Captain Kirk

Er is een kwetsbaarheid in de Linux-bootloader Grub2 ontdekt waardoor een aanvaller met fysieke toegang tot een systeem zonder wachtwoord kan inloggen. Grub2 is de bootloader die de meeste Linuxsystemen gebruiken. Het nu ontdekte lek is aanwezig in versie 1.98 (uit 2009) tot versie 2.02 (2015). Een aanvaller die van de kwetsbaarheid gebruik weet te maken kan zonder geldige gebruikersnaam of wachtwoord inloggen, informatie stelen of een Denial of Service veroorzaken, aldus de advisory. Ook zou het voor een geavanceerde aanvaller met fysieke toegang mogelijk zijn om via de kwetsbaarheid het systeem met malware te infecteren. Het beveiligingslek werd ontdekt door Hector Marco en Ismael Ripoll van het Spaanse Cybersecurity Research Group van de Universiteit van Valencia. Gebruikers die willen controleren of ze kwetsbaar zijn moeten als Grub om de gebruikersnaam vraagt 28 keer backspace indrukken. Als de machine herstart of een 'rescue shell' laat zien is de gebruikte Grubversie kwetsbaar. Marco en Ripoll hebben een noodpatch gemaakt die het beveiligingslek verhelpt. Het Nationaal Cyber Security Center (NCSC) van de Nederlandse overheid meldt dat Fedora inmiddels updates voor Fedora 23 beschikbaar heeft gesteld. bron: security.nl

Een toolkit waarmee cybercriminelen kwaadaardige Word-documenten kunnen genereren is uitgebreid met een 'nieuwe' Word-aanval, wat een serieuze dreiging is voor bedrijven en organisaties die achterlopen met het installeren van beveiligingsupdates voor Microsoft Office. Microsoft Word Intruder (MWI) is een toolkit die malafide Word-documenten genereert die van kwetsbaarheden in Microsoft Office gebruikmaken. Het gaat om kwetsbaarheden uit 2010, 2012, 2013 en 2014 waarvoor beveiligingsupdates al jaren beschikbaar zijn. Toch zijn er bedrijven en organisaties die deze updates niet installeren. Het openen van een kwaadaardig document kan er daardoor voor zorgen dat een aanvaller malware op de computer kan plaatsen, om vervolgens allerlei informatie te stelen of andere computers in het netwerk aan te vallen. Om de kans op succes te vergroten heeft de ontwikkelaar van MWI een nieuwe exploit aan de toolkit toegevoegd. Het gaat om een kwetsbaarheid in Microsoft Office die in april van dit jaar werd gepatcht. Via het beveiligingslek kan een aanvaller, als het document op een ongepatchte computer wordt geopend, willekeurige code op de computer uitvoeren, zoals het installeren van malware. In september werden er al aanvallen waargenomen die van de kwetsbaarheid gebruikmaakten. Nu de exploit voor de kwetsbaarheid aan de MWI-toolkit is toegevoegd kunnen veel meer cybercriminelen over deze aanval beschikken. Volgens het Britse anti-virusbedrijf Sophos een serieus probleem, want zelfs de oude exploits in de toolkit hadden een succespercentage van tussen de 15% en 50%. "Dus met deze nieuwe exploit kunnen we bij malware-campagnes die van MWI gebruikmaken hogere infectiepercentages verwachten", zo stelt onderzoeker Gabor Szappanos. Bedrijven kunnen zich echter eenvoudig wapenen, namelijk het installeren van de betreffende patch. bron: security.nl

De makers van het populaire contentmanagementsysteem (CMS) Joomla hebben een noodpatch voor een zero day-lek uitgebracht dat de afgelopen dagen actief werd aangevallen. Via de kwetsbaarheid kunnen websites volledig worden overgenomen. Beveiligingsbedrijf Sucuri stelt dat het al op 12 december aanvallen heeft waargenomen, terwijl de update gisterenavond verscheen. Sinds gisteren zouden de aanvallen verder zijn toegenomen. "Dat houdt in dat waarschijnlijk elke Joomla-site is aangevallen", zegt Daniel Cid van Sucuri. Via de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren. De makers van Joomla werden op 13 december over het beveiligingslek ingelicht en kwamen een dag later op 14 december met een noodpatch. De kwetsbaarheid is aanwezig in Joomla-versies 1.5.0 tot en met 3.4.5. Gebruikers krijgen dan ook het advies om te upgraden naar versie 3.4.6. Ook voor Joomla 1.5 en 2.5, die end-of-life zijn en niet meer worden ondersteund, hebben de ontwikkelaars een hotfix uitgebracht. Volgens cijfers zou zo'n 3% van de websites op internet van Joomla gebruikmaken. bron: security.nl

