HackDefense Publicaties.
Hier treft u onze opinies en andere actuele informatie over IT security.
Met ASR-regels houd je aanvallers buiten de deur
Een mogelijke eerste stap voor een cybercrimineel is toegang verkrijgen tot een werkstation of laptop van een gebruiker. Cybercriminelen gebruiken hiervoor verschillende aanvalsvectoren. Om de kans van slagen van dit soort aanvallen te verminderen heeft Microsoft Attack Surface Reduction (ASR) regels geïntroduceerd. Deze regels verbeteren de beveiliging van een systeem waardoor het voor een aanvaller moeilijker wordt om toegang te krijgen.
Wordt het wachtwoord van de lokale administrator in jouw omgeving hergebruikt?
Het Windows besturingssysteem bevat standaard een beheeraccount voor beheerdoeleinden waarvan het wachtwoord bij veel omgevingen op meerdere systemen hetzelfde is.
Hoe de nieuwste generatie van WPA u beschermt tegen criminelen
Aanvallers kunnen gaten in de beveiliging van het WPA-protocol misbruiken om toegang te krijgen tot het Wi-Fi-netwerk van uw organisatie. Dit is mogelijk omdat organisaties nog altijd versie 2 van het WPA-protocol gebruiken. Met toegang tot het Wi-Fi-netwerk kan een aanvaller netwerkverkeer afluisteren of verdere aanvallen uitvoeren op het interne netwerk.
Naar een IT-infrastructuur zonder ransomware
Met de opmars van nieuwe ransomware varianten en nieuwe aanvalstechnieken wordt het steeds moeilijker om gebruikers daartegen te beschermen. Veel soorten antivirussoftware dragen bij aan de veiligheid van de eindgebruikers, maar is in meeste gevallen niet genoeg. Hackers schrijven in vele gevallen nieuwe ransomware, waardoor antivirusleveranciers eigenlijk achter de feiten aanlopen. Deze blogpost beschrijft hoe je met AppLocker je kan beschermen tegen ransomware.
Het belang van SMB-signing
Bij beveiligingstests van Windows-omgevingen zien wij regelmatig dat het versleutelde wachtwoord van een gebruiker met hoge rechten over het netwerk wordt verstuurd. In combinatie met systemen waarop SMB-signing is uitgeschakeld kan een aanvaller of kwaadwillende, door middel van een NTLM relay attack, de rechten binnen het netwerk verhogen. Afhankelijk van de netwerk-omgeving kan een aanvaller de rechten verhogen tot het hoogste niveau.
Log4J en de kracht van “egress filtering”
Veel van de adviezen over het bestrijden van de grote kwetsbaarheid in Log4J, Log4Shell (CVE-2021 – 44228) missen de eenvoudigste manier om hem te bestrijden: firewalling. Met goede filtering op uitgaand verkeer is deze kwetsbaarheid een stuk minder urgent.
Wat is een XXE-injectie?
In veel webapplicaties wordt XML gebruikt om data te structureren. De XML-standaard is in 1996 in het leven geroepen door het World Wide Web Consortium (W3C) en is lange tijd zeer populair geweest. Er is echter veel meer mogelijk met XML dan veel ontwikkelaars weten, waardoor misbruik door hackers soms mogelijk is.
HackDefense behaalt Keurmerk Pentesten
Per 1 juli 2021 is het nieuwe keurmerk Pentesting van het CCV (Centrum voor Criminaliteitspreventie en Veiligheid) ingevoerd. HackDefense is hierop gecertificeerd en voert dit keurmerk voor al haar beveiligingstesten.
HackDefense Alert: “PrintNightmare”
Door twee lekken in de Print Spooler-service kan het voor gebruikers – of aanvallers die de controle hebben over een gebruikersaccount – mogelijk zijn om de volledige controle te krijgen over de Domain Controller(s).
Waarom Domain Administrators beter niet kunnen inloggen buiten de Domain Controllers
Ditmaal bekijken we een bevinding die we vaak doen en ons werk erg makkelijk maakt: Domain Administrators (domeinbeheerders) ingelogd op computers of servers die geen domain controller zijn. Het is voor een aanvaller die Local Administrator is op een computer of server namelijk mogelijk om de wachtwoorden (of hashes) te achterhalen van alle andere ingelogde gebruikers. Dus ook als die Domain Admin zijn!
Vogelspotten
Tijdens mijn scriptieonderzoek naar honeypots heb ik het MySQL-authenticatieprotocol bestudeerd. Ik ben begonnen met het vergelijken van implementaties van reeds beschikbare honeypots, waaronder die van OpenCanary. Tijdens deze vergelijking merkte ik echter een discrepantie op tussen de foutmeldingen van een authentieke MySQL-server en die van OpenCanary.
Officieel keurmerk pentesting
Al vele jaren merken we dat opdrachtgevers het lastig vinden om een test van de IT-beveiliging (pentest) in te kopen. Waar moet je op letten? Er zijn veel aanbieders in de markt, en de kwaliteit verschilt sterk.
HackDefense onderzoekt Ondersteunende Software Verkiezingen
Dit was echt een bijzondere opdracht. Voor de Kiesraad mochten we “OSV2020‑U” helemaal ondersteboven halen. Dit is de software die gemeenten en centraal stembureaus over 2 weken bij de verkiezingen zullen gebruiken. Voor u in de pen klimt: niet voor het stemmen zelf (dat doen we gelukkig niet meer met computers), maar wel om de uitslagen te verwerken.Resultaat is ons grondigste rapport ooit, en de conclusie dat de overheid de afgelopen jaren grote stappen heeft gezet om deze software veiliger te maken.Hier vind je ons rapport op de site van de Kiesraad
Hoe hackers wachtwoorden raden, en hoe ze te stoppen
Een eerste stap die een hacker moet zetten om een bedrijfsnetwerk aan te vallen is het verkrijgen van toegang tot een regulier gebruikersaccount. Helaas zien we vaak dat dit niet heel erg moeilijk is, vanwege onveilig gebruik van wachtwoorden in klantnetwerken. We zien zelfs slechte wachtwoorden bij beheeraccounts en service accounts. Kortom: organisaties — allemaal — worstelen met het gebruik en beheer van wachtwoorden. Wat te doen?
Wachtwoord? Zie “Omschrijving”.
Systeembeheerders slaan wachtwoorden voor niet-persoonsgebonden accounts regelmatig op in het veld Omschrijving (Engels: Description) van het account. Handig, zo kunnen andere beheerders ook in het account. Standaard is dit veld in Active Directory echter leesbaar voor iedereen.
Wat schuilt er achter een phishinglink?
Steeds meer mensen krijgen te maken met phishing-berichten van verschillende banken. Onze collega Rick zocht uit hoe zo’n phishingaanval in z’n werk gaat. In één woord? Geraffineerd. Don’t try this at home, maar kijk gerust even met ons mee.
HackDefense houdt digitaal oogje in het zeil tijdens verkiezingen
De Kiesraad heeft dit jaar een aanbesteding gedaan voor het doen van beveiligingstests van software die wordt ingezet bij alle verkiezingen in Nederland, met als doel om met drie bedrijven een raamovereenkomst voor de komende vier jaar af te sluiten. Onlangs werden de winnaars bekendgemaakt: HackDefense, PWC en Fox IT gaan de tests bij toerbeurt uitvoeren. We zijn er ontzettend trots op dat we als eerste zijn geëindigd in dit selectieproces!
Ransomware, kan ons dat ook gebeuren?
Wij krijgen vaak de vraag van bedrijven of ook zij te maken kunnen krijgen met online chantage door middel van malware, en hoe ze het kunnen voorkomen. Inmiddels is redelijk duidelijk wat de aanvalsmethoden zijn en hoe die cybergijzelaars kunnen binnenkomen. Als je dat weet, weet je ook beter hoe je ertegen kunt wapenen.
Subdomain takeover kan tot ernstig lek leiden. Digitaal opruimen voorkomt dit
Eind april ontdekte beveiligingsbedrijf CyberArk een lek in Microsoft Teams. Het probleem kon door Microsoft snel worden opgelost, maar dit lek is een mooi voorbeeld van een subdomain takeover en laat goed zien hoe belangrijk het is om (sub-)domeinnamen die niet meer nodig zijn grondig te verwijderen.
Videobellen met populaire apps? Zo zit het met de privacy
In onze vorige blog keken we al naar de veiligheid van zakelijke videoconferencingtools zoals Wire, Nextcloud, WebEx, Google Hangouts, Zoom, Skype en Microsoft Teams. Maar hoe zit het met apps als Whatsapp, Jitsi Meet, Houseparty, Hangouts – en ook Zoom – die niet alleen door consumenten maar ook door collega’s onderling worden gebruikt. In de uitzending van Kassa van afgelopen weekend keken experts, waaronder Mark Koek, hoe het zit met de privacy van deze populaire apps.
Hoe veilig zijn videoconferencingtools?
Het RIVM roept werkgevers op hun medewerkers zoveel als mogelijk thuis te laten werken. Om toch de contacten met collega’s, klanten en partners te onderhouden, wordt er massaal gebruikt gemaakt van videobellen. Maar niet alle oplossingen hebben dezelfde kwaliteit als het gaat om privacy en security. Wij hebben de afgelopen weken een hele reeks oplossingen voor video-vergaderen getest op gebruiksvriendelijkheid, veiligheid en privacy. In deze blog bespreken we een aantal populaire tools en onze conclusies en wat aandachtspunten.
E‑mailbeveiliging: overheid verslaat bedrijfsleven
HackDefense onderzocht of de overheid zich aan de eigen aanbevelingen houdt voor wat betreft de beveiliging van e‑mail. En of het bedrijfsleven het beter doet. Nu verwacht je misschien dat de ministeries het onderspit moeten delven. Maar niets is minder waar. Tijd voor het bedrijfsleven om zich achter de oren te krabben.
Staat er Cisco op je camera’s, telefoons of firewall? Let dan op!
Israëlische onderzoekers ontdekten verschillende lekken in het Cisco Discovery Protocol (CDP). Door deze lekken kunnen hackers, wanneer ze eenmaal binnen zijn in jouw bedrijf, meekijken en ‑luisteren via verschillende apparaten van Cisco. En dat zijn er misschien meer dan je denkt.
Citrix-lek? Vergeet Internet Explorer en Oracle niet.
Google op ‘Citrix-lek’ en het nieuws vliegt je om de oren. Maar wat er door alle aandacht voor Citrix vergeten lijkt te worden, is dat er de afgelopen weken nog twee andere serieuze issues bekend zijn geworden: een groot lek in Internet Explorer en 334 kwetsbaarheden in Oracle.
2019: 7 nieuwe lekken in thuiswerksystemen. Vergeet de patch niet.
Een heel nieuw jaar ligt voor ons. Een jaar waarin we weer veel organisaties hopen te beschermen. Maar eerst blikken we nog even terug op 2019, het jaar van ernstige lekken in oplossingen voor telewerken.
Een ‘gaatje’ in mijn agenda – deel 2
Met enkele praktijkvoorbeelden proberen we de mogelijke schade die XSS kan aanrichten inzichtelijk te maken.
Een ‘gaatje’ in mijn agenda
Aan de hand van een casus uit onze praktijk leggen we uit waarom “Cross-Site Scripting” een ernstige kwetsbaarheid in webapplicaties is, en wat je er aan kunt doen.
CVE-2019 – 18346 Cross-Site Request Forgery (CSRF) vulnerability in DAViCal CalDAV Server
At HackDefense, we were evaluating various calendaring solutions, and during installation and configuration of DAViCal we discovered three (severe) vulnerabilities. We reported these vulnerabilities to the vendor. Unfortunately, the DAViCal project itself was not able to fix these vulnerabilities. As DAViCal is an open source project we decided to contribute patches for these vulnerabilities ourselves. DAViCal has accepted our patches in the 1.1.9.2 release. If you use DAViCal as a calendaring server, we recommend upgrading to version 1.1.9.2 immediately to remediate the issues we’ve discovered.
CVE-2019 – 18345 Reflected Cross-Site Scripting (XSS) vulnerability in DAViCal CalDAV Server
At HackDefense, we were evaluating various calendaring solutions, and during installation and configuration of DAViCal we discovered three (severe) vulnerabilities. We reported these vulnerabilities to the vendor. Unfortunately, the DAViCal project itself was not able to fix these vulnerabilities. As DAViCal is an open source project we decided to contribute patches for these vulnerabilities ourselves. DAViCal has accepted our patches in the 1.1.9.2 release. If you use DAViCal as a calendaring server, we recommend upgrading to version 1.1.9.2 immediately to remediate the issues we’ve discovered.
CVE-2019 – 18347 Persistent Cross-Site Scripting (XSS) vulnerability in DAViCal CalDAV Server
At HackDefense, we were evaluating various calendaring solutions, and during installation and configuration of DAViCal we discovered three (severe) vulnerabilities. We reported these vulnerabilities to the vendor. Unfortunately, the DAViCal project itself was not able to fix these vulnerabilities. As DAViCal is an open source project we decided to contribute patches for these vulnerabilities ourselves. DAViCal has accepted our patches in the 1.1.9.2 release. If you use DAViCal as a calendaring server, we recommend upgrading to version 1.1.9.2 immediately to remediate the issues we’ve discovered.
Sommige digitale cadeautjes kan de kerstman beter zelf houden
Het zal niemand zijn ontgaan: Sinterklaas is weer in het land en in sommige huiskamers staat zelfs de kerstboom al. De schoencadeautjes, cadeautjes voor in de zak en voor straks onder de boom zijn niet aan te slepen. Maar let op, ook cybercriminelen pakken graag uit. Krijg je een mailtje waarin je een cadeautje krijgt aangeboden namens Sint of de kerstman? Dikke kans dat het een phishingmail is en dat je iets heel anders cadeau krijgt dan je wordt voorgehouden.
“Eerst checken, dan klikken!”
Gisteravond verscheen Mark Koek in Opgelicht!?, de serie van AVROTROS over oplichtingspraktijken van fraudeurs en bedriegers. Mark is behalve directeur van HackDefense ook medeoprichter van Phishingtest.nl, een gezamenlijke service van HackDefense en Audittrail met als doel bedrijven bewust te maken van de noodzaak alert te zijn op phishingmails. Mark hielp Opgelicht!? te onderzoeken hoe het met het klikgedrag van onze volksvertegenwoordigers staat. ‘Eerst checken, dan klikken’ — de campagne van het ministerie van Justitie en Veiligheid — is duidelijk nog niet helemaal in de Tweede Kamer doorgedrongen.
Microsoft stopt ondersteuning Windows 7 en Server 2008. En nu?
Op 14 januari 2020 stopt de officiële beveiligingsondersteuning van Windows 7 en Windows Server 2008. Dit brengt grote veiligheidsrisico’s met zich mee. Maak daarom nu de overstap naar Windows 10 en Windows Server 2019, of natuurlijk een heel ander besturingssysteem.
Foutjes in je software? Met een hacker mindset ontdek je ze.
Laten we er niet omheen draaien: foutloze software bestaat niet. Dat ligt niet aan de programmeur, dat ligt aan de manier van kijken. Zorg voor de juiste hacker mindset en je ontdekt de foutjes eerder dan de bad guys dat doen!
SSL/TLS configureren met sterke cryptografie
De meeste vulnerability scans en pentests leveren veel bevindingen op met betrekking tot SSL (TLS). Want cryptografie is complex en de eisen veranderen snel. Maar hoe richt u uw server zo in dat er in elk geval geen verouderde versies of zwakke versleuteling draaien? En wat is een redelijk compromis om geen bezoekers met iets oudere browsers te verliezen?
DCOMrade — Automatiseren van het in kaart brengen van DCOM applicaties
Een onderzoek naar de huidige lateral movement technieken die gebruikmaken van het Distributed Component Object Model (DCOM), een ingebouwde functionaliteit om software aan te roepen van het ene Windows systeem naar het andere Windows systeem.
SSH hardenen op LTS systemen
Recentelijk zijn we diverse Linux-systemen onder Long Term Support (LTS) tegengekomen die een zwakke Secure Shell (SSH)-serverconfiguratie hadden. Verder onderzoek naar deze kwestie leerde ons dat dit de standaardconfiguratie is voor deze wat oudere, maar nog wel ondersteunde systemen. In deze blog laten we je zien hoe je de SSH daemon kunt hardenen op deze systemen.
CSP — het hoe en waarom van een Content Security Policy
De afgelopen tijd stellen wij steeds meer van onze klanten voor om naast de gebruikelijke security headers nu ook een Content Security Policy (CSP) in te stellen. In deze blog gaan wij hier dieper op in: waar komt deze nieuwe standaard vandaan? Waarom zou je deze graag willen gebruiken? Hoe stel je deze in? En: met welke andere standaarden heeft CSP raakvlakken?
HackDefense sluit zich aan bij Cyberveilig Nederland
De nieuwe branche-organisatie Cyberveilig Nederland heeft HackDefense als nieuw lid toegelaten. Cyberveilig Nederland werd onlangs opgericht om de belangen van de cybersecurity-branche in Nederland te behartigen, en om te komen tot een keurmerk. Dit initiatief steunen we van harte.
Crowd Control?
HackDefense analyseerde de security & privacy in een app die de politie gebruikte voor crowd control tijdens Leids Ontzet.
IPTables vereenvoudigd
Een lokale firewall op Linux, inclusief IPv6, in 12 stappen. Of download het script!