteiten WoSign of StartCom, want vanaf september krijgen Chrome-gebruikers bij het bezoeken van deze websites een waarschuwing te zien dat het aangeboden certificaat niet wordt vertrouwd. Vanwege verschillende incidenten heeft Google besloten het vertrouwen in certificaten van WoSign en StartCom op te zeggen. Vorig jaar augustus werd Google ingelicht door het beveiligingsteam van GitHub dat WoSign zonder toestemming een certificaat voor één van GitHubs domeinen had uitgegeven. Het onderzoek dat volgde liet zien dat er nog meer incidenten bij de certificaatautoriteiten hadden plaatsgevonden. Aangezien het direct blokkeren van ssl-certificaten van beide certificaatautoriteiten een grote impact op websites en Chrome-gebruikers zou hebben besloot Google het vertrouwen geleidelijk op te zeggen. Eerst werden alleen voor 21 oktober 2016 uitgegeven certificaten nog vertrouwd. Vervolgens werd deze groep certificaten via een whitelist beperkt tot de 1 miljoen populairste websites en dit aantal is Google aan het afbouwen. Met de lancering van Chrome 61 in september zal de whitelist worden verwijderd en zullen alle certificaten van WoSign en StartCom een waarschuwing in de browser veroorzaken. Google adviseert webmasters dan ook om dergelijke certificaten met spoed te vervangen om de verstoring voor Chrome-gebruikers te beperken. bron: security.nl

Zo'n 500.000 computers in voornamelijk Oekraïne en Rusland zijn besmet geraakt door geavanceerde adware die vijf jaar lang onopgemerkt wist te blijven. De adware wordt Stantinko genoemd en richt zich op internetgebruikers die illegale software zoeken. Zo doet de adware zich onder andere voor als een torrentbestand. Eenmaal gedownload en geopend door de gebruiker installeert Stantinko verschillende services. Via deze services kunnen de beheerders achter het botnet kwaadaardige browser-extensies installeren die advertenties op bezochte websites injecteren en clickfraude plegen. De services zijn echter ook gebruikt voor het installeren van een volledig functionele backdoor, zo waarschuwt anti-virusbedrijf ESET. Ook een bot voor het uitvoeren van omvangrijke zoekopdrachten op Google en een tool voor het uitvoeren van bruteforce-aanvallen op Joomla en WordPress werden geïnstalleerd. Op deze manier werd geprobeerd om toegang tot websites te krijgen. Verder installeert de adware ook een bot die accounts op Facebook aanmaakt en in staat is om foto's of pagina's te liken en vrienden kan toevoegen. De kwaadaardige browser-extensies die de adware installeert, genaamd The Safe Surfing en Teddy Protection, waren beide in de Chrome Web Store te vinden. Het lijkt om legitieme extensies te gaan. Eenmaal geïnstalleerd krijgen ze de instructies om advertenties te injecteren en clickfraude te plegen. Om detectie en verwijdering te voorkomen gebruiken de makers methodes die voornamelijk bij 'advanced persistent threats' worden gezien aldus ESET. Zo hebben de ontwikkelaars veel moeite gedaan om reverse engineering tegen te gaan. Daarnaast is de adware lastig te verwijderen. Zodra één van de twee services wordt verwijderd zal de overblijvende service die opnieuw installeren. Om de adware succesvol te verwijderen moeten beide services gelijktijdig worden verwijderd. De twee Chrome-extensies zijn inmiddels uit de Chrome Store verwijderd. bron: security.nl

Het Tor Project is het eerste openbare beloningsprogramma gestart waarbij het hackers en onderzoekers beloont voor het melden van kwetsbaarheden in het Tor-netwerk en Tor Browser. Vorig jaar januari werd er al een gesloten beloningsprogramma gelanceerd, maar met steun van het Open Technology Fund is er nu een open 'bug bounty' programma gestart. "Tor-gebruikers wereldwijd, waaronder mensenrechtenactivisten, advocaten en onderzoekers, vertrouwen op de veiligheid van onze software om anoniem op internet te zijn. Help ons hen te beschermen tegen surveillance, tracking en aanvallen", aldus Tor-ontwikkelaar Georg Koppen. Afhankelijk van de ernst en impact van een kwetsbaarheid wordt er 4.000 dollar per bugmelding uitgekeerd. Het gaat dan om kwetsbaarheden waardoor het bijvoorbeeld mogelijk is om willekeurige code op de systemen van gebruikers uit te voeren of gebruikers te identificeren. Het beloningsprogramma wordt gehost bij HackerOne. Dit door Nederlanders opgerichte platform laat softwarebedrijven, overheden en andere organisaties een beloningsprogramma's voor hackers organiseren en handelt de coördinatie tussen de bugmelder en softwareleverancier af. bron: security.nl

