Maandelijks archief februari 2020

doorSecuratis

Mitre lanceert nieuwe CWE-lijst met hardwarelekken

De Mitre Corporation, verantwoordelijk voor het Common Vulnerabilities and Exposures (CVE)-systeem en de Common Weakness Enumeration (CWE)-lijst waarmee kwetsbaarheden worden gecategoriseerd, heeft een nieuwe CWE-lijst gelanceerd die nu ook hardwarelekken bevat.

Vorige versies van de CWE-lijst beschreven alleen softwarelekken. Met de CWE 4.0 zijn ook hardwarelekken op de lijst te vinden. Het gaat dan om zaken als “halfgeleiderfouten”, verkeerd geconfigureerde cpu-hardware, geheugen- en opslagproblemen, toegankelijke debug-interfaces, hardwareontwerp en I/O-problemen. Volgens MITRE kunnen hardwareontwerpers via de nieuwe categorieën beter veelgemaakte fouten in hun ontwerp begrijpen en voorkomen.

Verder introduceert CWE 4.0 een vereenvoudigde weergave van kwetsbaarheden en biedt een zoekfunctie om eenvoudiger door de informatie te navigeren.

Image

https://www.security.nl/posting/646039/Mitre+lanceert+nieuwe+CWE-lijst+met+hardwarelekken?channel=rss

doorSecuratis

Brits district verwacht miljoenenschade door ransomware

Het Britse district Redcar en Cleveland dat op 8 februari met ransomware besmet raakte verwacht dat de herstelkosten omgerekend miljoenen euro’s zullen bedrag en mogelijk nog maanden in beslag zullen nemen. Drie weken na de infectie zijn meerdere systemen nog altijd niet hersteld.

Eerder deze week erkende het district voor het eerst dat het door ransomware was getroffen. Sinds de infectie begin deze maand kregen burgers alleen te horen dat er “een probleem” met de it-systemen was. Vanwege de besmetting kunnen districtsmedewerkers al drie weken geen gebruik van computers, tablets en mobiele apparaten maken en doen daarom alles met pen en papier.

Het districtsbestuur wil niet laten weten of het losgeld dat de aanvallers vroegen is betaald, zo meldt lokale media. Eén van de raadsleden van het district laat aan The Guardian weten dat het herstel mogelijk nog maanden in beslag kan nemen en tussen de 13 miljoen en 21 miljoen euro kan gaan kosten. Meer dan de 8,6 miljoen euro die het district van de overheid als subsidie ontvangt.

Image

https://www.security.nl/posting/646031/Brits+district+verwacht+miljoenenschade+door+ransomware?channel=rss

doorSecuratis

Microsoft roept bedrijven op om te stoppen met SMBv1-protocol

Microsoft heeft bedrijven opnieuw opgeroepen om te stoppen met het gebruik van het onveilige SMBv1-protocol. Het SMB (Server Message Block)-protocol wordt door Windows gebruikt voor het delen van bestanden en printers op een lokaal netwerk.

De eerste SMB-versie stamt uit 1983 en is daarmee bijna 30 jaar oud. Desondanks zijn er nog steeds bedrijven die er gebruik van maken. Microsoft krijgt zelfs vragen van klanten waarom Windows 10 standaard niet met SMBv1 werkt. De enige Windowsversies die SMBv1 vereisen zijn Windows 2000 Server en Server 2003 die respectievelijk sinds juli 2010 en juli 2015 niet meer door Microsoft worden ondersteund. Ook Samba- en Linux-distributies ondersteunen SMBv1 niet meer.

“Stop alsjeblieft met het gebruik van SMBv1. Doe die oude legacy systemen die alleen SMBv1 ondersteunen weg. We krijgen continu vragen van klanten waarom Windows 10 standaard geen SMBv1 ondersteunt zodat het met hun oude, onveilige systemen werkt”, zegt Microsofts James Kehr. “Door Microsoft te vragen om een niet meer ondersteunde Windowsversie te ondersteunen vragen mensen ons om een besturingssysteem te supporten dat zo oud is dat de moderne smartphone niet eens bestond.”

Volgens Kehr is het draaien van een dergelijk oud besturingssysteem niet alleen een beveiligingsrisico, het is ook beangstigend omdat deze bedrijven een besturingssysteem gebruiken dat voor een compleet ander computertijdperk is gemaakt. Aan het einde van zijn betoog herhaalt Kehr dat er geen reden is om SMBv1 te blijven gebruiken. “Managers noemen vaak kosten als reden, maar als je denkt aan de potentiële kosten van een datalek, is het dan echt het risico waard?”

https://www.security.nl/posting/646024/Microsoft+roept+bedrijven+op+om+te+stoppen+met+SMBv1-protocol?channel=rss

doorSecuratis

FBI: slachtoffers ransomware betaalden 144 miljoen dollar

Van 1 oktober 2013 tot 7 november 2019 hebben slachtoffers van ransomware meer dan 144 miljoen dollar betaald om hun bestanden terug te krijgen, zo stelt de FBI op basis van eigen onderzoek naar de bitcoinwallets waar slachtoffers het losgeld naar toe moesten overmaken.

