Captain Kirk

Google heeft een back-uptool voor computers gelanceerd waarmee gebruikers back-ups van bestanden en foto's kunnen maken. 'Backup and Sync', zoals de software heet, slaat bestanden op in Google Drive en Google Photos. Gebruikers kunnen zelf aangeven welke mappen ze willen back-uppen. Volgens de internetgigant moet het via de software eenvoudiger voor gebruikers worden om bestanden te beschermen. Met de lancering van de nieuwe back-uptool heeft Google besloten om de Google Photos desktop uploader en Drive voor Mac en pc te vervangen. Backup and Sync is beschikbaar voor Mac en pc. Voor zakelijke gebruikers zal Google later dit jaar met "Drive File Stream" komen. Deze tool laat gebruikers grote hoeveelheden zakelijke data in de cloud benaderen, zonder dat dit ruimte op hun eigen harde schijf in beslag neemt. bron: security.nl

Veel malware exemplaren die zich op internetbankieren richten proberen gegevens te stelen door middel van een keylogger, het maken van screenshots of het injecteren van extra invoervelden, maar onderzoekers hebben nu een exemplaar ontdekt dat ook video-opnames maakt. Hoe de malware genaamd 'DuBled' precies wordt verspreid laat securitybedrijf Malwarebytes niet weten. Eenmaal actief op een machine downloadt de malware de legitieme applicatie ffmpeg. Dit is een multimedia framework voor het verwerken van audio en video. De malware heeft namelijk als doel om gegevens voor internetbankieren te stelen. Zodra de gebruiker naar een banksite gaat maakt de malware via ffmpeg video-opnames en stuurt die terug naar de aanvallers. De malware is ook in staat om screenshots te maken en toetsaanslagen op te slaan. Deze gegevens comprimeert de malware via de legitieme applicatie rar.exe, die het ook downloadt. De lijst met aan te vallen banken wordt door de controleserver van de aanvallers naar de besmette computer gestuurd. Het gaat onder andere om Franse banken zoals La Banque Postale, Société Générale en BNP Paribas. bron: security.nl

Bijna de helft van de 1 miljoen populairste websites op internet maakt gebruik van https, zo blijkt uit onderzoek van Mozilla. De opensource-ontwikkelaar keek naar de Alexa Top 1 Million Websites en het gebruik van verschillende beveiligingsmaatregelen, zoals https, hsts en Content Security Policy. Vorig jaar april beschikte 29,6 procent van de websites over een ssl-certificaat. Een half jaar later in oktober was dit naar 33,6 procent gestegen. Deze maand voerde Mozilla een nieuwe meting uit en zag dat 45,8 procent van de websites via https is te bezoeken. "Hoewel een 36 procent toename van websites die https ondersteunen klein lijkt, zijn de absolute getallen vrij groot. Het gaat om meer dan 119.000 websites", zegt Mozilla's April King. Verder blijkt dat 93.000 van die websites nu standaard via https zijn te bezoeken, waarbij er 18.000 toegang via http verbieden. Tevens was er een sterke procentuele toename van websites die van Content Security Policy (CSP) gebruikmaken. CSP is een maatregel die cross-site scripting (xss), clickjacking en soortgelijke aanvallen moet voorkomen. Via CSP kunnen beheerders domeinen opgeven die de browser als geldige aanbieder moet beschouwen voor het uitvoeren van scripts. Een browser die CSP ondersteunt zal dan alleen nog maar bestanden uitvoeren die afkomstig zijn van domeinen op de whistelist en alle andere scripts negeren. Ondanks de procentuele toename maken de meeste websites op het web nog altijd geen gebruik van CSP. bron: security.nl

De Petya-ransomware heeft veel minder computers besmet dan in eerste instantie werd verwacht, namelijk minder dan 20.000, zo stelt Microsoft. De aanval begon in Oekraïne, waar 70 procent van alle getroffen systemen zich bevindt. Het grootste deel van de getroffen computers draait op Windows 7. In een nieuw artikel gaat de softwaregigant in op de werking van de Petya-ransomware en hoe Windows 10 hier tegen kan beschermen. Volgens Microsoft is een opvallend aspect van de Petya-ransomware dat de ontwikkelaars technieken toepasten die normaliter door penetratietesters en hackers worden gebruikt en deze technieken vervolgens binnen de malware hebben geautomatiseerd. Volgens Microsoft had Windows 10 de impact van de Petya-ransomware kunnen beperken. Zo beschikt het besturingssysteem over beveiligingsmaatregelen die het stelen van inloggegevens, zoals de malware doet, voorkomen. Daarnaast stopt UEFI Secure Boot de versleuteling van de bootloader van de harde schijf. Verder komt uit de analyse naar voren dat als de Petya-ransomware de anti-virussoftware van Kaspersky Lab aantreft, het de eerste tien sectoren van de harde schijf vernietigt, waaronder de MBR-sector. Wordt de software van Symantec aangetroffen, dan zal de malware zich niet via SMB proberen te verspreiden. Microsoft laat ook weten dat getroffen machines met Secure Boot en UEFI en machines zonder UEFI met Kaspersky-software hersteld kunnen worden. In het geval de gijzelmelding wordt getoond is herstel niet mogelijk. Microsoft stelt dat persoonlijke bestanden op de harde schijf in kwestie mogelijk nog wel via recoverytools op een schoon systeem hersteld kunnen worden. bron: security.nl

