Captain Kirk

Een beveiligingslek in QuickTime voor Windows maakt het in bepaalde gevallen voor aanvallers mogelijk om systemen volledig over te nemen en Apple zal het probleem niet oplossen aangezien de software niet meer wordt ondersteund. Daarvoor waarschuwen het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) en het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie. Het probleem wordt veroorzaakt doordat het QuickTimes-installatieprogramma dll-bestanden uit dezelfde directory laadt. Dit zou een probleem in een ongecontroleerde locatie kunnen zijn, zoals de downloadmap van een browser. Als een aanvaller de gebruiker een kwaadaardig dll-bestand zou kunnen laten downloaden en de gebruiker vervolgens QuickTime installeert, wordt ook het kwaadaardige dll-bestand uitgevoerd en de malware uitgevoerd. Sommige browsers hebben het ooit toegestaan dat websites zonder te vragen bestanden in de downloadmap konden plaatsen. QuickTime voor Windows wordt al meer dan een jaar niet meer ondersteund door Apple. Het bedrijf adviseert gebruikers dan ook om de software te verwijderen. Een jaar geleden waarschuwden verschillende overheidsinstanties in Nederland en de Verenigde Staten nog om Apple QuickTime van Windowscomputers te verwijderen omdat de mediaspeler niet meer wordt ondersteund en er bekende kwetsbaarheden in aanwezig zijn. IBM ontwikkelde zelfs een script voor bedrijven om de mediaspeler van systemen te verwijderen. bron: security.nl

Myspace-accounts zijn eenvoudig te hacken, alleen de naam, gebruikersnaam en geboortedatum van een gebruiker zijn voldoende om toegang tot elk willekeurig account te krijgen, zo stelt onderzoekster Leigh-Anne Galloway. Myspace was ooit het grootste sociale netwerk op internet. Het verloor de concurrentiestrijd met Facebook en is nu voornamelijk een platform voor muziek en entertainment. Vorig jaar bevestigde Myspace dat een aanvaller de gegevens van 360 miljoen gebruikers had buitgemaakt. Accounts die voor 11 juni 2013 waren aangemaakt liepen risico, aldus de verklaring. Om gebruikers te beschermen werd daarom besloten van al deze accounts het wachtwoord te resetten. Daarnaast werden de beveiligingsmaatregelen aangescherpt, zo liet Myspace weten. Gebruikers lopen echter nog steeds risico dat hun account wordt gekaapt, aldus Galloway. Met drie stuks informatie is het namelijk mogelijk om toegang tot elk willekeurig Myspace-account te krijgen. Myspace beschikt over een 'account recovery feature' waarbij gebruikers allerlei informatie moeten opgeven. Alleen de gebruikersnaam, naam en geboortedatum worden echter gecontroleerd. De volledige naam van de gebruiker is volgens de onderzoekster via een eenvoudige Google-opdracht te vinden, terwijl de gebruikersnaam zich in de profiel-url van Myspace bevindt. De geboortedatum is het lastigst om te achterhalen, maar niet onmogelijk. Galloway waarschuwde Myspace in april voor de kwetsbaarheid, maar ontving alleen een geautomatiseerd antwoord. Daarop heeft ze nu besloten de kwetsbaarheid openbaar te maken. Galloway adviseert Myspace-gebruikers om hun account direct te verwijderen. bron: security.nl

Verschillende kwetsbaarheden in het slimme alarmsysteem iSmartAlarm kunnen een aanvaller op afstand volledige controle over het apparaat en de gegevens van alle gebruikers geven, waaronder hun adresgegevens. Daarvoor waarschuwt onderzoeker Ilia Shnaidman van securitybedrijf BullGuard. ISmartAlarm is een met internet verbonden alarmsysteem dat via een app is te bedienen. Het wordt ook in Nederland verkocht. Volgens Shnaidman zit het apparaat slecht in elkaar en is het een eenvoudig doelwit voor aanvallers. In totaal vond de onderzoeker vijf beveiligingslekken in het alarmsysteem en de achterliggende infrastructuur. Zo controleert het alarmsysteem niet de geldigheid van aangeboden ssl-certificaten en is het mogelijk om een denial of service-aanval op het apparaat uit te voeren zodat het apparaat niet meer werkt. Ook kan een aanvaller het apparaat uitschakelen, inschakelen of het "panic alarm" laten afgaan. Verder blijkt de achterliggende infrastructuur van iSmartAlarm toegankelijk. Zodoende kunnen van alle gebruikers de gegevens worden achterhaald, waaronder hun adresgegevens. Tevens is het volgens Shnaidman mogelijk om via deze kwetsbaarheid volledige controle over de apparaten te krijgen. Inbrekers zouden hier misbruik van kunnen maken, aldus de onderzoeker. Hij waarschuwde de fabrikant op 30 januari van dit jaar. Twee dagen later vroeg iSmartAlarm om meer gegevens, die Shnaidman verstrekte. Een reactie bleef echter uit, waarop de onderzoeker het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit benaderde. Aangezien er een half jaar later nog geen updates beschikbaar zijn heeft Shnaidman de details vrijgegeven. bron: security.nl

