Skip to main content

WakeUp Wednesday

Door 14 juli 2021 juli 22nd, 2021 Kwetsbaarheid

Welkom bij #WakeUpWednesday. We willen zoveel mogelijk mensen wakker schudden en bewust maken van eventuele risico’s op het gebied van cybersecurity. Ons doel is om Nederland digitaal veilig en weerbaar maken. Daarom geeft Tesorion je vanaf nu elke woensdag in een post een kort overzicht over kwetsbaarheden of hacks die nationale of internationale aandacht hebben gekregen.

Natuurlijk berichten we direct over belangrijke kwetsbaarheden en mogelijkheden om deze te mitigeren. Onze #WakeUpWednesday is een soort terugblik.

#WakeUpWednesday 21 juli 2021

Afgelopen week lieten we weten dat er patches beschikbaar zijn gekomen voor de on-premise oplossingen van Kaseya en de Windows Print Spooler kwetsbaarheid. Daarnaast heeft Microsoft afgelopen week laten weten dat ze een zero-day kwetsbaarheid hebben gevonden in de SolarWinds Serv-U software. SolarWinds heeft voor deze kwetsbaarheid al een patch beschikbaar. Zorg ervoor dat deze patches worden geïnstalleerd als je de betreffende software gebruikt.

Hackgroepen die met ransomware je bestanden gijzelen gebruiken tegenwoordig ook vaak de zogeheten ‘double-extortion’-strategie. Deze strategie houdt in dat de hackers eerst gevoelige bestanden exfiltreren (stelen) om hun positie in de afpersing sterker te maken. ReversingLabs meldde afgelopen week dat ze malware hebben gevonden die hier specifiek voor ontwikkeld is. In hun blog staan een aantal indicatoren van deze malware. Het herkennen van deze malware zou een early-warning kunnen zijn voor een potentiële ransomware-aanval.

Ransomware-aanvallen komen steeds vaker voor en de impact ervan wordt ook steeds groter. Neem bijvoorbeeld de aanval op Colonial Pipeline in de VS. De Amerikaanse DHS en DOJ hebben daarom afgelopen week een nieuw initiatief gelanceerd genaamd StopRansomware.gov. Het doel van dit initiatief is een collectieve resource van informatie ter beschikking te stellen waarmee organisaties zich beter kunnen wapenen tegen ransomware. Op StopRansomware.gov staat o.a. stapsgewijs beschreven wat je kunt doen ter preventie, detectie en als je eenmaal geïnfecteerd bent.

Afgelopen weekend is er ook weer een datalek gemeld, deze keer bij het ministerie van Justitie en Veiligheid. Een externe medewerker had tegen de regels in gevoelige informatie naar een eigen werkomgeving gekopieerd. Deze informatie is vervolgens ook bij twee andere overheidsomgevingen beland. De persoonsgegevens van zo’n 65000 ambtenaren zijn hierbij gelekt, omdat een medewerker de regels niet heeft gevolgd.

FortiNet heeft een advies uitgebracht met betrekking tot een kritieke kwetsbaarheid (CVE-2021-32589) in de producten FortiManager en FortiAnalyzer. Door het beveiligingslek kan een externe, niet-geverifieerde aanvaller ongeautoriseerde code als root uitvoeren door een specifiek vervaardigd verzoek naar de fgfm-poort van het doelapparaat te sturen. Lees voor meer informatie het FortiNet-advies.

#WakeUpWednesday 14 juli 2021

Afgelopen week is er veel aandacht geweest voor de problemen rondom Kaseya en voor de Microsoft printnightmare. De laatste update met betrekking tot Kaseya: er is een patch beschikbaar voor de on-premise oplossingen. Meer info in onze blog.

Voor de problemen rondom Microsoft is er een patch beschikbaar, echter dienen er ook configuratie wijzigingen doorgevoerd te worden om volledig beschermd te zijn. De laatste updates staan hier beschreven.

Daarnaast zijn er afgelopen week weer meerdere datalekken geweest waarbij privégegevens onbedoeld in handen van derden zijn gekomen. Het gaat daarbij om diverse combinaties van voor- en achternaam, emailadres, adresgegevens en bankgegevens. Zorg er daarom voor dat je verschillende wachtwoorden gebruikt voor de verschillende online webshops en applicaties. Maak daarnaast indien mogelijk gebruik van multifactorauthenticatie.

Zorg dat medewerkers alert en cyberbewust zijn. Cybercriminelen worden steeds creatiever en maken ook regelmatig gebruik van de combinatie tussen on- en offline activiteiten. Een van de meest sprekende of overtuigende voorbeelden is wel de combinatie tussen vishing en een fysiek bezoek van een zogenaamde bankmedewerker.

