Captain Kirk

Een beveiligingslek in PowerPoint dat vorig jaar door Microsoft werd gepatcht wordt nu actief gebruikt voor het infecteren van activisten in Tibet en Hong Kong met malware. De aanvallen zijn onderdeel van een grotere campagne die al jaren plaatsvindt. Opvallend is echter het gebruik van het PowerPoint-lek. Voorheen gebruikten de aanvallers kwetsbaarheden in Microsoft Office die in respectievelijk 2010 en 2012 door Microsoft werden gepatcht. Het gebruik van het PowerPoint-lek zou voor het eerst in twee jaar een trendbreuk zijn. Voor de verspreiding van de PowerPoint-bestanden worden zowel e-mailbijlagen als links naar Google Drive gebruikt. Om activisten voor het risico van e-mailbijlagen te waarschuwen werd de campagne "Detach from Attachments" gestart. Er wordt juist geadviseerd om cloudopslag te gebruiken voor het uitwisselen van bestanden, zoals Google Drive. Het feit dat de aanvallers nu ook Google Drive gebruiken is volgens de onderzoekers mogelijk een aanwijzing dat de aanvallers zich hierop aanpassen. Als gebruikers de PowerPoint-update van Microsoft niet hebben geïnstalleerd en de presentatie openen kunnen ze met een remote access Trojan (RAT) besmet raken. De malware zou door maar weinig virusscanners worden herkend. In totaal zagen de onderzoekers van het Canadese CitizenLab vijf verschillende campagnes waarbij het PowerPoint-lek werd ingezet. Om gebruikers niets te laten vermoeden krijgen ze een echte presentatie te zien, terwijl in de achtergrond de malware wordt geïnstalleerd. "De hergebruikte content, lage detectie door virusscanners en dat gebruikers niet weten dat deze bestanden kwaadaardig zijn, zorgen ervoor dat deze aanvallen zorgwekkend zijn", aldus de onderzoekers. bron: security.nl

Een bug in de manier waarop Google Chrome, Mozilla Firefox en Apple Safari met de favicons van websites omgaan zorgt ervoor dat ze uiteindelijk kunnen crashen. Het probleem werd bij toeval ontdekt door security-analist Andrea De Pasquale. Hij had een favicon van 64MB groot gedownload dat een volledige back-up van een WordPress-website bleek te zijn. Programmeur Benjamin Gruenbaum werkte het probleem verder uit tot een demonstratie op GitHub, die browsers zonder dat gebruikers dit doorhebben een grote favicon laat downloaden. Voor zijn eigen demonstratie creëerde Gruenbaum een favicon van bijna 10GB die uiteindelijk voor een crash op zijn Macbook zorgde, zo laat hij op Hacker News weten. De onopgemerkte downloads zouden vooral een probleem kunnen zijn voor mobiele gebruikers met een datalimiet. Gruenbaum waarschuwde vervolgens Mozilla en Google voor het probleem. De ontwikkelaars van Firefox kwamen in drie uur met een oplossing, die in de nieuwste versie van de browser aanwezig zal zijn. Het probleem speelt niet bij Internet Explorer. bron: security.nl

Er is een belangrijke beveiligingsupdate voor het populaire contentmanagementsysteem (CMS) Drupal verschenen die meerdere lekken verhelpt, waaronder een kwetsbaarheid waarmee aanvallers websites volledig kunnen overnemen. Het lek bevindt zich in de OpenID-module en maakt het mogelijk voor een aanvaller om als elke willekeurige gebruiker in te loggen, waaronder de beheerder, en hun account te kapen. Via de overige kwetsbaarheden was het mogelijk om bepaalde informatie te achterhalen en gebruikers via een "open redirect" naar een derde website door te sturen. Dit zou bijvoorbeeld voor een social engineering-aanval kunnen worden gebruikt. Beheerders krijgen het advies om naar Drupal 6.36 of Drupal 7.38 te upgraden. bron: security.nl

