Captain Kirk

De NSA heeft meer dan 5 jaar gebruik gemaakt van het SMB-lek in Windows dat ook de WannaCry-ransomware gebruikte om zich te verspreiden, wat de dienst een schat aan informatie opleverde, zo hebben voormalige NSA-medewerkers tegenover de Washington Post laten weten. "Het was als het vissen met dynamiet", zegt één van de ex-medewerkers. De EternalBlue-exploit die van het SMB-lek gebruikmaakt kwam echter in handen van een groep die zichzelf Shadow Brokers noemt en verscheen afgelopen april op internet. De kwetsbaarheid was toen al door Microsoft gepatcht. De Washington Post meldt dat de NSA zelf Microsoft heeft gewaarschuwd nadat het ontdekte dat de EternalBlue-exploit was buitgemaakt, zodat Microsoft een patch kon ontwikkelen om die uiteindelijk in maart uit te brengen. Binnen de NSA stond de exploit eerst nog bekend als "EternalBlueScreen", vanwege de crashes die het veroorzaakte. Door deze instabiliteit mochten NSA-hackers de exploit alleen onder bepaalde voorwaarden gebruiken en was er per doelwit toestemming van een senior manager vereist. Na een aantal jaren werd de stabiliteit verbeterd, maar de NSA zou nog steeds beducht zijn voor de schade die de exploit kon veroorzaken als die in verkeerde handen zou komen. "Als één van onze doelwitten ontdekte dat we deze specifieke exploit gebruikten en het tegen de Verenigde Staten zou inzetten, zou het volledige ministerie van Defensie kwetsbaar zijn", aldus een medewerker. Toen de Shadow Brokers in augustus de eerste verzameling exploits openbaar maakte werd besloten om getroffen leveranciers te waarschuwen, aldus een voormalige overheidsfunctionaris. "NSA identificeerde een risico en waarschuwde Microsoft, die direct met een patch in maart kwamen", aldus Mike McNerney, voormalig Defensiemedewerker. Volgens critici is de NSA goed weggekomen, aangezien de exploit pas op internet verscheen nadat er een patch beschikbaar was. De gevolgen hadden veel ernstiger kunnen zijn als Microsoft nog niet over een update beschikte. bron: security.nl

Droske zal je verder helpen. Anders gaan we door elkaar advies geven en dat is voor jou verwarrend. Maar ter geruststelling, nee hoor. je hoeft niet bang te zijn voor hacks met deze gegevens.

Een beveiligingslek in Google Chrome maakt het voor een aanvaller mogelijk om de wachtwoordhash van Windowsgebruikers te stelen. Alleen het bezoeken van een kwaadaardige website en het openen van de downloadmap is hiervoor voldoende. Chrome zal in de standaardconfiguratie bepaalde bestanden automatisch downloaden en die in de standaard downloadmap plaatsen. Het gaat onder andere om Windows Explorer Shell Command Files (SCF). Het SCF-bestand zal automatisch worden uitgevoerd wanneer de gebruiker de downloadmap opent. Het is niet nodig om het bestand zelf te openen. Een aanvaller kan hier via een kwaadaardig SCF-bestand gebruik van maken. Dit geprepareerde SCF-bestand zal een afbeelding van de SMB-server van de aanvaller downloaden. Hierbij probeert het SCF-bestand de gebruiker op de server in te laten loggen en worden de gebruikersnaam en wachtwoordhash naar de SMB-server gestuurd. Deze server is echter zo ingericht om de gebruikersnaam en NTLMv2-hash van het slachtoffer op te slaan. Vervolgens kan de aanvaller deze hash offline proberen te kraken of de verbinding naar een andere dienst te relayen die dezelfde authenticatie accepteert, zoals Microsoft Exchange. In dit laatste geval kan de aanvaller zich als het slachtoffer voordoen zonder zijn wachtwoord te weten. Voor gebruikers in Active Directory-domeinen kan een aanvaller zo toegang tot het netwerk krijgen, aldus onderzoeker Bosko Stankovic van DefenseCode die het probleem openbaarde. In het geval van thuisgebruikers met Windows 8.1 en Windows 10 ligt de impact aan de manier waarop de gebruiker is ingelogd. Is de gebruiker via zijn Microsoft Account ingelogd en slaagt de aanvaller erin om de hash te kraken, dan kan die tot allerlei Microsoft-diensten toegang krijgen, zoals OneDrive, Outlook.com, Office 365 en Skype. Chrome-gebruikers die zich willen beschermen kunnen de optie inschakelen om voor elke download te worden gevraagd waar het bestand moet worden opgeslagen. Google zou inmiddels aan een oplossing werken. bron: security.nl

