First click here and then choose your language with the Google translate bar at the top of this page ↑


Kwetsbaarheden CVE's


2022 | 2021




Update: 29-juni-2022


MITRE publiceert jaarlijkse Top 25 van gevaarlijkste kwetsbaarheden

De MITRE Corporation publiceert elk jaar de Top 25 van gevaarlijkste kwetsbaarheden en net als vorig jaar staat ook dit jaar "out-of-bounds write" op de eerste plek, gevolgd door cross-site scripting en SQL Injection. MITRE is de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden te identificeren. De organisatie stelt jaarlijks een Top 25 vast van gevaarlijke kwetsbaarheden die veel in software voorkomen, eenvoudig zijn te vinden en misbruiken, en aanvallers de mogelijkheid geven om systemen volledig over te nemen, data te stelen of een denial of service uit te voeren. Volgens MITRE biedt de Top 25 professionals een praktische en handige bron om risico's te mitigeren. Het gaat dan om programmeurs, testers, gebruikers, projectmanagers en beveiligingsonderzoekers. De Top 25 is gebaseerd op 38.000 kwetsbaarheden die in 2020 en 2021 werden gevonden. Vervolgens werd er een scoreformule gebruikt om de ranking van elke kwetsbaarheid te bepalen. Deze formule kijkt hoe vaak de betreffende kwetsbaarheid voorkomt en de beoogde impact wanneer die wordt misbruikt. Dan staat wederom out-of-bounds write bovenaan. Via deze klasse van kwetsbaarheden is het mogelijk voor een aanvaller om een applicatie te laten crashen of code op het systeem uit te voeren. Andere bekende kwetsbaarheden in de top tien zijn cross-site scripting, SQL Injection en path traversal. SQL Injection steeg met drie plekken naar de derde plek. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren.

MITRE Top 25 2022
Afbeelding – 578,6 KB 21 downloads

‘Bijna een miljoen Kubernetes clusters kwetsbaar voor aanvallen’

Onderzoek van securityspecialist Cyble wijst uit dat meer dan 900.000 Kubernetes clusters kwetsbaar zijn voor aanvallen als kwaadaardige scans en datadiefstal. Ontwikkelaars en gebruikers van Kubernetes clusters moeten meer aandacht besteden aan security. De onderzoekers kwamen meer dan 900.000 kwetsbare Kubernetes clusters tegen tijdens een oefening, aldus de securityspecialist. De kwetsbare Kubernetes clusters werden gevonden op een drietal poorten: 443, 10250 en 6443. De meeste werden aangetroffen op poort 443.

Ook in Nederland

De meeste kwetsbare Kubernetes clusters werden aangetroffen in de Verenigde Staten (65 procent). Andere landen met veel kwetsbare clusters waren China, Duitsland, Ierland en Nederland.

Exposed Kubernetes Clusters
PDF – 378,5 KB 19 downloads

QNAP-apparaten door drie jaar oud PHP-lek kwetsbaar voor aanvallen

Een drie jaar oud PHP-beveiligingslek in de software waar NAS-apparaten van fabrikant QNAP op draaien maakt het mogelijk voor aanvallers om op afstand code uit te voeren. De kwetsbaarheid, aangeduid als CVE-2019-11043, werd zoals het CVE-nummer weergeeft al in 2019 ontdekt. Voor verschillende Linux-distributies verschenen destijds beveiligingsupdates. Vandaag meldt QNAP dat de kwetsbaarheid ook aanwezig is in verschillende versies van QTS, QuTS hero en QuTScloud. Dit zijn de besturingssystemen waar QNAP NAS-systemen op draaien die ook van PHP gebruikmaken. Via het beveiligingslek is remote code execution mogelijk en kan een aanvaller op afstand code op het NAS-systeem uitvoeren. Verdere details zijn niet door QNAP gegeven, behalve dat het probleem in QTS 5.0.1.2034 build 20220515 en nieuwer en QuTS hero h5.0.0.2069 build 20220614 en nieuwer is verholpen. Gebruikers wordt aangeraden om naar de laatste versie van het besturingssysteem te updaten.


Kritiek lek in Google Chrome maakt remote code execution mogelijk

Een kritieke kwetsbaarheid in Google Chrome maakt het mogelijk voor aanvallers om systemen op afstand over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van gebruikers vereist. Google heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2022-2156, werd op 11 juni door Mark Brand van Google Project Zero aan het Chrome-team gerapporteerd. Het probleem bevindt zich in het "Base" onderdeel van de browser en maakt een use after free mogelijk waardoor een aanvaller buiten de sandbox van Chrome code op het systeem kan uitvoeren. In het ergste geval is daardoor volledige systeemovername mogelijk. Verder geeft Google geen details over de kwetsbaarheid. Hoewel kritieke beveiligingslekken weinig voorkomen in Chrome staat de teller dit jaar al op vijf, wat meer is dan in voorgaande jaren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 103.0.5060.53 dertien andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.


Ernstige kwetsbaarheden gevonden in OT-systemen

56 kwetsbaarheden – waarvan sommigen als kritiek worden beschouwd – zijn gevonden in systemen voor industriële operationele technologie (OT) van tien wereldwijd actieve fabrikanten. Daaronder Honeywell, Ericsson, Motorola en Siemens. Ruim 30.000 soorten devices zijn wereldwijd in gevaar, zo blijkt uit een onderzoek van de Amerikaanse cybersecurity-toezichthouder CISA (Cybersecurity & Infrastructure Security Agency) en particuliere beveiligingsonderzoekers. Sommige van de kwetsbaarheden kregen CVSS-scores van wel 9,8 op 10. Dat is bijzonder slecht, zo schrijft The Register, omdat apparaten die deze kwetsbaarheden bevatten, worden gebruikt in kritieke infrastructuur in de olie- en gasinfrastructuur, chemie, kernenergie, energieopwekking en -distributie, productie, waterbehandeling en distributie, mijnbouw en de bouw- en automatiseringsindustrie. Meer informatie is te vinden in het rapport van Vedere (pdf) en adviezen van CISA's ICS-CERT.

Vedere Labs
PDF – 3,3 MB 19 downloads

Kritieke kwetsbaarheid in Sophos Firewall misbruikt voor MITM-aanvallen

Een kritieke kwetsbaarheid in de firewall-oplossing van securitybedrijf Sophos is zeker drie weken voor het uitkomen van een beveiligingsupdate misbruikt voor man-in-the-middle (MITM)-aanvallen. Dat laat securitybedrijf Volexity weten. Sophos kwam op 25 maart met de update en meldde een aantal dagen later dat de kwetsbaarheid was gebruikt voor het aanvallen van specifieke organisaties in Zuid-Azië. Via het beveiligingslek kan een aanvaller op afstand en zonder inloggegevens de authenticatie omzeilen en vervolgens willekeurige code op de firewall uitvoeren. Daarmee heeft een aanvaller volledige controle over het systeem. De impact van het beveiligingslek, aangeduid als CVE-2022-1040, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volexity zegt dat misbruik van het lek al sinds 5 maart plaatsvindt. Bij de waargenomen aanvallen gebruiken de aanvallers de kwetsbaarheid om een webshell op de firewall te installeren en zo toegang tot het systeem te behouden. Vervolgens wordt er een MITM-aanval op computers binnen de aangevallen organisatie uitgevoerd. Zodra gebruikers van deze organisaties bepaalde websites willen bezoeken worden ze doorgestuurd naar een server van de aanvallers, die zo inloggegevens en sessiecookies kunnen stelen om verdere toegang tot webservers te krijgen. Volgens Volexity hebben de aanvallers het daarbij voorzien op de WordPress-installatie waarmee de betreffende organisaties hun eigen websites onderhouden. Zodra de aanvallers beheerderstoegang tot de WordPress-site hebben gekregen installeren ze een plug-in voor het uploaden van PHP-bestanden. Het gaat in dit geval wederom om een webshell waarmee ze toegang tot de webserver krijgen. Het securitybedrijf claimt dat vanuit China opererende spionagegroepen achter de aanvallen zitten.


WordPress forceert update voor actief aangevallen lek in plug-in Ninja Forms

Wegens een actief aangevallen kwetsbaarheid in de WordPress-plug-in Ninja Forms heeft WordPress op bijna 800.000 websites een update geforceerd. Dat laat securitybedrijf Wordfence weten. Ninja Forms is een plug-in waarmee WordPress-sites eenvoudig contactformulieren kunnen toevoegen. Meer dan een miljoen websites maken er gebruik van. Op 14 juni verscheen er een nieuwe versie van de plug-in die "security enhancements" introduceerde voor het omgaan met tag-waardes. Verdere details werden niet gegeven. Onderzoekers van Wordfence ontdekten dat met de versie een kritieke kwetsbaarheid is verholpen waardoor een aanvaller zonder enige inloggegevens willekeurige code op de website kan uitvoeren of willekeurige bestanden kan verwijderen. Volgens de onderzoekers zijn er aanwijzingen dat aanvallers actief misbruik van de kwetsbaarheid maken. Om verder misbruik te voorkomen geeft Wordfence dan ook geen informatie over het beveiligingslek. Hoewel er geen officiële verklaring is gekomen lijkt WordPress de betreffende update inmiddels op zo'n 800.000 websites te hebben geïnstalleerd. De downloadgrafiek van Ninja Forms laat namelijk op 15 juni een extreme piek van 680.000 downloads zien, terwijl nieuw uitgekomen versies normaliter veel minder downloads krijgen. Het komt vaker voor dat WordPress in het geval van kritieke kwetsbaarheden in veelgebruikte plug-ins ingrijpt en updates forceert. Gebruikers die de update niet hebben ontvangen kunnen die ook handmatig installeren.


FreeBSD-systemen via wifi-aanval volledig over te nemen

Een kwetsbaarheid in FreeBSD maakt het mogelijk voor aanvallers om systemen via wifi volledig over te nemen en willekeurige code in de kernel uit te voeren. Daarbij is er geen enkele interactie van gebruikers vereist. FreeBSD kwam afgelopen april met een beveiligingsupdate. Details over de kwetsbaarheid(CVE-2022-23088) alsmede een proof-of-concept exploit zijn nu openbaar gemaakt. Bij het scannen van beschikbare wifi-netwerken luistert een systeem naar managementframes die door het wifi-accesspoint in de buurt worden uitgezonden. Er zijn verschillende soorten managementframes. Bij één van deze types, het beacon frame, werd de optielengte niet goed door de wifi-stack van FreeBSD gecontroleerd. Door het versturen van een beacon frame met een "oversized" optielengte is het mogelijk om een kernel heap overflow te veroorzaken en zo code in de kernel uit te voeren. Een aanvaller kan op deze manier een kernelbackdoor creëren die via het versturen van wifi-frames is te gebruiken, zo laat de onderzoeker weten die het probleem ontdekte. De kwetsbaarheid was al dertien jaar in de wifi-stack van FreeBSD aanwezig, zo meldt het Zero Day Initiative dat de bugmelding ontving en doorzette naar FreeBSD.


QNAP waarschuwt voor nieuwe ransomware-aanvallen tegen NAS-apparaten

NAS-fabrikant QNAP heeft opnieuw gewaarschuwd voor ransomware-aanvallen tegen NAS-apparaten. Het zou daarbij gaan om NAS-systemen die versie 4.x van het QTS-besturingssysteem draaien. Verdere details zijn nog niet bekend. Net als eerder dit jaar gaat het om de Deadbolt-ransomware die NAS-systemen infecteert en bestanden vervolgens voor losgeld versleutelt. Bij de eerdere aanvallen met de Deadbolt-ransomware bleek dat er misbruik werd gemaakt van bekende kwetsbaarheden. QNAP adviseert gebruikers dan ook om meteen te updaten naar de laatste versie van QTS of QuTS hero. In het geval de ransomware al heeft toegeslagen wordt aangeraden om de ingebouwde Malware Remover te updaten. Hiermee krijgen gebruikers niet hun bestanden terug. De Malware Remover verwijdert alleen de losgeldmelding van het systeem. Securitybedrijf Censys waarschuwde eind mei dat de Deadbolt-ransomware weer honderden QNAP-apparaten had geïnfecteerd, maar kon ook niet zeggen hoe de besmettingen hadden plaatsgevonden. QNAP laat afsluitend weten dat het nog bezig is met het onderzoek naar de aanvallen en zo snel mogelijk met meer informatie komt.


Cisco zal lek dat overname end-of-life routers mogelijk maakt niet patchen

Cisco zal een kritieke kwetsbaarheid waardoor het voor een aanvaller mogelijk is om op afstand volledige controle over verschillende modellen routers te krijgen niet patchen. De apparaten zijn namelijk end-of-life (pdf). Het gaat om de Cisco Small Business RV110W, RV130, RV130W en RV215W vpn-routers. Het beveiligingslek, aangeduid als CVE-2022-20825, wordt veroorzaakt door het onvoldoende valideren van inkomende http-packets. Door het versturen van een speciaal geprepareerd request naar de beheerdersinterface kan een aanvaller willekeurige commando's op de router met rootrechten uitvoeren. De beheerdersinterface van de betreffende routers is toegankelijk vanaf een LAN-verbinding die niet is uit te schakelen. In het geval remote management staat ingeschakeld is de interface ook toegankelijk vanaf het internet. Standaard is dat echter niet het geval. Cisco adviseert klanten die nog van de routers gebruikmaken om over te stappen naar een apparaat dat nog wel wordt ondersteund.

Eos Eol Notice C 51 742771
PDF – 256,0 KB 22 downloads

Microsoft verhelpt actief aangevallen zerodaylek in Windows

Tijdens de patchdinsdag van juni heeft Microsoft 55 kwetsbaarheden verholpen, waaronder een zerodaylek in Windows waar zeker sinds mei misbruik van wordt gemaakt. Microsoft waarschuwde op 30 mei voor een beveiligingslek in de Windows Support Diagnostic Tool (MSDT) waardoor een aanvaller code op het systeem kan uitvoeren. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. Door het aanroepen van MSDT via een url-protocol is remote code execution mogelijk. Dit kan bijvoorbeeld vanuit een applicatie zoals Word, waarbij alleen het openen van een malafide document volstaat. Eenmaal geopend kan een aanvaller vanuit het malafide document de diagnostische tool op het systeem van de gebruiker aanroepen en zo willekeurige code uitvoeren met de rechten van de ingelogde gebruiker. Een kwetsbaarheid in het Windows Network File System (NFS) heeft volgens Microsoft deze maand de grootste impact. Een ongeauthenticeerde aanvaller kan door het versturen van een speciaal geprepareerd request naar een NFS-server willekeurige code met mogelijk systeemrechten uitvoeren. Vorige maand kwam Microsoft ook al met een beveiligingsupdate voor een kwetsbaarheid in NFS. Die patch was voor NFS-versies 2.0 en 3.0. De update die gisteren verscheen is voor NFS versie 4.1. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Van de 55 kwetsbaarheden zijn er drie als kritiek beoordeeld. Naast het bovengenoemde lek in het Windows Network File System gaat het ook om beveiligingslekken in Windows Hyper-V en het Windows Lightweight Directory Access Protocol(LDAP) die beide remote code execution mogelijk maken. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd.


Lek in Intel- en AMD-processors maakt diefstal encryptiesleutels mogelijk

Een kwetsbaarheid in processoren van AMD en Intel maakt het mogelijk voor aanvallers om op afstand vertrouwelijke informatie zoals encryptiesleutels te stelen. De onderzoekers die Hertzbleed ontdekten, zoals de kwetsbaarheid wordt genoemd, noemen het een "echte en praktische dreiging" voor de veiligheid van cryptografische software. Volgens Intel is de aanval interessant, maar niet praktisch om buiten een laboratoriumomgeving uit te voeren. Zowel AMD als Intel hebben advisories uitgebracht en adviseren ontwikkelaars van cryptografische libraries om maatregelen te nemen. Beide chipfabrikanten zijn voor zover bekend niet van plan om microcode-patches uit te brengen. Het is al geruime tijd bekend dat aanvallers door het monitoren van het stroomverbruik van een systeem geheime informatie kunnen achterhalen. Onderzoekers van verschillende Amerikaanse universiteiten hebben nu een manier gevonden waarbij ze een feature van moderne processors, met de naam dynamic frequency scaling, gebruiken om op afstand een timing-aanval uit te voeren waarmee diefstal van bijvoorbeeld encryptiesleutels mogelijk is. Dynamic voltage and frequency scaling (DVFS) is een techniek voor het dynamisch aanpassen van de cpu-frequentie om zo het stroomverbruik te verminderen als de processor niet wordt belast en ervoor te zorgen dat het systeem tijdens een zware belasting onder de stroom- en warmtelimiet blijft. Net als met andere taken verandert het energieverbruik tijdens het uitvoeren van cryptografische operaties. Een aanvaller kan informatie over het energieverbruik vervolgens gebruiken voor een timing-aanval en zo vertrouwelijke informatie stelen. De benodigde informatie voor het uitvoeren van de aanval is op afstand uit te lezen, zonder dat hiervoor een specifieke "power measurement interface" voor is vereist. De onderzoekers hebben hun aanval gedemonstreerd tegen een server die van SIKE gebruikmaakt, een cryptografisch algoritme dat wordt gebruikt voor het vaststellen van een secret key tussen twee partijen over een onveilig communicatiekanaal. Via de aanval lukte het de onderzoekers om de encryptiesleutel van de server te stelen. De onderzoekers informeerden Intel, Microsoft en Cloudflare in het derde kwartaal van vorig jaar over de kwetsbaarheid. AMD werd in het eerste kwartaal van dit jaar ingelicht. Intel had de onderzoekers gevraagd om de bevindingen op 10 mei te openbaren, maar de chipgigant vroeg vervolgens om die datum te verschuiven naar 14 juni. De impact van Hertzbleed is op een schaal van 1 tot en met 10 beoordeeld met een 6.3 en heeft volgens Intel een medium impact. De onderzoekers doen wel verschillende aanbevelingen om de aanval te voorkomen, maar dit kan grote gevolgen voor de prestaties van de processor hebben. Cryptografische implementaties die al maatregelen tegen power side-channel-aanvallen hebben genomen zijn niet kwetsbaar. Verder hebben Cloudflare en Microsoft mitigaties doorgevoerd om de aanval tegen SIKE te voorkomen.


Zimbra kwetsbaarheid laat aanvaller inloggegevens e-mailaccounts stelen

Een kwetsbaarheid in mailsoftware Zimbra maakt het voor aanvallers mogelijk om inloggegevens van gebruikers op afstand en zonder enige interactie te stelen. Daarbij is het alleen genoeg voor de aanvaller om het e-mailadres van de gebruiker te kennen en moet het slachtoffer een e-mailclient gebruiken. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. Zimbra maakt ook gebruik van Memcached, een cachingoplossing die data en objecten uit bijvoorbeeld databases cachet om zo websites en webapplicaties sneller te maken. De Memcached-oplossing van Zimbra blijkt newline characters in gebruikersinvoer niet te escapen. Daardoor is het mogelijk voor een aanvaller om malafide Memcached-commando's uit te voeren en de IMAP routing cache te overschrijven, zo meldt securitybedrijf SonarSource dat het probleem ontdekte. Wanneer een gebruiker de volgende keer inlogt wordt het IMAP-verkeer naar een server van de aanvaller gestuurd, waaronder de inloggegevens. Om de aanval te laten slagen moet het doelwit wel van een e-mailclient gebruikmaken. Zimbra wordt standaard met een webclient geleverd die direct met de backend-server communiceert en niet kwetsbaar is. Zimbra, dat naar eigen zeggen meer dan 200.000 organisaties als klant heeft, heeft updates uitgebracht om het probleem te verhelpen. Organisaties wordt opgeroepen die met spoed te installeren.

Wat is het risico?

De kwetsbaarheid, aangeduid met CVE-2022-27924, stelt een kwaadwillende in staat op afstand zogenaamde 'memcached-commando’s' te injecteren. De onderzoekers van SonarSource laten zien dat het hierdoor mogelijk is om relatief gemakkelijk gevoelige gegevens, zoals bijvoorbeeld inloggegevens, te bemachtigen zonder dat het slachtoffer dit door heeft.

Wat kun je doen?

Zimbra heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen in 8.8.15 Patch 31.1 en 9.0.0 Patch 24.1. Installeer deze updates zo snel mogelijk en wacht eventuele ingeplande patchmomenten niet af.

Beheer je niet zelf je IT-omgeving, neem dan contact op met je IT-dienstverlener en ga na of de beschikbare updates zijn geïnstalleerd.


Citrix-lek laat aanvaller admin wachtwoord resetten en systeem overnemen

Softwarebedrijf Citrix waarschuwt voor een kwetsbaarheid in Application Delivery Management (Citrix ADM) waardoor een ongeauthenticeerde aanvaller het adminwachtwoord op afstand kan resetten om vervolgens met de standaard inloggegevens van de beheerder in te loggen en zo het systeem over te nemen. Citrix Application Delivery and Management is een web-gebaseerde oplossing voor het beheer van andere Citrix-oplossingen, zoals Citrix Application Delivery Controller (ADC) en Citrix Gateway. Een beveiligingslek in de software, aangeduid als CVE-2022-27511, maakt het mogelijk voor een aanvaller om het systeem te corrumperen waarbij het adminwachtwoord wordt gereset. Bij een volgende herstart van het systeem kan een aanvaller vervolgens met het standaard adminwachtwoord via ssh inloggen en zo het systeem overnemen, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Citrix heeft updates uitgebracht en roept organisaties op om die te installeren. In het geval van Citrix ADM 12.1 is de software end-of-life en wordt klanten aangeraden om zo snel mogelijk naar een wel ondersteunde versie te upgraden.


Industriële warmtebeeldcamera's kwetsbaar door "backdoor-accounts"

Onderzoekers hebben in een industriële warmtebeeldcamera van fabrikant InfiRay verschillende kritieke kwetsbaarheden gevonden, waaronder "backdoor-accounts", die het mogelijk maken voor aanvallers om het apparaat volledig over te nemen en zo industriële processen te verstoren of manipuleren. Dat meldt securitybedrijf SEC Consult op basis van eigen onderzoek. Het gaat in totaal om vijf beveiligingslekken die werden gevonden in de A8Z3-warmtebeeldcamera. Deze camera's worden onder andere in fabrieken ingezet om temperaturen te controleren, bijvoorbeeld of materiaal op een lopende band nog warm genoeg is voor de volgende stap in het productieproces. Ook wordt de bijna drieduizend dollar kostende camera in datacenters gebruikt voor het monitoren van de temperatuur, alsmede voor procescontroles en inspecties. De onderzoekers ontdekten dat de webapplicatie van de camera gebruikmaakt van hardcoded inloggegevens die niet zijn te wijzigen. Gebruikers kunnen zowel de gebruikersnamen als wachtwoorden van verschillende accounts niet aanpassen. Volgens SEC Consult is er dan ook sprake van backdoor-accounts. Verder biedt de camera een Telnet-shell waarbij er geen wachtwoord voor de root-user is vereist. Iedereen op het lokale netwerk van de camera kan zo commando's als root uitvoeren. Verder is het mogelijk door het aanpassen van een url-parameter om op afstand code uit te voeren, bevat de firmware een potentiële buffer overflow en wordt er gebruik gemaakt van verouderde softwareonderdelen. SEC Consult waarschuwde de fabrikant vorig jaar februari en maart, maar kreeg geen reactie waardoor het onduidelijk is of de problemen zijn verholpen. Het securitybedrijf stelt dat een aanvaller via de kwetsbaarheden het productieproces van een fabriek kan stoppen of manipuleren.


Nederlandse onderzoekers vinden kritieke lekken in MSP-platform ITarian

Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben opnieuw kritieke kwetsbaarheden gevonden in een platform dat managed serviceproviders (MSP's) gebruiken voor het beheren van de systemen van hun klanten. Via de kwetsbaarheden in ITarian kan een aanvaller toegang tot de beheerdersinterface krijgen en kwaadaardige code op alle clients uitvoeren. De beveiligingslekken werden gevonden in de on-premis en SaaS-versies van ITarian en de Endpoint Manager Communication Client voor Windows. Door het combineren van de verschillende kwetsbaarheden kan een aanvaller een helpdeskticket aanmaken dat wanneer bekeken door een gebruiker met een geldig sessietoken code op alle clients met superuser-rechten uitvoert. ITarian werd op 6 januari over de beveiligingslekken ingelicht. Volgens het DIVD verliep de communicatie met ITarian moeizaam, maar zijn de kwetsbaarheden in de SaaS-versie en Agent-software verholpen. Twee kwetsbaarheden, CVE-2022-25151 en CVE-2022-25152, waardoor een aanvaller toegang tot de beheerdersinterface kan krijgen en code op alle agents kan uitvoeren, zijn nog steeds aanwezig in de on-premise versie van het ITarian-platform. De impact van CVE-2022-25152 is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De on-premise versie wordt al meer dan twee jaar niet meer door ITarian ondersteund, maar nog wel door het bedrijf als download aangeboden. Aangezien de software end-of-life is zal ITarian hiervoor geen patches uitbrengen. Vanwege de impact van de kwetsbaarheden en de mogelijkheden die het platform biedt adviseert het DIVD om een alternatieve oplossing te zoeken, de on-premise oplossing los te koppelen van het internet en niet te vertrouwen op het permissie- en toestemmingsmodel dat in ITarian zit verwerkt. Onderzoekers van het DIVD ontdekten eerder ook kritieke kwetsbaarheden in de MSP-software van Kaseya. Eén van deze beveiligingslekken werd uiteindelijk bij een wereldwijde ransomware-aanval op MSP-klanten gebruikt.


VS meldt actief misbruik van lek in Meeting Owl videoconferentiecamera

Aanvallers maken actief misbruik van een kwetsbaarheid in videoconferentiecamera Meeting Owl Pro en whiteboardcamera Whiteboard Owl, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De camera's worden wereldwijd door bedrijven en organisaties, onder andere in Nederland, gebruikt voor videoconferencing. Onderzoekers van modzero ontdekten verschillende kwetsbaarheden waardoor het mogelijk is om vertrouwelijke informatie van gebruikers te achterhalen of de camera's als rogue wireless gateway tot het bedrijfsnetwerk te gebruiken. De apparaten zijn namelijk door iedereen in de buurt via bluetooth als access point in te stellen. De camera creëert hierbij een nieuw wifi-netwerk terwijl het tegelijkertijd met de al geconfigureerde wifi-verbinding verbonden blijft. De onderzoekers van modzero ontdekten dat de Meeting Owl gebruikmaakt van hardcoded credentials. Hiermee kan elke gebruiker in de buurt van het apparaat via bluetooth de access point-mode inschakelen en er zo een rogue wireless gateway tot het bedrijfsnetwerk van maken. Deze kwetsbaarheid wordt aangeduid als CVE-2022-31460. Fabrikant Owl Labs werd in januari over de beveiligingslekken ingelicht. Het bedrijf liet weten dat alle problemen halverwege mei verholpen zouden zijn. Aangezien dat niet het geval was besloten de onderzoekers hun bevindingen op 31 mei openbaar te maken. Owl Labs kwam vervolgens op 3 en 6 juni met beveiligingsupdates voor zowel de camera als de Whiteboard Owl. Updates worden alleen automatisch geïnstalleerd wanneer de camera 's nachts is aangesloten op het wifi-netwerk en stopcontact. In een verklaring stelde Owl Labs dat de kans dat klanten via de kwetsbaarheden zijn aangevallen klein is. Het CISA laat nu weten dat dit wel het geval is. De Amerikaanse overheidsinstantie houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bevat de kwetsbaarheid in de Owl-camera's, alsmede 35 andere kwetsbaarheden. De andere beveiligingslekken zijn echter jaren oud. Amerikaanse overheidsinstanties moeten alle 36 kwetsbaarheden voor 22 juni hebben gepatcht.


40.000 WordPress-sites kwetsbaar door XSS-lek in Download Manager

Zo'n 40.000 WordPress-sites lopen het risico om te worden overgenomen door middel van een kwetsbaarheid in de Download Manager-plug-in. Download Manager is een plug-in waarmee webmasters downloads vanaf hun WordPress-site kunnen volgen en beheren. Zo is bijvoorbeeld per gebruiker de hoeveelheid downloads of downloadsnelheid in te stellen. Daarnaast is de plug-in te gebruiken voor de verkoop van digitale producten. Meer dan 100.000 WordPress-sites maken gebruik van Download Manager. Een onderdeel van de plug-in bevat een cross-site scripting (XSS)-kwetsbaarheid, die door het niet goed omgaan met gebruikersinvoer wordt veroorzaakt. Door een gebruiker van de plug-in een malafide link te laten openen is het voor een aanvaller mogelijk om willekeurige code in de browser van het slachtoffer uit te voeren, zo meldt securitybedrijf Wordfence. Een aanvaller kan zo gevoelige informatie of cookie-waardes stelen en in het ergste geval beheerderstoegang krijgen of een backdoor toevoegen. In het geval van Download Manager zouden zowel klantgegevens als toegang tot de aangeboden digitale producten risico lopen. Een aanvaller die de sessiecookies van de beheerder via het lek weet te bemachtigen kan zo de instellingen van het betaalproces aanpassen en zelfs nepproducten toevoegen. Het beveiligingslek is aanwezig in versie 3.2.42 en ouder van de plug-in en verholpen met versie 3.2.43. Op het moment van schrijven hebben zo'n zestigduizend van de honderdduizend WordPress-sites waarop Download Manager draait de laatste versie geïnstalleerd, wat inhoudt dat zo'n veertigduizend sites nog risico lopen.


Androidtelefoons door kritiek beveiligingslek op afstand over te nemen

Tijdens de maandelijkse patchcyclus voor Android heeft Google meerdere kritieke kwetsbaarheden verholpen waardoor het mogelijk is om Androidtelefoons op afstand over te nemen. De beveiligingslekken, aangeduid als CVE-2022-20130 en CVE-2022-20127 bevinden zich in het Android framework en system en laten een aanvaller op afstand code op telefoons uitvoeren zonder dat hier verdere uitvoerrechten voor zijn vereist. Verdere details over beide beveiligingslekken, zoals hoe er misbruik van kan worden gemaakt, zijn niet door Google gegeven. In totaal heeft Google deze maand voor 41 kwetsbaarheden in Android updates uitgerold. Daarnaast is het bedrijf met updates voor de eigen Pixel-telefoons gekomen. In de modemsoftware van deze toestellen bevinden zich vier kritieke kwetsbaarheden die remote code execution mogelijk maken. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de juni-updates ontvangen zullen '2022-06-01' of '2022-06-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van juni aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12 en 12L. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.


Lek in medische apparatuur maakt aanpassen testresultaten patiënten mogelijk

In verschillende medische apparatuur die bij dna-onderzoek naar onder ander genetische aandoeningen en kanker wordt gebruikt zijn kritieke kwetsbaarheden gevonden waardoor het mogelijk is voor een aanvaller om de testresultaten van patiënten op afstand aan te passen, de apparaten over te nemen of informatie te stelen. Het gaat om de NextSeq 550Dx, MiSeqDx, NextSeq 500, NextSeq 550, MiSeq, iSeq en MiniSeq van fabrikant Illumina die wereldwijd worden gebruikt. In de Local Run Manager (LRM)-software waarvan de apparaten gebruikmaken zijn vijf kwetsbaarheden gevonden. Zo is path traversal mogelijk waardoor een aanvaller bestanden buiten de bedoelde directories kan uploaden, wordt de software met onnodig hoge rechten uitgevoerd waardoor een aanvaller zijn code met systeemrechten kan uitvoeren, is het mogelijk om gevaarlijke bestandstypes te uploaden, wordt gevoelige data onversleuteld verstuurd en maakt de software standaard geen gebruik van authenticatie en autorisatie. Een aanvaller kan hierdoor de apparaten op afstand overnemen, instellingen aanpassen, testresultaten van patiënten manipuleren of persoonlijke informatie stelen, zo waarschuwt de Amerikaanse Food and Drug Administration (FDA). De impact van drie van de vijf kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Illumina heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. De FDA roept zorgverleners en laboratoria op om de patches meteen te installeren.


UPDATE - DTC notificeert ruim 300 keer over kwetsbare Atlassian Confluence systemen

Het Digital Trust Center (DTC) heeft naar aanleiding van verkregen scaninformatie van het DIVD de eigenaren of netwerkbeheerders van ruim 300 kwetsbare Atlassian Confluence systemen gewaarschuwd. De gewaarschuwde bedrijven of beheerders zijn geadviseerd om de beschikbare beveiligingsupdates te installeren om misbruik van een beveiligingslek in deze samenwerksoftware te voorkomen.

Proof-of-Concepts vergroten risico

Het Nationaal Cyber Security Centrum (NCSC) meldt dat er inmiddels een groot aantal Proof-of-Concepts (PoC’s) openbaar zijn gepubliceerd. POC’s beschrijven hoe je misbruik kunt maken van deze kwetsbaarheid. De kans op misbruik door kwaadwillenden neemt hierdoor toe.

Niet alle Atlassian Confluence eigenaren zijn bereikt

Niet alle kwetsbare Atlassian Confluence systemen zijn door het DTC te herleiden naar een eigenaar of netwerkbeheerder. Daarom vragen we opnieuw aandacht voor deze kwetsbaarheid en adviseren om beschikbare Atlassian beveiligingsupdates zo snel mogelijk te (laten) installeren.


Nederlandse onderzoekers vinden 15.000 kwetsbare Confluence-installaties

Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben vorige week ruim vijftienduizend waarschuwingen verstuurd naar beheerders van kwetsbare installaties van Confluence Server en Confluence Data Center. Er wordt actief misbruik gemaakt van een beveiligingslek in de software waardoor kwetsbare systemen op afstand zijn over te nemen. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. Vorige week waarschuwde Atlassian voor een zerodaylek in de software en op 3 juni kwam het softwarebedrijf met een beveiligingsupdate voor de kwetsbaarheid. Onder andere het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert organisaties om de update direct te installeren. Het DIVD scant op internet naar kwetsbare systemen zodat het betrokken organisaties kan waarschuwen. Daarnaast doet het beveiligingsonderzoek. Zo werden DIVD-onderzoekers wereldbekend door de vondst van een kritieke kwetsbaarheid in de software van Kaseya. Naast de Nederlandse organisatie voerde ook securitybedrijf Censys een scan uit. Daarbij werden ruim 9300 Confluences-installaties aangetroffen, waarvan er ook duizenden op het moment van de scan kwetsbaar waren.


Atlassian rolt updates uit voor aangevallen zerodaylek in Confluence Server

Softwarebedrijf Atlassian heeft beveiligingsupdates uitgerold voor een actief aangevallen zeroday lek in Confluence Server en Confluence Data Center. Organisaties wordt opgeroepen om de patches zo snel mogelijk te installeren. Naast de actief aangevallen kwetsbaarheid verhelpen de updates ook verschillende andere beveiligingslekken. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. Via de OGNL (Object Graph Navigation Language) injection kwetsbaarheid in de software kan een ongeauthenticeerde aanvaller willekeurige code op een Confluence-server of Confluence Data Center instance uitvoeren en zo controle over het systeem krijgen. Details over de kwetsbaarheid en aanvallen zijn nog niet gegeven. Het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert de updates ook direct te implementeren. Het NCSC houdt de situatie omtrent de kwetsbaarheid naar eigen zeggen nauwlettend in de gaten en zal verdere relevante informatie via de eigen website publiceren. De kwetsbaarheid is door de overheidsinstantie ingeschaald op High/High, wat inhoudt dat de kans op misbruik en mogelijke schade groot is.


Actief misbruik van ernstige kwetsbaarheid in Atlassian Confluence

Er is een ernstige kwetsbaarheid ontdekt in de samenwerksoftware van Atlassian Confluence. Deze wordt actief misbruikt. De kwetsbaarheid is bekend als CVE-2022-26134 en maakt het mogelijk om op afstand zonder inloggegevens willekeurige code uit te voeren. Ook het NCSC heeft de kwetsbaarheid ingeschaald als High/High. Dit wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de schade bij misbruik groot kan zijn.

Wat is het risico?

Een aanvaller kan op afstand willekeurige code uitvoeren op een kwetsbare Atlassian Confluence server zonder daar inloggegevens voor nodig te hebben. Atlassian Confluence servers zijn meestal benaderbaar vanaf het internet wat de kans op misbruik groot maakt. Misbruik van de kwetsbaarheid kan leiden tot het lekken van gevoelige informatie en afhankelijk van de configuratie het mogelijk maken de server volledig over te nemen.

Welke versies zijn kwetsbaar?

Atlassian geeft aan dat in ieder geval alle ondersteunde versies van Atlassian Confluence Server en Atlassian Confluence Datacenter kwetsbaar zijn. Wanneer je gebruik maakt van een Atlassian Confluence site via de Atlassian Cloud, dan zijn er geen aanwijzingen dat deze kwetsbaar is.

Wat kun je doen?

Op dit moment is er nog geen beveiligingsupdate beschikbaar om de kwetsbaarheid te verhelpen.

Atlassian raadt aan om de Confluence Server uit te schakelen of van het publieke internet te koppelen.

In de advisory van Atlassian vind je ook een alternatieve maatregel die het risico op misbruik kan verkleinen, maar niet volledig wegneemt.

Het advies is om de advisory in de gaten te houden voor ontwikkelingen en de beveiligingsupdates zo snel mogelijk te installeren wanneer deze beschikbaar zijn.


Veel Microsoft Exchange servers niet up-to-date

UPDATE – Misbruik kan leiden tot backdoor

Wanneer een kwetsbaarheid actief wordt misbruikt op het moment dat beveiligingsupdates nog niet beschikbaar of doorgevoerd zijn, dan is er altijd een kans dat misbruik al heeft plaats gevonden. Naast het misbruik wat je vaak direct opmerkt, is het ook belangrijk om je bewust te zijn dat een aanvaller graag toegang behoudt tot een server. Dit wordt vaak gedaan door een zogenoemde'backdoor' in te richten. Hiermee bereik je dat je nog steeds toegang kunt verkrijgen, ook nadat de kwetsbaarheid is opgelost.

Nederlandse securityspecialist Eye Security heeft een onderzoek gepubliceerd naar een door hen gevonden backdoor op een Microsoft Exchange server. Naar alle waarschijnlijkheid is deze backdoor geïnstalleerd door misbruik te maken van de ernstige “Proxylogon” kwetsbaarheid van begin maart 2021. Dit onderzoek beschrijft dat backdoors als deze vaak lastig te ontdekken zijn. Meer informatie over deze Microsoft Exchange Server backdoor, hoe deze te detecteren en uit te schakelen is, lees je in het Eye Security onderzoek.

Twijfel je of jouw Exchange-omgeving tijdig voorzien is van beveiligingsupdates naar aanleiding van ernstige kwetsbaarheden zoals “Proxylogon” of “Proxyshell”, controleer je servers dan op eventuele backdoors zoals die beschreven in het onderzoek van Eye Security. Heb je het beheer van je servers uitbesteed aan een IT-dienstverlener? Bespreek dan of er controles op backdoors kunnen plaatsvinden.

> Blogpost Eye over backdoor Microsoft Exchange server

UPDATE - Nog veel kwetsbare Microsoft Exchange servers

22 april 2022

Uit verschillende actuele berichten blijkt dat er nog altijd misbruik gemaakt wordt van kwetsbare Microsoft Exchange servers. Zo bericht de Amerikaanse FBI over ransomware-aanvallen via Exchange beveiligingslekken.

Wanneer een Exchange Server niet tijdig wordt voorzien van de laatste (beveiliging)updates of deze niet meer worden uitgebracht (end-of-life) bestaat het risico dat hackers misbruik maken van bestaande kwetsbaarheden.

Het DTC adviseert daarom nogmaals om uw Microsoft Exchange servers zo snel mogelijk te updaten.

Op de website van Microsoft is een volledig overzicht te vinden Exchange Servers en wanneer de ondersteuning verloopt of verlopen is.

Oorspronkelijk bericht 16 okt 2020

Microsoft Exchange is een veel gebruikte mailserveroplossing door bedrijven. Het afgelopen jaar berichtte het DTC over een aantal ernstige kwetsbaarheden binnen Exchange waar Microsoft beveiligingsupdates voor beschikbaar heeft gesteld. Op internet zijn nog steeds veel Exchange Servers te vinden die deze updates niet hebben geïnstalleerd. Daarnaast maken sommige bedrijven nog gebruik van een Exchange Server versie die niet meer wordt ondersteund (End-of-Life). Microsoft Exchange Server 2010 is daar sinds 13 oktober 2020 bij gekomen.

Wat is een Exchange Server?

Exchange is een product van Microsoft dat wordt ingezet als mailserver om e-mails te ontvangen en verzenden met vaak een eigen domein (@bedrijf.nl) als afzender. Daarnaast geeft een Exchange Server de mogelijkheid om e-mail, contacten en agenda’s te synchroniseren met verschillende apparaten.

Veel bedrijven gebruiken tegenwoordig e-mail in de cloud zoals bijvoorbeeld Office 365 of Gmail, maar ondanks deze trend zijn er ook nog veel bedrijven die een eigen e-mail server draaien. In veel gevallen wordt hiervoor Microsoft Exchange Server gebruikt.

Welke versies worden nog ondersteund?

Microsoft Exchange kent sinds 1996 meerdere versies waarvan een groot deel niet meer ondersteund wordt. Microsoft Exchange 2010 is daar recentelijk (13 oktober 2020) bij gekomen maar wordt nog steeds door veel bedrijven gebruikt. Ditzelfde geld ook voor Microsoft Exchange 2007 die al sinds 11 april 2017 niet meer wordt ondersteund.

Op de website van Microsoft is een volledig overzicht te vinden Exchange Servers en wanneer de ondersteuning verloopt of verlopen is. Hieronder vind je de versies die nog wel worden ondersteund en tot wanneer.

  • Exchange Server 2013: 11- 4 -2023
  • Exchange Server 2016: 14-10-2025
  • Exchange Server 2019: 14-10-2025

Wat kan ik doen?

Als jouw bedrijf gebruik maakt van een Microsoft Exchange omgeving, dan is het belangrijk dat dit een versie is die nog ondersteund wordt en is voorzien van de laatste (beveiliging)updates. Wanneer je niet zeker weet of er binnen je bedrijf gebruik gemaakt wordt van Microsoft Exchange of om welke versie het gaat, neem dan contact op met je IT-dienstverlener.

Je kunt de volgende stappen doorlopen of bespreken met je IT-dienstverlener.

  • Voorzie de Exchange Server(s) binnen je bedrijf van de laatste (beveiliging)updates. Besteed hierbij extra aandacht aan “Cumulative Updates”. (Zie het kopje aanvullende informatie op deze pagina)
  • Richt een proces in om periodiek te controleren of de Exchange Server(s) binnen je organisatie is voorzien van de laatste (beveiliging)updates om zo ook voor toekomstige kwetsbaarheden tijdig beschermd te zijn.
  • Controleer of de versie van Exchange nog ondersteund wordt door Microsoft (zie het overzicht in dit bericht). Wanneer dit niet het geval is of de einddatum nadert, overweeg dan het volgende.
    • Exchange Servers kunnen niet worden “geüpgraded” naar een nieuwere versie. Er zal dus altijd een migratie noodzakelijk zijn. Hierbij is het aan te raden om te migreren naar de laatst beschikbare versie. Op dit moment is dat Exchange Server 2019.
    • Overweeg een migratie naar de Cloud. In het geval van Microsoft gaat het om de mail omgeving van Office 365. Lees op de website van Microsoft over de manieren om te migreren naar Office 365.

Aanvullende informatie over "Cumulative Update"

Let op! Weet dat beveiligingsupdates voor Microsoft Exchange alleen beschikbaar zijn voor servers die een bepaalde versie van de zogenaamde “Cumulative Update” geïnstalleerd hebben staan. Een “Cumulative Update” brengt Microsoft per Exchange Server versie om de 3 à 4 maanden uit. Voor Exchange Server 2013, 2016 en 2019 dient een “Cumulative Update” handmatig geïnstalleerd te worden. Je kunt dus niet alleen leunen op automatische updates. Microsoft geeft op deze pagina meer informatie over de beschikbare “Cumulative Updates” en hoe je kunt nagaan welke geïnstalleerd staat.


UPDATE - Beveiligingsupdate is beschikbaar

Microsoft heeft een beveiligingsupdate beschikbaar gesteld voor de ernstige kwetsbaarheid in de diagnostische tool (MSDT) binnen Microsoft Windows (CVE-2022-30190). Deze update worden met de Microsoft Patch Tuesday updates van juni automatisch meegenomen. Advies is om deze updates zo snel mogelijk te (laten) installeren.


Actief misbruik van Windows kwetsbaarheid via Word

In Microsoft Windows is een kwetsbaarheid ontdekt die op dit moment actief wordt misbruikt via Microsoft Office Word documenten. De kwetsbaarheid zit in de diagnostische tool (MSDT) binnen Windows en wordt aangeduid als “CVE-2022-30190”. Bij het openen van een besmet Word document kan de kwetsbaarheid worden misbruik om willekeurige (kwaadaardige) code uit te voeren.

Wat is het risico?

Microsoft Office Word documenten worden wel vaker gebruikt als instrument om cyberaanvallen mee uit te voeren. Meestal gebeurt dit via een macro. Het gebruik van macro's wordt tegenwoordig standaard uitgeschakeld en een gebruiker krijgt meestal een waarschuwing te zien.

Deze nieuwe aanvalsmethode die gebruik maakt van de genoemde kwetsbaarheid maakt niet gebruik van macro’s maar kan kwaadaardige code in veel gevallen direct uitvoeren bij het openen van een besmet Word document. Een aanvaller kan op deze manier een computer overnemen of malware installeren zoals ransomware.

Omdat het uitwisselen/openen van Microsoft Word documenten voor veel bedrijven een veelvoorkomende handeling is, vergroot dit de kans op succesvol misbruik aanzienlijk.

Welke versies zijn kwetsbaar?

Op dit moment lijken alle Windows client- en server versies kwetsbaar. Het huidige misbruik vindt plaats door middel van een Word document waarvoor een installatie van Microsoft Office noodzakelijk is. Het is nog niet duidelijk of de kwetsbaarheid via alle Microsoft Office versies te misbruiken is.

Wat kun je doen?

Op dit moment heeft Microsoft nog geen updates beschikbaar gesteld om de kwetsbaarheid te verhelpen. Wel geeft Microsoft via hun blog post een (tijdelijke) maatregel om misbruik te voorkomen door het onderdeel wat kwetsbaar is uit te schakelen. Het Digital Trust Center adviseert om deze maatregel zo snel mogelijk uit te voeren als je gebruik maakt van Windows en Microsoft Office.

Wees daarnaast extra alert bij het openen van Microsoft Office Word documenten. Met name als het gaat om Word documenten verkregen via een derde, bijvoorbeeld als bijlage van een e-mail. Open deze niet wanneer je het niet vertrouwt.

Wordt jouw kantoorautomatisering beheerd door een IT-dienstverlener? Verzoek deze dan de maatregel uit te voeren. Meestal kan dit geautomatiseerd op alle computers doorgevoerd worden.

Houdt ook de informatiepagina van Microsoft in de gaten voor toekomstig beschikbare beveiligingsupdates om deze kwetsbaarheid te verhelpen.


Microsoft vindt kwetsbaarheden in vooraf geïnstalleerde Android-apps

Microsoft heeft in een framework waarvan verschillende vooraf geïnstalleerde Android-apps gebruikmaken kwetsbaarheden ontdekt die zowel lokaal als op afstand zijn te misbruiken. Vanwege de systeemrechten die vooraf geïnstalleerde apps hebben is het zo mogelijk voor een aanvaller om via de kwetsbaarheden toegang tot de systeemconfiguratie en gevoelige informatie te krijgen, of in het ergste geval het apparaat over te nemen. Mce Systems, ontwikkelaar van het betreffende framework, heeft inmiddels updates uitgebracht. Verschillende Android-apps van telecomproviders, met miljoenen downloads, maken gebruik van het framework om problemen met Androidtelefoons vast te stellen. Dit moet gebruikers helpen die tegen problemen aanlopen. Zo heeft het framework toegang tot systeemonderdelen en kan systeemgerelateerde taken uitvoeren. Volgens Microsoft kan de uitgebreide toegang die het framework en apps hebben gebruikers helpen, maar kunnen ze ook een doelwit van aanvallers zijn. Een service waar het framework gebruik van maakt is op afstand door een aanvaller aan te roepen die zo verschillende kwetsbaarheden kan misbruiken. Daarmee zou het mogelijk zijn om een persistente backdoor te installeren of het toestel over te nemen. Alleen het bezoeken van een gecompromitteerde of malafide website of het openen van een malafide link zou hiervoor voldoende zijn. Er is geen verdere interactie van het slachtoffer vereist. De impact van de vier kwetsbaarheden die Microsoft ontdekte is op een schaal van 1 tot en met 10 beoordeeld tussen de 7.0 en 8.9. Voor de kwetsbare apps, onder andere van telecomgigant AT&T met meer dan tien miljoen downloads, zijn updates verschenen. Gebruikers worden dan ook opgeroepen om te updaten naar de laatste versie van de telecomprovider-apps op hun toestel. Daarnaast heeft Microsoft de bevindingen met Google gedeeld, zodat apps in de Play Store hier voortaan op worden gecontroleerd.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers