Kwetsbaarheden CVE's

2024 | 2023 | 2022 | 2021

december | november | oktober | september | augustus | juli | juni | mei | april | maart | februari | januari

Kwetsbaarheden nieuws

Kritiek Beveiligingslek in Microsoft SharePoint Server: Exploit Code Openbaar Gemaakt op GitHub

Een ernstig beveiligingslek in Microsoft SharePoint Server, getraceerd als CVE-2023-29357, kan ongeauthenticeerde aanvallers administratorrechten verlenen door middel van een authenticatie-omzeiling. Het bewijs-van-concept (Proof-of-Concept, PoC) van deze kwetsbaarheid is openbaar gemaakt op GitHub, wat het risico van misbruik vergroot. De kwetsbaarheid stelt aanvallers in staat om een netwerkaanval uit te voeren die de authenticatie omzeilt en hen toegang geeft tot de rechten van een geauthenticeerde gebruiker. Microsoft heeft in juni een patch uitgebracht om dit probleem aan te pakken. Volgens een technische analyse van STAR Labs onderzoeker Nguyễn Tiến Giang (Janggggg) kan dit beveiligingslek worden gecombineerd met een ander kritiek lek, geïdentificeerd als CVE-2023-24955, voor het uitvoeren van opdrachtinjectie en uiteindelijk remote code-executie (RCE). Janggggg wist met succes RCE te bereiken op een Microsoft SharePoint Server en won een beloning van $100.000 tijdens de Pwn2Own-wedstrijd in maart 2023 in Vancouver. Een dag na het openbaar maken van deze technische analyse verscheen de PoC-exploit voor CVE-2023-29357 op GitHub. Hoewel deze PoC geen onmiddellijke RCE mogelijk maakt, merkt de ontwikkelaar op dat het kan worden gecombineerd met het CVE-2023-24955-lek om dit wel te bereiken. Vanuit een verdedigend oogpunt is een YARA-regel beschikbaar om netwerkverdedigers te helpen bij het analyseren van logbestanden voor tekenen van mogelijke exploitatie. Hoewel er patches zijn uitgegeven, is het sterk aanbevolen deze zo snel mogelijk toe te passen als preventieve maatregel tegen mogelijke aanvallen. Het is slechts een kwestie van tijd voordat kwaadwillige actoren of andere onderzoekers de volledige exploitketen reproduceren om volledige RCE te bereiken. (bron, bron2)

Kritieke Kwetsbaarheid in Exim-mailservers Stelt Servers Bloot aan Remote Code Execution

In de populaire e-mailserversoftware Exim is een ernstige kwetsbaarheid ontdekt die het mogelijk maakt voor ongeautoriseerde aanvallers om remote code execution uit te voeren. Het beveiligingsbedrijf ZDI heeft deze kwetsbaarheid, aangeduid als CVE-2023-42115, geïdentificeerd en Exim werd hierover al in juni vorig jaar geïnformeerd. Helaas is er nog geen beveiligingsupdate beschikbaar om dit probleem aan te pakken. De kwetsbaarheid bevindt zich in de smtp-service van Exim en wordt veroorzaakt door onvoldoende validatie van gebruikersinvoer. Dit opent de deur voor aanvallers om een 'out-of-bounds write' uit te voeren, wat het mogelijk maakt om willekeurige code uit te voeren op de kwetsbare servers. Deze kwetsbaarheid wordt als zeer ernstig beschouwd en kreeg een beoordeling van 9.8 op een schaal van 1 tot 10. Wat nog zorgwekkender is, is dat er momenteel geen gedetailleerde technische informatie beschikbaar is over deze kwetsbaarheid, waardoor het moeilijk is om effectieve mitigatiemaatregelen te nemen. ZDI heeft Exim herhaaldelijk verzocht om een update uit te brengen, maar tot op heden is er geen respons geweest. Dit heeft geleid tot bezorgdheid over het vermogen van Exim om adequaat te reageren op beveiligingsincidenten. Hoewel er momenteel geen beveiligingspatch beschikbaar is, adviseert ZDI gebruikers om de interactie met de Exim-applicatie te beperken om het risico te verminderen. Het is belangrijk op te merken dat Exim in het verleden vaak het doelwit was van aanvallen vanwege kwetsbaarheden. Deze recente ontwikkeling onderstreept opnieuw het belang van regelmatige beveiligingsupdates en het beheer van e-mailservers. In de tussentijd blijft de cybersecuritygemeenschap waakzaam en hoopt op een spoedige reactie van Exim om deze kritieke kwetsbaarheid aan te pakken. Gebruikers van Exim-servers worden aangemoedigd om op de hoogte te blijven van updates en beveiligingsadviezen om hun systemen te beschermen tegen mogelijke aanvallen. (bron, bron2)

Mozilla brengt noodpatch uit voor libvpx-zeroday in Firefox

Mozilla heeft onlangs een dringende patch vrijgegeven voor een actief aangevallen zeroday-lek in libvpx, dat ook door Firefox wordt gebruikt. Deze kwetsbaarheid werd actief misbruikt om Google Chrome-gebruikers met spyware te infecteren, zoals onthuld door Google. Het techbedrijf bracht woensdag een update uit voor Chrome om dit probleem aan te pakken. Libvpx is een videocodec-bibliotheek ontwikkeld door Google en de Alliance for Open Media. Wanneer het een kwaadaardige VP8-mediastream verwerkt, kan er een heap-bufferoverflow optreden, waardoor een aanvaller code binnen de browser kan uitvoeren. Om kwetsbaar te zijn, moet een slachtoffer een kwaadaardige of gecompromitteerde website bezoeken. Het is belangrijk op te merken dat zowel Chrome als Firefox libvpx gebruiken. In het geval van Google Chrome werd de kwetsbaarheid als 'hoog' geclassificeerd, wat betekent dat alleen het uitvoeren van code binnen de browser mogelijk was. In tegenstelling hiermee betreft het bij Mozilla een kritieke kwetsbaarheid, waardoor een aanvaller code kan uitvoeren op het onderliggende systeem. Om deze kwetsbaarheid aan te pakken, zijn de volgende updates vrijgegeven: Mozilla Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus for Android 118.1 en Firefox for Android 118.1. Het is van groot belang dat gebruikers van Firefox onmiddellijk deze updates installeren om zichzelf te beschermen tegen mogelijke aanvallen. Deze patch dicht een ernstige beveiligingslacune en vermindert het risico op schadelijke activiteiten op het internet. Zorg ervoor dat uw browser up-to-date is om uw online veiligheid te waarborgen. Als cybercrime en darkweb trendwatcher is het cruciaal om op de hoogte te blijven van dergelijke beveiligingsincidenten, aangezien ze een directe impact kunnen hebben op de online veiligheid van gebruikers. Het delen van deze informatie via platforms zoals Cybercrimeinfo draagt bij aan bewustwording en kennisdeling, en kan helpen bij het voorkomen van cyberdreigingen. Blijf alert en informeer anderen over het belang van regelmatige software-updates en beveiligingspatches om cybercriminaliteit te bestrijden. (bron, bron2)

Progress waarschuwt voor maximale ernst van WS_FTP Server kwetsbaarheid

Progress Software, de maker van het MOVEit Transfer bestandsoverdrachtsplatform dat recentelijk werd misbruikt in grootschalige datadiefstal aanvallen, heeft klanten gewaarschuwd om een maximale ernst kwetsbaarheid in zijn WS_FTP Server software te patchen. Duizenden IT-teams wereldwijd maken gebruik van de enterprise-grade WS_FTP Server software van het bedrijf voor beveiligde bestandsoverdracht. In een advies dat op woensdag is gepubliceerd, heeft Progress meerdere kwetsbaarheden onthuld die van invloed zijn op de beheerinterface en de Ad hoc Transfer Module van de software. Van alle WS_FTP Server beveiligingsproblemen die deze week zijn gepatcht, zijn er twee als kritiek beoordeeld. Een daarvan, aangeduid als CVE-2023-40044, heeft een maximale ernstbeoordeling van 10/10 gekregen en stelt ongeauthenticeerde aanvallers in staat om externe commando's uit te voeren na succesvolle uitbuiting van een .NET deserialisatiekwetsbaarheid in de Ad Hoc Transfer module. De andere kritieke bug (CVE-2023-42657) is een kwetsbaarheid voor directory traversal die aanvallers in staat stelt om bestandsbewerkingen buiten het geautoriseerde WS_FTP-maptraject uit te voeren. Progress merkte op dat aanvallers ook de context van de WS_FTP Server-bestandsstructuur kunnen verlaten en dezelfde bewerkingen (verwijderen, hernoemen, rmdir, mkdir) kunnen uitvoeren op bestands- en maplocaties op het onderliggende besturingssysteem. Volgens de CVSS:3.1 beoordeling van het bedrijf voor beide kwetsbaarheden kunnen aanvallers ze benutten in aanvallen met een lage complexiteit die geen interactie van gebruikers vereisen. Progress waarschuwt sterk voor een upgrade naar de nieuwste versie, namelijk 8.8.2, als de enige manier om dit probleem te verhelpen. Er zal een onderbreking van het systeem zijn tijdens de upgrade. Het bedrijf heeft ook informatie gedeeld over hoe de kwetsbare WS_FTP Server Ad Hoc Transfer Module kan worden verwijderd of uitgeschakeld als deze niet wordt gebruikt. Progress heeft nog steeds te maken met de nasleep van een uitgebreide reeks datadiefstal aanvallen na de uitbuiting van een zero-day in het MOVEit Transfer beveiligde bestandsoverdrachtsplatform door de Clop ransomware bende, startend op 27 mei. Volgens schattingen gedeeld door beveiligingsbedrijf Emsisoft zijn meer dan 2.100 organisaties en meer dan 62 miljoen individuen getroffen door deze aanvallen. Ondanks de brede reikwijdte en het grote aantal slachtoffers, suggereren schattingen van Coveware dat slechts een beperkt aantal waarschijnlijk zal toegeven aan de losgeldvereisten van Clop. Niettemin wordt verwacht dat de cybercriminele groep naar schatting 75-100 miljoen dollar aan betalingen zal innen vanwege hun hoge losgeldvereisten. Bovendien zijn er ook rapporten opgedoken waarin wordt aangegeven dat meerdere Amerikaanse federale instanties en twee entiteiten onder het Amerikaanse Ministerie van Energie slachtoffer zijn geworden van de datadiefstal aanvallen van Clop. Clop is gekoppeld aan meerdere grootschalige datadiefstal en afpersingscampagnes gericht op andere beheerde bestandsoverdrachtsplatforms, waaronder Accellion FTA-servers in december 2020, de Serv-U Managed File Transfer aanvallen van SolarWinds in 2021, en de grootschalige uitbuiting van een GoAnywhere MFT zero-day in januari 2023. Op dinsdag meldde Progress Software een jaar-op-jaar omzetstijging van 16% voor zijn fiscale derde kwartaal dat eindigde op 31 augustus 2023, in een 8-K formulier dat is ingediend bij de Amerikaanse Securities and Exchange Commission. Progress heeft "bepaalde kosten als gevolg van de zero-day MOVEit kwetsbaarheid" uitgesloten van het rapport, omdat het van plan is "aanvullende details met betrekking tot de MOVEit kwetsbaarheid te verstrekken in ons Formulier 10-Q voor het kwartaal dat eindigde op 31 augustus 2023." (bron, bron2, bron3, bron4, bron5, bron6)