#WakeUpWednesday 7 juli 2021

Afgelopen week is er veel te doen geweest rondom de supplychain-attack bij Kaseya. Een van de lessen die hieruit getrokken kan worden is dat cybersecurity niet alleen draait om het voorkomen van incidenten, prevent, maar ook om snelle detectie en het nemen van gepaste actie, response. In onze blog houden we de laatste ontwikkelingen bij over de ransomware-aanval die gaande is via een supply chain attack bij Kaseya.

Naast deze aanval waren er twee Microsoft kwetsbaarheden, eentje in PowerShell 7 en een RCE- kwetsbaarheid in Windows Print Spooler die om updates vroegen. Voor PowerShell 7 geldt dat wordt aangeraden om zo snel mogelijk te updaten naar PowerShell versie 7.0.6 of 7.1.3. Voor de RCE-kwetsbaarheid geldt dat alle ondersteunde Windowsversies kwetsbaar zijn. Microsoft heeft twee tijdelijke oplossingen gepubliceerd. De eerste optie is het uitschakelen van de Print Spooler service. Dit heeft als nadeel dat het systeem niet meer kan printen. De tweede optie betreft het uitschakelen van inbound remote printing. Het systeem fungeert dan niet meer als printserver, maar lokaal printen is dan nog wel mogelijk. Er is inmiddels een update voor de print spooler kwetsbaarheid gepusht.

We sluiten deze week af met een nieuw datalek bij Linkedin. Combinaties van wachtwoorden en mailadressen liggen daarbij op straat. Het advies is om je Linkedin wachtwoord te wijzigen en voor alle applicaties en/ of online accounts een uniek wachtwoord te bedenken.

#WakeUpWednesday 30 juni 2021

Ransomware is een gevaar voor de nationale veiligheid, zo stelt de Nationaal Coördinator Terrorismebestrijding (NCTV) deze week in het Cybersecuritybeeld Nederland 2021. Een gevaar dat ook wij signaleren. Onze analisten werken daarom dagelijks zeer nauw samen met diverse instanties om de gevolgen van dit gevaar te minimaliseren. Een van de resultaten van die inspanningen is een nieuwe decryptor. Deze decryptor kan in een aantal gevallen helpen om bestanden die zijn versleuteld door Lorenz ransomware te ontsleutelen, zonder betaling van het gevraagde losgeld. De decryptor wordt gratis beschikbaar gesteld via nomoreransom.

Een andere ontwikkeling op het vlak van ransomware is dat ransomware-organisaties websites maken om affiliaties te werven. Zo worden er wervende teksten gebruikt om partners aan te trekken die de Ransomware as a service kunnen gebruiken. Hierdoor kunnen veel meer cybercriminelen (ook zonder specifieke ransomware-kennis), deze vorm van cybercriminaliteit inzetten.

In het verlengde van het eerdergenoemde Cybersecuritybeeld wordt er zowel vanuit de overheid als vanuit de wetenschap een beroep gedaan op organisaties om de kennis op het gebied van cybersecurity en informatiebeveiliging bij medewerkers te vergroten. Een van deze initiatieven is geïnitieerd door ACCSS, met een open brief genaamd: “Open Brief: Overstappen naar de Cloud, bezint eer ge begint“. Weet waar je data is opgeslagen, onder welke voorwaarden en wie er toegang hebben.

#WakeUpWednesday 16 juni 2021

Cybersecurity is niet alleen een belangrijk onderwerp tijdens kantooruren. Cybercriminaliteit kan altijd en overal plaatsvinden. Het nemen van basismaatregelen, waaronder het vergroten van het cyberbewustzijn van medewerkers, kan daarbij het risico op een incident reduceren. Ook tijdens de vakantie. Denk bijvoorbeeld aan bewustzijn rondom de risico’s als het gaat om gratis wifi, een eenvoudige eerste stap.

Gegevens opzoeken en e-mailen doen we allang niet meer alleen met de pc, dat kan net zo makkelijk met de mobiele telefoon. Kortom het up-to-date houden van deze apparaten is nu net zo belangrijk als het netwerk. Cybercriminelen kunnen via vooraf geïnstalleerde Samsung Apps gebruikers bespioneren en toegang krijgen tot data. Meerdere kwetsbaarheden zijn in April en mei gepatcht. Weten jouw medewerkers dit ook?

Krijg je te maken met een datalek? Vergeet deze niet te melden bij de Autoriteit Persoonsgegevens. Het niet, of niet op tijd, melden kan resulteren in een boete. Er zijn verschillende manieren waarop een datalek kan ontstaan. Zo is de VPRO getroffen door een datalek na een inbraak op een server bij een leverancier. Potentieel zijn daarmee duizenden abonnees getroffen.

