Captain Kirk

Onderzoekers van Google hebben een ernstig beveiligingslek in ESET Antivirus voor macOS ontdekt waardoor een aanvaller systemen volledig kon overnemen. ESET Antivirus draait standaard als root op macOS. De virusscanner maakte echter gebruik van een kwetsbare softwarebibliotheek voor het verwerken van xml-bestanden. Via een kwaadaardig xml-bestand was het voor een aanvaller mogelijk om zonder enige interactie van gebruikers willekeurige code op het systeem uit te voeren. Als ESET Antivirus de licentie probeert te activeren wordt er verbinding gemaakt met een ESET-webserver. De virusscanner controleert echter niet het servercertificaat van de webserver. Een aanvaller tussen de gebruiker en het internet kan het verzoek van de virusscanner onderscheppen en het activatieverzoek beantwoorden. Dit antwoord wordt als een xml-document door de virusscanner verwerkt, waardoor de aanvaller de kwetsbaarheid in de xml-bibliotheek kan misbruiken en willekeurige code met rootrechten kan uitvoeren. Het beveiligingslek werd op 3 november vorig jaar door Google-onderzoekers Jason Geffner en Jan Bee ontdekt en dezelfde dag aan ESET gerapporteerd. Vorige week dinsdag bracht ESET een update uit, waarna Google nu de details heeft geopenbaard. In 2015 vonden onderzoekers van Google ook al verschillende keren kwetsbaarheden in de anti-virussoftware van ESET. bron: security.nl

Met de aankomende Creators Update voor Windows 10 introduceert Microsoft nieuwe update-opties voor het besturingssysteem. Gebruikers kunnen straks uit het gewenste updatekanaal kiezen. Microsoft hanteert verschillende updatekanalen. Zo is er de Current Branch en Current Branch for Business. De Current Branch is het updatekanaal dat de meeste Windows 10-systemen gebruiken. De Current branch for Business installeert naast beveiligingsupdates ook feature-updates die in de consumentenmarkt zijn getest en gevalideerd. Dit updatekanaal loopt wat betreft feature-updates vier maanden achter op de Current Branch. Standaard staat de Current Branch geselecteerd. Daarnaast kunnen gebruikers straks aangeven hoeveel dagen ze de installatie van feature- en kwaliteitsupdates willen uitstellen. Een andere optie biedt de mogelijkheid om de installatie van updates tot maximaal 35 dagen uit te stellen. Als laatste is het aantal "actieve uren" van het systeem van 12 uur naar 18 uur verlengd. Tijdens de actieve uren worden er geen Windows-updates geïnstalleerd en het systeem niet herstart, zo meldt Windowsvolger Ed Bott. De Creators Update verschijnt waarschijnlijk in april. bron: security.nl

Een beveiligingslek in Windows SMB dat begin deze maand werd onthuld en waar nog geen update van Microsoft voor beschikbaar is kan via Internet Explorer en Edge worden aangevallen. Dat meldt beveiligingsbedrijf SecureWorks. Via de kwetsbaarheid is het mogelijk om computers te laten crashen. Ook het uitvoeren van willekeurige code met kernelrechten zou in theorie mogelijk zijn, maar dit is nog niet bewezen. Het Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Voor het aanvallen van de kwetsbaarheid moet een gebruiker met een kwaadaardige smb-server verbinding maken. Dit kan echter op verschillende manieren worden gedaan, aldus onderzoekers. Zo is het mogelijk om computers via 'redirect naar SMB', het openen van een link of het weergeven van een afbeelding op een webpagina met de smb-server van de aanvaller verbinding te laten maken, waarna het systeem crasht. Deze aanvallen werken alleen tegen Internet Explorer en Microsoft Edge. Google Chrome en Mozilla Firefox zijn niet kwetsbaar, omdat in deze browsers het UNC-pad standaard staat uitgeschakeld. Via het UNC-pad kan een de locatie van een "network resource" worden opgegeven, zoals een gedeeld bestand, directory of printer. De onderzoekers adviseren om de Windows-update als die op 14 maart verschijnt zo snel als mogelijk te installeren. In de tussentijd kunnen organisaties uitgaande SMB-verbindingen (poorten 139/tcp, 445/tcp, 137/udp en 138/upd) van het lokale netwerk naar externe netwerken blokkeren. bron: security.nl

