Captain Kirk

Anti-virussoftwaremaker Webroot heeft maandag consumenten en vooral systeembeheerders veel uren onnodig werk bezorgd. Het programma zag tijdelijk legitieme Windows systeembestanden aan voor een Trojaans paard. Op Twitter en op de site van Webroot regent het klachten over de vals-positieve meldingen van Webroot software. Diverse programma's zijn maandag ten onrechte geïdentificeerd als W32.Trojan.Gen, erkent het bedrijf. De software plaatste de betreffende bestanden in quarantaine waardoor sommige Windows-pc's niet meer goed functioneerden. Ook werd Facebook voor een phishingsite aangezien. Volgens Webroot heeft de foutieve detectie alleen op maandagavond tussen 20 en 23 uur (Nederlandse tijd) plaatsgevonden. De meeste problemen bij consumenten zijn door updates van Webroot inmiddels weer opgelost. Het probleem is vooral lastig gebleken voor managed service providers. Het beheren van honderden of duizenden clients was door dit incident heel tijdrovend en ingewikkeld geworden, zo is op te maken uit de reacties op het forum van Webroot. "Ik heb geprobeerd om de clients weer werkend te krijgen, maar ontving maar geen updates van Webroot. Alleen de mededeling dat er aan gewerkt wordt", schrijft iemand op het forum. Webroot heeft op het forum inmiddels een beschrijving geplaatst hoe managed service providers hun problemen kunnen oplossen. bron: security.nl

Met de lancering van de Creators Update heeft Microsoft Windows 10 van nieuwe update-opties voor organisaties voorzien. Naast de beveiligingsupdates die elke tweede dinsdag van de maand verschijnen zullen er regelmatig ook een of meer aanvullende updates via Windows Server Update Services (WSUS) en System Center Configuration Manager worden aangeboden. Deze aanvullende cumulatieve updates bevatten alleen nieuwe niet securitygerelateerde updates. Het kan dan gaan om updates die ernstige problemen verhelpen die niet securitygerelateerd zijn. In dit geval zullen deze updates ook als "Critical Updates" worden aangemerkt. Organisaties hebben verschillende opties met betrekking tot hoe ze deze updates willen uitrollen. Ze kunnen ervoor kiezen om ze net als de andere updates op patchdinsdag uit te rollen. Een andere optie maakt het mogelijk om ze op een deel van de machines binnen de organisatie uit te rollen. Organisaties kunnen er ook voor kiezen om ze voor de volgende patchdinsdag uit te rollen als ze een specifiek probleem verhelpen waarmee de organisatie te maken heeft. Als laatste kan er ook worden gekozen om de updates helemaal niet uit te rollen. Volgens Microsoft moeten deze aanvullende updates extra flexibiliteit aan organisaties bieden. bron: security.nl

Een beruchte groepering cybercriminelen genaamd Carbanak, die eerder al miljoenen euro's bij banken wist te stelen, gebruikt een nieuwe tactiek om haar doelwitten te infecteren. Eerder werden spearphishingmails met een kwaadaardig Word-document als bijlage gebruikt. Het document bevatte een macro die na inschakeling malware op het systeem installeerde. De groepering is nu met het gebruik van macro's gestopt, zo stelt het Amerikaanse beveiligingsbedrijf FireEye. Momenteel worden er Word-documenten verstuurd die een embedded lnk-bestand bevatten. Dit is de bestandsextensie voor snelkoppelingen. Via lnk-bestanden is het mogelijk om kwaadaardige scriptcode uit te voeren en uiteindelijk ook malware te installeren. Als gebruikers op het embedded lnk-bestand klikken krijgen ze de vraag of ze het bestand willen uitvoeren. In de melding wordt weergegeven dat het uitvoeren van het bestand schade aan de computer kan aanrichten. De nu waargenomen aanvallen richten zich op restaurantketens, horeca-bedrijven en financiële instellingen. De e-mails en bijlagen hebben als onderwerp klachten, cateringbestellingen en c.v.'s. In het geval de aanval succesvol is wordt er een backdoor genaamd "Halfbaked" op de computer geïnstalleerd. bron: security.nl

