Back-upsoftware Acronis True Image bevat beveiligingslek
De populaire back-upsoftware Acronis True Image bevat een beveiligingslek waardoor gebruikers met malware besmet kunnen raken en een update is nog niet beschikbaar. De back-upsoftware, die er voor Mac en Windows is, controleert en downloadt updates op onveilige wijze, waardoor een aanvaller in het ergste geval willekeurige code met beheerdersrechten kan uitvoeren.
De software blijkt updates via het onbeveiligde http uit te voeren. Daarnaast worden updates, op de door de server aangeboden md5-hash na, niet gecontroleerd. Een aanvaller die zich op hetzelfde netwerk als een gebruiker bevindt of het netwerkverkeer van een gebruiker kan beïnvloeden, kan via de updatefunctie willekeurige code met beheerdersrechten uitvoeren, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Een update is nog niet beschikbaar, alsmede een praktische oplossing. Dit weekend waarschuwde het CERT/CC ook voor een beveiligingslek in de updatefunctie van de Samsung Magician-software.
Erg jammer en heel slecht.
En blijkbaar blijven ze de producten gewoon verkopen omdat er maar weinig klanten duidelijke requirements opstellen en/of controleren.
Erg jammer en heel slecht.
En blijkbaar blijven ze de producten gewoon verkopen omdat er maar weinig klanten duidelijke requirements opstellen en/of controleren.
De thuisgebruiker kan geen requirements opstellen. Op zijn best komen er keurmerk voor.
Bij bedrijven vertrouwt men d dd leverancier of het nu fout zit of niet maakt niet uit. Het ncsc draagt uit dat je de instructies van dd leverancier moet volgen.
Zorg altijd dat je zelf voldoende kennis hebt, en test de afgenomen producten.
Indien je aan outsourcing doet: weet wat je koopt en controleer dit.
Werkt ClamAV niet op een dergelijke manier? En MBAM?
Een ander euvel is DLL planting/hijacking waardoor je eenvoudig admin of system rechten kunt verkrijgen. Dan even je tooltjes excluden in de virusscanner en je zit voor altijd op het systeem.
met het normale mechanisme (dus geen extra checks op het certificaat).
Wat men echt zou moeten doen is de code signen en na download checken alvorens deze geinstalleerd wordt.
Dan bestrijk je de hele keten en maak je je niet afhankelijk van wat voor certificaten er op de client computer staan en
hoe betrouwbaar de certificaatuitgevers vandaag zijn.
Hetzelfde geldt voor updates van firmware op devices. Er zijn vaak meerdere mechanismen (device zelf een update laten
downloaden, updated firmware uploaden, netwerk boot met bootp/tftp enz) en die signing van de code lost het
allemaal in een keer op.
Our Acronis-team noticed your postings on the Acronis True Image vulnerability issue. We would like to provide a brief statement from our side.
Acronis is aware of a minor security issue related to Acronis True Image 2017 (Build 8053 and earlier) that was reported by our colleagues at CERT Coordination Center (CERT/CC) at Carnegie Mellon University's Software Engineering Institute.
We immediately fixed the vulnerability, prepared a patch for our newest update, and are currently notifying users of the issue.
While the threat to users is considered low-risk since multiple, rare occurrences would need to happen in order for someone to exploit the vulnerability, we are urging all Acronis True Image 2017 customers to apply the patch by opening the application and selecting “Check for Updates.”
Acronis takes data protection very seriously, which is why we have acted so quickly to respond to this threat. We will examine this incident further to ensure no similar vulnerabilities remain in our products.
If you have any feedback or questions, feel free to reach out to us. Unfortunately, we do not have a local Dutch speaker; therefore, we would prefer to communicate in English.
Thank you.
Your Acronis-Team
Our Acronis-team noticed your postings on the Acronis True Image vulnerability issue. We would like to provide a brief statement from our side.
Acronis is aware of a minor security issue related to Acronis True Image 2017 (Build 8053 and earlier) that was reported by our colleagues at CERT Coordination Center (CERT/CC) at Carnegie Mellon University's Software Engineering Institute.
We immediately fixed the vulnerability, prepared a patch for our newest update, and are currently notifying users of the issue.
While the threat to users is considered low-risk since multiple, rare occurrences would need to happen in order for someone to exploit the vulnerability, we are urging all Acronis True Image 2017 customers to apply the patch by opening the application and selecting “Check for Updates.”
Acronis takes data protection very seriously, which is why we have acted so quickly to respond to this threat. We will examine this incident further to ensure no similar vulnerabilities remain in our products.
If you have any feedback or questions, feel free to reach out to us. Unfortunately, we do not have a local Dutch speaker; therefore, we would prefer to communicate in English.
Thank you.
Your Acronis-Team
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
