Kwetsbaarheden CVE's


20242023 | 2022 | 2021




LibreOffice beschouwt niet-vertrouwde macro's door lek als vertrouwd

Een kwetsbaarheid in LibreOffice zorgt ervoor dat de software niet-vertrouwde macro's als vertrouwde macro's beschouwt, waar een aanvaller misbruik van kan maken. Er is een beveiligingsupdate uitgebracht om het probleem te verhelpen. LibreOffice ondersteunt het uitvoeren van macro's in documenten. Standaard voert LibreOffice alleen macro's uit als ze zijn opgeslagen in een vertrouwde bestandslocatie of ze door een vertrouwd certificaat zijn gesigneerd. Om te bepalen of een macro is gesigneerd door een vertrouwde auteur vergelijkt LibreOffice het gebruikte certificaat met de lijsten van vertrouwde certificaten die in de configuratiedatabase van de gebruiker zijn opgeslagen. De kwetsbaarheid zorgt ervoor dat LibreOffice bij de controle of een macro door een vertrouwde auteur is gesigneerd alleen kijkt of het serienummer en de string van de certificaatuitgever overeenkomen met een vertrouwd certificaat. Volgens LibreOffice is dit niet voldoende om te controleren dat de macro echt met een vertrouwd certificaat is gesigneerd. Een aanvaller kan een willekeurig certificaat genereren met een serienummer en uitgeversstring die gelijk zijn aan die van een vertrouwd certificaat. LibreOffice zou vervolgens de macro's in het document als vertrouwd beschouwen, terwijl die in werkelijkheid niet-vertrouwd zijn. De kwetsbaarheid (CVE-2022-26305) is niet te misbruiken wanneer het macro-beveiligingsniveau op zeer hoog staat ingesteld of de gebruiker niet over vertrouwde certificaten beschikt. Verder zijn erin LibreOffice twee kwetsbaarheden (CVE-2022-26307 en CVE-2022-26306) verholpen met betrekking tot encryptiesleutels en opgeslagen wachtwoorden. De master key die toegang tot opgeslagen wachtwoorden geeft bleek kwetsbaar voor bruteforce-aanvallen. Daarnaast bleek het mogelijk om wachtwoorden te achterhalen zonder het Master Password te weten. De kwetsbaarheden werden gevonden door het bedrijf OpenSource Security, dat op verzoek van de Duitse overheid LibreOffice onderzocht. Gebruikers wordt aangeraden om te updaten naar versies 7.2.7 of 7.3.3 of nieuwer.


Samba-kwetsbaarheid laat aanvaller wachtwoord van admin resetten

Een kwetsbaarheid in Samba zorgt ervoor dat een aanvaller het wachtwoord van de administrator en alle andere gebruikers kan aanpassen en zo volledige controle over het domain kan krijgen. Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Het is ook mogelijk om Samba als een Active Directory Domain Controller in stellen. Samba AD-gebruikers kunnen een wachtwoord reset uitvoeren. Hiervoor wordt er een ticket naar de server verstuurd en vindt er een controle plaats. Het beveiligingslek, aangeduid CVE-2022-32744, zorgde ervoor dat een aanvaller een wachtwoord reset voor een andere gebruiker kan aanvragen en de server dit verzoek accepteert. "Een gebruiker zou dus het wachtwoord van het administrator-account kunnen aanpassen en volledige controle over het domain kunnen krijgen. Compleet verlies van vertrouwelijkheid en integriteit zouden mogelijk zijn, alsmede beschikbaarheid door gebruikers geen toegang tot hun accounts te geven", aldus de advisory. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Samba-beheerders wordt aangeraden om te updaten naar 4.16.4, 4.15.9 of 4.14.14.