Interpol heeft tijdens een operatie met beveiligingsbedrijven en autoriteten uit verschillende Aziatische landen bijna 9000 command and control-servers ontdekt waarmee cybercriminelen besmette computers aansturen, malware verspreiden, spam versturen en ddos-aanvallen uitvoeren. Ook werden zo'n 270 websites geïdentificeerd, waaronder overheidssites, waar aanvallers kwaadaardige code op hadden geplaatst. De aanvallers hadden via een kwetsbaarheid in een niet nader genoemde webapplicatie die voor de websites werd gebruikt toegang gekregen. Verder werden ook verschillende beheerders van phishingsites geïdentificeerd. Bij het onderzoek werkten onderzoekers uit Indonesie, Maleisië, Myanmar, Filipijnen, Singapore, Thailand en Vietnam met elkaar samen. Ook experts van Trend Micro, Kaspersky Lab, Cyber Defense Institute, Booz Allen Hamilton, British Telecom, Fortinet en Palo Alto Networks waren bij de operatie betrokken. Het onderzoek naar de gevonden servers en personen achter de phishingsites is nog gaande. bron: security.nl

Microsoft heeft een beveiligingslek in de populaire voip-applicatie Skype gepatcht waardoor het mogelijk was om phishingaanvallen op gebruikers uit te voeren, voornamelijk wanneer Skype op openbare computers zoals bibliotheekcomputers of informatiekiosken werd aangeboden. Dat meldt beveiligingsonderzoeker Zacharis Alexandros. De kwetsbaarheid deed zich voor wanneer een aanvaller lokale toegang tot het inlogvenster van Skype had. Iets wat bij normaal thuisgebruik niet zo snel zal voorkomen, maar wel een mogelijkheid is bij openbare computers, zoals bibliotheken, informatiekiosken en computers op vliegvelden en treinstations. Deze computers bieden gebruikers veelal een select aantal applicaties aan, waaronder Skype. Om op Skype in te loggen kunnen gebruikers hun Skype-account gebruiken of inloggen via Facebook. De aanval van Alexandros maakt gebruik van het feit dat Skype voor de authenticatie een embedded versie van Internet Explorer gebruikt. Een aanvaller kon dit normale authenticatieproces omzeilen en de inlogfunctie via Facebook voor allerlei aanvallen gebruiken. Hoe de aanval precies werkt laat de onderzoeker niet weten, maar hij stelt dat via het inloggen via Facebook het mogelijk was om binnen het Skype-proces een phishingpagina te laden. Als gebruikers vervolgens op deze pagina hadden ingelogd zouden hun gegevens naar de aanvaller zijn teruggestuurd. Ook kon Skype als verborgen browser worden gebruikt om toetsaanslagen of zelfs geluidsopnamen naar een aanvaller terug te sturen. In het geval een aanvaller over een exploit voor Internet Explorer zou beschikken was het via de aanval zelfs mogelijk geweest om willekeurige code uit te voeren. Alexandros waarschuwde Microsoft eind januari. Eind maart werd het probleem gepatcht. Beveiligingsexperts waarschuwen al geruime tijd om geen persoonlijke zaken op openbare computers uit te voeren, zoals het inloggen op privé-accounts. bron: security.nl

Beveiligingsonderzoekers waarschuwen voor een nieuwe spamcampagne waarbij allerlei e-mails met pdf-documenten worden verstuurd die ontvangers met de Locky-ransomware proberen te infecteren. De e-mails doen zich voor als een bericht van een scanner en claimen een afbeelding te bevatten. Het als bijlage meegestuurde pdf-bestand bevat echter een embedded Word-document. Als gebruikers het pdf-bestand openen verschijnt er een waarschuwing of ze het embedded Word-document willen openen. In de waarschuwing wordt gemeld dat het Word-document macro's of virussen kan bevatten die schade aan de computer kunnen aanrichten. Kiest de gebruiker er toch voor om het document te openen, dan wordt hem vervolgens door Microsoft Word gevraagd om macro's in het Word-document in te schakelen. Geeft de gebruiker ook hier gehoor aan dan wordt uiteindelijk de Locky-ransomware op de computer geïnstalleerd die bestanden voor losgeld versleutelt. "De aanval vertrouwt erop dat gebruikers kwaadaardige bijlagen openen die legitiem lijken. Veel onderzoeken hebben aangetoond dat gebruikers de zwakste schakel in de aanvalsketen zijn en criminelen weten dit maar al te goed", aldus anti-malwarebedrijf Malwarebytes. bron: security.nl