Intel heeft aan de nieuwe Kaby Lake-processoren U2F-ondersteuning toegevoegd, zodat gebruikers zonder aanvullende hardware of codes van tweefactorauthenticatie gebruik kunnen maken. De Universal 2nd Factor (U2F) is een open authenticatiestandaard die gebruikers een usb-beveiligingssleutel of nfc-apparaat als tweede factor bij het inloggen laat gebruiken. Zo ondersteunen Facebook, Dropbox, Google, Windows 10 en GitHub inloggen via een fysieke beveiligingssleutel. De Kaby Lake-processoren van Intel zijn voorzien van de Intel Converged Security and Manageability Engine (CSME). Dit biedt de functionaliteit die voor U2F vereist is, zoals het genereren, registreren en signeren van U2F-challenges met een sleutelpaar, zonder dat hiervoor aanvullende hardware is vereist. "Het voordeel dat Intel U2F direct aan de chipset heeft toegevoegd is dat bedrijven en consumenten niet langer aanvullende hardware moeten aanschaffen om van U2F gebruik te maken", zegt Rich Smith van Duo Security. Het bedrijf ontwikkelt authenticatiesoftware. Volgens Smith heeft Intel een interessante aanpak voor de implementatie van hun U2F-client gekozen. "In plaats van een usb-apparaat te gebruiken waarmee de meeste mensen bekend zijn, heeft Intel gekozen om hun U2F-client in de software te integreren en op het scherm op een willekeurig gegenereerde locatie een vierkant te laten zien." De gebruiker moet hier vervolgens op klikken. Intel heeft daarbij maatregelen genomen die moeten voorkomen dat dit proces kan worden afgeluisterd of omzeild. Zodra de gebruiker op het vierkant heeft geklikt is de U2F-challenge gesigneerd door een sleutel die in de hardware wordt opgeslagen en vervolgens aan de browser wordt teruggegeven om op een account in te loggen. "De software-only U2F-implemantie maakt sterke U2F-gebaseerde authenticatie voor alle eigenaren van een Kaby Lake-processor beschikbaar, zonder aanvullende investeringen", gaat Smith verder. Hij hoopt dat dit ervoor zal zorgen dat meer mensen van U2F gebruik gaan maken. Uit cijfers van Duo Security blijkt namelijk dat op dit moment voor alle waargenomen tweefactorauthenticatie-sessies slechts 1 procent van U2F gebruikmaakt en dit het afgelopen jaar niet veel is veranderd. bron: security.nl

Met de aankomende Creators Update voor Windows 10 wordt het voor gebruikers en beheerders mogelijk om de installatie van Win32-apps te blokkeren en alleen nog maar software uit de Microsoft Store toe te staan. Straks kunnen er drie opties worden gekozen om apps te installeren. De eerste optie is het installeren van apps die van willekeurige locaties afkomstig zijn. Bij de tweede optie wordt de voorkeur aan apps uit de Microsoft Store gegeven, maar is ook de installatie van andere apps toegestaan. Als laatste optie is het alleen mogelijk om apps uit de Microsoft Store te installeren. De nieuwe optie werd door Vitor Mikaelson ontdekt en lijkt op de opties die Apple in macOS biedt. Er is echter ook kritiek op de melding die Microsoft geeft bij het blokkeren van Win32-apps. Daarin wordt namelijk gesteld dat door het alleen toestaan van apps uit de Microsoft Store de computer veilig en betrouwbaar wordt gehouden, wat suggereert dat apps van andere locaties onveilig zijn. Volgens MSPoweruser staat de optie standaard uitgeschakeld, maar zal die met name onervaren gebruikers kunnen beschermen tegen het installeren van bloatware en malware. De Creators Update zal waarschijnlijk in april verschijnen. bron: security.nl

Na eerder al een ongepatcht beveiligingslek in Windows te hebben onthuld heeft Google ook een kwetsbaarheid in Edge en Internet Explorer geopenbaard waar nog geen update van Microsoft voor beschikbaar is. Via het lek kan een aanvaller in het ergste geval willekeurige code op het systeem uitvoeren, zoals het installeren van malware. De voorbeeldaanval die Google online heeft gezet zorgt er echter voor dat de browser alleen crasht. Microsoft werd op 25 november door Google over het lek ingelicht. Standaard hanteert Google een deadline van 90 dagen, waarna informatie over de kwetsbaarheid openbaar wordt gemaakt, ongeacht of de leverancier in kwestie al een update heeft uitgerold om het probleem te verhelpen. Mogelijk dat Microsoft van plan was het beveiligingslek tijdens de patchdinsdag van februari te patchen, maar de softwaregigant besloot om alle beveiligingsupdates deze maand uit te stellen en te verplaatsen naar dinsdag 14 maart. Google-onderzoekers hebben in het verleden vaker kwetsbaarheden in Windows naar buiten gebracht zonder dat er een update beschikbaar was. Twee keer maakten cybercriminelen van de vrijgegeven informatie gebruik om Windows-gebruikers aan te vallen. bron: security.nl