Kwetsbaarheid maakt uitschakelen en overnemen Nuki Smart Locks mogelijk

In de smart locks en bridges van fabrikant Nuki zijn meerdere kwetsbaarheden ontdekt waardoor het mogelijk is voor een aanvaller om een denial of service te veroorzaken of in het ergste geval de apparaten over te nemen. De fabrikant heeft inmiddels firmware-updates uitgebracht om de problemen te verhelpen. Nuki biedt verschillende smart locks die via een smartphone zijn te bedienen. Via de Nuki Bridge is het mogelijk om de sloten vanaf over de hele wereld te bedienen. Het apparaat fungeert als een link tussen het slot en het wifi-netwerk van de huiseigenaar. Onderzoekers van NCC Group analyseerden het Nuki Smart Lock en Bridge en troffen elf kwetsbaarheden aan waardoor verschillende soorten aanvallen mogelijk zijn. De impact van de elf kwetsbaarheden varieert op een schaal van 1 tot en met 10 tussen de 1.9 en 8.8. Via een beveiligingslek aangeduid als CVE-2022-32504, met een impactscore van 8.8, is het mogelijk voor een aanvaller om via een speciaal geprepareerd JSON-packet een buffer overflow te veroorzaken en zo willekeurige code op het Nuki Smart Lock of Bridge uit te voeren. Een ander beveiligingslek (CVE-2022-32509), waarvan de impact met een 8.5 is beoordeeld, maakt man-in-the-middle-aanvallen mogelijk. De Nuki-apparaten blijken namelijk de TLS-certificaten, gebruikt voor het versleutelen van netwerkverkeer, niet te valideren. Daardoor kan een aanvaller via een malafide certificaat een proxy opzetten en zo netwerkverkeer onderscheppen en aanpassen. Door CVE-2022-32504 en CVE-2022-32509 te combineren kan een aanvaller kwetsbare Nuki-apparaten overnemen. Daarnaast is het mogelijk om zowel het Nuki Smart Lock als Bridge via een denial of service-aanval uit te schakelen. Dit is mogelijk door het versturen van speciaal geprepareerde http- en bluetooth-pakketten. Nuki werd op 20 april van dit jaar over de kwetsbaarheden ingelicht en bracht op 9 juni een update uit. In de release notes wordt alleen gesproken over "bug fixes", maar in een blogpost wijst Nuki erop dat het om een "security-critical firmware update" gaat.


Door kwetsbaarheid FileWave MDM-servers op afstand over te nemen

Mobile device management (MDM) servers van leverancier FileWave zijn dankzij een kwetsbaarheid op afstand over te nemen, waardoor een aanvaller vervolgens onder alle beheerde smartphones en computers malware kan uitrollen of data kan stelen. Onderzoekers van securitybedrijf Claroty vonden ruim duizend FileWave MDM-servers die vanaf internet toegankelijk zijn. FileWave heeft wel een update uitgebracht, maar daarin wordt het probleem niet duidelijk vermeld. Via het MDM-platform kunnen beheerders de configuratie van apparaten beheren, locaties inzien, beveiligingsinstellingen aanpassen en data benaderen. Ook is het mogelijk om updates of applicaties uit te rollen, systemen te vergrendelen of op afstand apparaten te wissen. Onderzoekers ontdekten twee kwetsbaarheden in FileWave's MDM-oplossing, een authentication bypass en hard-coded cryptographic key, waardoor een aanvaller op afstand de authenticatie kan omzeilen om vervolgens als super-user ingelogd te worden. De FileWave MDM-oplossing maakt gebruik van een scheduler die zich via een "shared secret" bij de webserver authenticeert. Door dit shared secret met een request mee te sturen is het mogelijk om zonder gebruikersnaam en account toegang tot de server te krijgen en als super-user te worden ingelogd. Deze gebruiker heeft binnen de MDM-oplossing de hoogste rechten en maakt het mogelijk om allerlei zaken met beheerde smartphones en laptops te doen. Op internet werden meer dan elfhonderd FileWave-servers gevonden. Claroty waarschuwde FileWave dat de problemen in versie 14.7.2 van de software verhielp. In de release notes staan de kwetsbaarheden CVE-2022-34906 en CVE-2022-34907 echter niet vermeld en wordt er ook geen melding van "security fixes" gemaakt.


Securitybedrijf waarschuwt voor 10 kwetsbaarheden populair bij aanvallers

Vorig jaar werden er zo'n 20.000 kwetsbaarheden met een CVE-nummer geregistreerd. Dit jaar staat de teller al op bijna 14.000. Er zijn echter tien beveiligingslekken waar organisaties extra op moeten letten omdat ze populair bij aanvallers zijn, zo waarschuwt securitybedrijf Palo Alto Networks. De it-beveiliger maakte een top 10 van meest misbruikte kwetsbaarheden in 2021. Het overzicht wordt aangevoerd door de bekende Log4j-kwetsbaarheid, maar bestaat verder uit oudere beveiligingslekken van 2019 en 2020. Voor dit jaar en volgend jaar kwam Palo Alto ook met een lijst van tien kwetsbaarheden die zeer geliefd bij aanvallers zijn voor het aanvallen van organisaties. Ook deze lijst wordt aangevoerd door het Log4j-lek. Verder valt op dat software van de Apache Software Foundation vier keer in het overzicht voorkomt. Naast Log4j gaat het ook om kwetsbaarheden in Apache HTTP Server en Apache Struts 2. Voor het overzicht keek het securitybedrijf naar de ernst van de kwetsbaarheid, hoe veel gebruik er van de software wordt gemaakt, de impact voor organisaties, hoe complex het misbruik is en of er al misbruik van wordt gemaakt. Wat verder opvalt is dat nagenoeg alle kwetsbaarheden in de top 10 al vorig jaar werden ontdekt. Organisaties die de updates voor deze problemen nog niet hebben geïnstalleerd wordt aangeraden dit alsnog te doen.