Mozilla heeft het Electrolysis-project voor Firefox, wat de veiligheid en de prestaties van de browser moet verbeteren, nieuw leven ingeblazen. Electrolysis, afgekort e10s, heeft als doel om de gebruikersinterface van de browser in een gescheiden proces van de webcontent uit te laten voeren. Op dit moment draait de desktopversie van Firefox in een enkel besturingssysteemproces. Zo draait de JavaScript die de gebruikersinterface uitvoert, ook bekend als "chrome code", in hetzelfde proces als de code op websites (de web content). Toekomstige Firefox-versies zullen dit scheiden, wat moet leiden tot "multiprocess Firefox". In de eerste versie van deze architectuur zullen alle browsertabs in hetzelfde proces draaien en de gebruikersinterface in een ander proces. Het uiteindelijke doel is om de browser meerdere contentprocessen te laten hebben. Naast veiligheid en prestaties zou dit ook de stabiliteit moeten verbeteren. Electrolysis staat al jaren in de planning, maar is nooit in de uiteindelijke versie van de browser verschenen. Alleen in een Nightly-versie voor testers werd de functie ingeschakeld, maar is uit de recente Nightly-versies weer verwijderd. Firefox loopt zo achter op andere browsers die al wel meerdere processen ondersteunen. Nu lijkt Mozilla na lange tijd het project toch weer op te pakken, waarbij Firefox 42 als mogelijke kandidaat wordt genoemd om de maatregel in door te voeren. Deze versie zou begin november moeten verschijnen. Daarnaast is e10s inmiddels ook in de Developer Editie van Firefox geactiveerd. bron: security.nl

De beveiligingssoftware van Microsoft beschouwt oude versies van de Ask Toolbar, die onder andere bij de installatie van Java wordt meegeleverd, voortaan als ongewenste software. Eind vorig jaar kondigde de softwaregigant aan dat het maatregelen zou nemen tegen toolbars en andere programma's die browserinstellingen ongevraagd aanpassen. Toolbars zijn voor veel gebruikers een grote bron van ergernis. Ook komt het veel voor dat de standaard zoekmachine van gebruikers wordt aangepast en het zeer lastig is om de oorspronkelijke zoekmachine weer terug te zetten. Eind mei liet Microsoft daarop weten dat het ook deze software ging aanpassen. De nieuwe maatregelen zouden op 1 juni ingaan en het lijkt dat de softwaregigant zijn belofte heeft gehouden. Oude versies van de Ask Toolbar, gezien het grote aantal topics over het verwijderen ervan voor veel gebruikers een ware plaag, is nu als ongewenste software bestempeld. Dat laat een gebruiker op Slashdot weten, die daarbij naar een artikel in de malware-encyclopedie van Microsoft wijst. Volgens de omschrijving beschouwt Microsoft de Ask Toolbar als een "high threat" die via Windows Defender, Microsoft Security Essentials en Microsoft Safety Scanner verwijderd kan worden. Sinds de melding op Slashdot werd het nieuws door andere media overgenomen, wat weer voor een reactie van Ask en Microsoft lijkt te hebben gezorgd. Er is namelijk een update in de encyclopedie geplaatst, waarin nu wordt gemeld dat de meest recente versie van de Ask Toolbar niet als ongewenste software wordt beschouwd. bron: security.nl

De makers van OpenSSL hebben een beveiligingsupdate uitgebracht die verschillende kwetsbaarheden verhelpt en bescherming tegen de Logjam-aanval toevoegt. Via Logjam kan een aanvaller, die zich tussen het slachtoffer en het internet bevindt, kwetsbare TLS-verbindingen naar een 512-bit encryptie downgraden. Hierdoor kan een aanvaller alle data over de versleutelde verbinding ontcijferen en zo lezen en aanpassen. Om TLS-clients tegen Logjam-aanvallen te beschermen zal OpenSSL nu handshakes weigeren die korter dan 768 bits zijn. In de toekomst zal dit verder worden verhoogd naar 1024-bits. Verder zijn zes kwetsbaarheden in OpenSSL verholpen waardoor een aanvaller onder andere geheugencorruptie en Denial of Service-aanvallen kon veroorzaken. Gebruikers krijgen het advies om naar versie 1.0.2b, 1.0.1n, 1.0.0s of 0.9.8zg te upgraden, afhankelijk van welke versie erop het systeem is geïnstalleerd. De Logjam-bescerming is alleen aan versies 1.0.2b en 1.0.1n toegevoegd. bron: security.nl