#WakeUpWednesday 9 juni 2021

Cybercriminelen maken actief gebruik van een kwetsbaarheid in VMware vCenter-server waarbij een aanvaller een dergelijke server op afstand kan overnemen. Er is sinds 25 mei een patch beschikbaar voor CVE-2021-21985, maar toch zijn er nog veel systemen kwetsbaar. Wij adviseren om systemen, indien mogelijk,  zo snel mogelijk te patchen.

Ook voor Citrix systemen en appliances zijn er twee kritieke kwetsbaarheden die dringend aandacht vragen. Details over deze kwetsbaarheden vind je in de blog die we gisteren hebben gepubliceerd.

Daarnaast heeft Microsoft tijdens haar patchronde updates vrijgegeven voor zes kwetsbaarheden, waarvan er eentje, CVE-2021-33742, als kritiek is bestempeld. Dit is een kwetsbaarheid in het Windows MSHTML-platform waardoor remote code execution mogelijk is. Zo snel mogelijk patchen is ook hier het dringende advies.

De afgelopen weken waren de ontwikkelingen rondom de ransomware bij Colonial pipeline veelvuldig in de media. De oorsprong van deze omvangrijke ransomware is een samenloop van diverse aspecten op het gebied van mens, proces en techniek. In dit geval werd hetzelfde wachtwoord door een gebruiker op meerdere plekken gebruikt. Het gelekte vpn-wachtwoord hoorde bovendien bij een account dat niet meer in gebruik was, maar dat nog wel werkte. Doordat er geen gebruik werd gemaakt van multifactorauthenticatie was het voor cybercriminelen relatief eenvoudig om binnen te komen. Inmiddels zijn de bitcoins waarin het losgeld werd betaald getraceerd en terug gehaald door een van de accounts die door de cybercriminelen werd gebruikt te hacken.

Doordat cybercriminelen inhaken op dit soort nieuwsberichten zijn er inmiddels ook de eerste phishing-aanvallen ontdekt waarbij deze ransomware-aanval als aanleiding wordt gebruikt. Medewerkers worden daarbij gevraagd om ransomware-systeemupdates te installeren. Deze updates beschermen je echter niet tegen ransomware, maar faciliteren dit soort aanvallen.

#WakeUpWednesday 2 juni 2021

Afgelopen week werd bekend gemaakt dat cybercriminelen een advertentiecampagne op Google waren gestart om geïnteresseerden in AnyDesk (een oplossing voor remote desktop toegang) te misleiden. Deze personen werden op ingenieuze wijze verleid, waarbij een kloon van de originele website werd gebruikt om vervolgens malware te kunnen installeren.

Een andere slimme manier die afgelopen dagen de publiciteit haalde is de oplichting en/of afpersing van tankstationhouders. Nadat er in april al sprake was van een vorm van Whatsapp-fraude, wordt er nu contact opgenomen waarbij wordt aangegeven dat er is doorgereden zonder te betalen en dat men alsnog de benzine wil betalen. Daarop wordt gevraagd om de naam en het rekeningnummer door te geven, of om een betaalverzoek te doen. Wat volgt is geen betaling, maar gijzelsoftware of een virus.

Het is goed om je te realiseren dat cybercriminelen niet alleen gebruik maken van online middelen. Wat te denken van de variant waarbij je een mail krijgt met een afgesloten abonnement voor een online streaming dienst. Deze heb je niet zelf afgesloten, dus bel je het nummer dat in de mail vermeld staat om je beklag te doen. Een medewerker uit het callcenter helpt je vervolgens om het (niet bestaande) abonnement te annuleren en tegelijkertijd malware op je PC te installeren.

Niet alleen aan de gebruikerskant, ook aan de technische kant zijn er de nodige ontwikkelingen. De CISA (Cybersecurity & Infrastructure Security Agency), heeft vorige week een update gegeven voor de kwetsbaarheden in Pulse Connect Secure. Het advies is om, mochten de patches voor deze kwetsbaarheden nog niet geïnstalleerd zijn, deze zo snel mogelijk te installeren.

#WakeUpWednesday 26 mei 2021

Afgelopen week is er veel aandacht besteed aan de standaardinstellingen van Whatsapp. Dat iedereen willekeurige mensen (mensen die niet in je contactenlijst staan) kan toevoegen aan een Whatsappgroep kan makkelijk zijn. Toch is het goed om even stil te staan bij het feit dat deze functionaliteit naast gebruikersgemak ook een negatieve ervaring kan opleveren. Het levert namelijk ook een groot risico op voor bijvoorbeeld phishing of afpersing. Zorg er daarom voor dat je weet welke applicaties je geïnstalleerd hebt, welke functionaliteit deze bieden en waar ze toegang tot hebben.