Klanten van Amazon, Alibaba en eBay zijn het doelwit geworden van de beruchte Microsoft-scam, die dit keer met een zogenaamde annuleringsmail begint. De e-mail laat weten dat een bestelling is geannuleerd. Het bestelnummer bevat een link die naar een website met allerlei pornografische afbeeldingen wijst. Deze pagina laat tegelijkertijd een pop-up zien die claimt dat er een virus op de computer is aangetroffen. Vervolgens wordt de browser vergrendeld, zo meldt PhishLabs. Details over de exacte methode worden niet gegeven, maar in het verleden maakten dit soort scams vaak gebruik van JavaScript om het sluiten van de browser te voorkomen. De waarschuwing die de gebruiker te zien krijgt laat weten dat er een telefoonnummer moet worden gebeld om de computer te ontgrendelen. Dit is het begin van de bekende Microsoft-scam. Het getoonde nummer is namelijk van oplichters die zich als Microsoftmedewerker voordoen en tegen betaling de "problemen" zeggen op te lossen. Vervolgens proberen ze de computer van het slachtoffer over te nemen. Vorige week werd bekend dat de afgelopen anderhalf jaar 1900 Nederlanders slachtoffer van deze scam zijn geworden, waarbij de oplichters honderdduizenden euro's wisten te stelen. In Groot-Brittannië werden het afgelopen jaar 34.500 Britten voor omgerekend 23,5 miljoen euro opgelicht. bron: security.nl

Het deel van de Petya-ransomware waardoor het netwerken kan infecteren is volgens het Finse F-Secure in februari al ontwikkeld, wat opmerkelijk is, aangezien de twee NSA-exploits die de malware gebruikt pas in april openbaar werden. "Er is bewijs dat de ontwikkeling van het onderdeel om zich via netwerken te verspreiden in februari is voltooid", zegt onderzoeker Andy Patel. De Petya-ransomware maakt gebruik van de EternalBlue- en EternalRomance-exploits van de NSA om zich door netwerken heen te bewegen, alsmede het gebruik van gestolen beheerdergegevens. De twee NSA-exploits werden pas in april openbaar gemaakt door een groep genaamd Shadow Brokers, maar zouden dus al in februari zijn verwerkt binnen de Petya-ransomware. "Deze exploits passen binnen de netwerkmodule als een handschoen", zegt Patel. In de analyse van F-Secure worden de Petya-ontwikkelaars dan ook "vrienden van de Shadow Brokers" genoemd. De WannaCry-ransomware maakte ook gebruik van de EternalBlue-exploit, maar de ontwikkelaars van deze ransomware kregen er pas toegang toe nadat de Shadow Brokers de exploit in april openbaar maakten. Daarnaast verdiende de manier waarop WannaCry de EternalBlue-exploit implementeerde geen schoonheidsprijs, gaat Patel verder. In het geval van Petya is dat een ander verhaal en is er uitgebreid getest. De onderzoeker denkt dat de ontwikkelaars van Petya door de plotselinge verschijning van WannaCry, waardoor organisaties opeens de Windows-updates voor de SMB-lekken in Windows begonnen te installeren, hun deadline besloten aan te passen. Verder zou het gedeelte van de ransomware dat de Master Boot Record (MBR) van de harde schijf versleutelt in mei zijn getest via een waterhole-aanval op een Oekraïense site die eerder door het Russische anti-virusbedrijf Kaspersky Lab werd beschreven. Patel laat verder weten dat de Petya-ransomware een "vendetta" tegen de anti-virussoftware van Kaspersky Lab heeft. Als de malware Kaspersky-software op het systeem aantreft overschrijft die de eerste 10 sectoren van de schijf met willekeurige data en herstart daarna de machine, waardoor die onbruikbaar achterblijft. Als laatste merkt de onderzoeker op dat sommige van de getroffen bedrijven geen duidelijke relatie met Oekraïne hebben of de MEDoc-software gebruikten, waardoor de ransomware zich initieel verspreidde. "Dit mysterie is een van de redenen waarom we nog niet op de samenzweringstrein zijn gesprongen", aldus Patel. bron: security.nl

