Captain Kirk

Onderzoekers hebben in een ip-camera van de Zuid-Koreaanse elektronicafabrikant Samsung tal van beveiligingsproblemen gevonden waardoor een aanvaller in het ergste geval op afstand een apparaat volledig kan overnemen. Het gaat om de Samsung SNH-6410BN. Het apparaat wordt als babycamera, binnencamera en beveiligingscamera gebruikt. "De beeldkwaliteit is redelijk, maar zoals de norm is met ip-camera's schiet de netwerkbeveiliging te kort", aldus het Britse beveiligingsbedrijf Pen Test Partners. Onderzoekers ontdekten in totaal 10 beveiligingsproblemen. Zo worden inloggegevens onversleuteld verstuurd, is er een webinterface aanwezig die niet in de documentatie wordt vermeld, moet er via deze webinterface een wachtwoord worden ingesteld en is het mogelijk om het ingestelde camerawachtwoord te resetten. Verder is de firmware niet tegen reverse engineering beschermd, is root de enige gebruiker, heeft Samsung onbedoeld de testfunctionaliteit aan laten staan, wordt alle gebruikersinvoer geaccepteerd en draait het apparaat een onnodige ssh-service. De onderzoekers wisten door al deze problemen uiteindelijk volledige controle over het apparaat te krijgen. Ze waarschuwden Samsung. De fabrikant kwam uiteindelijk met een update die de webinterface en ssh uitschakelt. De overige problemen zijn nog niet verholpen. bron: security.nl

Onderzoekers hebben een firewall voor usb-apparaten ontwikkeld om zo allerlei soorten usb-aanvallen te voorkomen. Door de complexe aard van usb is de echte functionaliteit voor gebruikers verborgen en besturingssystemen vertrouwen blindelings alle aangesloten usb-apparaten. Dit heeft voor verschillende aanvallen gezorgd, bijvoorbeeld usb-sticks die de computer laten geloven dat ze een toetsenbord zijn en vervolgens allerlei commando's uitvoeren waardoor een aanvaller volledige controle krijgt. Als oplossing voor dit probleem bedachten onderzoekers van de Universiteit van Florida en Universiteit van Illinois "USBFILTER". Dit is een firewall die op pakketniveau toegangscontrole over usb-apparaten geeft en kan voorkomen dat ongeautoriseerde apparaten verbinding met de computer maken. Het filter is namelijk in staat om individuele usb-pakketten naar de verantwoordelijke processen te herleiden en ongeautoriseerde toegang te voorkomen. Niet alleen kan USBFILTER bepaalde usb-apparaten blokkeren, het kan ook de toegang tot een bepaalde applicatie beperken. Zo is het mogelijk om in te stellen dat alleen Skype de webcam mag benaderen. De impact van de firewall op de prestaties, bij bijvoorbeeld het kopiëren van bestanden, is volgens de onderzoekers verwaarloosbaar. De code van USBFILTER is via GitHub te downloaden. bron: security.nl

Israëlische onderzoekers hebben malware ontwikkeld die het geluid van de harde schijf gebruikt om gegevens op computers die niet met internet verbonden zijn naar apparaten te versturen die wel internettoegang hebben. De onderzoekers noemen hun aanval "DiskFiltration". Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks. Om vervolgens van een besmette offline computer data te stelen ontwikkelden onderzoekers verschillende methodes, zoals het gebruik van de speakers, zowel intern als extern, om via geluidssignalen de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone terug te sturen. Als oplossing kregen beheerders van offline computers het advies om de speakers van het systeem uit te schakelen of te verwijderen, om zo een 'audio-gap' te creëren. Onderzoekers van de Ben-Gurion Universiteit in Israël hebben echter verschillende manieren gevonden om zelfs van dit soort systemen gegevens te stelen. In juni kwamen ze met Fansmitter, kwaadaardige code om via de ventilatoren van de computer gegevens door te sturen. Nu presenteren ze "DiskFiltration". Deze malware gebruikt de leesarm van de harde schijf om lees- en schijfoperaties uit te voeren. Dit veroorzaakt een akoestisch signaal dat kan worden gebruikt om informatie naar een apparaat in de buurt te versturen. Het gaat dan bijvoorbeeld om een besmette laptop, smartwatch of smartphone die over een microfoon beschikt en mogelijk met internet verbonden is. Op deze manier is het mogelijk om over een afstand van maximaal 2 meter 180 bits per minuut te versturen. Volgens de onderzoekers is deze malware vooral interessant voor het aanvallen van systemen die niet met internet verbonden zijn of van computers die wel internettoegang hebben, maar waarvan de internetverbinding door ids- en ips-systemen wordt gemonitord. Om de aanvallen te voorkomen adviseren de onderzoekers om de harde schijven door stillere modellen of ssd's te vervangen, speciale kastjes te gebruiken of een zone in te stellen waarbij het bijvoorbeeld niet is toegestaan om in een ruimte met gevoelige systemen een smartphone mee te nemen. bron: security.nl