Onderzoekers en hackers die kwetsbaarheden in testversies van de Edge-browser vinden kunnen die langer voor een financiële beloning bij Microsoft rapporteren. Vorig jaar augustus lanceerde Microsoft het beloningsprogramma, dat oorspronkelijk tot 15 mei zou lopen. Voor kwetsbaarheden in Edge werd een beloning van tussen de 500 en 15.000 dollar uitgeloofd, hoewel ook hogere beloningen mogelijk waren, afhankelijk van de ernst van de kwetsbaarheid en kwaliteit van het rapport. De afgelopen tien maanden heeft de softwaregigant meer dan 200.000 dollar voor bugmeldingen uitgekeerd. Er is nu besloten om het programma tot 30 juni 2017 te verlengen. Volgens Microsoft helpen de beloningen om de browser veiliger te maken. bron: security.nl

Ongeveer 60 miljoen gebruikers van de Avast-antivirussoftware hebben niet de beveiligingsupdate voor het SMB-lek in Windows geïnstalleerd waardoor de WannaCry-ransomware zich kan verspreiden. Dat heeft het anti-virusbedrijf in een blogposting bekendgemaakt. Avast heeft meer dan 400 miljoen gebruikers wereldwijd. Zo'n 15 procent heeft beveiligingsupdate MS017-010 voor kwetsbaarheden in Microsoft Windows SMB Server niet geïnstalleerd. De virusscanners van Avast blokkeren de ransomware. Meer dan 100.000 Avast-gebruikers zouden via de ransomware zijn aangevallen. Hoewel Windows XP in eerste instantie kwetsbaar was door het ontbreken van een beveiligingsupdate, vonden de meeste detecties op Windows 7 plaats. Het ging om systemen die de update niet geïnstalleerd hadden. Ook Avast adviseert gebruikers dan ook om de update te installeren. bron: security.nl

WordPress heeft een beveiligingsupdate uitgebracht die meerdere kwetsbaarheden in het populaire contentmanagementsysteem (cms) verhelpt. Volgens de ontwikkelaars gaat het om zes beveiligingslekken, waaronder cross-site request forgery (csrf) en cross-site scripting (xss). Mark Maunder van beveiligingsbedrijf Wordfence sluit echter niet uit dat er meer problemen in WordPress 4.7.5 zijn opgelost. "Ik maak me zorgen dat deze versie mogelijk meer kwetsbaarheden heeft verholpen dan in het WordPress-blog wordt gemeld. Het zou niet de eerste keer zijn." De update kan via de automatische updatefunctie van WordPress worden geïnstalleerd, alsmede handmatig. WordPress wordt door meer dan een kwart van de 10 miljoen populairste websites op internet gebruikt en door 59 procent van alle websites met een cms. bron: security.nl

Ik heb een dergelijk probleem een aantal jaar geleden ook ondervonden. Ook bij mij kwamen ze alles doormeten, nieuwe router etc. Zonder resultaat. Uiteindelijk zijn de monteur en ik aan het puzzelen gegaan en ontdekte dat wanneer de laptop van de monteur verbonden was, alles ok was. Lang verhaal kort: Een instelling in de virusscanner bleek de boosdoener. Hij scande als een ADHD-er alle in- en uitgaande internetverkeer. Wil niet zeggen dat dit ook bij jou het probleem is maar neem het in overweging.

Onderzoekers van beveiligingsbedrijf Proofpoint zeggen een grootschalige aanval via de EternalBlue-exploit van de NSA te hebben ontdekt die wordt gebruikt om systemen met een Monero-miner te besmetten en uit eerste cijfers zou blijken dat deze aanval groter is dan die van WannaCry. Ook zou de aanval al enkele weken gaande zijn. De aanvallers gebruiken net als de WannaCry-ransomware de EternalBlue-exploit om kwetsbare systemen te vinden en via SMB aan te vallen. Vervolgens wordt de DoublePulsar-backdoor van de NSA gebruikt om systemen met een Monero-miner genaamd Adylkuzz te besmetten. Monero is een digitale valuta, vergelijkbaar met bitcoin. Naast de gebruikte malware is een ander verschil met WannaCry dat de aanvallers SMB uitschakelen, om infectie door andere malware te voorkomen. Mogelijk heeft dit de verspreiding van de WannaCry-ransomware beperkt, aldus Proofpoint. De aanval zou namelijk al sinds 24 april gaande zijn. In tegenstelling tot ransomware dat bestanden versleutelt, maken "miners" die digitale valuta minen vooral gebruik van de rekenkracht van de computer en zijn daardoor niet altijd zichtbaar voor gebruikers en beheerders. bron: security.nl

