12 mei 2025: securityzaken

Ingediend door Dirk Hornstra op 16-may-2025 20:48

1. Security issue Umbraco: bepalen of een gebruikersnaam bestaat of niet, via umbraco.com, 6 mei 2025

Je bent ontwikkelaar. Je maakt een goed werkende website. Je zet alle security-headers goed. Je probeert de best practises van OWASP te volgen. Maar dan blijkt dat "een hacker" op basis van response-tijd kan bepalen of een gebruikersnaam op je omgeving bestaat. Handig, want als je op basis daarvan kunt bepalen welke gebruikersnamen niet bestaan, dan hoef je ook geen brute-force-inlogpogingen met die gebruikersnaam te proberen en doe je dat alleen met de gebruikersnamen waarvan je nu weet: dit is een bestaande inlog. Als ontwikkelaar hou je je niet bezig met zulk soort zaken. Je voert je query's uit en geeft de response terug. Als een gebruikersnaam niet bestaat zul je nu (waarschijnlijk?) wat langer moeten wachten om het resultaat terug te geven.

2. End Of Life (hardware en software en nu ook AI modellen), via securityweek.com, 30 april 2025

Veel software wordt voor een bepaalde periode ondersteund en dan is het over, dat noemen we EOL, End Of Life. Een voorbeeld hiervan is Windows 10, in oktober stopt de ondersteuning door Microsoft. Maar hoe weet je dat? Stel dat je SQL Server 2005 gebruikt. 20 jaar oud, dus waarschijnlijk EOL. Hiervoor moet je Googelen en dan zie je dat de software in 2007 uitgebracht is, in 2011 de basisondersteuning stopte en in 2016 de ondersteuning definitief gestopt is (link). Overal en nergens staan meldingen van software die niet meer ondersteund wordt, niet handig. Er wordt nu gewerkt aan een framework om een standaard hiervoor te maken.

3. Airplay van Apple had veiligheidsgaten, via techrepublic.com, 30 april 2025

Niet alleen Windows heeft zo nu en dan updates nodig, ook Apple. Onderzoekers vonden 23 zaken waarmee ze, als ze op hetzelfde netwerk zaten, via AirPlay andere macs over konden nemen. Dus in een restaurant of op de luchthaven "even op de algemene WIFI gaan" is dus niet altijd een goed idee.

4. Rapport van Mandiant over de security-issues van 2024, via techrepublic.com, 25 april 2025

Je kunt hier lezen dat onder andere hackers uit Noord Korea geld proberen binnen te halen, maar ook dat bij 16% van het onderzoek blijkt dat de hackpoging gestart is met credentials die uitgelekt zijn en waarmee gepoogd wordt om binnen te dringen en meer schade aan te richten. Hier de directe link van Mandiant.

5. Ook pompen bij het tankstation zijn aangesloten op internet, via darkreading.com, 29 april 2025

Dit punt kwam naar voren bij de RSAC conferentie in San Fransisco, maar ik neem aan dat het ook geldt voor onbemande tankstations in Nederland. Want het bedrijf wil toch weten hoeveel er getankt is, of er een probleem met een pomp is en of de opslag bijgevuld moet worden. Op de benzinepompen draait software die (waarschijnlijk) niet zo vaak bijgewerkt wordt als je computer, ipad/tablet of mobiele telefoon. En als je dan ook leest dat er ook wat locaties gevonden zijn met een web-interface en het standaard wachtwoord 123456, dat is natuurlijk om te huilen zo slecht.

6. Update van Chrome naar 136 maakt je browser weer wat veiliger, via technologyadvice.com, 29 april 2025

De link in de titel brengt je op de release-melding van Google. Volgens de mail van technologyadvice zat in deze release een fix voor een security-issue wat er al 20 jaar in zat, namelijk via bepaalde CSS kon de historie in je browser bekeken worden. Dus als je jouw GMail of Hotmail e-mail via je browser had bekeken en er zou iets van een soort "sessie-token" in je URL zitten en je ging later naar een site van een hacker, dan zou die via jouw historie daar misschien verkeerde dingen meer kunnen doen. Bijkomend punt bij deze melding is dat ik nu ook zie waar je de broncode van de Chromium-browser kunt uitchecken.

7. 75 zero-day exploits, via Google's Threat Intelligence Group (GTIG), 29 april 2025

Een uitgebreid verslag met een aantal voorbeelden. Een exploit van Webkit, waarbij je ziet dat een index.js javascriptbestand in een contact-form-7 wordpress-module ingeladen wordt (daar verwacht je geen "vreemde acties" van). Met een link naar Phrack Magazine waarin uitgelegd wordt wat er fout gaat. Goed om door te lezen. Bij een snelle scan daardoor heen zie ik dat iets met een array gedaan wordt, deze wordt op 0 items ingesteld en vervolgens wordt data "buiten de array" gelezen. Het andere issue gaat over een onderdeel van Windows Taskscheduler (volgens deze Github-readme). Op één of andere manier kon vanuit de "sandbox van Firefox" daar acties mee uitgevoerd worden.

8. Microsoft brengt Recall uit, met extra beveiliging, via techrepublic.com, 28 april 2025

Recall, onderdeel van Copilot+ kan je activiteiten op je pc bijhouden. Dus als je vraagt "welke PDF stuurde mijn werkgever 2 dagen geleden" dan krijg je snel de juiste PDF, in plaats van dat je jouw pc en daarna je mailboxen moet doorzoeken. Omdat als een hacker je pc overneemt ook kan vragen "wat is het laatste rekeningnummer en pincode die ik ingevoerd heb" heeft Microsoft deze tool een tijd op de plank laten liggen, maar nu dus toch uitgebracht met wat extra maatregelen. Standaard staat Recall uit, kun je het makkelijk de-installeren, worden incognito-vensters van je browser(s) met rust gelaten en dergelijke.

9. Chrome plug-ins die mogelijk niet veilig zijn, via arstechnica.com, 11 april 2025

Verschillende plug-ins die op de achtergrond dezelfde javascript-bestanden inladen, flink wat rechten vragen om geïnstalleerd te worden, het ziet er verdacht uit. De onderzoeker pakt een javascript bestand uit een andere plug-in en dat zorgt ervoor dat de plug-in die eerst niet zoveel deed "ineens" allemaal gegevens gaat doorsturen naar een server. Better safe than sorry, dus mocht je één van deze plug-ins in Chrome geïnstalleerd hebben, ik zou 'm verwijderen.

  • Choose Your Chrome Tools
  • Fire Shield Chrome Safety
  • Safe Search for Chrome
  • Fire Shield Extension Protection
  • Browser Checkup for Chrome by Doctor
  • Protecto for Chrome
  • Unbiased Search by Protecto
  • Securify Your Browser
  • Web Privacy Assistant
  • Securify Kid Protection
  • Bing Search by Securify
  • Browse Securely for Chrome
  • Better Browse by SecurySearch
  • Check My Permissions for Chrome
  • Website Safety for Chrome
  • MultiSearch for Chrome
  • Global search for Chrome
  • Map Search for Chrome
  • Watch Tower Overview
  • Incognito Shield for Chrome
  • In Site Search for Chrome
  • Privacy Guard for Chrome
  • Yahoo Search by Ghost
  • Private Search for Chrome
  • Total Safety for Chrome
  • Data Shield for Chrome
  • Browser WatchDog for Chrome
  • Incognito Search for Chrome
  • Web Results for Chrome
  • Cuponomia - Coupon and Cashback
  • Securify for Chrome
  • Securify Advanced Web Protection
  • News Search for Chrome
  • SecuryBrowse for Chrome
  • Browse Securely for Chrome

 

10. Google drukt Safety Core op je Android-toestel, via zdnet.com, 3 april 2025

Deze app schijnt bedoeld te zijn om "sensitieve content" op je telefoon te beveiligen. Dus als je een foto hebt waarop wat vriendinnen hun borsten laten zien, dan zie je ze waarschijnlijk geblurred. Zou je die foto doorsturen, dan krijg je wat waarschuwingsmeldingen. Tenminste, volgens het artikel op ZDNet is dat wat er gedaan wordt. Maar heb je niet de keuze (gekregen) als gebruiker om die "dienst" uit te schakelen. Even gezocht, de app staat ook op mijn telefoon. Via Instellingen, Apps, alle [...] apps zien, Android System SafetyCore. Op deze Reddit-thread zegt iemand "ik kan het wel verwijderen, maar waarschijnlijk gaat Google het later dan weer installeren. ik schakel het uit met ADB." Dat lijkt me inderdaad mogelijk, dus ik ben gaan kijken of ik ADB werkend krijg. In de thread werd al een link gedeeld waar je dit kunt bekijken. Via Instellingen, Over de Telefoon, 7x snel klikken op het Buildnummer, dan je pincode invoeren en vervolgens de melding "je bent nu ontwikkelaar". Dan moet de tool nog op je PC. Uitleg staat op de android.com website. Daar staat ook de link naar waar je de tools kunt downloaden.