Tijdens de RSA Conferentie in San Francisco gaf FBI-agent Joel DeCapua een presentatie over de aanpak van ransomware door de FBI. Slachtoffers van de Ryuk-ransomware betaalden het meest om hun bestanden te ontsleutelen, namelijk meer dan 61 miljoen dollar. De criminelen achter Ruyk wisten de afgelopen jaren tal van organisaties, bedrijven, zorginstellingen en overheidsinstanties te infecteren.

De Ryuk-ransomware verschilt van veel andere ransomware doordat aanvallers de malware handmatig installeren. De aanvallers proberen ook zoveel mogelijk systemen binnen een getroffen organisatie te infecteren en aanwezige back-ups te verwijderen. Vervolgens worden hoge bedragen gevraagd voor het ontsleutelen van getroffen systemen. Ryuk wordt onder andere geïnstalleerd via de Emotet- en Trickbot-malware die via kwaadaardige Microsoft Office-macro’s worden verspreid. Vorig jaar gaf de Britse overheid nog een waarschuwing af voor de Ryuk-ransomare.

Hoewel macro’s veel aandacht krijgen maken aanvallers voornamelijk gebruik van het Remote Desktopprotocol (RDP) om binnen te komen, aldus DeCapua. Volgens de FBI-agent zijn zwakke en hergebruikte RDP-wachtwoorden voor 70 tot 80 procent van de initiële infecties verantwoordelijk. Daarnaast maken aanvallers gebruik van phishing en kwetsbaarheden. Verder gaf de FBI-agent het advies om sterke wachtwoorden te gebruiken, het netwerk te monitoren en over offline back-ups te beschikken. In onderstaande video is de presentatie van DeCapua te bekijken.

Image

https://www.security.nl/posting/646005/FBI%3A+slachtoffers+ransomware+betaalden+144+miljoen+dollar?channel=rss

doorSecuratis

Beveiligingslek geeft toegang tot camera smart stofzuiger

Onderzoekers hebben in een smart stofzuiger van Trifo verschillende kwetsbaarheden ontdekt waardoor een aanvaller op afstand mee kan kijken met de camera van het apparaat. De fabrikant werd vorig jaar gewaarschuwd, maar gaf geen reactie. De beveiligingslekken zijn dan ook nog steeds aanwezig.

De problemen spelen in de Ironpie M6, een smart stofzuiger van Trifo die automatisch kamers stofzuigt en via een app op afstand is te bedienen. Het apparaat is voorzien van een camera en onderzoekers van securitybedrijf Checkmarx vroegen zich af hoe goed de stofzuiger is beveiligd. In totaal troffen de onderzoekers zes verschillende kwetsbaarheden aan. Het grootste probleem zit in de updateprocedure van de stofzuiger-app.

Die maakt namelijk geen gebruik van de Google Play Store, maar downloadt via http een APK-bestand van de updateserver. Een aanvaller tussen de gebruiker en het internet kan het verzoek aanpassen en zo een kwaadaardig APK-bestand aanbieden. Daarnaast maakt de stofzuiger gebruik van het MQTT-protocol. MQTT staat voor Message Queuing Telemetry Transport en is een protocol dat wordt gebruikt om smart home-apparaten mee te bedienen en met elkaar te laten verbinden.

In het geval van Trifo vormen de MQTT-servers een brug tussen de stofzuiger, de backend-server en de stofzuiger-app. De servers ontvangen informatie van de stofzuiger en geven die door aan de gebruikersinterface van de app. De authenticatie laat echter te wensen over waardoor een aanvaller met de MQTT-server verbinding kan maken en zich als de stofzuiger kan voordoen. Via MQTT is het ook mogelijk om toegang tot de camera van de stofzuiger te krijgen.

Trifo werd op 16 december over de kwetsbaarheden geïnformeerd, maar de stofzuigerfabrikant gaf geen reactie. De kwetsbaarheden zijn volgens de onderzoekers nog steeds aanwezig. Daarom zijn uitgebreide technische details nog niet vrijgegeven.