Wereldwijd zijn meer dan 100.000 servers besmet geraakt met de NSA-malware die onlangs door de hackergroep Shadow Brokers openbaar werd gemaakt, zo claimt het Zwitserse beveiligingsbedrijf BinaryEdge. Het gaat om de DoublePulsar-tool die op de servers werd aangetroffen. De NSA zou deze tool gebruiken nadat het via een exploit toegang tot een server heeft gekregen. De nu geinfecteerde servers zijn waarschijnlijk door cybercriminelen gehackt via een lek in Windows SMB-server dat Microsoft in maart patchte. BinaryEdge meldt dat het de DoublePulsar-tool op 106.000 servers heeft aangetroffen. Een veel groter getal dan in eerste instantie rondging. Beveiligingsbedrijf Below0Day stelde op donderdag dat ruim 30.000 servers waren getroffen, waaronder 1300 Nederlandse servers. Het Zwitserse beveiligingsbedrijf laat echter weten dat meerdere professionals naar het detectiescript hebben gekeken en stellen dat het naar behoren werkt. Onderzoeker Luke Jennings van beveiligingsbedrijf Countercept heeft een script geschreven waarmee kan worden gecontroleerd of een server met DoublePulsar is geïnfecteerd. Beheerders die Microsoft-update MS17-010 niet meteen na het uitkomen hebben geïnstalleerd om het SMB-lek te dichten krijgen alsnog het advies om hun server te controleren, aangezien de machine voor het installeren van de patch mogelijk is getroffen. bron: security.nl

Een Zwitserse startup genaamd Futurae heeft een nieuwe inlogmethode ontwikkeld die omgevingsgeluid als tweede factor tijdens het inloggen gebruikt. Tweefactorauthenticatie laat gebruikers traditioneel een extra code tijdens het inloggen invoeren, die bijvoorbeeld via sms of een app wordt verkregen. Dit moet voorkomen dat een aanvaller die over het wachtwoord beschikt op een account kan inloggen, aangezien hij geen toegang tot de benodigde inlogcode heeft. Volgens het Zwitserse Futurae is er echter een eenvoudigere oplossing waarbij gebruikers de telefoon in hun zak kunnen laten zitten. Ze bedachten een nieuwe inlogmethode genaamd Sound-Proof die omgevingsgeluiden als tweede factor gebruikt. De vereiste is dat de gebruiker over twee apparaten beschikt, bijvoorbeeld een smartphone en laptop, en dat op beide apparaten de Sound-Proof-app staat. Deze app neemt op beide apparaten gedurende drie seconden het omgevingsgeluid op. Vervolgens worden de resultaten met elkaar vergelijken. Als blijkt dat het geluid van de laptop en smartphone overeenkomt wordt de gebruiker automatisch ingelogd. De technologie zou zelfs werken als de smartphone zich in een andere kamer bevindt, zolang de deur maar openstaat. In het geval een aanvaller het wachtwoord weet en zich in dezelfde kamer als de gebruiker bevindt of bijvoorbeeld naar hetzelfde radiokanaal luistert kan hij toch niet meteen via de app inloggen. Wanneer er voor de eerste keer vanaf een nieuwe browser of nieuw apparaat wordt ingelogd moet de gebruiker dit handmatig in de app bevestigen. Volgens de bedenkers is het proces eenvoudig te implementeren en kost het bedrijven gemiddeld 60 procent minder dan conventionele methodes. Inmiddels zou de inlogmethode bij verschillende Zwitserse banken worden getest. Het bedrijf laat weten dat gebruikers niet bang voor hun privacy hoeven te zijn. De opgenomen geluiden zouden het apparaat namelijk nooit verlaten. "Dit houdt in dat we gebruikers niet kunnen bespioneren", zegt Claudio Marforio, oprichter van Futurae. bron: security.nl

Onderzoekers van Microsoft hebben een nieuwe versie van de TorrentLocker-ransomware ontdekt die besmette computers kan gebruiken om e-mails met zichzelf naar nieuwe slachtoffers te sturen. TorrentLocker versleutelt net als andere ransomware-exemplaren bestanden voor losgeld. De ransomware heeft het daarbij ook specifiek op Nederlandse internetgebruikers voorzien. In het verleden werden er door cybercriminelen e-mails verstuurd die van Ziggo, PostNL, T-Mobile en Intrum Justitia afkomstig leken en ontvangers met TorrentLocker probeerden te infecteren. Deze e-mails werden vaak via botnets verstuurd. Iets hoe ook andere ransomware-exemplaren worden verspreid. Het nu ontdekte TorrentLocker-exemplaar kan de besmette computer echter gebruiken om zelf e-mails te versturen en zo nieuwe slachtoffers te maken. Verdere details over deze nieuwe e-mailfunctionaliteit worden niet door Microsoft gegeven. bron: security.nl

