Maandelijks archief mei 2020

doorSecuratis

NSA beschuldigt Rusland van aanvallen op kwetsbare Exim-mailservers

De Amerikaanse geheime dienst NSA beschuldigt Rusland vandaag van het uitvoeren van aanvallen op kwetsbare Exim-mailservers. De Russische inlichtingendienst GRU zou sinds augustus vorig jaar misbruik maken van een bekende kwetsbaarheid in de populaire mailserversoftware waarvoor op 5 juni een beveiligingsupdate verscheen.

Via de kwetsbaarheid kan een aanvaller alleen door het versturen van een speciaal geprepareerde e-mail commando’s met rootrechten op de mailserver uitvoeren. Een aanvaller kan zo software installeren, data aanpassen en nieuwe accounts aanmaken, aldus de “cybersecurity advisory” van de NSA (pdf).

In het geval van de aanvallen die de NSA aan de GRU-eenheid toeschrijft worden er geprivilegieerde gebruikers toegevoegd, netwerkbeveiligingsinstellingen uitgeschakeld, ssh-configuraties aangepast zodat aanvullende remote toegang mogelijk is en aanvullende scripts uitgevoerd. “De droomtoegang van elke aanvaller, zolang het netwerk een ongepatchte versie van Exim gebruikt”, zo laat de Amerikaanse geheime dienst weten.

De NSA adviseert organisaties om de Exim-beveiligingsupdate direct te installeren. Tevens wordt aangeraden om logbestanden op eventuele aanvalssporen te controleren en naar de aanwezigheid van extra accounts en ssh-keys te kijken. Dergelijke aanpassingen zijn te ontdekken via software die de integriteit van bestanden monitort.

https://www.security.nl/posting/658909/NSA+beschuldigt+Rusland+van+aanvallen+op+kwetsbare+Exim-mailservers?channel=rss

doorSecuratis

Aanvaller had toegang tot privésleutel Certificate Transparency-log DigiCert

Een aanvaller heeft begin deze maand toegang gekregen tot de privésleutel van een Certificate Transparency-log van certificaatautoriteit DigiCert. Het bedrijf had een beschikbare beveiligingsupdate voor het Salt-framework niet geïnstalleerd, waardoor de aanvaller op 4 mei toegang tot de server kon krijgen. De update was sinds 29 april beschikbaar.

Certificate Transparency is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het certificaatsysteem te verhelpen en bijvoorbeeld onterecht uitgegeven certificaten in bijna real-time te detecteren. Bij Certificate Transparency verplichten browsers dat een https-website bewijs aanlevert dat het certificaat in een openbaar Certificate Transparency-log voorkomt. Dit is een eenvoudige netwerkdienst die een archief van certificaten bijhoudt.

Elk Certificate Transparency-log beschikt over een eigen privésleutel voor het signeren van de huidige geregistreerde certificaten, wat misbruik en manipulatie moet voorkomen. Op 4 mei werd één van de systemen gecompromitteerd die DigiCert gebruikt voor Certificate Transparency-logs. De aanvaller, die hiervoor van een bekend lek in het Salt-framework gebruikmaakte, kreeg daarbij ook toegang tot de privésleutel van het betreffende Certificate Transparency-log.

Volgens DigiCert had de aanvaller dit niet door. Die draaide namelijk “andere diensten” op het gecompromitteerde systeem, aldus een verklaring van de certificaatautoriteit. Een bericht op Hacker News laat weten dat het om een cryptominer ging die de rekenkracht van de machine gebruikte voor het delven van cryptovaluta. De andere Certificate Transparency-logs van DigiCert zouden niet zijn gecompromitteerd en het incident had verder geen grote gevolgen.

Salt, ook wel SaltStack genoemd, is een op Python gebaseerde, opensourceconfiguratiebeheertool. Op 29 april verscheen er een beveiligingsupdate voor twee kwetsbaarheden in Salt waardoor een aanvaller op afstand en zonder inloggegevens volledige controle over kwetsbare installaties kan krijgen. Eerder wisten aanvallers via het Salt-lek ook toegang te krijgen tot servers van mobiel besturingssysteem LineageOS en zoekfunctieprovider Algolia.

https://www.security.nl/posting/658902/Aanvaller+had+toegang+tot+priv%C3%A9sleutel+Certificate+Transparency-log+DigiCert?channel=rss

doorSecuratis

Eerste ontwerpen Nederlandse corona-app openbaar gemaakt

Ontwikkelaars van de Nederlandse corona-app hebben de eerste ontwerpen via GitHub openbaar gemaakt. Daarnaast zijn ook de eerste resultaten van het gebruikersonderzoek, analyses van de processen van de GGD en andere documentatie te bekijken. De corona-app, die van bluetooth gebruik moet gaan maken om contacten met andere app-gebruikers bij te houden, moet het contactonderzoek van de GGD gaan ondersteunen.

“Onze intentie is om het ontwikkelen en ontwerpen van de Nederlandse COVID19 notificatie app zo open en transparant mogelijk te doen”, aldus de ontwikkelaars op de GitHub-pagina van de app. “We zullen zoveel mogelijk en zo vroeg mogelijk de ontwerpen en bijbehorende documentatie hier delen zodat ieder feedback kan leveren en kan bijdragen.”

Minister De jonge van Volksgezondheid liet begin deze maand weten dat hij eind mei een proof-of-concept van de app hoopt te hebben en dat in juni de eerste tests kunnen plaatsvinden. De minister verwacht in juli de testresultaten te kunnen presenteren en bij een positief resultaat een voorstel voor het invoeren van de app te kunnen doen. Gebruik van de app zal vrijwillig zijn.

In aanloop naar de ontwikkeling van de nieuwe corona-app is er een bouwteam samengesteld en is er gekeken naar het hergebruiken van de broncode van andere apps. Tevens heeft er afstemming met Apple en Google plaatsgevonden, alsmede verschillende Europese landen. De Nederlandse app maakt gebruik van de contactonderzoek-api van beide techbedrijven.

De ontwikkelaars vragen het publiek om mee te denken, wat kan via een Slack-kanaal van het ministerie van Volksgezondheid. Verder is het mogelijk om via GitHub en Figma, een gemeenschappelijke online interface-ontwerptool, reacties op de nu gepubliceerde ontwerpprincipes en schermen te geven.

“Een aantal media schrijven dat de app nagenoeg klaar is. Dat is niet het geval. We willen iedereen juist vroeg in het ontwerpproces meenemen. Ook is er, in tegenstelling tot wat er is geschreven, nog geen code gepubliceerd. Komt ongetwijfeld later”, zo laat Jelle Prins, één van de ontwikkelaars, op Twitter weten.

Image

https://www.security.nl/posting/658768/Eerste+ontwerpen+Nederlandse+corona-app+openbaar+gemaakt?channel=rss

doorSecuratis

Trend Micro sponsort botnetbestrijder Shadowserver met 600.000 dollar

Antivirusbedrijf Trend Micro zal de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, de komende drie jaar met totaal 600.000 dollar sponsoren. Onlangs werd bekend dat de Amerikaanse afdeling in grote financiële problemen verkeerde nadat Cisco zich als hoofdsponsor had teruggetrokken.

De stichting verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). De afgelopen jaren heeft de Shadowserver Foundation bij het oprollen van meerdere grote botnets een belangrijke rol gespeeld. Dagelijks scant de organisatie vier miljard ip-adressen op mogelijk misbruik en worden er meer dan 700.000 malware-exemplaren geanalyseerd.

De stichting kan dankzij allerlei sponsoren bestaan. Eind februari liet Cisco weten dat het stopte als grootste financiële sponsor in de Verenigde Staten. Daardoor raakte de Shadowserver Foundation meteen vier van de zeven gedoneerde ontwikkelaars / systeembeheerders in de Verenigde Staten kwijt. De overige drie gedoneerde medewerkers stopten er gisteren mee. Tevens moest Shadowserver de complete Amerikaanse datacenterinfrastructuur voor 26 mei naar een nieuwe locatie verhuizen. Het ging om 104 serverracks, 1340 servers en zo’n 12 petabytes aan opslag. De operatie is inmiddels succesvol afgerond.

