Captain Kirk

Organisaties die van Microsoft BitLocker gebruikmaken om systemen te versleutelen én gebruikers een wachtwoordresetfunctie aanbieden doen er verstandig aan om de encryptiesoftware zo in te stellen dat er tijdens het opstarten verplicht een pincode moet worden opgegeven. Dat stelt securitybedrijf Pen Test Partners. BitLocker is de encryptiesoftware van Microsoft die standaard in bepaalde versies van Windows zit, zoals de Pro- en Enterprise-edities. In bepaalde gevallen is de encryptie echter te omzeilen, aldus onderzoeker Alan Monie van Pen Test Partners. Dit komt omdat veel organisaties werknemers de mogelijkheid bieden om hun Windows-wachtwoord via het inlogscherm te resetten, aldus de onderzoeker. Deze maatregel, ook wel self-service password reset genoemd, moet de automatiseringsafdeling ontlasten, maar kan ook een aanvaller helpen om toegang tot bestanden te krijgen. Het probleem is namelijk dat het resetmechanisme waar werknemers gebruik van kunnen maken in dezelfde context als het inlogproces laat draaien. Als een gebruiker op de wachtwoordresetlink op het inlogscherm klikt wordt het ip-adres van de wachtwoordresetwebserver gezocht en de wachtwoordresetpagina opgevraagd. In het geval van een gestolen laptop kan een aanvaller deze verzoeken onderscheppen en een pagina teruggeven waarmee er toegang tot alle bestanden op de laptop kan worden verkregen. Ook is het zo mogelijk om een nieuwe beheerder aan te maken. "Als de gestolen laptop onderdeel van een domein is, kan het mogelijk zijn om gecachte inloggegevens te achterhalen en zelfs verbinding met het bedrijfsnetwerk te maken", aldus Monie. De onderzoeker adviseert organisaties dan ook als ze van BitLocker gebruik maken om een pincode tijdens het opstarten in te stellen. In dit geval wordt het besturingssysteem pas gestart als de juiste code is ingevoerd. BitLocker ondersteunt verschillende authenticatiemethodes die voor extra bescherming moeten zorgen. bron: security.nl

HP heeft een waarschuwing afgegeven voor een ernstig beveiligingslek in een tool waarmee HP-servers op afstand worden beheerd. Via de kwetsbaarheid in Integrated Lights-out 4 (iLO 4) kan een aanvaller op afstand toegang tot servers krijgen en daarop willekeurige code uitvoeren. Vanwege de impact van de kwetsbaarheid adviseert HP om zo snel als mogelijk in actie te komen. Integrated Lights-out is een technologie om HP-servers op afstand mee te beheren. De iLO-kaart heeft een aparte netwerkverbinding en een eigen ip-adres, waarmee via https verbinding kan worden gemaakt. Vervolgens is het onder andere mogelijk om de server te resetten, in te schakelen en de remote system console of command-line interface te benaderen. HP stelt dat een aanvaller via de kwetsbaarheid de authenticatie kan omzeilen en willekeurige code kan uitvoeren. Op een schaal van 10 heeft het beveiligingslek een 9,8 en een 10 gekregen. Organisaties krijgen dan ook het advies om HPE Integrated Lights-out 4 (iLO 4) firmware versie 2.53 of nieuwer zo snel als mogelijk te installeren, aangezien het probleem daarin is verholpen. bron: security.nl