Wachtwoordmanager LastPass heeft een beveiligingslek gedicht waardoor een aanvaller de tweefactorauthenticatie tijdens het inloggen kon omzeilen. Tweefactorauthenticatie moet een account beschermen als een aanvaller de beschikking over het wachtwoord van de gebruiker heeft. Tijdens het inloggen moet er naast het wachtwoord ook een code worden ingevoerd, die elke 30 seconden verandert. Deze codes worden op basis van verschillende variabelen gegenereerd, waaronder een geheim "seed" en een timestamp. Dit zorgt ervoor dat de code uniek en veilig is en elke 30 seconden wordt veranderd. De server moet de geheime seed met de client delen om het proces in werking te stellen. Dit wordt meestal gedaan door de seed in een qr-code te encoderen, die vervolgens met een tweefactorauthenticatie-app wordt gescand, zoals Google Authenticator. LastPass had hierbij echter verschillende ontwerpfouten gemaakt. De geheime seed was namelijk via een link benaderbaar die van het wachtwoord kon worden afgeleid. Een aanvaller die al over het wachtwoord beschikte kon zo de tweefactorauthenticatie omzeilen en alsnog inloggen. De benodigde qr-code die via de geheime url is op te vragen kan alleen via een geauthenticeerd verzoek worden opgevraagd. Een aanvaller is echter niet geauthenticeerd en kan zodoende de qr-code niet opvragen. LastPass bleek echter ook kwetsbaar voor cross-site request forgery te zijn. Hierdoor is het mogelijk voor een aanvaller om het slachtoffer het verzoek te laten maken en zo de qr-code te stelen. De problemen werden in februari van dit jaar al door onderzoeker Martin Vigo gevonden en aan LastPass gerapporteerd. Binnen 3 dagen werden de kwetsbaarheden aan de serverkant van LastPass vervolgens verholpen. Zo wordt er geen hash van de login meer gebruikt om de qr-code op te vragen. De details van de kwetsbaarheden zijn nu pas bekendgemaakt. Onlangs kwam LastPass ook al in het nieuws vanwege verschillende kwetsbaarheden in de browserplug-in die door Google-onderzoeker Tavis Ormandy waren gevonden en waardoor een aanvaller kwetsbare systemen kon overnemen. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken. De dienst heeft meer dan 6 miljoen gebruikers. bron: security.nl

Het Tor Project heeft na anderhalf jaar besloten om met de extra beveiligde versie van Tor Browser te stoppen. De "hardened" Tor Browser was van allerlei maatregelen voorzien om geheugenaanvallen te voorkomen, met name als JavaScript stond uitgeschakeld. Dit moest gebruikers tegen aanvallen beschermen. Daarnaast moest de versie helpen om eerder problemen te vinden en die in de alpha en stabiele versies te verhelpen. De hardened versie was ook op de alpha-testversie gebaseerd. De extra beveiliging had ook verschillende nadelen. Zo is deze versie trager, verbruikt meer geheugen en is iets groter dan de normale versie. Een groot probleem was echter de verwarring bij gebruikers. Door het combineren van een testversie met extra beveiligingsopties was het onduidelijk voor gebruikers of dit wel de versie was die ze wilden. Daarom is nu besloten om met deze extra beveiligde versie te stoppen. In plaats daarvan zullen er losse tools beschikbaar worden gesteld om de twee doelen die de hardened versie had te bereiken. Zo krijgen huidige gebruikers van de hardened versie het advies om gesandboxte Tor Browser te gebruiken. Deze versie bevindt zich nog in de experimentele fase en is alleen voor Linux beschikbaar. Toch biedt deze versie volgens het Tor Project een betere bescherming tegen aanvallen dan de hardened versie. Wat betreft het vroegtijdig vinden van bugs in Tor Browser zullen hiervoor binnenkort weer allerlei vroege "nightly" testversies worden uitgebracht. bron: security.nl

Mozilla heeft vandaag Firefox 53 uitgebracht waarmee de ondersteuning van Windows XP en Vista, 32-bit versies van macOS en Linux op Pentium 4- en AMD Opteron-processoren is gestopt. Firefoxgebruikers op XP en Vista zullen automatisch naar Firefox Extended Support Release (ESR) worden geüpgraded. De ESR-versie ontvangt op deze platformen nog wel updates. Ook gebruikers van 32-bit versies van macOS kunnen op deze versie overstappen. De ESR-versie van Firefox ontvangt alleen maar beveiligingsupdates en is vooral voor bedrijven en organisaties bedoeld. In september van dit jaar zal echter ook de ESR-versie van Firefox niet meer op Windows XP en Vista worden ondersteund. Verder blokkeert Firefox het afspelen van media in nieuwe tabs totdat de tab zichtbaar is. Firefox 53 verhelpt ook meerdere kwetsbaarheden, maar de informatie hierover zal pas later worden vrijgegeven. De nieuwe versie is via de automatische updatefunctie en Mozilla.org te downloaden bron: security.nl

