Maandelijks archief september 2019

doorSecuratis

Mailservers opnieuw kwetsbaar door ernstig Exim-lek

Opnieuw is er in de populaire e-mailserversoftware Exim een ernstig beveiligingslek ontdekt waardoor aanvallers in het ergste geval kwetsbare systemen zouden kunnen overnemen. Begin deze maand verscheen er een patch voor een andere ernstige kwetsbaarheid in de software.

Het probleem, aangeduid met CVE-2019-16928, doet zich voor bij het verwerken van een lange Extended HELO (EHLO) string. Mailservers gebruiken de EHLO-string als ze met een andere mailserver verbinding maken om mail te versturen. In het geval van een lange EHLO-string kan het Exim-proces crashen en ontstaat er een heap-based buffer overflow.

Het lijkt mogelijk om via deze overflow code op de server uit te voeren, zo staat in de omschrijving van de kwetsbaarheid. Beheerders van een Exim-mailserver krijgen het advies om naar versie 4.92.3 van de software te updaten. Begin deze maand lieten onderzoekers nog weten dat er 5 miljoen Exim-mailservers op internet te vinden zijn.

https://www.security.nl/posting/625940/Mailservers+opnieuw+kwetsbaar+door+ernstig+Exim-lek?channel=rss

doorSecuratis

“Apple-update voor iPhone boot ROM-exploit onwaarschijnlijk”

Het is onwaarschijnlijk dat oudere iPhone-modellen een update voor de recent onthulde boot ROM-exploit krijgen, wat inhoudt dat gebruikers die beschermd willen zijn een nieuw toestel moeten aanschaffen, aldus onderzoeker Ryan Stortz van securitybedrijf Trail of Bits.

Via de exploit kan een aanvaller met fysieke toegang tot een iPhone willekeurige code op het toestel uitvoeren. Dit helpt zowel mensen die de telefoon willen jailbreaken als opsporingsdiensten, stelt Stortz in een analyse. De iPhone boot ROM bevat de publieke sleutel van Apple die tijdens het opstarten wordt gebruikt om te verifiëren dat de iBoot-bootloader door Apple is gesigneerd. De bootloader is verantwoordelijk voor het laden van iOS. Vorige week publiceerde een onderzoeker genaamd checkm8 een exploit die misbruik maakt van een kwetsbaarheid in de iPhone Boot ROM.

De exploit alleen biedt nog geen volledige jailbreak, maar maakt het wel mogelijk om zelf code op de iPhone uit te voeren. Stortz laat wetten dat het via de exploit niet mogelijk is om een vergrendelde iPhone te ontsleutelen, maar het wel mogelijk is om een rootkit te installeren als het toestel onbeheerd wordt achtergelaten. “Zodra de gebruiker het toestel ontgrendelt hebben ze toegang tot alles dat ze nodig hebben”, aldus de onderzoeker.

Stortz noemt een update van Apple onwaarschijnlijk omdat er dan ook geüpdatete versies van oudere iPhones moeten worden uitgebracht. Ook voor de vorige boot ROM-exploit in 2010 verscheen er geen gepatchte iPhone 4. IPhone-eigenaren die tot een risicogroep behoren krijgen dan ook het advies om naar een nieuwer toestel te upgraden. Het probleem is in de iPhone 11, 11 Pro, 11 Pro Max, XS, XS Max en XR verholpen.

Tevens wordt aangeraden om na de upgrade alle content van het vorige toestel te wissen en een alfanumerieke passcode in te stellen. “Zelfs met deze exploit moet een aanvaller je wachtwoord bruteforcen om toegang tot je data te krijgen. Een sterke alfanumerieke passcode beschermt je data tegen deze aanvallen.” Afsluitend merkt Stortz op dat het niet mogelijk is om een jailbreak met de exploit van checkm8 te detecteren.