Met de aankomende Creators Update voor Windows 10 die deze lente moet verschijnen zal Microsoft Edge standaard Flash-content gaan blokkeren om zo gebruikers tegen aanvallen te beschermen. Op websites die html5 ondersteunen zal Flash Player niet meer geladen worden. Is de website nog wel van Flash afhankelijk, dan krijgen gebruikers een melding of ze Adobe Flash-content willen uitvoeren of niet. In de nieuwste testversie van Windows 10 heeft Microsoft een nieuw venster in Edge geïmplementeerd dat gebruikers duidelijker moet laten weten dat de browser Flash-content heeft geblokkeerd en die via een enkele muisklik kan worden ingeschakeld. Gebruikers kunnen er vervolgens voor kiezen om Flash eenmalig of permanent op geselecteerde websites toe te staan. bron: security.nl

Mozilla heeft vandaag voor alle Firefox-gebruikers de ondersteuning van het sha-1-algoritme uitgeschakeld. Gisteren maakten onderzoekers van het Centrum Wiskunde & Informatica (CWI) in Amsterdam en Google bekend dat ze een succesvolle aanval op het sha-1-algoritme hadden uitgevoerd. Het algoritme speelt een belangrijke rol speelt bij internetbankieren, het signeren van documenten en allerlei andere zaken. Sha-1 lag echter al langer onder vuur en de grote browserontwikkelaars waren dan ook al begonnen om het algoritme uit te faseren. Mozilla had sinds eind vorig jaar het sha-1 voor een steeds grotere groep Firefox-gebruikers uitgeschakeld en heeft het algoritme vandaag voor alle gebruikers uitgezet. In Firefox 52 die begin maart uitkomt zal sha-1 standaard niet meer worden ondersteund. Volgens Mozilla raakt deze maatregel gebruikers die nog steeds websites bezoeken die van een sha-1-certificaat gebruikmaken. Het zou echter om minder dan 0,1 procent van het webverkeer gaan. Mozilla roept gebruikers dan ook op de meest recente versie van de browser te installeren mocht dat nog niet gedaan zijn. bron: security.nl

Door een geheugenlek bij internetdienst Cloudflare zijn de wachtwoorden, encryptiesleutels, cookies en andere gevoelige gegevens van een onbekend aantal websites gelekt die van de Cloudflare SSL Proxy gebruikmaakten. Het beveiligingsprobleem, dat inmiddels "Cloudbleed" wordt genoemd, werd door onderzoeker Tavis Ormandy van Google ontdekt. Tijdens een ander onderzoek ontdekte Ormandy dat de servers van Cloudlare geheugen lekten. "Net zoals Heartbleed, maar Cloudflare-specifiek en veel erger", aldus Ormandy. Bij het inspecteren van het gelekte geheugen ontdekte hij encryptiesleutels, priveberichten, hotelboekingen, wachtwoorden, delen van POST-data en zelfs https-verzoeken van andere grote bij Cloudflare gehoste websites die van andere gebruikers afkomstig waren, alsmede ip-adressen van gebruikers van deze websites. "Zelfs onversleutelde api-verzoeken van een populaire wachtwoordmanager die via https waren verstuurd. "Ormandy stopte direct met het verdere onderzoek en waarschuwde Cloudflare. "De situatie was bijzonder, aangezien persoonlijk identificeerbare informatie tijdens het normale gebruik door crawlers en gebruikers werd gedownload. Ze begrepen alleen niet wat ze te zien kregen", aldus de onderzoeker in een rapport over het beveiligingsprobleem. Cloudflare wist het probleem snel te achterhalen en schakelde verschillende features uit die van het kwetsbare onderdeel gebruikmaakten. De internetdienst benadrukt dat de ssl-privé sleutels van klanten niet zijn gelekt. De periode waarin gegevens kunnen zijn gelekt bevindt zich tussen 22 september 2016 en 18 februari 2017. De meeste gegevens zouden echter vanaf 13 februari zijn gelekt. Het zou gaan om 0,00003 procent van alle http-verzoeken waarbij er geheugen kon lekken. Een bijkomend probleem was dat zoekmachines het gelekte geheugen hadden gecacht. Voor de openbaarmaking van de kwetsbaarheid zijn dan ook alle geïndexeerde gegevens verwijderd. Het ging in totaal om 770 unieke uri's die op 161 unieke domeinen betrekking hadden. Uiteindelijk werd het probleem binnen 7 uur opgelost, waarbij de eerste noodoplossing 47 minuten na de melding van Ormandy was uitgerold. Hoeveel en welke websites door de kwetsbaarheid zijn getroffen laat Cloudflare in een eigen rapport over het incident niet weten. Ormandy meldt echter op Twitter dat het onder andere om https-sessies van gebruikers bij Uber, 1Password, FitBit en OKCupid gaat. bron: security.nl

