Captain Kirk

Een botnet dat voor het versturen van miljoenen spamberichten en de verspreiding van allerlei malware verantwoordelijk was is door de FBI ontmanteld nadat de Spaanse autoriteiten de vermeende Russische beheerder arresteerden. Dat meldt het Amerikaanse ministerie van Justitie. Het gaat om het Kelihos-botnet dat sinds 2010 operationeel was en uit tienduizenden besmette Windowscomputer bestond. Cybercriminelen maakten op allerlei manieren gebruik van het botnet, zoals het versturen van aandelenspam en de verspreiding van ransomware en banking Trojans. Om het botnet uit te schakelen werden de domeinen waarmee besmette computers werden aangestuurd door de FBI in beslag genomen. Vervolgens werden de ip-adressen veranderd zodat ze naar een vervangende server wezen. Op deze manier kunnen de ip-adressen van slachtoffers worden verzameld. De autoriteiten zullen deze ip-adressen vervolgens met de betreffende providers delen, zodat die hun besmette abonnees kunnen waarschuwen. De Amerikaanse autoriteiten zeggen dat ze exemplaren van de Kelihos-malware met de securitygemeenschap zullen blijven delen, zodat anti-virusbedrijven hun software kunnen updaten om Kelihos te verwijderen. In de aankondiging van het nieuws stelt het ministerie van Justitie dat verschillende betaalde en gratis progamma's de malware kunnen verwijderen, waarbij de gratis Microsoft Safety Scanner als enige voorbeeld wordt genoemd. bron: security.nl

Een zerodaylek in Microsoft Office waar dit weekend voor werd gewaarschuwd wordt actief gebruikt voor de verspreiding van een Trojaans paard waarmee aanvallers toegang tot gegevens voor internetbankieren krijgen. Dat meldt beveiligingsbedrijf Proofpoint in een blogposting. Het Amerikaanse beveiligingsbedrijf McAfee kwam dit weekend met de waarschuwing voor een kwetsbaarheid in alle versies van Microsoft Office die aanvallers in combinatie met een zerodaylek in Windows gebruiken om doelen aan te vallen. Verdere details werden echter niet gegeven. Volgens Proofpoint versturen de aanvallers rtf-documenten die wanneer geopend de Dridex Trojan op computers installeren. Dit is een banking Trojan waarmee gegevens voor internetbankieren worden onderschept. Vervolgens kunnen aanvallers hiermee frauderen. McAfee adviseerde als oplossing om Protected View in Office in te schakelen, aangezien de exploit dan niet zou werken. Deze optie staat echter standaard ingeschakeld. Proofpoint laat zich niet uit of de nu waargenomen aanvallen met of zonder Protected View werken. Wel vermoedt het beveiligingsbedrijf dat de kwetsbaarheid vanavond tijdens de maandelijkse Microsoft-patchcyclus van april zal worden gedicht. Gebruikers die toch een oplossing zoeken kunnen ervoor kiezen om rtf-documenten in Microsoft Office te blokkeren, aldus het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. bron: security.nl