“Als een kleine non-profitorganisatie heeft Shadowserver niet de financiële reserves om op deze onverwachte gebeurtenissen en van buiten opgelegde tijdschema’s te reageren”, zo liet de stichting in maart nog weten. Zonder directe hulp zal Shadowserver dan ook moeten stoppen met het aanbieden van de belangrijkste diensten, waaronder de gratis netwerkrapporten met informatie over besmette systemen.

Trend Micro was al een partner van de Shadowserver Foundation en deelt via de stichting malware-exemplaren. Nadat het nieuws over de financiële problemen bekend werd besloot de virusbestrijder voor de komende drie jaar 600.000 dollar te doneren. Daarmee zijn de geldzorgen van de stichting nog niet voorbij. De totale operationele kosten van de Amerikaanse afdeling bedragen dit jaar 2,1 miljoen dollar. Daarvan is pas 44 procent gehaald, wat inhoudt dat er nog 1,18 miljoen dollar nodig is.

Image

https://www.security.nl/posting/658760/Trend+Micro+sponsort+botnetbestrijder+Shadowserver+met+600_000+dollar?channel=rss

doorSecuratis

Techbedrijven ontwikkelen pleister die lichaamstemperatuur aan smartphone doorgeeft

Een aantal techbedrijven heeft een pleister ontwikkeld die via een microchip de lichaamstemperatuur van de drager meet en doorgeeft aan zijn of haar smartphone.Op deze manier zouden coronaverschijnselen in een vroeg stadium moeten worden gedetecteerd.

Een gestegen lichaamstemperatuur is niet automatisch corona. Er zijn vele andere redenen waarom een lichaamstemeratuur omhoog kan gaan.

Laat ik mezelf even als voorbeeld nemen:
Ik heb van nature al een hogere lichaamstemperatuur dan de norm. Als sinds mijn geboorte.
Als ik op kantoor aankom (fietsen of (hard)lopen) dan zweet ik bij aankomst. Dan heb ik dus een verhoogde lichaamstemperatuur.
Bij meer dan 30 graden, zweet ik en heb ik een hogere lichaamstemperatuur omdat ik mijn warmte niet snel genoeg aan mijn omgeving kwijt kan.

Als je in de zon zit, stijgt je lichaamstemeratuur.

En in combinatie met niezen of snuffelen, hoeft het nog steeds gene cornoa te zijn. Pollen-allergie, iemand?

Vervolgens wordt de pleister draadloos aan een smartphone gekoppeld.

Via Bluetooth? daty zo lek is als een mandje, en waardoor je telefoon gehackt kan worden?
Dat wordt echt een heel veilig platform.

Nu nog wachten op de pleister of chip, die je bloed kan controleren op het cornoa-virus.
Ook daar zal binnenkort wel een start-up reclame voor gaan maken. Ergens in de Vs of India of zo.

https://www.security.nl/posting/658603/Techbedrijven+ontwikkelen+pleister+die+lichaamstemperatuur+aan+smartphone+doorgeeft?channel=rss

doorSecuratis

Verplichte corona-app Qatar lekte gegevens van één miljoen gebruikers

Een kwetsbaarheid in de verplichte corona-app van Qatar maakte het mogelijk om toegang tot gevoelige persoonlijke gegevens van meer dan één miljoen gebruikers te krijgen. Het ging onder andere om naam, nationaal identiteitsnummer, gezondheidsstatus en locatiegegevens, zo meldt Amnesty International op basis van eigen onderzoek.

De Ehteraz-app is ontwikkeld door het ministerie van Binnenlandse Zaken van Qatar en maakt gebruik van gps en bluetooth om contacten van gebruikers bij te houden. Afgelopen vrijdag werd het verplicht voor burgers om de app te installeren. Wie de app niet installeert kan een gevangenisstraf van drie jaar en een boete van 50.000 euro krijgen. Gegevens die de app verzamelt worden naar een centrale server van de overheid geüpload. Daarnaast kunnen de autoriteiten real-time de locatie van gebruikers volgen.

De gegevens die naar de server werden geüpload waren echter voor iedereen op internet toegankelijk, aangezien er geen beveiligingsmaatregelen aanwezig waren om de data te beschermen, aldus Amnesty International. De Ehteraz-app laat via een qr-code de gezondheidsstatus van de gebruiker zien. De qr-code gebruikt een kleurensysteem om de gezondheid van de gebruiker aan te geven.