Securitybedrijf Fox-IT wil in bepaalde gevallen onbekende softwarelekken die het vindt en waar nog geen updates van de leverancier voor beschikbaar zijn delen met de inlichtingendiensten en politie. Dat liet directeur Ronald Prins gisteren tijdens een presentatie in het hoofdkantoor in Delft weten, zo meldt RTL Z. Werknemers van het securitybedrijf kunnen tijdens hun werk onbekende kwetsbaarheden tegenkomen, bijvoorbeeld als ze worden ingeschakeld voor het uitvoeren van een audit. Prins wil deze beveiligingslekken in bepaalde gevallen met de opsporingsdiensten delen en gedurende die tijd niet bij de leverancier melden. Bijvoorbeeld als er een terreuraanslag dreigt. De leverancier kan zodoende geen update ontwikkelen en uitbrengen, waardoor gebruikers kwetsbaar voor aanvallen zijn. De meeste softwarelekken worden echter wel bij de leverancier in kwestie gemeld, aldus Prins. Daarnaast stelt de directeur dat hij opsporingsdiensten ook zou willen helpen bij het inbreken op smartphones als daar aanleiding toe is. "Als je daarmee toegang krijgt tot een terroristisch netwerk, dan is dat zeer belangrijke informatie voor de opsporingsdiensten." Fox-IT kwam eind 2015 in Britse handen. Dat zorgde binnen de Nederlandse politiek voor zorgen over de beveiliging van staatsgeheimen, maar die zorgen zijn volgens Prins ongegrond: "De Britten komen hier niet zomaar binnen", zo merkt hij op. Update Fox-IT heeft op de eigen website het standpunt over zerodays gepubliceerd. Daarin laat het securitybedrijf weten dat onbekende kwetsbaarheden die tijdens eigen onderzoek of in het kader van een opdracht van een klant worden gevonden, alleen met de betreffende leverancier en de eventueel betrokken klant worden gedeeld. "In geen geval houdt Fox-IT informatie over onbekende kwetsbaarheden geheim, of deelt ze die met derden. Ook niet met opsporingsdiensten of inlichtingendiensten." Verder verklaart het securitybedrijf dat het nog nooit in opdracht van een opsporings- of inlichtingendienst naar onbekende kwetsbaarheden heeft gezocht. "Maar we sluiten dit in een toekomstige situatie niet uit. Indien er acuut en direct aanwijsbaar gevaar dreigt voor de samenleving en de inlichtingen- en opsporingsdiensten roepen de hulp in van Fox-IT dan zal de ethische commissie van Fox-IT hierover advies geven op basis van een risicoanalyse." bron: security.nl

Op verschillende populaire torrentsites en mediahostingsites zijn besmette advertenties verschenen die bezoekers met malware proberen te infecteren. De advertenties maken gebruik van een legitieme advertentiedienst en lijken naar websites van bestaande wandelclubs en wandelvakanties te wijzen. De aanvallers hebben daarbij de domeinnamen van de wandelclubs in kwestie geregistreerd, alleen dan eindigend met de .club-extensie. De advertenties sturen bezoekers in werkelijkheid ongemerkt door naar de Neptune-exploitkit. Deze exploitkit maakt gebruik van bekende kwetsbaarheden in Adobe Flash Player en Internet Explorer. In het geval van Flash Player gaat het om beveiligingslekken die al sinds 2015 zijn gepatcht. Voor de drie aangevallen IE-kwetsbaarheden verschenen in 2014, 2015 en 2016 updates. Mochten gebruikers sinds mei 2016 geen updates meer hebben geïnstalleerd, dan kan er via de advertenties een Monero-miner op het systeem worden geïnstalleerd. Deze malware gebruikt de computer vervolgens om de cryptocurrency Monero te delven. Securitybedrijf FireEye heeft verschillende domeinen genoemd waar de besmette advertenties gebruik van maken, maar laat niet weten op welke torrentsites en mediahostingsites de advertenties zijn verschenen. We hebben dan ook om opheldering gevraagd. Gebruikers van wie de software up-to-date is lopen geen risico. FireEye laat in een reactie aan Security.NL weten dat het de namen van de websites niet wil noemen. bron: security.nl

Ik neem aan dat dit een thuiscomputer is? Dan zou dan geen probleem mogen zijn. Heb je ook al eens in een andere browser geprobeerd? En wat is de reden dat je het via het web wilt gebruiken en niet via de Skype-app?