Netwerkfabrikant D-Link heeft in verschillende routers een beveiligingslek gedicht waardoor een aanvaller via het internet in het ergste geval willekeurige code op het apparaat kon uitvoeren, zoals het installeren van malware of aanpassen van instellingen. Een onderdeel dat sessiecookies controleert was kwetsbaar voor een bufferoverflow. Een dienst die hiervan gebruikmaakt is via het WAN-netwerk op poort 8181 toegankelijk. De problemen zijn aanwezig in 11 modellen, waaronder de DIR-850L B1, DIR-885L A1 en DIR-818L(W). Updates zijn via de website van D-Link te downloaden, zoals in het beveiligingsbulletin wordt uitgelegd. bron: security.nl

Computers met een Skylake-processor waar Windows 7 en 8.1 op draait zullen langer door Microsoft met beveiligingsupdates worden ondersteund, zo heeft de softwaregigant gisterenavond bekendgemaakt. In maart van dit jaar werd de ondersteuning al tot 17 juli 2018 verlengd. Nu laat Microsoft weten dat deze systemen tot het einde van de supportperiode van Windows 7 en 8.1 op beveiligingsupdates kunnen blijven rekenen. In het geval van Windows 7 is dat tot 14 januari 2020, terwijl de support voor Windows 8.1 op 10 januari 2023 afloopt. Volgens Microsoft is deze aanpassing mogelijk door een goede samenwerking met fabrikanten en Intel, die de werking van de beveiligingsupdates zullen testen. De nieuwe generatie Intel-processoren met de naam Kaby Lake en de zevende generatie AMD-processoren zullen alleen op Windows 10 worden ondersteund. Ondanks de verlengde supportperiode adviseert Microsoft eigenaren van een Skylake-systeem om naar Windows 10 te upgraden. bron: security.nl

Browserontwikkelaar Opera is met een beveiligingsupdate gekomen voor gebruikers van Windows XP en Windows Vista. Opera is naar eigen zeggen de enige grote browserontwikkelaar die beveiligingsupdates voor de XP- en Vista-versies blijft uitrollen. Dat is niet helemaal waar, aangezien Firefox ook nog op Windows XP en Vista wordt ondersteund. Eerder liet Google echter weten dat Chrome Windows XP en Vista niet meer ondersteunt. De laatste Opera-versie die voor Windows XP en Vista verscheen was Opera 36 en is gebaseerd op Chrome 49. Nu heeft Opera de updates die in Opera 37 zijn verwerkt, de versie die op Chrome 50 is gebaseerd, ook voor Opera 36 op Windows XP en Vista beschikbaar gemaakt. De beveiligingsupdate zal automatisch onder gebruikers worden uitgerold, maar kan ook via Opera.com worden gedownload. bron: security.nl

Onderzoekers waarschuwen voor een nieuwe campagne met besmette advertenties waarbij gebruikers van Internet Explorer en systemen waarop Flash Player geïnstalleerd staat het doelwit zijn. Daarbij lijken de aanvallers te testen onder welke groep de meeste infecties plaatsvinden. De besmette advertenties sturen internetgebruikers namelijk ongemerkt door naar twee verschillende exploitkits. De ene exploitkit genaamd Sundown valt IE-gebruikers aan via een kwetsbaarheid die in mei van dit jaar door Microsoft werd gepatcht. De tweede exploitkit die RIG wordt genoemd probeert internetgebruikers via een beveiligingslek in Adobe Flash Player te infecteren waar sinds 23 juni van dit jaar een update voor beschikbaar is. In het geval Internet Explorer of Flash Player niet up-to-date zijn is het te zien krijgen van de besmette advertenties voldoende om door malware geïnfecteerd te raken. Om wat voor malware het precies gaat laat anti-malwarebedrijf Malwarebytes, dat de aanvalscampagne ontdekte, niet weten. In het verleden werd via beide exploitkits onder andere ransomware verspreid. Opvallend aan deze campagne is dat gebruikers naar twee exploitkits worden doorgestuurd. "Dit is waarschijnlijk een bewuste actie voor testdoeleinden of om het aantal infecties te vergroten", zegt analist Jerome Segura. bron: security.nl

Onderzoekers hebben een ernstige kwetsbaarheid in een internetprotocol ontdekt waar Linux gebruik van maakt en waardoor het voor aanvallers mogelijk is om in het verkeer tussen websites en hun bezoekers malware te injecteren of de verbinding van bezoekers te verbreken. Het probleem (pdf) bevindt zich in de implementatie van de RFC 5961-standaard, bedoeld om verschillende soorten aanvallen te voorkomen. De standaard blijkt internetgebruikers echter aan aanvallen bloot te stellen. Aanvallers, ongeacht waar ze zich bevinden, kunnen via de kwetsbaarheid namelijk detecteren wanneer twee partijen met elkaar op het internet communiceren. Vervolgens is het mogelijk om de verbinding te verbreken en in het geval het om een onversleutelde verbinding gaat kan er zelfs kwaadaardige code in het verkeer worden geïnjecteerd. De onderzoekers van de Universiteit van Californië en het Onderzoekslaboratorium van het Amerikaanse leger hebben gisteren tijdens een beveiligingsconferentie in de Verenigde Staten een demonstratie gegeven, waarbij ze malware op de inlogpagina van USA Today injecteerden. USA Today maakt geen gebruik van encryptie, waardoor de onderzoekers kwaadaardige JavaScript-code aan bezoekers van de inlogpagina konden voorschotelen. RFC 5961 is nog niet volledig op Windows en Mac OS X geïmplementeerd. De meeste Linux-distributies ondersteunen het wel. Inmiddels is er een update voor Linux uitgekomen om het probleem te verhelpen, maar die is onder de meeste grote distributies nog niet uitgerold. Om de aanval te laten slagen moet één van de twee partijen kwetsbaar zijn, wat inhoudt dat veel grote websites die op Linux draaien kunnen worden aangevallen, zo meldt Ars Technica. bron: security.nl