Cisco Signaleert Zeroday en Kritiek Beveiligingslek: Wat U Moet Weten

Cisco waarschuwt voor twee ernstige kwetsbaarheden die momenteel actief worden aangevallen en een aanzienlijk risico vormen voor organisaties. De eerste kwetsbaarheid (CVE-2023-20109) betreft een zerodaylek in de GET VPN-feature van Cisco's IOS en IOS XE. GET VPN (Group Encrypted Transport VPN) is een set functies die worden gebruikt om WAN-verkeer te versleutelen. Het lek maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren op de getroffen systemen. Het lek kan op twee manieren worden misbruikt, maar in beide gevallen moet de aanvaller de omgeving al eerder gecompromitteerd hebben. De ene methode is via het compromitteren van de keyserver die GET VPN gebruikt, en de andere is het wijzigen van de gebruikersconfiguratie om naar een kwaadaardige keyserver te wijzen. Daarnaast is er ook een kritiek lek (CVE-2023-20252) in de Cisco Catalyst SD-WAN Manager ontdekt. Deze software biedt een grafisch dashboard voor centrale netwerkmonitoring. Het kritieke lek stelt een ongeautoriseerde aanvaller in staat om het systeem op afstand over te nemen. Dit beveiligingslek is beoordeeld met een 9.8 op een schaal van 1 tot 10, wat de ernst van het probleem benadrukt. Gezien de ernst van deze kwetsbaarheden is het essentieel dat organisaties die gebruikmaken van deze Cisco-producten onmiddellijk actie ondernemen om hun systemen te patchen of andere mitigerende maatregelen te implementeren.

Google Dicht Vijfde Actief Geëxploiteerde Zero-Day Kwetsbaarheid in Chrome van 2023

Google heeft een vijfde zero-day kwetsbaarheid in de Chrome-browser gepatcht sinds het begin van 2023, zo meldt het bedrijf in een spoedbeveiligingsupdate. De kwetsbaarheid, aangeduid als CVE-2023-5217, bestond in het wild en werd misbruikt in gerichte spionage-aanvallen. De beveiligingslek is verholpen in Google Chrome versie 117.0.5938.132 en wordt wereldwijd uitgerold naar Windows, Mac en Linux gebruikers. Het kan echter dagen tot weken duren voordat alle gebruikers toegang hebben tot de bijgewerkte versie. De kwetsbaarheid is van het type heap buffer overflow en bevindt zich in de VP8-codering van de open-source libvpx videocodec-bibliotheek. Dit maakt de weg vrij voor uiteenlopende impact, van app-crashes tot het uitvoeren van willekeurige code. Het lek werd gemeld door Google's Threat Analysis Group (TAG), die vakerzero-day kwetsbaarheden rapporteert die misbruikt worden in gerichte aanvallen. De CVE-2023-5217 zero-day is met name gebruikt om spyware te installeren. Google TAG heeft, in samenwerking met Citizen Lab onderzoekers, ook onthuld dat drie onlangs gepatchte zero-days in Apple-producten tussen mei en september 2023 werden gebruikt om Cytrox's Predator spyware te installeren. Google benadrukt dat gebruikers hun browsers tijdig moeten updaten als een preventieve maatregel tegen potentiële aanvallen. Deze proactieve aanpak kan helpen het risico te verkleinen dat dreigingsactoren hun eigen exploits maken en inzetten, vooral als meer technische details beschikbaar komen. Het is de vijfde zero-day kwetsbaarheid die Google dit jaar heeft verholpen, na een andere ernstige zero-day (CVE-2023-4863) slechts twee weken geleden. Deze recente ontwikkelingen onderstrepen het belang van regelmatige updates en waakzaamheid voor eindgebruikers. (bron, )

Dringende Oproep van LibreOffice: Installeer de Update voor Kritische WebP-Kwetsbaarheid

LibreOffice, een populaire kantoorsoftware, heeft een dringende oproep gedaan aan haar gebruikers om een recent beschikbare update te installeren. Deze update is van cruciaal belang omdat het een ernstige kwetsbaarheid aanpakt in de WebP-library. Deze bibliotheek werd eerder uitgebuit tijdens zeroday-aanvallen op Google Chrome gebruikers. Het WebP-formaat, ontwikkeld door Google, is bedoeld om bestaande bestandsformaten zoals JPEG, PNG en GIF te vervangen. De kwetsbaarheid, initieel gelabeld als CVE-2023-4863 en later ook als CVE-2023-5129, maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op het systeem van een gebruiker als er een kwaadaardige WebP-afbeelding wordt verwerkt. Het risico van deze kwetsbaarheid is zo ernstig dat het op een schaal van 1 tot 10 een score van 10.0 heeft gekregen. Vanwege het grote risico heeft LibreOffice besloten om versies 7.6.2 Community en 7.5.7 Community eerder uit te brengen dan gepland. Gebruikers van deze software worden dringend verzocht deze nieuwe versies zo snel mogelijk te installeren om hun systemen te beschermen. De kwetsbaarheid is niet alleen relevant voor LibreOffice, maar ook voor diverse andere softwareproducten die gebruik maken van de WebP-library. Het is daarom van groot belang voor de veiligheid van individuen en organisaties om deze update zo snel mogelijk te implementeren. (bron)

Windows 11 KB5030310 Update: Aanbevolen Websites en 24 Bugfixes

Microsoft heeft onlangs de preview update KB5030310 voor Windows 11, versie 22H2, uitgebracht. Deze update is met name bedoeld voor Windows-beheerders om nieuwe functies en verbeteringen te evalueren voordat deze in de reguliere updatecyclus worden opgenomen. Een van de meest opvallende nieuwe functies is de toevoeging van 'belangrijke' websites aan het Startmenu. Deze sites worden geselecteerd op basis van uw browsegeschiedenis en verschijnen in het aanbevolen gedeelte van het Startmenu. Als gebruiker heeft u de mogelijkheid om deze functie uit te schakelen of specifieke URL's te verwijderen via de instellingen. Naast deze nieuwe functie pakt de update ook een breed scala aan technische problemen aan. Zo worden er 24 issues aangepakt, waaronder een die Microsoft Excel doet bevriezen bij het delen van bestanden als PDF's via Outlook. Ook zijn er problemen verholpen die ertoe leidden dat de zoekknop verdween of dat Outlook niet synchroniseerde bij gebruik van iCloud voor Windows. De update bevat bovendien nog extra fixes voor uiteenlopende problemen. Enkele hiervan zijn een bug die slaapmodus aantast, problemen met USB-printers die werden gestopt door Microsoft Defender, en opstartvertragingen gerelateerd aan Windows Defender Application Control (WDAC). Interessant is dat deze update optioneel is en niet gericht is op beveiligingskwesties. Gebruikers die geïnteresseerd zijn in het installeren van deze update kunnen dit doen via de instellingen voor Windows Update of door de update handmatig te downloaden en installeren vanuit de Microsoft Update Catalog. Tenslotte is er ook een 'Moment 4' update voor Windows 11 22H2 uitgebracht, met meer dan 150 nieuwe functies, waaronder een nieuw dashboard voor passkey-beheer om gebruikers te helpen bij het overstappen naar een wachtwoordloze ervaring. (bron)

Herclassificatie van Google's libwebp Kwetsbaarheid Benadrukt Ernst van Beveiligingsrisico

Google heeft een nieuwe CVE-ID (CVE-2023-5129) toegewezen aan een kritieke beveiligingsfout in de open-source libwebp-bibliotheek, die eerder werd beschouwd als een zwakheid in Google Chrome. Deze kwetsbaarheid, die eerst was aangemerkt onder CVE-2023-4863, werd ontdekt door Apple's Security Engineering and Architecture (SEAR) en het Citizen Lab van de Universiteit van Toronto. De fout werd binnen een week door Google gepatcht. Aanvankelijk werd de kwetsbaarheid gelabeld als een probleem met Google Chrome, wat tot verwarring leidde binnen de cyberbeveiligingsgemeenschap. Ben Hawkes, de oprichter van een beveiligingsadviesbureau en voormalig hoofd van Google's Project Zero, heeft deze kwetsbaarheid ook in verband gebracht met een andere ernstige fout die misbruikt werd om iPhones met NSO Group's Pegasus spyware te infecteren. De nieuwe classificatie als een libwebp-fout is met name belangrijk omdat deze bibliotheek in verschillende andere projecten en browsers wordt gebruikt, waaronder 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera en native Android-webbrowsers. De fout houdt een heap buffer overflow in, welke aanvallers kunnen misbruiken voor het uitvoeren van code buiten de toegestane geheugengebieden. Met de nieuwe maximum ernstscore van 10/10 wordt benadrukt hoe cruciaal het is om deze kwetsbaarheid zo snel mogelijk aan te pakken. Het gevaar ligt niet alleen in mogelijke crashes, maar ook in het risico van onbevoegde toegang tot gevoelige informatie. Het incident onderstreept het belang van een snelle en transparante aanpak van beveiligingsproblemen in open-source bibliotheken. (bron)

Apple Verschaft Extra Details Over Recent Gepubliceerde iOS en macOS Beveiligingsupdates