Google heeft afgelopen maand een belangrijk aandeel gehad in de beveiligingslekken die Microsoft heeft gepatcht. Tijdens de patchdinsdag van maart verhielp de softwaregigant 119 kwetsbaarheden, waarvan er 29 door Google waren gevonden en gerapporteerd. Het gaat om problemen die al sinds de vorige eeuw in de Windowscode aanwezig zijn, zo laat de internetgigant in een analyse weten. De beveiligingslekken waren aanwezig in een softwarebibliotheek en deden zich voor bij het verwerken van fonts. Google is al geruime tijd bezig om kwetsbaarheden in Windows via gemanipuleerde fontbestanden te vinden. In dit geval werd er zelfs een geheel nieuwe aanvalsvector ontdekt om Windows via dergelijke bestanden aan te vallen. Verder onderzoek wees uit dat de kwetsbare code al sinds Windows 2000 aanwezig is. "Het is een fascinerende maar beangstigende realisatie dat zelfs bij zo'n bekend probleem als het verwerken van fonts, het nog steeds mogelijk is om nieuwe aanvalsvectoren te vinden die van de vorige eeuw dateren en grotendeels door audits zijn overgeslagen", zegt Mateusz Jurczyk van Google Project Zero, het speciale team van Google dat uit allerlei zeer ervaren hackers bestaat en veelgebruikte software op kwetsbaarheden onderzoekt. Volgens Jurczyk laten de resultaten zien dat de tijd die wordt geïnvesteerd in het grondig analyseren van het aanvalsoppervlak en het zoeken naar onbekende doelwitten veel kan opleveren, aangezien de securitygemeenschap nog altijd geen volledig begrip heeft van de aanvalsvectoren in belangrijke stacks, zoals het verwerken van Windows-fonts, aldus de onderzoeker. bron: security.nl