Een aanvaller heeft vorige week vrijdag 751 domeinnamen die bij de Franse registrar en hostingbedrijf Gandi waren geregistreerd naar een exploitkit laten wijzen, waaronder ook Nederlandse domeinnamen. Dat heeft het bedrijf in een analyse van de aanval laten weten. De aanvallers wisten de nameservers van de domeinnamen aan te passen zodat die naar een website met de Rig-exploitkit wezen. Deze exploitkit maakt gebruik van oude beveiligingslekken in Adobe Flash Player en Internet Explorer om gebruikers automatisch met malware te infecteren. In het geval gebruikers al meer dan een jaar geen Flash Player- en IE-updates hadden geïnstalleerd konden ze door de verwijzing naar de exploitkit met de Neutrino-bot besmet raken. Daarnaast werden ook de MX-records van de domeinen aangepast. Via deze records kan het adres van een mailserver worden opgegeven. De mailserver die de aanvaller invoerde bleek echter niet actief te zijn, zo laat het Zwitserse securitybedrijf Scrt in een analyse weten. In totaal werden 94 domeinen eindigend op .ch en .li aangepast, aldus Switch, de beheerder van het Zwitserse topleveldomein. Volgens Gandi was de aanval mogelijk doordat de aanvaller met de inloggegevens van Gandi bij een technische partner van de registrar kon inloggen. Deze inloggegevens zijn vermoedelijk gestolen via een onbeveiligde verbinding naar de webportal van deze technisch partner. De webportal in kwestie staat verbindingen via http toe. Vanwege de aanval besloot Gandi alle inloggegevens voor de 150 technische platformen waar het gebruik van maakt te resetten. Daarnaast is er een security-audit van de gehele interne en externe infrastructuur gestart. Verder zal de registrar controleren dat er voortaan alleen nog op beveiligde wijze met de platformen van partners verbinding wordt gemaakt. bron: security.nl

Personeel van de Amerikaanse douane mag geen gegevens in de cloud doorzoeken die via de telefoons of laptops van reizigers benaderbaar zijn. Lokaal op het apparaat opgeslagen gegevens mogen wel zonder gerechtelijk bevel en zonder aanleiding worden doorzocht. Dat blijkt uit een brief van de Amerikaanse douane CBP die in handen van NBC News is gekomen (pdf). De Amerikaanse senator Ron Wyden had de Amerikaanse douane om opheldering gevraagd over het doorzoeken van de apparatuur van reizigers (pdf). In april publiceerde het ministerie van Homeland Security cijfers waaruit blijkt dat er in zes maanden tijd 15.000 apparaten waren doorzocht. In een reactie op de brief van Wyden laat CBP-commissaris Kevin McAleenan weten dat douanepersoneel zonder toestemming, en in bepaalde gevallen zonder bevel of verdenking, apparatuur mag doorzoeken. Het gaat echter alleen om data die zich op het toestel zelf bevindt, zoals foto's, contactgegevens, gespreksgeschiedenis en sms-berichten. Bestanden in de cloud mogen niet worden doorzocht en douanepersoneel krijgt hierover ook specifieke instructies. In april presenteerden Wyden en andere senatoren nog een wetsvoorstel om de willekeurige doorzoekingen van laptops en telefoons van reizigers door de douane in te perken. bron: security.nl

Ondanks het uitkomen van een beveiligingsupdate in maart zijn nog altijd tienduizenden machines kwetsbaar voor de EternalBlue-exploit van de Amerikaanse geheime dienst NSA. Dat blijkt uit de resultaten van Eternal Blues, een gratis scanner die eind juni door onderzoeker Elad Erez van securitybedrijf Imperva werd uitgebracht. Organisaties kunnen de scanner gebruiken om kwetsbare machines binnen hun netwerk te vinden. De scanner controleert of Windowsmachines beveiligingsupdate MS17-010 hebben geïnstalleerd, die Microsoft in maart van dit jaar uitbracht en meerdere kwetsbaarheden in de SMB-dienst van Windows verhelpt. Een maand na het uitkomen van de patch publiceerde een groep genaamd Shadow Brokers verschillende NSA-exploits op internet die van de kwetsbaarheden misbruik maken. Het gaat onder andere om een exploit genaamd EternalBlue waarmee het mogelijk is om op afstand een kwetsbaar systeem over te nemen. Zowel WannaCry als Petya maakten gebruik van EternalBlue om systemen te infecteren. De Eternal Blues-scanner is inmiddels gebruikt om 8 miljoen systemen te scannen. Meer dan 50.000 machines bleken kwetsbaar voor de Eternal Blue-exploit te zijn. "Zelfs na de laatste aanvallen door WannaCry en NotPetya", aldus Erez, die opmerkt dat slechts één kwetsbare machine voldoende is om een heel netwerk te infecteren. Hij wijst naar een organisatie waarbij meer dan 10.000 machines werden gescand en er 12 kwetsbaar bleken te zijn. De onderzoeker adviseert organisaties om de Windows-update te installeren, SMBv1 uit te schakelen en het netwerk regelmatig op kwetsbaarheden te controleren. Onlangs voerde de Nederlandse beveiligingsonderzoeker Victor Gevers een onderzoek in Nederland uit, waaruit bleek dat er in Nederland nog ruim 6.000 kwetsbare servers waren. Inmiddels is dat aantal naar 295 gedaald. bron: security.nl