Apple heeft recent meer informatie vrijgegeven over de beveiligingsupdates voor iOS en macOS die vorige week werden uitgebracht. Deze updates waren in eerste instantie bedoeld om drie actief geëxploiteerde zeroday-lekken te dichten. Echter, de patches gaan veel verder en pakken meer kwetsbaarheden aan dan aanvankelijk werd medegedeeld. In iOS 16.7 en iPadOS 16.7 zijn er in totaal zestien kwetsbaarheden aangepakt. Naast de drie zerodays gaat het ook om lekken die het voor een malafide app of aanvaller mogelijk maken om rechten te verhogen of om aanvullende informatie te vergaren. Zo kunnen zij bijvoorbeeld te weten komen welke apps zijn geïnstalleerd op het apparaat en toegang krijgen tot de contactenlijst. Bovendien werden lekken aangepakt die denial-of-service aanvallen mogelijk maken, en lekken die een externe aanvaller uit de Web Content sandbox kunnen laten breken. Veel van deze kwetsbaarheden zijn eveneens verholpen in macOS Ventura 13.6 en macOS Monterey 12.7. Apple heeft tevens een lijst gepubliceerd van de 61 beveiligingsproblemen die zijn opgelost in macOS Sonoma 14. Enkele van deze kwetsbaarheden zitten in Bluetooth en maken het voor een malafide app mogelijk om toegang te krijgen tot gevoelige gebruikersinformatie. Er was ook een kwetsbaarheid in iCloud die hetzelfde toeliet. Daarnaast kan een aanvaller met fysieke toegang tot een vergrendelde Mac toegang krijgen tot 'restricted content'. De Safari 17 browser heeft eveneens meerdere patches gekregen om kwetsbaarheden te dichten die het mogelijk maken voor een aanvaller om via malafide webcontent willekeurige code uit te voeren op het systeem. De updates komen als een uitgebreide inspanning van Apple om de veiligheid van hun apparaten te waarborgen en vormen een belangrijke stap in het beschermen van gebruikers tegen mogelijke cyberaanvallen. (bron)

Kritieke Kwetsbaarheid in TeamCity Riskeert Overname van Ontwikkelingsservers

Een recent ontdekte kritieke kwetsbaarheid in het TeamCity-platform van JetBrains stelt aanvallers in staat om servers voor softwareontwikkeling over te nemen. Deze kwetsbaarheid, genaamd CVE-2023-42793, kreeg een beoordeling van 9.8 op een schaal van 1 tot 10 voor de impact die het kan hebben. TeamCity is een populair platform voor softwareontwikkeling met wereldwijd meer dan 30.000 klanten. De kwetsbaarheid maakt het mogelijk voor ongeautoriseerde aanvallers om op afstand willekeurige code uit te voeren op de getroffen server. De gevolgen hiervan kunnen catastrofaal zijn. Niet alleen kunnen aanvallers broncode stelen, maar ook toegang krijgen tot opgeslagen servicegeheimen en privésleutels. Nog alarmerender is dat met deze toegang het voor aanvallers mogelijk wordt om malafide code te injecteren in het bouwproces van software. Dit compromitteert de integriteit van software-releases en kan ook de eindgebruikers negatief beïnvloeden. Stefan Schiller van beveiligingsbedrijf Sonar Source, die het lek ontdekte, waarschuwt dat het beveiligingslek waarschijnlijk actief zal worden misbruikt vanwege het ontbreken van de vereiste voor een geldig account op de getroffen server. Vanwege de ernst van de kwetsbaarheid hebben zowel Sonar Source als JetBrains besloten om de details van de kwetsbaarheid vooralsnog niet openbaar te maken. JetBrains heeft echter wel een beveiligingsupdate uitgebracht om het probleem te adresseren. Het is dus van cruciaal belang dat alle TeamCity-gebruikers hun systemen onmiddellijk updaten om deze ernstige kwetsbaarheid te verhelpen. (bron, bron2, bron3)

Zeroday-kwetsbaarheid in WebP-formaat vormt risico voor Android en Berichtenapps zoals WhatsApp en Signal

Een recent ontdekte kwetsbaarheid in de WebP-library kan grote gevolgen hebben voor Android-gebruikers en populaire communicatie-apps zoals WhatsApp en Signal. De kwetsbaarheid, aangeduid als CVE-2023-4863, werd oorspronkelijk ontdekt door onderzoekers van Apple en Citizen Lab. Deze was eerder ingezet om Google Chrome-gebruikers aan te vallen en mogelijk iPhones te infecteren met spyware. WebP is een beeldformaat ontwikkeld door Google, bedoeld om JPEG, PNG en GIF te vervangen. De zeroday-lek stelt aanvallers in staat om willekeurige code uit te voeren als er een kwaadaardige WebP-afbeelding wordt verwerkt. Google heeft op 11 september een beveiligingsupdate voor deze lek uitgebracht voor Chrome, maar Android blijft kwetsbaar. Dit komt omdat de kwetsbaarheid nog steeds aanwezig is in de Android-besturingssysteem. Waar iOS gebruikmaakt van het ImageIO-framework voor het verwerken van afbeeldingen, gebruikt Android BitmapFactory, dat eveneens het WebP-formaat ondersteunt. Er is nog geen beveiligingsupdate uitgebracht voor Android, maar beveiligingsexpert Ben Hawkes meldt dat een oplossing al is toegevoegd aan het Android Open Source Project (AOSP). Hij waarschuwt dat deze bug kan worden uitgebuit voor een remote exploit gericht op apps zoals WhatsApp en Signal. Naast Android zijn andere softwareprogramma’s zoals Microsoft Teams, Slack, Skype, en LibreOffice ook potentieel kwetsbaar, aldus securitybedrijf Rezilion. Het is dus van groot belang dat gebruikers alert blijven op updates om zichzelf te beschermen tegen mogelijke exploits. De verwachting is dat Google een beveiligingsupdate beschikbaar zal stellen in het beveiligingsbulletin van oktober. (bron)

Apple Voert Noodupdates Uit om Drie Nieuwe Zero-Day Kwetsbaarheden te Verhelpen

Apple heeft recentelijk noodbeveiligingsupdates uitgebracht om drie nieuwe zero-day kwetsbaarheden aan te pakken die actief werden uitgebuit bij aanvallen op iPhone- en Mac-gebruikers. Dit brengt het totaal aantal opgeloste zero-day kwetsbaarheden dit jaar op 16. Twee van deze kwetsbaarheden werden gevonden in de WebKit-browserengine (CVE-2023-41993) en het Security-framework (CVE-2023-41991). Deze stelden aanvallers in staat om handtekeningvalidatie te omzeilen via kwaadaardige apps of willekeurige code uit te voeren via malafide webpagina's. De derde kwetsbaarheid werd ontdekt in het Kernel Framework, dat API's en ondersteuning biedt voor kernel-extensies en kernel-residente apparaatstuurprogramma's. Lokale aanvallers kunnen deze fout (CVE-2023-41992) misbruiken om privileges te escaleren. Apple heeft deze drie zero-day kwetsbaarheden opgelost in macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1, en watchOS 9.6.3/10.0.1 door een certificaatvalidatieprobleem aan te pakken en verbeterde controles uit te voeren. Apple erkende dat deze kwetsbaarheden mogelijk actief zijn uitgebuit in versies van iOS voorafgaand aan iOS 16.7. De lijst met getroffen apparaten omvat zowel oudere als nieuwere modellen, zoals iPhone 8 en later, iPad mini 5e generatie en later, Macs met macOS Monterey en nieuwer, en Apple Watch Series 4 en later. Deze zero-day kwetsbaarheden werden ontdekt en gemeld door Bill Marczak van Citizen Lab aan de Universiteit van Toronto's Munk School en Maddie Stone van Google's Threat Analysis Group. Beide onderzoeksgroepen hebben in het verleden vaak zero-day kwetsbaarheden bekendgemaakt die werden misbruikt in gerichte spionagesoftware-aanvallen op hoogrisico-individuen, waaronder journalisten, oppositiepolitici en dissidenten. (bron, bron2)

⚠️Overheid waarschuwt voor kwetsbaarheden in Zimbra-servers bij Nederlandse bedrijven

Het Digital Trust Center (DTC), een onderdeel van het Nederlandse ministerie van Economische Zaken, heeft een waarschuwing uitgegeven aan Nederlandse bedrijven die gebruik maken van Zimbra-mailservers. Zimbra is een softwarepakket dat mailserversoftware en webmailfuncties biedt en wordt wereldwijd door meer dan 200.000 organisaties gebruikt. In de afgelopen jaren zijn er regelmatig kwetsbaarheden in Zimbra ontdekt die doelwit zijn van cyberaanvallers. Zo waarschuwde het DTC vorig jaar nog voor een kritieke kwetsbaarheid (CVE-2022-27924), die toen op grote schaal werd uitgebuit. Hierdoor verhoogde het Nationaal Cyber Security Centrum (NCSC) de beveiligingsinschaling naar hoog/hoog. Recentelijk heeft het DTC nieuwe lijsten ontvangen met ip-adressen van Zimbra-servers in Nederland die mogelijk kwetsbaar zijn. Op basis van deze gegevens is het centrum begonnen met het actief waarschuwen van bedrijven. Het DTC adviseert bedrijven dringend om alle beschikbare Zimbra-updates zo snel mogelijk te installeren om het risico van een cyberaanval te minimaliseren. Naast het installeren van updates krijgen bedrijven het advies om de configuratie van hun Zimbra-server aan te passen. Het DTC benadrukt dat de beheerdersinterface niet direct toegankelijk zou moeten zijn vanaf het internet. Daarnaast wijst het DTC op een veelgemaakte configuratiefout: het openstellen van de 'Memcache service' (port 11211) voor het internet. Als deze service openstaat, wordt sterk aangeraden deze te blokkeren en de Zimbra-omgeving te controleren op mogelijke sporen van misbruik. (bron)

Trend Micro Verhelpt Kritieke Zero-Day Kwetsbaarheid in Apex One Endpoint-beveiliging

Trend Micro, een toonaangevend bedrijf in cybersecurity, heeft een ernstige zero-day kwetsbaarheid aangepakt in zijn Apex One endpoint-beveiligingsoplossing. De kwetsbaarheid, die officieel is geïdentificeerd als CVE-2023-41179, had een hoge ernstscore van 9.1 volgens de CVSS v3 en werd gecategoriseerd als 'kritiek'. Het beveiligingslek was actief uitgebuit in cyberaanvallen en bevond zich in een derde-partij uninstaller-module die met de beveiligingssoftware werd geleverd. Trend Micro waarschuwde dat er ten minste één actieve poging is gedaan om deze kwetsbaarheid uit te buiten. Klanten worden dringend verzocht zo snel mogelijk bij te werken naar de nieuwste versies van de software. De kwetsbaarheid heeft invloed op diverse producten, waaronder Trend Micro Apex One 2019 en Worry-Free Business Security (WFBS) 10.0 SP1. De onderneming heeft patches beschikbaar gesteld om deze kwetsbaarheid te verhelpen. Een verzachtende factor is dat aanvallers toegang moeten hebben tot de beheerconsole van het product om misbruik te maken van dit lek. Trend Micro adviseert daarom om toegang tot de beheerconsole te beperken tot betrouwbare netwerken. JPCERT, het Japanse Computer Emergency Response Team, heeft eveneens een waarschuwing uitgegeven en raadt gebruikers aan om zo snel mogelijk bij te werken naar een veilige versie van de software. Het bedrijf benadrukt dat het essentieel is om de beveiligingsupdates te installeren om te voorkomen dat kwaadwillende actoren die al toegang hebben gekregen tot een netwerk de kwetsbaarheid gebruiken om zich zijdelings door andere apparaten te verspreiden. Het oplossen van deze zero-day kwetsbaarheid is daarom cruciaal voor het behoud van een robuuste cybersecuritystrategie. (bron)