Het is vandaag precies 5 jaar geleden dat Microsoft een beveiligingsupdate voor kwetsbaarheden in Office uitrolde, maar één van de toen gepatchte beveiligingslekken wordt in 2017 nog steeds aangevallen, wat aantoont hoe belangrijk het installeren van patches is. De kwetsbaarheid wordt aangeduid met de code CVE-2012-0158 en is aanwezig in Office 2003, 2007 en 2010 voor Windows. Via het beveiligingslek kan een aanvaller in het ergste geval een Windowscomputer volledig overnemen als er met een kwetsbare versie van Office een kwaadaardig document wordt geopend. Hoewel de update al geruime tijd beschikbaar is vinden er nog geregeld aanvallen plaats waarbij van dit specifieke lek gebruik gemaakt wordt. Het gaat zowel om aanvallen van cyberspionnen als cybercriminelen. Vanwege de impact en leeftijd kijkt Security.NL in dit artikel naar de ontwikkelingen rondom deze specifieke kwetsbaarheid. Het is namelijk vrij bijzonder dat een dergelijke oude kwetsbaarheid nog steeds effectief is en ook al zo lang wordt aangevallen. Sommige onderzoekers noemen het dan ook "het beveiligingslek dat niet wil sterven". Zo werden vorig jaar de Indiase en Oezbeekse overheid nog via dit lek aangevallen, alsmede overheidsinstanties, activisten, militaire organisaties en bedrijven in allerlei andere landen. Uit cijfers van vorig jaar zou blijken dat 15 procent van de computers in Europa en de Verenigde Staten nog steeds kwetsbaar is en iets minder dan 40 procent wereldwijd. In Rusland en Azië hebben aanvallers echter meer dan 50 procent kans dat gebruikers nog steeds een kwetsbare Office-versie draaien (pdf). "Het is een robuust en eenvoudig beveiligingslek. Het is eenvoudig te gebruiken, eenvoudig aan te passen en eenvoudig in Office-documenten te verbergen”, zegt Gabor Szappanos, expert op het gebied van Office-exploits en werkzaam voor het Britse beveiligingsbedrijf Sophos. Hij denkt dat dit de voornaamste redenen voor het succes zijn, gecombineerd met het feit dat veel Office-installaties niet zijn gepatcht. Een andere reden is dat veel mensen niet weten dat een onschuldig lijkend Excel- of Word-document een exploit kan bevatten en dergelijke documenten dan ook gewoon openen. Exploitkit Wat ook meespeelt is het verschijnen van zogeheten "Office exploit builder kits", waarmee het eenvoudig is om een kwaadaardig Excel- of Word-document te maken dat slachtoffers via kwetsbaarheden in Microsoft Office probeert te infecteren. "Elke crimineel zonder kennis over exploits kan zo’n kit aanschaffen en gebruiken", laat de expert weten. De afgelopen jaren is het gebruik van dergelijke exploitkits sterk gestegen, aldus Szappanos. Daardoor is de kwetsbaarheid ook in het vizier van cybercriminelen gekomen die normaliter geen gebruik van Office-exploits zouden maken. Ook Szappanos is verrast dat aanvallers nog steeds gebruik van het 5 jaar oude Office-lek maken. Wat dit succes mogelijk ook verklaart is dat er niet veel eenvoudig te gebruiken Office-kwetsbaarheden zijn. Op dit moment zijn er vier a vijf Office-exploits in omloop die veel worden gebruikt, en CVE-2012-0158 is daarvan de populairste, aldus de expert. "Als criminelen een exploit zoeken waarvan ze zeker willen weten dat die werkt, dan kiezen ze deze." Hoewel de kwetsbaarheid in eerste instantie alleen voor cyberspionage werd ingezet, ziet Szappanos een verschuiving waarbij ook doorsnee cybercriminelen slachtoffers via dit Office-lek aanvallen. Zo zijn er verschillende campagnes bekend waarbij criminelen via dit lek Trojaanse paarden hebben verspreid waarmee toegang tot internetbankieren werd verkregen. Doordat cybercriminelen de kwetsbaarheid aanvallen lopen veel meer gebruikers risico dan bij cyberspionage, aangezien deze aanvallen tot geselecteerde organisaties of personen beperkt worden. Szappanos is ook bekend met enkele gevallen waarbij er via kwaadaardige documenten ransomware werd verspreid. "Maar voor de één of andere reden houden de bendes achter ransomware zich niet met Office-exploits bezig. Ze kiezen liever voor Office-macro’ s", zo stelt de expert. Illegale software De grote vraag blijft echter waarom eindgebruikers en organisaties hun Office-versie niet patchen. Door het installeren van een enkele update hadden honderden aanvallen voorkomen kunnen worden. "Het kan zijn dat het gebruikers niets kan schelen, of dat ze illegale software gebruiken en hun versie niet kunnen updaten”, aldus Szappanos. In het geval van organisaties kan hij geen reden verzinnen waarom het updaten wordt uitgesteld. "Office-updates zijn veilig om te installeren, ze zouden niet voor problemen of compatibiliteitsproblemen moeten zorgen. Het is een must voor organisaties om ze meteen te installeren zodra ze beschikbaar zijn." Volgens de expert is het belangrijk om aandacht voor dit specifieke lek en andere Office-kwetsbaarheden te vragen. Gebruikers moeten weten dat ze via dergelijke beveiligingslekken kunnen worden aangevallen en dat updates hier tegen beschermen, gaat Szappanos verder. "Het installeren van een update is de eenvoudigste oplossing." Het zou dan ook helpen als Microsoft de update voor deze kwetsbaarheid ook aan gebruikers van illegale software beschikbaar zou stellen, merkt Szappanos op. De expert denkt dat CVE-2012-0158 nog een paar jaar zal meegaan, maar dat cybercriminelen deze kwetsbaarheid uiteindelijk links zullen laten liggen. "Ze blijven het gebruiken zolang er voldoende kwetsbare gebruikers zijn." En zelfs als dit specifieke lek verdwijnt, zijn er inmiddels ook nieuwere exploits beschikbaar. "Het advies is dan ook patchen, patchen, patchen", besluit Szappanos. bron: security.nl

Zoekmachine Ask.com heeft gedurende een maand allerlei zoekopdrachten van gebruikers voor iedereen openbaar gemaakt. De Apache-statuspagina was niet afgeschermd en toonde allerlei zoekresultaten. De statuspagina hoort normaliter niet zomaar toegankelijk te zijn. De Duitse beveiligingsonderzoeker Hanno Böck ontdekte het probleem en waarschuwde Ask vorige maand al. "Het is onverantwoord van een zoekmachine om op een dergelijke manier de servers te configureren", zo liet hij tegenover het Duitse Golem weten. Inmiddels is de pagina niet meer toegankelijk. De zoekmachine Ask.com zit ook achter de gelijknamige omstreden toolbar, die door sommige experts als adware wordt bestempeld en meerdere keren is gebruikt voor het verspreiden van malware. bron: security.nl