Nu het Internet of Things een steeds grotere rol in de maatschappij gaat spelen is het belangrijk dat er voor de industrie beleid komt waar het zich aan moet houden, zo stelt Microsoft. De softwaregigant heeft vandaag een document gepubliceerd met dergelijk beleid voor het Internet of Things (pdf) . Het beleid is gericht op de verschillende partijen die zich met het Internet of Things bezig houden, zoals fabrikanten, integrators, ontwikkelaars en bedrijven die IoT-oplossingen uitrollen. Zo adviseert Microsoft dat fabrikanten beveiliging in de hardware verwerken, voor veilige firmware-upgrades zorgen, de hardware "tamper-proof" maken en het hardware-ontwerp van onnodige features en toegangspunten ontdoen. In het geval van de integrators die bijvoorbeeld software aan de IoT-hardware toevoegen wordt aangeraden om een methode voor veilige softwareontwikkeling te volgen en bij het gebruik van opensourcesoftware voor een actief ondersteund project te kiezen. Verder moet de integratie met zorg plaatsvinden, aangezien veel kwetsbaarheden ontstaan bij koppelingen en interfaces. Overheid Microsoft ziet ook een rol voor de overheid weggelegd. "Niet elk bedrijf heeft de kennis en expertise om bij het ontwikkelen en uitrollen van IoT-apparaten en -diensten slimme beslissingen over security te maken. Overheden kunnen de security-uitkomsten verbeteren door best practices te promoten", zo schrijft de softwaregigant. Naast aanbevelingen kan het dan ook gaan om het opstellen van richtlijnen. Verder moet er worden geïnvesteerd in IoT-securitytraining, onderwijs en bewustzijn. Een certificeringsprogramma voor de veiligheid van IoT-apparaten kan daarbij helpen. Wel stelt Microsoft dat er drie voorwaarden zijn om een dergelijk programma te laten slagen. Ten eerste moeten belanghebbenden vanuit het gehele IoT-ecosysteem zijn betrokken. Daarnaast moet het certificeringsprogramma op één lijn met internationale standaarden zitten en moet er een flexibele implementatie worden gekozen. "IoT-cybersecuritybeleid zal alleen maar belangrijker worden nu de wereld steeds meer verbonden en afhankelijk wordt van de efficiëntie en mogelijkheden die IoT brengt", aldus Microsofts Paul Nicholas. bron: security.nl

Microsoft bevestigt dat WannaCry NSA-exploit gebruikt Microsoft heeft in een blogposting voor het eerst gesteld dat de WannaCry-ransomware die sinds vrijdag rondgaat gebruikmaakt van een exploit die door de Amerikaanse geheime dienst NSA is ontwikkeld en daar vervolgens werd gestolen. De softwaregigant laat weten dat de update al twee maanden beschikbaar was en dat systemen die de update geïnstalleerd hadden veilig zijn. Toch zijn er nog veel computers ongepatcht. "Deze aanval demonstreert dat cybersecurity een gedeelde verantwoordelijkheid is tussen techbedrijven en klanten. Het feit dat zoveel computers twee maanden na het verschijnen van een patch kwetsbaar blijven onderstreept dit aspect", zegt Microsofts Brad Smith. "Nu cybercriminelen steeds geraffineerder worden is er gewoon geen manier voor klanten om zich tegen dreigingen te beschermen tenzij ze hun systemen updaten." De aanval laat volgens Smith ook zien dat het verzamelen van kwetsbaarheden door overheden een groeiend probleem is. "We hebben op WikiLeaks kwetsbaarheden gezien die door de CIA waren verzameld en nu deze kwetsbaarheid die bij de NSA werd gestolen heeft klanten wereldwijd geraakt. Herhaaldelijk zijn exploits in handen van overheden in het publieke domein terechtgekomen en hebben voor grootschalige schade veroorzaakt." Eerder was dit al het geval bij de Stuxnetworm. Deze door de NSA ontwikkelde malware maakte gebruik van meerdere kwetsbaarheden. Na de ontdekking van de worm werd één van de gebruikte kwetsbaarheden op grote schaal door cybercriminelen ingezet. Volgens Smith moeten overheden de aanval met de WannaCry-ransomware dan ook als een "wake-up call" zien. "Ze moeten een andere aanpak volgen en in cyberspace dezelfde regels volgen die voor wapens in de fysieke wereld gelden", merkt Smith op. Microsoft vindt dat overheden rekening met de schade aan burgers moet houden die met het verzamelen van deze kwetsbaarheden en het gebruik van deze exploits samenhangt. Eerder riep de softwaregigant dan ook op tot een digitale Geneefse Conventie, zodat overheden worden verplicht om kwetsbaarheden aan leveranciers te melden, in plaats van ze te verzamelen en te gebruiken. bron: security.nl

Beste Herman, Dat is vervelend. Welk anti-virus gebruik je? Maak anders even een scan met Malwarebytes-free (let wel op dat je voor de gratis versie kiest) en laat deze een uitgebreide scan maken. Plaats het logbestand even hier zodat de specialisten alhier ermee verder kunnen.

