Een beveiligingsonderzoeker heeft een methode gevonden om elke computer met Windows 7 of 8 te laten vastlopen. Daarvoor hoeft alleen een bepaalde link te worden bezocht in een browser of in de bestandsverkenner.

Dat meldt Ars Technica vrijdag. De Windows-versies bevatten een kwetsbaarheid die zorgt voor problemen als een lokale bestandslocatie met de mapnaam '$MFT' wordt bezocht.

NU.nl heeft het probleem kunnen verifiëren op een computer met Windows 7. Nadat de problematische URL wordt bezocht, kunnen geen nieuwe programma's meer worden opgestart en reageren al gestarte programma's niet meer.

Volgens Ars Technica is dat het geval omdat het bestandssysteem door de bug wordt vergrendeld. Alle programma's wachten totdat deze vergrendeling wordt opgeheven, maar dat gebeurt niet. De enige manier om de computer weer aan de praat te krijgen is hem handmatig opnieuw op te starten.

De bug toont gelijkenissen met een probleem dat in de vorige eeuw werd aangetroffen in Windows 95 en 98. Windows 10 lijkt niet te worden getroffen door de nieuwe bug. Microsoft heeft nog niet gereageerd op de vondst.

Beveiligingsonderzoekers hebben nieuw en overtuigend bewijs gevonden dat de Lazarus Group, een hackersgroep die voor de Noord-Koreaanse staat werkt, achter de grootschalige verspreiding van de ransomware WannaCry zit.

Eerder werden al gelijkenissen gevonden tussen de code van WannaCry en de malware Contopee, die al jarenlang door Lazarus wordt gebruikt.

Onderzoekers van Symantec schrijven maandagnacht dat ze verschillende andere aanwijzingen hebben gevonden die Lazarus aan de nieuwe ransomware-aanval koppelt. Zo zijn drie verschillende stukken Lazarus-malware aangetroffen op het netwerk van het eerste slachtoffer van WannaCry. 

Het gaat onder meer om een stuk software dat eerder werd gebruikt om grote hoeveelheden data te wissen bij de filmtak van Sony. Dat bedrijf werd in 2014 getroffen door een ernstige hack. Volgens experts zat Noord-Korea achter die aanval, al ontkent het land dat.

IP-adressen

Bij de WannaCry-aanval zijn ook ip-adressen gebruikt die eerder zijn gekoppeld aan Lazarus. Verder heeft Symantec code-overeenkomsten aangetroffen tussen verschillende onderdelen van de WannaCry-ransomware en oudere programma's van Lazarus.

Verschillende cybersecurity-onderzoekers koppelden WannaCry eerder al aan Noord-Korea, maar die conclusie werd toen door anderen nog gezien als voorbarig. De ransomware kon zich snel verspreiden door misbruik van een Windows-lek dat al jaren eerder werd gevonden door de Amerikaanse inlichtingendienst NSA, en dat door een andere hackersgroep op straat kwam te liggen.

HP zette vermoedelijk per ongeluk keylogger in audiodrivers - update

HP heeft vermoedelijk per ongeluk een keylogger gezet in de audiodriver van laptops. De keylogger zat in een update in 2015, die voor de audiodriver bijhield of gebruikers een bepaalde knop op het toetsenbord indrukte om dan een functie uit te voeren.

De audiodriver schreef na een latere update een log met ingedrukte toetsen weg naar het bestand C:\Users\Public\MicTray.log. De computer leegt het bestand elke keer als de gebruiker uitlogt. Beveiligingsbedrijf ModZero, die de keylogger ontdekte, vermoedt dat er geen opzet in het spel is. De keylogger sloeg onder andere wachtwoorden op in plain text zonder medeweten van de gebruiker.

Omdat HP niet heeft gereageerd op de melding van ModZero, heeft het bedrijf besloten de informatie online te zetten. De keylogger staat op veel verschillende laptops van de fabrikant met Windows 7 en Windows 10, blijkt uit de gedetailleerde informatie over de software.

Gebruikers van getroffen laptops kunnen checken of de log op hun laptop staat en als dat zo is, volstaat het verwijderen van het bestand  C:\Windows\System32\MicTray64.exe of  C:\Windows\System32\MicTray.exe om de keylogger te verwijderen. De audiofunctie die pas werkt met een druk op een vooraf ingestelde knop werkt dan ook niet meer, waarschuwt ModZero.

HP heeft het issue tegenover TheNextWeb bevestigd. De fabrikant zegt binnenkort met een update te komen om het probleem te verhelpen.

Update, 10:38: HP Benelux heeft een statement gegeven over de zaak. "HP zet zich in voor de veiligheid en privacy van haar klanten en het keylogger issue op een aantal HP PC’s is bij ons bekend. Dit issue geeft HP geen toegang tot de klantgegevens. Onze leverancier heeft software ontwikkeld om de audio functionaliteiten te testen voorafgaand aan de product lancering. Dit had niet in de laatste versie moeten zitten die is verstuurd. Een oplossing is beschikbaar via HP.com."

Nieuwe testversie Windows 10 kan Edge in container draaien

Microsoft heeft een nieuwe testversie van Windows 10 voor Insiders in de Fast Ring uitgebracht. Bij de Enterprise-versie is de optie toegevoegd om Microsoft Edge in een 'Application Guard' te draaien voor veilige internetsessies. Daarnaast heeft Edge meer opties voor pdf's gekregen.

Microsoft heeft Windows 10 Insider Preview Build 16188 vrijgegeven voor testers in de Fast Ring. In deze versie kunnen gebruikers de Windows Defender Application Guard inschakelen. Vervolgens krijgt Edge de optie om Application Guard-vensters te openen: de browser draait dan in een container, waarvoor Microsoft gebruikmaakt van zijn Hyper-V-virtualisatie.

De internetsessie vindt compleet geïsoleerd van de rest van het systeem en het netwerk plaats, wat de veiligheid enorm vergroot. Bij het sluiten van de container verdwijnen alle sporen bovendien automatisch. Microsoft meldt dat de optie voorlopig alleen werkt bij Windows 10 Enterprise Edition met Hyper-V.

Edge heeft daarnaast de mogelijkheid gekregen om pdf-formulieren in te vullen en gebruikers kunnen nu aantekeningen maken op pdf-documenten. Ook zijn de navigatiemogelijkheden voor pdf's uitgebreid.  Verder heeft de assistent Cortana zijn eigen onderdeel bij de instellingen gekregen en is het icoontje voor het Windows Insider Program aangepast naar een Ninjacat. Tenslotte zijn de Magnifier-instellingen uitgebreid zodat slechtzienden meer mogelijkheden voor vergroten en inzoomen hebben.