CV Es Predicted As Top Threats For 2022 And 2023
Afbeelding – 131,5 KB 223 downloads

IPhones door kritieke kwetsbaarheid op afstand over te nemen

Een beveiligingsonderzoeker van Google heeft een kwetsbaarheid in iOS en iPadOS ontdekt waardoor het mogelijk is om iPhones en iPads op afstand volledig over te nemen. Het beveiligingslek, aangeduid als CVE-2022-32788, bevindt zich in AppleAVD, een framework voor het decoderen van audio en video. Bij veel kwetsbaarheden die op afstand zijn te misbruiken kan een aanvaller code met de rechten van de ingelogde gebruiker of applicatie uitvoeren. In het geval van het beveiligingslek dat Google-onderzoeker Natalie Silvanovich ontdekte kan een "remote user" code met kernelrechten kan uitvoeren, waardoor verregaande controle over het toestel mogelijk is. Volgens Apple gaat het om een "buffer overflow" in AppleAVD die een dergelijke aanval mogelijk maakt, maar verdere details worden niet gegeven. Eind maart kwam Apple nog met een beveiligingsupdate voor een actief aangevallen zerodaylek in AppleAVD waarmee iPhone-gebruikers werden aangevallen. De impact van dit beveiligingslek (CVE-2022-22675) was echter kleiner dan de nu verholpen kwetsbaarheid, aangezien een aanvaller al toegang tot de iPhone moest hebben om er misbruik van te maken. Naast de kwetsbaarheid in AppleAVD heeft Apple ook een beveiligingslek in CoreText verholpen waarmee een aanvaller op afstand code op iPhones en iPads kan uitvoeren. CoreText is een low-level programmeer-interface voor het verwerken van tekst en fonts. Het beveiligingslek (CVE-2022-32839) is ontdekt door een onderzoeker van het Singaporese securitybedrijf Star Labs. De impact van dit lek is echter kleiner dan het door Google ontdekte lek, omdat een aanvaller in dit geval geen kernelrechten krijgt. Kwetsbaarheid CVE-2022-32839 is ook aanwezig in macOS. Star Labs zegt dat het meer details over het beveiligingslek zal geven als ook een ander aan Apple gerapporteerde kwetsbaarheid is verholpen. Verder is Apple ook met updates gekomen voor kwetsbaarheden in ICU, ImageIO en WebKit die het mogelijk maken voor een aanvaller om via malafide webcontent en bestanden willekeurige code uit te voeren. Bij deze beveiligingslekken wordt echter niet gemeld dat ze door een "remote user" zijn te misbruiken. Updaten naar iOS 15.6 en iPadOS 15.6 kan via iTunes en de Software Update-functie van iOS en iPadOS.


Oracle verhelpt 188 kwetsbaarheden in groot aantal producten

Tijdens de patchronde van juli heeft Oracle in een groot aantal producten in totaal 188 kwetsbaarheden verholpen. Het softwarebedrijf rolde 349 patches uit voor 188 unieke problemen, waarvan er 29 als kritiek zijn aangemerkt. Via dergelijke kwetsbaarheden kan een aanvaller systemen op afstand overnemen. Het gaat onder andere om Oracle WebLogic Server, een product dat in het verleden vaker het doelwit van aanvallen is geworden. De impact van drie van de beveiligingslekken in WebLogic Server zijn op een schaal van 1 tot en met 10 beoordeeld met een 9.8. In het verleden wisten aanvallers kort na het uitkomen van de Oracle-updates exploits te ontwikkelen en daarmee kwetsbare servers aan te vallen. Verder kwam Oracle ook voor verschillende producten met een update voor de Spring4Shell-kwetsbaarheid. In het geval van verschillende Oracle Communications-oplossingen is de impactscore van dit lek met een 10.0 beoordeeld. Net als bij vorige patchrondes herhaalt Oracle de waarschuwing dat het geregeld berichten ontvangt van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Vanwege de dreiging van een succesvolle aanval adviseert Oracle organisaties om de beveiligingsupdates zo snel mogelijk te installeren. Oracle brengt niet maandelijks maar elk kwartaal updates uit. De volgende patchronde staat gepland voor 18 oktober 2022.