Microsoft heeft in een nieuwe testversie van Windows 10 een beveiligingsmaatregel toegevoegd die bestanden tegen ransomware moet beschermen, zo heeft de softwaregigant in een blogposting bekendgemaakt. Het gaat om een nieuwe optie van Windows Defender genaamd "Controlled folder access". Via de optie kunnen gebruikers mappen opgeven die worden gemonitord. Zodra een niet toegestane app een aanpassing aan bestanden binnen deze mappen probeert te maken krijgt de gebruiker een waarschuwing. Standaard worden mappen als Documenten, Foto's en de Desktop gemonitord. Gebruikers kunnen zelf mappen toevoegen en applicaties opgeven die bestanden in deze locaties mogen aanpassen. Daarnaast is het mogelijk om gedeelde netwerkmappen op te geven. De beveiligingsmaatregel is in Windows 10 Insider Preview Build 16232 te testen. De beveiligingsoptie moet in de testversie nog wel door gebruikers worden ingeschakeld. bron: security.nl

In anderhalf jaar tijd heeft certificaatautoriteit Let's Encrypt 100 miljoen gratis ssl-certificaten uitgegeven, waarmee het de grootste of op één na grootste certificaatautoriteit ter wereld is. De 100 miljoen uitgegeven certificaten willen nog niet zeggen dat 100 miljoen verschillende websites Let's Encrypt-certificaten gebruiken. Waarschijnlijk ligt het werkelijke aantal websites dat bezoekers via Let's Encrypt een versleutelde verbinding aanbiedt tussen de 17 miljoen en 46 miljoen, zo meldt de Amerikaanse burgerrechtenbeweging EFF. Zo kunnen meerdere certificaten voor dezelfde websites worden uitgegeven en verlopen certificaten ook. Ook kunnen certificaten worden aangevraagd voor andere internetdiensten dan websites en worden niet alle uitgegeven certificaten ook daadwerkelijk gebruikt. Volgens Let's Encrypt laat de stijging de sterke vraag naar gratis ssl-certificaten zien. Ook maakt het duidelijk dat de certificaatautoriteit op grote schaal aan deze vraag kan voldoen, mede door het proces van aanvragen, uitgeven en installeren van de certificaten zoveel mogelijk te automatiseren. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) en wordt gesteund door Mozilla, Akamai, Cisco, de EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van ssl-certificaten zo eenvoudig mogelijk te maken. bron: security.nl

De CIA beschikt over malware die Windowscomputers via wifi-signalen in de omgeving lokaliseert, zo blijkt uit een nieuwe onthulling van WikiLeaks. De ELSA-malware, die via CIA-exploits op systemen wordt geïnstalleerd, scant zichtbare wifi-netwerken en verzamelt de ESS-identifier, mac-adres en signaalsterkte. De malware verzamelt deze gegevens ook als de computer niet met een wifi-netwerk is verbonden. De wifi-interface hoeft alleen te zijn ingeschakeld. Wanneer er wel verbinding met het internet is maakt de malware automatisch verbinding met publieke geolocatiedatabases van Google en Microsoft om de positie van het apparaat te achterhalen en slaat de lengte- en breedtegraad en timestamp op. Deze gegevens worden versleuteld op het systeem opgeslagen. De malware stuurt de data niet terug naar de Amerikaanse inlichtingendienst. In plaats daarvan moet een CIA-werknemer dit zelf doen, via andere exploits en backdoors, aldus WikiLeaks. De CIA omschrijft ELSA als een systeem voor het lokaliseren van computers die over wifi beschikken en leefpatronen zichtbaar kan maken. Uit de begeleidende handleiding blijkt dat de ELSA-malware uit 2013 stamt. bron: security.nl

Microsoft heeft een nieuwe versie van Azure Active Directory (AD) Connect uitgebracht die een belangrijke kwetsbaarheid verhelpt. Azure AD is een cloudgebaseerde dienst voor identiteits- en toegangsmanagement voor organisaties. Via het lek kon een aanvaller in het geval van een misconfiguratie van de 'Password writeback' optie wachtwoorden resetten en ongeautoriseerde toegang tot lokale AD-gebruikersaccounts met hogere rechten krijgen. Password writeback is een onderdeel van Azure AD Connect dat gebruikers een cloudgebaseerde manier biedt om hun lokale Active Directory-account te resetten, ongeacht waar ze zich bevinden. Bij het instellen van de optie kon het voorkomen dat beheerders een fout maakten waardoor het via Azure AD Connect mogelijk was om lokale accounts met hogere rechten, zoals Enterprise- en Domain Administrator-accounts, te resetten. Microsoft raadt deze configuratie af, omdat een kwaadwillende Azure AD-beheerder het wachtwoord van een lokale AD-gebruiker met verhoogde rechten kon resetten. Zodoende kon de Azure AD-beheerder toegang tot de lokale Active Directory krijgen. Het probleem is opgelost door Azure AD Connect geen willekeurige wachtwoordresets van lokale geprivilegieerde accounts te laten uitvoeren. Organisaties krijgen het advies om te updaten naar Azure AD Connect 1.1.553.0. bron: security.nl

