Captain Kirk

Google heeft een beveiligingslek in Windows onthuld waardoor aanvallers gevoelige informatie uit het geheugen kunnen stelen, zoals gebruikersgegevens, en waar nog geen update van Microsoft voor beschikbaar is. Via de gestolen informatie zou een aanvaller het systeem verder kunnen aanvallen. De kwetsbaarheid bevindt zich in het Microsoft Graphics Component (GDI) en is in alle ondersteunde Windows-versies aanwezig, van Vista tot en met Windows 10. Om de kwetsbaarheid uit te buiten moet een aanvaller het slachtoffer een kwaadaardige EMF-afbeelding laten openen. Dit kan bijvoorbeeld door het embedden van een dergelijke afbeelding in een Word-document of html-pagina, zo waarschuwt het Nationaal Cyber Security Center (NCSC) van de overheid. Google had het probleem op 17 november vorig jaar aan Microsoft gerapporteerd. Standaard hanteert de internetgigant een deadline van 90 dagen, waarna informatie over de kwetsbaarheid openbaar wordt gemaakt, ongeacht of de leverancier in kwestie al een update heeft uitgerold om het probleem te verhelpen. Mogelijk dat Microsoft van plan was het beveiligingslek deze week te patchen, maar de softwaregigant besloot om alle beveiligingsupdates deze maand uit te stellen en te verplaatsen naar dinsdag 14 maart. Naast informatie over de kwetsbaarheid heeft Google ook proof-of-concept-code online gezet om het lek te demonstreren. Afgelopen december patchte Microsoft ook al een soortgelijke kwetsbaarheid in het GDI-onderdeel. Google-onderzoekers hebben in het verleden vaker kwetsbaarheden in Windows naar buiten gebracht zonder dat er een update beschikbaar was. Twee keer maakten cybercriminelen van de vrijgegeven informatie gebruik om Windows-gebruikers aan te vallen. bron: security.nl

Microsoft heeft besloten om de ondersteuning van de originele Windows 10-versie met twee maanden te verlengen. In eerste instantie had de softwaregigant nog laten weten dat de originele Windows 10, met versienummer 1507, na 26 maart van dit jaar niet meer zou worden ondersteund. Dit geldt met name voor bedrijven, die Windows 10-updates op verschillende manieren kunnen ontvangen. Zo is er de Long Term Servicing (LTS) branch waarbij er alleen beveiligingsupdates worden geïnstalleerd. De Current branch for Business" (CBB) installeert naast beveiligingsupdates ook feature-updates die in de consumentenmarkt zijn getest en gevalideerd. Eind november vorig jaar werd de Windows 10 Anniversary Update (versie 1607) via het CBB-kanaal aan organisaties aangeboden. Microsoft ondersteunt echter alleen de twee meest recente Windows 10-versies in het CBB-kanaal. Doordat er nog wel met een overgangsperiode werd gewerkt zou de originele Windows 10-versie na 26 maart niet meer voor ondersteuning in aanmerking komen. De overgangsperiode die Microsoft hanteert is nu met twee maanden uitgebreid. De support van Windows 10 versie 1507 in het CBB-kanaal zal nu na mei 2017 eindigen. bron: security.nl

Yahoo is begonnen met het waarschuwen van gebruikers van wie het account via vervalste cookies werd gehackt. De internetgigant stelde in december, toen bleek dat aanvallers de gegevens van 1 miljard gebruikers hadden gestolen, dat een derde partij toegang tot de code van Yahoo had gekregen om te leren hoe cookies moesten worden vervalst om zo zonder wachtwoord toegang tot accounts van gebruikers te krijgen. De vervalste cookies werden eerder al ongeldig gemaakt, maar nu worden de getroffen gebruikers ook gewaarschuwd. "Gebaseerd op ons lopende onderzoek denken we dat een vervalst cookie mogelijk is gebruikt om in 2015 of 2016 toegang tot je account te krijgen", aldus de waarschuwing. Hoeveel gebruikers op deze manier werden gehackt wil Yahoo niet laten weten, zo meldt de Associated Press. bron: security.nl