De meeste ransomware versleutelt bestanden zodra het op een computer actief is, maar een recent ontdekt exemplaar blijkt zich anders te gedragen als het om de computer van een boekhouder of boekhoudafdeling van een bedrijf gaat. Dat laat het Russische anti-virusbedrijf Kaspersky Lab weten. De ransomware in kwestie wordt Shade genoemd en is vooral in Rusland actief. Zodra Shade een computer heeft besmet controleert de ransomware eerst of de computer voor de boekhouding wordt gebruikt. Is dit niet het geval, dan worden de bestanden versleuteld. Gaat het echter om een boekhoudcomputer, dan zal Shade geen bestanden versleutelen maar een aangepaste versie van programma TeamViewer installeren. Daarmee hebben de aanvallers volledige controle over de computer. Volgens Kaspersky Lab gebruiken de aanvallers deze toegang om het vermogen van het slachtoffer in kaart te brengen. Dit kan bijvoorbeeld worden gebruikt voor het bepalen van het losgeldbedrag als er alsnog wordt besloten om bestanden te versleutelen of laat de aanvallers op een andere manier geld aan het slachtoffer verdienen. bron: security.nl

Gmail zal vanaf deze week twee nieuwe beveiligingswaarschuwingen laten zien die moeten voorkomen dat gebruikers het slachtoffer van phishing of andere vormen van fraude worden. In het geval de afzender van een bericht niet via het Sender Policy Framework (SPF) of DKIM kan worden bevestigd zal er een vraagteken in plaats van een profielfoto, logo of avatar van de afzender worden getoond. Deze maatregel geldt voor de webversie en Gmail-app op Android. De tweede waarschuwing verschijnt alleen in de webversie en betreft e-mails die een gevaarlijke link bevatten. Het gaat dan om phishingsites of websites met malware of ongewenste software. Zodra een gebruiker op de link klikt verschijnt de waarschuwing. Hiervoor maakt Gmail gebruik van Google's eigen Safe Browsing-technologie die ook in browsers zoals Chrome, Safari en Firefox aanwezig is. bron: security.nl

Er is een nieuw filter voor adblockers zoals Adblock Plus uitgekomen dat de adblocker-oplossing van Facebook omzeilt. Deze week maakte Facebook bekend dat het adblockers gaat omzeilen door de code van advertenties aan die van organische Facebookcontent gelijk te maken. Zodoende krijgen Facebookgebruikers met een adblocker toch advertenties te zien. Ben Williams van Eyeo, het bedrijf achter Adblock Plus, noemde het een spijtige ontwikkeling, omdat Facebook op deze manier tegen de wens van gebruikers ingaat. Ook zal er nu een wapenwedloop ontstaan waarbij adblockers weer zullen proberen om de advertenties op Facebook toch te blokkeren, net zoals spammers continu spamfilters proberen te omzeilen, zo waarschuwde hij gisteren. En zoals voorspeld heeft Williams gelijk gekregen, want het nu verschenen filter zorgt ervoor dat ook de nieuwe manier van advertenties tonen op Facebook wordt geblokkeerd. Adblockers werken met filters waarin regels staan om advertenties te blokkeren, bijvoorbeeld gebaseerd op afmeting of advertentienetwerk. Gebruikers van adblockers kunnen hun filterlijst updaten om het nieuwste "EasyList-filter" binnen te halen en zo advertenties op Facebook te blokkeren, maar het betreffende filter kan ook handmatig worden toegevoegd. Williams waarschuwt dat Facebook mogelijk weer gaat proberen om ook dit adblockfilter te omzeilen, waardoor er een kat-en-muisspel ontstaat. Vervolgens zal de adblockgemeenschap weer met een tegenoplossing komen, zo voorspelt hij. "Voor deze ronde van het kat-en-muisspel lijkt het erop dat de muis gewonnen heeft", aldus Williams. bron: security.nl

