Captain Kirk

Een kwaadaardige Chrome-extensie die in de officiële Chrome Web Store werd aangeboden en gebruikers aan allerlei scams en fraude blootstelde is zeer lastig te verwijderen. De extensie werd verspreid via kwaadaardige advertenties die op hun beurt weer een website openden. Op deze website draaide JavaScript die een dialoogvenster toonde dat de gebruiker een extensie moest installeren om het venster te kunnen sluiten. Als de gebruiker het venster via de muis probeerde te sluiten verscheen er weer een nieuw dialoogvenster, waardoor de browser in een continue loop bleef zitten. In het geval de gebruiker besloot de extensie te installeren gebeurden er verschillende dingen. Zo werden op basis van verschillende sleutelwoorden in de url van te bezoeken websites besloten om de website te blokkeren en gebruikers naar een andere pagina door te sturen. In het geval de gebruiker de website van een beveiligingsbedrijf probeerde te bezoeken werd hij naar een YouTube-video, potentieel ongewenste software en andere scams doorgestuurd. Ook werd er bij sommige sleutelwoorden een website geladen die de gebruiker liet geloven dat er problemen met de computer waren en hij de "Microsoft-helpdesk" moest bellen. In werkelijkheid ging het om telefonische oplichters. Nu kunnen gebruikers op verschillende manieren extensies uit Chrome verwijderen. Zo is er het extensie-menu dat een overzicht van alle geïnstalleerde extensies toont. Een andere optie is om de browser via het instellingen-menu in oorspronkelijke staat te herstellen. De kwaadaardige extensie zorgde er echter voor dat als het extensie- of instellingen-menu werd geopend meteen het apps-menu werd geladen. Op deze manier was het lastig voor gebruikers om te zien welke extensies er geïnstalleerd waren, laat staan die te verwijderen, zo stelt anti-malwarebedrijf Malwarebytes. Google heeft de extensie na te zijn ingelicht uit de Chrome Web Store verwijderd. bron: security.nl

Een beveiligingsonderzoeker heeft een manier gevonden om Firefox-gebruikers aan de hand van door de browser gecachte certificaten te identificeren. Het gaat om zogeheten intermediate certificaten. Firefox beschikt standaard over verschillende rootcertificaten van certificaatautoriteiten. Ssl-certificaten die door deze certificaatautoriteiten worden uitgegeven, worden automatisch door de browser vertrouwd. Het is voor deze certificaatautoriteiten echter ook mogelijk om onder het eigen rootcertificaat een intermediate certificaat uit te geven, bijvoorbeeld aan een partner of ander bedrijfsonderdeel. Zodoende worden onder het intermediate certificaat uitgegeven ssl-certificaten ook door de browser vertrouwd. In het geval een Firefox-gebruiker een website met een intermediate certificaat bezoekt wordt zowel informatie over het ssl-certificaat van de website als de intermediate certificaatautoriteit verstuurd. Firefox bewaart vervolgens de informatie over de intermediate certificaatautoriteit in de eigen cache. In het geval de webserver verkeerd is geconfigureerd en alleen informatie over het ssl-certificaat verstuurt, maar informatie over de intermediate certificaatautoriteit achterwege laat, zal de website niet door Firefox worden geladen, tenzij de intermediate certificaatautoriteit zich al in de cache van de browser bevindt. Op deze manier is het vervolgens mogelijk om te kijken welke intermediate certificaatautoriteiten een Firefox-gebruiker in zijn of haar cache heeft staan. Onderzoeker Alexander Klink rapporteerde het probleem bij Mozilla, maar de opensource-ontwikkelaar zou huiverig zijn om het probleem te verhelpen zonder te weten wat hiervan de impact zal zijn. Klink stelt dat aanvallers van de bug gebruik kunnen maken om te bepalen of de browser in een sandbox draait om vervolgens te besluiten eventuele malware niet te versturen. Het probleem doet zich niet voor bij Chrome en Internet Explorer. Firefox-gebruikers die zich hier tegen willen wapenen krijgen het advies om regelmatig hun profiel op te schonen. Klink heeft een website online gezet die de aanval demonstreert. bron: security.nl