De Australische overheid heeft een wetsvoorstel gepresenteerd dat techbedrijven verplicht om versleutelde berichten te ontsleutelen. Het wetsvoorstel zorgt ervoor dat bij het helpen van opsporingsdiensten voor internetbedrijven dezelfde verplichtingen gelden als voor telefoonbedrijven. De techbedrijven kunnen zo door een rechtbank worden verplicht om berichten tussen gebruikers te ontsleutelen. "Het is een echt probleem dat opsporingsdiensten steeds vaker niet kunnen zien wat terroristen, drugshandelaren en pedofiele netwerken doen vanwege sterke encryptie", aldus de Australische premier Malcolm Turnbull tijdens de presentatie, zo laat persbureau AP weten. "Waar we kunnen, zullen we het afdwingen, maar we hebben de samenwerking van de techbedrijven nodig." "We kunnen niet toestaan dat het internet wordt gebruikt als een plek voor terroristen, kindermisbruikers, mensen die kinderpornografie aanbieden en drugshandelaren om zich in het donker te verbergen. Deze plekken moeten door de wet worden verlicht", aldus Turnbull tegenover Seven Network. Hij merkte daarbij op dat er niet met "backdoors" zal worden gewerkt. Volgens het plaatsvervangend hoofd van de Australische politie wordt encryptie bij meer dan de helft van de onderzoeken die het naar ernstige misdrijven uitvoert aangetroffen. De Australische minister van Justitie George Brandis kreeg tijdens een interview met ABC de vraag hoe het wetsvoorstel gaat werken in het geval van end-to-end-encryptie, waarbij alleen de afzender en ontvanger de inhoud van een bericht kunnen lezen. "Vorige week woensdag heb ik met de hoofdcryptograaf van de Britse geheime dienst GCHQ gesproken en hij verzekerde me dat dit haalbaar is. Experts hebben verschillende dingen beweerd, maar wat de overheid voorstelt is om bedrijven een verplichting op te leggen, bepaald door redelijkheid en proportionaliteit." Facebook liet vorige maand nog weten dat het vanwege de manier waarop end-to-end-encryptie werkt de inhoud niet kan lezen, maar in het geval van rechtsgeldige verzoeken informatie die het kan verstrekken zal verstrekken. Update De speech van Turnbull tijdens de aankondiging is online verschenen. De Australische premier maakt duidelijk dat hij wil dat opsporingsdiensten toegang tot de inhoud van versleutelde berichten krijgen. "We willen met andere leidende economieën in de wereld samenwerken, om ervoor te zorgen dat de briljante techbedrijven in Silicon Valley en hun navolgers, hun genialiteit inzetten om de wet te ondersteunen. Zodat we, niet via backdoors of andere ongewenste middelen, maar legaal, gepast, via het recht, op de normale manieren die in de offline wereld van toepassing zijn, zorgen dat opsporingsdiensten toegang tot deze communicatie hebben zodat ze ons kunnen beschermen." bron: security.nl

Gebruikers van Windows 10 die met hun Microsoft-account willen inloggen en hun wachtwoord of pincode zijn vergeten kunnen straks via het inlogscherm hun wachtwoord of pincode resetten. Microsoft heeft de functie aan een nieuwe testversie van Windows 10 toegevoegd. Microsoft bood organisaties met Azure AD Premium al de optie "Cloud Self Service Password Reset" aan. Volgens de softwaregigant ontlast dit systeembeheerders en helpdesks en bespaart het organisaties geld. De functie zal ook in Windows 10 beschikbaar worden. Om er van gebruik te maken moeten gebruikers wel met een Microsoft-account of Azure Active Directory Premium-account willen inloggen. Vervolgens kan vanaf het inlogscherm voor de optie "Reset Password" of "I forgot my PIN" worden gekozen om ze via de normale resetprocedure te resetten. Zodra het wachtwoord of pincode zijn gereset komt de gebruiker weer terug bij het inlogscherm. Dit geldt alleen voor deze twee type accounts. Lokale gebruikersaccounts zijn op deze manier niet te resetten. De feature is nu al te testen in de Windows 10 Insider Preview Build 16241. bron: security.nl

Aanvallers scannen op internet actief naar nog niet afgeronde WordPress-installaties om die vervolgens eenvoudig over te nemen. Na de installatie van WordPress op een server moet de website zelf nog worden geconfigureerd. Hiervoor is er de standaardpagina /wp-admin/setup-config.php. De aanwezigheid van deze pagina wil zeggen dat de website nog niet is geconfigureerd. De aanvallers scannen dan ook actief naar deze specifieke pagina. In mei en juni ging het om duizenden scans. Via setup-config.php kan de website middels een eenvoudige interface worden geconfigureerd. Zo kunnen de databasenaam, databaselocatie, gebruikersnaam en wachtwoord worden opgegeven. "Zodra een aanvaller beheerderstoegang tot een WordPress-website heeft die op jouw hostingaccount draait, kan hij willekeurige php-code op je hostingaccount uitvoeren", zegt Mark Maunder van securitybedrijf Wordfence. Zodoende is het mogelijk om ook andere websites over te nemen die vanuit het account worden gehost. Maunder adviseert hostingbedrijven die WordPress-hosting aanbieden dan ook om klanten te waarschuwen die hun WordPress-site nog niet hebben geconfigureerd. bron: security.nl

Google heeft een back-uptool voor computers gelanceerd waarmee gebruikers back-ups van bestanden en foto's kunnen maken. 'Backup and Sync', zoals de software heet, slaat bestanden op in Google Drive en Google Photos. Gebruikers kunnen zelf aangeven welke mappen ze willen back-uppen. Volgens de internetgigant moet het via de software eenvoudiger voor gebruikers worden om bestanden te beschermen. Met de lancering van de nieuwe back-uptool heeft Google besloten om de Google Photos desktop uploader en Drive voor Mac en pc te vervangen. Backup and Sync is beschikbaar voor Mac en pc. Voor zakelijke gebruikers zal Google later dit jaar met "Drive File Stream" komen. Deze tool laat gebruikers grote hoeveelheden zakelijke data in de cloud benaderen, zonder dat dit ruimte op hun eigen harde schijf in beslag neemt. bron: security.nl