Een beveiligingslek in een wifi-camera van D-Link waardoor aanvallers op afstand het toestel kunnen overnemen blijkt ook in meer dan 120 andere apparaten van de fabrikant aanwezig te zijn, waardoor routers, modems, opslagapparaten en andere camera's risico lopen om te worden aangevallen. De kwetsbaarheid in de D-Link DCS-930L Network Cloud Camera werd ontdekt door beveiligingsbedrijf Senrio en vorige maand al openbaar gemaakt. Destijds lieten de onderzoekers al weten dat hetzelfde probleem in vijf andere camera's van D-Link was aangetroffen. "Deze kwetsbaarheid wijst op een groter probleem van slecht geschreven firmware-onderdelen die in goedkope Systems on Chips (SoCs) worden gebruikt." Na verder onderzoek is de kwetsbaarheid in meer dan 120 producten van D-Link aangetroffen. Het probleem bevindt zich in een service van de firmware genaamd dcp, die naar commando's op poort 5978 luistert. Een aanvaller kan via een speciaal commando willekeurige code op het kwetsbare systeem uitvoeren. Zo is het bijvoorbeeld mogelijk om het beheerderswachtwoord van de web-gebaseerde beheerdersinterface aan te passen. Ook het installeren van malware op het apparaat behoort tot de mogelijkheden. De dcp-service wordt gebruikt om het apparaat verbinding met MyD-Link te laten maken. Dit is een clouddienst waarmee gebruikers via een smartphone-app hun apparaten buiten hun eigen netwerk om kunnen bedienen. Het wordt voor allerlei D-Link-apparaten gebruikt en de kwetsbare code is dan ook in allerlei apparaten hergebruikt. Via een zoekopdracht bij de zoekmachine Shodan werden meer dan 400.000 D-Link-apparaten aangetroffen die via internet toegankelijk waren. Hoeveel er hiervan kwetsbaar zijn is echter onbekend. In het geval van de D-Link DCS-930L liet de fabrikant vorige maand weten dat het aan een update werkte. De status van eventuele updates voor de overige kwetsbare apparaten is onbekend. Wel heeft D-Link op MyD-Link een waarschuwing geplaatst waarin klanten worden opgeroepen om hun camera's up-to-date te houden en het wachtwoord regelmatig te wijzigen. bron: security.nl

Het beveiligingslek in de bios van Lenovo ThinkPad-laptops blijkt ook in de systemen van HP, Gigabyte en andere fabrikanten aanwezig te zijn. Vorige week waarschuwde Lenovo voor de kwetsbaarheid, waarvoor nog altijd geen beveiligingsupdate beschikbaar is. Het Nationaal Cyber Security Center (NCSC) volgde maandag met een waarschuwing. Via de kwetsbaarheid kan een aanvaller met fysieke toegang of beheerderstoegang het bios manipuleren om bijvoorbeeld de opstartprocedure van een computer te beïnvloeden. Lenovo liet weten dat het de kwetsbare bios-code niet zelf had ontwikkeld, maar die van een andere partij afkomstig was die nog niet is geïdentificeerd. Zoals al werd aangenomen blijkt dat ook andere fabrikanten de kwetsbare bios-code gebruiken. Het gaat in ieder geval om de Pavilion-laptop van HP en moederborden van Gigabyte, zo meldt beveiligingsonderzoeker Alex James via Twitter. Hij stelt dat ook veel andere partijen kwetsbaar zijn, maar geeft verder geen namen. In het geval van Gigabyte gaat het om de volgende moederborden: Z68-UD3H, Z77X-UD5H, Z87MX-D3H en Z97-D3H. De kwetsbaarheid werd door een onderzoeker ontdekt die zijn bevindingen openbaarde zonder eerst Lenovo te informeren. Geen enkele getroffen partij heeft dan ook een update beschikbaar. Bios staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Een beveiligingslek in het bios kan dan ook vergaande gevolgen hebben. bron: security.nl

Mozilla heeft aan een vroege testversie van Firefox verschillende privacyinstellingen van Tor Browser toegevoegd. Tor Browser is de browser die gebruikers verbinding met het Tor-netwerk laat maken. Het bestaat uit een aangepaste Firefox-versie en software die verbinding met het Tor-netwerk maakt. De verbeteringen die het Tor Project aan Tor Browser toevoegt wil Mozilla nu ook aan Firefox toevoegen, zo ontdekte blogger Soeren Hentzschel. Aan de vroege testversie van Firefox 50 zijn nu drie Tor Browser-patches toegevoegd die gebruikers meer privacyinstellingen bieden. De eerste patch moet voorkomen dat websites kunnen achterhalen welke browserplug-ins er zijn geïnstalleerd, om zo de gebruiker te 'fingerprinten'. De tweede patch werkt op een soortgelijke manier en moet identificatie aan de hand van de stand van het beeldscherm voorkomen. De derde en laatste patch verwijdert de "openen met" optie in het downloadvenster. Om problemen met opties tijdens het internetgebruik te voorkomen staan ze standaard uitgeschakeld en gebruikers moeten ze dan ook handmatig instellen. Dit kan via about:config, waarbij de opties "privacy.resistFingerprinting" en "browser.download.forbid_open_with" moeten worden ingeschakeld. Wanneer deze opties in de uiteindelijke versie van Firefox verschijnen is nog onbekend. bron: security.nl

Netwerkfabrikant TP-Link heeft een domeinnaam laten verlopen die wordt gebruik voor het configureren van routers en andere hardware. Het gaat om de domeinnaam tplinklogin.net, die op routers wordt vermeld, zo ontdekte Amitay Dan van beveiligingsbedrijf Cybermoon. Dan meldde zijn ontdekking via de Bugtraq-mailinglist en Reddit. De domeinnaam wordt nu door een partij voor een bedrag van 2,5 miljoen dollar te koop aangeboden. Volgens de beveiligingsexpert zou een aanvaller die de domeinnaam koopt hier misbruik van kunnen maken. Het probleem blijkt al jaren te spelen. Begin 2013 plaatste een gebruiker op het TP-Link-forum al een bericht dat de domeinnaam niet meer toegankelijk is. Ook de jaren daarna verschenen verschillende vragen van gebruikers over de domeinnaam op het forum en het instellen van de router. Gebruikers worden vervolgens naar dit TP-Link-artikel verwezen om de router via een ip-adres te configureren. bron: security.nl