Na bijna een jaar is er een nieuwe versie van de populaire ssh-client PuTTY verschenen waarin onder andere twee beveiligingslekken zijn verholpen. Het ging om een lek in de Windows-versie waardoor er dll-bestanden vanuit de lokale directory werden geladen waar ook de PuTTY-bestanden zich bevonden. Dit zou een probleem in een ongecontroleerde locatie kunnen zijn, zoals de downloadmap van een browser. Als een aanvaller de gebruiker een kwaadaardig dll-bestand zou kunnen laten downloaden en de gebruiker vervolgens PuTTY direct vanuit de downloadmap uitvoerde, werd ook het kwaadaardige dll-bestand uitgevoerd. Iets wat volgens de ontwikkelaars waarschijnlijker is dan het klinkt, aangezien sommige browsers het ooit hebben toegestaan dat websites zonder te vragen bestanden in de downloadmap konden plaatsen. Daarnaast is er ook nog een integer-overflow opgelost waardoor een aanvaller in bepaalde gevallen bij een doorgestuurde ssh-agent connectie het geheugen kon overschrijven. Verder is er ondersteuning voor elliptische kromme cryptografie voor host-keys, authenticatiesleutels en key-exchange toegevoegd en nog verschillende andere verbeteringen en toevoegingen. Gebruikers krijgen dan ook het advies om te upgraden naar PuTTY 0.68. bron: security.nl

Microsoft heeft een update voor de in Windows aanwezige Malicious Software Removal Tool (MSRT) uitgebracht waardoor het laatste lid van een beruchte malwarefamilie wordt gedetecteerd. Al een aantal maanden is Microsoft bezig om ongewenste software en malware die via softwarenbundels wordt verspreid aan te pakken. Het gaat onder andere om toolbars, browserkapers en programma's die de instellingen van anti-virussoftware aanpassen. Het laatste lid van deze verzameling malware-exemplaren wordt Chuckenit genoemd. Sinds mei vorig jaar heeft Microsoft deze malware op meer dan 418.000 computers wereldwijd aangetroffen. De meeste infecties bevonden zich echter in Brazilië, India en Rusland. Het voornaamste doel van Chuckenit is om de selectievakjes bij het installeren van software te verwijderen, waardoor gebruikers hun controle over het installatieproces verliezen, aldus Microsoft. Daarnaast kan de malware ook andere applicaties of malware installeren. "Chuckenit is onderdeel van een infectieketen die uit malware en softwarebundels bestaat die stilletjes andere applicaties installeren. Je hebt beveiligingsoplossingen nodig die alle onderdelen van dergelijke infecties detecteren en verwijderen", laat Microsoft weten. Om Windows-gebruikers tegen deze malwarefamilie te beschermen is de MSRT nu bijgewerkt. De verwijdertool wordt elke maand bij het installeren van de maandelijkse updates automatisch op Windows-computers uitgevoerd en zal eventueel aangetroffen malware ook automatisch verwijderen. bron: security.nl

De bekende beveiligingsonderzoeker Claudio Guarnieri heeft een gratis tool gelanceerd waarmee gebruikers Windows extra kunnen beveiligen. Hardentools, zoals de software heet, schakelt verschillende features van Windows en consumentenapplicaties uit waar aanvallers gebruik van kunnen maken. Volgens Guarrnieri gaat het voornamelijk om features voor bedrijven waar eindgebruikers niets aan hebben, maar die wel een beveiligingsrisico vormen en vaak door aanvallers worden gebruikt om computers met malware te infecteren. Zo zal Hardentools Windows Script Host, Autorun en AutoPlay en het uitvoeren van PowerShell via Windows Explorer uitschakelen. In het geval van Microsoft Office worden het uitvoeren van macro's en OLE-objecten in documenten uitgeschakeld, alsmede ActiveX-controls voor Office-applicaties. Daarnaast wordt in Adobe Reader JavaScript en embedded objecten in pdf-documenten uitgeschakeld. De onderzoeker waarschuwt dat het hier om experimentele software gaat die alleen voor eindgebruikers is bedoeld en geheel op eigen risico moet worden uitgevoerd. Daarnaast kan de tool kleine invloed op de bruikbaarheid hebben, maar zal het de beveiliging ten goede komen. In de toekomst wil Guarnieri gebruikers laten kiezen welke features ze willen uitschakelen. Hij werkt als technoloog bij Amnesty International en als onderzoeker bij het Canadese Citizen Lab. Daarnaast is Guarnieri de oprichter van Security Without Borders en de ontwikkelaar van de Cuckoo Sandbox en de online analysetool Malwr. bron: security.nl