Image

https://www.security.nl/posting/625932/%22Apple-update+voor+iPhone+boot+ROM-exploit+onwaarschijnlijk%22?channel=rss

doorSecuratis

Belgische ministerraad akkoord met vingerafdruk op id-kaart

Volgens minister van Binnenlandse Zaken & Veiligheid Pieter De Crem is het een belangrijke stap in de strijd tegen identiteitsfraude door criminelen en terroristen.

Dit is een gevalletje je gelijk halen door maar flink door te drammen en vooral naar geen enkele tegenwerping te luisteren.

Heel veilig, hoor. Heel geloofwaardig ook.

Hoewel voorstanders van het voorstel stellen dat het identiteitsfraude moet tegengaan,

Jahaa, dat moet het doen van jullie, maar doet het dat ook? Nee he. Wat gek nu.

Idem dito met iedereen z’n mobieltje op naam registreren. Je krijgt er vooral een database gevuld met een grote hoop katvangers door, naast de brave burgers die je nu dus minder beschermt. En oh ja, het kostte de Belgische markt twee aanbieders. Die gevolgen moet je ook meerekenen in je totale kosten/baten-plaatje.

zijn in België maar een paar honderd gevallen van identiteitsfraude bekend.

Dat houdt politici meestal niet zo erg tegen. Zolang ze maar een flinke show kunnen maken van net doen of ze iets doen (zie ook “volgens de voorstanders moet het voorstel iets doen”, boven), zijn alle andere aspecten, zoals werkelijk iets doen, proportionaliteit, en zo verder, volstrekt onbelangrijk.

Volgens het Belgische kabinet zijn “alle maatregelen” genomen om de privacy van de Belgische bevolking te beschermen

Iedereen z’n vingerafdruk op straat in 3..2..1…

De Belgische Raad van State moet het voorstel nog goedkeuren.

Eens kijken hoezeer die met de muziek meelopen.https://www.security.nl/posting/625738/Belgische+ministerraad+akkoord+met+vingerafdruk+op+id-kaart?channel=rss

doorSecuratis

Poolse computerketen krijgt boete van 640.000 euro voor datalek

De Poolse computerketen Morele.net heeft een boete van omgerekend 640.000 euro gekregen wegens een datalek waarbij de gegevens van klanten in verkeerde handen kwamen, zo laat de Poolse databeschermingsautoriteit weten. Het ging om namen, telefoonnummers, e-mailadressen en afleveradressen van 2,2 miljoen klanten die producten via de websites van de keten hadden besteld.

Van 35.000 klanten werden ook aanvullende gegevens buitgemaakt, waaronder hoogte van afgesloten lening, persoonlijk identificatienummer, opleiding, adresgegevens, salaris, maandelijkse uitgaven, burgerlijke status, betalingsverplichting en andere zaken. Klanten van de computerketen ontvingen vervolgens sms’jes van criminelen dat ze een aanvullende betaling moesten uitvoeren om hun bestelling af te ronden. De link wees naar een malafide website die de Poolse betaaldienst Dotpay nabootste. Op deze manier probeerden criminelen inloggegevens voor Dotpay te stelen.

Volgens de Poolse databeschermingsautoriteit heeft Morele.net onvoldoende maatregelen getroffen om de gegevens van klanten adequaat te beschermen en is het daarmee in overtreding van de AVG. Na het datalek heeft de computerketen aanvullende beveiligingsmaatregelen getroffen. Tevens bleek uit onderzoek dat Morele.net onvoldoende monitorde op risico’s. Bij het bepalen van de boete hield de autoriteit rekening met de maatregelen die inmiddels zijn genomen, de goede samenwerking met de computerketen en dat dit de eerste keer is dat het bedrijf de privacywetgeving heeft overtreden.

https://www.security.nl/posting/625732/Poolse+computerketen+krijgt+boete+van+640_000+euro+voor+datalek?channel=rss

doorSecuratis

Meer Belgische internetgebruikers slachtoffer van phishing

In het tweede kwartaal van dit jaar zijn meer Belgische internetgebruikers het slachtoffer van phishing geworden dan in het eerste kwartaal. Daarmee is ook het aantal slachtoffers in de eerste helft van 2019 hoger uitgekomen dan het aantal slachtoffers in de eerste helft van vorig jaar.