Mozilla is van plan om geanonimiseerde data van Firefox-gebruikers te verzamelen zodat productteams beter kunnen zien hoe de browser precies wordt gebruikt. Volgens Georg Fritzsche van Mozilla vragen de Firefox-productteams geregeld om gevoelige data te verzamelen, zoals welke topsites gebruikers bezoeken en hoe features op bepaalde websites presteren. Mozilla wil met deze data naar eigen zeggen de ervaring voor gebruikers verbeteren. Op dit moment kan Mozilla deze gegevens alleen verzamelen als gebruikers hier toestemming voor geven. De browserontwikkelaar heeft echter geen manier om zonder uitdrukkelijke toestemming van de gebruiker "objectieve data" te verzamelen. Een mogelijke oplossing volgens Fritzsche is het gebruik van differentiële privacy, waardoor gevoelige gegevens kunnen worden verzameld zonder dat die naar individuele gebruikers zijn te herleiden. De meestgebruikte en bekende implementatie van differentiële privacy is RAPPOR, een opensourceproject van Google (pdf). Mozilla heeft het gebruik van RAPPOR voor het verzamelen van gegevens onderzocht en zegt dat de initiële resultaten veelbelovend zijn. De browserontwikkelaar is nu van plan om een opt-out-onderzoek te houden om de eigen implementatie van RAPPOR te valideren. Bij dit onderzoek, dat in september moet plaatsvinden, zal van een selecte groep Firefox-gebruikers informatie over de startpagina worden verzameld. Fritzsche stelt dat Mozilla dit soort data niet eerder als opt-out verzamelde en het een hele nieuwe aanpak voor de browserontwikkelaar is. Mozilla is dan ook benieuwd naar feedback. bron: security.nl

Ontwikkelaars van videogames die met de Unity game-engine werken zijn gewaarschuwd voor een ernstige kwetsbaarheid in de Windows-versie van de Unity Editor waardoor een aanvaller op afstand willekeurige code op het systeem van de ontwikkelaar kan uitvoeren. Allerlei populaire games zijn de afgelopen jaren via de Unity-engine ontwikkeld. De Windows-versie van de editor blijkt bepaalde invoer niet goed te controleren, waardoor het voor een aanvaller mogelijk is om op afstand code uit te voeren. Verdere details wil Unity Technologies, ontwikkelaar van de editor, nog niet geven. Wel krijgen ontwikkelaars het advies om de beschikbare update te installeren. Zodra ontwikkelaars de tijd hebben gehad om de update te installeren zullen meer details openbaar worden gemaakt. De Linux- en macOS-versie van de editor zijn niet kwetsbaar. bron: security.nl

Twee kwetsbaarheden in de pdf-lezer Foxit Reader zullen toch worden gepatcht, ook al liet ontwikkelaar Foxit Software eerder nog weten dat het dit niet van plan was. Foxit Reader is een alternatief voor Adobe Reader en Acrobat voor het openen van pdf-documenten en zou zo'n 475 miljoen gebruikers hebben. Onlangs maakte securitybedrijf TippingPoint twee kwetsbaarheden in de pdf-lezer openbaar waardoor een aanvaller systemen via een kwaadaardig pdf-bestand zou kunnen overnemen. De kwetsbaarheden waren eerder dit jaar aan Foxit Software gerapporteerd, maar de ontwikkelaar verklaarde dat de beveiligingslekken niet zouden worden gepatcht, aangezien die via de 'Safe Reading Mode' van Foxit Reader al worden verholpen. Deze modus moet gebruikers tegen kwaadaardige pdf-bestanden beschermen door alle interactie met het document te voorkomen. Volgens TippingPoint was dit geen echte oplossing en het securitybedrijf publiceerde een blogposting over de situatie. Nadat het verhaal in de media kwam heeft Foxit Software tegenover TippingPoint gereageerd en laten weten dat de twee kwetsbaarheden worden gepatcht. Gebruikers krijgen het advies om in de tussentijd de Safe Reading Mode te gebruiken. Foxit Software maakt ook excuses voor de "initiële miscommunicatie" na te zijn ingelicht over de twee kwetsbaarheden en zegt aanpassingen aan de eigen procedures door te voeren om herhaling te voorkomen. bron: security.nl

Mozilla heeft een update voor de e-mailclient Thunderbird uitgebracht waarin meerdere ernstige lekken zijn verholpen. Thunderbird 52.3.0 verhelpt in totaal 16 kwetsbaarheden, waarvan er drie als ernstig zijn aangeduid. In theorie zou een aanvaller via dit soort beveiligingslekken systemen kunnen overnemen. In het geval van Thunderbird zijn de lekken echter niet te misbruiken, omdat scripting bij het lezen van e-mail staat uitgeschakeld, aldus Mozilla. In het geval van een browser of browser-achtige context is er wel sprake van een mogelijk risico. Eén van de kwetsbaarheden werd door de Nederlandse beveiligingsonderzoeker Berend-Jan Wever alias Skylined ontdekt. Verder zijn er verschillende niet-security gerelateerde problemen opgelost, zoals problemen bij het openen van grote bijlagen en het verwijderen van berichten van een POP3-server. Updaten naar Thunderbird 52.3.0 kan via de automatische updatefunctie en Mozilla.org. bron: security.nl

