DearBytes: zo voorkomen organisaties cyberaanvallen via Office-documenten

Misbruik via macro’s en het nieuwe DDE-lek

Den Haag, 14 november 2017 – Cybercriminelen voeren op grote schaal systeem-commando’s uit via Office-documenten. Microsoft verhelpt het probleem niet. Daarom zet DearBytes 3 mitigerende maatregelen op een rij.

De aan Rusland gelinkte hackersgroep Fancy Bear, ook wel bekend als APT28, heeft de afgelopen weken Word-documenten de wereld in verspreid met namen als ‘IsisAttackInNewYork.doc’ en ‘SabreGuard2017.docx’. Deze bestanden bieden echter geen nieuws over de terreuraanslag van eind oktober, of over een oefening van het Amerikaanse leger in Oost-Europa. Op het moment dat gebruikers de documenten openen, worden zij geïnfecteerd met een stukje malware genaamd Seduploader. Hiermee scannen ze de computer van het slachtoffer om te kijken of het zin heeft om spyware te installeren.

Misbruik van lek in DDE

Fancy Bear maakt al vanaf eind oktober gebruik van een lek in de Microsoft Office-feature Dynamic Data Exchange (DDE). Dit onderdeel maakt het mogelijk om data van het ene Word-document in een ander Word-document te injecteren en biedt aanvallers daarmee een alternatief voor macro’s.

DDE is echter ook te misbruiken via Microsoft Outlook en Calendar-uitnodigingen, waardoor een aanvaller in de vorm van een e-mail zonder attachment vrij eenvoudig zijn code bij een slachtoffer krijgt.

Mitigerende maatregelen

Erik Remmelzwaal, directeur bij DearBytes, zegt: “Cybercriminelen zijn snel boven op het lek gedoken, onder andere voor het verspreiden van de ransomware Locky. Organisaties hebben dus maar kort de tijd om kritieke lekken te patchen en misbruik onmogelijk te maken.”

Omdat Microsoft zelf geen actie heeft ondernomen, adviseert DearBytes daarom de volgende 3 maatregelen te treffen om te voorkomen dat organisaties slachtoffer worden van aanvallen via Office-documenten:

1. Schakel DDEAuto uit

Maak bijvoorbeeld gebruik van ‘Disable DDEAuto‘. Dit is een registryfile die wordt bijgehouden op GitHub en ervoor zorgt dat de ‘update links’- en ’embedded files’-functionaliteiten worden uitgeschakeld.

2. Bekijk de oplossingen die Microsoft aanreikt

Microsoft legt op hun TechNet-website en op de supportwebsite uit hoe je OLE-objecten en macro’s beter onder controle krijgt. Dit voorkomt echter niet dat .exe-bestanden direct worden gedownload en uitgevoerd.

3. Voorkom dat Office-onderdelen bepaalde andere executables aanroepen

Het gevolg van een DDE- maar ook van een macro-aanval is dat een aanvaller bijvoorbeeld Word of Outlook een ander programma laat starten. Nu is het niet vreemd dat Word een printerprogramma aanroept, maar dat het een systeemcommando wil uitvoeren, is voor de meeste gebruikers zeldzaam.

Het researchteam van DearBytes heeft dan ook vastgesteld dat een heel effectieve maatregel is om door middel van endpoint-protectionsoftware te voorkomen dat Office-applicaties bepaalde andere executables starten.

DearBytes heeft met behulp van McAfee Access Protection een blokkerende rule ontwikkeld die uitvoer van kwaadaardige code via DDE voorkomt. In deze ‘blokkade’ zijn bijvoorbeeld ongebruikelijke executables opgenomen zoals cmd.exe, powershell.exe, rundll32.exe en cscript.exe. De rule blijkt naast DDE-aanvallen ook zeer effectief tegen macro-aanvallen.