Zo wordt de kleur rood gebruikt voor mensen die corona hebben. Met geel wordt aangegeven dat de gebruiker in quarantaine hoort te zijn en wordt grijs gebruikt om gevallen aan te geven waarvan wordt verdacht dat de gebruiker corona heeft of is blootgesteld aan het virus. Een groene qr-code geeft aan dat de gebruiker gezond is. Naast de kleur bevatte de qr-code ook persoonlijke informatie over de gebruiker, zoals de naam in het Engels en Arabisch, quarantainelocatie en naam van medische instelling waar de coronapatiënt wordt behandeld.

De qr-code wordt door de app bij de centrale server opgevraagd. Hiervoor maakt de app gebruik van het nationaal identiteitsnummer waarmee de gebruiker zich registreerde. Bij het opvragen van de qr-code vond er geen aanvullende authenticatie plaats. Hierdoor was het mogelijk voor een aanvaller om zich met een willekeurig identiteitsnummer te registreren en vervolgens de qr-code van de burger in kwestie op te vragen. Daar komt bij dat het nationaal identiteitsnummer van Qatar een consistent formaat volgt. Zodoende is het mogelijk om alle combinaties te genereren en daarmee de gegevens van de betreffende Ehteraz-gebruikers op te vragen die op de server waren verzameld.

Amnesty waarschuwde de autoriteiten in Qatar, waarna de namen en locatiegegevens uit de qr-code werden verwijderd. Daarnaast werd er afgelopen zondag een nieuwe versie van de app uitgebracht die voorkomt dat onbevoegden gegevens van gebruikers kunnen verzamelen. Amnesty heeft de nieuwe aanpassingen nog niet getest.

Image

https://www.security.nl/posting/658574/Verplichte+corona-app+Qatar+lekte+gegevens+van+%C3%A9%C3%A9n+miljoen+gebruikers?channel=rss

doorSecuratis

Telerik UI-lek gebruikt om organisaties met cryptominer te infecteren

Een kwetsbaarheid in de software Telerik UI wordt op het moment actief gebruikt om organisaties met een cryptominer te infecteren. Dat stelt securitybedrijf Red Canary. Via Telerik UI kunnen gebruikersinterface-elementen aan websites en webapplicaties worden toegevoegd.

Een kwetsbaarheid in de software maakt het mogelijk voor aanvallers om willekeurige bestanden naar de IIS-webserver te uploaden. Zodra de aanvallers toegang tot de server hebben gekregen proberen ze hun rechten te verhogen. Vervolgens wordt er vanaf de besmette webserver geprobeerd om systemen in het bedrijfsnetwerk aan te vallen. Hiervoor maken de aanvallers gebruik van het Remote Desktop Protocol (RDP).

Lukt het om via RDP met de bedrijfscomputers verbinding te maken dan installeren de aanvallers een cryptominer die de rekenkracht van de machine gebruikt voor het delven van de cryptovaluta Monero. Vorige week waarschuwde het Australische Cyber Security Centre (ACSC) nog dat het verschillende incidenten had onderzocht waarbij de aanvallers via het Telerik UI-lek waren binnengekomen. In april liet de Amerikaanse geheime dienst NSA nog weten dat de kwetsbaarheid zeer populair was onder aanvallers om webservers te compromitteren.

Sinds december vorig jaar is er een beveiligingsupdate beschikbaar die de kwetsbaarheid verhelpt. Het Canadese Centre for Cyber Security waarschuwde vorig jaar nog voor actief misbruik van drie andere kwetsbaarheden in Telerik UI die in combinatie met het nieuwe beveiligingslek worden gebruikt. Daarbij liet de Canadese overheidsinstantie weten dat Telerik soms als third-party onderdeel wordt geïnstalleerd, waardoor beheerders niet altijd weten dat het aanwezig is. Beheerders moeten dan ook handmatig naar de aanwezigheid van het bestand Telerik.Web.UI.dll zoeken. Het ACSC gaf in maart nog een zelfde advies.

https://www.security.nl/posting/658406/Telerik+UI-lek+gebruikt+om+organisaties+met+cryptominer+te+infecteren?channel=rss

doorSecuratis

Minister Grapperhaus: gebruik van corona-app zal vrijwillig zijn

Door karma4:

Door Reinder: Nu graag ook nog even duidelijk maken dat bedrijven en organisaties het gebruik van die app ook niet mogen afdwingen door bijvoorbeeld de toegang tot een winkel te weigeren aan mensen die de app niet gebruiken.