Voorbeelden uit Amerika laten zien dat cybercriminelen daar regelmatig de gegevens van vermiste mensen misbruiken voor hun campagnes. Gegevens van gezinsleden die hun dierbaren zoeken, worden via verschillende online kanalen achterhaald, waarna deze mensen benaderd worden met onder andere losgeldclaims.

Ook QR-codes worden misbruikt om mensen naar malafide sites te sturen. Op die site wordt vervolgens gevraagd om persoonsgegevens in te vullen die kunnen worden misbruikt. Een andere mogelijkheid is dat vanaf de malafide site kwaadaardige software wordt geïnstalleerd.

Tot slot heeft VMWare een update vrijgegeven voor kritieke kwetsbaarheden CVE-2021-21985 en CVE-2021-21986. Deze zijn van invloed op VMware vCenter Server (vCenter Server) en VMware Cloud Foundation (Cloud Foundation) en kunnen gebruikt worden voor remote code execution. Het advies is om deze zo snel mogelijk te patchen.

#WakeUpWednesday 19 mei 2021

Recent heeft Microsoft een patch vrijgegeven voor twee kritieke kwetstbaarheden,  CVS-2021-31166 en CVE-2021-28476, deze zijn door Microsoft ingeschaald als “Critical”.  Meer informatie over deze kwetsbaarheden in onze blog. Wij adviseren uiteraard om de uitgebrachte patches zo snel mogelijk te installeren!

Naast bovenstaande kwetsbaarheden in Windows, zijn er ook signalen dat cybercriminelen de Microsoft Build Engine gebruiken om malware te verspreiden. De aanvallers verspreiden input-bestanden voor de build-tool MSBuild. In deze input-bestanden worden malafide uitvoerbare bestanden gestopt die vervolgens op het moment van compileren en deployen achterdeurtjes openen op het systeem in kwestie.  Deze maken het vervolgens mogelijk dat cybercriminelen de controle over de machines van de slachtoffers kunnen krijgen en gevoelige informatie kunnen stelen.

Vorige week gaven we in onze wakeupwednesday aan dat de Franse tak van verzekeraar AXA losgeld dat in ransomwarecases betaald dient te worden, niet meer vergoed. Deze week werd bekend dat een Aziatische divisie van het bedrijf recentelijk is getroffen door ransomware. De aanval is opgeëist door de groep achter de Avaddon-ransomware. De groep heeft inmiddels een deel van de buitgemaakte data, waaronder screenshots van id-kaarten en paspoorten, openbaar gemaakt.

Ook de FBI en het Australische Cyber Security Centre (ACSC) waarschuwden al voor de Avaddon-ransomware. Daarbij werd ook het dringende advies gegeven om meer aandacht te besteden aan de beveiliging van thuiswerkoplossingen. Deze worden veel gebruikt door aanvallers om toegang tot bedrijfsnetwerken te krijgen.

Het afgelopen jaar is het online shoppen enorm toegenomen, met als gevolg ook een sterke groei in het aantal pakketjes. Cybercriminelen spelen op verschillende manieren in op deze ontwikkeling. Onlangs raakten meer dan 10.000 Androidtelefoons in Belgie besmet met FluBot-malware, een banking trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Deze malware maakt gebruik van een sms-bericht waarin wordt aangegeven dat de bezorger met je pakket onderweg is met een track and trace link die verwijst naar een malafide app die malware bevat. De malware verstuurt vervolgens een sms naar willekeurige mensen. Ook KPN waarschuwt inmiddels voor deze malware en voor mogelijk onverwachte hoge telefoonrekeningen.

Naast het patchen van systemen is en blijft het zeer belangrijk om je medewerkers, ook als ze thuiswerken, bewust te maken van de vele verschillende manieren waarop cybercriminelen toegang proberen te krijgen tot bedrijfsgegevens en -netwerken.

#WakeUpWednesday 12 mei 2021

Op 4 en 5 mei zijn er blogs gepubliceerd voor onder andere Dell driver en 21Nails Exim kwetsbaarheden. Voor de details over deze kwetsbaarheden en hoe deze zijn te verhelpen, verwijzen we je graag naar de desbetreffende blogs.

Adobe heeft een patch vrijgegeven voor een kwetsbaarheid (CVE-2021-28550) in haar applicaties voor Windows en MacOS. In totaal blijken 12 Adobe applicaties kwetsbaar. Wij adviseren om deze patch zo snel mogelijk te installeren omdat deze kwetsbaarheid momenteel actief wordt benut.