Anti-virusbedrijf Avast heeft Piriform overgenomen, de ontwikkelaar van de populaire tool CCleaner. CCleaner is software om cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden mee te verwijderen. Het wordt door 130 miljoen gebruikers wereldwijd gebruikt. Vorig jaar maakte de softwareontwikkelaar bekend dat CCleaner 2 miljard keer was gedownload. De basisfunctionaliteit van CCleaner is gratis te gebruiken. Daarnaast biedt de software tegen betaling verschillende 'premium features', zoals schijfdefragmentatie en bestandsherstel. Avast zal de producten van Piriform los van de eigen producten blijven aanbieden en zegt dat het de software ook zal blijven ondersteunen. De ontwikkelaars van Piriform worden onderdeel van het Avast-team. Hoeveel er voor de overname is betaald, is niet bekendgemaakt. bron: security.nl

Vorig jaar heeft een Duits securitybedrijf een audit van Firefox Accounts uitgevoerd dat 15 lekken heeft opgeleverd, zo blijkt uit het rapport dat Mozilla openbaar heeft gemaakt (pdf). Firefox Accounts is het accountsysteem waarmee Firefoxgebruikers door Mozilla aangeboden diensten kunnen gebruiken. Het gaat dan bijvoorbeeld om Firefox Sync en Firefox Marketplace. "Als de centrale authenticatiedienst van Firefox is Firefox Accounts een natuurlijk eerste doelwit. De beveiliging is van groot belang voor miljoenen gebruikers die er gebruik van maken om op onze gevoeligste diensten in te loggen, zoals addons.mozilla.org en Sync", zegt Mozilla's Greg Guthe. Het Duitse Cure53 voerde een audit uit van de webdiensten waar Firefox Accounts gebruik van maakt en het cryptografische protocol dat wordt gebruikt om gebruikersaccounts en data te beschermen. In totaal werden 15 kwetsbaarheden gevonden. Geen van de lekken is echter aangevallen of zorgde ervoor dat de gegevens van gebruikers risico lopen, aldus Guthe. Het gaat onder andere om cross-site scripting, html-injectie en een zwakke client-side key stretching om bruteforce-aanvallen op wachtwoorden tegen te gaan, aldus het rapport. Volgens de onderzoekers is het Firefox Accounts-platform robuust en zijn de gevonden kwetsbaarheden, op het probleem met de zwakke key stretching na, eenvoudig te verhelpen. Mozilla zegt dat het de ernstigste problemen uit het rapport heeft opgelost. bron: security.nl

Het Platform Internetstandaarden heeft een nieuwe versie van Internet.nl gelanceerd, een website waarmee het mogelijk is om te kijken of websites en maildiensten aan standaarden zoals ipv6, dnssec, https, dmarc, dkim, spf, starttls en dane voldoen. Sinds de eerste lancering in april 2015 zijn er meer dan 300.000 testen op Internet.nl uitgevoerd. "Meer dan 50% van de opnieuw geteste websites laten verbeteringen zien. We hopen dat de nieuwe, verbeterde versie van Internet.nl bezoekers nog beter zal ondersteunen bij het testen, eisen en toepassen van moderne, veilige internetstandaarden", aldus Gerben Klein Baltink, voorzitter van Platform Internetstandaarden. Het nieuwe ontwerp van de website is gericht op mobiele apparaten. Ook worden de testresultaten anders weergegeven en zijn er bugs verholpen bij domeinen met meerdere spf-records en het beoordelen van de ipv6-connectiviteit. Het Platform Internetstandaarden is een samenwerkingsverband van de de Nederlandse overheid en de internetgemeenschap. Via Internet.nl wil het Platform de uitrol van moderne internetstandaarden stimuleren. bron: security.nl

Onderzoekers hebben opnieuw ernstige beveiligingslekken in de Cisco WebEx-browseruitbreiding gevonden waardoor kwaadwillende websites systemen in het ergste geval volledig kunnen overnemen. WebEx is een browser-extensie waarmee gebruikers aan video- en webconferenties kunnen deelnemen. Meer dan 20 miljoen gebruikers van Google Chrome hebben de uitbreiding geïnstalleerd. Onderzoekers Tavis Ormandy van Google en Cris Neckar van securitybedrijf Divergent Security ontdekten problemen in de manier waarop de extensie invoer filtert. Eerder dit jaar ontdekte Ormandy ook al een kwetsbaarheid in de software waardoor het voor een aanvaller mogelijk was om willekeurige code op systemen uit te voeren. Volgens Cisco wordt het probleem veroorzaakt door een ontwerpfout in de extensie. Alleen het bezoeken van een kwaadaardige website met een kwetsbare versie van de extensie was voldoende om een aanvaller willekeurige code met de rechten van de browser uit te laten voeren. Cisco werd op 6 juli ingelicht en heeft op 12 juli updates uitgebracht voor de Chrome- en Firefox-versies van de extensie. Het probleem is in versie 1.0.12 opgelost. bron: security.nl