Meer dan 120.000 websites die van het Drupal-platform gebruikmaken lopen risico om te worden gehackt doordat ze een module hebben geïnstalleerd die 4 jaar lang niet werd ondersteund. Het gaat om de References-module waarmee referenties tussen nodes kunnen worden toegevoegd. De laatste update van de module dateerde van februari 2013. Toch hebben meer dan 120.000 websites deze module geïnstalleerd. Op 12 april meldde het Drupal-beveiligingsteam dat er een ernstig lek in de module aanwezig is. Details konden echter niet worden gegeven, omdat de module geen beheerder meer had. "Met een ernstig lek in een niet meer ondersteunde module die zo populair is, is het bijna zeker dat een groot aantal websites via dit lek zal worden aangevallen", zo waarschuwde een Drupal-ontwikkelaar vorige week. Er is nu een nieuwe beheerder van de module gevonden wat ervoor zorgde dat er gisteren een update voor het beveiligingslek verscheen. Webmasters moeten die nog wel zelf installeren. bron: security.nl

Microsoft heeft een nieuwe feature aan de eigen Authenticator-app toegevoegd waardoor gebruikers nu alleen via hun smartphone op hun Microsoft-account kunnen inloggen. Zodra gebruikers op hun Microsoft-account willen inloggen en hun gebruikersnaam invoeren vraagt de app op de telefoon om bevestiging. Als de gebruiker het inlogverzoek goedkeurt is hij direct op zijn account ingelogd. Om van de nieuwe feature gebruik te maken moet het Microsoft-account aan de Authenticator-app zijn toegevoegd en de optie om via de telefoon in te loggen zijn ingeschakeld. "Met het inloggen via de telefoon verschuiven we de beveiligingslast van jouw geheugen naar je apparaat", zegt Microsofts Alex Simons. Het inloggen via de smartphone is vooralsnog alleen beschikbaar voor Android en iOS. Microsoft stelt dat het aantal gebruikers van de Authenticator App met een Windows Phone zo klein is dat Android en iOS de prioriteit kregen. Als de feature op deze platformen een succes wordt zal Microsoft overwegen om die ook aan de versie van de app voor Windows Phone toe te voegen. bron: security.nl

Op dit moment is er een worm actief die net als de beruchte Mirai-worm allerlei Internet of Things-apparaten infecteert, maar deze apparaten vervolgens beveiligt zodat ze niet meer kunnen worden aangevallen. Het gaat om de Hajime-worm die eind vorig jaar al werd ontdekt. De worm verspreidt zich net als Mirai via onbeveiligde IoT-apparaten waarvan de Telnet-poort openstaat en die standaardwachtwoorden gebruiken. Destijds was het doel van de worm nog onduidelijk, aangezien Hajime besmette apparaten niet gebruikt voor het uitvoeren van ddos-aanvallen, zoals Mirai doet. Nu meldt beveiligingsbedrijf Symantec dat de worm claimt apparaten te beveiligen. De worm toont elke 10 minuten een boodschap op de terminal met de tekst "Just a white hat, securing some systems." Vervolgens worden poort 23, 7547, 5555 en 5358 gesloten. Deze poorten worden onder andere door de Mirai-worm gebruikt om IoT-apparaten aan te vallen. Toch is de Hajime-worm niet helemaal onschuldig, aangezien die wel een backdoor op het apparaat installeert. Naar schatting zijn wereldwijd tienduizenden IoT-apparaten door Hajime besmet. bron: security.nl

Tijdens de geplande patchcyclus van april heeft Oracle 299 beveiligingslekken in verschillende softwareproducten gepatcht. Via de kwetsbaarheden zouden systemen in het ergste geval op afstand kunnen worden overgenomen. De meeste beveiligingslekken zijn verholpen in Financial Services Applications (47), Oracle MySQL (39), Retail Applications (39) en Oracle Fusion Middleware (31). In het geval van Java zijn er 8 kwetsbaarheden gepatcht, waarvan er 7 op afstand waren aan te vallen. Verder zijn er ook 15 lekken in de virtualisatiesoftware Secure Global Desktop en VirtualBox opgelost, alsmede een lek in Solaris 10 en 11.3 dat vorige week door de hackergroep Shadow Brokers openbaar werd gemaakt. Vanwege het risico op succesvolle aanvallen adviseert Oracle de updates zo snel als mogelijk te installeren. In tegenstelling tot bijvoorbeeld Adobe of Microsoft die elke maand met updates komen, verschijnen de patches van Oracle elk kwartaal. De volgende patchronde staat gepland voor 18 juli. bron: security.nl