Kritisch Beveiligingslek in GitLab Maakt Misbruik van Pipeline als Andere Gebruiker Mogelijk

Een ernstige kwetsbaarheid is geïdentificeerd in GitLab, een toonaangevende online DevOps-tool die veel wordt gebruikt voor softwareontwikkeling. De kwetsbaarheid, aangeduid als CVE-2023-4998, stelt een aanvaller in staat om een GitLab pipeline uit te voeren alsof ze een andere gebruiker zijn. Dit beveiligingsprobleem heeft een hoge impact score van 9.6 op een schaal van 1 tot 10, en GitLab heeft organisaties opgeroepen om een onlangs uitgebrachte update zo spoedig mogelijk te implementeren. De kwetsbaarheid treft zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE) en stelt een aanvaller in staat om code in een project uit te voeren, te testen en uit te rollen alsof ze een andere gebruiker zijn. GitLab pipelines zijn cruciale elementen binnen het ontwikkelproces die verschillende jobs automatisch uitvoeren zodra nieuwe code wordt toegevoegd aan een project. Het is vermeldenswaard dat deze kwetsbaarheid niet nieuw is. Eerder dit jaar werd een soortgelijk probleem geïdentificeerd en gepatcht (CVE-2023-3932). Echter, het lijkt erop dat de eerdere oplossing omzeild kan worden, en de nieuwe kwetsbaarheid heeft een veel grotere impact dan eerder gedacht. Als reactie hierop heeft GitLab een noodpatch uitgebracht, buiten hun reguliere maandelijkse updatecyclus om. Gezien de ernst van het probleem wordt aanbevolen dat alle organisaties die GitLab gebruiken hun systemen onmiddellijk bijwerken om het risico van misbruik te minimaliseren. (bron)

Urgente Beveiligingswaarschuwing: Backdoor ontdekt in Meeting Owl Vergadercamera's

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft gewaarschuwd voor actief misbruik van verschillende kwetsbaarheden in de Meeting Owl vergadercamera's. Deze camera's zijn populair voor videoconferencing en worden wereldwijd gebruikt, inclusief in Nederland. De apparaten kunnen via bluetooth gekoppeld worden, en er is een optie om deze toegang via een passcode te beveiligen. Owl Labs, de fabrikant van de camera's, lanceerde in juni updates voor vier kwetsbaarheden. Eén daarvan maakt het voor aanvallers mogelijk om de hash van de passcode te achterhalen (CVE-2022-31459). Een andere kwetsbaarheid laat de passcode zonder authenticatie op afstand uitschakelen (CVE-2022-31461). Een derde kwetsbaarheid betreft het verzenden van bluetooth-commando's zonder wachtwoord, mogelijk gemaakt door het gebruik van client-side authenticatie (CVE-2022-31463). Het meest zorgwekkend is de kwetsbaarheid aangeduid als CVE-2022-31462, die aanvallers in staat stelt om de camera's te bedienen via een backdoor wachtwoord. Dit wachtwoord is afgeleid van het serienummer van het apparaat en is te vinden in de bluetooth broadcast data. De impact van deze specifieke kwetsbaarheid is beoordeeld met een 9.3 op een schaal van 1 tot en met 10. CISA dringt erop aan dat alle overheidsorganisaties die deze apparatuur gebruiken, vóór 9 oktober de noodzakelijke updates installeren. Deze waarschuwing komt nadat CISA vorig jaar ook al aangaf dat er actief misbruik werd gemaakt van kwetsbaarheden in de Meeting Owl camera's. (bron, bron2, bron3)

Dringende Actie Vereist: 12.000 Juniper Apparaten Kwetsbaar voor Kritieke Ongeauthenticeerde RCE-Fout

Een recente ontdekking toont aan dat ongeveer 12.000 Juniper SRX firewalls en EX switches kwetsbaar zijn voor een ernstige 'Remote Code Execution' (RCE) beveiligingsfout. In augustus heeft Juniper meerdere kwetsbaarheden bekendgemaakt, waaronder 'PHP environment variant manipulation' en 'Missing Authentication for Critical Function'. Hoewel deze afzonderlijke kwetsbaarheden een middelmatige ernstgraad van 5.3 hadden, werd het risico verhoogd naar een kritieke 9.8 score toen deze gecombineerd werden. Onderzoekers van watchTowr Labs en VulnCheck hebben bewijzen van concept (PoC) vrijgegeven die laten zien hoe deze kwetsbaarheden kunnen worden misbruikt. Het nieuwste PoC van VulnCheck toont aan dat aanvallers code op afstand kunnen uitvoeren zonder bestanden te hoeven uploaden, waardoor het risico op uitbuiting toeneemt. Een van de meest verontrustende aspecten is dat de kwetsbaarheid het mogelijk maakt om code op afstand uit te voeren zonder enige vorm van authenticatie. Dit maakt het voor aanvallers veel eenvoudiger om toegang te krijgen tot netwerken. Juniper heeft weliswaar beveiligingsupdates uitgebracht, maar vanwege de lage ernstgraad die aanvankelijk aan de kwetsbaarheid werd gegeven, hebben veel gebruikers deze mogelijk genegeerd. Netwerkscans van VulnCheck tonen aan dat 79% van de onderzochte 3.000 apparaten kwetsbaar zijn voor deze RCE-flaw. Als deze percentages kloppen, zou dit betekenen dat er bijna 11,800 kwetsbare apparaten online zijn. Er is ook bewijs dat aanvallers al naar deze kwetsbaarheid zoeken om deze uit te buiten, wat de urgentie voor onmiddellijke actie verhoogt. Daarom wordt netwerkbeheerders dringend geadviseerd om de beschikbare beveiligingsupdates zo snel mogelijk toe te passen. (bron, bron2, bron3)

Geheugenbeschadigingskwetsbaarheden Ontdekt in ncurses-bibliotheek

Microsoft heeft een reeks geheugenbeschadigingskwetsbaarheden ontdekt in de ncurses-bibliotheek, een verzameling API's die veelgebruikt zijn in tekstgebaseerde gebruikersinterfaces op POSIX-besturingssystemen (zoals Linux, macOS en FreeBSD). Deze kwetsbaarheden kunnen aanvallers in staat stellen om kwaadaardige code uit te voeren of andere schadelijke acties te verrichten door middel van omgevingsvariabele vergiftiging. Een van de meest voorkomende kwetsbaarheden in moderne software, geheugenbeschadiging, kan leiden tot ongeautoriseerde toegang tot systemen en gegevens. De impact kan variëren van het lekken van gevoelige informatie tot het uitvoeren van willekeurige code. Microsoft heeft de kwetsbaarheden gerapporteerd via Coordinated Vulnerability Disclosure (CVD) en ze zijn nu gerepareerd. De onderhouders van de ncurses-bibliotheek hebben deze fixes met succes geïmplementeerd. Het CVE-identificatienummer voor deze kwetsbaarheden is CVE-2023-29491 met een CVSS-score van 7.8. Bij de kwetsbaarheden werd speciale aandacht besteed aan de manipulatie van omgevingsvariabelen. De ncurses-bibliotheek gebruikt een aantal omgevingsvariabelen, waaronder een genaamd TERMINFO. Aanvallers kunnen deze variabele vergiftigen om kwetsbaarheden in ncurses te misbruiken. Het artikel benadrukt ook het gebruik van terminfo-databases door de ncurses-bibliotheek. Deze databases bevatten een set van mogelijkheden die de controlekarakters bepalen die naar de terminal worden gestuurd. Ze komen in verschillende vormen: Booleaanse, numerieke en string-mogelijkheden. Tot slot werden deze kwetsbaarheden ontdekt door zowel code-audits als fuzzing. De bevindingen gelden voor alle versies van ncurses en beïnvloeden zowel Linux als macOS. Gebruikers van ncurses worden aangeraden hun systemen bij te werken om deze kwetsbaarheden te verhelpen. (bron)

Kritieke 'ThemeBleed' Kwetsbaarheid in Windows 11 Krijgt Proof-of-Concept Exploit

In de recente ontwikkelingen rondom cybersecurity heeft beveiligingsonderzoeker Gabe Kirkpatrick een proof-of-concept (PoC) exploit vrijgegeven voor een kwetsbaarheid in Windows 11, bekend onder de CVE-2023-38146 of "ThemeBleed". De kwetsbaarheid heeft een hoge ernstscore van 8.8 gekregen en maakt het mogelijk voor aanvallers om op afstand code uit te voeren op het getroffen systeem. De exploitatie kan plaatsvinden wanneer een gebruiker een kwaadaardig .THEME-bestand opent dat is gecreëerd door een aanvaller. Kirkpatrick ontdekte de kwetsbaarheid tijdens zijn onderzoek naar ongebruikelijke bestandsformaten van Windows. Hierin viel op dat een versienummer "999" in de .MSSTYLES-bestanden een raceconditie veroorzaakt. Aanvallers kunnen deze raceconditie uitbuiten om een geverifieerde DLL te vervangen door een kwaadaardige variant, waardoor ze willekeurige code kunnen uitvoeren. De PoC-exploit die Kirkpatrick creëerde, opent de Windows Calculator wanneer een gebruiker het themabestand start. Er zijn enkele verzachtende factoren; een waarschuwing wordt normaal gesproken getoond als een themabestand van het web wordt gedownload. Echter, deze waarschuwing kan worden omzeild als de aanvaller het thema verpakt in een .THEMEPACK-bestand. Microsoft heeft geprobeerd het probleem te verhelpen door de "versie 999"-functionaliteit volledig te verwijderen, maar Kirkpatrick stelt dat de onderliggende raceconditie nog steeds aanwezig is. Bovendien heeft Microsoft niet de afwezigheid van waarschuwingen voor .THEMEPACK-bestanden aangepakt. Het is ten zeerste aanbevolen om zo snel mogelijk de laatste beveiligingsupdates van Microsoft te installeren, aangezien deze naast 'ThemeBleed' nog twee andere zero-day kwetsbaarheden en 57 andere beveiligingsproblemen verhelpt. (bron, bron2, bron3)

Noodpatch Voor Mozilla Firefox en Thunderbird na Exploit van Kritieke Zero-Day Kwetsbaarheid