Een nieuw ransomware-exemplaar dat op dit moment op grote schaal wordt verspreid vraagt slachtoffers omgerekend ruim 3.000 euro losgeld voor het ontsleutelen van bestanden. Securitybedrijven Forcepoint, Emsisoft en Malwarebytes maken melding van de ransomware die via e-mailbijlagen wordt verstuurd. Het gaat om een pdf-bijlage die wanneer geopend een docm-bestand probeert te openen. Gebruikers moeten het openen van dit docm-bestand bevestigen, het gebeurt niet automatisch. Het docm-bestand bevat weer een kwaadaardige macro die de gebruiker moet inschakelen. Als de gebruiker al deze stappen doorloopt wordt de Jaff-ransomware geïnstalleerd die allerlei bestanden versleutelt. In totaal versleutelt Jaff 423 verschillende bestandsextensies. Voor het ontsleutelen van de bestanden moeten slachtoffers 2 bitcoin betalen, wat met de huidige koers 3300 euro is. "De e-mails die in deze campagne worden verstuurd zien er misschien voor het geoefende oog spartaans uit, maar de mens is de zwakste schakel. Door zoveel mensen als mogelijk te bereiken kunnen en slagen dit soort campagnes erin om mensen te infecteren", zegt Roland Dela Paz van Forcepoint. In tegenstelling tot veel andere e-mails die cybercriminelen gebruiken om ransomware te verspreiden bevatten de e-mails met de Jaff-ransomware geen tekst, maar alleen een bijlage. bron: security.nl

HP komt met oplossing voor keylogger in audiodriver HP heeft een oplossing uitgebracht voor een keylogger die onbedoeld aan een audiodriver voor verschillende laptops was toegevoegd. Gisteren maakten onderzoekers bekend dat een HP-audiodriver voor geluidskaarten met een Conexant-chip allerlei toetsaanslagen in een logbestand bewaarde. De driver was ontwikkeld door Conexant en aangeboden door HP. Het bleek om een onbedoelde testfunctionaliteit te gaan die in de driver was achtergebleven. Volgens HP is het via de keylogger niet mogelijk voor de computergigant om toegang tot klantgegevens te krijgen. "Onze leverancier heeft software ontwikkeld om de audiofunctionaliteiten te testen voorafgaand aan de product lancering. Dit had niet in de laatste versie moeten zitten die is verstuurd", aldus een reactie van HP. Via HP.com en Windows Update is nu voor modellen van 2015 en 2016 een patch uitgebracht. De patch verhelpt het probleem en verwijdert het logbestand. bron: security.nl

De anti-virussoftware van Avast blijkt na een update bij allerlei gebruikers de internettoegang te blokkeren, waardoor websites niet meer kunnen worden bezocht en Windows geen updates kan downloaden. Op het forum van de anti-virusleverancier zijn tal van klagende gebruikers vandaag te vinden. Het probleem lijkt in Web Shield te zitten, een onderdeel van de anti-virussoftware dat de inhoud van webverkeer scant. Gebruikers laten weten dat zodra ze deze functie uitschakelen ze weer internettoegang hebben. De problemen doen zich voor bij de update naar versie 17.4.2294. Een herinstallatie van de software zou het probleem verhelpen. Avast is volgens softwarebedrijf Opswat de populairste anti-virusleverancier. Vorig jaar nam het concurrent AVG voor een bedrag van 1,3 miljard dollar over. bron: security.nl

Sommige virusscanners van derde partijen hinderen de installatie van een zeer belangrijke update voor Windows Defender, de in Windows ingebouwde anti-virussoftware. Deze week patchte Microsoft een ernstige kwetsbaarheid in de eigen beveiligingssoftware waardoor aanvallers systemen op afstand kunnen overnemen. Er is daarbij geen interactie van gebruikers vereist. Een aanvaller hoeft alleen een e-mail te versturen. Op systemen waar gebruikers een virusscanner van een derde partij gebruiken blijkt de installatie van de update niet zo eenvoudig te zijn. Verschillende pakketten, zoals die van Avast, Norton en Trend Micro, blijken Windows Defender namelijk uit te schakelen en het inschakelen gaat niet zonder slag of stoot, zo blijkt uit vragen op de website Ask Woody. Gebruikers melden dat ze onder andere met de foutmelding " 0x800704ec" te maken krijgen. De oplossing blijkt te liggen in het doorvoeren van een aanpassing in het Windows Register, zodat Windows Defender wel kan worden gestart en vervolgens de update kan downloaden. Systemen waar Windows Defender de primaire virusscanner is hebben de update automatisch ontvangen. bron: security.nl