Google Chrome waarschuwt elke maand meer dan 250 miljoen keer voor websites die malware bevatten, inloggegevens proberen te stelen of gebruikers op andere manieren proberen te misleiden, zo heeft Google laten weten. Hiervoor maakt de browser gebruik van Google Safe Browsing. Dit is een blacklistdienst die Google tien jaar geleden lanceerde en waarschuwt voor gevaarlijke websites. Google deelt deze blacklist ook met andere partijen. Naast Chrome maken ook Firefox, Opera, Safari en Vivaldi er gebruik van. Volgens Google is het één van de onderdelen die ervoor zorgt dat Chrome "secure by default" is. Verder maakte de softwaregigant bekend dat het inmiddels meer dan 3,5 miljoen dollar heeft betaald aan externe onderzoekers voor het melden van kwetsbaarheden in Chrome. bron: security.nl

Onderzoekers hebben een nieuwe Ransomware as as Service (RaaS) ontdekt die cybercriminelen tegen een minimale investering toegang tot volledig functionerende ransomware geeft. RaaS biedt criminelen zonder uitgebreide technische kennis de mogelijkheid om over ransomware te beschikken. Vervolgens is het aan de criminelen om de ransomware te verspreiden. Zodra slachtoffers betalen gaat er een deel van het bedrag naar de RaaS-aanbieder. De nu ontdekte Karmen-ransomware volgt hetzelfde businessmodel. Om van de ransomware gebruik te kunnen maken moeten kopers 175 dollar betalen. Dit bedrag is inclusief nieuwe updates. Daarbij hanteert de RaaS-aanbieder een maximaal aantal kopers van 25. Volgens beveiligingsbedrijf Recorded Future zijn 20 exemplaren van de ransomware al verkocht. bron: security.nl

Na zes jaar heeft Mozilla besloten om de stekker uit Firefox Aurora te trekken. De browserontwikkelaar biedt gebruikers, ontwikkelaars en testers verschillende Firefox-versies aan. Deze versies moeten eventuele problemen verhelpen voordat de uiteindelijke versie wordt gelanceerd. Zo is er een zeer vroege testversie genaamd Nightly. Hierna kwamen de Aurora-versie en betaversie. De Aurora-versie werd in 2011 voor het eerst gelanceerd om meer feedback van gebruikers te krijgen. Mozilla stapte toen over op een ander releasemodel voor Firefox. Het idee was dat Aurora tien keer meer gebruikers dan de Nightly zou krijgen, maar dit werd in de praktijk nooit gerealiseerd. Daarnaast zegt de opensource-ontwikkelaar dat het huidige Firefox-releasemodel van allerlei moderne processen gebruikmaakt, waardoor de extra zes tot acht weken voor de Aurora-fase niet meer nodig zijn. Voortaan zullen er dan ook nog maar twee testversies zijn: de Nightly voor het testen van experimentele features en de betaversie voor het testen van de stabiliteit. bron: security.nl

Onderzoekers van de Amerikaanse Purdue University hebben naar eigen zeggen een ernstig lek in een door Google ontwikkeld protocol ontdekt dat door meer dan 1 miljard gebruikers wordt gebruikt en ervoor kan zorgen dat een aanvaller de lengte van iemands wachtwoord kan achterhalen. Het onderzoek en de aankondiging van de kwetsbaarheid, die door de onderzoekers Ring-Road wordt genoemd, krijgen echter de nodige kritiek te verduren. Volgens critici wordt de impact van het probleem door de onderzoekers overdreven. Het Google-protocol in kwestie wordt QUIC genoemd, wat staat voor Quick UDP Internet Connections. Het moet de snelheid en prestaties van Chrome en Google-diensten versnellen. Het protocol lekt echter de exacte lengte van gevoelige informatie wanneer het via internet wordt verstuurd. Het kan dan bijvoorbeeld gaan om de lengte van iemands wachtwoord die op Gmail inlogt. Volgens de onderzoekers wordt op deze manier het doel van de onderliggende encryptie ondermijnd, dat er voor moet zorgen dat gegevens vertrouwelijk blijven, waaronder de lengte van het wachtwoord. De onderzoekers adviseren Chrome-gebruikers om QUIC in de browser uit te schakelen en tweefactorauthenticatie voor hun Gmailaccount in te schakelen. Verder krijgen systeembeheerders het advies om QUIC via de firewall te blokkeren. De aankondiging van de kwetsbaarheid krijgt zowel op Hacker News als Reddit veel kritiek te verduren. Zo wordt gesteld dat het geen geheim is dat QUIC de wachtwoordlengte niet verbergt. Daarnaast zou het uitschakelen van het QUIC-protocol het probleem niet verhelpen, aangezien TLS zich op dezelfde manier gedraagt. Een ander kritiekpunt is het ontbreken van informatie en details over de kwetsbaarheid. Verder zou alleen het weten van de lengte in de praktijk geen impact hebben op het kraken van een wachtwoord dat al lang genoeg is om een bruteforce-aanval te weerstaan. De onderzoekers laten echter weten dat ze op 18 april tijdens een beveiligingsconferentie hun onderzoek zullen demonstreren. Na te zijn ingelicht is Google samen met de Internet Engineering Task Force (IETF) een onderzoek gestart om te kijken of het probleem kan worden verholpen. bron: security.nl

Microsoft is begonnen om op sommige systemen met nieuwe AMD- en Intel-processors updates voor Windows 7 en 8.1 te blokkeren. De maatregel kwam vorige maand al in het nieuws, maar wordt nu door de softwaregigant gehandhaafd, wat inhoudt dat gebruikers geen updates meer ontvangen. Verschillende gebruikers en Ars Technica melden dat op sommige systemen een pop-up verschijnt dat de gebruikte processor alleen door Windows 10 wordt ondersteund en niet op de gebruikte Windowsversie. Daardoor lopen gebruikers belangrijke beveiligingsupdates mis. Het gaat onder andere om de Kaby Lake-processors van Intel en de Ryzen-processors van AMD. In het geval van de Skylake-processors van Intel zullen die alleen op de systemen van 16 specifieke fabrikanten nog updates ontvangen. Ook eigenaren van een systeem met de AMD Carrizo-processor kregen de melding dat de processor niet meer wordt ondersteund, maar dit is een fout en zal via een toekomstige update worden verholpen, zo liet Microsoft eerder deze week weten. bron: security.nl

De manier waarop browsers omgaan met domeinen die volledig uit unicode-karakters bestaan maakt het mogelijk om phishingaanvallen uit te voeren die erg lastig voor gebruikers zijn om te detecteren, zo heeft een beveiligingsonderzoeker genaamd Xudong Zheng aangetoond. Via Punycode is het mogelijk om domeinen met buitenlandse karakters te registreren. Veel unicode-karakters zijn echter lastig van gewone ASCII-karakters te onderscheiden. Zo is het mogelijk om een domein als "xn--pple-43d.com" te registreren, wat als "?pple.com" wordt weergegeven. Het domein gebruikt echter de Cyrillische "a" (U+0430) in plaats van de ASCII "a" (U+0041). Dit wordt ook wel een "homograph" aanval genoemd. Browserontwikkelaars hebben maatregelen genomen om dit soort aanvallen tegen te gaan. Zo zullen Chrome en Firefox de unicode-karakters niet in de oorspronkelijke vorm weergeven als er karakters van verschillende talen in het domein worden gebruikt. De nepversie van apple.com zal dan als "xn--pple-43d.com" worden weergegeven. Zheng ontdekte dat deze maatregel niet beschermt tegen domeinen waarbij alle karakters door unicode-karakters zijn vervangen, zoals "xn--80ak6aa92e.com". In dit geval zal het domein als apple.com worden weergegeven, zo blijkt uit de demonstratie van Zheng. De onderzoeker meldde het probleem in januari van dit jaar aan Google en Mozilla. In een toekomstige versie van Chrome zal het probleem worden opgelost. Het is echter onduidelijk of Mozilla een oplossing voor Firefox zal uitrollen. Gebruikers krijgen dan ook het advies om een wachtwoordmanager te gebruiken, aangezien die niet op het nepdomein actief wordt. Daarnaast moeten gebruikers goed opletten als ze informatie op een website invoeren, aldus de onderzoeker. "Ik hoop dat Mozilla een oplossing voor dit probleem overweegt, omdat het voor serieuze verwarring kan zorgen, zelfs bij mensen die alert op phishing zijn", besluit Zheng. bron: security.nl