Beveiligingsbedrijf Rapid7 heeft de populaire hackertool Metasploit van een uitbreiding voorzien, zodat die ook kan worden gebruikt om gebruikers van Microsoft Office en OpenOffice via kwaadaardige macro's aan te vallen. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door Rapid7 en is zeer geliefd bij penetratietesters en securityprofessionals. De afgelopen jaren hebben cybercriminelen aangetoond dat het toevoegen van een kwaadaardige macro aan een Office-bestand een populaire en succesvolle manier is om systemen binnen te dringen. Standaard staan macro's in Microsoft Office uitgeschakeld, maar via social engineering slagen aanvallers er vaak in om gebruikers zover te krijgen dat ze die inschakelen. "Een standaard aanval bestaat uit het toevoegen van kwaadaardige code aan een Office-document, het versturen ervan naar het slachtoffer en hem netjes te vragen om die code in te schakelen. Het treurigste gedeelte is niet hoe zielig deze aanval is, aangezien je het slachtoffer smeekt om je malware uit te voeren, maar dat mensen al decennia voor deze truc vallen", schrijft Metasploit-ontwikkelaar 'sinn3r'. Rapid7 heeft daarnaast ook een macro-aanval voor OpenOffice ontwikkeld. In tegenstelling tot Microsoft Office wil OpenOffice geen documenten met macro's openen. Het slachtoffer moet doen ook eerst het beveiligingsniveau op medium of laag zetten voordat de aanval kan worden uitgevoerd. Bij beide aanvallen wordt er toegang tot het systeem verkregen. De OpenOffice-macro is getest op Windows met PowerShell-ondersteuning, Ubuntu Linux en macOS. bron: security.nl

Onderzoekers hebben nieuwe malware ontwikkeld die via het lampje van de harde schijf met relatief hoge snelheid data kan stelen, zoals wachtwoorden en encryptiesleutels. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling en mobiele telefoons om de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. Onderzoekers van het Cyber Security Research Center aan de Israëlische Ben-Gurion Universiteit hebben nu een nieuwe methode gevonden, namelijk het lampje van de harde schijf. Via malware is het mogelijk om dit lampje 5800 keer per seconden te laten knipperen, zonder dat dit voor het menselijke oog zichtbaar is. Gevoelige gegevens kunnen vervolgens door de malware worden gecodeerd en gelekt via de led-signalen. De onderzoekers noemen hun aanval dan ook LED-it-GO, wat staat voor Leaking (a lot of) Data. Om het geknipper van het lampje op te vangen maken de onderzoekers gebruik van een drone, zoals in onderstaand filmpje zichtbaar is, maar ook een verborgen camera of camera die door een insider wordt achtergelaten zou volstaan. Via de techniek zou het mogelijk zijn om 4000 bits per seconde te versturen. "Dit is tien keer sneller dan de bestaande optische methodes om data van offline computers te stelen. Met deze snelheid is het mogelijk om encryptiesleutels, opgeslagen toetsen en tekst- en binaire bestanden snel te stelen", aldus de onderzoekers in hun rapport (pdf). Om dergelijke aanvallen te voorkomen stellen ze verschillende maatregelen voor, zoals het verbieden van camera's, het afdekking van het harde schijflampje, het harde schijflampje uitschakelen, de ramen bedekken, software installeren om led-activiteit te monitoren en het gebruik van "signal jamming" software. bron: security.nl

Een kwaadaardige Chrome-extensie die in de officiële Chrome Web Store werd aangeboden en gebruikers aan allerlei scams en fraude blootstelde is zeer lastig te verwijderen. De extensie werd verspreid via kwaadaardige advertenties die op hun beurt weer een website openden. Op deze website draaide JavaScript die een dialoogvenster toonde dat de gebruiker een extensie moest installeren om het venster te kunnen sluiten. Als de gebruiker het venster via de muis probeerde te sluiten verscheen er weer een nieuw dialoogvenster, waardoor de browser in een continue loop bleef zitten. In het geval de gebruiker besloot de extensie te installeren gebeurden er verschillende dingen. Zo werden op basis van verschillende sleutelwoorden in de url van te bezoeken websites besloten om de website te blokkeren en gebruikers naar een andere pagina door te sturen. In het geval de gebruiker de website van een beveiligingsbedrijf probeerde te bezoeken werd hij naar een YouTube-video, potentieel ongewenste software en andere scams doorgestuurd. Ook werd er bij sommige sleutelwoorden een website geladen die de gebruiker liet geloven dat er problemen met de computer waren en hij de "Microsoft-helpdesk" moest bellen. In werkelijkheid ging het om telefonische oplichters. Nu kunnen gebruikers op verschillende manieren extensies uit Chrome verwijderen. Zo is er het extensie-menu dat een overzicht van alle geïnstalleerde extensies toont. Een andere optie is om de browser via het instellingen-menu in oorspronkelijke staat te herstellen. De kwaadaardige extensie zorgde er echter voor dat als het extensie- of instellingen-menu werd geopend meteen het apps-menu werd geladen. Op deze manier was het lastig voor gebruikers om te zien welke extensies er geïnstalleerd waren, laat staan die te verwijderen, zo stelt anti-malwarebedrijf Malwarebytes. Google heeft de extensie na te zijn ingelicht uit de Chrome Web Store verwijderd. bron: security.nl