Dat meldt Febelfin, de overkoepelende organisatie van Belgische banken. In het tweede kwartaal werden 1810 Belgen via phishing voor meer dan 1,9 miljoen euro bestolen. In het eerste kwartaal ging het nog om 1189 slachtoffers die voor 735.000 euro werden gedupeerd. Het totaal aantal slachtoffers voor de eerste helft van 2019 bedraagt daardoor 2999, met een schadebedrag van ruim 2,6 miljoen euro.

In de eerste helft van 2018 werden 2646 Belgen opgelicht voor een bedrag van ruim 3,7 miljoen euro. Het aantal slachtoffers neemt dus toe, maar het totale schadebedrag is gedaald. Vorig jaar bedroeg het gemiddelde schadebedrag per slachtoffer 1422 euro, dit jaar is dat 885 euro. Febelfin merkt op dat de impact per slachtoffer erg kan verschillen. Het ene slachtoffer werd voor 0,99 euro bestolen, terwijl er ook gevallen bekend zijn waarbij tienduizenden euro’s werden gestolen.

“De stijging tegenover het vorige kwartaal toont aan dat cyberfraude een cyclisch gegeven is waarin na een daling de inspanningen van cybercriminelen worden opgevoerd en de waakzaamheid bij het publiek wellicht afneemt”, aldus Febelfin. De organisatie merkt op dat het belangrijk blijft om internetgebruikers te informeren over de gevaren van phishing en het feit dat cybercriminelen steeds nieuwe kanalen gebruiken om mensen op te lichten.

Image

https://www.security.nl/posting/625731/Meer+Belgische+internetgebruikers+slachtoffer+van+phishing?channel=rss

doorSecuratis

Onderzoeker claimt bootrom-exploit om iPhones te jailbreaken

Een beveiligingsonderzoeker heeft op Twitter een “niet te patchen” bootrom-exploit aangekondigd waardoor het mogelijk zou zijn om iPhones en andere iOS-apparaten via usb-toegang te jailbreaken. Volgens de onderzoeker, met het alias axi0mX, werkt de exploit op de meeste generaties iPhones en iPads, van de iPhone 4S (A5-chipset) tot de iPhone 8 en iPhone X (A11-chipst). De nieuwste chipsets (A12 en A13) worden niet ondersteund.

De exploit maakt misbruik van een kwetsbaarheid in de iBoot usb-mode. Voor het uitvoeren van een jailbreak is dan ook fysieke toegang tot het toestel vereist. De onderzoeker merkt op dat de exploit nog niet volledig betrouwbaar is. Daarnaast gaat het hier niet om een volledige jailbreak, maar alleen een exploit waarmee uiteindelijk een jailbreak is uit te voeren.

Door middel van jailbreaking is het mogelijk om volledige controle over het toestel te krijgen en software te installeren die bijvoorbeeld niet door Apple is goedgekeurd. Doordat de exploit misbruik maakt van een kwetsbaarheid in de secure bootrom van Apple zou die veel lastiger te patchen zijn dan andere jailbreak-kwetsbaarheden, die vaak via lekken in iOS werken. De onderzoeker ontdekte het probleem aan de hand van een beveiligingsupdate die Apple vorig jaar voor iBoot uitbracht.

De exploit is via GitHub openbaar gemaakt voor de security- en jailbreakcommunity. Gebruikers zijn wel gewaarschuwd dat de exploit zich nog in de bètafase bevindt en er een risico is dat het apparaat wordt gebrickt. De werking van de exploit is nog niet door derde partijen bevestigd.

Image

https://www.security.nl/posting/625725/Onderzoeker+claimt+bootrom-exploit+om+iPhones+te+jailbreaken?channel=rss

doorSecuratis

Duitse overheid publiceert nieuwe eisen voor veilige browsers

De Duitse overheid heeft een nieuwe minimale standaard gepubliceerd waar veilige browsers aan moeten voldoen. Twee jaar geleden publiceerde het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, al een eerste versie van de eisen.