Microsoft heeft een week nadat Adobe updates voor ernstige lekken in Flash Player uitbracht dezelfde kwetsbaarheden eindelijk ook in Edge en Internet Explorer 11 op Windows 8.1 en Windows 10 gepatcht. Via de beveiligingslekken kon een aanvaller in het ergste geval systemen volledig overnemen. Normaliter brengen Adobe en Microsoft de Flash Player-updates rond hetzelfde moment uit. Dit moet het aantal kwetsbare gebruikers verkleinen. In het verleden is het geregeld voorgekomen dat aanvallers de Flash Player-updates analyseerden om zo de gepatchte kwetsbaarheden te vinden. Die werden vervolgens gebruikt voor het aanvallen van gebruikers die de update nog niet hadden geïnstalleerd. Microsoft besloot de patchdinsdag van 14 februari op het allerlaatste moment te annuleren en naar 14 maart te verzetten. Aangezien IE11 op Windows 8.1 en Windows 10 en Microsoft Edge over een embedded Flash Player beschikken liepen deze gebruikers nu risico om te worden aangevallen, aangezien Adobe de Flash Player-updates vorige week dinsdag wel had uitgerold. Gisterenavond heeft Microsoft alsnog voor deze systemen de Flash Player-updates uitgerold. Op de meeste systemen zullen die automatisch worden geïnstalleerd. bron: security.nl

Windows 10 krijgt naast de Creators Update ook nog een tweede grote update dit jaar, zo heeft Microsoft laten weten. Tijdens Microsoft Ignite Australia 2017 gaf de softwaregigant een presentatie waar een tijdslijn werd getoond waarop staat vermeld dat er een twee grote update aankomt. De sheet werd door engineer Rafael Rivera naar buiten gebracht. Verdere details zoals de inhoud van de update en de verschijningsdatum staan niet vermeld. De website Thurott.com zegt gehoord te hebben dat de update in oktober of november zal uitkomen en mogelijk bepaalde features zal bevatten die niet op tijd voor de Creators Update klaar waren, zoals de People Bar. De Creators Update komt naar verwachting in april uit. bron: security.nl

De Autoriteit Persoonsgegevens doet samen met privacytoezichthouders uit andere Europese landen onderzoek naar de verwerking van persoonsgegevens via Windows 10 door Microsoft. De toezichthouders zijn bezorgd, ook na de door Microsoft aangekondigde wijzigingen in Windows 10, dat Microsoft fundamentele privacyregels niet naleeft. De privacytoezichthouders hebben de softwaregigant een brief gestuurd waarin ze aangeven dat zij de recente aankondiging van Microsoft waarderen om mensen meer controle te geven over wat Microsoft met hun gegevens mag doen. De toezichthouders gaven echter ook aan dat zij nog steeds zorgen hebben over de hoeveelheid en soorten gegevens die Microsoft via Windows 10 verzamelt en verder verwerkt. Ook hebben zij zorgen over de standaardinstellingen en het gebrek aan controle van mensen over wat er bij Microsoft met hun gegevens gebeurt. De toezichthouders hebben Microsoft laten weten dat mensen alleen rechtsgeldige toestemming voor de verwerking van hun persoonsgegevens kunnen geven als zij volledig zijn geïnformeerd, precies weten waar ze toestemming voor geven en de toestemming vrij hebben kunnen geven. Ook is Microsoft vertelt dat het alleen persoonsgegevens mag verzamelen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. De gegevens mogen ook niet verder worden verwerkt op een manier die onverenigbaar is met deze doelen. Microsoft verwerkt onder meer gegevens met het doel persoonlijke advertenties aan te bieden. Volgens de Autoriteit Persoonsgegevens moet Microsoft duidelijk uitleggen welke soorten persoonsgegevens het bedrijf voor welke doelen verwerkt, omdat er zonder deze informatie geen sprake kan zijn van rechtsgeldige toestemming. bron: security.nl