Beveiligingslek in gps-tracker maakt fysiek stoppen van voertuigen mogelijk

Verschillende kwetsbaarheden in een veelgebruikte gps-tracker voor voertuigen maakt het onder andere mogelijk voor aanvallers om deze voertuigen fysiek te stoppen of de bewegingen van het voertuig te volgen. Hoewel de fabrikant werd gewaarschuwd voor de beveiligingslekken zijn er geen updates beschikbaar. De gps-trackers worden onder andere door overheden, strijdkrachten en Fortune 1000-bedrijven gebruikt. De kwetsbaarheden zijn aanwezig in de MV720 gps-tracker van Micodus. Het Chinese bedrijf claimt 420.000 klanten die van 1,5 miljoen gps-trackers gebruikmaken. De MV720 is een "hardwired" gps-tracker die verschillende features biedt, waaronder diefstalpreventie, het onderbreken van de brandstoftoevoer, remote control en geofencing. Gebruikers kunnen de gps-tracker, die met een webserver van Micodus communiceert, via een app en sms bedienen. Onderzoekers van securitybedrijf BitSight ontdekten vijf kwetsbaarheden waardoor een aanvaller op afstand de gps-trackers kan besturen (pdf). Het gaat onder andere om het gebruik van hardcoded credentials, het zonder authenticatie uitvoeren van sms-gebaseerde gps-commando's en twee IDOR-kwetsbaarheden. IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo blijkt dat de gps-tracker standaard met het wachtwoord "123456" wordt geleverd, waarmee iedereen het apparaat kan benaderen als gebruikers geen ander wachtwoord instellen. De onderzoekers deden een steekproef met duizend gps-trackers waarvan bij 95 procent het standaardwachtwoord niet was gewijzigd. Vermoedelijk omdat gebruikers tijdens de installatie niet wordt gevraagd een ander wachtwoord in te stellen. Via de twee IDOR-kwetsbaarheden kan een ingelogde gebruiker of aanvaller de data van andere gps-trackers opvragen door alleen het device-id in de url te wijzigen. Vervolgens zijn zaken zichtbaar als naam, kentekenplaat, simkaartnummer en allerlei andere informatie. De impact van verschillende kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. BitSight waarschuwde Micodus vorig jaar september. Ondanks herhaaldelijke pogingen stelt het securitybedrijf dat het bedrijf niet reageerde en geen updates heeft uitgebracht. BitSight adviseert organisaties om de gps-trackers zolang er geen update beschikbaar is uit te schakelen.

Mi CODUS GPS Report Final
PDF – 6,6 MB 226 downloads

Honderden kwetsbaarheden in diverse Oracle producten

Oracle heeft tijdens haar kwartaalupdate honderden beveiligingsupdates uitgebracht waarmee kwetsbaarheden in een breed scala aan producten worden verholpen. De meest kritieke kwetsbaarheden bevinden zich in:

•    Oracle Communications;
•    Oracle Communications Applications; 
•    Oracle Fusion Middleware. 

Wat is het risico?

Binnen het Oracle Communications Cloud Native Core Security Edge Protection Proxy component maakt de kwetsbaarheid met CVE-2022-22947 het mogelijk voor een ongeautoriseerde kwaadwillende om op afstand willekeurige code uit te voeren. Deze kwetsbaarheid is aangemerkt met de hoogst mogelijke CVSS-score van 10.0. 

In Oracle Communications Applications hebben de kwetsbaarheden CVE-2022-22965, CVE-2022-23305 en CVE-2022-23632 een CVSS score van 9.8 gekregen. Deze kwetsbaarheden maken het voor een ongeautoriseerde kwaadwillende op afstand mogelijk om toegang te verkrijgen tot zeer gevoelige gegevens.

Ook in Oracle Fusion Middleware zijn meerdere kwetsbaarheden aangetroffen die het mogelijk maken om gevoelige gegevens in te zien, aan te passen en andere beveiligingsmaatregelen te omzeilen. 

Het NCSC schaalt deze kwetsbaarheden in als 'High/High'; de kans op misbruik op korte termijn én de potentiële schade is groot. Dit advies is gepubliceerd met als referentie: NCSC-2022-0460, NCSC-2022-0461 en NCSC-2022-0462.

Wat kun je doen?

Vanwege de ernst van sommige kwetsbaarheden is het raadzaam na te gaan welke producten je organisatie gebruikt en installeer zo spoedig mogelijk de door Oracle ter beschikking gestelde updates. 

Weet je niet zeker of je gebruik maakt van een kwetsbaar Oracle product? Neem dan contact op met je IT-dienstverlener. Uitgebreide en recente informatie over de genoemde kwetsbaarheden is op de website van Oracle te vinden.  