Ik neem aan dat je het hier hebt over Skype via het internet en niet via het programma zelf? Je kunt in de browser ook sites aangeven die altijd toegestaan worden. Wat gebeurd er wanneer je dit gedaan hebt?

Gaat het hier om een desktop of een laptop? Bij de meeste laptops kun je de wifi met een knopje of toetscombinatie aan/uit schakelen.

Heb je al naar de kanbel en de stekkertjes op de kabel zelf gekeken. Slecht contact of breuk kan hier een oorzaak zijn.

Vanaf oktober gaat Google Chrome gebruikers waarschuwen als extensies hun internetverbinding of nieuw geopende tabs kapen. Het gaat dan bijvoorbeeld om extensies die de proxy-instellingen controleren en zo het verkeer van Chrome-gebruikers kunnen onderscheppen en manipuleren. Chrome laat in dit geval een waarschuwing zien waarin de gebruiker het risico wordt uitgelegd en de mogelijkheid krijgt om de proxy-instellingen terug te zetten, zo meldt Bleeping Computer aan de hand van een vroege testversie van Chrome 62. Ook in het geval van extensies die nieuw geopende tabs aanpassen zal de browser een waarschuwing tonen en de optie bieden om de oorspronkelijke instellingen terug te zetten. Onlangs wisten aanvallers nog verschillende Chrome-extensies via phishingaanvallen over te nemen en zo adware onder miljoenen Chrome-gebruikers te verspreiden. Chrome 62 staat gepland voor eind oktober. bron: security.nl

Het aantal gehackte Microsoft-accounts is in de eerste drie maanden van dit jaar sterk gestegen ten opzichte van 2016, zo heeft Microsoft in de nieuwste editie van het Security Intelligence Report bekendgemaakt. Volgens de softwaregigant gaat het om een toename van maar liefst 300 procent. "Een groot deel van deze hacks is het gevolg van zwakke, te raden wachtwoorden en slecht wachtwoordbeheer, gevolgd door gerichte phishingaanvallen en datalekken bij derde partijen", aldus Microsoft. Het aantal inlogpogingen vanaf kwaadaardige ip-adressen nam in het eerste kwartaal van dit jaar met 44 procent toe ten opzichte van dezelfde periode een jaar eerder. Microsoft stelt dat steeds meer websites worden gehackt en wachtwoorden worden gephisht. De buitgemaakte inloggegevens worden vervolgens bij allerlei andere diensten geprobeerd. "Eén van de belangrijkste dingen die een gebruiker kan doen om zich te beschermen is daarom het gebruik van een uniek wachtwoord voor elke website en wachtwoorden nooit voor meerdere websites te gebruiken", zo stelt de softwaregigant. Ook wordt organisaties aangeraden om gebruikers te leren dat ze geen eenvoudige wachtwoorden moeten kiezen. bron: security.nl

Cybercriminelen maken gebruik van een feature in Microsoft Word om links in documenten automatisch bij te werken om zo gebruikers aan te vallen. De feature zorgt ervoor dat als een document een link naar een externe bron bevat, die automatisch bij het openen van het document wordt bijgewerkt. Bij de nu waargenomen aanval hadden de aanvallers aan het Word-document een link toegevoegd die naar een kwaadaardig rtf-bestand wees. Dit kwaadaardige rtf-bestand maakt gebruik van een kwetsbaarheid in Office die in april van dit jaar door Microsoft werd gepatcht. In het geval het bestand met een kwetsbare Microsoft Word-versie wordt geopend kan er malware op het systeem worden geïnstalleerd. Volgens Xavier Mertens, handler bij het Internet Storm Center, wordt in dit geval het kwaadaardige rtf-bestand automatisch gedownload om het Word-document bij te werken. Uit screenshots op Malwr.com blijkt echter dat gebruikers een pop-up te zien krijgen of ze het document willen bijwerken met data uit het bestand waarnaar wordt gelinkt. Mogelijk maken de aanvallers gebruik van deze tactiek om detectiemethodes te omzeilen. De feature om links automatisch te updaten is via het optie-menu (Geavanceerd > Algemeen) van Microsoft Word uit te schakelen. bron: security.nl