Onderzoekers hebben tijdens de recente RSA Conferentie in San Francisco aangetoond hoe de bios/uefi van een Windows 10-computer met ransomware geïnfecteerd kan worden, ondanks allerlei beveiligingsmaatregelen van het besturingssysteem. De infectie begon met een Word-document dat van een kwaadaardige macro was voorzien. De macro downloadde een bios-updater van de moederfabrikant. Volgens het Duitse Heise moet de installatie van deze tool wel door de gebruiker worden bevestigd, wat enige social engineering zou vereisen. Vervolgens konden de onderzoekers aangepaste firmware uploaden die het systeem, zodra ingeschakeld, meteen voor losgeld vergrendelt of het systeem kan wissen en permanent beschadigen. De moederbordfabrikant, in dit geval Gigabyte, zou het de aanvallers daarbij makkelijk maken door de integriteit van de firmware-update niet te controleren. De machine in kwestie draaide Windows 10 met de allerlaatste patches en had beveiligingsopties zoals Device Guard, Secure Boot en Virtual Secure Mode ingeschakeld. Volgens de onderzoekers kan de aanval worden voorkomen als moederbordfabrikanten de digitale handtekening van firmware-updates controleren of de bios tijdens het opstarten door een tweede bios laten controleren. In het geval er inconsistenties worden aangetroffen zal de eerste bios met de inhoud van de tweede bios worden overschreven. Bios staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Moderne computers beschikken over een unified extensible firmware interface (uefi) dat de opvolger van het bios is. bron: security.nl

De Europese privacytoezichthouders verenigd in de Artikel 29-werkgroep blijven zich zorgen maken over de privacyinstellingen van Windows 10. Onder druk van onder andere de Zwitserse privacytoezichthouder FDPIC besloot Microsoft Windows 10 van nieuwe privacyinstellingen te voorzien. Zo krijgen gebruikers meer informatie over de gegevens die worden verwerkt en moeten gebruikers al tijdens het installatieproces bepalen en toestemming verlenen voor het verwerken en versturen van gegevens. De aanpassingen zullen dit jaar tijdens twee updates voor Windows 10 worden doorgevoerd. De aangekondigde aanpassingen waren reden voor FDPIC om Microsoft niet voor de rechter te slepen. De Artikel 29-werkgroep had Microsoft ook om uitleg over het verwerken van persoonsgegevens voor verschillende doeleinden gevraagd, waaronder adverteren. "Los van de onderzoeken op nationaal niveau, en zelfs met de voorgestelde aanpassingen aan Windows 10 in acht nemend, blijft de werkgroep zich zorgen maken over het niveau waarop de persoonlijke gegevens van gebruikers worden beschermd", aldus de groep in een verklaring waar Reuters over bericht. Volgens de werkgroep is ondanks het nieuwe installatiescherm voor Windows 10 onduidelijk wanneer gebruikers over het verzamelen van de specifieke data worden ingelicht. bron: security.nl

Ik zou denk ik in dat geval dan niet te ingewikkeld doen en het grote scherm direct op de extra monitoruitgang van de laptop aansluiten.

Zover ik denk, lijkt het mij niet mogelijk. Het dockingstation is geheel gebouwd voor de Deel. Wat is de reden dat je de HP ook het dockingstation aan wilt sluiten?

Het is de hoogste tijd dat de DMARC-standaard voor e-mail wereldwijd wordt uitgerold en it-beveiligingsbedrijven moeten het goede voorbeeld geven, zo stelt de Global Cyber Alliance (GCA). DMARC (Domain-based Message Authentication, Reporting and Conformance) is een standaard die door vijftien vooraanstaande internetbedrijven werd ontwikkeld, waaronder Microsoft, Facebook, LinkedIn en Google. Het is een systeem dat gespoofte e-mails moet detecteren en voorkomen en wordt boven twee andere standaarden gebruikt, namelijk Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM). Via DMARC kan een organisatie aangeven wat een e-mailserver moet doen met e-mails die niet aan het gepubliceerde SPF- en DKIM-beleid voldoen. Op deze manier kunnen spam en phishingmails worden gestopt. Grote e-mailproviders zoals Gmail en Yahoo ondersteunen DMARC, maar dat geldt niet voor bedrijven en overheden. Zo blijkt dat vijf procent van de domeinen in de Britse publieke sector DMARC heeft ingeschakeld en bij de gezondheidssector in het land is dit zestien procent. De GCA keek naar 587 e-maildomeinen van it-beveiligingsbedrijven die deze week de RSA Conferentie in San Francisco bezochten. Slechts vijftien procent maakt gebruik van DMARC. Daarnaast blijkt dat de standaard vaak niet goed is geïmplementeerd, wat de effectiviteit vermindert. Uit onderzoek zou echter blijken dat blijken dat organisaties die op de juiste wijze met DMARC werken 77 procent minder e-mailaanvallen ontvangen dan organisaties die DMARC helemaal niet gebruiken. Begin deze maand lanceerde de Nederlandse overheid en bedrijfsleven een coalitie voor veilig e-mailen, die misbruik zoals phishing en het afluisteren van e-mail moet tegengaan. De coalitie maakt zich onder andere sterk voor het invoeren van DMARC. bron: security.nl

Fabrikanten van kabelmodems en internetproviders die hier gebruik van maken zijn gewaarschuwd dat door de diefstal van een privésleutel en certificaat van de Duitse fabrikant AVM, kwaadwillenden illegale kabelmodems kunnen neerzetten die voor netwerkproblemen en het illegaal afnemen van diensten kunnen zorgen. De waarschuwing is afkomstig van CableLabs, de organisatie die voor de DOCSIS-kabelmodemstandaard verantwoordelijk is. De DOCSIS-standaard laat fabrikanten interoperabele apparatuur maken. De standaard vereist dat elke kabelmodem over een uniek certificaat beschikt om de kabelmodem bij de internetprovider te authenticeren. Dit certificaat is gesigneerd door de certificaatautoriteit van de fabrikant, die weer is gesigneerd door de DOCSIS-certificaatautoriteit. Internetproviders kunnen op deze manier kabelmodems met een geldig gesigneerd certificaat vertrouwen. Eind vorig jaar werd bekend dat de Duitse fabrikant AVM zowel het certificaat van de eigen certificaatautoriteit als de bijbehorende privesleutel aan de eigen firmware had toegevoegd. "Daardoor kan nu iedereen een certificaat creëren dat door alle internetproviders wordt vertrouwd die de DOCSIS-certificaatautoriteit vertrouwen", zegt Johannes Ullrich van het Internet Storm Center. Vervolgens is het mogelijk om hiermee een kabelmodem neer te zetten waarmee diensten illegaal kunnen worden afgenomen of die voor netwerkproblemen kan zorgen. CableLabs heeft nu het advies gegeven dat alle partijen het gecompromitteerde certificaat van AVM op een blacklist zetten, ongeacht of ze AVM-apparatuur in hun netwerk gebruiken. Volgens het Duitse Heise is er al misbruik van het certificaat gemaakt. bron: security.nl

Google heeft een beveiligingslek in Windows onthuld waardoor aanvallers gevoelige informatie uit het geheugen kunnen stelen, zoals gebruikersgegevens, en waar nog geen update van Microsoft voor beschikbaar is. Via de gestolen informatie zou een aanvaller het systeem verder kunnen aanvallen. De kwetsbaarheid bevindt zich in het Microsoft Graphics Component (GDI) en is in alle ondersteunde Windows-versies aanwezig, van Vista tot en met Windows 10. Om de kwetsbaarheid uit te buiten moet een aanvaller het slachtoffer een kwaadaardige EMF-afbeelding laten openen. Dit kan bijvoorbeeld door het embedden van een dergelijke afbeelding in een Word-document of html-pagina, zo waarschuwt het Nationaal Cyber Security Center (NCSC) van de overheid. Google had het probleem op 17 november vorig jaar aan Microsoft gerapporteerd. Standaard hanteert de internetgigant een deadline van 90 dagen, waarna informatie over de kwetsbaarheid openbaar wordt gemaakt, ongeacht of de leverancier in kwestie al een update heeft uitgerold om het probleem te verhelpen. Mogelijk dat Microsoft van plan was het beveiligingslek deze week te patchen, maar de softwaregigant besloot om alle beveiligingsupdates deze maand uit te stellen en te verplaatsen naar dinsdag 14 maart. Naast informatie over de kwetsbaarheid heeft Google ook proof-of-concept-code online gezet om het lek te demonstreren. Afgelopen december patchte Microsoft ook al een soortgelijke kwetsbaarheid in het GDI-onderdeel. Google-onderzoekers hebben in het verleden vaker kwetsbaarheden in Windows naar buiten gebracht zonder dat er een update beschikbaar was. Twee keer maakten cybercriminelen van de vrijgegeven informatie gebruik om Windows-gebruikers aan te vallen. bron: security.nl

Microsoft heeft besloten om de ondersteuning van de originele Windows 10-versie met twee maanden te verlengen. In eerste instantie had de softwaregigant nog laten weten dat de originele Windows 10, met versienummer 1507, na 26 maart van dit jaar niet meer zou worden ondersteund. Dit geldt met name voor bedrijven, die Windows 10-updates op verschillende manieren kunnen ontvangen. Zo is er de Long Term Servicing (LTS) branch waarbij er alleen beveiligingsupdates worden geïnstalleerd. De Current branch for Business" (CBB) installeert naast beveiligingsupdates ook feature-updates die in de consumentenmarkt zijn getest en gevalideerd. Eind november vorig jaar werd de Windows 10 Anniversary Update (versie 1607) via het CBB-kanaal aan organisaties aangeboden. Microsoft ondersteunt echter alleen de twee meest recente Windows 10-versies in het CBB-kanaal. Doordat er nog wel met een overgangsperiode werd gewerkt zou de originele Windows 10-versie na 26 maart niet meer voor ondersteuning in aanmerking komen. De overgangsperiode die Microsoft hanteert is nu met twee maanden uitgebreid. De support van Windows 10 versie 1507 in het CBB-kanaal zal nu na mei 2017 eindigen. bron: security.nl

Yahoo is begonnen met het waarschuwen van gebruikers van wie het account via vervalste cookies werd gehackt. De internetgigant stelde in december, toen bleek dat aanvallers de gegevens van 1 miljard gebruikers hadden gestolen, dat een derde partij toegang tot de code van Yahoo had gekregen om te leren hoe cookies moesten worden vervalst om zo zonder wachtwoord toegang tot accounts van gebruikers te krijgen. De vervalste cookies werden eerder al ongeldig gemaakt, maar nu worden de getroffen gebruikers ook gewaarschuwd. "Gebaseerd op ons lopende onderzoek denken we dat een vervalst cookie mogelijk is gebruikt om in 2015 of 2016 toegang tot je account te krijgen", aldus de waarschuwing. Hoeveel gebruikers op deze manier werden gehackt wil Yahoo niet laten weten, zo meldt de Associated Press. bron: security.nl

Microsoft zal de Windows-updates die deze maand stonden gepland tijdens de patchdinsdag van maart uitbrengen, zo heeft de softwaregigant bekendgemaakt. Dinsdag liet Microsoft weten dat de patches van 14 februari vanwege problemen die op het laatste moment waren gevonden werden uitgesteld. Niet eerder sinds Microsoft met het uitbrengen van patches op de tweede dinsdag van elke maand begon zijn alle geplande beveiligingsupdates geschrapt. In een update aan gebruikers en beheerders meldt Microsoft nu dat de februari-updates tijdens de patchdinsdag van 14 maart zullen verschijnen. bron: security.nl

Videochipfabrikant Nvidia heeft meerdere beveiligingslekken in de drivers voor Windows die door Google waren gevonden stilletjes gepatcht, zo heeft de internetgigant laten weten. Google-onderzoekers vonden in totaal 16 beveiligingslekken waardoor een lokale aanvaller willekeurige code kon uitvoeren om computers volledig over te nemen, machines te laten crashen of de eigen rechten op het systeem te verhogen. Volgens Google was het niet mogelijk om de kwetsbaarheden op afstand aan te vallen, bijvoorbeeld via de browser. Een aanvaller moest dan ook al toegang tot een systeem hebben om de kwetsbaarheden uit te buiten. De eerste van de zestien kwetsbaarheden werd vorig jaar juli aan Nvidia gerapporteerd. In september volgde er een nieuwe driver-versie, waarbij zes beveiligingslekken stilletjes werden gepatcht. In de release notes werd wel over "security updates" gesproken, maar verdere informatie ontbrak. Nvidia verklaarde tegenover Google dat de publieke details een maand later openbaar gemaakt zouden worden. Volgens Google was dit niet verstandig, aangezien een aanvaller de patch in de tussentijd kon analyseren om zo de kwetsbaarheden te vinden voordat gebruikers wisten wat er precies mis was. Onderzoekers van Google waarschuwen dat videokaartdrivers een groot aanvalsoppervlak bieden en vol kwetsbaarheden lijken te zitten. Ze roepen leveranciers dan ook op om het aanvalsoppervlak te verkleinen. bron: security.nl