Veel malware exemplaren die zich op internetbankieren richten proberen gegevens te stelen door middel van een keylogger, het maken van screenshots of het injecteren van extra invoervelden, maar onderzoekers hebben nu een exemplaar ontdekt dat ook video-opnames maakt. Hoe de malware genaamd 'DuBled' precies wordt verspreid laat securitybedrijf Malwarebytes niet weten. Eenmaal actief op een machine downloadt de malware de legitieme applicatie ffmpeg. Dit is een multimedia framework voor het verwerken van audio en video. De malware heeft namelijk als doel om gegevens voor internetbankieren te stelen. Zodra de gebruiker naar een banksite gaat maakt de malware via ffmpeg video-opnames en stuurt die terug naar de aanvallers. De malware is ook in staat om screenshots te maken en toetsaanslagen op te slaan. Deze gegevens comprimeert de malware via de legitieme applicatie rar.exe, die het ook downloadt. De lijst met aan te vallen banken wordt door de controleserver van de aanvallers naar de besmette computer gestuurd. Het gaat onder andere om Franse banken zoals La Banque Postale, Société Générale en BNP Paribas. bron: security.nl

Bijna de helft van de 1 miljoen populairste websites op internet maakt gebruik van https, zo blijkt uit onderzoek van Mozilla. De opensource-ontwikkelaar keek naar de Alexa Top 1 Million Websites en het gebruik van verschillende beveiligingsmaatregelen, zoals https, hsts en Content Security Policy. Vorig jaar april beschikte 29,6 procent van de websites over een ssl-certificaat. Een half jaar later in oktober was dit naar 33,6 procent gestegen. Deze maand voerde Mozilla een nieuwe meting uit en zag dat 45,8 procent van de websites via https is te bezoeken. "Hoewel een 36 procent toename van websites die https ondersteunen klein lijkt, zijn de absolute getallen vrij groot. Het gaat om meer dan 119.000 websites", zegt Mozilla's April King. Verder blijkt dat 93.000 van die websites nu standaard via https zijn te bezoeken, waarbij er 18.000 toegang via http verbieden. Tevens was er een sterke procentuele toename van websites die van Content Security Policy (CSP) gebruikmaken. CSP is een maatregel die cross-site scripting (xss), clickjacking en soortgelijke aanvallen moet voorkomen. Via CSP kunnen beheerders domeinen opgeven die de browser als geldige aanbieder moet beschouwen voor het uitvoeren van scripts. Een browser die CSP ondersteunt zal dan alleen nog maar bestanden uitvoeren die afkomstig zijn van domeinen op de whistelist en alle andere scripts negeren. Ondanks de procentuele toename maken de meeste websites op het web nog altijd geen gebruik van CSP. bron: security.nl

De Petya-ransomware heeft veel minder computers besmet dan in eerste instantie werd verwacht, namelijk minder dan 20.000, zo stelt Microsoft. De aanval begon in Oekraïne, waar 70 procent van alle getroffen systemen zich bevindt. Het grootste deel van de getroffen computers draait op Windows 7. In een nieuw artikel gaat de softwaregigant in op de werking van de Petya-ransomware en hoe Windows 10 hier tegen kan beschermen. Volgens Microsoft is een opvallend aspect van de Petya-ransomware dat de ontwikkelaars technieken toepasten die normaliter door penetratietesters en hackers worden gebruikt en deze technieken vervolgens binnen de malware hebben geautomatiseerd. Volgens Microsoft had Windows 10 de impact van de Petya-ransomware kunnen beperken. Zo beschikt het besturingssysteem over beveiligingsmaatregelen die het stelen van inloggegevens, zoals de malware doet, voorkomen. Daarnaast stopt UEFI Secure Boot de versleuteling van de bootloader van de harde schijf. Verder komt uit de analyse naar voren dat als de Petya-ransomware de anti-virussoftware van Kaspersky Lab aantreft, het de eerste tien sectoren van de harde schijf vernietigt, waaronder de MBR-sector. Wordt de software van Symantec aangetroffen, dan zal de malware zich niet via SMB proberen te verspreiden. Microsoft laat ook weten dat getroffen machines met Secure Boot en UEFI en machines zonder UEFI met Kaspersky-software hersteld kunnen worden. In het geval de gijzelmelding wordt getoond is herstel niet mogelijk. Microsoft stelt dat persoonlijke bestanden op de harde schijf in kwestie mogelijk nog wel via recoverytools op een schoon systeem hersteld kunnen worden. bron: security.nl