Daarnaast ziet het CBS een forse stijging van het aantal datalekken bij grote bedrijven. Zo geeft het CBS aan dat in 2019 een kwart van de bedrijven met 250 of meer medewerkers getroffen werd door een datalek ten gevolge van een intern incident. In 2018 lag dat percentage nog op 17%. Relatief gezien kwamen de meeste datalekken voor in de gezondheidszorg. In totaal werden er in 2019 bij de Autoriteit Persoonsgegevens (AP) bijna 30.000 meldingen gedaan.

Bezorgdienst Gorillas heeft recentelijk gegevens van 200.000 klanten en bezorgers gelekt. Bij de klantgegevens zijn onder andere: naam, adresgegevens, creditcardgegevens  en e-mailadres gelekt, in het geval van de bezorgers betrof het naam en telefoonnummer. De data bleek via een API eenvoudig toegankelijk te zijn, eerder werd soortgelijke  kwetsbaarheid misbruikt bij de Duitse bezorgdienst Flink.

Verzekeraar AXA geeft aan dat zij in Frankrijk stopt met het vergoeden van losgeld dat slachtoffers van ransomware dienen te betalen aan criminelen om weer toegang te krijgen tot hun data en systemen. Deze stap wordt door veel partijen nauwlettend gevolgd.

Om ransomware een halt toe te roepen hebben 60 vertegenwoordigers van de securitysector en Amerikaanse overheden een taskforce opgericht om ransomware te bestrijden. Ze worden daarbij onder andere gesteund door Europol. Ook naar de verantwoordelijkheid van de ISP wordt gekeken, alsmede naar het betaaltraject. Omdat cryptovaluta een belangrijke rol speelt bij de betaling in ransomwarecases, zal ook op dit vlak worden gekeken naar mogelijke maatregelen.

#WakeUpWednesday 5 mei 2021

Er zijn meerdere kwetsbaarheden in Exim mailserver ontdekt. Deze kwetsbaarheden samen hebben de naam 21Nails gekregen omdat het gaat om 11 lokaal uit te buiten en en 10 remote uit te buiten kwetsbaarheden. Direct patchen wordt dringend aangeraden. Meer informatie is te vinden in onze blog.

Er is een patch beschikbaar voor de recent bekend geworden kwetsbaarheid in Pulse Connect Secure. Het advies is om deze zo snel mogelijk te installeren.

Ondanks alle waarschuwingen om alert te zijn op email met onverwachte verzoeken zoals het wijzigen van een bankrekeningnummer, is een fout zo gemaakt. Afgelopen week werd bekend dat webwinkel Bol.com 750.000 euro heeft overgemaakt naar het rekeningnummer van oplichters in plaats van naar dat van Brabantia. Blijf alert op wijzigingsverzoeken en zorg voor een procedure waarbij verzoeken tot bijvoorbeeld het wijzigen van een rekeningnummer altijd op een tweede manier, zoals telefonisch contact met de desbetreffende partij, worden getoetst.

De Zwitserse cloud provider Swiss Cloud is getroffen door ransomware, waardoor duizenden klanten geen toegang hebben tot hun applicaties en data. Wees je bewust dat criminelen, als ze toegang hebben tot de systemen van je cloud provider, ze wellicht ook toegang kunnen krijgen tot jouw systemen. Toets als organisatie daarom regelmatig je eigen cybersecuritymaatregelen en zorg dat er ook offline backups beschikbaar zijn van je systemen en data.

In zeer veel organisaties wordt er steeds meer apparatuur gekoppeld en data ontsloten via het Internet. Zowel voor IT als OT (operationele technologie) heeft het Internet of Things (IoT) een enorm potentieel. Tegelijkertijd is het noodzakelijk om je ook bewust te zijn van de risico’s die je met IoT loop. Microsoft heeft recentelijk veel (meer dan 25) kwetsbaarheden gevonden in IoT en OT apparaten.

Ondanks dat het patchen van de software voor deze apparaten vaak erg lastig is, is dit wel noodzakelijk. Mocht het niet noodzakelijk zijn dat deze apparaten een connectie met het internet hebben, dan is het offline halen van deze apparaten uiteraard de meest eenvoudige oplossing. Daarnaast is het segmenteren van het netwerk, waarbij deze apparaten in een eigen segment worden geplaatst, een stap die bijdraagt aan het vergroten van de cybersecurity binnen de organisatie.