De Petya-ransomware die bedrijven gisteren wereldwijd infecteerde is ontwikkeld om schade aan te richten en niet om geld te verdienen. Dat laat de beveiligingsonderzoeker met het alias The Grugq in een artikel op Medium weten. De onderzoeker wijst naar de complexiteit van de worm die zich als een variant van de Petya-ransomware voordoet. Ondanks de complexiteit wordt er van slechts één bitcoin-adres en één e-mailadres gebruikgemaakt. Verder wordt er een lange, complexe code gebruikt die slachtoffers naar het ene e-mailadres moeten mailen om hun decryptiesleutel te ontvangen. Een zeer omslachtige methode. Daarnaast werd het opgegeven e-mailadres al snel geblokkeerd, wat volgens The Grugq te verwachten was. De gebruikte betaalmethode is dan ook een slechte keuze als het doel was om geld te verdienen, maar daar twijfelt de onderzoeker aan. "Hoewel er veel code wordt gedeeld, was de echte Petya een criminele onderneming bedoeld om geld te verdienen. Deze versie is zeker niet ontwikkeld om geld te verdienen. Het is ontwikkeld om zich snel te verspreiden en schade aan te richten onder de dekmantel van "ransomware"", aldus The Grugq. Hij wijst erop dat de malware zich verspreidde via de updateservers van MeDoc. De gelijknamige boekhoudsoftware is verplicht voor alle organisaties die belasting in Oekraïne betalen. Een aanval die vanaf MeDoc werd uitgevoerd zou dan ook niet alleen de Oekraïense overheid raken, maar ook veel buitenlandse investeerders en bedrijven, merkt de onderzoeker op. Hij wijst verder naar de infectie bij de Russische oliegigant Rosneft. Het bedrijf maakt geen gebruik van MeDoc, maar raakte toch besmet. Toch kon de malware zonder verstoringen aan de systemen worden opgelost. "Een wonder", zegt The Grugq. Ook onderzoeker Kevin Beaumont liet gisteren weten dat de ransomware niet ontwikkeld was om geld te verdienen. bron: security.nl

Op dinsdag 27 juni, ongeveer zes weken na de uitbraak van de WannaCry-ransomware, werden bedrijven wereldwijd opnieuw getroffen door een grootschalige ransomware-uitbraak. Dit keer gaat het om een ransomware-exemplaar dat Petya, GoldenEye, ExPetr en ook NotPetya wordt genoemd. In dit artikel geeft Security.NL een overzicht van de tot nu toe bekende informatie. Wat doet de ransomware? In tegenstelling tot WannaCry die alleen bepaalde bestanden versleutelde, versleutelt Petya zowel bestanden als de MFT (Master File Table) en de MBR (Master Boot Record) van de harde schijf. Daardoor kan Windows niet meer worden gestart. Daarnaast probeert de ransomware zich verder op het netwerk te verspreiden. Hoe verspreidt de ransomware zich? Het lijkt om een combinatie van aanvalsmethodes te gaan. Verschillende securitybedrijven en onderzoekers stellen dat de ransomware als eerste werd verspreid via de updatefunctie van de boekhoudsoftware M.E.Doc. De software is door een Oekraïens softwarebedrijf ontwikkeld en is in het land erg populair, maar wordt ook daar buiten gebruikt. Op de eigen website bevestigt M.E.Doc dat de updateservers zijn gehackt en gebruikt voor de aanval, maar op Facebook wordt het ontkend. De Oekraïense politie laat op Twitter echter weten dat de updatefunctie voor de aanval is gebruikt. Ook verschillende andere securitybedrijven stellen dit. Volgens securitybedrijf FireEye komt de timing van een update die gisteren via de servers van M.E.Doc is uitgerold overeen met de meldingen van de ransomware. De ransomware maakt daarnaast gebruik van beveiligingslekken in de SMB-dienst van Windows die op 14 maart dit jaar door Microsoft werden gepatcht. Het gaat om dezelfde kwetsbaarheid die ook door WannaCry werd aangevallen, alsmede een lek dat in Windows XP tot en met Windows Server 2008 aanwezig is. Voor de aanvallen worden twee exploits gebruikt die bij de NSA zijn gestolen, de EternalBlue- en EternalRomance-exploit. Tevens wordt er een soort Mimikatz-achtige tool gebruikt voor het stelen van inloggegevens uit het lsass.exe-proces. Deze gestolen inloggegevens worden vervolgens door de PsExec-tool of WMIC gebruikt om de ransomware binnen een netwerk te verspreiden. PsExec is een tool van Microsoft om processen op andere systemen uit te voeren. Mogelijk dat de ransomware vanaf locaties die via de M.E.Doc-software werden besmet kantoren in andere landen heeft kunnen infecteren. Maakt de ransomware ook gebruik van e-mailbijlagen? De eerste versies van Petya die vorig jaar verschenen gebruikten e-mailbijlagen. Dat blijkt bij deze variant niet het geval te zijn. Welke Windowsversies lopen risico? Zodra de ransomware een machine in een netwerk heeft geïnfecteerd kunnen in principe alle Windowscomputers worden aangevallen, ongeacht geïnstalleerde versie of patchniveau. Welke organisaties zijn getroffen? Uit cijfers van anti-virusbedrijf Kaspersky Lab blijkt dat de meeste infecties in Oekraïne en Rusland zijn waargenomen, gevolgd door Polen en Italië. Onder de getroffen bedrijven bevinden zich: Maersk, APM Terminals (onderdeel van Maersk), snoepfabrikant Mars, advocatenkantoor DLA Piper, Heritage Valley Health System (Amerikaanse ziekenhuizen), medicijnfabrikant Merck, medicijnfabrikant MSD, chocoladeproducent Cadbury, Raab Karcher, reclamebureau WPP, TNT Express, het Nederlandse trustkantoor TMF, de Franse retailer Auchan, het Franse bouwbedrijf St. Gobain, BNP Paribas Real Estate en de Russische oliegigant Rosneft. Wat kunnen slachtoffers doen? De ransomware begint niet meteen met versleutelen. Na de initiële infectie wacht de ransomware tussen de 10 en 60 minuten voordat de encryptie begint. Als slachtoffers in dit tijdsvenster de computer uitschakelen zijn de bestanden veilig. Daarnaast hebben slachtoffers nog een kans als de encryptie begint. De ransomware herstart namelijk het systeem en laat vervolgens een zogenaamde checkdiskmelding van Windows zien. Deze melding claimt dat de harde schijf is beschadigd en hersteld moet worden. In werkelijkheid is dit het encryptieproces. Als gebruikers bij het zien van dit scherm de computer uitschakelen zijn de bestanden ook veilig. Experts stellen dat als de encryptie is voltooid het vooralsnog niet mogelijk lijkt om bestanden kosteloos te ontsleutelen, bijvoorbeeld door een fout in de gebruikte encryptieprocessen, zoals bij sommige andere ransomware-exemplaren het geval is geweest. Hoeveel losgeld vraagt de ransomware? Er wordt 300 dollar in bitcoin gevraagd dat naar een bitcoin-adres moet worden overgemaakt. De ransomware maakt gebruik van één bitcoin-adres, dat op het moment van schrijven inmiddels 36 transacties heeft ontvangen ter waarde van bijna 8.000 euro. Hoe kunnen organisaties zich tegen de aanval beschermen? Organisaties krijgen het advies om in ieder geval beveiligingsupdate MS17-010 van 14 maart te installeren mochten ze dit nog niet hebben gedaan. Daarnaast wordt aangeraden om de AppLocker-feature van Windows te gebruiken om het uitvoeren van bestanden met de naam "perfc.dat" te blokkeren, alsmede de PsExec-tool van de Sysinternals Suite. Verder wordt geadviseerd het SMBv1-protocol uit te schakelen. Het Zwitserse GovCERT adviseert om 'admin shares' te blokkeren. De Duitse overheid raadt aan om de automatische updatefunctie van de MeDoc-software uit te schakelen of het update-domein van de software te blokkeren. Ook wordt aangeraden om netwerken te segmenteren en naar wachtwoorden en instellingen van lokale systeembeheerders te kijken. Hoe zit het met Nederlandse organisaties? Containerterminals van APM in Rotterdam kregen met de infectie te maken, alsmede pakketvervoerder TNT Express, medicijnfabrikant MSD, Het Nederlandse trustkantoor TMF en Raab Karcher, leverancier van bouwmaterialen. Krijgen slachtoffers die betalen hun bestanden terug? De Duitse e-mailprovider Posteo heeft het e-mailadres dat de aanvallers gebruiken om met slachtoffers te communiceren geblokkeerd. Ook is het niet meer mogelijk om naar het e-mailadres te mailen. Zelfs als slachtoffers betalen kunnen ze daardoor niet meer de benodigde decryptiesleutel in handen krijgen en hun bestanden ontsleutelen. Is de uitbraak van Petya groter dan die van WannaCry? Nee, WannaCry wist veel meer machines te infecteren dan Petya. In het geval van WannaCry worden er schattingen van 2 miljoen genoemd, terwijl het in het geval van Pety om enkele tienduizenden machines gaat. Gaat het hier echt om ransomware? Uit analyses van Petya blijkt dat het hier niet om ransomware gaat, maar een wiper. Een wiper is malware die specifiek ontwikkeld is om gegevens te wissen en systemen te beschadigen. In het geval van Petya blijkt dat de malware opzettelijk 24 blocks van de harde schijf overschrijft en het installatie-ID dat de 'ransomware' opgeeft een willekeurige reeks karakters is en geen relatie heeft met de encryptiesleutel die is gebruikt om de gegevens te versleutelen. bron: security.nl

Beste Danny, Hoe staat het met je probleem? Is het opgelost? We horen het graag zodat we dit topic kunnen sluiten.