Een beveiligingslek in Microsoft Edge maakt het voor kwaadaardige websites mogelijk om Facebook-, Twitter- en andere in de browser opgeslagen wachtwoorden te stelen, alsmede cookiegegevens, zo heeft de Argentijnse beveiligingsonderzoeker Manuel Caballero gedemonstreerd. De Same Origin Policy (SOP) moet voorkomen dat een geopende website informatie van andere domeinen kan benaderen. Caballero slaagde er echter in om deze beveiligingsmaatregel binnen Edge te omzeilen. Daardoor is het voor een kwaadaardige website mogelijk om een wachtwoordformulier op een ander domein te injecteren. De Edge-wachtwoordmanager zal vervolgens via autocomplete automatisch de inloggegevens voor dit domein invoeren. De kwaadaardige website krijgt zo de inloggegevens in handen. Voorwaarde is wel dat een gebruiker Edge gebruikt en zijn wachtwoorden via de wachtwoordmanager van de browser heeft opgeslagen. Ook is het mogelijk om via de aanval cookiegegevens te stelen, zoals Caballero in een video en speciaal gemaakte website demonstreert. "Microsoft Edge maakt grote vorderingen als het om geheugencorruptie en sandboxing gaat, maar basale ontwerpproblemen zijn nog steeds aanwezig", aldus de onderzoeker. Hij heeft Microsoft niet van tevoren over de publicatie en kwetsbaarheid ingelicht, wat inhoudt dat Edge-gebruikers nog steeds kwetsbaar zijn. bron: security.nl

Onderzoekers van het Zwitserse beveiligingsbedrijf modzero hebben een keylogger in een audiodriver van Hewlett-Packard ontdekt die allerlei toetsaanslagen in een logbestand opslaat. Het gaat om een door audiochipfabrikant Conexant ontwikkelde driver voor geluidskaarten met een Conexant-chip. HP-computers maken van de Conexant-chips gebruik, waarbij de computergigant de drivers van Conexant via de eigen website aanbiedt. Via de drivers kan de software met de hardware communiceren. Bij bepaalde computermodellen is deze controle nog verder uitgebreid, waarbij de audiohardware via bepaalde toetsen is te bedienen. Het gaat dan bijvoorbeeld om het in- of uitschakelen van de microfoon via speciale toetsen op het toetsenbord. Deze ondersteuning in de drivercode lijkt speciaal voor HP-computers te zijn ontwikkeld en zorgt ervoor dat alle toetsenbordaanslagen worden opgevangen en verwerkt. Zodoende kan de software herkennen of er een speciale toets is ingedrukt om de hardware te bedienen. Volgens de onderzoekers van modzero hebben de ontwikkelaars van de driver verschillende diagnostische en debuggingfeatures toegevoegd die ervoor zorgen dat alle toetsaanslagen via een debugginginterface worden uitgezonden of in een logbestand in een map op de harde schijf worden opgeslagen. "Deze vorm van debugging verandert de audiodriver in een keylogger", aldus onderzoeker Thorsten Schroeder. De keylogger zou sinds eind 2015 in de audiodriver aanwezig zijn. Een latere versie van de driver vergrootte het probleem, omdat alle toetsaanslagen in een publiek logbestand worden bewaard. Hoewel het bestand bij elk login van de gebruiker wordt overschreven zou de inhoud eenvoudig door forensische tools zijn te monitoren. Geen opzet "Als je regelmatig een incrementele back-up van je harde schijf maakt, in de cloud of op een externe harde schijf, is er waarschijnlijk in je back-ups een geschiedenis van alle toetsaanslagen van de afgelopen jaren terug te vinden", laat Schroeder weten. Hij merkt op dat er geen aanwijzingen zijn dat de keylogger opzettelijk aan de driver is toegevoegd. "Het is nalatigheid van de ontwikkelaars, maar dat maakt de software niet minder schadelijk" , gaat de onderzoeker verder. Modzero waarschuwde zowel Conexant als HP voor de keylogger, maar kreeg geen reactie op het rapport. Daarop zijn de bevindingen openbaar gemaakt. Eigenaren van een HP-computer krijgen het advies om te controleren of het programma C:\Windows\System32\MicTray64.exe of C:\Windows\System32\MicTray.exe op de computer geïnstalleerd is. Vervolgens moet het worden verwijderd of hernoemd, zodat de toetsaanslagen niet meer worden opgeslagen. Dit kan er echter wel voor zorgen dat de speciale toetsen op het toetsenbord niet meer werken. Verder moet het bestand C:\Users\Public\MicTray.log worden verwijderd, aangezien het gevoelige informatie zoals inloggegevens en wachtwoorden kan bevatten. bron: security.nl