Malware die zich alleen in het Windows Register verbergt om zo detectie en verwijdering te voorkomen heeft de afgelopen maanden bijna 200.000 computers geïnfecteerd. Het gaat om de Poweliks-malware, die besmette computers voor clickfraude gebruikt en zelfs een zero day-lek in Windows toepaste om een computer volledig te kunnen overnemen. Eenmaal actief zal Poweliks eerst controleren of Windows PowerShell aanwezig is. Dit is een scripttaal waarmee systeembeheerders allerlei taken kunnen automatiseren. Het is standaard in Windows 7 aanwezig en kan ook op andere Windows-versies worden geïnstalleerd. In het geval PowerShell niet aanwezig is wordt het gedownload en geïnstalleerd. PowerShell zal later worden gebruikt om een gecodeerd scriptbestand uit te voeren. Dit scriptbestand bevat de malware en maakt het mogelijk om aanvullende malware te downloaden en installeren. Vervolgens wordt er een sleutel in het Windows Register aangemaakt zodat de malware ook bij een volgende herstart van het systeem wordt geladen. Door het niet gebruiken van een bestand, zoals de meeste malware doet, maar zich volledig in het Windows Register te verbergen zou Poweliks lastiger te detecteren en te verwijderen zijn. RansomwareDe malware heeft als doel om clickfraude te plegen, waarbij er via een verborgen browservenster allerlei pagina's worden bezocht die advertenties bevatten. De criminelen worden voor elke getoonde advertentie betaald. Een probleem voor slachtoffers van Poweliks is dat de getoonde advertenties zelf ook kwaadaardig kunnen zijn. Een met Poweliks besmette computer kan daardoor ook met allerlei andere dreigingen geïnfecteerd raken, waaronder ransomware. Volgens anti-virusbedrijf Symantec, dat een rapport (pdf) over de malware publiceerde, zijn er veel gevallen bekend waarbij er via de getoonde advertenties ransomware werd gedownload. Opvallend is dat de malware vooral in de Verenigde Staten actief is. Van de 198.500 besmette computers bleek dat 99,5% zich in de VS bevond. Toch wil dat niet zeggen dat gebruikers in andere landen geen risico lopen. De virusbestrijder stelt dat Poweliks laat zien wat toekomstige dreigingen kunnen doen, waarbij cybercriminelen nog vastbeslotener zijn om geld via hun creaties te verdienen.bron: curity.nl'>security.nl

Microsoft heeft nieuwe technologie aan Windows 10 toegevoegd waardoor apps de op het systeem aanwezige virusscanner kunnen gebruiken om gebruikers tegen malware te beschermen. Het gaat daarbij om elke willekeurige beveiligingsoplossing en niet die alleen van Microsoft. Volgens Microsoft kunnen applicatieontwikkelaars zo op een nieuwe manier helpen met het beschermen van gebruikers tegen dynamische script-gebaseerde malware en bijzondere aanvalsvectoren. De oplossing die Microsoft hiervoor heeft bedacht is de Antimalware Scan Interface (AMSI). Dit is een interfacestandaard waarmee applicaties en diensten met elk geïnstalleerd beveiligingsprogramma kunnen integreren. Het is vooral bedoeld voor lastig te detecteren script-malware. Toch kijkt Microsoft verder dan alleen "scripting engines", zoals PowerShell, die de virusscanner vragen om bepaalde code te controleren. Er wordt ook gedacht aan communicatie-apps die berichten op malware inspecteren voordat ze aan de gebruiker worden getoond of games die plug-ins voor de installatie controleren. Het zal op zo'n manier gebeuren dat gebruikers er niets voor hoeven te doen. Op deze manier kan malware die zich probeert te verbergen en van de in Windows ingebouwde scripting hosts gebruik maakt op een veel dieper niveau worden geïnspecteerd, wat extra bescherming moet opleveren. bron: security.nl

Microsoft heeft deze week een update uitgebracht voor de in Windows 8.1 ingebouwde VPN-client van Juniper en adviseert alle gebruikers de patch te installeren, ook als ze de software niet gebruiken. Windows 8.1 en RT 8.1 beschikken over de Juniper Networks Windows In-Box Junos Pulse Client. Via de software kan er een VPN-verbinding worden opgezet. Een VPN laat gebruikers op een beveiligde manier verbinding met computers of netwerken maken. In de client van Juniper zijn verschillende kwetsbaarheden ontdekt, waardoor een aanvaller verschillende aanvallen kan uitvoeren, waaronder de Freak-aanval. Een aanvaller kan de verbinding in dit geval naar een zwakke encryptie downgraden. Vervolgens kan deze encryptie worden aangevallen en de inhoud van het beveiligde verkeer worden bekeken. Om de aanval uit te voeren zou een aanvaller het slachtoffer verbinding met een speciaal geprepareerde VPN-server moeten laten maken, aldus Microsoft. De softwaregigant publiceerde de advisory voor de kwetsbaarheid op 5 mei. Op 9 juni verscheen de update voor de gevonden kwetsbaarheden. Daarbij krijgen nu alle Windows 8.1-gebruikers het advies die te installeren, ook als ze de software niet gebruiken, aangezien het een standaardonderdeel van het besturingssysteem is. bron: security.nl