Beste Meester-Eric, Is het nog gelukt met het bovenstaande advies? We horen het graag zodat we dit topic eventueel kunnen sluiten.

De Duitse beveiligingsonderzoeker Hanno Bock waarschuwt beheerders, webmasters en organisaties voor coredumps die na een crash op webservers kunnen achterblijven, aangezien deze bestanden allerlei vertrouwelijke informatie zoals wachtwoorden kunnen bevatten. Via een coredump is het mogelijk om crashende software te analyseren. Als een programma crasht vanwege een geheugenprobleem zal het besturingssysteem de huidige inhoud van het geheugen van de applicatie in een bestand genaamd 'core' opslaan. Dit is handig voor testdoeleinden, maar brengt ook een veiligheidsrisico met zich mee omdat de coredump gevoelige informatie kan prijsgeven. Als een webapplicatie crasht zal de coredump in de root van de webserver worden opgeslagen. Aangezien de naam van het bestand bekend is, kan een aanvaller eenvoudig op de aanwezigheid van een dergelijk bestand controleren. Bock besloot de 1 miljoen populairste websites op internet langs te gaan en ontdekte bij duizend hosts een coredump. De onderzoeker waarschuwde de eigenaren, maar kreeg vaak een reactie terug dat het bedrijf in kwestie niet de eigenaar van de host was, maar dat het om een klant van hen ging. "Mijn scans laten zien dat dit een relatief veelvoorkomend probleem is", aldus Bock, die beheerders oproept om de instellingen aan te passen zodat er geen coredump met inhoud wordt aangemaakt. Daarnaast adviseert hij pentesters om op de aanwezigheid van coredumps te testen. bron: security.nl

Er is een toename van het aantal bruteforce-aanvallen op WordPress-sites, waarbij de aanvaller mogelijk een botnet van gehackte thuisrouters gebruiken. Daarvoor waarschuwt beveiligingsbedrijf Wordfence. Gisteren was er een sterke stijging van het aantal waargenomen aanvallen waarbij aanvallers via allerlei combinaties van gebruikersnamen en wachtwoorden op websites proberen in te loggen. In april vonden er ook al dergelijke aanvallen plaats. Aan de hand van de aanvallen op de WordPress-sites werden toen 28 providers wereldwijd in kaart gebracht waarvan verdacht aanvalsverkeer werd waargenomen dat waarschijnlijk van gehackte routers afkomstig is. Aan de hand van het aanvalsverkeer dat deze week werd waargenomen werd een Top 20 van providers opgesteld. Alle 20 providers in dit overzicht kwamen in april ook in de lijst van 28 providers voor. WordPress-beheerders krijgen dan ook het advies geen eenvoudig te raden gebruikersnaam zoals admin, webmaster of de naam van de website te gebruiken, een sterk wachtwoord te kiezen, het aantal toegestane inlogpogingen te beperken en onnodige beheerderaccounts te verwijderen. Daarnaast wordt het gebruik van tweefactorauthenticatie aangeraden. Zelfs als een aanvaller het wachtwoord weet te achterhalen kan hij dan nog niet inloggen. bron: security.nl

De online virusscanner van Google VirusTotal krijgt een nieuwe gebruikersinterface. Dat laat Pedram Amini, cto van InQuest, via Twitter weten. Via VirusTotal kunnen internetgebruikers verdachte bestanden uploaden. Die worden vervolgens via de engine van ruim vijftig virusscanners gescand. Ook is het mogelijk om ip-adressen, url's, domeinen of hashes van bestanden op te geven. De nieuwe interface zorgt ervoor dat VirusTotal beter op mobiele apparaten is te gebruiken. De website BleepingComputer meldt dat er ook twee nieuwe features worden toegevoegd genaamd Graph en Monitor. Graph is bedoeld voor het visueel weergeven van data, zodat mogelijke verbanden duidelijker worden. Monitor laat softwareontwikkelaars hun software-repository met VirusTotal synchroniseren. De virusscandienst zal vervolgens op bepaalde tijden de software scannen. In het geval een virusscanner de software onterecht als malware bestempelt kan de ontwikkelaar vervolgens actie ondernemen. Dit moet uiteindelijk false positives, waarbij anti-virussoftware onterecht alarm slaat, bij gebruikers voorkomen. Wanneer de vernieuwde versie wordt gelanceerd is nog niet bekend. bron: security.nl