Een bekende onderzoeker van ransomware heeft een gratis tool ontwikkeld die de losgeldberichten verwijdert die door ransomware worden achtgelaten. Ransomware versleutelt niet alleen bestanden op computers, maar laat ook op allerlei plekken berichten met instructies voor het slachtoffer achter. In deze instructies wordt het slachtoffer uitgelegd hoe hij het losgeld kan betalen en zijn bestanden ontsleutelen. Na het ontsleutelen van de bestanden kunnen deze losgeldberichten echter achterblijven. Onderzoeker Michael Gillespie ontwikkelde daarom de gratis tool RansomNoteCleaner, die dit soort berichten zoekt en verwijdert. Het programma maakt gebruik van ID Ransomware, een dienst die Gillespie eerder startte. Via ID Ransomware kunnen ransomware-slachtoffers het soort ransomware op hun computer achterhalen en kijken of er al een gratis decryptietool voorhanden is. Gillespie benadrukt dat zijn programma alleen de achtergelaten ransomware-berichten verwijdert en niet in staat is om versleutelde bestanden te ontsleutelen. Daarnaast bevindt het programma zich nog in de testfase. Het gebruik is dan ook op eigen risico. RansomNoteCleaner is via Bleeping Computer te downloaden. bron: security.nl

Er is een afname van het aantal besmette advertenties dat internetgebruikers met malware probeert te infecteren, wat samenhangt met het verdwijnen van de beruchte Angler-exploitkit. Dat meldt anti-malwarebedrijf Malwarebytes. De Angler-exploitkit maakt gebruik van bekende lekken in Adobe Flash Player, Internet Explorer en Silverlight om malware te verspreiden. Zodra internetgebruikers op een website met de Angler-exploitkit kwamen of een advertentie te zien kregen die hiernaar wees en de eerder genoemde software was niet up-to-date, dan kon er zonder enige verdere interactie malware worden geïnstalleerd. Angler was de afgelopen twee jaar één van de populairste exploitkits voor cybercriminelen en werd op grote schaal bij besmette advertenties ingezet. Begin juni verdween de Angler-exploitkit opeens van het toneel en is niet meer teruggekeerd. Sindsdien zijn er geen grootschalige aanvallen met besmette advertenties waargenomen, aldus Jerome Segura van Malwarebytes. Er worden nog wel besmette advertenties gezien die bezoekers naar de RIG- of Magnitude-exploitkit doorsturen, maar de schaal is veel beperkter. "Besmette advertentes komen altijd in golven, waarbij aanvallers hun volgende zet en grote doelwit plannen, maar het verdwijnen van de Angler-exploitkit is direct merkbaar", laat Segura weten. Cybercriminelen zouden nu vooral voor de Neutrino-exploitkit kiezen, maar deze exploitkit wordt voornamelijk via gehackte websites ingezet en niet bij besmette advertenties. "Het is veel eenvoudiger om een reguliere website te hacken en kwaadaardige code toe te voegen, maar het bereik wat betreft verkeer is veel kleiner dan bij een besmette advertentie die bij de grote uitgevers wordt weergegeven. Een enkele besmette advertentie kan honderdduizenden gebruikers aanvallen, terwijl er heel veel websites moeten worden gehackt om hetzelfde bereik te behalen", aldus Segura. bron: security.nl

Al meer dan vier jaar wordt een beveiligingslek in Word gebruikt voor het infiltreren van organisaties, overheden en bedrijven en het plegen van cyberspionage, tot grote verbazing van beveiligingsonderzoekers. Een update voor de kwetsbaarheid is namelijk al sinds april 2012 beschikbaar. Zodra een beveiligingsupdate beschikbaar is neemt de effectiviteit van een aanval af, omdat meer mensen gepatcht zijn en minder gebruikers de kwetsbare software draaien. De kans dat een computer na meer dan vier jaar nog steeds een kwetsbare versie van een bepaald product draait is dan ook verbazingwekkend, zegt onderzoeker Graham Chantry van Sophos. Het lek in kwestie wordt aangeduid met de code CVE-2012-0158 en is aanwezig in Microsoft Office 2003, 2007 en 2010. Op 10 april 2012 publiceerde Microsoft een beveiligingsupdate om het beveiligingslek te verhelpen. Toch zijn er nog altijd organisaties die de update niet hebben geïnstalleerd, wat blijkt uit het aantal aanvallen dat van dit specifieke lek gebruikmaakt. Van alle Word-aanvallen die in het vierde kwartaal van vorig jaar werden waargenomen had maar liefst 48% het op deze specifieke kwetsbaarheid voorzien. Chantry noemt het dan ook "het beveiligingslek dat niet wil sterven." Om de kwetsbaarheid te misbruiken hoeven aanvallers alleen een kwaadaardig Word-document met aanvalscode naar een doelwit sturen. Zodra het slachtoffer het document met een kwetsbare Word-versie opent, kan er malware op het systeem worden geïnstalleerd. Het beveiligingslek wordt vooral door cyberspionnen bij gerichte aanvallen ingezet. Hoewel cyberspionage vaak in verband wordt gebracht met zeer geavanceerde aanvallen en technieken blijkt de werkelijkheid een ander beeld te schetsen, namelijk het gebruik van jarenoude beveiligingslekken. Sinds Microsoft de update uitbracht zijn er twee nieuwe Office-versies verschenen wat mogelijk een oplossing voor het probleem kan worden. Doordat bedrijven wel nieuwe Office-versies installeren is het aantal kwetsbare computers namelijk aan het afnemen. "De meest waarschijnlijke slachtoffers zullen nu die met zeer slechte securityhygiëne zijn of die oudere, illegale software gebruiken", zegt Chantry. Uit cijfers zou blijken dat 15% van de computers in Europa en de Verenigde Staten nog steeds kwetsbaar is en minder dan 40% wereldwijd. In Rusland en Azië hebben aanvallers echter meer dan 50% kans. Het Word-lek zal voorlopig dan ook door aanvallers worden gebruikt, aldus Chantry in dit rapport (pdf). Of het Word-lek ook de toppositie onder cyberspionnen blijft behouden is de vraag. Twee Office-lekken die vorig jaar werden ontdekt beginnen namelijk steeds populairder te worden, ook al zijn de betreffende updates al maanden beschikbaar. bron: security.nl