TrueCrypt is de populairste encryptiesoftware onder Windowsgebruikers, zo claimt softwarebedrijf OPSWAT, dat software op 12.000 computers wereldwijd analyseerde. Voor het onderzoek werd Microsoft BitLocker bewust niet meegeteld. Deze encryptiesoftware is namelijk standaard aanwezig in bepaalde Windowsversies. Zou BitLocker wel worden meegeteld, dan zou dit het populairste versleutelprogramma zijn, met een marktaandeel van 82%. Zonder BitLocker is TrueCrypt het meestgebruikte programma, ook al wordt de software sinds vorig jaar niet meer ondersteund. TrueCrypt heeft een marktaandeel van 21%, gevolgd door oplossingen van AVG (14%), Bitdefender (13%), Sophos (10%) en Kaspersky (7%). De reden dat TrueCrypt zo populair blijft is volgens OPSWAT omdat het gratis is en BitLocker niet voor Windows Home-edities beschikbaar is. 63% van de 12.000 onderzochte computers draaide een Home-editie. bron: security.nl

Een driver voor Bluetooth-chips van fabrikant CSR, die ook door Lenovo wordt gebruikt, blijkt een rootcertificaat op computers te installeren. Een aanvaller die over de privésleutel van het rootcertificaat beschikt kan hierdoor in theorie HTTPS-verbindingen van gebruikers afluisteren. Dat meldt onderzoeker Hanno Bock. Het blijkt om een testcertificaat te gaan dat onbedoeld aan de driver is toegevoegd. Lenovo biedt op de eigen website een Bluetooth-driver met het betreffende certificaat aan. Bock stelt dat het incident weg heeft van het Superfish-debacle waar Lenovo eerder dit jaar mee te maken kreeg, alleen bevat het rootcertificaat dit keer geen privésleutels, waardoor de impact kleiner is. Toch is het toevoegen van het rootcertificaat een beveiligingsrisico, aldus de onderzoeker. CSR werd in augustus van dit jaar door Qualcomm overgenomen. Het bedrijf laat in een reactie weten dat bij de ontwikkeling van de driver een testcertificaat was gebruikt. Block denkt dat CSR aan hardwarefabrikanten zoals Lenovo een versie van de driver heeft gegeven die eigenlijk nog in ontwikkeling was, inclusief het testcertificaat. De onderzoeker merkt op dat het niet ongewoon is dat tijdens de ontwikkelfase er lokaal testcertificaten worden gebruikt, maar dat die in de uiteindelijke versie moeten worden verwijderd. Lenovo heeft vragen van Bock niet beantwoord. Ook wordt de driver in kwestie nog steeds aangeboden. bron: security.nl

Kun je bij de twee meldingen laten zoeken naar de laatste drivers?

Ik ben bang dat de laptop het begeven heeft. Je kunt nog wel proberen een reparatie uit te laten voeren maar dat zal waarschijnlijk resulteren in een complete nieuwe installatie van het besturingssysteem en daarbij de kosten van eventuele nieuwe onderdelen. Dan moet je wel bedenken dat je gaat sleutelen aan een oude laptop. Dus wat is dit je dan waard. Gezien de leeftijd van de laptop en de mogelijke reparatiekosten kun je misschien beter dit geld gaan steken in een nieuw apparaat.

Omdat het probleem is opgelost, sluit ik dit topic.

Heb je dit probleem altijd al met Windows 10 gehad? Het logo van HP komt vanuit het opstarten van de Bios. Daarna start Windows 10 pas. Het is wel zo dat het opstarten soms lang kan duren omdat er eerst diverse updates uitgevoerd kunnen worden. Wanneer Windows 10 is doorgestart zou ik eens kijken of al je drivers wel helemaal up-to-date zijn.

Beste Carni, Dat klinkt niet best en behoorlijk vervelend. Zie je helemaal geen reactie van de laptop wanneer je hem aanzet? Zie je een kleine flikkering van het beeldscherm, hoor je de fan draaien, wat dan ook?

Tijdens de laatste patchdinsdag van 2015 heeft Microsoft 12 beveiligingsupdates uitgebracht die 71 kwetsbaarheden verhelpen, waaronder twee actief aangevallen zero day-lekken. Door de 12 updates komt het totaal aantal updates dit jaar op 135 uit. In 2014 publiceerde Microsoft nog 85 Security Bulletins. De updates van deze maand zijn voor Windows, Internet Explorer, Microsoft Edge, Microsoft Office, .NET Framework, Skype for Business, Microsoft Lync en Silverlight. Acht van de Security Bulletins zijn als kritiek aangemerkt, wat inhoudt dat via de lekken die deze bulletins verhelpen een aanvaller zonder al teveel interactie van de gebruiker het systeem volledig kan overnemen. De twee zero day-lekken die actief werden aangevallen voordat Microsoft de update uitbracht bevinden zich in Microsoft Office en Windows. In het geval van Office was de kwetsbaarheid niet openbaar gemaakt voor het verschijnen van het Security Bulletin, terwijl dit bij het Windowslek wel het geval was. Het overzicht van alle verschenen Security Bulletins is op deze pagina te vinden. Updaten kan via de Automatische updatefunctie, wat op de meeste Windowscomputers staat ingeschakeld. bron: security.nl

Adobe heeft voor zover bekend de grootste beveiligingsupdate in de geschiedenis van Flash Player uitgebracht die in totaal 77 kwetsbaarheden verhelpt. Via 74 van de lekken kan een aanvaller de computer in het ergste geval volledig overnemen. Het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie is hiervoor voldoende. Er is geen verdere interactie vereist. De drie resterende kwetsbaarheden kunnen worden gebruikt om beveiligingsmaatregelen in Flash Player te omzeilen. 29 van de lekken werden ontdekt door Yuki Chen van het Qihoo 360 Vulcan Team, terwijl 20 kwetsbaarheden door Natalie Silvanovich van Google Project Zero werden gevonden. Gebruikers krijgen het advies om binnen 72 uur naar Flash Player versie 20.0.0.228 voor Internet Explorer, Chrome en Edge en versie 20.0.0.235 voor Firefox en Safari te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 10 en 11 op Windows 8 en 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. bron: security.nl

r is een nieuwe betaversie van Tor Messenger verschenen, het programma om beveiligd via het Tor-netwerk te chatten. De software ondersteunt verschillende transportnetwerken, zoals Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter, Yahoo en andere netwerken. Gebruikers kunnen zodoende met één programma via meerdere chatnetwerken communiceren. Daarnaast staat Off-the-Record (OTR) Messaging standaard ingeschakeld. Hierdoor zijn de berichten versleuteld en kunnen gebruikers controleren dat degene met wie ze chatten ook daadwerkelijk de persoon is die hij of zij beweert te zijn. Verder voegt OTR ook perfect forward secrecy toe en "deniability", zodat er kan worden ontkend dat de gebruiker een bepaald chatbericht heeft verstuurd. Zoals gezegd maakt Tor Messenger gebruik van bestaande netwerken, wat als voordeel heeft dat gebruikers met bestaande contacten en zonder al teveel aanpassingen kunnen blijven chatten. Dit houdt echter wel in dat metadata door de server van het chatnetwerk kan worden opgeslagen. De route naar de server is echter verborgen, aangezien die over het Tor-netwerk loopt. De nieuwste betaversie bevat verschillende stabiliteits- en gebruiksverbeteringen. Zo is een crash bij het starten van de Windowsversie opgelost. Gebruikers die willen upgraden moeten wel eerst hun OTR-sleutels opslaan of nieuwe genereren. Het Tor Project waarschuwt dat Tor Messenger zich nog in de betafase bevindt. Het is dan ook niet bedoeld voor gebruikers die risico lopen en hun privacy en veiligheid willen beschermen. bron: security.nl

Microsoft en Oracle waarschuwen gebruikers van Internet Explorer dat ze moeten opschieten met het updaten naar de meest recente versie van de browser, want Microsoft zal vanaf 12 januari 2016 stoppen met het ondersteunen van oude IE-versies. Gebruikers zullen dan geen beveiligingsupdates meer ontvangen. In het geval van Vista moet IE9 worden gebruikt, terwijl op Windows 7 en Windows 8.1 Internet Explorer 11 de enige ondersteunde versie is. Om organisaties op de naderende deadline te wijzen heeft Microsoft eind vorige maand een aparte pagina gelanceerd waarin wordt uitgelegd hoe er naar IE11 kan worden geüpgraded, alsmede wat de risico's van oude IE-versies zijn. Het is niet alleen Microsoft dat IE-gebruikers erop wijst dat ze moeten upgraden. Ook Oracle heeft een waarschuwing afgegeven. Het softwarebedrijf zal na 12 januari 2016 namelijk geen oudere IE-versies meer certificeren voor updates van Oracle E-Business Suite. Daarnaast zullen gebruikers van oudere IE-versies tegen problemen met de ondersteuning kunnen aanlopen. "De mogelijkheid van Oracle om hulp te verlenen zal mogelijk worden beperkt door een gebrek aan toegang tot desktops die oudere IE-versies draaien", aldus Oracle. Onlangs werd bekend dat nog miljoenen IE-gebruikers met een oude versie surfen. bron: security.nl

Computerfabrikant Lenovo heeft gebruikers geadviseerd om de eigen software te verwijderen wegens verschillende beveiligingslekken waarvoor nog geen update beschikbaar is. Het gaat om het Lenovo Solution Center, dat standaard op Lenovo-systemen met Windows 7, 8 en 10 wordt geïnstalleerd. Via de software kunnen gebruikers de gezondheid en veiligheid van het systeem monitoren. Drie kwetsbaarheden in de applicatie maken het mogelijk voor een aanvaller om op afstand willekeurige code met systeemrechten uit te voeren. Hiervoor moet de aanvaller de gebruiker wel een speciaal HTML-document laten openen, bijvoorbeeld door het versturen van een e-mailbijlage of het laten openen van een webpagina. Tevens moet het Solution Center zijn geladen. De kwetsbaarheid werd direct door een onderzoeker openbaar gemaakt, inclusief code om gebruikers aan te vallen. Lenovo heeft dan ook nog geen update ontwikkeld, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Volgens het CERT/CC is er dan ook nog geen praktische oplossing voor het probleem. Lenovo heeft inmiddels via de eigen website laten weten dat de kwetsbaarheid wordt onderzocht. In afwachting van een update geeft de computerfabrikant gebruikers het advies om de software te verwijderen, aangezien zo het probleem wordt verholpen. bron: security.nl

Internetgebruikers die hun software niet up-to-date houden lopen risico om door een nieuwe aanval twee keer slachtoffer te worden. Het gaat om een aanval via de bekende Angler-exploit. Deze exploitkit maakt gebruik van kwetsbaarheden in Flash Player en Internet Explorer die niet door gebruikers zijn gepatcht. Op gehackte websites plaatsen criminelen code die bezoekers ongemerkt naar de Angler-exploitkit doorsturen. Is de software niet up-to-date, dan worden er bij de nu waargenomen aanval verschillende soorten malware op de computer geïnstalleerd. Als eerste is het de Pony-malware, die allerlei gebruikersnamen en wachtwoorden van de computer steelt en doorstuurt naar de aanvallers. Er wordt vooral gezocht naar inloggegevens voor webservers en contentmanagementsystemen, zodat ook daar de kwaadaardige code die naar de Angler-exploit wijst kan worden geplaatst. In de tweede fase van de aanval wordt vervolgens de Cryptowall-ransomware op het systeem geïnstalleerd, die allerlei bestanden op de computer voor losgeld versleuteld. Volgens beveiligingsbedrijf Heimdal Security hebben de aanvallers achter de aanval al honderden websites gehackt en wordt de gebruikte malware door zeer weinig virusscanners gedetecteerd. bron: security.nl

Een spionagegroep die al sinds 2008 actief is heeft dit jaar de activiteiten bijna vertienvoudigd en meerdere zero day-exploits en geavanceerde usb-malware ingezet. Dat meldt anti-virusbedrijf Kaspersky Lab. De groep wordt onder andere 'Sofacy', 'Sednit', 'Pawn Storm', 'APT28' en 'Strontium' genoemd. De afgelopen maanden gebruikte de groep vijf zero day-exploits in Microsoft Office, Oracle Sun Java, Adobe Flash Player en Windows. Op het moment van de aanvallen waren er nog geen beveiligingsupdates beschikbaar. De groep heeft het vooral voorzien op defensiebedrijven die aan NAVO-landen leveren, maar ook overheidsinstellingen zijn regelmatig het doelwit geweest. Usb-malware Naast het gebruik van zero day-exploits werden ook de tools voor het stelen van gegevens verbeterd, waaronder de usb-malware waarmee offline computers worden aangevallen. Om gerichte aanvallen op netwerken te voorkomen is het gebruik van een 'air gap', een geïsoleerd netwerk waarbij de computers niet met internet zijn verbonden, een populaire verdedigingsmaatregel. De Sofacy-groep ontwikkelde usb-malware om dit te omzeilen. Op een al besmette computer wacht 'USB stealer', zoals de malware wordt genoemd, totdat er een usb-stick wordt aangesloten en plaatst daar vervolgens een Autorun-bestand op dat de malware op andere computers kan installeren. De aanval werkt echter alleen op computers waar Autorun staat ingeschakeld. Standaard staat Autorun voor usb-apparaten op Windows 7 en nieuwere Windowsversies uitgeschakeld. In 2009 publiceerde Microsoft een update die deze maatregel op Windows XP en Vista doorvoerde. De update werd begin 2011 automatisch onder Windowsgebruikers verspreid. Eerder liet anti-virusbedrijf ESET al weten dat het regelmatig voorkomt dat systemen die offline zijn, juist doordat ze niet op internet zijn aangesloten, belangrijke beveiligingsupdates missen. Maatregelen Het afgelopen jaar is de Sofacy-groep één van de meest actieve spionagegroepen geworden. Toch zijn organisaties niet machteloos, aldus Kaspersky Lab. "De beste verdediging tegen gerichte aanvallen is een meerlaagse aanpak", aldus de virusbestrijder. Zo wordt een combinatie van patchmanagement, anti-malware, whitelisting en intrusion detection aangeraden. Het anti-virusbedrijf wijst naar onderzoek van de Australische overheid, waaruit blijkt dat 85% van de aanvallen via vier eenvoudige maatregelen is te voorkomen. "Hoewel 100% bescherming onmogelijk is, komt het in praktijk erop neer dat je je verdediging zo moet versterken dat het te kostbaar voor de aanvaller wordt, die dan opgeeft en andere doelwitten gaat zoeken", aldus Kaspersky Lab. bron: security.nl

Het wil niet altijd zeggen dat oud en nieuw goed samen kunnen werken. Ook wil de volgorde van de oude en nieuwe bankjes wel eens verschil maken. Vaak staat in de handleiding van het moederbord (even zoeken op Google) wat de beste manier van plaatsen is.

Aangezien een server 24/7 draait is het ook aan te raden om ervoor te zorgen dat de behuizing voldoende ruimte voor koeling kan geven. Behuizingen voor een server hebben vaak extra sleuven waardoor de warme lucht afgevoerd kan worden. Ik heb ooit eens zelf een server van een oude pc gebouwd en inderdaad was het de warmte welke voor problemen ging zorgen. Een extra fan en creatief het de boormachine bood toen de oplossing.

Excuus voor de late reactie. Het was een beetje druk aan deze zijde. Ik zou zeggen, hou het gewoon even in de gaten.Wanneer het blijft, is soms het bijplaatsen van een extra fan of een vervangen voor een sterkere een mogelijke oplossing. Aangezien het nu goed gaat sluit ik, zoals gevraagd, dit topic. Komen de problemen terug dan ben je altijd hier van harte welkom.

Europol gebruikt al enkele jaren een grote sandbox om automatisch malware mee te detecteren en te analyseren en de informatie die dit oplevert met de lidstaten te delen. Het Europol Malware Analysis System (EMAS) ontvangt verdachte bestanden die door experts uit de lidstaten zijn geupload. Vervolgens wordt het bestand in een gecontroleerde sandbox-omgeving uitgevoerd en de werking van de malware in kaart gebracht. De analyse die EMAS oplevert kan vervolgens naar de Secure Information Exchange Network Application (SIENA) worden gestuurd, een tool voor het delen van informatie tussen Europol, lidstaten en derde partijen, zo laat een woordvoerder van Europol tegenover Vice Magazine weten. De resultaten van de analyse worden ook naar het Europol Analysis System (EAS), dat alle data opslaat, en het Computer Forensic Network (CFN) gestuurd. Het CFN filtert en verwerkt informatie uit grote hoeveelheden computergegevens, terwijl de geldigheid van de gegevens als bewijs of informatie bewaart blijft. Na de analyse kan EMAS het malware-exemplaar vergelijken met informatie in de eigen database, zoals domeinnamen en IP-adressen. Zo kunnen onderzoekers malware met andere exemplaren vergelijken die in de Europese Unie zijn gevonden. Op deze manier kan bijvoorbeeld worden vastgesteld dat malware die in Duitsland en Frankrijk is ontdekt van dezelfde cybercriminelen afkomstig is. EMAS is inmiddels bij verschillende grote onderzoeken van Europol ingezet. Daarnaast wordt er later dit jaar een tweede versie van het systeem gelanceerd. Tot nu toe heeft EMAS 186.000 bestanden geanalyseerd, waarvan er ruim 38.000 als kwaadaardig werden bestempeld. bron: security.nl

Een onderschat botnet dat al sinds 2006 bestaat is in werkelijkheid zeer succesvol en heeft de afgelopen 9 jaar meer dan 15 miljoen unieke slachtoffers gemaakt. Dat meldt het recent overgenomen beveiligingsbedrijf Fox-IT. Het gaat om het botnet genaamd Ponmocup, dat in 2006 nog als Vundo of Virtumonde bekend stond. Volgens de onderzoekers is het één van de succesvolste botnets van de afgelopen jaren. Op het hoogtepunt in juli 2011 bestond het botnet uit 2,4 miljoen computers. Sindsdien is Ponmocup in omvang afgenomen, maar is nog altijd zo'n 500.000 machines sterk. Ondanks het succes zijn de botnetbeheerders erin geslaagd om onder de radar te blijven en het botnet niet op te laten vallen. Zo heeft het botnet weinig aandacht van beveiligingsonderzoekers en bedrijven gekregen en wordt het vaak als een laag risico aangeduid. DetectieHet succes van Ponmocup is volgens de onderzoekers door verschillende zaken te verklaren. Zo is het lastig voor traditionele virusscanners om te herkennen, omdat het per besmette computer een unieke encryptie gebruikt en de kernonderdelen per geïnfecteerd systeem op een unieke locatie bewaart. Verder gebruikt de malware ook eenmalig domeinen voor de installatie, waardoor ze niet zijn te gebruiken om infecties binnen organisaties te herkennen. Het botnet ondersteunt ook de diefstal van inloggegevens voor FTP-servers en Facebook, waarmee de malware verder kan worden verspreid, zo stellen de onderzoekers. Sinds 2009 zouden meer dan 5.000 websites via gestolen FTP-wachtwoorden zijn gehackt en gebruikt voor het verspreiden van de malware. Voor de verspreiding van Ponmocup werden eerst malafide Adobe Flash Player-updates en video-codecs gebruikt. Na een grootschalige operatie om het botnet in 2011 uit te schakelen besloten de beheerders zip-bestanden, JAR-bestanden en Java-applets te gebruiken. In tegenstelling tot veel andere botnets gebruikt Ponmocup geen exploits om internetgebruikers automatisch te infecteren. Het is dan ook via het slim gebruik van social engineering dat de malware zich weet te verspreiden, zo waarschuwen de onderzoekers. DoelHet doel van het botnet is waarschijnlijk financieel gewin. Zo bevat de malware een plug-in voor het plegen van advertentiefraude, kan het Bitcoin-wallets stelen en zoekt het naar financiële websites die gevoelige informatie bevatten. Het is echter lastig om het bedrag te bepalen dat Ponmocup de beheerders heeft opgeleverd, maar waarschijnlijk gaat het om vele miljoenen. Het onderzoek van Fox-IT (pdf) werd vandaag tijdens de Botconf 2015 conferentie in Parijs gepresenteerd. bron: security.nl

Er is een nieuwe versie van Google Chrome verschenen waarin 41 lekken zijn gedicht, waaronder een kritieke kwetsbaarheid waardoor een aanvaller willekeurige code op de computer kon uitvoeren met de rechten van de ingelogde gebruiker. Het bezoeken van een kwaadaardige of gehackte website was hiervoor voldoende. Dit soort kritieke kwetsbaarheden komen weinig in Google Chrome voor. Vorig jaar werden er slechts drie van dit soort lekken in Chrome gerapporteerd. In 2015 gaat het tot nu toe om twee kritieke kwetsbaarheden. Het vorige kritieke lek dateert van april. Verder is ook een groot aantal kwetsbaarheden verholpen die als "high" geclassificeerd zijn. In dit geval kan een kwaadaardige website vertrouwelijke data van andere websites lezen of aanpassen. Google betaalde een anonieme onderzoeker voor het melden van de kritieke kwetsbaarheid 10.000 dollar. In totaal keerde Google aan alle externe onderzoekers wegens het melden van de beveiligingsfouten ruim 105.000 dollar uit. Updaten naar Chrome 47.0.2526.73 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Miljoenen gebruikers van Internet Explorer hebben nog slechts enkele weken de tijd om naar een modernere versie van de browser te upgraden, want vanaf 12 januari 2016 ondersteunt Microsoft namelijk nog maar één versie van de browser per Windowsversie. In het geval van Vista moet dan IE9 worden gebruikt. Gebruikers van Windows 7 en Windows 8.1 die nog beveiligingsupdates voor Internet Explorer willen ontvangen moeten op IE11 overstappen. Volgens onderzoeksbureau Net Applications heeft IE een marktaandeel van 50%. Wordt er specifiek naar het aandeel van de verschillende IE-versies gekeken, dan gebruikt 24,8% IE11. Internet Explorer 6, 7, 8, 9 en 10 hebben bij elkaar een aandeel van 22,4%, terwijl 2,8% van de internetgebruikers via Microsoft Edge Surft. Microsoft stelt dat er 1,5 miljard Windowscomputers zijn. Het is echter lastig om de bovenstaande percentages op dit getal los te laten, omdat er ook Windows XP-computers tussen zitten die allang niet meer worden ondersteund en IE9 op Vista nog wel updates zal ontvangen. Daarnaast stelt marktvorser StatCounter dat het aandeel van IE veel kleiner is dan Net Applications beweert, namelijk 16,8%. IE11 heeft hierbij een aandeel van 11,3%, wat inhoudt dat mogelijk 5,5% van de IE-gebruikers straks geen ondersteuning meer krijgt. Hoewel een exact getal onmogelijk is te geven gaat het zowel in de cijfers van StatCounter als Net Applications om vele miljoenen IE-gebruikers. VoordelenDe maatregel om oude IE-versies niet meer te ondersteunen heeft volgens Microsoft voor zowel gebruikers als ontwikkelaars voordelen. Oudere IE-versies ondersteunen niet altijd nieuwe webstandaarden, wat lastig is bij het ontwikkelen van nieuwe websites en web-apps. Voor bedrijven die van Internet Explorer afhankelijk zijn en op Windows 10 zijn overgestapt biedt Microsoft Internet Explorer 11 met Enterprise Mode. Microsoft Edge is de standaardbrowser in Windows 10, maar veel bedrijven werken met applicaties en technologieën die specifiek voor IE zijn ontwikkeld. Deze bedrijven kunnen in Windows 10 ervoor kiezen om het personeel standaard met Edge te laten surfen, maar dat intranet-sites of legacy bedrijfssites alleen in IE11 worden geopend. bron: security.nl

Onderzoekers hebben een aanval op mediabedrijven in Hongkong ontdekt waarbij er malware is gebruikt die besmette computers via Dropbox bestuurt. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye. Volgens de IT-beveiliger is er sprake van een trend waarbij aanvallers hun malafide activiteiten in het verkeer van legitieme webdiensten verbergen, om zo detectie te voorkomen. De nu waargenomen aanval begon met een spear phishingmail die een Word-document bevat. Het Word-document maakt gebruik van een bekend beveiligingslek in Microsoft Word dat op 10 april 2012 werd gepatcht. Deze specifieke kwetsbaarheid wordt al jaren gebruikt om organisaties en bedrijven aan te vallen. In het geval beheerders de afgelopen 3,5 jaar geen beveiligingsupdates voor hun Office-software hebben geïnstalleerd en het document wordt geopend, raakt de computer met de Lowball-malware besmet. Deze malware gebruikt Dropbox als een command & control-server. Via de programmeerinterface van Dropbox kan de malware bestanden uploaden, download en bestanden uitvoeren. De communicatie loopt via HTTPS over poort 443. Als de computer interessant genoeg is wordt er aanvullende malware geïnstalleerd. Volgens FireEye wilden de aanvallers de mediabedrijven waarschijnlijk monitoren vanwege de politieke en economische crisis in Hongkong. De IT-beveiliger onderzocht de malware samen met Dropbox en ontdekte een tweede operatie die ook van de cloudopslagdienst gebruikmaakte. Mogelijk zijn bij deze operatie 50 doelwitten aangevallen, maar wie het zijn kon niet worden vastgesteld. bron: security.nl