Mozilla is een campagne gestart om bewustzijn over de gezondheid van het internet te vergroten. De opensource-ontwikkelaar maakt zich zorgen over plannen van de Amerikaanse toezichthouder FCC om netneutraliteit af te schaffen en dat grote techbedrijven steeds meer controle over het web krijgen. "Het internet is een belangrijk middel dat in elk aspect van het dagelijkse leven aanwezig is", zegt Mozilla-directeur Mark Surman. "Als je om de vrijheid van meningsuiting, economische groei en een gelijk speelveld geeft, dan vind je het belangrijk om die partijen te stoppen die het web willen beperken, afsluiten of monopoliseren alsof ze er de eigenaar van zijn." Op donderdag 29 juni organiseert Mozilla een speciaal evenement waarbij denkers, artiesten en politici macht, vooruitgang en het leven op het web bespreken. Verder zal er op 26 juni een podcast genaamd IRL: Online Life Is Real Life worden gelanceerd en vinden er in San Francisco verschillende 'guerilla pop-ups' plaats. Eerder dit jaar kwam Mozilla al met een initiatief om de gezondheid van het internet in kaart te brengen. bron: security.nl

Nog altijd 16.000 servers wereldwijd zijn besmet met de NSA-backdoor "DoublePulsar" en ruim 90.000 servers missen de beveiligingsupdate voor het SMB-lek in Windows waardoor de backdoor kan worden geïnstalleerd en dat ook door de WannaCry-ransomware werd gebruikt om zich te verspreiden. Dat blijkt uit een scan die zoekmachine Shodan uitvoerde. DoublePulsar werd bij de NSA gestolen en kwam in handen van de hackergroep Shadow Brokers, die de backdoor in april op internet zette. De backdoor wordt geïnstalleerd nadat er via een exploit toegang tot een server is gekregen. Het kan dan gaan om de EternalBlue-exploit van de NSA, die gebruik maakt van een SMB-lek in Windows dat in maart door Microsoft werd gepatcht. Op het hoogtepunt waren zo'n 100.000 servers met DoublePulsar geïnfecteerd. Het aantal daalde echter sterk na de uitbraak van de WannaCry-ransomware. Volgens John Matherly van Shodan laat dit zien dat mensen de gelekte NSA-exploits niet op grote schaal tegen kwetsbare SMB-servers inzetten. Ook stelt Matherly dat in theorie alle Windows SMB-servers die via internet toegankelijk zijn inmiddels gepatcht horen te zijn. Toch ontdekte Shodan nog altijd 91.000 servers die de update voor het SMB-lek in Windows missen en zo risico lopen om te worden aangevallen. bron: security.nl

Eind juni lanceert Google een tool waarmee gebruikers bestanden op hun computer naar de servers van Google kunnen back-uppen. "Backup and Sync", zoals de tool heet, is met name bedoeld voor eindgebruikers. Gebruikers kunnen zelf mappen opgeven waar een back-up van moet worden gemaakt. Voor zakelijke gebruikers zal Google later dit jaar met "Drive File Stream" komen. Deze tool laat gebruikers grote hoeveelheden zakelijke data in de cloud benaderen, zonder dat dit ruimte op hun eigen harde schijf in beslag neemt. Backup and Sync wordt op woensdag 28 juni gelanceerd. bron: security.nl

Er is een nieuwe versie van het op security en privacy gerichte besturingssysteem Tails verschenen die alleen 64-bit computers ondersteunt en op Debian 9 (Stretch) is gebaseerd. Tails staat voor The Amnesic Incognito Live System en is een volledig besturingssysteem om anoniem mee te internetten. Het is vanaf een dvd of usb-stick te gebruiken. Tails 3.0 introduceert een compleet nieuwe "ervaring" voor het opstarten en uitschakelen. Zo is de Tails Greeter aangepast, een tool die helpt bij het instellen van het besturingssysteem. Alle opties zijn nu vanuit één venster te kiezen, wat het gebruiksvriendelijker voor gebruikers moet maken. Daarnaast is het afsluitproces aangepast zodat het betrouwbaarder en discreter is. Verder is ook het 'theme' aangepast om een modernere uitstraling te geven. Op beveiligingsgebied ondersteunt Tails 3.0 alleen nog 64-bit computers, aangezien dit allerlei veiligheids- en stabiliteitsvoordelen heeft, aldus de ontwikkelaars. Het gaat dan om bescherming tegen bepaalde exploits en de mogelijkheid om bepaalde beveiligingsmaatregelen te kunnen gebruiken. Tails 3.0 is te downloaden via tails.boum.org. bron: security.nl