Klanten van Amazon, Alibaba en eBay zijn het doelwit geworden van de beruchte Microsoft-scam, die dit keer met een zogenaamde annuleringsmail begint. De e-mail laat weten dat een bestelling is geannuleerd. Het bestelnummer bevat een link die naar een website met allerlei pornografische afbeeldingen wijst. Deze pagina laat tegelijkertijd een pop-up zien die claimt dat er een virus op de computer is aangetroffen. Vervolgens wordt de browser vergrendeld, zo meldt PhishLabs. Details over de exacte methode worden niet gegeven, maar in het verleden maakten dit soort scams vaak gebruik van JavaScript om het sluiten van de browser te voorkomen. De waarschuwing die de gebruiker te zien krijgt laat weten dat er een telefoonnummer moet worden gebeld om de computer te ontgrendelen. Dit is het begin van de bekende Microsoft-scam. Het getoonde nummer is namelijk van oplichters die zich als Microsoftmedewerker voordoen en tegen betaling de "problemen" zeggen op te lossen. Vervolgens proberen ze de computer van het slachtoffer over te nemen. Vorige week werd bekend dat de afgelopen anderhalf jaar 1900 Nederlanders slachtoffer van deze scam zijn geworden, waarbij de oplichters honderdduizenden euro's wisten te stelen. In Groot-Brittannië werden het afgelopen jaar 34.500 Britten voor omgerekend 23,5 miljoen euro opgelicht. bron: security.nl

Het deel van de Petya-ransomware waardoor het netwerken kan infecteren is volgens het Finse F-Secure in februari al ontwikkeld, wat opmerkelijk is, aangezien de twee NSA-exploits die de malware gebruikt pas in april openbaar werden. "Er is bewijs dat de ontwikkeling van het onderdeel om zich via netwerken te verspreiden in februari is voltooid", zegt onderzoeker Andy Patel. De Petya-ransomware maakt gebruik van de EternalBlue- en EternalRomance-exploits van de NSA om zich door netwerken heen te bewegen, alsmede het gebruik van gestolen beheerdergegevens. De twee NSA-exploits werden pas in april openbaar gemaakt door een groep genaamd Shadow Brokers, maar zouden dus al in februari zijn verwerkt binnen de Petya-ransomware. "Deze exploits passen binnen de netwerkmodule als een handschoen", zegt Patel. In de analyse van F-Secure worden de Petya-ontwikkelaars dan ook "vrienden van de Shadow Brokers" genoemd. De WannaCry-ransomware maakte ook gebruik van de EternalBlue-exploit, maar de ontwikkelaars van deze ransomware kregen er pas toegang toe nadat de Shadow Brokers de exploit in april openbaar maakten. Daarnaast verdiende de manier waarop WannaCry de EternalBlue-exploit implementeerde geen schoonheidsprijs, gaat Patel verder. In het geval van Petya is dat een ander verhaal en is er uitgebreid getest. De onderzoeker denkt dat de ontwikkelaars van Petya door de plotselinge verschijning van WannaCry, waardoor organisaties opeens de Windows-updates voor de SMB-lekken in Windows begonnen te installeren, hun deadline besloten aan te passen. Verder zou het gedeelte van de ransomware dat de Master Boot Record (MBR) van de harde schijf versleutelt in mei zijn getest via een waterhole-aanval op een Oekraïense site die eerder door het Russische anti-virusbedrijf Kaspersky Lab werd beschreven. Patel laat verder weten dat de Petya-ransomware een "vendetta" tegen de anti-virussoftware van Kaspersky Lab heeft. Als de malware Kaspersky-software op het systeem aantreft overschrijft die de eerste 10 sectoren van de schijf met willekeurige data en herstart daarna de machine, waardoor die onbruikbaar achterblijft. Als laatste merkt de onderzoeker op dat sommige van de getroffen bedrijven geen duidelijke relatie met Oekraïne hebben of de MEDoc-software gebruikten, waardoor de ransomware zich initieel verspreidde. "Dit mysterie is een van de redenen waarom we nog niet op de samenzweringstrein zijn gesprongen", aldus Patel. bron: security.nl

Microsoft heeft in een nieuwe testversie van Windows 10 een beveiligingsmaatregel toegevoegd die bestanden tegen ransomware moet beschermen, zo heeft de softwaregigant in een blogposting bekendgemaakt. Het gaat om een nieuwe optie van Windows Defender genaamd "Controlled folder access". Via de optie kunnen gebruikers mappen opgeven die worden gemonitord. Zodra een niet toegestane app een aanpassing aan bestanden binnen deze mappen probeert te maken krijgt de gebruiker een waarschuwing. Standaard worden mappen als Documenten, Foto's en de Desktop gemonitord. Gebruikers kunnen zelf mappen toevoegen en applicaties opgeven die bestanden in deze locaties mogen aanpassen. Daarnaast is het mogelijk om gedeelde netwerkmappen op te geven. De beveiligingsmaatregel is in Windows 10 Insider Preview Build 16232 te testen. De beveiligingsoptie moet in de testversie nog wel door gebruikers worden ingeschakeld. bron: security.nl

In anderhalf jaar tijd heeft certificaatautoriteit Let's Encrypt 100 miljoen gratis ssl-certificaten uitgegeven, waarmee het de grootste of op één na grootste certificaatautoriteit ter wereld is. De 100 miljoen uitgegeven certificaten willen nog niet zeggen dat 100 miljoen verschillende websites Let's Encrypt-certificaten gebruiken. Waarschijnlijk ligt het werkelijke aantal websites dat bezoekers via Let's Encrypt een versleutelde verbinding aanbiedt tussen de 17 miljoen en 46 miljoen, zo meldt de Amerikaanse burgerrechtenbeweging EFF. Zo kunnen meerdere certificaten voor dezelfde websites worden uitgegeven en verlopen certificaten ook. Ook kunnen certificaten worden aangevraagd voor andere internetdiensten dan websites en worden niet alle uitgegeven certificaten ook daadwerkelijk gebruikt. Volgens Let's Encrypt laat de stijging de sterke vraag naar gratis ssl-certificaten zien. Ook maakt het duidelijk dat de certificaatautoriteit op grote schaal aan deze vraag kan voldoen, mede door het proces van aanvragen, uitgeven en installeren van de certificaten zoveel mogelijk te automatiseren. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) en wordt gesteund door Mozilla, Akamai, Cisco, de EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van ssl-certificaten zo eenvoudig mogelijk te maken. bron: security.nl