Microsoft zal de Windows-updates die deze maand stonden gepland tijdens de patchdinsdag van maart uitbrengen, zo heeft de softwaregigant bekendgemaakt. Dinsdag liet Microsoft weten dat de patches van 14 februari vanwege problemen die op het laatste moment waren gevonden werden uitgesteld. Niet eerder sinds Microsoft met het uitbrengen van patches op de tweede dinsdag van elke maand begon zijn alle geplande beveiligingsupdates geschrapt. In een update aan gebruikers en beheerders meldt Microsoft nu dat de februari-updates tijdens de patchdinsdag van 14 maart zullen verschijnen. bron: security.nl

Videochipfabrikant Nvidia heeft meerdere beveiligingslekken in de drivers voor Windows die door Google waren gevonden stilletjes gepatcht, zo heeft de internetgigant laten weten. Google-onderzoekers vonden in totaal 16 beveiligingslekken waardoor een lokale aanvaller willekeurige code kon uitvoeren om computers volledig over te nemen, machines te laten crashen of de eigen rechten op het systeem te verhogen. Volgens Google was het niet mogelijk om de kwetsbaarheden op afstand aan te vallen, bijvoorbeeld via de browser. Een aanvaller moest dan ook al toegang tot een systeem hebben om de kwetsbaarheden uit te buiten. De eerste van de zestien kwetsbaarheden werd vorig jaar juli aan Nvidia gerapporteerd. In september volgde er een nieuwe driver-versie, waarbij zes beveiligingslekken stilletjes werden gepatcht. In de release notes werd wel over "security updates" gesproken, maar verdere informatie ontbrak. Nvidia verklaarde tegenover Google dat de publieke details een maand later openbaar gemaakt zouden worden. Volgens Google was dit niet verstandig, aangezien een aanvaller de patch in de tussentijd kon analyseren om zo de kwetsbaarheden te vinden voordat gebruikers wisten wat er precies mis was. Onderzoekers van Google waarschuwen dat videokaartdrivers een groot aanvalsoppervlak bieden en vol kwetsbaarheden lijken te zitten. Ze roepen leveranciers dan ook op om het aanvalsoppervlak te verkleinen. bron: security.nl

De afgelopen maanden van vorig jaar is het aantal gevallen van ransomware op Windows-computers afgenomen, zo stelt Microsoft op basis van gegevens van Windows Defender, de in Windows ingebouwde virusscanner. Volgens de softwaregigant was ransomware één van de grootste dreigingen in 2016 en kregen miljoenen computers hiermee te maken. Het ging dan zowel om daadwerkelijke infecties als pogingen tot een besmetting. Vanaf september is het aantal Windows-computers dat met ransomware in aanmerking kwam echter afgenomen. Dit komt volgens Microsoft voornamelijk omdat e-mails die ransomware proberen te verspreiden, wat de voornaamste verspreidingsmethode voor deze vorm van malware is, eerder worden geblokkeerd. Gebruikers kunnen zo niet meer worden verleid om bestanden of links te openen die naar ransomware leiden. Daarnaast proberen cybercriminelen ransomware ook via exploitkits te verspreiden, die van kwetsbaarheden in Flash Player, Internet Explorer en Silverlight gebruikmaken. Het gebruik van exploitkits is in de laatste helft van vorig jaar afgenomen nadat een beruchte groep cybercriminelen achter de Angler-exploitkit was opgepakt. Ondanks de bemoedigende statistieken waarschuwt Microsoft dat de dreiging van ransomware nog niet voorbij is, aangezien cybercriminelen het wel blijven proberen. Daarnaast richten ze zich ook vaker op andere platformen, zoals servers, en proberen nieuwe verspreidingsmethodes, zoals bijvoorbeeld Skype en usb-sticks. bron: security.nl