Gebruikers van alle versies van Microsoft Office zijn gewaarschuwd voor een ernstig beveiligingslek in de kantoorsoftware dat sinds januari wordt aangevallen en waar nog geen update van Microsoft voor beschikbaar is. De nu ontdekte kwaadaardige Office-documenten gebruiken naast het Office-lek ook een Windows-lek dat nog niet is gepatcht. Mogelijk dat de aanvallers via dit lek hun rechten op het systeem verhogen. Door het openen van een kwaadaardig Office-document kan een aanvaller volledige controle over het systeem krijgen. Alle versies van Office zijn kwetsbaar, waaronder Office 2016 op Windows 10. Dat laat beveiligingsbedrijf McAfee weten. Zodra het document wordt geopend zal de exploit een hta-bestand downloaden. Hiermee kan een aanvaller willekeurige code op het systeem uitvoeren. Als de exploit succesvol is wordt het kwaadaardige Word-bestand gesloten en verschijnt er een ander document om het slachtoffer niets te laten vermoeden. De eerste aanvallen op het beveiligingslek dateren van januari dit jaar. Microsoft is ingelicht en werkt aan een beveiligingsupdate. Wanneer die zal verschijnen is nog onbekend. In de tussentijd krijg gebruikers het advies om geen Office-documenten van onbetrouwbare bronnen te openen en Office Protected View in te schakelen. De exploit zal dan namelijk niet werken. bron: security.nl

Quote: Alvast bedankt voor de goede raad! Graag gedaan

Aangezien er al een tijd niet gereageerd is ga ik er vanuit dat je probleem opgelost is. Hierbij sluit ik het topic. Indien je het topic weer open wilt hebben, laat mij dit dan even weten. Voor een nieuw probleem kun je altijd een nieuw topic starten.

Het geluid van Disney zou inderdaad aan de beveiliging kunnen liggen. Maar even iets anders. Wat voor Hotspotpunt gebruik je. Zolang je niet weet wie de hotspot aan biedt, zou ik voorzichtig zijn. Voor het zelfde geld heb je te maken met een man-in-the-middle. Oftwel, heb jij je internetverbinding maar kan ondertussen iemand vrolijk alles volgen en meekijken wat je via internet doet. Dus ook het lezen van je wachtwoorden en inlognamen cq codes. Ik raad je enige voorzichtigheid aan. Wat is overigens de reden van deze opstelling en niet voor een eigen internetaansluiting?

Aangezien er al een tijd niet gereageerd is ga ik er vanuit dat je probleem opgelost is. Hierbij sluit ik het topic. Indien je het topic weer open wilt hebben, laat mij dit dan even weten. Voor een nieuw probleem kun je altijd een nieuw topic starten.

Beste CRoelofs, hoe staat het met het probleem? Is het al opgelost. Zo niet, voer dan even het advies van Droske uit zodat hij je verder kan helpen.

Beste Grijzegeus, Is je probleem opgelost? Dan mag je dit topic afsluiten. Zo blijft het voor ons een beetje overzichtelijk. Is je probleem nog niet opgelost, laat het dan even weten.

Beste Wayke, Een van de meest voor de hand liggende oorzaken is het kanaal waarop je wifi-signaal wordt uitgezonden. Wanneer er in de buurt meerdere routers staan, kunnen deze elkaar storen. Wanneer je dit bij installeren niet hebt aangepast, staat deze nog op het standaard kanaal ingesteld. Aanpassen van het kanaal kan je probleem soms oplossen. Met de Android-tool "Wifi-Analyzer" kun je mooi zien hoeveel routers er in de buurt staan en welk kanaal het beste is voor je instellingen. Mijn advies is dus om dit eerst eens te proberen.