De CIA beschikt over malware die Windowscomputers via wifi-signalen in de omgeving lokaliseert, zo blijkt uit een nieuwe onthulling van WikiLeaks. De ELSA-malware, die via CIA-exploits op systemen wordt geïnstalleerd, scant zichtbare wifi-netwerken en verzamelt de ESS-identifier, mac-adres en signaalsterkte. De malware verzamelt deze gegevens ook als de computer niet met een wifi-netwerk is verbonden. De wifi-interface hoeft alleen te zijn ingeschakeld. Wanneer er wel verbinding met het internet is maakt de malware automatisch verbinding met publieke geolocatiedatabases van Google en Microsoft om de positie van het apparaat te achterhalen en slaat de lengte- en breedtegraad en timestamp op. Deze gegevens worden versleuteld op het systeem opgeslagen. De malware stuurt de data niet terug naar de Amerikaanse inlichtingendienst. In plaats daarvan moet een CIA-werknemer dit zelf doen, via andere exploits en backdoors, aldus WikiLeaks. De CIA omschrijft ELSA als een systeem voor het lokaliseren van computers die over wifi beschikken en leefpatronen zichtbaar kan maken. Uit de begeleidende handleiding blijkt dat de ELSA-malware uit 2013 stamt. bron: security.nl

Microsoft heeft een nieuwe versie van Azure Active Directory (AD) Connect uitgebracht die een belangrijke kwetsbaarheid verhelpt. Azure AD is een cloudgebaseerde dienst voor identiteits- en toegangsmanagement voor organisaties. Via het lek kon een aanvaller in het geval van een misconfiguratie van de 'Password writeback' optie wachtwoorden resetten en ongeautoriseerde toegang tot lokale AD-gebruikersaccounts met hogere rechten krijgen. Password writeback is een onderdeel van Azure AD Connect dat gebruikers een cloudgebaseerde manier biedt om hun lokale Active Directory-account te resetten, ongeacht waar ze zich bevinden. Bij het instellen van de optie kon het voorkomen dat beheerders een fout maakten waardoor het via Azure AD Connect mogelijk was om lokale accounts met hogere rechten, zoals Enterprise- en Domain Administrator-accounts, te resetten. Microsoft raadt deze configuratie af, omdat een kwaadwillende Azure AD-beheerder het wachtwoord van een lokale AD-gebruiker met verhoogde rechten kon resetten. Zodoende kon de Azure AD-beheerder toegang tot de lokale Active Directory krijgen. Het probleem is opgelost door Azure AD Connect geen willekeurige wachtwoordresets van lokale geprivilegieerde accounts te laten uitvoeren. Organisaties krijgen het advies om te updaten naar Azure AD Connect 1.1.553.0. bron: security.nl

De Petya-ransomware die bedrijven gisteren wereldwijd infecteerde is ontwikkeld om schade aan te richten en niet om geld te verdienen. Dat laat de beveiligingsonderzoeker met het alias The Grugq in een artikel op Medium weten. De onderzoeker wijst naar de complexiteit van de worm die zich als een variant van de Petya-ransomware voordoet. Ondanks de complexiteit wordt er van slechts één bitcoin-adres en één e-mailadres gebruikgemaakt. Verder wordt er een lange, complexe code gebruikt die slachtoffers naar het ene e-mailadres moeten mailen om hun decryptiesleutel te ontvangen. Een zeer omslachtige methode. Daarnaast werd het opgegeven e-mailadres al snel geblokkeerd, wat volgens The Grugq te verwachten was. De gebruikte betaalmethode is dan ook een slechte keuze als het doel was om geld te verdienen, maar daar twijfelt de onderzoeker aan. "Hoewel er veel code wordt gedeeld, was de echte Petya een criminele onderneming bedoeld om geld te verdienen. Deze versie is zeker niet ontwikkeld om geld te verdienen. Het is ontwikkeld om zich snel te verspreiden en schade aan te richten onder de dekmantel van "ransomware"", aldus The Grugq. Hij wijst erop dat de malware zich verspreidde via de updateservers van MeDoc. De gelijknamige boekhoudsoftware is verplicht voor alle organisaties die belasting in Oekraïne betalen. Een aanval die vanaf MeDoc werd uitgevoerd zou dan ook niet alleen de Oekraïense overheid raken, maar ook veel buitenlandse investeerders en bedrijven, merkt de onderzoeker op. Hij wijst verder naar de infectie bij de Russische oliegigant Rosneft. Het bedrijf maakt geen gebruik van MeDoc, maar raakte toch besmet. Toch kon de malware zonder verstoringen aan de systemen worden opgelost. "Een wonder", zegt The Grugq. Ook onderzoeker Kevin Beaumont liet gisteren weten dat de ransomware niet ontwikkeld was om geld te verdienen. bron: security.nl