Onderzoekers van de Vrije Universiteit Amsterdam hebben een nieuwe manier gedemonstreerd om de aslr-beveiliging van Windows via JavaScript te omzeilen. Address space layout randomization (aslr) moet het lastiger voor aanvallers maken om kwetsbaarheden in software te misbruiken. In het verleden hebben aanvallers al aangetoond dat bijvoorbeeld een lokale aanvaller aslr kan omzeilen. In het geval van de browser wordt alsr nog altijd als een goede beveiliging gezien, zo stellen de onderzoekers. Ze hebben echter een aanval ontwikkeld genaamd AnC waarbij eigenschappen van moderne processoren worden gebruikt om aslr via alleen JavaScript te omzeilen, zonder van enige andere softwarefunctie gebruik te maken. De onderzoekers besloten de kwetsbaarheid met het Nationaal Cyber Security Center (NCSC) van de overheid te coördineren. "Dit was een uitdagend proces", stellen ze, aangezien de ontwikkelaars van besturingssystemen en browsers en fabrikanten van processoren hierbij waren betrokken. Sommige processorfabrikanten stelden zelfs dat aslr niet langer als beveiligingsmaatregel voor browsers moet worden gezien. Volgens de onderzoekers kunnen gebruikers zich niet eenvoudig tegen dergelijke aanvallen beschermen, aangezien er van fundamentele eigenschappen van de processor gebruik wordt gemaakt. Wel kunnen gebruikers onbetrouwbare JavaScript-code op websites blokkeren, bijvoorbeeld via de Firefox-uitbreiding NoScript. Daarnaast moet de AnC-aanval worden gecombineerd met een kwetsbaarheid in bijvoorbeeld de browser of browserplug-in. Dergelijke aanvallen zijn in veel gevallen te voorkomen door het installeren van beveiligingsupdates. bron: security.nl

Al jaren komt Microsoft elke tweede dinsdag van de maand met beveiligingsupdates voor Windows, Office en andere producten, ook bekend als patchdinsdag, maar vandaag heeft de softwaregigant besloten om alle geplande updates uit te stellen. Iets dat niet eerder is voorgekomen. Volgens Microsoft heeft het op het laatste moment een probleem gevonden waarmee sommige klanten te maken konden krijgen en dat niet op tijd is verholpen. "Na het overwegen van alle opties hebben we besloten om de maandelijkse updates uit te stellen", aldus de softwaregigant. Het zou vandaag de eerste patchdinsdag worden waarbij Microsoft geen Security Bulletins meer zou publiceren. bron: security.nl

Adobe heeft een nieuwe versie van Flash Player uitgebracht waarin meerdere ernstige beveiligingslekken zijn gepatcht. Het gaat in totaal om 13 kwetsbaarheden die in alle gevallen een aanvaller willekeurige code op het systeem hadden kunnen laten uitvoeren, zoals het installeren van malware. Het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van een besmette advertentie of het openen van een Office-document met een embedded Flash-object voldoende. Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 24.0.0.221 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. Linux-gebruikers kunnen de update installeren wanneer het hen uitkomt. Adobe baseert dit advies op aanvallen die in het verleden zijn voorgekomen en de kans dat kwetsbaarheden op een bepaald platform worden aangevallen. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe is naar eigen zeggen niet bekend met aanvallen die misbruik van de kwetsbaarheden maken. bron: security.nl

De meeste ransomware die het afgelopen jaar is ontdekt heeft Russische roots, zo stelt het Russische anti-virusbedrijf Kaspersky Lab in een vandaag gepubliceerde analyse. De virusbestrijder onderzocht meer dan 60 ransomware-families die de afgelopen 12 maanden werden gevonden. 47 families bleken banden met Russisch sprekende groepen of personen te hebben. Kaspersky Lab baseert dit op onderzoek naar fora voor cybercriminelen, de servers en andere infrastructuur die de ransomware-exemplaren gebruikten en andere zaken. "Het is lastig om precies vast te stellen waarom zoveel ransomware-families van Russische origine zijn, maar we kunnen wel zeggen dat dit komt doordat er veel goed opgeleide programmeurs in Rusland en omliggende landen zijn", aldus analist Anton Ivanov. Een andere mogelijke reden volgens Ivanov is dat Russische cybercriminelen de meeste ervaring met ransomware hebben. Het gebruik van digitale valuta zoals bitcoin alsmede het kleine aantal arrestaties van de mensen achter ransomware, maakt het interessant voor criminelen om zich met deze vorm van cybercrime bezig te houden, merkt Ivanov op. Hij hoopt dan ook dat politie meer aandacht aan dit soort cybercriminelen zal besteden. Daarnaast krijgen slachtoffers het advies om het gevraagde losgeld nooit te betalen. "Hoe meer geld de criminelen krijgen, hoe geraffineerder hun tools, wat ze meer mogelijkheden biedt om aan te vallen." bron: security.nl