Dropbox wil dat meer gebruikers hun account met twee factor-authenticatie beveiligen, aangezien het aantal gebruikers dat dit nu heeft gedaan te laag is, zo laat de cloudopslagdienst in een interview met Security.NL weten. We spraken met Mark Crosbie, Trust en Security Manager bij Dropbox. De afgelopen weken verschenen de databases van allerlei grote websites online die al in het verleden waren gehackt. Aanvallers kregen zo de beschikking over miljoenen wachtwoorden en e-mailadressen. Gebruikers die hetzelfde wachtwoord voor meerdere online diensten en websites gebruiken lopen het risico dat aanvallers met de gestolen gebruikersnamen en wachtwoorden ook bij andere diensten proberen in te loggen. De afgelopen periode probeerden aanvallers op deze manier gebruikers van Netflix, Amazon, TeamViewer, cloudback-updienst Carbonite en computerbeheerdienst GoToMyPC aan te vallen. Deze diensten besloten in sommige gevallen van alle gebruikers het wachtwoord te resetten. Ook Dropbox krijgt met dergelijke aanvallen te maken, zo stelt Crosbie. Om de impact van dergelijke aanvallen te verkleinen zoekt het beveiligingsteam van Dropbox proactief naar gelekte databases en lijsten met gestolen inloggegevens. Daarnaast wordt eraan de achterkant naar verdacht gedrag gekeken om bijvoorbeeld grootschalige aanvallen met gestolen inloggegevens te detecteren. In het geval Dropbox misbruik vermoedt wordt het account van de betreffende gebruikers proactief vergrendeld. “Gebruikers reageren hier heel positief op”, aldus Crosbie. Na het verschijnen van gestolen databases op internet is er volgens Crosbie wel een kleine piek in het aantal aanvallen zichtbaar waarbij wordt geprobeerd om met de gestolen inloggegevens op Dropbox-accounts in te loggen, maar valt de omvang mee. "De meeste criminelen weten dat dit gegevens van oudere datalekken zijn en zoeken daarom naar iets nieuws." Ruis Niet alleen gebruikers zijn de dupe van dergelijke grote datalekken, ook bedrijven kunnen er last van krijgen. Volgens Crosbie is het lastig om de echte datalekken van de “ruis” te onderscheiden. “We zien veel cybercriminelen die van andere cybercriminelen profiteren.” Zo worden gegevens van oudere datalekken als een nieuw datalek aangeboden. “Dat zorgt voor veel verwarring en mensen weten niet meer wat ze moeten geloven”, aldus Crosbie. Bedrijven kunnen hierdoor op den duur alle meldingen van datalekken negeren, ook de legitieme. Twee-factor authenticatie Om het lastiger voor aanvallers te maken ondersteunt Dropbox net als andere partijen twee-factor authenticatie. In dit geval moet er naast het wachtwoord met een aanvullende code, verkregen via sms of authenticator, worden ingelogd. "Net als andere grote internetbedrijven moedigen we gebruikers aan om twee-factor authenticatie te gebruiken", zegt Crosbie. Ondanks de extra beveiliging die twee factor-authenticatie biedt, hebben veel gebruikers dit niet ingeschakeld. Dropbox wil geen exact percentage vertellen, maar wel dat het om 'single digits' gaat, dus minder dan 10%. Ook stelt de opslagaanbieder dat dit te laag is. Uit een onderzoek onder gebruikers van Google dat vorig jaar werd gepresenteerd (pdf) bleek voor 6,4% van de Google-accounts twee-factor authenticatie was ingeschakeld. "Er is één ding dat ik aan al mijn vrienden en familie vraag: of ze alsjeblief twee-factor authenticatie voor al hun diensten willen instellen", laat Crosbie weten. Hij benadrukt dat het belangrijk is om tegen mensen te blijven zeggen dat ze dit moeten doen. "We werken in een wereld waar we het gebruik van twee-factor authenticatie aanmoedigen, maar we moeten ook beseffen dat veel mensen dit niet zullen doen. Elk beveiligingssysteem dat we intern ontwikkelen gaat dan ook alleen uit van gebruikers die deze extra stap niet willen doen. We moeten dus ook deze gebruikers kunnen beschermen." Wel is er volgens Crosbie een trend zichtbaar waarbij mensen na een groot datalek twee-factor authenticatie instellen. "Maar ongeacht of er een datalek heeft plaatsgevonden blijven we erop hameren dat mensen dit moeten inschakelen." bron: security.nl