Microsoft vindt kwetsbaarheid in macOS die sandbox escape mogelijk maakt

Onderzoekers van Microsoft hebben een kwetsbaarheid in macOS ontdekt waardoor een malafide app uit de App Sandbox kan breken om vervolgens zonder beperkingen op het systeem te draaien. Apple bracht in mei updates uit voor de kwetsbaarheid (CVE-2022-26706) die zowel door Microsoft als een andere beveiligingsonderzoeker was ontdekt en gerapporteerd aan Apple. Microsoft heeft nu meer details over het beveiligingslek openbaar gemaakt. Apple probeert met de App Sandbox de schade te beperken die een malafide app kan aanrichten. Zo stelt de sandbox beperkingen aan het lezen en schrijven van bestanden, alsmede tot welke systeembronnen en gebruikersdata een app toegang heeft. Tijdens onderzoek naar het uitvoeren en detecteren van kwaadaardige macro's in Microsoft Office werd het probleem gevonden. Microsoft-onderzoeker Jonathan Bar Or ontdekte dat de beperkingen van de sandbox via speciaal geprepareerde code, bijvoorbeeld in een Word-macro, is te omzeilen. Vervolgens kan een aanvaller zijn rechten op het systeem verhogen om malafide commando's uit te voeren, zoals het uitvoeren van aanvullende kwaadaardige code. Gebruikers van onder andere iOS en macOS wordt aangeraden om te updaten naar de nieuwste versie van het besturingssysteem. "Ons onderzoek laat zien dat zelfs de ingebouwde beveiligingsfeatures in macOS zijn te omzeilen, waardoor systeem- en gebruikersdata is te compromitteren. Daarom is samenwerking tussen beveiligingsonderzoekers, softwareleveranciers en de securitygemeenschap cruciaal in het beschermen van de algehele gebruikerservaring. Het gaat dan ook om het verantwoordelijk melden van kwetsbaarheden aan leveranciers", aldus Bar Or.

Uncovering A Mac OS App Sandbox Escape Vulnerability
PDF – 805,0 KB 227 downloads

Onderzoekers vinden UEFI-kwetsbaarheden in 70 laptop modellen Lenovo

Onderzoekers van antivirusbedrijf ESET hebben in meer dan zeventig verschillende laptop modellen van Lenovo kwetsbaarheden in de UEFI-firmware ontdekt waardoor een aanvaller verschillende soorten aanvallen kan uitvoeren. Lenovo heeft firmware-updates uitgerold om de beveiligingslekken te verhelpen. Het gaat om drie kwetsbaarheden, aangeduid als CVE-2022-1890, CVE-2022-1891 en CVE-2022-1892. De beveiligingslekken bevinden zich in de drivers voor onder andere Ready Boot en de System Boot Manager en laten een aanvaller met lokale rechten willekeurige code uitvoeren. Volgens ESET is het zo mogelijk om code in de beginfase van het booten uit te voeren, waardoor aanvallers het laden van het besturingssysteem kunnen kapen en verschillende belangrijke beveiligingsfeatures kunnen uitschakelen. Gebruikers van kwetsbare modellen wordt aangeraden om de firmware-updates te installeren.


Microsoft waarschuwt voor actief aangevallen zerodaylek in Windows

Microsoft heeft een actief aangevallen zerodaylek in Windows verholpen waardoor een aanvaller die al toegang tot een systeem heeft systeemrechten kan krijgen. Federale Amerikaanse overheidsinstanties zijn door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security verplicht om de door Microsoft beschikbaar gestelde update voor 2 augustus te installeren. Het beveiligingslek, aangeduid als CVE-2022-22047, bevindt zich in het Client Server Runtime Subsystem van Windows en is met name verantwoordelijk voor de Win32 console en het uitschakelen van de GUI en is essentieel voor de werking van het systeem. Het onderdeel bevat een "Elevation of Privilege" kwetsbaarheid waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen naar SYSTEM. Daarmee krijgt de aanvaller volledige controle over het systeem. Het is niet mogelijk om op afstand via dit lek toegang tot een systeem te krijgen. Volgens Microsoft is de kwetsbaarheid bij zeroday-aanvallen gebruikt, maar verdere details worden niet door het techbedrijf gegeven. Het was Microsoft zelf dat het lek ontdekte. Voor alle ondersteunde versies van Windows zijn beveiligingsupdates uitgebracht, die op de meeste systemen automatisch worden geïnstalleerd.


Waarschuwing voor MILJOENEN Microsoft-gebruikers om instellingen te wijzigen onmiddellijk nadat een ‘ernstige’ zero-day-kwetsbaarheid is gesignaleerd