Securitybedrijf TippingPoint heeft twee kwetsbaarheden in Foxit Reader openbaar gemaakt waar een aanvaller in het ergste geval systemen volledig mee kan overnemen en een beveiligingsupdate is niet beschikbaar. Foxit Reader is een populair alternatief voor Adobe Reader en Acrobat Reader. Foxit Reader blijkt in bepaalde gevallen gebruikersinvoer niet goed te controleren, waardoor het voor een aanvaller mogelijk is om willekeurige code op het systeem van gebruikers uit te voeren, zoals het installeren van malware. Hiervoor moet een gebruiker van Foxit Reader wel eerst een kwaadaardig bestand of link openen. De kwetsbaarheden werden op 18 mei en 22 juni aan ontwikkelaar Foxit Software gemeld. Vervolgens kreeg het bedrijf 120 dagen van TippingPoint om de kwetsbaarheden op te lossen, anders zouden ze openbaar worden gemaakt. Foxit Software liet echter weten dat de beveiligingslekken niet zullen worden gepatcht, aangezien die via de 'Safe Reading Mode' van Foxit Reader worden verholpen. Deze modus moet gebruikers tegen kwaadaardige pdf-bestanden beschermen door alle interactie met het document te voorkomen. Volgens TippingPoint is dit geen oplossing en is de enige manier voor gebruikers om zich te beschermen door alleen nog betrouwbare bestanden met Foxit Reader te openen. bron: security.nl

Een nieuwe exploitkit die onlangs nog op een forum voor cybercriminelen werd aangeboden wordt nu actief gebruikt om internetgebruikers via besmette advertenties met malware te infecteren. Het gaat om de Disdain-exploitkit die eerder deze week al werd besproken, zo meldt anti-virusbedrijf Trend Micro. Exploitkits maken gebruik van beveiligingslekken in browsers en browserplug-ins om internetgebruikers ongemerkt met malware te infecteren. De meeste exploitkits richten zich alleen op Internet Explorer en Adobe Flash Player, maar de Disdain-exploitkit werkt volgens de ontwikkelaar ook tegen Firefox en de Cisco WebEx-extensie, wat opmerkelijk is. In totaal zou de exploitkit 17 verschillende kwetsbaarheden kunnen uitbuiten, waar in alle gevallen al enige tijd beveiligingsupdates voor beschikbaar zijn. Bij de nu waargenomen aanvallen had de Disdain-exploitkit het echter op 5 kwetsbaarheden voorzien die zich allemaal in Internet Explorer bevinden. De twee meest recente IE-lekken werden in maart van dit jaar door Microsoft gepatcht. In het geval de aanval succesvol is wordt er malware geïnstalleerd die de computer cryptocurrency laat delven. Om zich te beschermen krijgen gebruikers het advies om hun software up-to-date te houden. Eén van de beveiligingslekken die de Disdain-exploitkit aanvalt dateert van mei 2013. Op welke websites de besmette advertenties zijn verschenen laat Trend Micro niet weten, we hebben dan ook navraag gedaan en zullen het artikel bijwerken als we meer informatie hebben. bron: security.nl

De WannaCry-ransomware die in mei wereldwijd systemen infecteerde is nog altijd actief, zo ontdekte de Zuid-Koreaanse elektronicagigant LG deze week. Computers in de Zuid-Koreaanse zelfservicecentra van het bedrijf raakten door de ransomware besmet. Na ontdekking van de ransomware werd besloten het servicenetwerk uit te schakelen. Inmiddels heeft LG beveiligingsupdates geïnstalleerd en draaien alle computers weer normaal, zo meldt The Korea Herald. Volgens het Korea Internet & Security Agency is de gevonden malware identiek aan die van WannaCry. Er wordt nu onderzocht hoe de apparaten besmet konden raken. Onlangs maakte de Indian Express nog melding dat een uitgeverij in Delhi door WannaCry was getroffen. bron: security.nl