Raar dan is de verplichting om een rijbewijs te hebben voor het besturen van voertuig of het hebben van een passend vliegbrevet ook vrijwillig. De vrijwilligheid houdt op zodra er een bedreiging voor anderen is.

Nee dat is niet raar. De analogie met een rijbewijs gaat dan ook niet op. Als je een auto vergelijkt met een mobiele telefoon dan zou een rijbewijs een soort “telefoon- of internet-vaardigheidsbewijs” of zoiets zijn. Daar is ooit over gesproken, maar zoiets is er niet. Als je een analogie wil maken met een auto dan zou de app een soort zwarte doos zijn die je in je auto zou moeten inbouwen die precies bijhoudt wanneer je op welke weg rijdt, waar je hoe lang parkeert, en welke kentekens je onderweg tegenkomt. Kortom, je analogie gaat niet op, en je argumentatie ook niet.

We weten ondertussen dat je alles wil verplichten en het hele concept van privacy verafschuwt, maar helaas voor jou en gelukkig voor mensen die wel belang hechten aan burgerrechten en vrijheid is dat niet hoe dingen hier gedaan worden, het is niet social-score China. De vrijwilligheid houdt dan ook niet op, die stelling is domweg onwaar (zie ook de uitspraken van de minister). Er is geen verplichting om een mobiele telefoon met bluetooth en locatiediensten te bezitten, nog een plicht om daarop een of andere app te installeren, nog een plicht om de gegevens uit zo’n app te delen. Er zijn wel belangrijker zaken, die alledaagse risico’s van het leven overstijgen, zoals het eigendomsrecht, het recht op lichamelijke integriteit, het medisch beroepsgeheim en de bijbehorende vertrouwelijkheid, en het recht op bescherming van de persoonlijke levenssfeer. Echte rechten dus, niet de door jou zo gewenste en vaak verkeerd benoemde vluchtige privileges.

Misschien is China een geschikter land voor je, ik hoor dat ze daar goed zijn in van hogerhand opleggen en door de politie laten controleren wat voor appjes mensen moeten hebben en het zonder vorm van proces opsluiten van mensen die niet braaf in het gelid lopen?

https://www.security.nl/posting/658403/Minister+Grapperhaus%3A+gebruik+van+corona-app+zal+vrijwillig+zijn?channel=rss

doorSecuratis

Jailbreak voor meest recente iOS-versies online verschenen

Op internet is een tool verschenen waarmee eigenaren van een iPhone of iPad de meest recente versies van iOS kunnen jailbreaken, waaronder iOS 13.5 dat deze week uitkwam. Door middel van jailbreaking is het mogelijk om volledige controle over het toestel te krijgen en software op iPhones en iPads te installeren die bijvoorbeeld niet door Apple is goedgekeurd. Het kan dan gaan om applicaties van buiten de Apple App Store.

Voor het uitvoeren van de jailbreak wordt er gebruikgemaakt van één of mogelijk meerdere onbekende kwetsbaarheden. Details over deze beveiligingslekken zijn niet openbaar gemaakt. De ontwikkelaars van het “unc0ver” team stellen dat het de eerste zeroday-jailbreak is sinds iOS 8, waarmee wordt verwezen naar het gebruik van onbekende kwetsbaarheden. Alle jailbreaks die sinds iOS 9 verschenen maakten gebruik van kwetsbaarheden die al door Apple waren gepatcht of in een bètaversie van het besturingssysteem aanwezig waren.

