Microsoft onderzoekt de melding van een bug in de Windows Kernel die misbruikt kan worden om de UAC beveiliging te omzeilen. Een beveiligingsfirma omschreef deze bug als een potentiële nachtmerrie, maar MS bagatelliseerde de bedreiging door eraan te herinneren dat hackers een tweede exploit nodig hebben om een succesvolle aanval uit te kunnen voeren. UAC,dat gelanceerd werd met Vista in 2007, geeft aanwijzingen op het scherm die de gebruikers moeten lezen en dwingt om te reageren. Het werd ontworpen om stiekeme malware installatie onmogelijk te maken, of op zijn minst te bemoeilijken. Microsoft bevestigde ‘de zaak’ te onderzoeken en asap met een oplossing voor de dag te komen. De bug zit in het win32k.sys bestand en kan je terugvinden in alle versies van Windows (XP, Vista, Server 2003, Windows 7 en Server 2008). De aanvalscode werd Woensdag openbaar gemaakt en blijkt inderdaad te werken. Een hacker kan deze bug alleen misbruiken wanneer hij al toegang heeft tot de lokale computer, van op afstand is dit niet mogelijk. MS gaf nog geen raming voor een patch, maar de volgende algemene update is voorzien voor de 14de December.

Binnenkort kunt u in de Apple applicaties winkel de Cisco Secure Mobility AnyConnect SSLVPN iPad client aanschaffen. Je kunt deze iPhone versie ook gebruiken op de iPad vanaf versie 4.2 en hoger. De AnyConnect client laat je iPad gebruikers toe om terug te keren naar een VPN Cisco ASA basisstation van uw kantoor of bedrijf. De client ondersteunt zowel een auto-on-demand-modus als een manuele switch. De ‘on-demand’ mode maakt op de achtergrond een verbinding met de client zodra de ipad informatie naar het beschermde netwerk moet verzenden. Onder andere de volgende Anyconnect 2.4 functies worden ondersteund: - Cisco SSL Tunnelling Protocol (CSTP) - Cisco DTLS Tunnelling Protocol (CDTP) -AES256-SHA - AES128-SHA - AES256-SHA - AES128-SHA - Client Certificate Authentication - AnyConnect Secure Certificate Enrollment Protocol (SCEP) - Tunnel All - Split Include/exclude – Rekey - IPv6 over IPv4 - Network Roaming - TLS Compression - Cisco Profile Support - Profile Update - Post-Login Banner - Dead Peer Detection - Tunnel Keep-Alive - Backup Server List - Default Domain - DNS Server Configuration - Private-side Proxy Support - Cluster Support - Network Change Monitoring – Statistics - Graphical User Interface - Pre-login Banner - Certificate Import

Identiteitsdieven kunnen iPhone gebruikers de indruk geven dat ze op een legitieme website zijn en ze door middel van het verbergen van URL’s in het iPhone real estate scherm in werkelijkheid op een schadelijke website parkeren. Daar staat dan uiteraard allerlei malware klaar om stiekem geïnstalleerd te worden. In een zogenaamde ‘proof of concept’ demonstratie’ toonden beveiligingsexperts hoe makkelijk dit was (ze toonden de web applicatie van de Bank of America die de Safari adresbalk verbergt na het renderen van de pagina, en het is net daardoor dat misbruik mogelijk is). In principe gaat dit alleen bij websites die de HTML richtlijnen strikt opvolgen en meegeven dat de website een mobiele website is.

Ransomware blijkt terug te zijn (maar alles is zeker niet vergeten en vergeven!). Slachtoffers krijgen na het openen van geïnfecteerde PDF bestanden malware binnen die in eerste instantie een volledige scan van de harde schijf uitvoert. Aansluitend worden alle office en openoffice documenten, tal van media bestanden en alle foto’s gedeeltelijk gecodeerd en onleesbaar maakt. En nu begint de echte gijzeling: de slachtoffers krijgen boodschappen zoals ‘Betaal 120 Dollar en u krijgt terug toegang tot uw gegevens’ en ‘Vertel niemand over deze boodschap of je krijgt je bestanden nooit terug!’. De gijzelnemers gebruiken 1024-bit encryptie, wat maakt dat brute force niet meteen voor de hand ligt. Een variant (van een andere bende?) maakt de Master boot record van Windows PC’s kapot en toont bij het opstarten van de computer een boodschap die zegt dat de PC geblokkeerd werd en dat je honderd Dollar moet betalen voor de sleutel. Dit kan je proberen zelf op te lossen door op te starten van op een schijfje en de MBR te herstellen (vraag raad aan een deskundige). Naar het schijnt zou je ook het volgende paswoord even kunnen proberen: aaaaaaciip. Wanneer u de recentste versie van Adobe’s lezer gebruikt moet u zich geen zorgen maken (tenminste, dat de malware binnen zou komen via een ‘behandeld’ PDF document). Trouwe lezers van mijn website weten dat ze op zeer regelmatige basis (elke dag) een reservekopie moeten maken van hun belangrijke gegevens.

Het HP TippingPoint DVLabs ‘2010 Top Cyber security risks’ rapport is beschikbaar! Het +30 pagina’s tellende rapport kan je downloaden door *hier* te klikken. Het bevat een grondige analyse en data over cyber aanvallen opgesteld door Qualys met bijkomende analyses door het Internet Storm Center en SANS. Zeer interessante leesvoer, een aanrader. Je kan de website van TippingPoint Digital Vaccine Laboratories bezoeken door *hier* te klikken.