Verschillende updates die Microsoft deze maand voor Windows 7 en 10 heeft uitgebracht zorgen bij gebruikers voor problemen. Het gaat om updates KB4034664 en KB4034679 voor Windows 7 in combinatie met systemen die over twee of meerdere beeldschermen beschikken. De updates zorgen voor weergaveproblemen in verschillende programma's zoals PDF viewer, Excel, Office 2013, Java en Irfanview. Bepaalde graphics of onderdelen van de applicaties worden na installatie van de updates niet weergegeven. Ook komt het voor dat in de actieve applicatie delen van de desktop of andere applicaties zichtbaar zijn. De grafische problemen doen zich alleen op de tweede monitor voor, zo laten gebruikers weten. Het verwijderen van de updates is één van de manieren om het probleem te verhelpen. Update KB4034679 is echter een security-update. Er worden dan ook andere oplossingen aangeraden. In het geval van Windows 10 gaat het om update KB4034658 voor Windows 10 versie 1607 (Anniversary Update) en Windows Server 2016. De update kan ervoor zorgen dat het overzicht van eerder geïnstalleerde updates niets laat zien, verborgen updates opnieuw worden aangeboden en WSUS-servers extra worden belast. Gebruikers laten weten dat Windows 10-computers die met WSUS zijn verbonden na de installatie van de betreffende update geen nieuwe updates meer vinden. Microsoft zegt de problemen te onderzoeken. De problemen doen zich niet voor bij Windows 10-computers die de Creators Update (versie 1703) hebben geïnstalleerd. bron: security.nl

In de serverbeheersoftware van softwarebedrijf NetSarang, die onder andere door banken, energiebedrijven en telecombedrijven wordt gebruikt, is een backdoor aangetroffen waarmee aanvallers toegang tot netwerken en vertrouwelijke gegevens kunnen krijgen, zo laat het bedrijf zelf weten. De backdoor werd door anti-virusbedrijf Kaspersky Lab ontdekt. Aanvallers hebben de backdoor aan verschillende serverbeheerprogramma's van NetSarang toegevoegd die van 18 juli tot en met 4 augustus via de officiële website en als update werden aangeboden. Het gaat om Xmanager Enterprise 5.0 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218 en Xlpd 5.0 Build 1220. De backdoor staat niet standaard ingeschakeld, maar kan op afstand worden geactiveerd. Eenmaal geactiveerd kunnen aanvallers via de backdoor bestanden uploaden, processen starten en informatie opslaan. Voor zover bekend is de backdoor bij één niet nader genoemd bedrijf in Hong Kong geactiveerd. Hoe de backdoor aan de software kon worden toegevoegd is nog niet bekend. De backdoorcode was met een geldig certificaat van NetSarang gesigneerd en aan alle beschikbare softwarepakketten toegevoegd. Dat kan erop duiden dat de aanvallers de broncode hebben aangepast of de software op de buildservers hebben gepatcht, aldus de onderzoekers. De gebackdoorde versies van de softwarepakketten zijn op 4 augustus van de officiële server verwijderd. Daarnaast heeft NetSarang op 5 augustus een update uitgebracht die de backdoor verwijdert. Bedrijven krijgen het advies de gebackdoorde versies niet te gebruiken totdat ze de software hebben geüpdatet. Anti-virussoftware zou de backdoor inmiddels ook moeten herkennen. In juni van dit jaar werden tal van bedrijven nog getroffen door de Petya-ransomware, die op systemen werd geïnstalleerd via een backdoor die aan de boekhoudsoftware M.E.Doc was toegevoegd. bron: security.nl

Onderzoekers hebben een ransomware-exemplaar gevonden dat bestanden van WordPress-websites voor losgeld kan versleutelen. Om de ransomware te kunnen uitvoeren moet een aanvaller de WordPress-site wel eerst zien te compromitteren, bijvoorbeeld door een zwak wachtwoord te bruteforcen of van een beveiligingslek in WordPress of een geïnstalleerde extensie gebruik te maken. De ransomware versleutelt geen png-, php-, en htaccess-bestanden. Van andere bestanden die wel worden versleuteld wordt het origineel verwijderd. Daarna laat de website een melding zien dat er 700 euro voor het ontsleutelen moet worden betaald. Securitybedrijf Wordfence waarschuwt echter om niet te betalen. Het decryptiemechanisme blijkt namelijk niet te werken. Vorige maand werd een eerste aanval met de ransomware waargenomen. Er zijn echter nog geen meldingen bekend van succesvolle aanvallen. bron: security.nl