Microsoft heeft een ‘ernstige’ nieuwe kwetsbaarheid op Edge gevonden – hier leest u hoe u uzelf kunt beschermen. Er is een nieuwe zero-day-fout ontdekt op Microsoft Edge, bijgehouden als CVE-2022-2294. Dit beveiligingslek in de Edge-software van Microsoft stelt gebruikers bloot aan hackers die de controle over hun computers kunnen overnemen. Experts denken dat de fout afkomstig is van het Chromium-project of de open-sourcecode die de Chrome-browser van Google gebruikt, volgens Digital Trends. Omdat Microsoft dezelfde basiscode voor zijn browser gebruikt, hebben dezelfde bugs de neiging om zowel Edge als Chrome te beïnvloeden. Na het ontdekken van de fout in zijn software, heeft Microsoft donderdag snel een noodpatch gegeven. “Deze update bevat een oplossing voor CVE-2022-2294, waarvan het Chromium-team heeft gemeld dat het een exploit in het wild heeft”, aldus het bedrijf in het patchlogboek. De Edge-build die het gat heeft gedicht, is 103.0.1264.48, volgens Tech Radar. Voor veel gebruikers zou de patch automatisch van kracht moeten zijn in Edge. Dit is echter niet voor iedereen het geval en gebruikers wordt geadviseerd om hun softwareversies onmiddellijk te controleren en bij te werken. Ga naar het browsermenu om er zeker van te zijn dat u de nieuwste versie van Edge gebruikt. Navigeer vanaf daar naar Help en Feedback en ga vervolgens naar Over Microsoft Edge. Als u niet de nieuwste versie gebruikt, zal Microsoft u op die pagina informeren. Mocht dat het geval zijn, klik dan gewoon op de update, selecteer Downloaden en klik vervolgens op Installeren.


Salt Security ontdekt kwetsbaarheid in API van cryptocurrency platform

Salt Security kondigt vandaag aan dat haar research afdeling, Salt Labs, een API beveiligingslek heeft ontdekt bij een groot cryptocurrency platform. Het platform, dat wereldwijd twee miljoen gebruikers heeft, biedt een breed scala aan diensten waarmee klanten online cryptocurrencies kunnen kopen en uitwisselen. Salt Labs ontdekte het lek bij externe authenticatie logins, waardoor cybercriminelen grootschalige ATO aanvallen (Account Take Over) zouden kunnen uitvoeren op de accounts van klanten. De onderzoekers van Salt Labs ontdekten de kwetsbaarheid in de ‘User Login functionaliteit’ van het platform, toen ze gebruik maakten van de Google authenticatie functie. Net als veel externe authenticatiemethoden maakt Google gebruik van een standaard OpenID Connect (OIDC), wat een uitbreiding is op een andere veelgebruikte autorisatiestandaard, OAuth 2.0. Het cryptocurrency platform slaagde er niet in om OIDC correct te implementeren, waardoor het ID-verzoek voor de gebruikersauthenticatie naar de applicatieserver werd gestuurd en niet uitsluitend naar de OIDC-service.


"Financiële sector moet updates en end-of-life systemen meer aandacht geven"

De weerbaarheid van de financiële sector tegen cyberaanvallen is nog niet voldoende. Zo moet er meer aandacht voor patchmanagement en end-of-life systemen komen, zo blijkt uit onderzoek van De Nederlandsche Bank (DNB). Vandaag publiceerden toezichthouders van verschillende sectoren het rapport "Samenhangend inspectiebeeld cybersecurity vitale processen". Daarin pleiten de toezichthouders gezamenlijk voor meer aandacht voor het risicomanagement bij organisaties. De toezichthouders geven ook per sector aan wat ze tijdens het toezicht tegenkwamen. In het geval van DNB hebben de onderzoeken bij financiële instellingen drie hoofdthema's opgeleverd. Het risicomanagement gericht op informatiebeveiliging moet beter, het beheersen van informatiebeveiliging in ketens vereist meer aandacht en de weerbaarheid tegen cyberaanvallen moet worden versterkt. Zo ontbreekt het bij sommige financiële instellingen aan een volledig inzicht in de beheersmaatregelen bij dienstverleners en eventuele onderaannemers die zijn betrokken in de uitbestedingsketen. "Deze waarnemingen kunnen cyberrisico’s opleveren voor instellingen, immers door uitbesteding worden instellingen blootgesteld aan het aanvalsoppervlak van de dienstverlener. Steeds vaker blijkt dat gerichte cyberaanvallen op organisaties en bedrijven starten bij een dienstverlener van de financiële instelling", aldus DNB. Verder blijkt dat er bij financiële instellingen nog veel risico's zijn op het gebied van cyberhygiëne. Het gaat dan om volwassenheid van vulnerability & patch management, beheersing van end-of-life systemen en cyberweerbaarheid en het testen op basis van een risicoanalyse om zwakheden op te sporen. In veel gevallen is er geen goed overzicht van de belangrijkste it-middelen of een goed inzicht in de mogelijke kwetsbaarheden daarvan. DNB merkt op dat in het geval van zeer ernstige kwetsbaarheden, zoals het Log4j-lek, financiële instellingen weliswaar snel reageren, "maar het tegelijkertijd complex was om vast te stellen hoe kwetsbaar zij waren als gevolg van onduidelijkheid rondom de aanwezigheid van Log4j inactieve it-assets." Tenslotte blijft volgens DNB response en recovery een blijvend aandachtsgebied voor de financiële sector in het kader van weerbaarheid tegen cyberaanvallen. Zo moeten reguliere business continuity en recovery plannen die zijn opgezet om zeer snel te kunnen herstellen van scenario’s zoals stroomuitval of brand waarschijnlijk worden uitgebreid om effectief te kunnen zijn bij grootscheepse cyberaanvallen zoals een ransomware-aanval.