Duizenden WordPress-sites zijn kwetsbaar voor aanvallers omdat ze oude plug-ins gebruiken die beveiligingslekken bevatten en niet meer door de oorspronkelijke ontwikkelaar worden onderhouden. Via WordPress.org worden meer dan 37.000 plug-ins aangeboden die allerlei extra functionaliteit aan een website toevoegen. Ruim 17.000 van deze plug-ins hebben de afgelopen 2 jaar geen update ontvangen. Bijna 14.000 plug-ins zeggen compatibel te zijn met WordPress 3.x. WordPress 4.0 verscheen in september 2014. Verder ontdekten onderzoekers 4.000 plug-ins die sinds 2010 niet meer zijn bijgewerkt. Beveiligingsbedrijf Wordfence analyseerde de plug-ins en ontdekte 18 verlaten plug-ins die kwetsbaarheden bevatten en op dit moment via WordPress.org zijn te downloaden. Verder werden vier plug-ins gevonden waarin een beveiligingslek is gepatcht, alleen de update werd op zo'n manier uitgebracht dat bestaande gebruikers niet automatisch naar de nieuwste versie zijn geüpgraded. De kwetsbare plug-ins hebben bij elkaar 37.000 installaties. Beheerders van WordPress-sites die een kwetsbare plug-in gebruiken krijgen het advies die uit te schakelen en contact met de ontwikkelaar op te nemen over eventuele support. bron: security.nl

Microsoft heeft dinsdag updates voor Edge en Internet Explorer uitgebracht die ervoor zorgen dat https-sites met een sha-1-certificaat niet meer worden geladen. Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Het wordt onder andere voor ssl-certificaten gebruikt waarmee websites een versleutelde verbinding aanbieden. Een aanleiding om sha-1-certificaten te blokkeren is dat sha-1 kwetsbaar is voor collision-aanvallen. Bij zo'n aanval kan een aanvaller extra certificaten genereren die dezelfde digitale handtekening als het origineel hebben. Met zo'n certificaat is het mogelijk om spoofing-, phishing- en man-in-the-middle-aanvallen uit te voeren. Edge- en IE-gebruikers die nu een website met een sha-1-certificaat bezoeken krijgen een melding te zien dat de website een ongeldig certificaat gebruikt. Gebruikers hebben nog wel de mogelijkheid om de website te bezoeken. Verder is Microsoft van plan om internetgebruikers te waarschuwen over de risico's van het downloaden van software die met een sha-1-certificaat is gesigneerd. De softwaregigant wil ervoor zorgen dat alle applicaties op Windows gebruikers straks voor zwakke cryptografie zoals sha-1 kunnen waarschuwen. Uiteindelijk wil Microsoft sha-1 nergens meer binnen Windows vertrouwen. Afhankelijk van de ontwikkelingen met betrekking tot het aanvallen van sha-1 zal de planning hierop worden afgestemd. bron: security.nl

Asus heeft in 30 wifi-routers kwetsbaarheden verholpen waardoor een aanvaller in het ergste geval toegang tot de apparaten konden krijgen en het mogelijk was om het wifi-wachtwoord te stelen. De problemen speelden in de RT-routers van Asus. De routers beschikken net als veel andere routers over een webinterface. Deze webinterface is toegankelijk voor het lokale netwerk, maar niet voor het internet. De interface bleek kwetsbaar voor cross-site request forgery. Een kwaadaardige website kon zo via de browser van de gebruiker op de router proberen in te loggen. Een kwaadaardige website kon zo via de browser van de gebruiker op de router proberen in te loggen. Via een ander probleem was het mogelijk om het wifi-wachtwoord te achterhalen. Asus werd eind januari ingelicht en kwam eind maart met updates. De onderzoekers die de problemen vonden hebben nu de details openbaar gemaakt. Ze stellen wel dat de aanvallen alleen mogelijk zijn als de aanvaller het lokale ip-adres van de router weet. Dit zou echter kunnen worden geraden of via WebRTC worden achterhaald. De firmware-updated van Asus verhelpen ook nog drie andere kwetsbaarheden waardoor het mogelijk was om willekeurige code op de router uit te voeren, sessietokens te stelen en JavaScriptcode in de webinterface uit te voeren. Ook zijn er logberichten voor bruteforce-aanvallen toegevoegd. bron: security.nl