Internet Explorer 11 op Windows 7 en 8.1 zijn van een beveiligingsmaatregel voorzien die volgens Microsoft gebruikers tegen verschillende soorten man-in-the-middle-aanvallen moet beschermen. Het gaat om HTTP Strict Transport Security (HSTS), dat ook in Windows 10 aanwezig zal zijn. HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. Zodoende wordt er geen informatie over het onbeveiligde HTTP verstuurd. Volgens Microsoft moet dit gebruikers tegen man-in-the-middle-aanvallen beschermen waarbij TLS uit de communicatie met een server wordt verwijderd, waardoor de gebruiker kwetsbaar is. UpdateMet de IE-update van deze maand (KB 3058515) beschikt IE11 nu ook over HSTS. Het is vervolgens aan websites om HSTS te implementeren. Iets dat ontwikkelaars kunnen doen door zich in te schrijven voor een "HSTS preloadlijst" die Microsoft Edge, Internet Explorer en andere browsers gebruiken, om zo het HTTP-verkeer naar HTTPS door te sturen. De lijst die Microsoft gebruikt is op de lijst van Chromium gebaseerd. Websites die niet op deze lijst staan kunnen HSTS via de Strict-Transport-Security HTTP header inschakelen. Na een eerdere HTTPS-verbinding van de browser die de HSTS-header bevat, zullen alle volgende HTTP-verbindingen via HTTPS lopen. Microsoft merkt op dat gemengde content niet wordt ondersteund op servers die HSTS ondersteunen. Gemengde content, waarbij er bijvoorbeeld afbeeldingen en advertenties via HTTP op een HTTPS-site worden geladen, zullen altijd worden geblokkeerd. De gebruiker krijgt vervolgens via de informatiebalk een melding of hij de gemengede content wil laden. bron: security.nl

Tijdens de patchdinsdag van juni heeft Microsoft acht updates uitgebracht die in totaal 45 beveiligingslekken verhelpen, waaronder kritieke kwetsbaarheden in Internet Explorer en Windows Media Player. Via deze lekken zou een aanvaller in het ergste geval het onderliggende systeem volledig kunnen overnemen. De update voor IE repareert in totaal 24 beveiligingslekken. Alleen het bezoeken van een kwaadaardige of gehackte pagina zou voldoende zijn geweest om een aanvaller willekeurige code op de computer uit te laten voeren. Microsoft verwacht dat cybercriminelen binnen 30 dagen exploits hebben ontwikkeld die van deze kwetsbaarheden gebruik zullen maken om computers met malware te infecteren. Ook in het geval van Windows Media Player kan een aanvaller de computer op afstand volledig overnemen als er kwaadaardige content in de mediaspeler wordt geopend. De impact van een aanval kan worden beperkt, afhankelijk van de rechten waarmee de gebruiker is ingelogd. Ondanks de ernst van het lek verwacht Microsoft niet dat cybercriminelen er op korte termijn gebruik van zullen maken. De overige zes beveiligingsupdates die Microsoft uitbracht zijn als "Belangrijk" bestempeld en verhelpen kwetsbaarheden in de Windows-kernel, Exchange Server, Active Directory Federation Services, Windows Kernel-Mode Drivers, Microsoft Common Controls en Office. Via de lekken zou een aanvaller zijn rechten kunnen verhogen of willekeurige code kunnen uitvoeren. In tegenstelling tot de lekken in IE en Media Player zou hier meer interactie van de gebruiker voor vereist zijn, waardoor Microsoft de impact niet als kritiek maar als belangrijk beoordeelt. Alle updates zijn via Windows Update te downloaden. bron: security.nl

Om te voorkomen dat aanvallers de integriteit van gedownloade bestanden kunnen aanpassen zonder dat gebruikers dit doorhebben heeft netwerkgigant Cisco besloten om alle images die gebruikers kunnen downloaden een SHA-512-checksum mee te geven in plaats van het veelgebruikte MD5. Via een algoritme als SHA-512 of MD5 kan er een checksum van een bestand worden gegenereerd. De checksum maakt het vervolgens mogelijk om de integriteit van een download te controleren. Als de checksum op de website overeenkomt met de checksum van het bestand die de gebruiker zelf heeft berekend, kan hij ervan uitgaan dat de inhoud niet is aangepast. Het probleem is dat er kwetsbaarheden in MD5 zijn aangetroffen waardoor een aanvaller een bestand zou kunnen aanpassen zonder dat de checksum verandert. Het Flame-virus maakte hier een aantal jaren geleden gebruik van. SHA-512 is volgens Cisco dan ook een veiliger alternatief. Hoe de checksum van een bestand kan worden berekend legt Cisco in dit artikel uit, waarbij van de shasum-tool gebruik wordt gemaakt. bron: security.nl