Mozilla heeft op 12 september 2023 een dringende beveiligingsupdate uitgebracht om een kritieke zero-day kwetsbaarheid te dichten. Deze kwetsbaarheid, geregistreerd als CVE-2023-4863, heeft direct invloed op Mozilla’s webbrowser Firefox en het e-mailprogramma Thunderbird. De veiligheidsfout is het resultaat van een heap buffer overflow in de WebP-codebibliotheek (libwebp) en kan variëren van het veroorzaken van crashes tot het uitvoeren van willekeurige code. De kwetsbaarheid wordt in het wild misbruikt, wat betekent dat aanvallers actief proberen deze te benutten. Gebruikers die een kwaadaardige WebP-afbeelding openen, lopen het risico op een heap buffer overflow. Mozilla heeft deze zero-day kwetsbaarheid aangepakt in verschillende versies van Firefox en Thunderbird, waaronder Firefox 117.0.1, Firefox ESR 115.2.1 en Thunderbird 115.2.2. Hoewel specifieke details over de exploitatie nog niet zijn vrijgegeven, benadrukt Mozilla het belang voor gebruikers om hun software onmiddellijk bij te werken om zichzelf te beschermen tegen mogelijke aanvallen. Opmerkelijk is dat deze zero-day ook invloed heeft op andere software die gebruikmaakt van de kwetsbare versie van de WebP-codebibliotheek, zoals de Google Chrome webbrowser. Google heeft ook een patch uitgebracht en meldt dat er actief misbruik wordt gemaakt van deze kwetsbaarheid. De fout werd oorspronkelijk gemeld door Apple's Security Engineering and Architecture (SEAR) team en het Citizen Lab aan de Universiteit van Toronto op 6 september. Beide instellingen hebben een geschiedenis van het identificeren en openbaar maken van zero-day kwetsbaarheden, die vaak worden uitgebuit in gerichte spionagecampagnes. Gezien het kritieke karakter van deze kwetsbaarheid is het sterk aanbevolen om de laatste updates zo snel mogelijk te installeren. Hiermee verkleint men het risico op mogelijke exploits en houdt men systemen veilig.

Samenvatting van Microsoft's Patch Tuesday September 2023

Op 12 september 2023 heeft Microsoft zijn maandelijkse Patch Tuesday uitgebracht, waarin 59 beveiligingsproblemen zijn verholpen. Het updatepakket bevat ook fixes voor twee actief misbruikte zero-day kwetsbaarheden.

Belangrijke Highlights:

1. Zero-day kwetsbaarheden: Twee zero-day kwetsbaarheden zijn actief uitgebuit en zijn nu verholpen.

• CVE-2023-36802: Probleem in Microsoft Streaming Service Proxy dat lokale privilege-escalatie toestaat.
• CVE-2023-36761: Kwetsbaarheid in Microsoft Word waarmee NTLM hashes kunnen worden gestolen.

2. RCE Bugs: Er zijn in totaal 24 Remote Code Execution (RCE) bugs verholpen, waarvan vijf als 'kritiek' zijn beoordeeld.

3. Andere categorieën:

• 3 beveiligingsmechanisme-omzeilingen
• 9 informatie-onthulling kwetsbaarheden
• 3 Denial of Service kwetsbaarheden
• 5 spoofing kwetsbaarheden
• 5 kwetsbaarheden in Edge (Chromium)

4. Aanvullende updates: Naast de 59 genoemde problemen zijn er ook vijf kwetsbaarheden in Microsoft Edge (Chromium) en twee niet-Microsoft kwetsbaarheden in Electron en Autodesk verholpen.

Overige Updates:
Updates zijn ook uitgebracht door andere bedrijven zoals Apple, Atlas VPN, Asus, Cisco, Google, MSI, Notepad++, SAP, en VMware.

Aanbeveling:
Het is ten zeerste aanbevolen om deze patches onmiddellijk te installeren om uw systemen te beschermen tegen deze kwetsbaarheden.

Deze samenvatting dient als een beknopt overzicht van de belangrijkste punten van Microsoft's Patch Tuesday voor september 2023. Voor een gedetailleerde beschrijving van elke kwetsbaarheid wordt geadviseerd om het volledige rapport van Microsoft te raadplegen. (bron)

Belangrijke Verbeteringen en Beveiligingsupdates in Windows 10 KB5030211

Microsoft heeft onlangs de cumulatieve updates KB5030211 en KB5030214 uitgerold voor Windows 10 versies 22H2, 21H2 en 1809. Deze updates zijn een onderdeel van de Patch Tuesday van september 2023 en zijn voornamelijk bedoeld om diverse problemen binnen het besturingssysteem aan te pakken. Een van de opvallende nieuwe functies is een vernieuwde Windows Backup-app, die gebruikers een efficiëntere manier biedt om hun apps en bestanden te beheren voor toekomstig herstel. Daarnaast zijn er verbeteringen aangebracht in de locatiedetectie van het systeem, waardoor gebruikers nu accuratere weers-, nieuws- en verkeersinformatie kunnen ontvangen. Microsoft introduceert ook notificatiebadges voor Microsoft-accounts in het Start-menu. Een andere belangrijke wijziging is de toegevoegde ondersteuning voor de aanpassingen in de zomertijd (DST) in Israël. Ook is er een fix doorgevoerd voor de zoekbalk. Op het gebied van netwerk en beleidsimplementatie lost deze update een specifiek probleem op dat van invloed was op de Group Policy Service. Voorheen moest dit onderdeel 30 seconden wachten op het netwerk om beschikbaar te komen, wat tot incorrecte beleidsverwerking kon leiden. Deze wachttijd is nu aangepast. Tot slot heeft de update een issue opgelost waarbij instellingen niet correct synchroniseerden, zelfs niet als de synchronisatietoggle was ingeschakeld op de Windows-back-uppagina in de instellingen-app. Voor een optimale beveiliging en functionaliteit is het raadzaam om deze update zo snel mogelijk te installeren. Dit kan via de instellingen onder het tabblad 'Windows Update' door te kiezen voor 'Check for Updates'. Met deze nieuwe verbeteringen en fixes streeft Microsoft naar een stabieler en veiliger ecosysteem voor zijn gebruikers.

Adobe Waarschuwt voor Kritieke Zero-Day Kwetsbaarheid in Acrobat en Reader

Adobe heeft een beveiligingsupdate uitgebracht om een ernstige zero-day kwetsbaarheid te dichten in zijn Acrobat en Reader software. De kwetsbaarheid, gelabeld als CVE-2023-26369, is reeds uitgebuit in een aantal gerichte aanvallen. Het beveiligingslek beïnvloedt zowel Windows- als macOS-systemen. De kwetsbaarheid stelt aanvallers in staat om code uit te voeren nadat ze met succes een 'out-of-bounds write'-zwakheid hebben geëxploiteerd. Het is een laagcomplex risico dat geen privileges vereist om te worden uitgebuit. Echter, het kan alleen worden uitgebuit door lokale aanvallers en vereist interactie van de gebruiker, zoals aangegeven door de CVSS v3.1 score. Adobe heeft deze kwetsbaarheid een maximale prioriteitsbeoordeling gegeven en adviseert beheerders dringend om de update zo snel mogelijk te installeren, bij voorkeur binnen een termijn van 72 uur. De lijst met getroffen producten en versies is uitgebreid en omvat Acrobat DC en Reader DC met versies tot 23.003.20284 en eerder, evenals Acrobat en Reader 2020 in de 'Classic 2020' track met versies tot 20.005.30516 (Mac) en 20.005.30514 (Win) en eerder. Naast deze kritieke kwetsbaarheid heeft Adobe ook andere beveiligingsproblemen aangepakt in hun Connect en Experience Manager software. Deze kunnen ook worden uitgebuit om arbitraire code uit te voeren en kunnen worden gebruikt om 'reflected cross-site scripting' (XSS) aanvallen te lanceren. Gezien het kritieke karakter van deze kwetsbaarheid en het feit dat het actief wordt uitgebuit, is het sterk aan te raden voor organisaties en individuele gebruikers om hun Adobe software onmiddellijk bij te werken. (bron, bron2, bron3)

Windows 11 Update KB5030219 Brengt Cruciale Beveiligingspatches en Verbeteringen

Microsoft heeft een nieuwe cumulatieve update voor Windows 11 uitgebracht met de naam KB5030219. Deze update is een onderdeel van de Patch Tuesday van september 2023 en bevat verschillende beveiligingsoplossingen naast 24 andere wijzigingen, verbeteringen en bugfixes. Het installeren van deze update is verplicht en kan direct via de Windows Update-instellingen worden uitgevoerd. Na installatie wordt het buildnummer van Windows 11 22H2 veranderd naar 22621.2283. De update verwijdert een overbodig menu-item uit het Sticky Keys-menu dat werd geïntroduceerd door een vorige update (KB5029351). Een andere opmerkelijke fix is een oplossing voor een authenticatieprobleem bij het gebruik van een smartcard om een computer aan een Active Directory-domein toe te voegen. Dit probleem deed zich voor na het installeren van updates van oktober 2022 of later. Verder voegt de update een nieuwe zoekfunctionaliteit toe. Gebruikers kunnen nu met de muis over het zoekvak bewegen om een 'search flyout box' te zien, wat de bruikbaarheid van de zoekfunctie verbetert. De update bevat ook verbeteringen voor de betrouwbaarheid van de Search-app en voert enkele aanpassingen door voor de ondersteuning van de zomertijd in Israël. Op het gebied van toegankelijkheid verbetert de update de Narrator-functie door het correct identificeren van het zoekvak op de taakbalk en zoekresultaten daarbinnen. Het probleem dat de TAB-toets niet goed schakelde tussen zoekresultaten is ook verholpen. Tot slot zijn er aanpassingen gedaan aan de zoekbalk in tabletmodus op Microsoft Surface Pro en Surface Book apparaten. Gebruikers kunnen deze update handmatig downloaden en installeren vanuit de Microsoft Update Catalog, of eenvoudigweg de Windows Update-functie in het Start-menu gebruiken. Het is van cruciaal belang voor alle Windows 11-gebruikers om deze update zo spoedig mogelijk te installeren om hun systemen tegen mogelijke beveiligingsrisico's te beschermen. (bron, bron2)

Apple Reageert Snel op Zero-Click iMessage Kwetsbaarheden die iPhones Infecteren met Pegasus Spyware