Tal van websites maken gebruik van een wachtwoordmeter om gebruikers te laten zien hoe zwak of sterk hun wachtwoord is, maar onderzoekers van de Carnegie Mellon University en de University of Chicago hebben nu een nieuw soort wachtwoordmeter ontwikkeld die veel beter zou moeten werken. "In plaats van een meter die zegt 'Je wachtwoord is slecht', dachten we dat het handiger was als de meter vertelde waarom het slecht is en wat er beter kan worden gedaan", zegt onderzoeker Nicolas Christin van de Carnegie Mellon University. De wachtwoordmeter maakt gebruik van een kunstmatig neuraal netwerk. Het netwerk "leert" door miljoen bestaande wachtwoorden te scannen en trends te vinden. Als de meter een eigenschap in een wachtwoord ontdekt dat aanvallers kunnen raden geeft het gebruikers een waarschuwing. "De manier waarop aanvallers wachtwoorden raden is door patronen in grote datasets van gestolen wachtwoorden te analyseren", zegt onderzoeker Blase Ur van de University of Chicago. "Als je bijvoorbeeld de letter E door een 3 in je wachtwoord verandert zal dat een aanvaller niet foppen. De meter zal uitleggen hoe vaak deze vervanging voorkomt en je advies geven wat je dan wel kunt doen." Deze feedback wordt in realtime gegeven, bij elke letter die de gebruiker invoert. De onderzoekers lieten 4500 mensen de wachtwoordmeter testen bij het maken van een wachtwoord. Het onderzoek naar de meter en het gebruik ervan wordt vandaag tijdens de CHI 2017-conferentie gepresenteerd. Volgens Ur zorgt de nieuwe meter ervoor dat gebruikers sterkere wachtwoorden kiezen die net zo goed te onthouden zijn als wachtwoorden die zonder de feedback worden gemaakt. Een demonstratie van de wachtwoordmeter staat inmiddels online. De code van de Password Meter is via GitHub open source gemaakt. bron: security.nl

Opera heeft vandaag een vernieuwde browser gelanceerd onder de codenaam "Reborn" die allerlei nieuwe features en verbeteringen bevat. Eerder dit jaar kwam de browserontwikkelaar al met een conceptbrowser genaamd "Neon". Verschillende onderdelen van Neon zijn nu aan Opera toegevoegd. Volgens Opera is het de hoogste tijd om opnieuw over de browser na te denken. "Sociale messengers hebben ons leven compleet veranderd, door ons op hetzelfde moment te laten werken, nieuwe dingen te ontdekken en te laten communiceren. Deze verschuiving is door de smartphone gekomen, maar desktops en laptops, die in theorie krachtigere multitaskingtools zijn, zijn achtergebleven", zegt Krystian Kolondra van Opera. De nieuwe Opera-browser combineert dan ook browsen en chatten. Verder biedt Opera gebruikers nu meer controle over het blokkeren van advertenties. De ingebouwde adblocker kan per pagina worden in- of uitgeschakeld. Daarnaast is het beheer van te blokkeren advertenties veranderd. Standaard worden de blocklists genaamd Easylist en EasyPrivacy geladen, maar gebruikers kunnen ook regionale of aangepaste lijsten laden. Verder waarschuwt Opera ook voor het invoeren van wachtwoorden of creditcardgegevens op http-sites. Volgens StatCounter heeft Opera op de desktop een wereldwijd marktaandeel van 2 procent. In Nederland wordt de browser door 5 procent van de desktopgebruikers gebruikt. bron: security.nl

Cisco heeft een ernstig beveiligingslek in honderden routers en switches gedicht dat mogelijk door de CIA is gebruikt om toegang tot systemen te krijgen. De kwetsbaarheid kwam aan het licht na analyse van de CIA-documenten die in maart door WikiLeaks onder de naam "Vault 7" op internet werden geplaatst. Het gaat om een kwetsbaarheid in het Cisco Cluster Management Protocol (CMP) van Cisco IOS en Cisco IOS XE, het besturingssysteem dat op de routers, firewalls en switches van Cisco draait. Via het beveiligingslek zou een aanvaller op afstand en zonder inloggegevens willekeurige code met verhoogde rechten kunnen uitvoeren en zo volledige controle over het apparaat krijgen. Een aanvaller zou het lek kunnen aanvallen door bij het opzetten van een Telnet-sessie geprepareerde CMP-specifieke Telnet-opties mee te sturen. Op een schaal van van 1 tot en met 10 is de ernst van het lek met een 9,8 beoordeeld. In totaal zijn ruim 300 routers en switches kwetsbaar. Beheerders krijgen dan ook het advies om de updates zo snel als mogelijk te installeren. bron: security.nl