Onderzoekers hebben een nieuw ransomware-exemplaar ontdekt dat niet alleen bestanden voor losgeld versleutelt, maar ook allerlei gegevens van het besmette systeem steelt en verwijdert. Eenmaal actief maakt de DynA-Crypt-ransomware screenshots van de actieve desktop, neemt systeemgeluiden op, verzamelt toetsaanslagen en verzamelt data van verschillende programma's. Het gaat onder andere om Chrome, Firefox, Minecraft, Skype, Steam, TeamSpeak en Thunderbird, zo meldt de website Bleeping Computer. De te stelen gegevens worden in een lokale map bewaard en daarna als zip-bestand naar de aanvaller gestuurd. Voor onbekende redenen verwijdert de ransomware veel van de mappen waar gegevens uit zijn gestolen. Daarnaast wordt ook alles op de desktop verwijderd, ook al steelt de ransomware van deze locatie geen gegevens. Slachtoffers moeten 50 dollar in bitcoin betalen om hun versleutelde bestanden terug te krijgen, anders zal er elke 5 minuten een willekeurig bestand worden verwijderd. Onderzoekers hebben echter een methode ontdekt zodat slachtoffers kosteloos hun bestanden kunnen ontsleutelen. bron: security.nl

Er is een toename van aanvallen waarbij aanvallers via het remote desktop protocol (rdp) van Windows op systemen proberen in te loggen en vervolgens ransomware installeren. In de eerste weken van dit jaar is het aantal aanvallen ten opzichte van een zelfde periode in het laatste kwartaal verdubbeld. Dat meldt het Japanse anti-virusbedrijf Trend Micro. De aanvallers richten zich met name op de gezondheidssector in de Verenigde Staten. Om toegang tot het rdp-account te krijgen worden er verschillende veelvoorkomende gebruikersnamen en wachtwoorden gebruikt. In het geval de inlogpoging succesvol is wordt de Crysis-ransomware geïnstalleerd. Hiervoor wordt een gedeelde map op de aangevallen computer gebruikt. In sommige gevallen wordt de ransomware ook via het klembord gekopieerd. Naast het vermijden van standaardwachtwoorden krijgen beheerders ook het advies om het delen van schijven, mappen en het klembord uit te schakelen, aangezien dit de mogelijkheid beperkt om via rdp bestanden te kopieren. Dit kan echter wel ten koste van de bruikbaarheid gaan, aldus analist Jay Yaneza. De aanvallen werden vorig jaar september voor het eerst opgemerkt en waren toen vooral tegen bedrijven in Australië en Nieuw-Zeeland gericht. Inmiddels vinden de aanvallen wereldwijd plaats. bron: security.nl

Aanvallers hebben ruim 1,5 miljoen WordPress-pagina's via een recent gepatcht lek aangepast en proberen websites via dezelfde kwetsbaarheid over te nemen, zo waarschuwen beveiligingsbedrijven. Via het beveiligingslek kan een aanvaller zonder wachtwoord de inhoud van WordPress-sites aanpassen. Volgens beveiligingsbedrijf Wordfence zijn er inmiddels 20 verschillende aanvallers actief die de kwetsbaarheid gebruiken om websites te defacen. Met name de afgelopen dagen was er een piek in het aantal aanvallen zichtbaar. "Dit is één van de ergste WordPress-gerelateerde lekken die sinds lange tijd is verschenen", zegt Mark Maunder van Wordfence. Beveiligingsbedrijf Sucuri meldt dat de kwetsbaarheid niet alleen wordt gebruikt om websites te defacen, maar ook om willekeurige code uit te voeren. Deze aanvallen raken alleen WordPress-sites die plug-ins gebruiken waarmee PHP-code aan postings en pagina's kan worden toegevoegd. Het gaat om plug-ins zoals Insert PHP en Exec-PHP, die elk meer dan 100.000 installaties hebben. Deze plug-ins laten gebruikers PHP-code direct aan hun berichten toevoegen. Gecombineerd met de kwetsbaarheid kan een aanvaller PHP-code uitvoeren wanneer ze hun content in de database injecteren. Aanvallers kunnen op deze manier een backdoor aan websites toevoegen. WordPress-gebruikers krijgen het advies om de meest recente patch te installeren. bron: security.nl