Last but not least: Gebruik je een iPhone dan is het advies om de nieuwste iOS-update zo snel mogelijk te installeren (mocht je dat nog niet gedaan hebben). Naast de nieuwe privacypolicies die zijn geïmplementeerd zijn er ook maar liefst 50 kwetsbaarheden gepatcht.

#WakeUpWednesday 28 april 2021

De afgelopen week zijn er door diverse organisaties waarschuwingen gegeven voor kwetsbaarheden in hun software. Patchen is essentieel, daar waar nog geen patch beschikbaar is (Pulse Secure), is een workaround beschreven.

Daarnaast kwam Apple in de media als slachtoffer van het hackerscollectief REvil. Er is 50 miljoen dollar aan losgeld geëist voor blauwdrukken en andere vertrouwelijke data. De hackers kwamen in het bezit van deze informatie via een supplychain attack.

Een andere ransomware aanval werd door cybercriminelen uitgevoerd op ICT-leverancier Managed IT. Deze aanval had ook kunnen worden uitgevoerd als suppychain attack, maar gelukkig werden de systemen en data van de aangesloten notariskantoren niet geraakt.

#WakeUpWednesday 21 april 2021

De afgelopen dagen zijn er weer meerdere kwetsbaarheden bekendgemaakt.

Pulse Secure waarschuwt voor een lek in Pulse Connect Secure, een oplossing die wordt gebruikt voor VPN-verbindingen. Deze kwetsbaarheid (CVE-2021-22893) wordt als zeer kritiek beschouwd en momenteel ook actief aangevallen. Cybercriminelen kunnen op afstand kwetsbare vpn-servers overnemen, de blog van FireEye beschrijft een aantal scenario’s. Momenteel is er nog geen patch beschikbaar voor deze kwetsbaarheid, de beveiligingsupdate wordt in mei verwacht. Wel zijn er mitigerende maatregelen die kunnen worden genomen. Lees voor de laatste info ook onze liveblog

Daarnaast zijn er ook drie kwetsbaarheden gepubliceerd die betrekking hebben op SonicWall Email Security. Met name CVE-2021-20022 is ernstig, deze kan er voor zorgen dat een aanvaller met een http-pakket aan administratoraccount kan aanmaken. Ook deze kwetsbaarheden worden momenteel actief gebruikt. Voor deze kwetsbaarheden is 19 april een patch uitgebracht.

We kunnen het niet vaak genoeg zeggen: installeer updates en security patches. Niet alleen voor je operating systeem, of bedrijfssoftware maar ook voor bijvoorbeeld je browser. Zowel voor Microsoft Exchange als voor Google zijn er afgelopen week ook weer belangrijke patches vrijgeven!

Microsoft Exchange: Zoals afgelopen week al aangegeven zijn er twee nieuwe zeer ernstige lekken bekendgemaakt waar patches voor beschikbaar zijn.
Google: Er zijn een aantal kwetsbaarheden heeft verholpen in de Chrome-browser. Een ongeauthenticeerde kwaadwillende kan op afstand de kwetsbaarheden mogelijk misbruiken om willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens in de context van de applicatie. Hiertoe dient de kwaadwillende het slachtoffer ertoe te bewegen een malafide webpagina te bezoeken. Google heeft aangegeven dat voor de verholpen kwetsbaarheden exploit-code in omloop is.

Ook afgelopen week waren er weer meerdere datalekken. Misschien wel het grootste lek sinds tijden werd geconstateerd bij allekabels.nl. Het gaat daarbij om ruim 3,6 miljoen klantgegevens.
Een ander opvallend lek was dat van vastgoedbedrijf Heijmans. Hier werd per ongeluk een mail verstuurd naar belangstellenden voor een woning in een nieuwbouwproject, met bijgevoegd een Excelbestand met daarin de persoonsgegevens van ruim 1100 andere belangstellenden. Het Excelbestand was helaas niet voorzien van bijvoorbeeld een wachtwoord, waardoor de gegevens door iedereen waren in te zien.

Je digitale beveiliging is essentieel. Een belangrijk detail daarbij is om ook je fysieke beveiliging daarbij niet uit het oog te verliezen. Afgelopen week werd bijvoorbeeld een harde schijf gestolen bij het belastingpand Amsterdam met data van 30.000 personen. De schijf bevat scans van documenten die in de periode juli 2020 tot en met maart 2021 per post zijn verstuurd door circa 30.000 belastingplichtigen. Wees alert op welke data er op externe datadragers staat en waar je deze opbergt!

Het maken van backups is erg belangrijk en zeker als het je meest bedrijfskritische data betreft kan het essentieel zijn voor het voortbestaan van je organisatie. Zorg er daarbij voor dat je van deze data ook een offline backup maakt! Wij zien regelmatig dat deze backups online gemaakt worden en in het geval van ransomware samen met de originele data wordt meegenomen in de encryptie!

#WakeUpWednesday 14 april 2021

In navolging van de kritieke kwetsbaarheden afgelopen maand in Microsoft Exchange (Hafnium), zijn via Patch Tuesday van Microsoft security patches uitgegeven voor nieuw gevonden kritieke kwetsbaarheden. Deze kwetsbaarheden zijn aangetroffen in Microsoft Exchange Server 2013, 2016 en 2019. Klanten van Exchange online zijn reeds beschermd. Via Remote Code Execution kan een kwaadwillende willekeurige code uitvoeren op het systeem. Op dit moment zijn er nog geen directe aanwijzingen dat er exploits beschikbaar zijn. Vanuit Tesorion adviseren wij om zo spoedig mogelijk te patchen.

Doordat een logistiek dienstverlener getroffen is door een aanval met gijzelsoftware zijn er problemen ontstaan met het bevoorraden van Albert Heijn. Hierdoor waren er lege schappen op de kaasafdeling. Zelfs indien een deel van de organisatie getroffen is, blijkt de schade in de rest van de keten aanzienlijk.

Nadat er al eerder wat problemen waren met Zoom, blijken ethical hackers afgelopen week een nieuwe kwetsbaarheid te hebben ontdekt. Deze kwetsbaarheid stelt kwaadwillenden in staat om de besturing over te nemen, ook als Zoom op dat moment niet in gebruik is.

Werd vorige week bekend dat er data van Facebookgebruikers te koop worden aangeboden, deze week blijkt er data van gebruikers van Clubhouse openbaar is gemaakt. De dataset is via scraping tot stand gekomen. Volgens Cybernews zijn de gegevens van 1,3 miljoen gebruikers gecombineerd. Clubhouse is een relatief nieuwe social media app om met verschillende mensen gesprekken te voeren (en te luisteren). Live gesprekken zonder beeld en chatfunctionaliteit. Clubhouse lag overigens al eerder onder vuur, mede vanwege het feit dat je je adresboek moet delen om anderen uit te kunnen nodigen.

#WakeUpWednesday 7 april 2021

Privacy is een groot goed dat tegenwoordig al lang niet meer alleen over compliance gaat. Het is een fundamenteel mensenrecht waar je als organisatie mee wordt geconfronteerd. Mede door de invoering van de AVG betekent dit dat je als organisatie ook de plicht hebt om snel en zorgvuldig te handelen als je slachtoffer wordt van een datalek. Te laat melden kan aanzienlijke kosten met zich meebrengen, zo ondervond Booking.com. De boete bedroeg in dit geval 475.000 Euro.

Ook het aantal datalekmeldingen dat de overheid afgelopen jaar meldde bij de Autoriteit Persoonsgegevens nam met 13 procent toe ten opzichte van het jaar daarvoor. De toename kan echter door de minister nog niet verklaard worden.

Ook Facebook kwam afgelopen week in de media met de mededeling dat gegevens van 533 miljoen gebruikers zijn gelekt, waarvan 5,4 miljoen Nederlanders. De gegevens stammen uit 2019 en konden worden gestolen via een lek dat inmiddels is gedicht. De informatie, waaronder volledige naam, telefoonnummer en geboortedatum wordt momenteel gratis aangeboden.

In het algemeen is het credo: Wees je bewust van je onlineactiviteiten en welke informatie je deelt met derden (ook op social media). Nog steeds werken veel mensen vanuit huis. Het is daarbij belangrijk om je bewust te zijn van het feit dat spam nog steeds een van de meest gebruikte manieren is door cybercriminelen om malware te verspreiden. Daarbij komen er ook nog steeds nieuwe malware varianten op de markt.

De volgende punten zijn daarom nog steeds belangrijk om je te realiseren:

  • Installeer je security updates zodra die binnenkomen;
  • Update je virusscanner en spamfilter;
  • Krijg je mail in je inbox van een onbekende afzender, open deze dan niet;
  • Zorg dat je weet hoe je malafide e-mails kan herkennen;
  • Klik niet op linkjes en laat geen persoonlijke gegevens achter;
  • Zorg dat je weet wat je moet doen, mocht je wel getroffen worden door malware.

De FBI heeft deze week gewaarschuwd voor het gebruik van FortiOS kwetsbaarheden. Geavanceerde aanvallers zijn gedetecteerd, die gebruik maken van de CVE’s CVE-2018-13379, CVE-2020-12812 en CVE-2019-5591. Er wordt door deze groepen op poorten 4443, 8443, en 10443 gescand. Voor meer informatie, zie het bericht van de FBI.

Op 31 maart was het World Backup Day. Een dag om mensen aan het belang van het maken van backups te herinneren. Backups zijn een essentieel onderdeel van een goed cybersecuritybeleid. In het geval van ransomware kan het soms zelfs de enige optie zijn om op terug te vallen.

#WakeUpWednesday 31 maart 2021

Ondanks alle aandacht die er is geweest voor het patchen van Microsoft Exchange zijn er nog steeds organisaties die dit hebben nagelaten. Zoals we op 12 maart al aangaven zijn er cybercriminelen die deze kwetsbaarheid hebben benut voor het plaatsen van ransomware. Deze ransomware wordt momenteel actief ingezet.

Wat veel organisaties over het hoofd lijken te zien is dat patchen wel de kwetsbaarheid verhelpt, maar geen oplossing biedt als cybercriminelen al binnen zijn! Momenteel wordt er via backdoors ransomware geplaatst op servers die inmiddels gepatcht zijn, maar die EERDER wel kwetsbaar waren. Daarnaast is ook een toename te zien van het aantal hacks op webshells. Het is daarom belangrijk om niet alleen te patchen, maar ook je systemen te scannen!

Andere kwetsbaarheden die momenteel actief gebruikt worden door cybercriminelen zijn kwetsbaarheden in het BIG-IP platform van F5. Dit platform wordt veel gebruikt voor onder andere load balancing van (web)servers en (web) application delivery systemen. De kwetsbaarheden zijn twee weken geleden gemeld, een patch is beschikbaar.

Dat data grof geld waard is voor cybercriminelen blijk ook wel uit het recente datalek bij RDC

De privégegevens van mogelijk miljoenen Nederlandse autobezitters zijn gestolen en worden te koop aangeboden op internet. Volgens de NOS gaat het om informatie zoals naam, adresgegevens, e-mailadressen en geboortedata. De gegevens zijn buitgemaakt bij RDC, een ict-dienstverlener voor autobedrijven.

#WakeUpWednesday 24 maart 2021

De afgelopen week is er opnieuw veel aandacht besteed aan de Exchange kwetsbaarheden. Toch is dat niet het enige cybersecuritynieuws van de afgelopen week. Wat gebeurde er nog meer:

Het onderzoeksrapport rondom de hack bij Hof van Twente is gepubliceerd met als belangrijke leermomenten onder andere de kwetsbaarheid door zwakke wachtwoorden. Zorg dus voor definities rondom wachtwoordinstellingen die verder gaan dan 8 karakters, een hoofdletter en afwisseling tussen numeriek en alfanumeriek. Daarnaast waren ook fouten in de netwerkconfiguratie en te veel aannames debet aan deze hack.

Ander opvallend nieuws: Gevangenis moet 600 sloten veranderen door één WhatsApp-foto van stagiair. Gedrag en bewustzijn speelt een belangrijke rol, zowel offline als online. De stagiair uit dit artikel was zich niet bewust dat het delen van een afbeelding van een loper-sleutel voldoende is om het profiel te dupliceren. Maak medewerkers daarom bewust van de mogelijkheden die er ontstaan als er werk gerelateerde afbeeldingen op social media worden gedeeld. Aan het begin van de coronacrisis deelden we bijvoorbeeld massaal afbeeldingen van  online meetingen. In een aantal gevallen met de toegangscode voor de meeting in beeld.

#WakeUpWednesday 17 maart 2021

Was verreweg de grootste hack in het nieuws van afgelopen week. Vier kwetsbaarheden in on-premise Exchange (OWA) servers 2013, 2016 en 2019, niet in O365. Daders zijn (Chinese) state sponsored hackers Hafnium, misbruik door meer dan 10 APT partijen. Er zijn patches die goed moeten worden uitgevoerd, anders werken ze niet. Er wordt niet genoeg gepatched, veel systemen staan nog open. De Zero Day kwetsbaarheid wordt al maanden op grote schaal misbruikt (100.000+ wereldwijd). Met tooling kan je achterhalen of je Exchange is misbruikt, niet wat ze hebben gedaan.

Impact is enorm en het kan nog jaren duren voordat we de impact duidelijk is. Wel is duidelijk dat nu ransomware wordt uitgerold bij organisaties. Bedrijven, universiteiten, banken, overheden alles en iedereen is geraakt.

Belangrijkste voor organisaties is nu om hun omgeving te patchen en te scannen. Tesorion kan je helpen.

Schrijf je in voor onze technische updates

Wil je deze kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Vul dan hieronder je e-mailadres in.

Tesorion gebruikt jouw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. Je kunt je op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu