The Dutch HackInfo

Onderzoeker Hanno Bock is erin geslaagd om Symantec een geldig ssl-certificaat via een vervalste privésleutel in te laten trekken. Bij ssl-certificaten wordt er met een privé en publieke sleutel gewerkt. Als de privésleutel gecompromitteerd raakt is de uitgever van het ssl-certificaat verplicht om het in te trekken.

Een aanvaller kan de gecompromitteerde privésleutel namelijk gebruiken om internetgebruikers mee aan te vallen. Bock wilde kijken of certificaatautoriteiten die ssl-certificaten uitgeven gerapporteerde gecompromitteerde privésleutels wel goed controleren. Anders zou een aanvaller een vervalste privésleutel van een willekeurige website kunnen melden, waarna het certificaat van die website wordt ingetrokken.

MicroSoft
Microsoft heeft vanavond updates uitgebracht die 54 beveiligingslekken in de eigen software verhelpen, waaronder in Windows, Office, WordPad, Internet Explorer en Edge. Vier van de kwetsbaarheden waren al bekend voordat de updates van Microsoft verschenen, maar zijn volgens de softwaregigant niet aangevallen. Er is dan ook geen sprake van zogeheten zero-days.

Via deze vier beveiligingslekken (CVE-2017-8584, CVE-2017-8587, CVE-2017-8

602 en CVE-2017-8611) was het mogelijk om gebruikers van IE en Edge naar gespoofte websites te sturen, het systeem via Windows Verkenner vast te laten lopen en kon een aanvaller de Microsoft HoloLens overnemen door hier een wifi-pakketje naar toe te sturen. Verder heeft Microsoft ook een ernstige kwetsbaarheid in WordPad verholpen. Door een gebruiker een kwaadaardig bestand te laten openen had een aanvaller willekeurige code op het systeem kunnen uitvoeren. Ook is de embedded Flash Player in IE11 en Edge gepatcht. De updates zullen op de meeste systemen automatisch worden geïnstalleerd.

Onderzoekers van de TU Eindhoven en verschillende andere buitenlandse universiteiten hebben een kwetsbaarheid in een encryptiebibliotheek van GnuPG ontdekt waardoor het mogelijk is om in bepaalde gevallen een RSA-encryptiesleutel te achterhalen, zo blijkt uit een recent gepubliceerd rapport (pdf).

GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. De onderzoekers bedachten een sidechannel-aanval tegen Libgcrypt, een encryptiebibliotheek waar GnuPG gebruik van maakt. De bibliotheek blijkt informatie te lekken die door een aanvaller kan worden gebruikt om de rsa-encryptiesleutel te reconstrueren. Hiermee is het vervolgens mogelijk om informatie te ontsleutelen. Om de aanval uit te voeren moet een aanvaller wel willekeurige software kunnen uitvoeren op de hardware waar de RSA-encryptiesleutel wordt gebruikt.

Gebruikers van de WordPress-plug-in WP Statistics zijn gewaarschuwd voor een ernstig beveiligingslek waardoor een aanvaller websites volledig kan overnemen. WP Statistics is op meer dan 300.000 websites geïnstalleerd en geeft webmasters uitgebreide informatie en statistieken over websitebezoekers.

De plug-in bleek gebruikersinvoer niet goed te filteren, waardoor een SQL injection-aanval mogelijk is. Een aanvaller kon zo toegang tot gevoelige informatie in de database krijgen en de WordPress-installatie compromitteren, zo waarschuwt securitybedrijf Sucuri. Om de aanval uit te voeren moet de aanvaller wel over een "subscriber-account" beschikken. Webmasters en beheerders krijgen het advies om te updaten naar WP Statistics 12.0.8 waarin het probleem is verholpen.

Bron: Security.nl

Dinsdag zijn diverse bedrijven en organisaties in onder andere India, Oekraine, Rusland, het Verenigd Koninkrijk en ook Nederland getroffen door ransomware, vermoedelijk de software Petya. Net als WannaCry lijkt Petya gebruik te maken van de Eternalblue-exploit bij de verspreiding.

De eerste meldingen over de verspreiding begonnen bij claims dat banken, energiemaatschappijen, tv-stations en bedrijven in Oekraïne getroffen werden door een internetaanval. Onder andere de centrale bank van het land en vliegtuigbouwer Antonov kregen met de malware te maken. De overheid van Oekraïne wees volgens de Kyiv Post met de beschuldigende vinger naar Rusland, maar ook uit dat buurland kwamen berichten van aanvallen, onder andere op de servers van oliemaatschappij Rosneft.

Kali heeft begin dit jaar een zogenaamde 'rolling release' uitgebracht, waardoor je steeds over de nieuwste releases van tools kunt beschikken, wat imho in de snel veranderende wereld van cybersecurity een goed idee is. Merkwaardig genoeg is dit OS, dat is ontworpen voor gebruik als security tool, nog steeds zelf inherent onveilig, als je besluit het niet van een Live CD of live USB stick te draaien, maar het wilt installeren op harde schijf of op een persistent USB stick. Het gebruiken van een persistent Kali installatie is natuurlijk logischer, je wilt immers van de voordelen van een rolling release profiteren door de laatste software bij de hand te hebben.