De meeste malware die voor Internet of Things-apparaten is ontwikkeld probeert systemen onopgemerkt over te nemen, maar onderzoekers hebben nu een exemplaar ontdekt dat slecht beveiligde IoT-apparaten opzettelijk beschadigt. De malware heeft het voorzien op Linux/BusyBox-gebaseerde IoT-apparaten die hun Telnet-poort hebben openstaan en via internet toegankelijk zijn. BrickerBot, zoals de malware wordt genoemd, maakt gebruik van veelvoorkomende gebruikersnamen en wachtwoorden om via Telnet in te loggen. Is de malware succesvol op het apparaat ingelogd, dan worden verschillende commando's uitgevoerd waardoor de opslag corrupt raakt, de internetverbinding verbroken wordt en alle bestanden op het apparaat gewist. Hierdoor wordt een permanente denial of service aan de kant van de gebruiker veroorzaakt, zo meldt beveiligingsbedrijf Radware. Inmiddels zijn er twee varianten van BrickerBot ontdekt. Wie er achter de aanvallen zit en wat zijn uiteindelijke doel is, is onbekend. bron: security.nl

Cybercriminelen versturen op dit moment allerlei versleutelde Word-documenten die computers met een keylogger proberen te infecteren. De documenten doen zich voor als een factuur en zijn met een wachtwoord beveiligd. Als gebruikers een Office-document met een wachtwoord beveiligen wordt het versleuteld, zo laat Microsoft weten. In het geval van de spamberichten, waar een Twitteraar genaamd Zenexer voor waarschuwde, is het wachtwoord toegevoegd. Als gebruikers het bestand openen en het wachtwoord invoeren verschijnt er een document dat drie andere documenten lijkt te bevatten. Het gaat echter om kwaadaardige embedded scriptbestanden. Zodra gebruikers op één van de zogenaamde documenten klikken krijgen ze de vraag of ze een scriptbestand willen uitvoeren. Wanneer de gebruiker hiermee akkoord gaat wordt de Ursniff-keylogger op het systeem geïnstalleerd, die allerlei toetsaanslagen opslaat en terugstuurt naar de aanvallers. Volgens de website Bleeping Computer maken de aanvallers gebruik van versleutelde documenten zodat ze lastiger door beveiligingssoftware zijn te detecteren. bron: security.nl

Er is een nieuwe versie van de Opera-browser verschenen die gebruikers waarschuwt als ze hun wachtwoord of creditcardnummer op een http-site invullen. In dit geval verschijnt er een melding dat het inloggen niet veilig is. Eerder werd een zelfde maatregel al aan Chrome en Firefox toegevoegd. Op deze manier willen de browserontwikkelaars voorkomen dat gebruikers hun inloggegevens op websites invoeren waar derden ze kunnen onderscheppen. Daarnaast moet het webontwikkelaars er toe bewegen om https voor hun website te implementeren. Sommige webmasters zijn echter niet gediend van de waarschuwing. Zo vroeg onlangs de beheerder van een website waar gebruikers via http moesten inloggen aan Mozilla om de melding in Firefox te verwijderen. bron: security.nl