Aanvallers hebben de afgelopen weken acht extensies voor Google Chrome gehackt en voorzien van adware. Bij elkaar hebben de extensies 4,6 miljoen installaties. Het was al bekend dat de extensies Copyfish en Web Developer waren gehackt, maar nu blijkt er ook kwaadaardige code aan Chrometana, Infinity New Tab, Web Paint, Social Fixer, TouchVPN en Betternet VPN te zijn toegevoegd. Dat meldt securitybedrijf Proofpoint. Aanvallers verstuurden phishingmails naar de ontwikkelaars dat hun extensie uit de Chrome Web Store verwijderd zou worden omdat die niet meer aan het beleid zou voldoen. De link in de e-mail wees naar een phishingpagina. Extensie-ontwikkelaars die op de pagina inlogden verstuurden zo hun inloggegevens van het ontwikkelaarsaccount naar de aanvallers. Die konden zo toegang tot de extensie krijgen en die van kwaadaardige code voorzien. Aangezien Chrome-extensies automatisch worden bijgewerkt, kregen alle gebruikers de adware toegestuurd. De adware injecteerde advertenties en pop-ups, die gebruikers lieten geloven dat hun computer moest worden gerepareerd. Vanwege de phishingaanvallen besloot Google ontwikkelaars te waarschuwen. bron: security.nl

De manier waarop het flashgeheugen van ssd-schijven in elkaar zit maakt het mogelijk voor een aanvaller met schrijftoegang om rootrechten op het systeem te krijgen. Dat hebben onderzoekers van IBM tijdens de WOOT '17-conferentie aangetoond. De onderzoekers spreken van een "Rowhammer-achtige aanval". Rowhammer is een kwetsbaarheid in het DRAM-geheugen waardoor een aanvaller de data in het geheugen kan manipuleren zonder dit te benaderen. Door herhaaldelijk een specifieke geheugenlocatie te lezen kan er ergens anders in het geheugen een bit "flippen". Een één kan een nul worden of een nul een één. Door het flippen van deze bits is het uiteindelijk mogelijk om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het mogelijk is om kernelrechten te krijgen. De Rowhammer-aanval werd al in 2015 gedemonstreerd. De onderzoekers wilden echter kijken of een soortgelijke aanval ook tegen ssd-schijven met MLC NAND ?ashgeheugen werkt. "DRAM-geheugen is namelijk niet de enige plek die gevoelige data bevat die essentieel is voor het goed werken van security-primitieven in software", zo laten ze in hun rapport weten (pdf). Ook via het bestandssysteem waar het besturingssysteem gebruik van maakt kan er toegang tot vertrouwelijke data worden verkregen. Voor hun scenario gaan de onderzoekers er dan ook vanuit dat het slachtoffer een bestandssysteem op een ssd-schijf draait die van MLC NAND flashgeheugen gebruikmaakt. Om de aanval uit te kunnen voeren moet de aanvaller "unprivileged" rechten tot het systeem hebben. De onderzoekers gaan niet uit van een aanvaller met fysieke toegang, maar bijvoorbeeld om een server waar iemand met een standaard account op kan inloggen. Het account geeft de gebruiker of aanvaller via het bestandssysteem beperkte schrijftoegang. Net als met de Rowhammer-aanval op DRAM-geheugen blijkt dat ook de flashchips van ssd-schijven op een soortgelijke manier te manipuleren zijn en de aanvaller uiteindelijk zijn rechten op het systeem laten verhogen. De aanval kan volgens de onderzoekers door middel van schijfversleuteling, zoals dm-crypt, worden voorkomen. Voor de toekomst willen de onderzoekers een volledige systeemaanval uitwerken. Naar aanleiding van de Rowhammer-aanval kwamen fabrikanten zoals Apple met een update voor hun apparatuur. De onderzoekers van IBM laten niet weten of ze met hardwarefabrikanten over hun aanval hebben gesproken. bron: security.nl