Op dinsdag 27 juni, ongeveer zes weken na de uitbraak van de WannaCry-ransomware, werden bedrijven wereldwijd opnieuw getroffen door een grootschalige ransomware-uitbraak. Dit keer gaat het om een ransomware-exemplaar dat Petya, GoldenEye, ExPetr en ook NotPetya wordt genoemd. In dit artikel geeft Security.NL een overzicht van de tot nu toe bekende informatie. Wat doet de ransomware? In tegenstelling tot WannaCry die alleen bepaalde bestanden versleutelde, versleutelt Petya zowel bestanden als de MFT (Master File Table) en de MBR (Master Boot Record) van de harde schijf. Daardoor kan Windows niet meer worden gestart. Daarnaast probeert de ransomware zich verder op het netwerk te verspreiden. Hoe verspreidt de ransomware zich? Het lijkt om een combinatie van aanvalsmethodes te gaan. Verschillende securitybedrijven en onderzoekers stellen dat de ransomware als eerste werd verspreid via de updatefunctie van de boekhoudsoftware M.E.Doc. De software is door een Oekraïens softwarebedrijf ontwikkeld en is in het land erg populair, maar wordt ook daar buiten gebruikt. Op de eigen website bevestigt M.E.Doc dat de updateservers zijn gehackt en gebruikt voor de aanval, maar op Facebook wordt het ontkend. De Oekraïense politie laat op Twitter echter weten dat de updatefunctie voor de aanval is gebruikt. Ook verschillende andere securitybedrijven stellen dit. Volgens securitybedrijf FireEye komt de timing van een update die gisteren via de servers van M.E.Doc is uitgerold overeen met de meldingen van de ransomware. De ransomware maakt daarnaast gebruik van beveiligingslekken in de SMB-dienst van Windows die op 14 maart dit jaar door Microsoft werden gepatcht. Het gaat om dezelfde kwetsbaarheid die ook door WannaCry werd aangevallen, alsmede een lek dat in Windows XP tot en met Windows Server 2008 aanwezig is. Voor de aanvallen worden twee exploits gebruikt die bij de NSA zijn gestolen, de EternalBlue- en EternalRomance-exploit. Tevens wordt er een soort Mimikatz-achtige tool gebruikt voor het stelen van inloggegevens uit het lsass.exe-proces. Deze gestolen inloggegevens worden vervolgens door de PsExec-tool of WMIC gebruikt om de ransomware binnen een netwerk te verspreiden. PsExec is een tool van Microsoft om processen op andere systemen uit te voeren. Mogelijk dat de ransomware vanaf locaties die via de M.E.Doc-software werden besmet kantoren in andere landen heeft kunnen infecteren. Maakt de ransomware ook gebruik van e-mailbijlagen? De eerste versies van Petya die vorig jaar verschenen gebruikten e-mailbijlagen. Dat blijkt bij deze variant niet het geval te zijn. Welke Windowsversies lopen risico? Zodra de ransomware een machine in een netwerk heeft geïnfecteerd kunnen in principe alle Windowscomputers worden aangevallen, ongeacht geïnstalleerde versie of patchniveau. Welke organisaties zijn getroffen? Uit cijfers van anti-virusbedrijf Kaspersky Lab blijkt dat de meeste infecties in Oekraïne en Rusland zijn waargenomen, gevolgd door Polen en Italië. Onder de getroffen bedrijven bevinden zich: Maersk, APM Terminals (onderdeel van Maersk), snoepfabrikant Mars, advocatenkantoor DLA Piper, Heritage Valley Health System (Amerikaanse ziekenhuizen), medicijnfabrikant Merck, medicijnfabrikant MSD, chocoladeproducent Cadbury, Raab Karcher, reclamebureau WPP, TNT Express, het Nederlandse trustkantoor TMF, de Franse retailer Auchan, het Franse bouwbedrijf St. Gobain, BNP Paribas Real Estate en de Russische oliegigant Rosneft. Wat kunnen slachtoffers doen? De ransomware begint niet meteen met versleutelen. Na de initiële infectie wacht de ransomware tussen de 10 en 60 minuten voordat de encryptie begint. Als slachtoffers in dit tijdsvenster de computer uitschakelen zijn de bestanden veilig. Daarnaast hebben slachtoffers nog een kans als de encryptie begint. De ransomware herstart namelijk het systeem en laat vervolgens een zogenaamde checkdiskmelding van Windows zien. Deze melding claimt dat de harde schijf is beschadigd en hersteld moet worden. In werkelijkheid is dit het encryptieproces. Als gebruikers bij het zien van dit scherm de computer uitschakelen zijn de bestanden ook veilig. Experts stellen dat als de encryptie is voltooid het vooralsnog niet mogelijk lijkt om bestanden kosteloos te ontsleutelen, bijvoorbeeld door een fout in de gebruikte encryptieprocessen, zoals bij sommige andere ransomware-exemplaren het geval is geweest. Hoeveel losgeld vraagt de ransomware? Er wordt 300 dollar in bitcoin gevraagd dat naar een bitcoin-adres moet worden overgemaakt. De ransomware maakt gebruik van één bitcoin-adres, dat op het moment van schrijven inmiddels 36 transacties heeft ontvangen ter waarde van bijna 8.000 euro. Hoe kunnen organisaties zich tegen de aanval beschermen? Organisaties krijgen het advies om in ieder geval beveiligingsupdate MS17-010 van 14 maart te installeren mochten ze dit nog niet hebben gedaan. Daarnaast wordt aangeraden om de AppLocker-feature van Windows te gebruiken om het uitvoeren van bestanden met de naam "perfc.dat" te blokkeren, alsmede de PsExec-tool van de Sysinternals Suite. Verder wordt geadviseerd het SMBv1-protocol uit te schakelen. Het Zwitserse GovCERT adviseert om 'admin shares' te blokkeren. De Duitse overheid raadt aan om de automatische updatefunctie van de MeDoc-software uit te schakelen of het update-domein van de software te blokkeren. Ook wordt aangeraden om netwerken te segmenteren en naar wachtwoorden en instellingen van lokale systeembeheerders te kijken. Hoe zit het met Nederlandse organisaties? Containerterminals van APM in Rotterdam kregen met de infectie te maken, alsmede pakketvervoerder TNT Express, medicijnfabrikant MSD, Het Nederlandse trustkantoor TMF en Raab Karcher, leverancier van bouwmaterialen. Krijgen slachtoffers die betalen hun bestanden terug? De Duitse e-mailprovider Posteo heeft het e-mailadres dat de aanvallers gebruiken om met slachtoffers te communiceren geblokkeerd. Ook is het niet meer mogelijk om naar het e-mailadres te mailen. Zelfs als slachtoffers betalen kunnen ze daardoor niet meer de benodigde decryptiesleutel in handen krijgen en hun bestanden ontsleutelen. Is de uitbraak van Petya groter dan die van WannaCry? Nee, WannaCry wist veel meer machines te infecteren dan Petya. In het geval van WannaCry worden er schattingen van 2 miljoen genoemd, terwijl het in het geval van Pety om enkele tienduizenden machines gaat. Gaat het hier echt om ransomware? Uit analyses van Petya blijkt dat het hier niet om ransomware gaat, maar een wiper. Een wiper is malware die specifiek ontwikkeld is om gegevens te wissen en systemen te beschadigen. In het geval van Petya blijkt dat de malware opzettelijk 24 blocks van de harde schijf overschrijft en het installatie-ID dat de 'ransomware' opgeeft een willekeurige reeks karakters is en geen relatie heeft met de encryptiesleutel die is gebruikt om de gegevens te versleutelen. bron: security.nl