Google Chrome geeft tegenwoordig bij https-sites de melding "Veilig" in de adresbalk weer, maar dat is niet altijd terecht, zo stelt beveiligingsbedrijf Wordfence. De eerste kritiek van onderzoeker Mark Maunder is dat de melding ook bij phishingsites wordt gegeven die over een geldig ssl-certificaat beschikken. Zo werd onlangs bekend dat de gratis ssl-verstrekker Let's Encrypt alleen voor PayPal-phishingsites zo'n 15.000 certificaten had uitgegeven. Gebruikers zouden zo kunnen denken dat de website waar ze op zitten veilig is. Een ander kritiekpunt is dat als een certificaatautoriteit een onterecht uitgegeven certificaat intrekt, Chrome nog steeds de melding "Veilig" weergeeft. Alleen via de Chrome-developertools is te zien dat het certificaat is ingetrokken. Daarnaast kan het enige tijd duren voordat kwaadaardige websites die over een geldig ssl-certificaat beschikken op de blacklist van Chrome verschijnen en gebruikers een waarschuwing krijgen. In de tussentijd verschijnt er nog steeds de melding "Veilig" bij deze websites. Volgens Maunder kan de safebrowsinglijst die Google hanteert dan ook niet als back-upmechanisme worden gebruikt om gebruikers tegen kwaadaardige websites met geldige ssl-certificaten te beschermen. Internetgebruikers krijgen dan ook het advies om altijd de hostnaam in de adresbalk te controleren. "Ik denk niet dat de melding "Veilig" in de adresbalk van Chrome goed genoeg is. Het Chrome-team zou een schaal moeten overwegen die rekening houdt met wie de certificaatautoriteit is, hoeveel domeinen hetzelfde certificaat delen en de leeftijd van een domein en diens certificaat. Er zijn andere kenmerken die je waarschijnlijk kunt gebruiken om een veiligheidsscore te berekenen, in plaats van alleen een binaire "Veilig" of "Niet veilig" melding voor websites", aldus Maunder. bron: security.nl

Cisco heeft een update voor de Aironet 1830 en 1850 access points uitgebracht wegens een ernstig beveiligingslek waardoor een aanvaller de apparaten volledig had kunnen overnemen. De kwetsbaarheid werd veroorzaakt door de aanwezigheid van standaard inloggegevens als de access points de Cisco Mobility Express Software draaiden. Een aanvaller die verbinding met de access point kon maken had vervolgens via ssh met verhoogde rechten op het apparaat kunnen inloggen. In het geval de aanval succesvol was had een aanvaller het apparaat volledig kunnen overnemen, aldus Cisco. De netwerkfabrikant heeft een update uitgebracht en adviseert beheerders die te installeren, aangezien er geen andere oplossing voorhanden is. De Cisco Aironet access points zijn bedoeld voor zakelijke draadloze netwerken. bron: security.nl

Microsoft heeft de Windows 10 Creators Update gelanceerd die allerlei nieuwe features aan het besturingssysteem toevoegt, waaronder verschillende privacyinstellingen. De update zal vanaf 11 april via de updatefunctie worden aangeboden, maar is nu handmatig te downloaden en installeren. Op beveiligingsgebied introduceert de Creators Update verschillende nieuwe opties, zoals de mogelijkheid om alleen de installatie van apps uit de Microsoft Store toe te staan. Daarnaast kunnen apps nu ook van de biometrische inlogmethodes van Windows Hello gebruikmaken. Voor de installatie van de Creators Update moeten gebruikers eerst hun huidige privacyinstellingen bevestigen. Een ander nieuw onderdeel van de Creators Update is het "Windows Defender Security Center" waarmee gebruikers in één keer de status van hun systeem kunnen zien. bron: security.nl

Het aantal aanvallen op Flash Player is door een combinatie van factoren de afgelopen tijd sterk afgenomen, zo stelt Adobe. Flash Player is nog altijd een geliefd doelwit van exploitkits waarmee criminelen internetgebruikers ongemerkt infecteren. De kwetsbaarheden die deze exploitkits aanvallen zijn echter oud en al geruime tijd gepatcht. Gebruikers die hun Flash Player-versie up-to-date hebben lopen in dit geval geen risico. Adobe stelt dat deze situatie aan verschillende factoren is te danken. Zo zorgt de automatische updatefunctie voor het sneller installeren van updates en heeft Adobe allerlei beveiligingsmaatregelen aan Flash Player toegevoegd die het lastig voor aanvallers maken om kwetsbaarheden te vinden en uit te buiten. Daarnaast hebben opsporingsdiensten een belangrijke groep exploitkit-ontwikkelaars opgerold en levert het gebruik van exploitkits minder op voor cybercriminelen. Toch zegt Adobe niet achterover te leunen. "Advanced persistent threats (APTs) kiezen op basis van hun missie welke technologie ze zullen aanvallen. Als je software in een omgeving wordt gebruikt waar de APT het op heeft voorzien, dan zullen ze alles doen om de missie te voltooien", zegt Peleus Uhley van Adobe. Hij is dan ook blij met hackwedstrijden zoals de recente Pwn2Own-wedstrijd, aangezien Adobe hierdoor nieuwe manieren leert om de software te beschermen. bron: security.nl