Onderzoekers hebben een nieuwe exploitkit ontdekt die naast Internet Explorer en Adobe Flash Player ook gebruikers van Firefox en Cisco WebEx probeert aan te vallen. Het gaat om de Disdain-exploitkit, zo laat securitybedrijf Intsight weten. Exploitkits maken gebruik van beveiligingslekken in browsers en browserplug-ins om internetgebruikers ongemerkt met malware te infecteren. Het gaat daarbij meestal om bekende kwetsbaarheden waarvoor al geruime tijd een update beschikbaar is. Alleen gebruikers die hun software niet up-to-date houden lopen daardoor risico. Exploitkits hebben echter steeds minder succes, omdat browsers zich automatisch kunnen updaten en kwetsbare browserplug-ins blokkeren. Een andere belangrijke reden voor de teloorgang van exploitkits is het uitblijven van nieuwe exploits. Alle tot nu toe bekende exploitkits maken gebruik van kwetsbaarheden in Internet Explorer en Flash Player waar al meer dan een jaar updates voor beschikbaar zijn. De ontdekking van de Disdain-exploitkit is dan ook opmerkelijk, aangezien deze exploitkit vrij recente exploits bevat voor kwetsbaarheden in Cisco WebEx, Firefox en Internet Explorer die dit jaar werden gepatcht. Ook het aanvallen van Cisco WebEx en Firefox valt op. Firefox is in het verleden vaker het doelwit van exploitkits geweest, maar de laatste jaren hadden cybercriminelen het voornamelijk op Internet Explorer voorzien. Disdain maakt echter gebruik van vijf kwetsbaarheden in Mozilla's browser, waarvan de meest recente van 2017 is en de oudste van 2013 dateert. Cisco WebEx kreeg dit jaar met verschillende grote kwetsbaarheden te maken. De Cisco WebEx-extensie is bedoeld voor het bijwonen van video- en webconferenties. Het wordt dan ook voornamelijk in zakelijke omgevingen gebruikt. De kwetsbaarheid laat een kwaadaardige website een WebEx-sessie starten. Via deze WebEx-sessie kan een aanvaller vervolgens willekeurige code op het systeem uitvoeren. De plug-in heeft meer dan 10 miljoen installaties. Het WebEx-lek dat Disdain aanvalt werd eind januari door Cisco gepatcht. In het geval van de recente kwetsbaarheden in Firefox en IE verschenen daar respectievelijk in januari en maart updates voor. Ook in het geval van de Disdain-exploitkit, die voor 1400 dollar per maand aan cybercriminelen wordt aangeboden, geldt dat gebruikers die up-to-date met hun software zijn geen risico lopen. bron: security.nl

Een ernstig beveiligingslek in Microsoft Office dat in april van dit jaar werd gepatcht wordt nu op een geheel nieuwe manier via PowerPoint-bestanden aangevallen, zo stelt anti-virusbedrijf Trend Micro. De kwetsbaarheid (CVE-2017-0199) werd al voor het verschijnen van de Office-update actief aangevallen. Alleen het openen van een kwaadaardig Office-document was voldoende om met malware besmet te raken. In eerste instantie werd het beveiligingslek aangevallen via rtf-documenten. Nu zijn er ook aanvallen via de slideshow-feature van PowerPoint waargenomen. Volgens de onderzoekers is dit de eerste keer dat deze aanpak door cybercriminelen wordt gehanteerd. De aanval begint met een gerichte phishingmail die een kwaadaardig ppsx-bestand bevat. Zodra de gebruiker het bestand met een kwetsbare versie van Microsoft PowerPoint opent, zal de animatiefeature van PowerPoint worden gebruikt om malware op het systeem te installeren. Om zich te beschermen krijgen gebruikers het advies om de patch te installeren, aangezien die al sinds april beschikbaar is. In de praktijk blijkt dat zowel eindgebruikers als organisaties traag zijn met het installeren van Office-updates. Voor het verschijnen van CVE-2017-0199 in april was een beveiligingslek in Microsoft Office uit 2012 het meest aangevallen Office-lek door cybercriminelen. bron: security.nl