Over twee maanden stopt Microsoft de ondersteuning van Windows Visa en de softwaregigant is begonnen om gebruikers van het 10 jaar oude besturingssysteem te waarschuwen. Vista-gebruikers die Security Essentials hebben geinstalleerd krijgen een waarschuwing dat hun systeem onbeveiligd is. Daarbij wordt er tot verbazing van gebruikers naar een pagina over het einde van de support van Windows XP gewezen. Dat neemt niet weg dat op dinsdag 11 april 2017 de laatste beveiligingsupdates voor Vista verschijnen, dat op 30 januari 2007 uitkwam. Het besturingssysteem was de opvolger van Windows XP, maar werd nooit een succes. Veel gebruikers ergerden zich aan de User Account Control (Gebruikersaccountbeheer) feature van Vista, die waarschuwde als er aanpassingen aan het systeem werden doorgevoerd. De feature overweldigde gebruikers met allerlei meldingen. Vista slaagde er dan ook niet in een groot marktaandeel te veroveren, zoals Windows XP en Windows 7 wel deden. Volgens onderzoeksbureau StatCounter heeft Vista wereldwijd nog een marktaandeel van 1,2 procent. In Nederland zou nog zo'n 1,7 procent van alle desktops en laptops op de 10 jaar oude Windows-versie draaien. Marktvorser Net Applications houdt het op een wereldwijd marktaandeel van 0,8 procent. Met naar schatting meer dan 1 miljard Windows-computers gaat het nog steeds om miljoenen computers die straks geen updates meer zullen ontvangen. Vista-gebruikers kunnen ervoor kiezen om naar Windows 7 te upgraden of naar Windows 8.1 of Windows 10 te migreren, zegt Andre Da Costa, Microsoft Most Valuable Professional (MVP). Hij merkt op dat in het geval van een directe migratie naar Windows 8.1 en 10 er een schone installatie is vereist. In het geval gebruikers geen nieuwe Windows-versie willen installeren krijgen ze het advies om naar Firefox over te stappen, UAC op het hoogste niveau te zetten, een standaardaccount te gebruiken, oude en niet meer ondersteunde applicaties te verwijderen, goede beveiligingssoftware te installeren en de computer zo min mogelijk voor internet te gebruiken. bron: security.nl

Microsoft heeft een nieuwe testversie van Windows 10 gelanceerd die computers automatisch kan vergrendelen als de gebruiker niet meer in de buurt is. Hiervoor kijkt Dynamic Lock, zoals de functie heet, naar de aanwezigheid van een via bluetooth gepairde smartphone. Als Windows ziet dat de telefoon niet meer in de buurt is wordt het scherm uitgeschakeld en zal de computer na 30 seconden worden vergrendeld. De optie staat standaard uitgeschakeld. Dynamic Lock is nu te testen in de Windows 10 Insider Preview Build 15031. Wanneer de optie in de standaardversie van Windows 10 verschijnt heeft Microsoft nog niet laten weten. bron: security.nl