Microsoft heeft voor de eerste keer informatie online gezet over welke gegevens het besturingssysteem verzamelt en naar Microsoft terugstuurt. Windows 10 zal vanaf de Creators Update twee opties bieden wat betreft het verzamelen van gegevens: een standaard en een volledig niveau. Van het standaard niveau heeft Microsoft nu een volledig overzicht van de verzamelde diagnostische gegevens openbaar gemaakt. Daarnaast is er van het volledige niveau een gedetailleerde samenvatting gemaakt. Microsoft was in het verleden verschillende keren over het dataverzamelen door Windows 10 op de vingers getikt. De softwaregigant heeft vervolgens aangekondigd om via de Creators Update, die op 11 april verschijnt, verschillende aanpassingen door te voeren. Zo moeten gebruikers straks hun huidige privacyinstellingen bevestigen en zal bij een schone installatie het besturingssysteem ook al van tevoren om de gewenste privacyinstellingen vragen. Verder zegt Microsoft dat het gebruikers binnen producten meer informatie over privacy zal geven en is de privacyverklaring aangepast. Volgens Microsoft moeten gebruikers via deze maatregelen meer controle krijgen. Daarnaast krijgen gebruikers de toezegging dat verdere aanpassingen via toekomstige updates worden doorgevoerd. Verder zal Microsoft meer informatie delen om ervoor te zorgen dat Windows 10 aan de Europese privacywetgeving voldoet. bron: security.nl

Een Nederlandse onderzoeker is er in geslaagd om de EMET-beveiliging van Microsoft te omzeilen en het probleem is nog niet door de softwaregigant verholpen. EMET staat voor Enhanced Mitigation Experience Toolkit (EMET) en voegt een extra beveiligingslaag aan Windows en geïnstalleerde applicaties toe. Deze extra beschermingslaag moet het lastiger voor aanvallers maken om zowel bekende als onbekende kwetsbaarheden in het besturingssysteem of geïnstalleerde programma's of plug-ins aan te vallen. Ook kan EMET systeembeheerders een waarschuwing geven als een applicatie door een mogelijke aanval is gecrasht. De beveiligingstool wordt dan ook door menig expert en organisatie aangeraden. Volgens onderzoeker Niels Warnars kan een aanvaller die lees-schrijftoegang tot het geheugen heeft voorkomen dat de meeste beveiligingsmaatregelen van EMET actief worden. Warnars waarschuwde Microsoft vorig jaar mei. Sindsdien zijn er twee nieuwe versies van EMET verschenen, maar is het probleem nog steeds aanwezig. In januari liet Microsoft de onderzoeker weten dat het probleem in de volgende EMET-versie zal worden opgelost. Wanneer die echter uitkomt is nog onbekend. Microsoft is ondanks kritiek van beveiligingsexperts van plan om de ondersteuning van EMET op 31 juli 2018 stop te zetten. Volgens de softwaregigant biedt Windows 10 een betere beveiliging. In de tussentijd zullen er echter nog steeds updates voor de beveiligingstool verschijnen. bron: security.nl