Een beveiligingsonderzoeker heeft een manier gevonden om Firefox-gebruikers aan de hand van door de browser gecachte certificaten te identificeren. Het gaat om zogeheten intermediate certificaten. Firefox beschikt standaard over verschillende rootcertificaten van certificaatautoriteiten. Ssl-certificaten die door deze certificaatautoriteiten worden uitgegeven, worden automatisch door de browser vertrouwd. Het is voor deze certificaatautoriteiten echter ook mogelijk om onder het eigen rootcertificaat een intermediate certificaat uit te geven, bijvoorbeeld aan een partner of ander bedrijfsonderdeel. Zodoende worden onder het intermediate certificaat uitgegeven ssl-certificaten ook door de browser vertrouwd. In het geval een Firefox-gebruiker een website met een intermediate certificaat bezoekt wordt zowel informatie over het ssl-certificaat van de website als de intermediate certificaatautoriteit verstuurd. Firefox bewaart vervolgens de informatie over de intermediate certificaatautoriteit in de eigen cache. In het geval de webserver verkeerd is geconfigureerd en alleen informatie over het ssl-certificaat verstuurt, maar informatie over de intermediate certificaatautoriteit achterwege laat, zal de website niet door Firefox worden geladen, tenzij de intermediate certificaatautoriteit zich al in de cache van de browser bevindt. Op deze manier is het vervolgens mogelijk om te kijken welke intermediate certificaatautoriteiten een Firefox-gebruiker in zijn of haar cache heeft staan. Onderzoeker Alexander Klink rapporteerde het probleem bij Mozilla, maar de opensource-ontwikkelaar zou huiverig zijn om het probleem te verhelpen zonder te weten wat hiervan de impact zal zijn. Klink stelt dat aanvallers van de bug gebruik kunnen maken om te bepalen of de browser in een sandbox draait om vervolgens te besluiten eventuele malware niet te versturen. Het probleem doet zich niet voor bij Chrome en Internet Explorer. Firefox-gebruikers die zich hier tegen willen wapenen krijgen het advies om regelmatig hun profiel op te schonen. Klink heeft een website online gezet die de aanval demonstreert. bron: security.nl

Microsoft heeft een week nadat Adobe updates voor ernstige lekken in Flash Player uitbracht dezelfde kwetsbaarheden eindelijk ook in Edge en Internet Explorer 11 op Windows 8.1 en Windows 10 gepatcht. Via de beveiligingslekken kon een aanvaller in het ergste geval systemen volledig overnemen. Normaliter brengen Adobe en Microsoft de Flash Player-updates rond hetzelfde moment uit. Dit moet het aantal kwetsbare gebruikers verkleinen. In het verleden is het geregeld voorgekomen dat aanvallers de Flash Player-updates analyseerden om zo de gepatchte kwetsbaarheden te vinden. Die werden vervolgens gebruikt voor het aanvallen van gebruikers die de update nog niet hadden geïnstalleerd. Microsoft besloot de patchdinsdag van 14 februari op het allerlaatste moment te annuleren en naar 14 maart te verzetten. Aangezien IE11 op Windows 8.1 en Windows 10 en Microsoft Edge over een embedded Flash Player beschikken liepen deze gebruikers nu risico om te worden aangevallen, aangezien Adobe de Flash Player-updates vorige week dinsdag wel had uitgerold. Gisterenavond heeft Microsoft alsnog voor deze systemen de Flash Player-updates uitgerold. Op de meeste systemen zullen die automatisch worden geïnstalleerd. bron: security.nl