De “Browser-Abgleichstabelle zum Mindeststandard des BSI für sichere Web-Browser” beschrijft verschillende eisen waaraan een veilige browser moet voldoen, zoals de ondersteuning van het tls-protocol, HTTP Strict Transport Security (HSTS), het versleuteld opslaan van wachtwoorden, ondersteuning van Content Security Policy, sandboxing en certificaatbeheer. Het BSI wil ook dat de browser zich automatisch kan updaten en tijdig gesigneerde updates ontvangt.

Tevens heeft het BSI gekeken of Mozilla Firefox 68 Extended Support Release (ESR), Google Chrome 76, Microsoft Internet Explorer 11 en Microsoft Edge 44 aan de eisen voldoen (pdf) en is er een lijst met aanbevelingen opgesteld om browsers veilig te kunnen gebruiken. Zo moet Flash standaard zijn uitgeschakeld, alsmede het synchroniseren van data met de cloud, automatisch aanvullen en de opslag van wachtwoorden door de wachtwoordmanager van de browser.

Image

https://www.security.nl/posting/625720/Duitse+overheid+publiceert+nieuwe+eisen+voor+veilige+browsers?channel=rss

doorSecuratis

Cisco en Microsoft waarschuwen voor NodeJS-gebaseerde malware

Zowel Cisco als Microsoft waarschuwen internetgebruikers voor NodeJS-gebaseerde malware die bij recente campagnes is gebruikt om duizenden computers in Europa en de Verenigde Staten aan te vallen. NodeJS is een platform voor het uitvoeren van JavaScript-code buiten de browser. Het gebruik van NodeJS voor de verspreiding van malware komt volgens Cisco en Microsoft zelden voor.

De aanval begint met de gebruiker die een kwaadaardig HTA-bestand downloadt en uitvoert. HTA is de afkorting voor HTML-applicaties. Eenmaal geopend probeert het HTA-bestand aanvullende JavaScript-code te downloaden, gevolgd door extra modules. Deze modules schakelen Windows Defender en Windows Update uit. Verder wordt van de officiële website NodeJS.org het legitieme bestand node.exe gedownload. Dit bestand wordt gebruikt voor het uitvoeren van de uiteindelijke JavaScript-payload die voor Node.js is geschreven en de computer in een proxy verandert.

Tevens installeert de malware de WinDivert packet capture library waarmee uitgaand netwerkverkeer kan worden aangepast en gefilterd. Het gaat dan specifiek om het blokkeren van updates voor antivirussoftware. Naast het gebruik van de machine als proxy wordt die ook voor clickfraude ingezet. De malware bezoekt websites met advertenties waarvoor de criminelen achter de malware betaald krijgen.

“Dit is niet de eerste dreiging die van Node.js gebruikmaakt. Er zijn verschillende gevallen uit het verleden bekend. Node.js is echter een bijzondere manier om malware te verspreiden. Het is niet alleen legitiem, Node.exe heeft ook een geldige digitale handtekening, waardoor kwaadaardige JavaScript in de context van een vertrouwd proces kan draaien”, zegt Microsofts Andrea Lelli. Ook volgens Edmund Brumaghi van Cisco komt het gebruik van Node.js door malware niet veel voor.

Image

https://www.security.nl/posting/625694/Cisco+en+Microsoft+waarschuwen+voor+NodeJS-gebaseerde+malware?channel=rss

doorSecuratis

Webversie Outlook blokkeert 38 extra bestandsextensies

De webversie van Outlook zal binnenkort 38 extra bestandsextensies blokkeren, waaronder Java-bestanden, bestanden voor digitale certificaten en PowerShell- en Python-bestanden, zo heeft Microsoft via Twitter aangekondigd.