Google, Mozilla, Cloudflare alsmede onderzoekers van twee universiteiten hebben kritiek geuit op het onderscheppen van https-verkeer door anti-virussoftware. Volgens de onderzoekers en bedrijven heeft dit namelijk vergaande gevolgen voor de veiligheid van gebruikers en hun internetverbinding. Https-verkeer is standaard niet toegankelijk voor beveiligingssoftware. Door bijvoorbeeld een eigen rootcertificaat op computers te installeren kunnen de beveiligingspakketten de inhoud van dit verkeer toch analyseren. Een werkwijze die anti-virusproducenten volgens de onderzoekers steeds vaker toepassen. De manier waarop anti-virusbedrijven het https-verkeer onderscheppen gaat echter ten koste van de beveiliging ervan. Daarnaast introduceren de virusscanners allerlei kwetsbaarheden, aldus het onderzoek. Voor het onderzoek keken de onderzoekers naar bijna 8 miljard beveiligde verbindingen naar de updateservers van Firefox, verschillende populaire webwinkels en het contentdistributienetwerk van Cloudflare. 4 procent van de verbindingen naar de Firefox-servers werd onderschept. Bij de webwinkels was dit 6,2 procent. Het aantal onderschepte Cloudflare-verbindingen kwam op 10,9 procent uit. Vervolgens analyseerden de onderzoekers de veiligheid van de beveiligde verbindingen. In 97 procent van de Firefox-verbindingen ging de veiligheid door het onderscheppen achteruit. Bij de webwinkels was dit 32 procent en in het geval van Cloudflare bleek dat 54 procent van de verbindingen minder veilig was geworden. Niet alleen zorgen de virusscanners ervoor dat er zwakke cryptografische algoritmes worden gebruikt, ze ondersteunen ook bekende kwetsbare algoritmes waardoor een aanvaller tussen gebruikers en het internet versleuteld verkeer kan ontsleutelen. Groot probleem "Hoewel de securitygemeenschap al lang weet dat beveiligingsproducten verbindingen onderscheppen, hebben we het probleem grotendeels genegeerd, omdat we dachten dat het alleen een klein deel van de verbindingen betrof. We hebben echter ontdekt dat het onderscheppen op grote schaal plaatsvindt met zorgwekkende gevolgen. We hopen door deze bevindingen openbaar te maken dat fabrikanten hun securityprofielen verbeteren en de securitygemeenschap alternatieven voor het onderscheppen van https gaat bespreken", zo laten de onderzoekers in hun conclusie weten. Ze vinden in ieder geval dat anti-virusbedrijven het onderscheppen van https-verkeer moeten heroverwegen. Virusscanners draaien namelijk al lokaal op een computer en hebben zodoende al toegang tot het lokale bestandssysteem, geheugen van de browser en alle content die via https wordt geladen. "Gegeven hun geschiedenis van verkeerde tls-configuraties en beveiligingslekken die aanvallers op afstand code laten uitvoeren, adviseren we anti-virusbedrijven ten zeerste om te heroverwegen of het onderscheppen van https verantwoordelijk is", zo stellen de onderzoekers bron: security.nl

Het Britse anti-virusbedrijf Sophos heeft voor een bedrag van 100 miljoen dollar securitybedrijf Invincea overgenomen. Invincea levert endpointbeveiliging, zoals een browser die in een sandbox draait en gebruikers tegen malware moet beschermen. Ook biedt het technologie om bekende en onbekende malware zonder signatures te blokkeren. Met de overname wil Sophos haar positie op de Amerikaanse markt versterken. Daarnaast zal Sophos de technologie van Invincea aan de eigen producten gaan toevoegen. Een aantal jaren geleden werd de populaire Windows-beveiligingstool Sandboxie nog door Invincea overgenomen. Of de overname gevolgen voor Sandboxie zal hebben is nog niet bekendgemaakt bron: security.nl

Onderzoekers hebben nieuwe malware voor Windows ontdekt die ook in staat is om Linux-apparaten te infecteren. De Mirai Trojan, zoals de malware door het Russische anti-virusbedrijf Doctor Web wordt genoemd, gebruikt verschillende protocollen om machines aan te vallen. Het gaat onder andere om ssh, telnet, rpc en rdp. Via verschillende combinaties van gebruikersnamen en wachtwoorden probeert de malware in te loggen. In het geval de aanval succesvol is downloadt Mirai een lijst met ip-adressen die de besmette machine vervolgens weer zal scannen en aanvallen. Alleen als er via het remote desktop protocol (rdp) op een computer is ingelogd wordt dit bestand niet gedownload. Wanneer er via telnet met een Linux-machine verbinding wordt gemaakt, zal de malware de Linux-versie van Mirai op het apparaat downloaden. Daarnaast kan de malware ook via IPC (inter-process communications) opdrachten naar systemen sturen. Als aangevallen computers Microsoft SQL Server draaien zal de malware een gebruiker met beheerderrechten aanmaken. bron: security.nl

Bijna 3.000 Belgen hebben vorig jaar bij het Belgische ministerie van Economische Zaken melding van spam en phishing gemaakt. Via het online Meldpunt van het ministerie kunnen allerlei vormen van fraude en oplichting worden gerapporteerd. In totaal kwamen er 20.000 meldingen bij het Meldpunt binnen. De meeste meldingen, iets meer dan 4.000, hadden betrekking op fraude bij online aankopen. De tweede categorie met zo'n 3.000 meldingen is "ongewenste e-mails, spam, phishing en spoofing". Belgische internetgebruikers konden ook aangeven of ze slachtoffer van de bekende "Windows scam" waren geworden, maar hoeveel Belgen hier melding van hebben gemaakt wordt niet door Het Nieuwsblad vermeld. Het Meldpunt is sinds vorig jaar februari operationeel. bron: security.nl