Op 7 september 2023 heeft Citizen Lab een beveiligingsrapport vrijgegeven waarin werd benadrukt dat twee ernstige zero-day kwetsbaarheden in Apple's iMessage actief werden misbruikt. Deze kwetsbaarheden maken deel uit van een exploitketen genaamd "BLASTPASS," die door aanvallers wordt gebruikt om NSO Group's Pegasus commerciële spyware te installeren op volledig bijgewerkte iPhones. De twee betrokken bugs zijn geregistreerd als CVE-2023-41064 en CVE-2023-41061. De eerste is een buffer overflow die kan worden getriggerd bij het verwerken van kwaadaardig gecreëerde afbeeldingen, terwijl de tweede een validatieprobleem betreft dat kan worden uitgebuit via schadelijke bijlagen. Beide stellen dreigingsactoren in staat willekeurige code uit te voeren op ongepatchte iPhone- en iPad-apparaten. Citizen Lab heeft ontdekt dat deze kwetsbaarheden werden gebruikt om een iPhone van een in Washington DC gevestigde maatschappelijke organisatie te infecteren. Het aanvalsmechanisme betrof PassKit-bijlagen met kwaadaardige afbeeldingen die werden verzonden vanuit een aanvallersaccount via iMessage naar het slachtoffer. Apple heeft deze beveiligingslekken aangepakt in noodpatches voor verschillende besturingssystemen, waaronder macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1, en watchOS 9.6.2. Aangetaste toestellen omvatten iPhone 8 en latere modellen, verschillende iPad-modellen, Macs draaiend op macOS Ventura, en Apple Watch Series 4 en later. Citizen Lab heeft Apple-gebruikers dringend geadviseerd hun apparaten onmiddellijk bij te werken en raadt personen die vanwege hun identiteit of beroep een verhoogd risico lopen aan om de Lockdown-modus te activeren. Dit incident markeert de nieuwste in een serie van 13 zero-days die Apple dit jaar heeft aangepakt, waarbij meerdere apparaten en besturingssystemen werden getarget. (bron, bron2)

Apple Versterkt Beveiliging van Oudere iPhones tegen BLASTPASS Zero-Day Kwetsbaarheid

Apple heeft onlangs beveiligingsupdates uitgerold voor oudere iPhone-modellen om een zero-day kwetsbaarheid te dichten. Deze kwetsbaarheid, aangeduid als CVE-2023-41064, werd actief misbruikt om iOS-apparaten te infecteren met NSO's Pegasus-spyware. Het beveiligingslek maakte remote code-uitvoering mogelijk door kwaadaardige afbeeldingen te verzenden via iMessage. Dit probleem kwam eerder deze maand aan het licht dankzij onderzoek van Citizen Lab. Het beveiligingslek, samen met een tweede kwetsbaarheid (CVE-2023-41061), vormde een zero-click aanvalsmechanisme genaamd BLASTPASS. Aanvallers konden speciaal ontworpen afbeeldingen in iMessage PassKit-bijlagen sturen om spyware te installeren. Opmerkelijk genoeg waren zelfs volledig geüpdatete iOS-apparaten (versie 16.6) vatbaar voor deze aanval. Apple heeft patches uitgebracht voor macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 en watchOS 9.6.2. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft ook een waarschuwing gepubliceerd waarin federale agentschappen worden opgeroepen om vóór 2 oktober 2023 te patchen. Deze beveiligingsupdates zijn nu ook beschikbaar gemaakt voor oudere versies zoals iOS 15.7.9 en macOS Monterey 12.6.9 om verdere misbruik te voorkomen. Dit is bijzonder, aangezien de ondersteuning voor iOS 15 al een jaar geleden is beëindigd. De updates zijn van toepassing op iPhone 6s-modellen, iPhone 7, de eerste generatie iPhone SE, de iPad Air 2, de vierde generatie iPad mini en de zevende generatie iPod touch. Hoewel er geen aanvallen op macOS-computers zijn waargenomen, wordt sterk aanbevolen om de beveiligingsupdates toe te passen, aangezien de kwetsbaarheid in theorie ook daar kan worden uitgebuit. Sinds het begin van dit jaar heeft Apple in totaal 13 zero-day kwetsbaarheden opgelost die gericht waren op apparaten met iOS, macOS, iPadOS en watchOS. Gezien het toenemende aantal zero-day aanvallen, blijft het cruciaal om uw apparaten up-to-date te houden. (bron, bron2, bron3)

Kwetsbaarheden in Ondersteunende Software Verkiezingen (OSV2020) Verholpen Naar Aanleiding van Beveiligingslekken

Beveiligingsonderzoekers hebben meerdere kwetsbaarheden ontdekt in een module van de Ondersteunende Software Verkiezingen (OSV2020), die al meer dan een decennium wordt gebruikt voor het berekenen en vaststellen van verkiezingsuitslagen in Nederland. Deze kwetsbaarheden maakten het mogelijk voor een aanvaller om inloggegevens van de leverancier en toegang tot de private key te verkrijgen. Daardoor kon een ongeautoriseerde gebruiker inloggen op de server van de leverancier. De Kiesraad heeft bevestigd dat deze problemen inmiddels zijn opgelost en benadrukt dat er geen aanwijzingen zijn dat deze kwetsbaarheden invloed hebben gehad op andere modules van de OSV2020. De ontdekte kwetsbaarheden zorgden voor een risico met betrekking tot de integriteit van de software, maar deze zijn verholpen voordat politieke partijen de software konden downloaden in voorbereiding op de komende Tweede Kamerverkiezingen. (bron, bron2)

Google Verhelpt Kritieke Zeroday Kwetsbaarheid in Chrome

Google heeft onlangs een zeldzame en kritieke zeroday kwetsbaarheid in hun Chrome-browser verholpen. Deze kwetsbaarheid had de classificatie CVE-2023-4863 en was uitzonderlijk ernstig omdat het aanvallers in staat stelde om direct code uit te voeren op het onderliggende besturingssysteem van een gebruiker, zonder dat een tweede kwetsbaarheid nodig was. Deze kwetsbaarheid verschilt daarmee van andere 'high'-impact beveiligingslekken, waarbij meestal een extra kwetsbaarheid in het besturingssysteem vereist is om een systeem volledig over te nemen. Het lek werd ontdekt door onderzoekers van Apple en Citizen Lab en aan Google gerapporteerd op 6 september. Google heeft een update uitgerold om het probleem te verhelpen. Deze update, Google Chrome versie 116.0.5845.187/.188 voor Windows en versie 116.0.5845.187 voor macOS en Linux, zal binnen dertig dagen naar alle Chrome-gebruikers worden uitgerold. Gebruikers van Microsoft Edge, dat ook is gebaseerd op de Chromium-browser van Google, moeten nog op een update wachten. Het gevaar van deze kwetsbaarheid zit hem in het feit dat aanvallers enkel het bezoeken van een kwaadaardige of gecompromitteerde website of het zien van een besmette advertentie nodig hebben om het lek te misbruiken. Dit type aanval staat bekend als een 'drive-by download-aanval'. Gebruikers worden aangeraden om handmatige controles uit te voeren om de update zo snel mogelijk te ontvangen en zo hun systemen te beveiligen tegen deze kritieke bedreiging. (bron, bron2)

Laatste Publiek Ondersteunde Versie van OpenSSL 1.1.1 Uitgebracht

Het OpenSSL Project Team heeft onlangs de laatste publiek ondersteunde versie van OpenSSL 1.1.1, genaamd OpenSSL 1.1.1w, uitgebracht. Deze update verhelpt een specifieke kwetsbaarheid met de code CVE-2023-4807. Hoewel deze kwetsbaarheid als 'low' is beoordeeld, kan deze in sommige gevallen toch leiden tot een systeemcrash en daarmee een zogenaamde 'denial of service' veroorzaken. OpenSSL is een van de meest gebruikte softwarebibliotheken voor het versleutelen van internetverbindingen. Het is dus cruciaal voor websites om het verkeer tussen de server en de bezoekers te beveiligen. Het Digital Trust Center van het Nederlandse ministerie van Binnenlandse Zaken benadrukte vorige maand het belang van het gebruik van ondersteunde versies van dergelijke software, aangezien deze voorzien worden van beveiligingsupdates. Naast de implementatie in websites, wordt OpenSSL ook gebruikt in diverse andere soorten bedrijfssoftware, zoals firewalls, NAS-systemen en VPN-oplossingen. Daarom wordt ontwikkelaars dringend aangeraden over te stappen naar de nieuwere versies 3.0 of 3.1 van OpenSSL, of uitgebreide ondersteuning af te nemen als zij de verouderde versies willen blijven gebruiken. Deze update onderstreept nog eens het belang van het bijhouden van softwareversies, zeker in het licht van de mogelijke impact die kwetsbaarheden in veelgebruikte software als OpenSSL kunnen hebben. (bron, bron2)

Notepad++ 8.5.7 Update Repareert Vier Beveiligingslekken

Notepad++ heeft recentelijk versie 8.5.7 uitgebracht om verschillende beveiligingsproblemen aan te pakken, waaronder meerdere gevallen van buffer overflow kwetsbaarheden. Eén van deze kwetsbaarheden werd gemarkeerd als potentieel gevaarlijk genoeg om code uitvoering mogelijk te maken door gebruikers te misleiden om speciaal ontworpen bestanden te openen. De kwetsbaarheden werden ontdekt door GitHub's veiligheidsonderzoeker Jaroslav Lobačevski, die deze in eerdere versies van Notepad++ aan de ontwikkelaars had gerapporteerd. Een bewijs-van-concept voor deze kwetsbaarheden is ook gepubliceerd, waardoor het essentieel is voor gebruikers om zo snel mogelijk te updaten.

De vier voornaamste kwetsbaarheden zijn als volgt:

• CVE-2023-40031: Een buffer overflow in de Utf8_16_Read::convert functie vanwege incorrecte aannames rondom UTF16 naar UTF8 coderingsconversies.
• CVE-2023-40036: Een globale buffer read overflow in CharDistributionAnalysis::HandleOneChar.
• CVE-2023-40164: Eveneens een globale buffer read overflow, maar dan in nsCodingStateMachine::NextState.
• CVE-2023-40166: Een heap buffer read overflow in FileManager::detectLanguageFromTextBegining.

Van deze kwetsbaarheden wordt CVE-2023-40031 als het meest ernstig beschouwd met een CVSS v3 rating van 7.8. Echter, er is enige discussie over de daadwerkelijke mogelijkheid tot code-uitvoering. Na enige druk vanuit de gebruikersgemeenschap reageerde het Notepad++ ontwikkelteam en zijn de problemen opgelost in de hoofdcode op 3 september 2023. De nieuwe versie, 8.5.7, is nu beschikbaar en gebruikers worden sterk aangeraden om te updaten om deze kwetsbaarheden te verhelpen. (bron)

Emsisoft waarschuwt voor noodzakelijke update wegens certificaatfout door GlobalSign

Antivirusbedrijf Emsisoft heeft een dringende waarschuwing uitgegeven aan zijn klanten vanwege een certificaatfout veroorzaakt door certificaatautoriteit GlobalSign. Door deze fout zal de antivirussoftware van Emsisoft op 22 september 2023 stoppen met werken, tenzij klanten voor die datum een update uitvoeren en hun systeem herstarten. Het probleem betreft zowel individuele als zakelijke gebruikers. Op 23 augustus vroeg Emsisoft een nieuw digitaal certificaat aan bij GlobalSign voor het ondertekenen van hun software en updates. Echter, GlobalSign heeft een fout gemaakt door een verkeerd bedrijfsnummer in te voeren in het certificaat. Dit vereist dat het certificaat wordt ingetrokken en een nieuw certificaat wordt uitgegeven. Als gevolg hiervan moet een belangrijke driver in de beveiligingssoftware ook opnieuw worden geïnstalleerd, wat een systeemherstart vereist. Als klanten hun systemen niet vóór 22 september updaten en herstarten, zal deze driver niet meer laden, wat tot gevolg heeft dat de software niet meer functioneert. Bovendien zal de antivirussoftware geen updates meer kunnen downloaden. De enige oplossing in dat geval is een volledige herinstallatie van de antivirussoftware. Emsisoft benadrukt dat zij geen controle hadden over deze situatie en uitdrukken hun ongenoegen over hoe GlobalSign de zaak heeft afgehandeld. Het bedrijf had gevraagd om het certificaat op een later moment in te trekken, maar dit verzoek is door GlobalSign geweigerd. (bron)

Kritieke Kwetsbaarheid in Apache RocketMQ: CISA Geeft Dringende Waarschuwing Uit

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een kritieke kwetsbaarheid, aangeduid als CVE-2023-33246, toegevoegd aan hun catalogus van bekende geëxploiteerde kwetsbaarheden (KEV). Deze kwetsbaarheid treft Apache's RocketMQ, een platform voor gedistribueerde berichtenuitwisseling en streaming. Op dit moment zijn er verschillende dreigingsactoren die de kwetsbaarheid mogelijk uitbuiten om diverse soorten kwaadaardige software (payloads) op getroffen systemen te installeren. Bijzonder zorgwekkend is dat het uitbuiten van deze kwetsbaarheid geen authenticatie vereist. Sinds juni wordt deze kwetsbaarheid actief misbruikt door het DreamBus-botnet om een Monero cryptocurrency-mijnwerker te plaatsen. CISA heeft federale agentschappen dringend aangeraden om de CVE-2023-33246 kwetsbaarheid in hun Apache RocketMQ-installaties te patchen vóór 27 september. Indien het niet mogelijk is de applicatie bij te werken of op een andere manier het risico te mitigeren, beveelt CISA aan om het gebruik van het product te staken. Het probleem kan worden uitgebuit door het updateconfiguratieproces van RocketMQ te misbruiken om commando's uit te voeren als het systeemgebruiker waaronder RocketMQ draait. Bovendien zijn er meerdere componenten van RocketMQ, waaronder NameServer, Broker, en Controller, blootgesteld aan het publieke internet, waardoor ze een makkelijk doelwit voor aanvallers vormen. Onderzoeker Jacob Baines identificeerde ongeveer 4.500 systemen met de kwetsbare TCP-poort 9876 en ontdekte verschillende kwaadaardige payloads. Hoewel sommige van deze executables nog niet als kwaadaardig worden herkend door antivirusprogramma's, vertonen ze verdacht gedrag, zoals het aanpassen van permissies en het lezen van SSH-sleutels. Er is een update beschikbaar om deze kritieke kwetsbaarheid aan te pakken, en gebruikers wordt dringend aangeraden om naar de nieuwste versie van de applicatie over te schakelen. (bron, bron2, bron3, bron4)

Apple Dicht Twee Nieuwe Zero-Day Kwetsbaarheden Actief Uitgebuit op iPhones en Macs

Apple heeft noodupdates uitgerold om twee nieuwe zero-day kwetsbaarheden te verhelpen die actief werden uitgebuit om iPhones en Macs aan te vallen. Dit brengt het totaal aantal gepatchte zero-day kwetsbaarheden op 13 sinds het begin van dit jaar. De kwetsbaarheden werden ontdekt in de Image I/O- en Wallet-frameworks van Apple. De eerste bug, getracked als CVE-2023-41064, werd ontdekt door Citizen Lab en maakt gebruik van een buffer overflow zwakte die wordt geactiveerd bij het verwerken van kwaadaardig gemaakte afbeeldingen. Deze kan leiden tot willekeurige code-uitvoering op niet-gepatchte apparaten. De tweede, CVE-2023-41061, werd ontdekt door Apple zelf en is een validatieprobleem dat ook kan leiden tot willekeurige code-uitvoering via een kwaadaardige bijlage. Citizen Lab heeft ook onthuld dat deze kwetsbaarheden deel uitmaken van een zero-click iMessage exploitketen, genaamd BLASTPASS, gebruikt om NSO Group's Pegasus-spionagesoftware te installeren op volledig bijgewerkte iPhones. De updates zijn beschikbaar voor een breed scala aan apparaten, waaronder iPhone 8 en latere modellen, diverse iPad-versies, Macs met macOS Ventura en Apple Watch Series 4 en later. Apple heeft de problemen opgelost in macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 en watchOS 9.6.2. Eerder dit jaar heeft Apple al verschillende andere zero-day kwetsbaarheden aangepakt, waaronder enkele die webbrowsing tijdelijk verstoorden op gepatchte apparaten. Deze problemen werden echter snel opgelost met nieuwe patches. De onthullingen benadrukken het aanhoudende belang van het tijdig bijwerken van Apple-apparaten om bescherming te bieden tegen actief uitgebuite kwetsbaarheden. (bron, bron2)

Kwetsbaarheden in Zavio ip-camera's: Fabrikant Failliet, Gebruikers geadviseerd om te vervangen

Onderzoekers hebben ernstige kwetsbaarheden ontdekt in ip-camera's van de fabrikant Zavio, die het mogelijk maken dat ongeautoriseerde aanvallers de controle over de apparaten op afstand kunnen overnemen. Het bedrijf Zavio is echter failliet, wat betekent dat er geen patches meer zullen worden uitgebracht om de beveiligingslekken te verhelpen. Deze camera's werden wereldwijd verspreid, vooral in Europa en de Verenigde Staten, met een groot aantal gebruikers. De gevonden kwetsbaarheden omvatten memory corruption en command injection, waardoor aanvallers in het ergste geval op afstand code kunnen uitvoeren en volledige controle over de camera's kunnen krijgen. Dit stelt hen in staat om live beelden te bekijken en zelfs DDoS-aanvallen uit te voeren. Het enige wat een aanvaller nodig heeft, is toegang tot de camera. De firmwareversie (M2.1.6.05) die door elf verschillende cameramodellen van Zavio wordt gebruikt, blijkt in totaal 34 kwetsbaarheden te bevatten. Hoewel BugProve, het securitybedrijf dat deze problemen ontdekte, vorig jaar december Zavio op de hoogte bracht, kreeg het geen reactie. Daarom werden de kwetsbaarheden gemeld bij het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het CISA heeft deze kwetsbaarheden gecategoriseerd met twee CVE-nummers, namelijk CVE-2023-4249 en CVE-2023-3959. Aangezien Zavio niet langer actief is en geen patches zal uitbrengen, wordt gebruikers dringend geadviseerd om deze camera's te vervangen om hun beveiliging te waarborgen. (bron)

Kritiek Beveiligingslek in Cisco BroadWorks Riskeert Belfraude

Deze kwetsbaarheid maakt het voor ongeauthenticeerde aanvallers mogelijk om volledige controle over het systeem te verkrijgen en belfraude te plegen. De ernst van dit beveiligingslek, geïdentificeerd als CVE-2023-20238, heeft de maximale score van 10.0 op een schaal van 1 tot 10 ontvangen. Cisco BroadWorks, gebruikt door meer dan 26 miljoen mensen, is een cloud business communication platform dat onder meer bellen mogelijk maakt. Het bleek dat het platform Single Sign-On (SSO) tokens niet correct valideert. Hierdoor kunnen aanvallers met vervalste inloggegevens toegang krijgen tot het systeem, inclusief als beheerder. Wanneer een aanvaller deze beheerdersrechten verkrijgt, kan hij vertrouwelijke informatie inzien en systeeminstellingen wijzigen. Een specifiek risico dat door Cisco wordt benadrukt, is belfraude. Aanvallers kunnen misbruik maken van het systeem om naar premium telefoonnummers te bellen, wat financiële consequenties heeft voor de getroffen organisatie. Om dit kritieke lek aan te pakken, heeft Cisco updates vrijgegeven. Het is essentieel voor organisaties die Cisco BroadWorks gebruiken om deze updates zo snel mogelijk te implementeren om zichzelf te beschermen tegen mogelijke aanvallen en de daaruit voortvloeiende belfraude. (bron)

MSI BIOS-updates verhelpen BSOD-fout bij niet-ondersteunde processors na installatie van augustus 2023 updates

MSI heeft BIOS-updates uitgebracht om een bekend probleem op te lossen dat leidt tot blauwe schermen van de dood op Windows-computers na de installatie van de preview-updates van augustus 2023. Het bedrijf meldt dat het probleem alleen van invloed is op zijn Intel 700 en 600 Series moederborden en heeft de oorzaak getraceerd naar een firmware-instelling van Intel Hybrid Architecture. De BSOD-fout treft alleen systemen met Intel's 13e generatie Core i9 CPU na de installatie van KB5029351 (Windows 11 22H2), KB5029332 (Windows 11 22H1) en KB5029331 (Windows 10 22H2). MSI kondigt aan dat de nieuwe BIOS een update zal bevatten voor de Intel CPU uCode, waardoor de meldingen over 'UNSUPPORTED_PROCESSOR'-problemen worden voorkomen, en deze update zal van toepassing zijn op zowel de 13e generatie als nieuwere CPU's. Er zullen meer BIOS-updates beschikbaar zijn op de officiële website van MSI voor alle Intel 700 en 600 Series modellen, en alle BIOS-releases zullen beschikbaar zijn tegen het einde van september. MSI biedt begeleiding over hoe de M-FLASH tool te gebruiken om uw moederbordfirmware bij te werken. De volledige lijst van tot nu toe uitgebrachte BIOS-updates die dit bekende probleem aanpakken, is te vinden in de onderstaande tabel. Dit komt een week nadat Microsoft de blauwe schermproblemen toeschreef aan OEM-leveranciers na de installatie van preview-updates van vorige maand. Microsoft heeft aangekondigd dat ze samenwerken met apparaatfabrikanten (OEM's) om het probleem tijdelijk te verlichten door KB5029351 niet aan te bieden aan Windows-apparaten die mogelijk door dit probleem worden beïnvloed. Dit nieuws benadrukt het belang van regelmatige BIOS-updates om de stabiliteit van uw systeem te waarborgen en problemen zoals BSOD-fouten te voorkomen. (bron}

Kritieke Beveiligingslekken Ontdekt in Proton Mail, Skiff en Tutanota Webmail

Onderzoekers hebben ernstige beveiligingslekken aangetroffen in de webmaildiensten van Proton Mail, Skiff en Tutanota, die zich allemaal richten op privacy. Het securitybedrijf Sonar heeft deze kwetsbaarheden ontdekt en gerapporteerd. De lekken maakten het mogelijk voor aanvallers om e-mails van gebruikers te stelen en zich voor te doen als het slachtoffer. In het geval van Skiff en Tutanota Desktop kon zelfs willekeurige code op de computers van gebruikers worden uitgevoerd als ze een kwaadaardige e-mail openden. Bij Proton Mail ging het specifiek om een cross-site scripting kwetsbaarheid. Aanvallers konden deze kwetsbaarheid misbruiken door twee e-mails te sturen die het slachtoffer moest openen. Ondanks dat Proton Mail gebruikmaakt van de HTML sanitizer DOMPurify om dergelijke aanvallen te voorkomen, wisten de onderzoekers deze te omzeilen. Proton Mail werd op 3 juni ingelicht over het probleem en heeft op 6 juli een update uitgerold om het lek te dichten. De onderzoekers ontvingen een beloning van 750 dollar voor hun melding. (bron)

Google Dicht Meerdere Kritieke Beveiligingslekken in Android

Google heeft tijdens zijn september patchcyclus een reeks beveiligingslekken in het Android-besturingssysteem aangepakt. Een van de meest opvallende is een zerodaylek, aangeduid als CVE-2023-35674, dat actief werd aangevallen. Dit lek bevindt zich in het Android Framework en maakt 'local escalation of privilege' mogelijk. Dit betekent dat een aanvaller die al toegang heeft tot een Android-telefoon, zijn rechten kan verhogen zonder interactie van de gebruiker. De impact van dit lek is als 'hoog' beoordeeld. Naast dit zerodaylek zijn er drie andere kritieke kwetsbaarheden verholpen in het Android-systeem. Deze lekken, aangeduid als CVE-2023-35658, CVE-2023-35673 en CVE-2023-35681, maken het mogelijk voor een aanvaller om op afstand de telefoon over te nemen. Google heeft niet veel details vrijgegeven, maar geeft aan dat de aanvaller "dichtbij" zou moeten zijn, wat suggereert dat een aanval via Bluetooth mogelijk is. Bovendien is er een ernstig beveiligingslek in de wifi-firmware van chipsets van fabrikant Qualcomm verholpen. Dit lek, bekend als CVE-2023-28581, kan door een aanvaller op afstand worden misbruikt om geheugencorruptie te veroorzaken. De ernst van dit lek is beoordeeld met een 9.8 op een schaal van 1 tot 10. Google heeft de updates beschikbaar gesteld voor Android 11, 12, 12L en 13. Fabrikanten zijn minstens een maand geleden geïnformeerd over deze kwetsbaarheden en hebben de tijd gehad om updates te ontwikkelen. Echter, niet alle Android-toestellen zullen deze updates ontvangen, afhankelijk van de ondersteuning door de fabrikant. (bron, bron2)

Kritieke Zero-Day Kwetsbaarheid in Atlas VPN voor Linux Levert Privacyrisico's Op

Een ernstige zero-day kwetsbaarheid in de Linux-client van Atlas VPN is ontdekt, waardoor de echte IP-adressen van gebruikers kunnen worden onthuld. Deze ontdekking is vooral zorgwekkend omdat VPN-diensten doorgaans worden gebruikt om de identiteit en locatie van gebruikers te verbergen. Het lek werd openbaar gemaakt op Reddit door een gebruiker genaamd 'Educational-Map-8145'. Deze persoon demonstreerde dat de laatste versie van Atlas VPN, 1.0.3, een onbeveiligde API (Application Programming Interface) heeft die luistert op het localhost-adres (127.0.0.1) via poort 8076. Deze API maakt het mogelijk om verschillende acties uit te voeren, zoals het verbreken van een VPN-verbinding. Omdat er geen authenticatie vereist is voor het uitvoeren van commando's, kan zelfs een website die een gebruiker bezoekt misbruik maken van deze kwetsbaarheid. De Reddit-gebruiker creëerde een Proof of Concept (PoC) die een verborgen formulier gebruikt, automatisch ingediend door JavaScript. Dit formulier maakt verbinding met de onveilige API en verbreekt de VPN-verbinding. Vervolgens wordt het echte IP-adres van de gebruiker gelogd via de website api.ipify.org. Deze actie leidt tot een ernstige schending van de privacy, omdat het de fysieke locatie van de gebruiker onthult en tracking mogelijk maakt. Amazon cybersecurity-ingenieur Chris Partridge heeft de exploit getest en bevestigd. Hij voegde toe dat de aanval bestaande CORS (Cross-Origin Resource Sharing) beveiligingen omzeilt doordat de verzoeken worden verzonden als formulierverslagen, die zijn vrijgesteld van CORS-beperkingen. Atlas VPN heeft gereageerd door te zeggen dat ze werken aan een patch. Gebruikers van de Linux-client worden echter sterk geadviseerd om onmiddellijke voorzorgsmaatregelen te nemen, waaronder het overwegen van een alternatieve VPN-oplossing, totdat het probleem is verholpen. (bron, bron2, bron3, bron4)

Kritieke Beveiligingslekken Ontdekt in Populaire ASUS Routers

Er zijn drie ernstige beveiligingskwetsbaarheden ontdekt in ASUS WiFi-routers, modellen RT-AX55, RT-AX56U_V2, en RT-AC86U, die dreigen het apparaat te compromitteren als er geen veiligheidsupdates worden geïnstalleerd. Deze routers zijn populaire high-end modellen die veel worden gebruikt door gamers en gebruikers met hoge prestatie-eisen. De kwetsbaarheden hebben een CVSS v3.1-score van 9.8 op een schaal van 10, wat wijst op een hoge ernst. Deze beveiligingsproblemen zijn van het type "format string vulnerabilities", wat inhoudt dat ze kunnen worden misbruikt zonder authenticatie op afstand. Het misbruik kan leiden tot externe code-uitvoering, onderbreking van de dienst en uitvoering van willekeurige acties op het apparaat. De kwetsbaarheden ontstaan door niet-gevalideerde of niet-geschoonde gebruikersinvoer binnen bepaalde functieparameters.

De Taiwanese CERT heeft de volgende drie kwetsbaarheden openbaar gemaakt:
- CVE-2023-39238: betreft een probleem in de 'ser_iperf3_svr.cgi' API-module.
- CVE-2023-39239: gerelateerd aan de API van de algemene instellingsfunctie.
- CVE-2023-39240: een probleem in de 'ser_iperf3_cli.cgi' API-module.

Deze kwetsbaarheden beïnvloeden specifieke firmwareversies van de genoemde modellen. ASUS heeft echter al patches uitgebracht om deze problemen aan te pakken. Gebruikers worden dringend aangeraden hun firmware bij te werken naar de nieuwste versies:
- RT-AX55: 3.0.0.4.386_51948 of later
- RT-AX56U_V2: 3.0.0.4.386_51948 of later
- RT-AC86U: 3.0.0.4.386_51915 of later

Bovendien wordt aanbevolen om de functie voor externe administratie (WAN Web Access) uit te schakelen om toegang vanaf het internet te voorkomen. Als u de updates niet heeft toegepast, is onmiddellijke actie vereist om uw apparaat veilig te stellen.

Onderzoekers Ontdekken Veiligheidslek in Chrome Extensies: Miljoenen Wachtwoorden Zijn Kwetsbaar

Een team van onderzoekers van de Universiteit van Wisconsin-Madison heeft een proof-of-concept Chrome-extensie ontwikkeld die onversleutelde wachtwoorden uit websites kan halen. Ze ontdekten dat veel websites, waaronder enkele van Google en Cloudflare, wachtwoorden in plaintext opslaan in hun HTML-broncode. De Chrome-extensie kan toegang krijgen tot deze informatie door misbruik te maken van de ruime toegangsrechten tot het Document Object Model (DOM) van de websites. Het probleem ontstaat door het ontbreken van een duidelijke veiligheidsbarrière tussen extensies en webpagina's. Extensies kunnen direct waarden van invoervelden extraheren via de DOM API, waardoor eventuele versleutelingsmechanismen van de website kunnen worden omzeild. Hoewel Google's Manifest V3 protocol, dat dit jaar door de meeste browsers is overgenomen, enkele beperkingen oplegt aan de toegang tot de API en de uitvoering van willekeurige code, lost het dit specifieke probleem niet op. De onderzoekers plaatsten hun proof-of-concept extensie in de Chrome Web Store om Google's reviewproces te testen. De extensie werd geaccepteerd, wat aangeeft dat de huidige beveiligingscontroles onvoldoende zijn om dit type dreiging te vangen. In aanvulling op hun bevindingen, hebben de onderzoekers geconstateerd dat ongeveer 17.300 extensies in de Chrome Web Store (12,5%) de benodigde rechten hebben om gevoelige informatie van websites te halen. Bovendien tonen analyses aan dat 190 extensies al direct toegang hebben tot wachtwoordvelden en deze waarden opslaan, wat suggereert dat enkele uitgevers wellicht al misbruik maken van dit veiligheidslek.

Kritieke Kwetsbaarheid in VMware Aria Operations Noodzaakt Dringende Update

VMware heeft een waarschuwing uitgegeven over een ernstige beveiligingslek in hun netwerkmonitoringstool, Aria Operations for Networks (voorheen bekend als vRealize Network Insight). Deze kwetsbaarheid, geïdentificeerd als CVE-2023-34039, stelt aanvallers in staat om kwetsbare systemen volledig over te nemen door de SSH-authenticatie te omzeilen. Het probleem ligt in het niet genereren van unieke cryptografische sleutels, waardoor aanvallers gemakkelijk toegang kunnen krijgen tot de command-line interface van het getroffen systeem. De kwetsbaarheid heeft een hoge impactscore van 9.8 op een schaal van 1 tot 10. Op 29 augustus bracht VMware een beveiligingsupdate uit om deze kwestie aan te pakken. Echter, slechts twee dagen later werd er exploitcode voor het beveiligingslek gepubliceerd. Gezien het feit dat aanvallers eerder al misbruik hebben gemaakt van een andere kwetsbaarheid in Aria Operations (CVE-2023-20887), wordt organisaties dringend aangeraden om de recent uitgebrachte update zo snel mogelijk te installeren. (bron)