In de firmware van twee moederborden van fabrikant Gigabyte bevindt zich een beveiligingslek waardoor een aanvaller met toegang tot het systeem een permanente rootkit kan installeren of de computer permanent kan beschadigen. Daarvoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het gaat om de firmware van de Gigabyte GB-BSi7H-6500 en GB-BXi7-5775, twee zogeheten barebones waar gebruikers zelf nog geheugen en een harde schijf aan moeten toevoegen. De barebones zijn bijvoorbeeld als mediacenter te gebruiken. De firmware van beide platformen blijkt de schrijfbeveiliging niet goed uit te voeren. Daarnaast is de firmware niet cryptografisch gesigneerd. De firmware wordt via http aangeboden en beschikt niet over een checksum. Een aanvaller kan zodoende aanpassingen aan de firmware doorvoeren zonder dat het systeem dit kan controleren. Volgens het CERT/CC kan alleen een ingelogde lokale aanvaller de kwetsbaarheden uitbuiten. Voor de GB-BSi7H-6500 zal deze maand een update verschijnen, zo heeft Gigabyte bekendgemaakt. De GB-BXi7-5775 wordt echter niet meer ondersteund en zal geen nieuwe firmware ontvangen, waardoor deze systemen kwetsbaar blijven. Het CERT/CC zegt geen praktische oplossingen voor kwetsbare systemen te hebben. bron: security.nl

Dinsdag 11 april begint Microsoft met de uitrol van de Windows 10 Creators Update en als eerste zal dit op nieuwere computers plaatsvinden, zo heeft de softwaregigant aangekondigd. Microsoft zegt dat een gefaseerde uitrol de beste resultaten oplevert. Als eerste zijn nieuwere computers aan de beurt, met name die Microsoft samen met oem-partners heeft getest. Vervolgens zal de uitrol gefaseerd onder andere apparaten plaatsvinden. In totaal verwacht Microsoft dat het enkele maanden zal duren voordat alle Windows 10-computers die compatibel zijn de Creators Update hebben ontvangen. Gebruikers krijgen echter wel de optie om te bepalen wanneer de daadwerkelijke update zal plaatsvinden. Zo kan er bijvoorbeeld een specifieke tijd worden opgegeven. Gebruikers die niet willen wachten kunnen de Creators Update woensdag 5 april via de Update Assistant downloaden. "Deze optie is bedoeld voor geavanceerde gebruikers met computers die een gelicenseerde versie van Windows 10 draaien", aldus Microsofts John Cable. De Creators Update is één van de grootste Windows 10-updates tot nu toe en bevat allerlei nieuwe features en aanpassingen. Voor de installatie van de update zullen gebruikers hun privacyinstellingen moeten bevestigen. bron: security.nl

Google kijkt naar mogelijkheden om JavaScript-pop-ups in Chrome te blokkeren, omdat scammers hier actief misbruik van maken. Dat blijkt uit een voorstel dat het Chromium-team heeft gepubliceerd. Het komt geregeld voor dat JavaScriptpop-ups meldingen laten zien die bijvoorbeeld melden dat er een probleem met de computer is en er een bepaald nummer moet worden gebeld. In werkelijkheid gaat het om telefoonscammers. Ook zijn er scammers die via JavaScript de browser proberen te vergrendelen of gebruikers naar scareware en andere kwaadaardige software doorsturen. Het Chromium-team raadt het gebruik van JavaScriptpop-ups dan ook af. Daarnaast wordt er naar mogelijke opties gekeken om deze pop-ups te vervangen. Zo wordt een optie onderzocht waarbij bepaalde JavaScriptpop-ups worden geblokkeerd als de gebruiker niets met de pagina doet. Het kan dan bijvoorbeeld om kwaadaardige advertenties gaan die opeens een melding laten zien. In dit geval zal de pop-up niet worden getoond. Exacte details over het hoe de blokkade precies gaat werken kan Google nog niet geven. Vanwege het te verwachten effect krijgen app- en webontwikkelaars nu al het advies om dergelijke pop-ups niet meer te gebruiken. bron: security.nl