Rapport Samenhangend Inspectiebeeld Cybersecurity Vitale Processen
PDF – 1,2 MB 234 downloads

Google verhelpt actief aangevallen zerodaylek in Chrome

Google heeft voor de vierde keer dit jaar een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Chrome. De kwetsbaarheid, aangeduid als CVE-2022-2294, bevindt zich in het WebRTC-onderdeel van Chrome, dat browsers van Real-Time Communicatie (RTC) voorziet, zoals online video. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid in kwestie was gevonden door een onderzoeker van antivirusbedrijf Avast en op 1 juli gerapporteerd aan Google. Verder verhelpt de nu uitgebrachte update ook twee andere kwetsbaarheden waarvan de impact door Google als "high" is beoordeeld. Google Chrome 103.0.5060.114 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.


OpenSSL waarschuwt voor ernstige bug die aanvaller code laat uitvoeren

Het OpenSSL-team heeft vandaag een beveiligingsupdate uitgebracht voor een "ernstige bug" die remote code execution mogelijk maakt, waardoor een aanvaller op afstand code op kwetsbare servers kan uitvoeren. Het probleem doet zich alleen voor in de 3.0-versie van OpenSSL. OpenSSL 1.1.1 en 1.0.2 zijn niet kwetsbaar. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen grote gevolgen hebben, zoals het Heartbleed-lek in het verleden heeft aangetoond. De kwetsbaarheid (CVE-2022-2274) waarvoor nu wordt gewaarschuwd werd geïntroduceerd met de 3.0.4 release van OpenSSL en bevindt zich in de RSA-implementatie voor processors die de Intel's Advanced Vector Extensions 512 (AVX512) ondersteunen. Verschillende algoritmes gebruiken deze instructieset voor het uitvoeren van berekeningen. Wanneer deze systemen van een RSA-implementatie met 2048-bit private keys gebruikmaken, zorgt de bug ervoor dat er tijdens het opzetten van een beveiligde verbinding waarbij gebruik wordt gemaakt van RSA private keys heap memory corruption ontstaat en een aanvaller code op de server kan uitvoeren. Het probleem speelt bij SSL/TLS-servers en andere servers die van 2048-bit RSA private keys gebruikmaken op een processor die AVX512-IFMA-instructies ondersteunt. Het gaat om processoren die de afgelopen jaren uitkwamen. Intel heeft echter besloten om AVX512-support op Alder Lake-processoren uit te schakelen. De kwetsbaarheid werd op 22 juni door beveiligingsonderzoeker Xi Ruoyao gevonden, die tevens de oplossing ontwikkelde. Volgens beveiligingsonderzoeker Guido Vranken is het triviaal voor een aanvaller om misbruik van het beveiligingslek te maken. De impact van het lek is echter beperkt doordat de meeste servers OpenSSL versie 1.1.1 draaien, niet de nieuwere 3-versie. Beheerders die versie 3.0.4 op hun servers draaien krijgen het advies om te updaten naar OpenSSL 3.0.5.


Google trekt lessen uit achttien zerodaylekken in eerste helft van dit jaar

In de eerste helft van dit jaar zijn er achttien zerodaylekken (pdf) gebruikt bij aanvallen tegen organisaties en internetgebruikers. Zeker de helft van deze kwetsbaarheden had voorkomen kunnen worden als de betreffende softwareleverancier betere updates en regressietests had doorgevoerd, zo stelt Google. Het techbedrijf kreeg met de meeste zerodays (5) te maken, gevolgd door Apple (4), Microsoft (4), Mozilla (2), Atlassian (1), Sophos (1) en Trend Micro (1). Zerodays zijn kwetsbaarheden waar op het moment van de aanval geen update van de leverancier voor beschikbaar is. Volgens Google waren zeker negen zerodays varianten van eerder gepatchte kwetsbaarheden. Het techbedrijf stelt dat de helft van de waargenomen zerodaylekken in de eerste helft van dit jaar voorkomen had kunnen worden door betere patches en regressietests. Verder blijkt dat vier van de dit jaar ontdekte zerodays varianten zijn van zerodaylekken die vorig jaar al door aanvallers werden gebruikt. "Wanneer mensen aan zeroday-exploits denken hebben ze vaak het idee dat ze zo technologisch geavanceerd zijn dat er geen kans is om ze te vinden en voorkomen. De data laat een ander verhaal zien. Zeker de helft van de zerodays die we tot nu toe hebben gezien zijn nauw verwant aan eerder waargenomen bugs", aldus Maddie Stone van Google. Ze voegt toe dat veel van de zerodays het gevolg zijn van het niet volledig patchen van de hoofdoorzaak. Daardoor kunnen aanvallers op een andere manier opnieuw van het probleem misbruik maken. Volgens Stone is het belangrijk dat softwareontwikkelaars met uitgebreide en juiste fixes komen, zodat het lastiger wordt voor aanvallers om zerodaylekken te kunnen gebruiken. Om beter inzicht in de onderliggende problemen van zerodaylekken te krijgen heeft Google de "root cause analyses" van meerdere zerodays gepubliceerd en roept andere softwareleveranciers op om hetzelfde te doen.

