Breaking News

Microsoft heeft een malafide driver die als rootkit fungeert en verkeer naar een Chinees ip-adres stuurt van een digitale handtekening voorzien. Hoe het kan dat de rootkit-driver door Microsoft werd gesigneerd wordt door het techbedrijf onderzocht, meldt antivirusbedrijf G Data dat de malware ontdekte.

Sinds Windows Vista kunnen standaard alleen digitaal gesigneerde drivers worden geïnstalleerd. Vorige week werd G Data gewaarschuwd door een eigen systeem voor een mogelijke false positive, omdat een door Microsoft gesigneerde driver als malware was gedetecteerd. Het komt vaker voor dat antivirussoftware legitieme software als malware bestempelt.

In dit geval ging het om een true positive. De malware in kwestie was door Microsoft gesigneerd. Eenmaal actief blijkt de rootkit-driver verkeer naar een Chinees ip-adres door te sturen dat volgens het Amerikaanse ministerie van Defensie een Chinees defensiebedrijf is. De malware blijkt ook in staat om zichzelf te updaten.

G Data waarschuwde Microsoft waarna het techbedrijf signatures uitrolde voor de virusdatabase van Windows Defender. Volgens malware-analist Karsten Hahn is het nog altijd onduidelijk hoe de malafide driver kon worden gesigneerd. In deze analyse geeft G Data meer details over de rootkit.

Vertrouw nooit volledig op dat andere organisties aangeven dat iets veilig is. Cert2connect levert tal van oplossingen die u in staat stellen zelf actief uw organisatie te monitoren en te verbeteren

Aanvallers maken actief misbruik van een kwetsbaarheid in Cisco ASA-apparaten waarvoor vorig jaar een beveiligingsupdate verscheen. Dat laat securitybedrijf Tenable weten. Via de kwetsbaarheid, aangeduid als CVE-2020-3580, kan een aanvaller cross-site scripting-aanvallen tegen gebruikers van de apparaten uitvoeren.

Door een gebruiker op een malafide link te laten klikken is het mogelijk voor een aanvaller om scriptcode in de context van de webservices-interface uit te voeren of toegang tot gevoelige browsergegevens te krijgen. Het probleem wordt veroorzaakt doordat de webservices-interface gebruikersinvoer niet goed valideert. Cisco kwam op 21 oktober vorig jaar met een beveiligingsupdate om het probleem te verhelpen.

Een aantal dagen geleden publiceerde een beveiligingsonderzoeker van securitybedrijf Positive Technologies een proof-of-concept exploit voor de kwetsbaarheid. Na de publicatie van deze exploit maken aanvallers misbruik van de kwetsbaarheid, aldus Tenable. Organisaties worden opgeroepen om de beschikbare beveiligingsupdate te installeren.

Test zelf uw omgeving mbv Breach and Attack simulaties

De Belgische stad Luik is het doelwit van een "grootschalige en gerichte computeraanval" geworden, waardoor gemeentesystemen deels onbereikbaar zijn, wat gevolgen heeft voor de dienstverlening aan burgers. Dat meldt de stad op de eigen website en Twitter. Onder ander de dienstverlening met betrekking tot geboorten, begrafenissen en huwelijken zijn niet beschikbaar. Ook andere diensten zijn getroffen, maar het volledige overzicht wordt later bekendgemaakt.

Alle burgers die afspraken met de gemeente hebben worden opgeroepen om niet te komen. Met hen zal een nieuwe afspraak worden gemaakt. Volgens de Belgische Radio- en televisieomroep RTBF eisen de aanvallers losgeld, wat op een ransomware-aanval zou kunnen duiden. Andere Belgische media melden dat het niet duidelijk is of er gegevens zijn gestolen of dat er geld wordt geëist. Verdere details over de aanval zijn op dit moment onbekend.

Neem contact op met onze experts zodat we u kunnen helpen uw organisatie weerbaar te maken tegen dergelijke aanvallen.