Animatie ransomware 2

WatchGuard vernieuwt UTM-appliances uit Firebox T-serie

Nieuwe modellen bieden geavanceerde security en topprestaties

Den Haag, 14 november 2017WatchGuard Technologies kondigt drie nieuwe Unified Threat Management (UTM)-appliances aan in de Firebox T-serie. De T15, T35 en T55 bieden een verbeterde doorvoer en diverse nieuwe features. Deze appliances zorgen voor geavanceerde beveiliging zonder de internetsnelheid die de gebruiker ervaart negatief te beïnvloeden.

“Hackers selecteren hun doelwit niet meer op basis van de grootte of locatie van een bedrijf”, zegt Brendan Patterson, Director of Product Management bij WatchGuard. “Kleine bedrijven en thuiswerkers zijn net zo goed een doelwit als grote ondernemingen. Daarom moeten ook zij gebruik kunnen maken van beveiliging op enterpriseniveau, inclusief diensten als APT Blocker en Threat Detection and Response (TDR). We blijven onze Firebox-appliances verbeteren, zodat security niet ten koste gaat van de netwerkprestaties of businessdoelstellingen.”

De appliances uit de Firebox T-serie beschikken over een groot aantal UTM-functies, waaronder APT Blocker, TDR, IPS, Anti-Virus en Application Control. Ook zijn ze eenvoudig te configureren en beheren. Mede hierdoor zijn deze appliances zeer geschikt voor zelfstandigen, mkb en multinationals met meerdere vestigingen.

De belangrijkste kenmerken van de Firebox T-serie:

Sterk verbeterde prestaties: dankzij een snellere doorvoer staan de nieuwe modellen in de T-serie garant voor topprestaties. Systeembeheerders kunnen maatregelen treffen tegen allerlei soorten geavanceerde malware zonder het netwerk te belasten.

Geïntegreerde 802.11ac-adapters: de T35 en T55 zijn voorzien van geïntegreerde draadloze 802.11ac-adapters. Hierdoor kunnen gebruikers draadloos internetverkeer inspecteren en beveiligen volgens de nieuwste standaarden.

Power over Ethernet: de T35 en T55 zijn uitgerust met een Power over Ethernet Plus-poort. Daardoor is het niet nodig om randapparatuur zoals beveiligingscamera’s en draadloze access points aan te sluiten op een aparte stroomkabel.

De T15, T35 en T55 vervangen respectievelijk de T10, T30 en T50. De nieuwe appliances zijn direct verkrijgbaar.

Meer informatie:

T35 F

Over WatchGuard Technologies
WatchGuard Technologies is wereldwijd leider in netwerkbeveiliging en levert Unified Threat Management (UTM)-oplossingen, next-generation firewalls, veilige wifiverbindingen en network intelligence-dienstverlening van topkwaliteit aan meer dan 75.000 klanten over de hele wereld. De bedrijfsmissie is security van enterpriseniveau mogelijk maken voor alle soorten organisaties, ongeacht hun grootte. Dit doet WatchGuard met eenvoud als uitgangspunt, waardoor het diensten- en productenportfolio uitermate geschikt is voor zowel grote ondernemingen als het MKB. Het hoofdkantoor is gevestigd in Seattle. Daarnaast heeft WatchGuard vestigingen in Noord-Amerika, Europa, Azië en Latijns-Amerika. Het Europese hoofdkantoor is gevestigd in Den Haag. Voor meer informatie kunt u terecht op: www.watchguard.com

 Voor extra informatie, promoties en updates, volg WatchGuard op Twitter (@WatchGuard), Facebook of via de LinkedIn-bedrijfspagina. Of bezoek onze InfoSec-blog, Secplicity, voor meer realtime updates over de laatste dreigingen en hoe daarmee om te gaan: www.secplicity.org

WatchGuard vereenvoudigt beheer van securityvoorzieningen door integratie met Autotask

Samenwerking met PSA-platform zorgt voor productiviteitsstijging en betere bescherming

Den Haag, 13 november 2017WatchGuard Technologies heeft een integratie ontwikkeld met het Professional Services Automation (PSA)-platform van Autotask. Hierdoor kunnen serviceproviders nu een groot aantal taken op het gebied van securitymanagement automatiseren. Ook ontstaan hierdoor interessante mogelijkheden om het aanmaken en afhandelen van tickets te vereenvoudigen en te versnellen.

De informatie voor het oplossen van storingen en foutmeldingen wordt dankzij de integratie met Autotask nu bovendien automatisch gesynchroniseerd met informatie over de securityhulpmiddelen van een klant van de serviceprovider.

Taken en handelingen automatiseren
Autotask PSA is een populair hulpmiddel van Managed Security Service Providers (MSSP), Managed Service Providers (MSP) en IT Service Providers (ITSP). Zij gebruiken Autotask om de dienstverlening aan hun klanten verder te stroomlijnen en te verbeteren. Dit is mogelijk doordat Autotask PSA de functionaliteit van een aantal applicaties op het gebied van IT-servicemanagement bundelt en als één oplossing voor de serviceprovider beschikbaar maakt. Denk hierbij aan service ticketing, projectbeheer, asset management en customer relationship management (CRM). Het is hierdoor heel eenvoudig om taken en handelingen op het gebied van securitymanagement te automatiseren en te beheren.

Belangrijkste kenmerken
Voor securityprofessionals levert dit een aanzienlijke productiviteitsverbetering op:

Snelle en efficiënte afhandelingen van storingen en incidenten 
  • Het is mogelijk om meldingen over securityoplossingen van WatchGuard als Autotask-tickets te verwerken.
  • Het is zeer eenvoudig om voor tal van parameters en per device drempelwaarden in te stellen. Denk hierbij onder andere aan securityservices, statistieken per apparaat en abonnementen. Overschrijding van een drempelwaarde betekent dat automatisch een serviceticket wordt aangemaakt. Hierdoor blijft de IT-omgeving van de klant altijd beschermd, ook als bijvoorbeeld een serviceabonnement afloopt. Als de einddatum van het abonnement is bereikt, wordt namelijk automatisch een ticket aangemaakt om verlenging van het abonnement te regelen.
  • Het aantal tickets is nu fors kleiner doordat hetzelfde ticket wordt heropend als een storing of incident zich opnieuw voordoet. Hierdoor ontstaat bovendien een goed inzicht in trendinformatie per individuele klant van de serviceprovider.
Beter inzicht in de securityaanpak van individuele klanten 
  • Informatie over de securityvoorzieningen van een klant wordt automatisch geregistreerd en up-to-date gehouden.
  • Er ontstaat een nog beter inzicht in de securityvoorzieningen van individuele afnemers doordat automatische synchronisatie plaatsvindt met WatchGuard-appliances. Denk hierbij aan de start- en einddatum van abonnementen, serienummers van apparaten, OS-versies en dergelijke.
  • Dankzij geautomatiseerde synchronisatie wordt voorkomen dat een netwerk per abuis onbeschermd is doordat gegevens over serviceabonnementen incorrect zijn ingevoerd.

Over WatchGuard Technologies
WatchGuard Technologies is wereldwijd leider in netwerkbeveiliging en levert Unified Threat Management (UTM)-oplossingen, next-generation firewalls, veilige wifiverbindingen en network intelligence-dienstverlening van topkwaliteit aan meer dan 75.000 klanten over de hele wereld. De bedrijfsmissie is security van enterpriseniveau mogelijk maken voor alle soorten organisaties, ongeacht hun grootte. Dit doet WatchGuard met eenvoud als uitgangspunt, waardoor het diensten- en productenportfolio uitermate geschikt is voor zowel grote ondernemingen als het MKB. Het hoofdkantoor is gevestigd in Seattle. Daarnaast heeft WatchGuard vestigingen in Noord-Amerika, Europa, Azië en Latijns-Amerika. Het Europese hoofdkantoor is gevestigd in Den Haag. Voor meer informatie kunt u terecht op: www.watchguard.com

Voor extra informatie, promoties en updates, volg WatchGuard op Twitter (@WatchGuard), Facebook of via de LinkedIn-bedrijfspagina. Of bezoek onze InfoSec-blog, Secplicity, voor meer realtime updates over de laatste dreigingen en hoe daarmee om te gaan: www.secplicity.org

Toenemend gebruik van spraakherkenning levert securityproblemen op

Praten tegen ERP- of CRM-systeem is handig, maar ook risicovol

Den Haag, 13 november 2017 – Steeds meer apps worden geleverd met spraakherkenning aan boord. Die trend is inmiddels ook zichtbaar bij enterprisesoftware. Praten tegen een ERP- of voorraadsysteem wordt straks heel gewoon. Dat levert echter forse risico’s op, die zich niet zo gemakkelijk laten oplossen.

Meer en meer aanbieders van enterprisesoftware voegen spraakherkenning toe aan hun applicaties. Denk aan banken die voice recognition toepassen bij de klantenservice. Klanten moeten onder meer hun rekeningnummer doorgeven aan een computer en aangeven waarvoor zij bellen. Of kijk naar pakketbedrijven die klanten via spraakherkenning helpen bij het volgen van hun zending.

Deze manier van werken levert voor deze bedrijven een aanzienlijke productiviteitsverbetering op. Daar staat volgens Erik Remmelzwaal, directeur bij DearBytes, echter tegenover dat deze ondernemingen door het gebruik van voice recognition met een aantal risico’s te maken krijgt.

1. Onbekendheid over software
Vrijwel geen enkele leverancier van bedrijfsapplicaties ontwikkelt zelf een ‘engine’ voor spraakherkenning. In de regel wordt hiervoor opensourcesoftware gebruikt. Dit is een snelle en efficiënte manier van werken.

Daar zit echter ook een keerzijde aan, omdat gebruikers hiermee niet weten hoe de software precies in elkaar zit. Gaat het hier inderdaad enkel en alleen om software die spraak omzet in commando’s en zoekopdrachten? Of vinden er ook andere verwerkingen plaats? En zo ja, welke zijn dit dan precies? En welke risico’s leveren die extra functies op hun beurt weer op?

Zolang organisaties niet weten welke functies een bepaalde engine of software heeft, is het onmogelijk om te weten of het gebruik ervan veilig is. Zo kan het zijn dat cybercriminelen infiltreren in opensourceprojecten. Aangezien er vaak sprake is van slechte of incomplete documentatie, moeten bedrijven de complete broncode onderzoeken op afwijkingen. Daar hebben zij vaak geen tijd voor en ook geen kennis voor beschikbaar.

2. Governance- en compliancevraagstuk
Organisaties weten niet wat er precies met de data gebeurt die bij het gebruik van de engine voor spraakherkenning worden gegenereerd. Zo is vaak nog onduidelijk of data beschikbaar zijn voor het opensourceproject en of de leverancier van de enterprisesoftware inzage heeft in deze gegevens.

Het is dus cruciaal dat de gebruikersorganisatie zelf kan bepalen waar deze data worden opgeslagen. Zij moeten daarom weten wat de aanbieder heeft gedaan om te voorkomen dat deze informatie in handen valt van onbevoegden zoals cybercriminelen of concurrenten.

Door het gebruik van systemen voor spraakherkenning ontstaat dus al snel een governance- en complianceprobleem. Een organisatie die geen goede grip heeft op zijn data en processen kan al snel in problemen komen met toezichthouders. Met alle risico’s van dien als het gaat om vergunningen en certificeringen.

Riskant
“Het simpelweg toevoegen van spraakherkenning aan enterprisesoftware is riskant”, meent Remmelzwaal. “Het is van cruciaal belang dat de gebruikersorganisatie een zeer goed beeld heeft van de maatregelen die zijn softwareleverancier heeft genomen om te voorkomen dat data in verkeerde handen vallen.”

“Maar ook in het kader van de Europese privacywetgeving (GDPR) en compliancevraagstukken moeten organisaties goed naar dit probleem kijken”, vervolgt de directeur. “Gebeurt dit niet, dan is de kans groot dat de productiviteitswinst al heel snel volledig teniet wordt gedaan door problemen met klanten, partnerbedrijven en toezichthouders.”

 

La Fondation Dassault Systèmes en Emissive helpen nieuw ontdekte lege ruimte in Egyptische piramide toegankelijk te maken via 3D-technologie

‘s-Hertogenbosch, 8 november 2017 – Wetenschappers verbonden aan het ScanPyramids-project hebben een enorme lege ruimte ontdekt in de Grote Piramide in Egypte (de Khufu-piramide). Het gaat om een 30 meter lange ‘zaal’ die zich in het binnenwerk van de piramide bevindt. Om deze ruimte te kunnen onderzoeken zonder een opening in de piramide te maken, wordt nu met hulp van La Fondation Dassault Systèmes en Emissive een 3D-model ontwikkeld. Dit model maakt de ruimte virtueel toegankelijk.

Door het ontwikkelen van virtuele omgevingen kunnen multidisciplinaire teams nauw samenwerken bij het vergroten van de kennis over – in dit geval – de binnenkant van de Grote Piramide van Egypte. Wetenschappers en technici kunnen hierbij gebruikmaken van virtual reality en andere 3D-technologie om de grote lege ruimte in de piramide te bezoeken en te onderzoeken.

Piramides in beeld
ScanPyramids is een project van het Heritage Innovation Preservation Institute (HIP) en de Faculty of Engineering van de universiteit van Caïro. Het project ging in oktober 2015 van start en heeft tot doel om met niet-destructieve methoden de piramides van Egypte te scannen en het binnenwerk in beeld te brengen.

Al na een jaar werd het begin van een gang in de Khufu-piramide ontdekt. Inmiddels hebben de wetenschappers vastgesteld dat zich hierachter een 30 meter lange lege ruimte bevindt die zij de naam ‘ScanPyramids Big Void’ hebben meegegeven. In een artikel in het wetenschappelijk tijdschrift Nature hebben de onderzoekers onlangs verslag gedaan van hun ontdekking.

ScanPyramids is een van de initiatieven die door La Fondation Dassault Systèmes wordt ondersteund. Deze aan Dassault Systèmes gelieerde non-profitorganisatie ondersteunt met geld, technologie en kennis projecten in de wereld van wetenschap, technologie, onderwijs en kunst. De focus ligt daarbij op projecten die veel baat hebben bij het gebruik van geavanceerde 3D-technologie en zogeheten ‘virtual universes’.

ScanPyramids_VR_2_Copyright Emissive
Over La Fondation Dassault Systèmes
La Fondation Dassault Systèmes levert training en kennis over ‘3D virtual universe’-technologie, met als doel onderwijsinstellingen, R&D-centra, musea en organisaties in Europa en de Verenigde Staten te helpen hun kennis uit te breiden. De missie van deze non-profit organisatie is mensen te inspireren met een passie voor engineering, wetenschap en digitale technologie, voor het creëren van een betere maatschappij. Om die missie te realiseren dragen ze actief bij aan het bedenken van nieuwe mogelijkheden om kennis te delen en leermethodes te verbeteren, waardoor nieuwe talenten te ontdekken zijn en worden geholpen hun dromen te realiseren. Meer informatie is te vinden op: lafondation.3ds.com 

SAP rust team AkzoNobel uit met biometrische sensortechnologie tijdens Volvo Ocean Race

Technologiebedrijf brengt datawetenschap en biometrie naar een van de zwaarste zeilwedstrijden ter wereld

‘s-Hertogenbosch, 2 november 2017SAP kondigt een nieuw innovatieproject aan in samenwerking met team AkzoNobel tijdens de Volvo Ocean Race 2017-2018. Het technologiebedrijf heeft bemanningsleden voor deze editie uitgerust met biometrische sensoren.

Team AkzoNobel heeft SAP ingeschakeld om het team beter voor te bereiden op de race en de zeilers maximaal te laten presteren. Met behulp van Internet of Things-technologie van SAP Leonardo IoT Edge monitort AkzoNobel de fitnessniveaus en de mate van uitputting van de bemanningsleden. Op basis van de verzamelde data kan het team de prestaties optimaliseren.

“Voorheen waren aspecten als het weer en de ideale route de belangrijkste aandachtsgebieden. De door SAP beschikbaar gestelde technologie geeft ons een instrument in handen waarmee we de beste prestaties uit de bemanning halen”, zegt Simeon Tienpont, de schipper van team AkzoNobel. “Deze technologische innovaties helpen bij het verleggen van de grenzen van onze sport en kunnen uiteindelijk het verschil maken.”

Biometrische data kan competitief voordeel geven
Fysieke en mentale uitputting zijn tijdens de acht maanden durende race de grootste bedreigingen voor de bemanning. SAP heeft vijf bemanningsleden van team AkzoNobel uitgerust met sensoren voor het vastleggen van biometrische gegevens. De sensoren dragen ze 24 uur per dag, zeven dagen per week, gedurende de gehele raceperiode van acht maanden.

De verzamelde data geven naar verwachting waardevolle inzichten in aspecten als vermoeidheid, uitputting, stress en de reactie op weersomstandigheden. Bovendien heeft het systeem toegang tot de data van de Volvo Ocean 65-raceboot. Daardoor kan het team de inzichten uit de data in de juiste context plaatsen.

Voor de eerste keer zijn biometrische gegevens en realtime analytics de gehele race beschikbaar en heeft team AkzoNobel een competitief voordeel door het meten van het fitnessniveau en mate van herstel. De uitkomsten van de analyse worden gedurende de race gepresenteerd in een specifiek voor de schipper ontworpen user interface.

SAP Leonardo IoT Edge en Foundation
Een deel van het SAP Leonardo-innovatieplatform, SAP Leonardo IoT Edge, wordt gebruikt voor het vastleggen van de biometrische data van de bemanning op zee. Deze technologie kan de sensordata verwerken en opslaan zonder internet- of dataverbinding. Wanneer de boot aanmeert bij een van de twaalf tussenstops, worden de data geanalyseerd op het platform SAP Leonardo IoT Foundation. De uitkomsten van deze predictive analytics worden beschikbaar gesteld en helpen de schipper bij de voorbereiding op de volgende etappe van de race.

“Dit is een uitstekend voorbeeld van hoe het verbinden van mensen, processen en dingen met leidende digitale technologie prestaties kunnen verbeteren”, zegt Dr. Tanja Rueckert, president IoT & Digital Supply Chain bij SAP. “De fysieke conditie en mentale veerkracht van bemanningsleden zijn belangrijke factoren en kunnen het verschil maken tussen winst of verlies. SAP Leonardo IoT helpt team AkzoNobel met inzichten in de fysieke conditie van de bemanning en maakt daarmee betere beslissingen en maximale prestaties mogelijk.”

Een video over de samenwerking vindt u hier.

Over SAP

Als marktleider in bedrijfssoftware helpt SAP (NYSE: SAP) kleine, middelgrote en grote bedrijven met de stroomlijning van hun bedrijfsvoering. De oplossingen van SAP stellen organisaties in staat aanzienlijke efficiencyverbeteringen te bereiken binnen hun toeleveringsketens en bedrijfsprocessen, waardoor ze de concurrentie voor kunnen blijven. Op dit moment gebruiken meer dan 355.000 klanten software van SAP om winstgevend te opereren en duurzaam te groeien. Kijk voor meer informatie op