Beste Danny, Hoe staat het met je probleem? Is het opgelost? We horen het graag zodat we dit topic kunnen sluiten.

Beste Meester-Eric, Is het nog gelukt met het bovenstaande advies? We horen het graag zodat we dit topic eventueel kunnen sluiten.

De Duitse beveiligingsonderzoeker Hanno Bock waarschuwt beheerders, webmasters en organisaties voor coredumps die na een crash op webservers kunnen achterblijven, aangezien deze bestanden allerlei vertrouwelijke informatie zoals wachtwoorden kunnen bevatten. Via een coredump is het mogelijk om crashende software te analyseren. Als een programma crasht vanwege een geheugenprobleem zal het besturingssysteem de huidige inhoud van het geheugen van de applicatie in een bestand genaamd 'core' opslaan. Dit is handig voor testdoeleinden, maar brengt ook een veiligheidsrisico met zich mee omdat de coredump gevoelige informatie kan prijsgeven. Als een webapplicatie crasht zal de coredump in de root van de webserver worden opgeslagen. Aangezien de naam van het bestand bekend is, kan een aanvaller eenvoudig op de aanwezigheid van een dergelijk bestand controleren. Bock besloot de 1 miljoen populairste websites op internet langs te gaan en ontdekte bij duizend hosts een coredump. De onderzoeker waarschuwde de eigenaren, maar kreeg vaak een reactie terug dat het bedrijf in kwestie niet de eigenaar van de host was, maar dat het om een klant van hen ging. "Mijn scans laten zien dat dit een relatief veelvoorkomend probleem is", aldus Bock, die beheerders oproept om de instellingen aan te passen zodat er geen coredump met inhoud wordt aangemaakt. Daarnaast adviseert hij pentesters om op de aanwezigheid van coredumps te testen. bron: security.nl

Er is een toename van het aantal bruteforce-aanvallen op WordPress-sites, waarbij de aanvaller mogelijk een botnet van gehackte thuisrouters gebruiken. Daarvoor waarschuwt beveiligingsbedrijf Wordfence. Gisteren was er een sterke stijging van het aantal waargenomen aanvallen waarbij aanvallers via allerlei combinaties van gebruikersnamen en wachtwoorden op websites proberen in te loggen. In april vonden er ook al dergelijke aanvallen plaats. Aan de hand van de aanvallen op de WordPress-sites werden toen 28 providers wereldwijd in kaart gebracht waarvan verdacht aanvalsverkeer werd waargenomen dat waarschijnlijk van gehackte routers afkomstig is. Aan de hand van het aanvalsverkeer dat deze week werd waargenomen werd een Top 20 van providers opgesteld. Alle 20 providers in dit overzicht kwamen in april ook in de lijst van 28 providers voor. WordPress-beheerders krijgen dan ook het advies geen eenvoudig te raden gebruikersnaam zoals admin, webmaster of de naam van de website te gebruiken, een sterk wachtwoord te kiezen, het aantal toegestane inlogpogingen te beperken en onnodige beheerderaccounts te verwijderen. Daarnaast wordt het gebruik van tweefactorauthenticatie aangeraden. Zelfs als een aanvaller het wachtwoord weet te achterhalen kan hij dan nog niet inloggen. bron: security.nl