Computerfabrikant Lenovo heeft een waarschuwing afgegeven voor een zero day-lek in het bios van ThinkPad-laptops waarvoor nog geen beveiligingsupdate beschikbaar is. Via de kwetsbaarheid kan een aanvaller die beheerderstoegang tot het systeem heeft de schrijfbeveiliging van het bios uitschakelen en zo het bios infecteren. Ook is het mogelijk om beveiligingsmaatregelen van het besturingssystemen uit te schakelen. Het gaat dan bijvoorbeeld om Secure Boot en Virtual Secure Mode van Windows 10. De onderzoeker die de kwetsbaarheid ontdekte maakte de details en aanvalscode bekend zonder eerst Lenovo te informeren. Daardoor is er nog geen beveiligingsupdate beschikbaar. Lenovo stelt dat het de kwetsbare bios-code niet zelf heeft ontwikkeld, maar dat die van een onafhankelijke bios-leverancier afkomstig is die nog niet is gevonden. Daardoor bestaat het risico dat het bios-lek ook in de systemen van andere computerfabrikanten aanwezig is. Iets wat Lenovo nu samen met Intel en andere verschillende bios-leveranciers aan het uitzoeken is. Op dit moment zou er ook met deze partijen worden samengewerkt om een beveiligingsupdate voor de kwetsbaarheid te ontwikkelen. Wanneer die precies verschijnt is nog onbekend. Bios staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Een beveiligingslek in het bios kan dan ook vergaande gevolgen hebben. bron: security.nl

Microsoft is begonnen met het uitrollen van een Windows-update onder gebruikers van Windows 7 en Windows 8.1 die alleen een fullscreen Windows 10-upgrademelding toont. De upgrademelding vraagt of gebruikers gratis naar Windows 10 willen upgraden, aangezien dit na 29 juli niet meer kan. Gebruikers hebben vervolgens vier opties, namelijk het direct upgraden, later nog een keer herinnerd te worden, nog drie keer herinnerd te worden of helemaal geen herinnering meer te ontvangen. De melding verschijnt niet op computers die niet met Windows 10 compatible zijn, waar Windows 10 weer is verwijderd, waar de Windows 10-installatie in het verleden is mislukt, waar gebruikers hebben ingeschakeld geen Windows 10-upgrademeldingen te willen ontvangen of die de Get Windows 10-app hebben geïnstalleerd. Uit cijfers van Net Applications en StatCounter blijkt dat Windows 10 in juni het marktaandeel met zo'n 2% zag groeien. Volgens Net Applications werkt inmiddels iets meer dan 19% van de internetgebruikers met Windows 10, terwijl StatCounter het op bijna 22% houdt. In Nederland heeft Windows 10 een aandeel van 34,1% en is daarmee het meestgebruikte besturingssysteem. Zelf liet Microsoft deze week weten dat de nieuwe Windowsversie op meer dan 350 miljoen apparaten draait. De softwaregigant heeft zichzelf als doel gesteld dat Windows 10 volgend jaar of het jaar daarna op 1 miljard apparaten is geïnstalleerd. bron: security.nl

Aanvallers hebben de Facebook-app Uiggy gehackt en zo de gegevens van 4,3 miljoen Facebookgebruikers gestolen. Van de gehackte accounts waren er 2,7 miljoen met een e-mailadres. Daarnaast maakten de aanvallers ook namen, geslacht en het Facebook-id van gebruikers buit. Uiggy is een app die gebruikers allerlei quizzes laat doen. Om van de app gebruik te maken moeten gebruikers met hun Facebookaccount inloggen. Hoe de gegevens zijn gestolen is onbekend. De Australische beveiligingsonderzoeker Troy Hunt maakt via Twitter melding van het datalek. Hunt beheert de zoekmachine HaveIBeenPwned waarmee internetgebruikers kunnen zoeken of hun gegevens bij grote datalekken zijn buitgemaakt. Inmiddels bevat de zoekmachine de gegevens van 113 gehackte websites en meer dan 1 miljard accounts, waaronder die van Uiggy. bron: security.nl

Beveiligingsbedrijf SecureWorks heeft internetgebruikers gewaarschuwd voor afgekorte links in e-mails, aangezien een beruchte groep cyberspionnen hiervan gebruikmaakt om Google-accounts te kapen. De e-mails bevatten een via Bitly afgekorte link die naar een phishingpagina wijst. Op deze pagina wordt gebruikers gevraagd om op hun Google-account in te loggen. Internetgebruikers zouden echter zelden de originele afgekorte link controleren en zo risico lopen dat hun gebruikersnaam en wachtwoord worden gestolen. Onderzoekers van SecureWorks analyseerden zo'n 4400 afgekorte links die naar 1881 Google-accounts waren gestuurd. Meer dan de helft van de links (59%) was geopend. Bitly laat namelijk zien hoe vaak een afgekorte link is geopend. Of het ook de ontvangers waren die de link openden en of ze vervolgens hun inloggegevens op de phishingpagina invoerden is onbekend. De meeste accounts waren het doelwit van meerdere phishingmails. 35% van de accounts die de phishinglink opende kreeg echter geen aanvullende phishingmails, wat volgens SecureWorks suggereert dat de aanvallers het account waarschijnlijk hadden overgenomen. De aanvallen die zijn waargenomen waren gericht tegen overheidspersoneel, journalisten, onderzoekers, politieke activisten en militair personeel in zowel Rusland als daarbuiten. Volgens SecureWorks is de spionagegroep, met de naam Pawn Storm, vooral een dreiging voor personen en organisaties in Rusland en voormalige Sovjetlanden. De groep is echter ook actief in West-Europa en de verenigde Staten. Het gaat dan voornamelijk om defensiebedrijven en overheidsorganisaties, personen die zich met de Amerikaanse politiek bezighouden, militair personeel, overheidslogistiek en personen en organisaties die negatief over Rusland zijn. Eerder werden ook de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, het CDU, Sanoma en de presidentscampagne van Hillary Clinton door de groep aangevallen. Adresbalk controleren SecureWorks stelt dat internetgebruikers zelden de volledige link in adresbalk controleren die via Bitly of een andere dienst is afgekort. Spionagegroepen kunnen op deze manier hun phishingsites effectief verbergen. Daarnaast bieden de url-afkorters ook statistieken, waardoor eenvoudig kan worden gezien welke phishingaanvallen werken en welke niet. De gekaapte Google-accounts kunnen allerlei waardevolle informatie opleveren, waarmee de aanvallers nieuwe aanvallen op de organisatie kunnen uitvoeren. Het beveiligingsbedrijf adviseert organisaties dan ook om het personeel over het risico van gerichte phishingaanvallen en afgekorte links voor te lichten en voorzichtig te zijn met afgekorte links in ongevraagde e-mails. bron: security.nl

Veel gebruikers van Windows 10 die in de toekomst een grote hardware-aanpassing willen doorvoeren, zoals de installatie van een nieuw moederbord en processor, zullen het besturingssysteem hierna alleen kunnen activeren als ze de huidige licentie aan hun Microsoft-account hebben gekoppeld. Dat laat Windowsvolger Ed Bott weten. Deze week kondigde Microsoft een nieuwe tool aan om problemen bij het activeren van Windows 10-installaties te verhelpen. Het gaat dan om gebruikers met een digitale licentie. Dit zijn voornamelijk mensen die de gratis Windows 10-upgrade op Windows 7 en Windows 8.1 hebben uitgevoerd. Om ervoor te zorgen dat deze gebruikers als legitieme gebruiker worden herkend maakt Windows 10 tijdens de upgrade een installatie-id aan, gebaseerd op de hardware in het systeem. Deze gebruikers kunnen Windows 10 op hun systeem zonder licentiecode opnieuw installeren en activeren, omdat het installatie-id door Microsoft wordt herkend. Het toevoegen van een videokaart of extra geheugen heeft geen invloed op het installatie-id. Dat is echter anders in het geval van een nieuw moederbord. In deze situatie is er een nieuwe licentie vereist, omdat Microsoft dit als het bouwen van een nieuwe computer beschouwt. Mocht het moederbord defect raken, dan is het wel toegestaan om Windows 10 zonder het aanschaffen van een nieuwe licentie te installeren en activeren. Om het aanpassen van hardware te vereenvoudigen heeft Microsoft de Activation Troubleshooter aangekondigd. Gebruikers van een digitale licentie kunnen hierdoor toch hun moederbord vervangen en daarna het nieuwe systeem activeren. Het is hiervoor wel vereist dat de huidige licentie eerst aan het Microsoft-account is gekoppeld. Vervolgens kan via het Microsoft-account de digitale licentie naar de nieuwe installatie worden overgedragen. Het koppelen van het installatie-id aan een Microsoft-accounts zal sommige gebruikers niet lekker liggen, omdat op deze manier de anonimiteit van het activeren wordt veranderd, aldus Bott. bron: security.nl

Onderzoekers hebben wederom beveiligingslekken in het Lenovo Solution Center gevonden, de software die standaard op systemen van de Chinese computerfabrikant wordt geïnstalleerd. Via de lekken kan een aanvaller die al toegang tot het systeem heeft, bijvoorbeeld via malware, zijn rechten verhogen. Vorige maand werd er ook al een soortgelijk probleem ontdekt en gepatcht en vorig jaar adviseerde Lenovo nog om de software vanwege verschillende gevonden kwetsbaarheden te verwijderen. Via de software kunnen gebruikers de gezondheid, status en veiligheid van het systeem monitoren. Vanwege het vorige maand gevonden beveiligingsproblemen kwam Lenovo met een update waarin de software grondig was aangepast. Toch wisten onderzoekers van beveiligingsbedrijf Trustwave weer twee 'rechtenlekken' te vinden. De kwetsbaarheden zijn aanwezig in versie 3.3.002. Gebruikers krijgen dan ook het advies om naar versie 3.3.003 te upgraden. Dit kan via het Lenovo Solution Center, de Lenovo Systeem Updatetool of de website van Lenovo. In alle gevallen zullen gebruikers de update zelf moeten initiëren, aangezien dit niet automatisch gebeurt. bron: security.nl