Gebruikers van de webversie kunnen deze bestanden straks niet meer downloaden als ze als bijlage bij e-mailberichten zijn toegevoegd. Volgens Microsoft worden de nieuw te blokkeren bestandsextensies zelden gebruikt en zullen organisaties dus weinig hiervan melden. Organisaties die toch willen dat hun gebruikers dergelijke bestanden kunnen downloaden krijgen het advies om al hun software up-to-date te houden en ervoor zorgen dat gebruikers met de risico’s bekend zijn. Via een policy is het vervolgens mogelijk om het downloaden van de bestanden toe te staan.

Het gaat om de volgende extensies: “.py”, “.pyc”, “.pyo”, “.pyw”, “.pyz” en “.pyzw” (Python), “.ps1”, “.ps1xml”, “.ps2”, “.ps2xml”, “.psc1”, “.psc2”, “.psd1”, “.psdm1”, “.psd1” en “.psdm1” (PowerShell), “.cer”, “.crt” en “.der” (certificaten), “.jar” en “.jnlp” (Java) en extensies waar verschillende applicaties gebruik van maken: “.appcontent-ms”, “.settingcontent-ms”, “.cnt”, “.hpj”, “.website”, “.webpnp”, “.mcf”, “.printerexport”, “.pl”, “.theme”, “.vbp”, “.xbap”, “.xll”, “.xnk”, “.msu”, “.diagcab” en “.grp”. Aanvallers zouden via bestanden met deze extensies malware op systemen kunnen installeren.

“De veiligheid van de gegevens van onze klanten is van het grootste belang, en we hopen dat onze klanten deze verandering begrijpen en waarderen. Verandering kan verstorend zijn, dus we hopen dat deze informatie helpt te begrijpen waarom we dit doen”, aldus het Microsoft Exchange Team.

Image

https://www.security.nl/posting/625612/Webversie+Outlook+blokkeert+38+extra+bestandsextensies?channel=rss

doorSecuratis

Politie start nieuw experiment met virtuele chatbot Wout

Wout……….De Nederlandse politie wordt met de dag ongeloofwaardiger.

Ze huilen bij een rechtszitting, lopen er tegenwoordig bij als op een catwalk voor gele accentueerstiften en denken dat ze populair worden bij het door de bank genomen van minachting bolstaande publiek door een scheldnaam uit het verleden: “wouten” af te korten tot “Wout” en dat binnen een functioneel kader. Om je te bescheuren. Een klucht gebracht door John Lanting zou het als script kunnen gebruiken.

De politie moet zich niet willen populariseren. Nooit. Ver van dat! Het is een afschuwelijke denkfout.

Ik ben van de generatie die respect had voor de politie toen zij nog gekleed waren in zwart met blauwe pofbroek. Waarom? Omdat zij er de wind onder hielden bij het publiek.
Mijn opa, geboren rond 1890 (geen lieverdje, hij liep altijd met een opinel mes op zak) was ook vanwege zijn voor die tijd lengte van bijna 2 meter een reus van een kerel; type dokwerker met handen als kolenschoppen, maar had er schrik voor als hij weer eens werd opgebracht wegens openbare dronkenschap. Onderweg naar het bureau draaiden ze (politie) hem bijna de arm uit de kom en als hij ook maar een spier verzette – wat hij dus deed – kreeg hij een pak rammel van jewelste eenmaal uit het zicht van het openbare leven.

Waar is het misgegaan dat de politie er nu bijloopt als aangeklede fluoriserende Homo Erectus vol met (niet) ontzag inboezemend instrumentarium en it will not do?

Het antwoord is in drie woorden samengevat: Gebrek aan handhaving. Slechts die drie woorden zijn voldoende om historische verantwoording af te leggen voor zoals sommigen zeggen: Het falen van de Nederlandse rechtstaat.

En de kern daarvan is weer dat de burger/mens in de maatschappij gelijk is aan een kleuter die je met regelmaat streng bij de les moet houden, moet corrigeren. (handhaving) Laat het los en de maatschappij verloedert.

https://www.security.nl/posting/625588/Politie+start+nieuw+experiment+met+virtuele+chatbot+Wout?channel=rss