Windows 10 krijgt naast de Creators Update ook nog een tweede grote update dit jaar, zo heeft Microsoft laten weten. Tijdens Microsoft Ignite Australia 2017 gaf de softwaregigant een presentatie waar een tijdslijn werd getoond waarop staat vermeld dat er een twee grote update aankomt. De sheet werd door engineer Rafael Rivera naar buiten gebracht. Verdere details zoals de inhoud van de update en de verschijningsdatum staan niet vermeld. De website Thurott.com zegt gehoord te hebben dat de update in oktober of november zal uitkomen en mogelijk bepaalde features zal bevatten die niet op tijd voor de Creators Update klaar waren, zoals de People Bar. De Creators Update komt naar verwachting in april uit. bron: security.nl

De Autoriteit Persoonsgegevens doet samen met privacytoezichthouders uit andere Europese landen onderzoek naar de verwerking van persoonsgegevens via Windows 10 door Microsoft. De toezichthouders zijn bezorgd, ook na de door Microsoft aangekondigde wijzigingen in Windows 10, dat Microsoft fundamentele privacyregels niet naleeft. De privacytoezichthouders hebben de softwaregigant een brief gestuurd waarin ze aangeven dat zij de recente aankondiging van Microsoft waarderen om mensen meer controle te geven over wat Microsoft met hun gegevens mag doen. De toezichthouders gaven echter ook aan dat zij nog steeds zorgen hebben over de hoeveelheid en soorten gegevens die Microsoft via Windows 10 verzamelt en verder verwerkt. Ook hebben zij zorgen over de standaardinstellingen en het gebrek aan controle van mensen over wat er bij Microsoft met hun gegevens gebeurt. De toezichthouders hebben Microsoft laten weten dat mensen alleen rechtsgeldige toestemming voor de verwerking van hun persoonsgegevens kunnen geven als zij volledig zijn geïnformeerd, precies weten waar ze toestemming voor geven en de toestemming vrij hebben kunnen geven. Ook is Microsoft vertelt dat het alleen persoonsgegevens mag verzamelen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. De gegevens mogen ook niet verder worden verwerkt op een manier die onverenigbaar is met deze doelen. Microsoft verwerkt onder meer gegevens met het doel persoonlijke advertenties aan te bieden. Volgens de Autoriteit Persoonsgegevens moet Microsoft duidelijk uitleggen welke soorten persoonsgegevens het bedrijf voor welke doelen verwerkt, omdat er zonder deze informatie geen sprake kan zijn van rechtsgeldige toestemming. bron: security.nl

Onderzoekers hebben tijdens de recente RSA Conferentie in San Francisco aangetoond hoe de bios/uefi van een Windows 10-computer met ransomware geïnfecteerd kan worden, ondanks allerlei beveiligingsmaatregelen van het besturingssysteem. De infectie begon met een Word-document dat van een kwaadaardige macro was voorzien. De macro downloadde een bios-updater van de moederfabrikant. Volgens het Duitse Heise moet de installatie van deze tool wel door de gebruiker worden bevestigd, wat enige social engineering zou vereisen. Vervolgens konden de onderzoekers aangepaste firmware uploaden die het systeem, zodra ingeschakeld, meteen voor losgeld vergrendelt of het systeem kan wissen en permanent beschadigen. De moederbordfabrikant, in dit geval Gigabyte, zou het de aanvallers daarbij makkelijk maken door de integriteit van de firmware-update niet te controleren. De machine in kwestie draaide Windows 10 met de allerlaatste patches en had beveiligingsopties zoals Device Guard, Secure Boot en Virtual Secure Mode ingeschakeld. Volgens de onderzoekers kan de aanval worden voorkomen als moederbordfabrikanten de digitale handtekening van firmware-updates controleren of de bios tijdens het opstarten door een tweede bios laten controleren. In het geval er inconsistenties worden aangetroffen zal de eerste bios met de inhoud van de tweede bios worden overschreven. Bios staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Moderne computers beschikken over een unified extensible firmware interface (uefi) dat de opvolger van het bios is. bron: security.nl

De Europese privacytoezichthouders verenigd in de Artikel 29-werkgroep blijven zich zorgen maken over de privacyinstellingen van Windows 10. Onder druk van onder andere de Zwitserse privacytoezichthouder FDPIC besloot Microsoft Windows 10 van nieuwe privacyinstellingen te voorzien. Zo krijgen gebruikers meer informatie over de gegevens die worden verwerkt en moeten gebruikers al tijdens het installatieproces bepalen en toestemming verlenen voor het verwerken en versturen van gegevens. De aanpassingen zullen dit jaar tijdens twee updates voor Windows 10 worden doorgevoerd. De aangekondigde aanpassingen waren reden voor FDPIC om Microsoft niet voor de rechter te slepen. De Artikel 29-werkgroep had Microsoft ook om uitleg over het verwerken van persoonsgegevens voor verschillende doeleinden gevraagd, waaronder adverteren. "Los van de onderzoeken op nationaal niveau, en zelfs met de voorgestelde aanpassingen aan Windows 10 in acht nemend, blijft de werkgroep zich zorgen maken over het niveau waarop de persoonlijke gegevens van gebruikers worden beschermd", aldus de groep in een verklaring waar Reuters over bericht. Volgens de werkgroep is ondanks het nieuwe installatiescherm voor Windows 10 onduidelijk wanneer gebruikers over het verzamelen van de specifieke data worden ingelicht. bron: security.nl

Ik zou denk ik in dat geval dan niet te ingewikkeld doen en het grote scherm direct op de extra monitoruitgang van de laptop aansluiten.