Microsoft heeft enkele veiligheidsmaatregelen toegevoegd aan Office 365. Zo moet de dienst een stuk veiliger worden en klanten beschermen tegen mogelijke bedreigingen. Dit alles is gelanceerd onder de noemer Office 365 Threat Intelligence. In de blogpost waarin de nieuwe functies aangekondigd worden, omschrijft Microsoft nieuwe interactieve tools om de ernst van, en de invloed van beveiligingsinbreuken te analyseren. Als aanvulling daarop zijn er realtime notificaties van mogelijke inbreuken en diverse mogelijkheden om verdachte content te analyseren. Daarnaast breidt Microsoft de Management API uit om details over bedreigingen te bieden en is integratie met SIEM-oplossingen mogelijk. “Office 365 Threat Intelligence biedt informatie over types malware zowel binnen als buiten je organisatie, als ook informatie over inbreuken met details tot op het niveau van specifieke code die gebruikt wordt voor bepaalde types malware,” schrijft Microsoft in de blogpost. Microsoft brengt ook Office 365 Advanced Data Governance uit, dat klanten helpt belangrijke gegevens te verwerken, onderwijl er bepaalde informatie die mogelijk schadelijke effecten kan hebben weggefilterd wordt. Het systeem geeft dan ook niet alleen waarschuwingen om bedreigingen te identificeren, maar biedt ook tips voor te nemen maatregelen. Afgezien daarvan zijn er ook nog allerhande extra opties om data te classificeren en hiermee om te gaan. Verdere verbeteringen komen binnen een paar maanden naar Office 365. Zowel Threat Intelligence als Advanced Data Governance komen standaard naar Office 365 Enterprise E5 en zijn “algemeen beschikbaar” voor het publiek. bron: techzine.nl

Een zerodaylek in Microsoft Office dat Microsoft gisterenavond patchte is zowel door cybercriminelen als cyberspionnen gebruikt. Eerder deze week werd bekend dat cybercriminelen via het Office-lek de Dridex banking Trojan probeerden te verspreiden. Via deze malware kunnen gegevens voor internetbankieren worden gestolen en is het mogelijk om geld van bankrekeningen te stelen. De kwetsbaarheid werd ook bij gerichte aanvallen ingezet, zo meldt het Amerikaanse beveiligingsbedrijf FireEye. Als gebruikers een kwaadaardig Office-document van de aanvallers openden konden ze met twee malware-exemplaren besmet raken, waaronder de WingBird-malware. Volgens Microsoft is dit waarschijnlijk een nieuwe versie van de FinFisher-overheidsspyware. Bij een vorige aanval waarbij WingBird werd aangetroffen stelde Microsoft nog dat het gebruik van de FinFisher-versie suggereerde dat de aanval het werk was van een aanvalsgroep die banden met een overheidsdienst heeft. Naast de WingBird-malware installeerde de Office-exploit ook de Latentbot die sinds 2013 in omloop is en nauwelijks enige sporen achterlaat, alsmede harde schijven kan beschadigen. De malware is net als WingBird ontwikkeld om gebruikers te bespioneren en gegevens te stelen. Wie er achter de aanvallen zit is onbekend. bron: security.nl

Adobe heeft voor Flash Player, Acrobat, Adobe Reader en PhotoShop beveiligingsupdates uitgebracht die meerdere kwetsbaarheden verhelpen waardoor een aanvaller in het ergste geval systemen had kunnen overnemen. In Flash Player zijn in totaal zeven beveiligingslekken opgelost die een aanvaller in alle gevallen willekeurige code op het systeem lieten uitvoeren, waardoor bijvoorbeeld malware kon worden geïnstalleerd. . Het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van een besmette advertentie of het openen van een Microsoft Office-document met een embedded Flash-object was hiervoor voldoende. Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 25.0.0.148 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. Linux-gebruikers kunnen de update installeren wanneer het hen uitkomt. Adobe baseert dit advies op aanvallen die in het verleden zijn voorgekomen en de kans dat kwetsbaarheden op een bepaald platform worden aangevallen. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe is naar eigen zeggen niet bekend met aanvallen die misbruik van de kwetsbaarheden maken. Acrobat In Adobe Reader en Adobe Acrobat zijn in totaal 40 kwetsbaarheden verholpen waardoor een aanvaller willekeurige code op het systeem had kunnen uitvoeren of het geheugen had kunnen uitlezen. Gebruikers krijgen het advies om binnen 30 dagen naar Acrobat DC of Acrobat Reader versie 2017.009.20044, Acrobat DC of Acrobat Reader DC Classic versie 2015.006.30306 of Acrobat XI of Adobe Reader XI versie 11.0.20 te updaten. Dit kan via de automatische updatefunctie van de pdf-lezer of de website van Adobe. PhotoShop In het geval van Adobe PhotoShop CC zijn er twee kwetsbaarheden gepatcht waardoor een aanvaller via een kwaadaardig pcx-bestand in het ergste geval kwetsbare systemen had kunnen overnemen. Gebruikers van Adobe PhotoShop CC 2017 krijgen het advies naar versie 18.1 te updaten. Voor gebruikers van Adobe PhotoShop CC 2015.5 is update 17.0.2 (2015.5.2) verschenen. Aangezien PhotoShop historisch gezien geen doelwit van aanvallers is, adviseert Adobe beheerders de beveiligingsupdate te installeren wanneer het hen uitkomt. bron: security.nl