Microsoft heeft tijdens de patchdinsdag van mei 46 beveiligingslekken gepatcht, waaronder drie zerodaylekken in Windows, Microsoft Office en Internet Explorer die actief werden aangevallen om computers over te nemen voordat er een update van de softwaregigant beschikbaar was. Via de kwetsbaarheid in Internet Explorer 11 en Microsoft Office kon een aanvaller willekeurige code op het systeem uitvoeren als de gebruiker een kwaadaardige website of een kwaadaardig EPS-bestand opende. Via het lek in de Windowskernel kon een aanvaller zijn rechten op het systeem verhogen en code met kernelrechten uitvoeren. Ook heeft Microsoft kwetsbaarheden in Internet Explorer en Microsoft Edge gedicht die al voor het verschijnen van de update bekend waren gemaakt, maar volgens Microsoft niet zijn aangevallen. Het gaat om een IE-lek waardoor waarschuwingen voor http-content op https-sites konden worden omzeild. In het geval van Edge kon een kwaadaardige internetsite acties in de context van de Intranet Zone uitvoeren. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. Daarnaast is Microsoft gestopt met het aanbieden van updates voor de eerste versie van Windows 10 die in juli 2015 werd uitgebracht. Gebruikers en organisaties die nog met deze versie van het besturingssysteem werken krijgen het advies om naar de nieuwste versie te updaten. Update Microsoft patchte ook een ander lek in Office dat bij "beperkte gerichte aanvallen" is gebruikt, wat zou inhouden dat er 4 zerodaylekken deze maand zijn gepatcht. Bij de details van de update stelt Microsoft echter dat de kwetsbaarheid niet is aangevallen voordat de update verscheen. bron: security.nl

De populaire e-mailclient Thunderbird, die door Mozilla werd ontwikkeld, zal deels van de opensource-ontwikkelaar afscheid nemen. De eerste volledige versie van Thunderbird verscheen in 2004. De software, die 25 miljoen gebruikers heeft, maakt grotendeels gebruik van dezelfde engine en code als Firefox. In 2015 kondigde Mozilla al aan dat het Thunderbird van Firefox wil loskoppelen, waarbij er naar andere partijen werd gezocht die in de e-mailclient wilden investeren. Nu is het onderzoek naar deze loskoppeling afgerond. Mozilla zal de juridische en financiële basis van Thunderbird blijven, maar de e-mailclient zal niet meer van de Mozilla-infrastructuur gebruikmaken. Zodoende worden de operationele aspecten van het project losgekoppeld. "Hoewel Mozilla zich helemaal wil richten op het succes van Firefox, blijkt uit recente discussies dat ze Thunderbird graag zien slagen. In veel opzichten is er nu meer behoefte aan onafhankelijk en veilige e-mail dan ooit tevoren. Zolang Thunderbird de ontwikkeling van Firefox niet hindert lijken er geen grote obstakels te zijn dat beide naast elkaar kunnen blijven bestaan", zegt Mozilla's Philipp Kewisch, die ook bij de ontwikkeling van Thunderbird is betrokken. Er werd ook gekeken of Thunderbird naar een andere organisatie moest verhuizen, maar dat zou bij het oplossen van technische problemen en het opzetten van een sterk Thunderbird-team een te grote afleiding zijn. "Hoewel we hopen om op de lange termijn onafhankelijk van Gecko te worden, is het in het belang van Thunderbird om zo dicht bij Mozilla als mogelijk te blijven", aldus Kewisch. Gecko is de render-engine van Firefox. Mozilla wil grote aanpassingen aan deze engine doorvoeren, wat gevolgen voor Thunderbird zal hebben. Door nauw met het Firefox-team te blijven samenwerken kunnen door Gecko veroorzaakte compatibiliteitsproblemen sneller worden opgelost. De Thunderbird Council, die verantwoordelijk is voor de e-mailclient, zegt optimistisch te zijn over de toekomst. Nu de organisatorische zaken zijn geregeld kan men zich op de technische uitdagingen richten. Op de middellangetermijn zal Thunderbird op Gecko gebaseerd blijven, maar voor de lange termijn wordt er naar "webtechnologieën" als oplossing gekeken. Onlangs verschenen al plannen om Thunderbird op JavaScript te baseren. Dit zal echter de nodige tijd, personeel en planning vereisen. Er wordt dan ook gezocht naar vrijwilligers die hierbij willen helpen. "Zodat de wereld de beschikking blijft hebben over een veilige opensource-e-mailclient waarop het kan vertrouwen", besluit Kewisch. bron: security.nl