De afgelopen maanden van vorig jaar is het aantal gevallen van ransomware op Windows-computers afgenomen, zo stelt Microsoft op basis van gegevens van Windows Defender, de in Windows ingebouwde virusscanner. Volgens de softwaregigant was ransomware één van de grootste dreigingen in 2016 en kregen miljoenen computers hiermee te maken. Het ging dan zowel om daadwerkelijke infecties als pogingen tot een besmetting. Vanaf september is het aantal Windows-computers dat met ransomware in aanmerking kwam echter afgenomen. Dit komt volgens Microsoft voornamelijk omdat e-mails die ransomware proberen te verspreiden, wat de voornaamste verspreidingsmethode voor deze vorm van malware is, eerder worden geblokkeerd. Gebruikers kunnen zo niet meer worden verleid om bestanden of links te openen die naar ransomware leiden. Daarnaast proberen cybercriminelen ransomware ook via exploitkits te verspreiden, die van kwetsbaarheden in Flash Player, Internet Explorer en Silverlight gebruikmaken. Het gebruik van exploitkits is in de laatste helft van vorig jaar afgenomen nadat een beruchte groep cybercriminelen achter de Angler-exploitkit was opgepakt. Ondanks de bemoedigende statistieken waarschuwt Microsoft dat de dreiging van ransomware nog niet voorbij is, aangezien cybercriminelen het wel blijven proberen. Daarnaast richten ze zich ook vaker op andere platformen, zoals servers, en proberen nieuwe verspreidingsmethodes, zoals bijvoorbeeld Skype en usb-sticks. bron: security.nl

Onderzoekers van de Vrije Universiteit Amsterdam hebben een nieuwe manier gedemonstreerd om de aslr-beveiliging van Windows via JavaScript te omzeilen. Address space layout randomization (aslr) moet het lastiger voor aanvallers maken om kwetsbaarheden in software te misbruiken. In het verleden hebben aanvallers al aangetoond dat bijvoorbeeld een lokale aanvaller aslr kan omzeilen. In het geval van de browser wordt alsr nog altijd als een goede beveiliging gezien, zo stellen de onderzoekers. Ze hebben echter een aanval ontwikkeld genaamd AnC waarbij eigenschappen van moderne processoren worden gebruikt om aslr via alleen JavaScript te omzeilen, zonder van enige andere softwarefunctie gebruik te maken. De onderzoekers besloten de kwetsbaarheid met het Nationaal Cyber Security Center (NCSC) van de overheid te coördineren. "Dit was een uitdagend proces", stellen ze, aangezien de ontwikkelaars van besturingssystemen en browsers en fabrikanten van processoren hierbij waren betrokken. Sommige processorfabrikanten stelden zelfs dat aslr niet langer als beveiligingsmaatregel voor browsers moet worden gezien. Volgens de onderzoekers kunnen gebruikers zich niet eenvoudig tegen dergelijke aanvallen beschermen, aangezien er van fundamentele eigenschappen van de processor gebruik wordt gemaakt. Wel kunnen gebruikers onbetrouwbare JavaScript-code op websites blokkeren, bijvoorbeeld via de Firefox-uitbreiding NoScript. Daarnaast moet de AnC-aanval worden gecombineerd met een kwetsbaarheid in bijvoorbeeld de browser of browserplug-in. Dergelijke aanvallen zijn in veel gevallen te voorkomen door het installeren van beveiligingsupdates. bron: security.nl

Al jaren komt Microsoft elke tweede dinsdag van de maand met beveiligingsupdates voor Windows, Office en andere producten, ook bekend als patchdinsdag, maar vandaag heeft de softwaregigant besloten om alle geplande updates uit te stellen. Iets dat niet eerder is voorgekomen. Volgens Microsoft heeft het op het laatste moment een probleem gevonden waarmee sommige klanten te maken konden krijgen en dat niet op tijd is verholpen. "Na het overwegen van alle opties hebben we besloten om de maandelijkse updates uit te stellen", aldus de softwaregigant. Het zou vandaag de eerste patchdinsdag worden waarbij Microsoft geen Security Bulletins meer zou publiceren. bron: security.nl