Vorig jaar ontdekte een onderzoeker in Zuid-Korea een backdoor en allerlei andere kwetsbaarheden in een router van fabrikant D-Link, maar de update die volgde blijkt een deel van de problemen niet te verhelpen. Zo is de backdoor nog steeds aanwezig, meldt onderzoeker Pierre Kim. Kim analyseerde de firmware-update voor de D-Link DWR-932B-router en ontdekte dat niet alleen de backdoor nog steeds aanwezig is, maar ook de eerder aangetroffen backdoor-accounts, alsmede verschillende andere kwetsbaarheden waardoor het apparaat is aan te vallen. "D-Link had vijf maanden nodig om de beveiligingsupdate te ontwikkelen en nu blijkt dat slechts één kwetsbaarheid is verholpen." De onderzoeker heeft dan ook een advies voor klanten van D-Link en andere beveiligingsonderzoekers. "Gezien de reactie van D-Link en de slechte kwaliteit van de beveiligingsupdates, adviseer ik gebruikers om hun routers te vernielen en raad ik beveiligingsonderzoekers aan om beveiligingsupdates van D-Link eerst te controleren in plaats van blind te vertrouwen." bron: security.nl

De uit 2003 stammende SQL Slammer-worm heeft eind vorig jaar een comeback gemaakt, zo claimt beveiligingsbedrijf Check Point. De Slammerworm, ook bekend als Sapphire, infecteerde Windows 2000 servers die Microsoft SQL Server draaiden of Microsoft SQL Data Engine (MSDE) gebruikten. De worm gebruikte een beveiligingslek in de software om zich van machine naar machine te verspreiden. Daarbij veroorzaakte het veel netwerkverkeer. Het beveiligingslek waar Slammer misbruik van maakte was zes maanden eerder al door Microsoft gepatcht, maar de update was nauwelijks door systeembeheerders geïnstalleerd. Sommige rapporten schatten dat binnen 10 minuten alle kwetsbare machines op het internet door de worm waren geïnfecteerd. De worm besmette echter geen bestanden, waardoor beheerders de malware eenvoudig konden verwijderen door de server te resetten. Volgens Check Point is de worm 13 jaar later nog steeds actief. Tijdens een routineanalyse van verzamelde gegevens zag het beveiligingsbedrijf een toename van het aantal aanvallen tussen 28 november en 4 december, waardoor het één van de meest actieve malware in deze periode was. Het ging om systemen in allerlei landen die doelwit waren. Check Point noemt geen concreet aantal hoe vaak de worm werd waargenomen. Het Internet Storm Center laat echter zien dat er begin december inderdaad een piek was in het aantal hits op udp-poort 1434 waar de Slammerworm gebruik van maakt. bron: security.nl

Een beveiligingslek in Windows SMB waar nog geen update van Microsoft voor beschikbaar is kan een aanvaller kwetsbare computers laten crashen. Ook het uitvoeren van willekeurige code met kernelrechten zou in theorie mogelijk zijn, maar dit is nog niet bewezen. Daarvoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. De kwetsbaarheid in Windows zorgt ervoor dat er verkeer van een kwaadaardige SMB-server niet goed wordt verwerkt. Door verbinding met een kwaadaardige SMB-server te maken kan Windows crashen. Volgens de onderzoekers is het nog onduidelijk of een aanvaller verdere aanvallen kan uitvoeren, maar het CERT/CC stelt dat het uitvoeren van willekeurige code met kernelrechten in theorie mogelijk is. In dit geval zou een aanvaller het Windows-systeem volledig kunnen overnemen. Het CERT/CC heeft bevestigd dat het mogelijk is om computers met Windows 8.1 en Windows 10 via het beveiligingslek te laten crashen. Op dit moment is er volgens de instantie nog geen update of andere praktische oplossing voor het probleem. Als "workaround" wordt aangeraden om uitgaande SMB-verbindingen via tcp-poorten 139 en 445 en udp-poorten 137 en 138 van het lokale netwerk naar het WAN te blokkeren. Microsoft zou woensdag door het CERT/CC over het probleem zijn ingelicht. Het Internet Storm Center laat weten dat een exploit voor de kwetsbaarheid online is verschenen en inderdaad kan worden gebruikt om Windows 10-computers te laten crashen. Begin januari waarschuwde het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) al voor een mogelijk SMB-lek. bron: security.nl