In het verleden zijn er vaker jailbreaks voor iOS-toestellen verschenen. Vaak komt Apple niet veel later met beveiligingsupdates om de jailbreak-kwetsbaarheden te verhelpen. Het ontwikkelteam van de jailbreak stelt dat hun tool geen extra beveiligingslekken introduceert. De jailbreak is via Linux, macOS en Windows uit te voeren en werkt volgens de ontwikkelaars op iOS 11.0 tot en met 13.5. IOS-versies 12.3 tot en met 12.3.2 en versies 12.4.2 tot en met 12.4.5 worden niet ondersteund.

https://www.security.nl/posting/658293/Jailbreak+voor+meest+recente+iOS-versies+online+verschenen?channel=rss

doorSecuratis

Australische overheid legt uit hoe cybercriminelen te werk gaan

De afgelopen maanden zijn allerlei Australische organisaties door ransomware en datadiefstal getroffen, maar via acht essentiële maatregelen zijn de meeste van deze aanvallen te voorkomen, zo stelt de Australische overheid. In een nieuw document voor it-professionals en organisaties legt het Australische Cyber Security Centre (ACSC) uit hoe cybercriminelen en apt-groepen te werk gaan. Apt staat voor Advanced Persistent Threat en is een aanduiding die vaak voor statelijke actoren wordt gebruikt.

Het ACSC is naar eigen zeggen zowel dit jaar als vorig jaar bij tal van onderzoeken naar cyberaanvallen betrokken geweest. Aanleiding voor de overheidsinstantie om een overzicht te maken van de tactieken, technieken en procedures die de aanvallers bij deze aanvallen toepasten. Het overzicht bestaat uit de manier waarop de aanvallers toegang weten te krijgen en welke acties ze vervolgens nemen om toegang te behouden, overige systemen te infecteren en detectie te voorkomen. Ook het legt het ACSC uit hoe dergelijke aanvallen zijn te detecteren en voorkomen.

Toegang

Bij de onderzoeken waar het ACSC bij betrokken was bleek dat aanvallers op verschillende manieren waren binnengekomen. Zo was er onder andere gebruikgemaakt van de uploadfunctionaliteit van een webapplicatie waardoor er een webshell kon worden geüpload om toegang tot de webserver te krijgen. Ook maakten de aanvallers gebruik van rie bekende kwetsbaarheden uit 2017 in de Telerik-webgebruikersinterface. Via deze kwetsbaarheden is het mogelijk om een encryptisleutel te bruteforcen, die vervolgens is te gebruiken om op het systeem in te loggen en malware te uploaden.

Verder maken aanvallers gebruik van bekende kwetsbaarheden in Pulse Connect Secure VPN, Fortigate SSL VPN en Citrix Application Delivery Controller (ADC) / Citrix Gateway. Een andere manier om toegang te krijgen is het uitvoeren van bruteforce-aanvallen op de inlogpagina’s van webapplicaties, het versturen van malafide e-mailbijlagen. Het ACSC heeft ook aanvallen gezien waarbij slachtoffers zelf kwaadaardige Microsoft Access-databasebestanden hadden gedownload. Deze bestanden bevatten weer kwaadaardige code die, wanneer geopend met Microsoft Access, de aanvallers toegang tot het systeem geeft.

Zodra de aanvallers eenmaal toegang hebben proberen ze die te behouden en hun rechten te verhogen. Om detectie van de gebruikte malware te voorkomen maken de aanvallers gebruik van “Timestomping”, waarbij de timestamps van bestanden worden aangepast. Ook komt het voor dat de aanvallers logbestanden verwijderen. In veel gevallen proberen de aanvallers data van het systeem te stelen. Zo heeft het ACSC aanvallen gezien waarbij alle Exchange-mailboxes werden geëxporteerd zodra de aanvaller toegang tot de betreffende Exchange-servers had verkregen. Een andere veel toegepaste tactiek is het versleutelen van bestanden voor losgeld.

Essential Eight

Om zich tegen de beschreven aanvallen te wapenen adviseert het ACSC het implementeren van de “Essential Eight“. Acht maatregelen waarmee de kans op een succesvolle aanval aanzienlijk wordt verkleind, aldus de Australische overheidsinstantie. Het gaat dan om het patchen van besturingssystemen, patchen van applicaties, het gebruik van multifactorauthenticatie, het niet zomaar toekennen van beheerdersrechten aan gebruikers, het dagelijks maken van back-ups, het extra beveiligen van applicaties, het aanpassen van de macro-instellingen in Microsoft Office en het blokkeren van niet goedgekeurde applicaties.

https://www.security.nl/posting/658257/Australische+overheid+legt+uit+hoe+cybercriminelen+te+werk+gaan?channel=rss