Zover ik denk, lijkt het mij niet mogelijk. Het dockingstation is geheel gebouwd voor de Deel. Wat is de reden dat je de HP ook het dockingstation aan wilt sluiten?

Het is de hoogste tijd dat de DMARC-standaard voor e-mail wereldwijd wordt uitgerold en it-beveiligingsbedrijven moeten het goede voorbeeld geven, zo stelt de Global Cyber Alliance (GCA). DMARC (Domain-based Message Authentication, Reporting and Conformance) is een standaard die door vijftien vooraanstaande internetbedrijven werd ontwikkeld, waaronder Microsoft, Facebook, LinkedIn en Google. Het is een systeem dat gespoofte e-mails moet detecteren en voorkomen en wordt boven twee andere standaarden gebruikt, namelijk Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM). Via DMARC kan een organisatie aangeven wat een e-mailserver moet doen met e-mails die niet aan het gepubliceerde SPF- en DKIM-beleid voldoen. Op deze manier kunnen spam en phishingmails worden gestopt. Grote e-mailproviders zoals Gmail en Yahoo ondersteunen DMARC, maar dat geldt niet voor bedrijven en overheden. Zo blijkt dat vijf procent van de domeinen in de Britse publieke sector DMARC heeft ingeschakeld en bij de gezondheidssector in het land is dit zestien procent. De GCA keek naar 587 e-maildomeinen van it-beveiligingsbedrijven die deze week de RSA Conferentie in San Francisco bezochten. Slechts vijftien procent maakt gebruik van DMARC. Daarnaast blijkt dat de standaard vaak niet goed is geïmplementeerd, wat de effectiviteit vermindert. Uit onderzoek zou echter blijken dat blijken dat organisaties die op de juiste wijze met DMARC werken 77 procent minder e-mailaanvallen ontvangen dan organisaties die DMARC helemaal niet gebruiken. Begin deze maand lanceerde de Nederlandse overheid en bedrijfsleven een coalitie voor veilig e-mailen, die misbruik zoals phishing en het afluisteren van e-mail moet tegengaan. De coalitie maakt zich onder andere sterk voor het invoeren van DMARC. bron: security.nl

Fabrikanten van kabelmodems en internetproviders die hier gebruik van maken zijn gewaarschuwd dat door de diefstal van een privésleutel en certificaat van de Duitse fabrikant AVM, kwaadwillenden illegale kabelmodems kunnen neerzetten die voor netwerkproblemen en het illegaal afnemen van diensten kunnen zorgen. De waarschuwing is afkomstig van CableLabs, de organisatie die voor de DOCSIS-kabelmodemstandaard verantwoordelijk is. De DOCSIS-standaard laat fabrikanten interoperabele apparatuur maken. De standaard vereist dat elke kabelmodem over een uniek certificaat beschikt om de kabelmodem bij de internetprovider te authenticeren. Dit certificaat is gesigneerd door de certificaatautoriteit van de fabrikant, die weer is gesigneerd door de DOCSIS-certificaatautoriteit. Internetproviders kunnen op deze manier kabelmodems met een geldig gesigneerd certificaat vertrouwen. Eind vorig jaar werd bekend dat de Duitse fabrikant AVM zowel het certificaat van de eigen certificaatautoriteit als de bijbehorende privesleutel aan de eigen firmware had toegevoegd. "Daardoor kan nu iedereen een certificaat creëren dat door alle internetproviders wordt vertrouwd die de DOCSIS-certificaatautoriteit vertrouwen", zegt Johannes Ullrich van het Internet Storm Center. Vervolgens is het mogelijk om hiermee een kabelmodem neer te zetten waarmee diensten illegaal kunnen worden afgenomen of die voor netwerkproblemen kan zorgen. CableLabs heeft nu het advies gegeven dat alle partijen het gecompromitteerde certificaat van AVM op een blacklist zetten, ongeacht of ze AVM-apparatuur in hun netwerk gebruiken. Volgens het Duitse Heise is er al misbruik van het certificaat gemaakt. bron: security.nl