Adobe heeft een nieuwe versie van Flash Player uitgebracht waarin meerdere ernstige beveiligingslekken zijn gepatcht. Het gaat in totaal om 13 kwetsbaarheden die in alle gevallen een aanvaller willekeurige code op het systeem hadden kunnen laten uitvoeren, zoals het installeren van malware. Het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van een besmette advertentie of het openen van een Office-document met een embedded Flash-object voldoende. Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 24.0.0.221 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. Linux-gebruikers kunnen de update installeren wanneer het hen uitkomt. Adobe baseert dit advies op aanvallen die in het verleden zijn voorgekomen en de kans dat kwetsbaarheden op een bepaald platform worden aangevallen. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe is naar eigen zeggen niet bekend met aanvallen die misbruik van de kwetsbaarheden maken. bron: security.nl

De meeste ransomware die het afgelopen jaar is ontdekt heeft Russische roots, zo stelt het Russische anti-virusbedrijf Kaspersky Lab in een vandaag gepubliceerde analyse. De virusbestrijder onderzocht meer dan 60 ransomware-families die de afgelopen 12 maanden werden gevonden. 47 families bleken banden met Russisch sprekende groepen of personen te hebben. Kaspersky Lab baseert dit op onderzoek naar fora voor cybercriminelen, de servers en andere infrastructuur die de ransomware-exemplaren gebruikten en andere zaken. "Het is lastig om precies vast te stellen waarom zoveel ransomware-families van Russische origine zijn, maar we kunnen wel zeggen dat dit komt doordat er veel goed opgeleide programmeurs in Rusland en omliggende landen zijn", aldus analist Anton Ivanov. Een andere mogelijke reden volgens Ivanov is dat Russische cybercriminelen de meeste ervaring met ransomware hebben. Het gebruik van digitale valuta zoals bitcoin alsmede het kleine aantal arrestaties van de mensen achter ransomware, maakt het interessant voor criminelen om zich met deze vorm van cybercrime bezig te houden, merkt Ivanov op. Hij hoopt dan ook dat politie meer aandacht aan dit soort cybercriminelen zal besteden. Daarnaast krijgen slachtoffers het advies om het gevraagde losgeld nooit te betalen. "Hoe meer geld de criminelen krijgen, hoe geraffineerder hun tools, wat ze meer mogelijkheden biedt om aan te vallen." bron: security.nl

Onderzoekers hebben een nieuw ransomware-exemplaar ontdekt dat niet alleen bestanden voor losgeld versleutelt, maar ook allerlei gegevens van het besmette systeem steelt en verwijdert. Eenmaal actief maakt de DynA-Crypt-ransomware screenshots van de actieve desktop, neemt systeemgeluiden op, verzamelt toetsaanslagen en verzamelt data van verschillende programma's. Het gaat onder andere om Chrome, Firefox, Minecraft, Skype, Steam, TeamSpeak en Thunderbird, zo meldt de website Bleeping Computer. De te stelen gegevens worden in een lokale map bewaard en daarna als zip-bestand naar de aanvaller gestuurd. Voor onbekende redenen verwijdert de ransomware veel van de mappen waar gegevens uit zijn gestolen. Daarnaast wordt ook alles op de desktop verwijderd, ook al steelt de ransomware van deze locatie geen gegevens. Slachtoffers moeten 50 dollar in bitcoin betalen om hun versleutelde bestanden terug te krijgen, anders zal er elke 5 minuten een willekeurig bestand worden verwijderd. Onderzoekers hebben echter een methode ontdekt zodat slachtoffers kosteloos hun bestanden kunnen ontsleutelen. bron: security.nl

Er is een toename van aanvallen waarbij aanvallers via het remote desktop protocol (rdp) van Windows op systemen proberen in te loggen en vervolgens ransomware installeren. In de eerste weken van dit jaar is het aantal aanvallen ten opzichte van een zelfde periode in het laatste kwartaal verdubbeld. Dat meldt het Japanse anti-virusbedrijf Trend Micro. De aanvallers richten zich met name op de gezondheidssector in de Verenigde Staten. Om toegang tot het rdp-account te krijgen worden er verschillende veelvoorkomende gebruikersnamen en wachtwoorden gebruikt. In het geval de inlogpoging succesvol is wordt de Crysis-ransomware geïnstalleerd. Hiervoor wordt een gedeelde map op de aangevallen computer gebruikt. In sommige gevallen wordt de ransomware ook via het klembord gekopieerd. Naast het vermijden van standaardwachtwoorden krijgen beheerders ook het advies om het delen van schijven, mappen en het klembord uit te schakelen, aangezien dit de mogelijkheid beperkt om via rdp bestanden te kopieren. Dit kan echter wel ten koste van de bruikbaarheid gaan, aldus analist Jay Yaneza. De aanvallen werden vorig jaar september voor het eerst opgemerkt en waren toen vooral tegen bedrijven in Australië en Nieuw-Zeeland gericht. Inmiddels vinden de aanvallen wereldwijd plaats. bron: security.nl