Om gebruikers te beschermen gaat Facebook apps en websites die certificaten gebruiken die met het SHA-1-algoritme zijn gesigneerd om verbinding met de sociale netwerksite te maken later dit jaar afsluiten. Hashfuncties zoals SHA-1 worden door de browser gebruikt om een unieke fingerprint van data of een bericht te maken. Deze fingerprint wordt vervolgens digitaal gesigneerd, om zo te kunnen bewijzen dat een bericht onderweg naar de bestemming niet is aangepast. Er zijn echter kwetsbaarheden in SHA-1 aangetroffen waardoor het mogelijk is om berichten aan te passen zonder dat de fingerprint verandert. Browserontwikkelaars zijn daarom van plan om de ondersteuning van SHA-1 uit te faseren. Recentelijk publiceerde het Certificate Authority en Browser Forum nog nieuwe richtlijnen voor SSL waarin staat dat alle certificaatautoriteiten geen op SHA-1 gebaseerde digitale handtekeningen meer moeten gebruiken, met als deadline 1 januari 2016. Facebook is van plan om vanaf 1 oktober 2015 geen SHA-1-gebaseerde verbindingen meer te accepteren. Apps en websites die verbinding met Facebook maken moeten dan het veiligere SHA-2 ondersteunen. App-ontwikkelaars krijgen dan ook advies om te controleren of hun app van SHA-1-gebaseerde certificaatverificatie gebruik maakt. Als dit niet wordt aangepast kunnen Facebookgebruikers na 1 oktober namelijk tegen problemen aanlopen. bron: security.nl

Beveiligingsonderzoekers hebben in 22 populaire routers meer dan 60 kwetsbaarheden ontdekt waardoor aanvallers allerlei soorten aanvallen kunnen uitvoeren. Het gaat om aanvallen als cross-site scripting, het omzeilen van de authenticatie, het verhogen van rechten en UPnP-gerelateerde lekken. Via de aanvallen kunnen er kwaadaardige scripts op de router worden uitgevoerd, is het mogelijk om DNS-servers aan te passen, kan een gebruiker beheerdersrechten krijgen, zijn bepaalde poorten te openen, kunnen wachtwoorden worden gewijzigd, is het injecteren van kwaadaardige code en het achterhalen van inloggegevens mogelijk. De onderzoekers stellen dat de fabrikanten, waaronder D-Link, Zyxel, Netgear, Belkin en Huawei, inmiddels zijn ingelicht, maar voor zover bekend zijn er nog geen updates beschikbaar. bron: security.nl

In de eerste maanden van dit jaar zijn besmette advertenties gebruikt om miljoenen consumenten op het web aan te vallen, zo stelt anti-virusbedrijf Malwarebytes. Het gaat om advertenties die gebruik van drie zero day-lekken in Adobe Flash Player maakten. De advertenties verschenen op populaire websites zoals The Huffington Post, Answers.com en videosite Daily Motion, die miljoenen bezoekers per maand krijgen. Volgens Malwarebytes wordt het kwaadaardig gebruik van advertenties geholpen door het real-time bieden op advertentieruimte. Hiermee kunnen adverteerders in real-time op specifieke doelwitten bieden en voorkomen dat de besmette advertenties aan niet interessante doelen worden getoond. Uit een analyse van één aanvalscampagne blijkt dat voor 1.000 besmette advertentie-impressies op grote websites op drukke momenten 0,68 eurocent werd betaald. Op rustigere moment daalde dit naar 0,06 eurocent. bron: security.nl

De afgelopen dagen kwam downloadsite SourceForge in het nieuws omdat het sommige verlaten softwareprojecten die via de website werden aangeboden overnam en vervolgens het installatieprogramma van adware voorzag. Vanwege alle commotie besloot SourceForge deze praktijk te stoppen en stelde dat het geen adware meer bij deze verlaten projecten zou bundelen. Daarnaast zou het bundelen alleen nog plaatsvinden bij actieve projecten waarvan de ontwikkelaars toestemming hadden gegeven. Die belofte is nu al geschonden, zegt Nmap-ontwikkelaar Gordon Lyon. Nmap is een zeer populaire tool voor het scannen van netwerken. Op de Nmap Development mailinglist laat Lyon vandaag weten dat SourceForge zijn account op de downloadsite heeft gekaapt. De oude Nmap-pagina is nu leeg en alle content is nu naar een andere pagina overgeheveld waar alleen SourceForge de controle over heeft. "Vooralsnog bieden ze alleen de officiële Nmap-bestanden aan (zolang je niet op de nep-downloadknoppen klikt) en hebben we ze nog niet betrapt op het trojaniseren van Nmap zoals ze met GIMP deden. Maar we vertrouwen ze voor geen meter", stelt Lyon. Hij wijst naar een eerder incident met Download.com dat in 2011 werd betrapt toen het malware met het installatieprogramma van Nmap bundelde. De ontwikkelaar zal Nmap vragen om de gekaapte Nmap-pagina te verwijderen. "Maar belangrijker, we willen herhalen dat je Nmap alleen van de onze officiële SSL Nmap-site moet downloaden." bron: security.nl

Voordat we je gaan uitleggen hoe je kanalen kunt aanpassen, heb ik het team hier om meer ideeën gevraagd.