Image

https://www.security.nl/posting/646002/Beveiligingslek+geeft+toegang+tot+camera+smart+stofzuiger?channel=rss

doorSecuratis

Autoriteit Persoonsgegevens wijst curatoren op privacyregels

De Autoriteit Persoonsgegevens heeft curatoren middels een brief op de regels voor het omgaan met persoonsgegevens bij faillissementen gewezen. Dat laat de privacytoezichthouder vandaag via de eigen website weten. Bij bijna elk faillissement bevat de boedel persoonsgegevens.

Het gaat dan bijvoorbeeld om klantenbestanden, ledenbestanden en personeelsdossiers op analoge of digitale gegevensdragers. “Curatoren hebben de verantwoordelijkheid om zorgvuldig met deze gegevens om te gaan. Zij moeten zich daarbij aan de privacywet houden, de Algemene verordening gegevensbescherming (AVG)”, zo stelt de Autoriteit Persoonsgegevens. Volgens de privacytoezichthouder is het belangrijk dat alle bij faillissementen betrokken partijen de regels kennen. Mede omdat er maandelijks honderden organisaties failliet worden verklaard.

Curatoren moeten bijvoorbeeld weten of ze persoonsgegevens in de boedel van een failliete onderneming mogen verkopen, wat de regels zijn voor de verkoop van computers en laptops waarop persoonsgegevens staan en of er bij contractoverneming persoonsgegevens mogen worden verstrekt. In een brief aan de Vereniging van Insolventierecht Advocaten (INSOLAD) heeft de AP het juridisch kader voor de verwerking van persoonsgegevens door curatoren uiteengezet (pdf).

Zo is de curator als verwerkingsverantwoordelijke verantwoordelijk voor de naleving van de AVG, rust in dat kader op de curator een verantwoordingsplicht en dient de curator persoonsgegevens op basis van een rechtsgeldige grondslag te verwerken, beperkt tot hetgeen noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Verder kan de verkoop van persoonsgegevens uitsluitend plaatsvinden op basis van de voorafgaande toestemming van de betrokkenen en bij de verkoop van laptops en computers moeten aanwezige persoonsgegevens “onomkeerbaar” zijn vernietigd.

Image

https://www.security.nl/posting/645990/Autoriteit+Persoonsgegevens+wijst+curatoren+op+privacyregels?channel=rss

doorSecuratis

Verdachten vrij doordat ransomware bewijsmateriaal versleutelt

In de Verenigde Staten zijn zes vermeende drugsdealers op vrije voeten gesteld nadat het bewijsmateriaal van de politie door ransomware werd versleuteld. Dat meldt de lokale televisiezender WPTV. Het politiekorps van het 17.000 inwoners tellende Stuart werd vorig jaar april door ransomware getroffen.

Nu bijna een jaar later blijkt dat allerlei belangrijke dossiers en bestanden verloren zijn gegaan. Hierdoor heeft de openbare aanklager elf drugszaken moeten laten vallen. “In ons geval hebben we anderhalf jaar aan digitaal bewijsmateriaal verloren”, aldus het politiekorps. “Foto’s, video’s; verschillende zaken moesten we laten vallen.” Het gaat onder andere om 28 aanklachten tegen zes vermeende drugsdealers.

Het politiekorps raakte besmet met de Ryuk-ransomware nadat een medewerker een e-mail ontving die naar een besmet bestand linkte. De medewerker opende het gelinkte bestand waardoor het eerste systeem werd geïnfecteerd. Vervolgens waren de aanvallers twee maanden op de systemen van het politiekorps actief voordat de ransomware werd uitgerold. De aanvallers eisten 300.000 dollar voor het ontsleutelen van de bestanden, maar het politiekorps weigerde te betalen. Vanwege de aanval moest het politiekorps zes weken op pen en papier terugvallen.

https://www.security.nl/posting/645848/Verdachten+vrij+doordat+ransomware+bewijsmateriaal+versleutelt?channel=rss

doorSecuratis

Android-malware kan 2FA-codes van Google Authenticator stelen

Het (m.i. zeer informatieve) TreatFabric artikel bechrijft meer aanvalstactieken van meerdere groepen cybercriminelen.

De cerberus malware heeft ook een “overlay” paraat voor de Androud app “ABN AMRO Mobiel Bankieren” en Hydra heeft dat voor de Turkse ING bank (zo te zien de app). Ook hebben vele, zo niet alle, besproken trojans de mogelijkheid om informatie uit op Android-devices geïnstalleerde browsers te halen (o.a. uit de URL-balk) en op basis van de getoonde domeinnaam een “browser overlay” boven de webbrowser te projecteren, o.a. voor https://secure.indeed.com.

Afgelopen maand is de Android trojan “Ginp” uitgebreid met “Added androidx library and stop notifications, call forward, send fake SMS and ringtone commands”. De na de arrestatie vrijgekomen sources van de Anubis malware worden “verbeterd” door onverlaten.