Met de lancering van Firefox 52 zal de browser geen Java, Silverlight en andere NPAPI-plug-ins meer ondersteunen, met uitzondering van Adobe Flash Player. Volgens Mozilla zijn plug-ins die de oude Netscape Plug-in API (NPAPI) gebruiken verantwoordelijk voor prestatieproblemen, crashes en beveiligingsincidenten. Oorspronkelijk wilde Mozilla NPAPI eind 2016 uitfaseren, maar het zal nu begin maart gebeuren als Firefox 52 verschijnt. Dat laat de opensource-ontwikkelaar op de eigen website weten. Omdat Adobe Flash Player op nog zoveel websites wordt gebruikt blijft Mozilla deze plug-in, als uitzondering op de regel, wel ondersteunen. Uiteindelijk zal echter ook de ondersteuning van Flash Player in de browser geheel worden gestaakt. Gebruikers die niet zonder NPAPI-plug-ins kunnen krijgen het advies om op de Firefox Extended Support Release-versie over te stappen. Deze versie blijft voorlopig nog wel de eerder genoemde plug-ins zoals Java en Silverlight ondersteunen. Gebruikers van de normale versie van Firefox 51 kunnen via een kleine aanpassing in twee bestanden ervoor zorgen dat de browser bij de volgende update de Extended Support Release-versie installeert, zoals uitgelegd door Firefox-extensie-ontwikkelaar Mike Kaply. bron: security.nl

Internetcriminelen maken nog steeds gebruik van lnk-bestanden om ransomware te verspreiden, zo waarschuwt Microsoft. Vorig jaar oktober waarschuwde de softwaregigant al voor deze aanvalsmethode, die toen werd gebruikt om de Locky-ransomware op computers te installeren. Nu wordt er via de lnk-bestanden ook andere malware verspreid, zoals de Kovter-ransomware. De aanval begint met een e-mail die zich voordoet als een afleverbericht van de US Postal Service (USPS). Volgens de e-mail kon er een pakketje niet bij de ontvanger van het bericht worden afgeleverd en is er meer informatie in het meegestuurde "document" te vinden. Het gaat hier om een zip-bestand met daarin weer een ander zip-bestand dat uiteindelijk het lnk-bestand bevat. Het lnk-bestand is eigenlijk een PowerShell-script dat malware op de computer downloadt, zoals de Kovter- en Locky-ransomware, die vervolgens bestanden voor losgeld versleutelen. Volgens Microsoft beschikt Windows 10 over een PowerShell-optie genaamd Constrained Mode die het gebruik van bepaalde functionaliteit beperkt, waardoor kwaadaardige PowerShell-scripts bijvoorbeeld geen malware kunnen downloaden en uitvoeren. bron: security.nl

De ontwikkelaars van de populaire hackertool Metasploit hebben een nieuwe feature toegevoegd waardoor ook de veiligheid van Internet of Things-apparaten kan worden getest. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door beveiligingsbedrijf Rapid7 en is zeer geliefd bij penetratietesters en securityprofessionals. Door de snelle groei van het Internet of Things gaat de veiligheid van IoT-apparaten een steeds grotere rol spelen en de nieuwe Metasploit-feature speelt daarop in. Onderzoekers kunnen op deze manier op kwetsbaarheden testen. In eerste instantie zal de "hardwarebrug" zich vooral op voertuigen richten, aangezien die steeds vaker onderdelen bevatten die met internet verbonden zijn. "Elke golf van met internet verbonden apparaten, ongeacht of je het over auto's of koelkasten hebt, vertroebelt de grens tussen hardware en software. Deze hardwarebrug laat je de Matrix verlaten en direct echte fysieke dingen beïnvloeden", zegt Craigh Smith van Rapid7. Het beveiligingsbedrijf stelt dat de nieuwe functie ook als onderzoekstool voor slimme auto's en hardwaregebaseerd netwerkonderzoek kan worden gebruikt. bron: security.nl