Windows User Account Control (UAC) is een beveiligingsmaatregel die volgens Microsoft computers tegen "hackers en kwaadaardige software" moet beschermen, maar via een nieuwe truc is te omzeilen, zo heeft een onderzoeker van beveiligingsbedrijf Cylance aangetoond. Als software of een gebruiker bepaalde Windowsinstellingen wil wijzigen of acties probeert uit te voeren die beheerdersrechten vereisen verschijnt er een UAC-waarschuwing. Pas als de gebruiker hiervoor toestemming geeft wordt de actie ook uitgevoerd. In het geval de gebruiker geen beheerdersrechten heeft, moet hij eerst het beheerderswachtwoord invullen voordat de actie wordt uitgevoerd. ShameOnUACOnderzoeker Derek Soeder ontwikkelde malware om Windows Explorer mee aan te vallen. De malware, door Soeder "ShameOnUAC" genoemd, injecteert zichzelf in een Explorer-proces dat geen beheerdersrechten heeft. Vervolgens wacht dit proces totdat de gebruiker een programma als beheerder wil starten. Het verzoek van dit programma om de beheerdersrechten wordt door de malware gemanipuleerd en van willekeurige, aanvullende commando's voorzien. Zo kunnen er bijvoorbeeld commando's via de command prompt van Windows worden uitgevoerd of aanpassingen aan het Windows Register gemaakt. Soeder legt uit dat in het geval de gebruiker cmd.exe start en vervolgens de UAC-waarschuwing goedkeurt, ShameOnUAC eerst een commando met beheerdersrechten kan uitvoeren voordat de gebruiker de command prompt krijgt te zien. De aanval is eenvoudig te voorkomen, gebruikers moeten namelijk "Show details" aanklikken in de UAC-waarschuwing. Dan worden de toegevoegde opdrachten namelijk getoond. Het is echter aan de gebruiker om dit ook elke keer te doen. "Het is belangrijk om op te merken dat UAC gewoon werkt als bedoeld. ShameOnUAC is griezelig om in actie te zien, omdat het aantoont dat gebruikers telkens al malware onbedoeld verhoogde rechten hebben kunnen geven waarmee het einde oefening was, door elke keer de informatie te negeren waarmee ze het hadden kunnen opmerken", stelt de onderzoeker. In het geval malware beheerdersrechten op een computer kan krijgen kunnen aanvallers namelijk de volledige controle over het systeem krijgen. Zelf zegt Soeder dat hij na zijn onderzoek tegenwoordig altijd de details van een UAC-waarschuwing bekijkt. bron: security.nl

Richten cybercriminelen zich bij het aanvallen van kwetsbaarheden vooral op browsers en browserplug-ins, toch zijn ook routers een interessant doelwit. Een bekende onderzoeker heeft namelijk een exploitkit ontdekt die lekken in de routers van onder andere Belkin, TP-Link en D-Link aanvalt. Het gaat om kwetsbaarheden die in 2008, 2013 en 2015 zijn onthuld en gepatcht. Aangezien routers niet automatisch worden geüpdatet en veel consumenten beschikbare updates niet zelf installeren, kan het inderdaad voorkomen dat er nog routers in omloop zijn met kwetsbaarheden van zeven jaar geleden. Daarnaast voert de exploitkit ook brute force-aanvallen uit op allerlei andere modellen, waaronder die van Microsoft en Linksys. In het geval de aanvallen succesvol zijn wordt de DNS van de router aangepast. Hierdoor kunnen aanvallers het verkeer van de aangevallen router langs hun eigen servers laten lopen, of gebruikers van de aangevallen router naar phishingsites doorsturen. Beveiligingsonderzoeker 'Kafeine' van het blog Malware Don't Need Coffee ontdekte de exploitkit. Die blijkt alleen vanaf bepaalde IP-reeksen te werken. Zodra een router is aangepast worden de IP-adressen van de DNS-servers gewijzigd en daarna de router herstart. Als tweede DNS-server wordt standaard de DNS-server van Google ingesteld. Dit moet volgens de onderzoeker voorkomen dat gebruikers iets vermoeden als er problemen met het IP-adres van de eerste DNS-server ontstaan. bron: security.nl

Cybercriminelen hebben een nieuwe manier gevonden om ransomware te verspreiden, namelijk het gebruik van SVG bestanden, zo meldt beveiligingsbedrijf AppRiver. Scalable Vector Graphics (SVG) is een afbeeldingenformaat dat interactieve features en animaties ondersteunt. Zo is het mogelijk om scripts aan een SVG-afbeelding toe te voegen. De nu ontdekte aanval begint met een e-mail die beweert een cv te bevatten. Het gaat om een ZIP-bestand dat weer een SVG-bestand bevat. Aan het SVG-bestand is een stukje JavaScript toegevoegd dat weer een ZIP-bestand downloadt. Dit ZIP-bestand bevat de Cryptowall-ransomware. Het gaat om een EXE-bestand dat de gebruiker zelf moet uitpakken en openen. Eenmaal geopend versleutelt Cryptowall allerlei bestanden en vraagt vervolgens honderden euro's losgeld om ze te ontsleutelen. bron: security.nl

Cybercriminelen hebben malware ontwikkeld die in staat is om geld van een systeem te stelen dat Belgische bedrijven voor internetbankieren gebruiken. Het gaat om het Isabel-systeem dat door 35.000 Belgische bedrijven, zelfstandigen en vrije beroepen wordt gebruikt. Al verschillende bedrijven zouden door de malware zijn bestolen, waarbij er aanzienlijke geldsommen van bankrekeningen zijn overgemaakt. Via Isabel kunnen bedrijven transacties met verschillende banken regelen en in hun boekhoudsystemen integreren. Vanwege de malware zijn alle notarissen inmiddels door de Koninklijke Federatie van het Belgisch Notariaat gewaarschuwd. Bij één notaris zou inmiddels ook een groot bedrag zijn buitgemaakt, zo meldt De Tijd. Om de frauduleuze geldtransactie klaar te zetten wacht de malware totdat de gebruiker niet achter zijn computer zit. Isabel werkt met een kaartlezer en pincode, die voor het goedkeuren van de transactie vereist zijn. De malware kan de transactie dan ook zelf niet uitvoeren. Na het klaarzetten van de transactie zal de kaartlezer van de gebruiker echter piepen. Het risico bestaat dat de gebruiker nu als een automatisme zijn pincode invoert en zo de transactie goedkeurt. Voor de verspreiding van de malware, die slecht door anti-virusprogramma's wordt herkend, worden e-mailbijlagen gebruikt. De Belgische politie heeft inmiddels verschillende onderzoeken naar bestolen Isabel-klanten ingesteld. bron: security.nl

Google beschikt over een geheime eenheid van meer dan honderd mensen die elke dag bezig zijn met het bestrijden van botnets die click- en advertentiefraude plegen. De botnets genereren verkeer en clicks naar advertenties en zouden adverteerders en advertentieplatformen miljarden euro's kosten. Google is de grootste advertentieaanbieder op internet en advertentiefraude vormt dan ook een serieus risico voor de internergigant. Een risico dat steeds groter wordt. "We zijn op een punt aangekomen dat malware voornamelijk voor advertentiefraude wordt gebruikt", zegt Douglas de Jager van Google tegenover Ad Age. De website kreeg een unieke blik in de werking van de geheime eenheid, waarvan het bestaan niet eerder door Google openbaar is gemaakt. MalwareOm advertentiefraude te bestrijden analyseert het team allerlei malware, die Google onder andere via de online virusscandienst VirusTotal binnenkrijgt. Door de malware te analyseren kan een clickfraudebotnet in kaart worden gebracht. Vervolgens wordt naar het verkeer gekeken dat de malware genereert. Verkeer waarvan de malwaremakers proberen het zo menselijk mogelijk te laten lijken. In het geval Google "niet-menselijk" verkeer tegenkomt krijgt de uitgever die de advertenties toont niet betaald en wordt de adverteerder geen kosten in rekening gebracht. Door nu naar buiten te treden hoopt Google andere bedrijven te inspireren hun bevindingen te delen en samen advertentiefraude aan te pakken. "Het is onze taak om de kosten voor de fraudeurs te verhogen tot een punt dat advertentiefraude niet meer interessant voor ze is", besluit De Jager. bron: security.nl