Aanvallers hebben ruim 1,5 miljoen WordPress-pagina's via een recent gepatcht lek aangepast en proberen websites via dezelfde kwetsbaarheid over te nemen, zo waarschuwen beveiligingsbedrijven. Via het beveiligingslek kan een aanvaller zonder wachtwoord de inhoud van WordPress-sites aanpassen. Volgens beveiligingsbedrijf Wordfence zijn er inmiddels 20 verschillende aanvallers actief die de kwetsbaarheid gebruiken om websites te defacen. Met name de afgelopen dagen was er een piek in het aantal aanvallen zichtbaar. "Dit is één van de ergste WordPress-gerelateerde lekken die sinds lange tijd is verschenen", zegt Mark Maunder van Wordfence. Beveiligingsbedrijf Sucuri meldt dat de kwetsbaarheid niet alleen wordt gebruikt om websites te defacen, maar ook om willekeurige code uit te voeren. Deze aanvallen raken alleen WordPress-sites die plug-ins gebruiken waarmee PHP-code aan postings en pagina's kan worden toegevoegd. Het gaat om plug-ins zoals Insert PHP en Exec-PHP, die elk meer dan 100.000 installaties hebben. Deze plug-ins laten gebruikers PHP-code direct aan hun berichten toevoegen. Gecombineerd met de kwetsbaarheid kan een aanvaller PHP-code uitvoeren wanneer ze hun content in de database injecteren. Aanvallers kunnen op deze manier een backdoor aan websites toevoegen. WordPress-gebruikers krijgen het advies om de meest recente patch te installeren. bron: security.nl

Over twee maanden stopt Microsoft de ondersteuning van Windows Visa en de softwaregigant is begonnen om gebruikers van het 10 jaar oude besturingssysteem te waarschuwen. Vista-gebruikers die Security Essentials hebben geinstalleerd krijgen een waarschuwing dat hun systeem onbeveiligd is. Daarbij wordt er tot verbazing van gebruikers naar een pagina over het einde van de support van Windows XP gewezen. Dat neemt niet weg dat op dinsdag 11 april 2017 de laatste beveiligingsupdates voor Vista verschijnen, dat op 30 januari 2007 uitkwam. Het besturingssysteem was de opvolger van Windows XP, maar werd nooit een succes. Veel gebruikers ergerden zich aan de User Account Control (Gebruikersaccountbeheer) feature van Vista, die waarschuwde als er aanpassingen aan het systeem werden doorgevoerd. De feature overweldigde gebruikers met allerlei meldingen. Vista slaagde er dan ook niet in een groot marktaandeel te veroveren, zoals Windows XP en Windows 7 wel deden. Volgens onderzoeksbureau StatCounter heeft Vista wereldwijd nog een marktaandeel van 1,2 procent. In Nederland zou nog zo'n 1,7 procent van alle desktops en laptops op de 10 jaar oude Windows-versie draaien. Marktvorser Net Applications houdt het op een wereldwijd marktaandeel van 0,8 procent. Met naar schatting meer dan 1 miljard Windows-computers gaat het nog steeds om miljoenen computers die straks geen updates meer zullen ontvangen. Vista-gebruikers kunnen ervoor kiezen om naar Windows 7 te upgraden of naar Windows 8.1 of Windows 10 te migreren, zegt Andre Da Costa, Microsoft Most Valuable Professional (MVP). Hij merkt op dat in het geval van een directe migratie naar Windows 8.1 en 10 er een schone installatie is vereist. In het geval gebruikers geen nieuwe Windows-versie willen installeren krijgen ze het advies om naar Firefox over te stappen, UAC op het hoogste niveau te zetten, een standaardaccount te gebruiken, oude en niet meer ondersteunde applicaties te verwijderen, goede beveiligingssoftware te installeren en de computer zo min mogelijk voor internet te gebruiken. bron: security.nl