Ik vrees dat de auteurs gelijk hebben in hun conclusie:

[…]Existing banking Trojans have continued evolving in order to remain relevant and successful. Creative and inventive, certain threat actors have been able to enhance their malicious tools to remain under the radar while growing fraud revenue. Gustuff and Hydra are good examples of such with their own view on implementation of Automated Transaction Systems and Remote Access.

This year we can expect the threat landscape to evolve further, with new banking malware families appearing and older ones being enhanced with new capabilities. It seems that in order to keep up with contemporary fraud detection solutions and successfully perform fraud, malware authors will continue implementing features that facilitate on-device fraud.
[…]

https://www.security.nl/posting/645846/Android-malware+kan+2FA-codes+van+Google+Authenticator+stelen?channel=rss

doorSecuratis

Mozilla voorziet Firefox van nieuwe sandboxtechnologie

Om gebruikers tegen aanvallen te beschermen heeft Mozilla een nieuwe sandboxtechnologie aan Firefox toegevoegd. Een sandbox moet voorkomen dat een beveiligingslek in de browser meteen tot een volledige compromittering van het onderliggende systeem kan leiden.

Op dit moment verdeelt Firefox al code in verschillende gesandboxte processen met verminderde rechten en wordt de browsercode in een veiligere taal zoals Rust herschreven. “Rust is een lichtgewicht programmeertaal, maar het herschrijven van miljoenen regels van bestaande C++ code is een arbeidsintensief proces”, zegt Mozillas Nathan Froyd. Om de browser verder te beschermen is er nu een derde technologie toegevoegd, namelijk RLBox.

RLBox isoleert third-party libraries die kwetsbaar zijn voor aanvallen van de rest van de browser, om zo eventuele schade te beperken. Firefox maakt uitgebreid gebruik van dergelijke third-party libraries voor bijvoorbeeld het decoderen van media. Deze libraries zijn vaak in de programmeertaal C geschreven. “Helaas zijn fouten in C-code vaak kwetsbaarheden. En aanvallers zijn erg goed in het misbruiken van deze kwetsbaarheden”, zegt Deian Stefan van de University of California San Diego. De universiteit was bij de ontwikkeling van RLBox betrokken.

De technologie zorgt ervoor dat libraries en andere onderdelen van Firefox in een WebAssembly (wasm)-sandbox draaien. Hiervoor wordt de C++ en C-code naar wasm-code omgezet. Vervolgens kan de wasm-code naar native code worden omgezet. Volgens Mozilla is RLBox is een lichtgewicht techniek en eenvoudig te gebruiken. De browserontwikkelaar verwacht dan ook de komende maanden meer onderdelen van Firefox op deze manier in een sandbox te plaatsen. Als eerste zal RLBox in Firefox 74 voor Linux worden verscheept, gevolgd door Firefox 75 voor macOS. De Windowsversie volgt daarna.

https://www.security.nl/posting/645757/Mozilla+voorziet+Firefox+van+nieuwe+sandboxtechnologie?channel=rss

doorSecuratis

Gmail controleert 300 miljard bijlagen per week op malware

Elke week controleert Google meer dan 300 miljard e-mailbijlagen die Gmail-gebruikers ontvangen op malware. Dat heeft het techbedrijf tijdens de RSA Conferentie in San Francisco laten weten. Met name overheden en de transportsector zijn volgens Google vaak het doelwit van kwaadaardige documenten.

Verder blijkt dat aanvallers steeds verschillende soorten e-mailbijlagen gebruiken om doelwitten aan te vallen. 63 procent van de besmette bijlagen die Gmail blokkeert verschillen namelijk van dag tot dag. “Elke seconden moeten we miljoenen documenten in milliseconden verwerken”, zegt Google-onderzoeker Elie Bursztein.

Om de detectie van malafide documenten te verbeteren heeft Google onlangs een “nieuwe generatie” van scanners toegevoegd die van “deep learning” gebruikmaken. Hierdoor is de detectie van malafide bijlagen verbeterd. In het geval van .doc-bestanden is de detectie met 10,5 procent toegenomen, in het geval van .xls-bestanden met 14,5 procent.

“Het versterken van onze documentdetectie is één van onze prioriteiten, aangezien malafide documenten goed zijn voor 58 procent van de malware die het op Gmail-gebruikers heeft voorzien. We zijn nog bezig om deze technologie te ontwikkelen en op dit moment gebruiken we het alleen om Office-documenten te scannen”, aldus Bursztein over de inzet van de nieuwe scanners (pdf).

Image

https://www.security.nl/posting/645746/Gmail+controleert+300+miljard+bijlagen+per+week+op+malware?channel=rss

Secured By miniOrange