Het gebruik van alleen een geheime vraag om een vergeten wachtwoord te resetten is onveilig en moet dan ook worden vermeden, zo stelt Google aan de hand van eigen onderzoek (pdf). Veel websites gebruiken nog altijd de geheime vraag als manier voor gebruikers om toegang tot hun account te krijgen als ze de inloggegevens zijn vergeten. Het probleem van de geheime vraag is dat aanvallers kunnen proberen om het antwoord te raden en zo het wachtwoord te resetten. Zo bleek dat een aanvaller met de geheime vraag van Engelstalige gebruikers "wat is je favoriete maaltijd" 19,7% kans heeft om die in één keer te raden. Het antwoord is "pizza". Met tien pogingen heeft een aanvaller 24% kans om de vraag "wat is de naam van je eerste leraar" bij Arabisch sprekende gebruikers te beantwoorden. Met een zelfde aantal pogingen heeft een aanvaller 21% kans om de vraag van Spaanstalige sprekers, "wat is de middelste naam van je vader", te beantwoorden. In het geval van Koreanen leveren tien pogingen een succesratio van 39% op met de vraag "in welke stad ben je geboren" en 43% met de vraag wat het lievelingseten is. Verder bleek dat veel gebruikers identieke antwoorden op geheime vragen hadden waarvan wordt aangenomen dat ze juist zeer veilig zijn, zoals "wat is je telefoonnummer" en "wat is je airmilesnummer". In dit geval bleek dat 37% van de mensen opzettelijk verkeerde informatie invult met het idee dat dit het antwoord lastiger te raden maakt. Het onderzoek, waarvoor Google honderden miljoenen geheime vragen en antwoorden analyseerde, laat ook zien dat 40% van de Engelstalige gebruikers het antwoord op de geheime vraag niet meer weet als ze die moeten invullen. OngeschiktVolgens de onderzoekers toont het onderzoek dat de geheime vraag eigenlijk ongeschikt is om wachtwoorden te resetten en zowel websites als gebruikers goed moeten nadenken of ze geheime vragen wel willen gebruiken. Google zegt dat het de geheime vraag niet als een losstaande manier gebruikt om wachtwoorden te resetten. Verder moeten eigenaren van websites andere authenticatiemethodes gebruiken, zoals sms-codes of een tweede e-mailadres. "Dat is zowel veiliger als gebruiksvriendelijker", concludeert Elie Bursztein van Google. bron: security.nl

Er is een nieuwe versie van Google Chrome verschenen, waarin 37 beveiligingslekken zijn verholpen, waaronder een kwetsbaarheid die het mogelijk maakte voor een aanvaller om uit de sandbox van de browser te ontsnappen. Chrome beschikt over een sandbox die in veel gevallen voorkomt dat een aanvaller willekeurige code op het systeem kan uitvoeren. Een aanvaller moet in dit geval een kwetsbaarheid in de browser én in de sandbox vinden. Het komt niet vaak voor dat onderzoekers erin slagen om uit de sandbox van Chrome te ontsnappen. De kwetsbaarheid werd door een onderzoeker aan Google gemeld die anoniem wilde blijven. Vanwege de ernst van de kwetsbaarheid beloont Google die met een beloning van 16.337 dollar. Het beveiligingslek in de sandbox alleen laat een aanvaller geen willekeurige code op het onderliggende besturingssysteem uitvoeren. Google bestempelde de kwetsbaarheid dan ook als "high" in plaats van "critical", wat de hoogste categorie is als het gaat om de beoordeling van beveiligingslekken. In totaal betaalde Google externe onderzoekers 38.337 dollar voor voor het rapporteren van 14 kwetsbaarheden. Geen enkel van deze lekken werd als "critical" bestempeld. Via kwetsbaarheden die in de categorie "high" vallen kunnen aanvallers vertrouwelijke gegevens van andere websites lezen of aanpassen. Updaten naar Chrome 43.0.2357.65 gebeurt in de meeste gevallen volledig automatisch. bron: security.nl

Computers die nog op Windows Vista draaien zijn vaker met malware besmet dan computers waarop Windows 8.1 is geïnstalleerd, zo beweert Microsoft aan de hand van eigen onderzoek. In het derde en vierde kwartaal van 2014 bleek dat van 1.000 pc's met Vista er gemiddeld 7,8 geïnfecteerd waren. In het geval van Windows 8.1 ging het om 1,6 computers per 1.000 computers waarop malware werd aangetroffen. "De laatste data over hoe verschillende Windowsversies moderne malware-aanvallen afslaan suggereert dat nieuwere versies beter presteren dan oudere versies", aldus Microsofts Tims Rains. Toch gaat die stelling niet helemaal op. Wordt er naar het vierde kwartaal van vorig jaar gekeken, dan blijkt dat Windows 7-computers iets vaker met malware besmet waren dan computers met Windows Vista. De cijfers die Microsoft in de nieuwste editie van het Security Intelligence Report laat zienhttp://microsoft.com/sir worden door sommige CISO's en IT-professionals gebruikt om bedrijven naar nieuwere platformen te upgraden, stelt Rains. bron: security.nl