Microsoft heeft een browserkaper genaamd Xiazai sinds oktober 2015 van meer dan 2 miljoen computers verwijderd. Daarnaast werden er dit jaar gemiddeld 30.000 installaties per maand geblokkeerd. Volgens Microsoft gaat het dan ook om een zeer actieve dreiging die extra aandacht vereist. De softwaregigant bracht gisteren tijdens de patchdinsdag van juni namelijk een update uit voor de in Windows ingebouwde Malicious Software Removal Tool (MSRT) om Xiazai van Windowscomputers te verwijderen. De browserkaper wordt via softwarebundels aangeboden en doet zich voor als "installer" van legitieme software. Eenmaal geïnstalleerd wijzigt Xiazai de startpagina en snelkoppelingen van de browser. De aanpassingen die de browserkaper doorvoert kunnen zelfs na het verwijderen van Xiazai achterblijven. De Malicious Software Removal Tool, die automatisch door Windows wordt gestart, verwijdert de browserkaper en herstelt alle aangepaste systeeminstellingen. Uit cijfers van Microsoft blijkt dat Xiazai voornamelijk in China actief is. bron: security.nl

We zitten al wat dagen verder. Zijn de goden nog goed gestemd geweest en heb je nog iets terug kunnen toveren?

Malware die in PowerPoint-bestanden verborgen zit kan door alleen het zweven met de muis over een hyperlink worden geactiveerd, zo waarschuwen een beveiligingsonderzoeker en beveiligingsbedrijf. Wanneer een gebruiker het kwaadaardige PowerPoint-bestand opent staat daar de tekst "Loading...Please Wait". Zodra er met de muis over de link wordt bewogen zal PowerPoint een PowerShell-opdracht en een klein script uitvoeren die de uiteindelijke lading downloaden. De kwaadaardige code die is gedownload wordt echter niet automatisch uitgevoerd, aangezien PowerPoint dit blokkeert. Zowel Office 2010 als Office 2013 laten een waarschuwing zien. "Gebruikers kunnen er echter nog steeds voor kiezen om externe programma's in te schakelen omdat ze lui zijn, haast hebben of alleen gewend zijn om macro's te blokkeren", zegt Caleb Fenton van beveiligingsbedrijf SentinelOne. De aanval werd ook door een onderzoeker van het blog Dodge This Security ontdekt en geanalyseerd. bron: security.nl

Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben een malafide Firefox-extensie ontdekt die door een groep cyberspionnen genaamd Turla is ingezet en van Instagram gebruik maakt om de controleserver te vinden. De extensie werd bij een zogeheten "watering hole" aanval ontdekt. Hierbij hacken aanvallers websites die potentiële doelen uit zichzelf al bezoeken en plaatsen daar bijvoorbeeld een exploit die van een kwetsbaarheid in een browser of browserplug-in gebruik maakt. In dit geval werd de website van een niet nader genoemd Zwitsers beveiligingsbedrijf gehackt. In plaats van een exploit kregen bezoekers een malafide Firefox-extensie genaamd "HTML5 Encoding" aangeboden. De extensie is in werkelijkheid een eenvoudige backdoor die vier opdrachten kan uitvoeren, namelijk het uitvoeren van willekeurige bestanden, uploaden van bestanden, downloaden van bestanden en het lezen van directories. Om verbinding met de controleserver van de aanvallers te maken maakt de backdoor gebruik van Instagram. Het adres van de controleserver wordt namelijk achterhaald aan de hand van een reactie die op het officiële Instagram-account van Britney Spears was geplaatst. "Het feit dat Turla social media gebruikt als een manier om de controleservers te achterhalen is vrij interessant", aldus de onderzoekers. Ze merken op dat een dergelijke tactiek in het verleden ook door andere aanvallers is toegepast. Het gebruik van social media maakt het lastiger voor verdedigers. Ten eerste is het lastiger om kwaadaardig verkeer naar social media van legitiem verkeer te onderscheiden. Daarnaast geeft het aanvallers meer flexibiliteit bij het veranderen van hun controleserver alsmede het wissen van alle sporen ernaar. In dit geval denken de onderzoekers dat het om een test gaat. Verschillende programmeerinterfaces (api's) waar de malafide extensie mee werkt zullen in toekomstige Firefox-versies namelijk verdwijnen. Ook lijkt de aanval kleinschalig te zijn opgezet. De reactie op het Instagram-account van Britney Spears leverde een Bit.ly-link op die naar de uiteindelijke url van de controleserver wees. Bit.ly houdt echter bij hoe vaak een afgekorte link is geklikt. In dit geval bleek het in totaal om 17 clicks te gaan, waaronder 3 clicks uit Nederland. bron: security.nl