0 Day In The Wild 2022
PDF – 67,8 KB 289 downloads

Zimbra-mailservers door middel van RAR-bestand over te nemen

Onderzoekers hebben een manier gevonden waardoor het mogelijk is om Zimbra-mailserver door middel van alleen een malafide RAR-bestand over te nemen. De enige vereiste is de aanwezigheid van een kwetsbare versie van de UnRar-software voor het uitpakken van RAR-bestanden. Een path traversal-kwetsbaarheid in UnRar maakt het mogelijk voor een aanvaller om door middel van een malafide RAR-bestand bestanden naar locaties te schrijven waar dat niet de bedoeling is. In het geval van Zimbra kan een aanvaller zodoende toegang krijgen tot elke verstuurde en ontvangen e-mail op de gecompromitteerde mailserver, inloggegevens van gebruikers stelen en code op de server uitvoeren. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Zoals gezegd is de enige vereiste voor het uitvoeren van de aanval de aanwezigheid van een kwetsbare UnRar-versie. Volgens onderzoekers van securitybedrijf SonarSource, die het probleem ontdekten, is de aanwezigheid van UnRar te verwachten, aangezien de software nodig is om RAR-bestanden uit te pakken en op malware en spam te kunnen controleren. Een path traversal-kwetsbaarheid in UnRar zorgt ervoor dat een aanvaller via een malafide RAR-bestand overal op het filesystem van de mailserver kan schrijven. De onderzoekers merken op dat het probleem niet direct ligt in de Zimbra-mailserversoftware, maar misbruik alleen mogelijk is vanwege de ruime permissies die Zimbra aan UnRar toekent. De kwetsbaarheid, aangeduid als CVE-2022-30333, is in UnRar 6.12 en nieuwer verholpen. Zimbra heeft aanpassingen aan de software doorgevoerd en roept beheerders op om voortaan van archiveringssoftware 7-Zip gebruik te maken en UnRar wanneer geïnstalleerd te verwijderen. Verder merken de onderzoekers op dat de meeste services waarvan Zimbra gebruikmaakt als de Zimbra-user draaien. Er is echter nog geen oplossing beschikbaar voor Zimbra-beheerders om de permissies van de verschillende services te hardenen.


FBI waarschuwt voor ransomware die organisaties via rdp binnendringt

De FBI en verschillende andere Amerikaanse overheidsinstanties hebben een gezamenlijke waarschuwing gegeven voor ransomware die voornamelijk via kwetsbare rdp-configuraties organisaties binnendringt. Het zou dan gaan om rdp-systemen die kwetsbaar voor bruteforce-aanvallen zijn. Daarnaast gebruiken de criminelen achter de MedusaLocker-ransomware ook e-mailbijlagen als aanvalsvector. MedusaLocker wordt aangeboden als Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De verspreider van de ransomware krijgt zo'n zestig procent van het losgeld, de rest gaat naar de ontwikkelaar. Eenmaal actief op een systeem schakelt MedusaLocker bepaalde beveiligings-, boekhoud en forensische software uit, zo laten de Amerikaanse overheidsdiensten weten. Vervolgens wordt de machine in veilige modus herstart om detectie door beveiligingssoftware te voorkomen. Hierna worden allerlei bestanden versleuteld en lokale back-ups en shadow kopieën verwijderd. Tevens schakelt de ransomware verschillende herstelopties van het besturingssysteem uit. In de waarschuwing geeft de FBI verschillende Indicators of Compromise, zoals gebruikte bitcoinwallets, e-mailadressen en ip-adressen, die organisaties kunnen gebruiken om zich te beschermen. Ook worden tips gegeven om infecties te voorkomen, zoals het uitschakelen van ongebruikte poorten, updaten van software, verplichten van multifactorauthenticatie en het focussen op cybersecurity awareness en training.

Alert AA 22 181 A Stop Ransomware Medusa Locker
PDF – 348,5 KB 209 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers