Captain Kirk

Als het goed is, kun je je mails ook in een app bekijken. Oftewel, je mails blijven op de server van Outlook staan. Je account instellen in Outlook op je nieuwe pc zou er dus voor moeten zorgen dat je mails automatisch ook daar allemaal te zien en te gebruiken zijn.

Beveiligingscamera's van fabrikanten ValueHD, PTZOptics, multiCAM Systems en SMTAV, die onder andere in vitale sectoren worden gebruikt, bevatten meerdere kritieke kwetsbaarheden waardoor de apparaten op afstand door ongeauthenticeerde aanvallers zijn over te nemen. PTZOptics heeft beveiligingsupdates uitgebracht, maar de andere fabrikanten reageerden niet verzoeken tot het oplossen van de problemen. Dat laat het Amerikaanse cyberagentschap CISA weten. Het eerste kritieke probleem is CVE-2024-8956, met een impactscore van 9.3 op een schaal van 1 tot en met 10. De software blijkt de authenticatie niet goed toe te passen. Via een speciaal geprepareerd request kan een ongeauthenticeerde aanvaller daardoor gevoelige data stelen, zoals gebruikersnamen, wachtwoordhashes en configuratiegegevens. Daarnaast kan een aanvaller configuratiewaardes of het gehele configuratiebestand overschrijven. Het tweede probleem CVE-2025-35451 wordt veroorzaakt doordat de camera's standaard SSH of telnet hebben ingeschakeld. Standaard OS-users, waaronder de root user, zijn voorzien van standaard wachtwoorden die eenvoudig zijn te kraken en niet door de gebruiker zijn te wijzigen. Daarnaast kan de gebruiker SSH of telnet niet uitschakelen. Dit beveiligingslek heeft een impactscore van 9.8. Als laatste blijkt dat de camera's standaard, gedeelde wachtwoorden voor de online admin-interface gebruiken. Ook de impact van deze kwetsbaarheid (CVE-2025-35452) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het Amerikaanse cyberagentschap CISA, dat door een onderzoeker over de problemen werd ingelicht, laat weten dat PTZOptics updates heeft uitgebracht. Het CISA benaderde ook de andere fabrikanten, maar kreeg van hen geen reactie. Als oplossing wordt aangeraden de camera's niet vanaf het internet toegankelijk te maken. bron: https://www.security.nl

Twee kritieke kwetsbaarheden in beveiligingsplatform Apex Central van Trend Micro maken het mogelijk voor ongeauthenticeerde aanvallers om op afstand code uit te voeren. Er zijn updates uitgebracht om de problemen te verhelpen. Apex Central is een platform voor het gecentraliseerd beheren van Trend Micro-producten en -diensten op de gateway, mailserver, fileserver en desktops. Beheerders kunnen via Apex Central instellingen op zowel producten als endpoints aanpassen en doorvoeren. Daarnaast is het via de oplossing mogelijk om antivirus en andere beveiligingsdiensten binnen het netwerk te monitoren. Het platform gaat niet goed om met gebruikersinvoer, wat tot remote code execution kan leiden. De impact van de twee kwetsbaarheden (CVE-2025-49219 en CVE-2025-49220) is op een schaal van één tot en met tien beoordeeld met een 9.8. Trend Micro laat in het beveiligingsbulletin weten dat er geen actief misbruik van de twee kwetsbaarheden is waargenomen. Beveiligingslekken in Apex Central zijn in het verleden echter wel bij aanvallen gebruikt. bron: https://www.security.nl

Het Amerikaanse cyberagentschap CISA slaat alarm over een kwetsbaarheid in de software SimpleHelp die wordt gebruikt bij ransomware-aanvallen en roept organisaties op om direct maatregelen te treffen. Zo zijn klanten van een bedrijf dat facturatiesoftware levert voor energie- en waterbedrijven via het SimpleHelp-lek gecompromitteerd. SimpleHelp is remote access software waarmee bijvoorbeeld beheerders problemen bij eindgebruikers kunnen verhelpen. SimpleHelp bestaat uit een server waarop de beheerder inlogt en clientsoftware die op de endpoints draait. Een kritiek path traversal-lek (CVE-2024-57727) in SimpleHelp maakt het mogelijk voor aanvallers om configuratiebestanden van de server te downloaden. Deze bestanden bevatten gehashte wachtwoorden van gebruikers en kunnen ook andere secrets bevatten, zoals LDAP credentials, OIDC client secrets, API keys en TOTP seeds gebruikt voor multifactorauthenticatie. SimpleHelp heeft updates uitgebracht om het probleem te verhelpen. Onlangs meldde antivirusbedrijf Sophos dat criminelen achter de DragonForce-ransomware de SimpleHelp-server van een managed serviceprovider hadden gecompromitteerd. Vervolgens werd ransomware geïnstalleerd op de systemen van klanten die de managed serviceprovider via SimpleHelp beheert. Nu laat het CISA weten dat ook een softwareleverancier is getroffen. De naam van deze softwareleverancier is niet bekendgemaakt, behalve dat het om een aanbieder van facturatiesoftware voor nutsbedrijven gaat. Via niet gepatchte SimpleHelp-servers konden klanten van het softwarebedrijf worden geïnfecteerd met ransomware. Het Amerikaanse cyberagentschap CISA roept organisaties op om maatregelen te nemen, aangezien SimpleHelp ook gebundeld kan zijn in andere software. "Als SimpleHelp is ingebed of gebundeld met vendor-owned software of als een third-party serviceprovider SimpleHelp gebruikt op het netwerk van klanten, identificeer dan de gebruikte versie van de SimpleHelp-server", adviseert het CISA. Als het gaat om versie 5.5.7 of ouder die sinds januari in gebruik is moeten third-party leveranciers de SimpleHelp-server meteen van het internet halen en upgraden. Daarnaast moeten ze hun klanten waarschuwen om hun netwerken te controleren. Ook als de server niet is gecompromitteerd moet de laatste SimpleHelp-versie meteen worden geïnstalleerd. bron: https://www.security.nl

De Franse privacytoezichthouder CNIL wil dat bedrijven en organisaties die gebruikmaken van trackingpixels in e-mail eerst verplicht toestemming hiervoor van geadresseerden krijgen. Alleen in een aantal randgevallen is deze verplichte toestemming niet nodig. CNIL heeft een conceptvoorstel hiervoor gepubliceerd waarop partijen tot 24 juli dit jaar kunnen reageren. Volgens de Franse privacytoezichthouder worden trackingpixels in e-mail steeds vaker toegepast. De pixels maken het mogelijk om te zien wanneer iemand een bericht opent, op wat voor apparaat en nog veel meer. Dit maakt het onder andere mogelijk om profielen aan te leggen, communicatie te personaliseren en prestaties te meten. CNIL stelt dat het een groeiend aantal klachten van burgers over deze trackingpraktijk ontvangt. Na overleg met professionals en maatschappelijke organisaties heeft CNIL nu een conceptvoorstel opgesteld. Daarin staat dat er geen trackingpixels mogen worden gebruikt als de gebruiker niet eerst vrije, geïnformeerde toestemming heeft gegeven. Het gaat dan om het gebruik van pixels voor het individueel meten van geopende e-mails, het personaliseren van berichten, het aanpassen van het aantal verstuurde berichten, het aanleggen van profielen en fraudedetectie. In een aantal gevallen is het vragen van toestemming niet verplicht. Het gaat dan om beveiligingsmaatregelen met betrekking tot het authenticeren van gebruikers, bijvoorbeeld om te kijken of een e-mail met een wachtwoordresetlink op een bekend apparaat van de gebruiker is geopend. Daarnaast mogen pixels worden gebruikt om de algehele statistieken te verzamelen over het openen van de mailing. Het moet hier gaan om geanonimiseerde data die niet naar individuele metingen is te herleiden. Daarnaast geldt deze uitzondering alleen voor e-mails die gebruikers zelf hebben aangevraagd. Om de toestemming te regelen adviseert de Franse privacytoezichthouder dat organisaties dit duidelijk vermelden als gebruikers zich bijvoorbeeld ergens aanmelden en dan toestemming te vragen. In het geval dit niet mogelijk is moet de dataverwerker eerst een e-mail zonder trackingpixel sturen waarin de betreffende gebruiker om toestemming wordt gevraagd. bron: https://www.security.nl

Microsoft zal vanaf volgende maand meer bij aanvallen gebruikte bestandstypes standaard in Outlook Web en de nieuwe Outlook voor Windows blokkeren, zo heeft het techbedrijf via het Microsoft 365 Message Center bekendgemaakt. Het gaat om de bestandstypes .library-ms en .search-ms. Volgens Microsoft worden deze bestanden nauwelijks gebruikt en zullen de meeste organisaties dan ook geen last van de maatregel hebben. Microsoft voegt toe dat organisaties geen actie voor de blokkade te hoeven ondernemen. In het geval gebruikers wel met de betreffende bestandstypes werken is het mogelijk om die aan de AllowedFileTypes-lijst toe te voegen. Outlook blokkeerde al een groot aantal bestandstypes. Afgelopen april bleek dat het bestandstype .library-ms was gebruikt bij phishingaanvallen om zo NTLMv2-hashes bij overheden te stelen. Vervolgens kunnen aanvallers met deze gestolen hashes relay-aanvallen uitvoeren of proberen om de hash te kraken en zo het bijbehorende wachtwoord te achterhalen. Misbruik van de search-ms URI-handler werd in 2022 waargenomen. bron: https://www.security.nl

Een kwetsbaarheid in e-mailclient Thunderbird maakt het mogelijk voor aanvallers om stilletjes pdf-bestanden op de desktop of in de home directory van gebruikers te plaatsen, ook als het automatisch opslaan van bestanden staat uitgeschakeld. Dit maakt het mogelijk om Windows-inloggegevens te stelen of de schijf met 'garbage data' te vullen. Er is een beveiligingsupdate uitgebracht om het probleem te verhelpen. "Een speciaal geprepareerde HTML-mail die gebruikmaakt van mailbox:/// links kan het automatisch, ongevraagd downloaden triggeren van .pdf-bestanden op de desktop van de gebruiker of home directory, zonder prompt, zelfs als auto-saving staat uitgeschakeld", aldus de beschrijving van Thunderbird. Dit gedrag is vervolgens te misbruiken om de schijf met garbage data te vullen of via SMB-links Windows credentials te stelen als de mail in de HTML-mode van Thunderbird wordt bekeken. "Hoewel interactie van de gebruiker is vereist om het .pdf-bestand te downloaden, kan visuele obfuscatie de download trigger verbergen. Het bekijken van de e-mail in HTML-mode is voldoende om externe content te laden", laat de beschrijving verder weten. De impact van de kwetsbaarheid (CVE-2025-5986) is als "High" bestempeld. Gebruikers wordt aangeraden om te updaten naar Thunderbird 139.0.2. bron: https://www.security.nl

Bij een internationale politieoperatie zijn twintigduizend domeinnamen en ip-adressen offline gehaald waar infostealer-malware gebruik van maakte, zo laat Interpol vandaag weten. Bij 'Operation Secure', die van januari tot en met april dit jaar plaatsvond, werkten opsporingsdiensten uit 26 landen samen om servers te lokaliseren en de takedowns te regelen. Bij de operatie werd ook met verschillende cybersecuritybedrijven samengewerkt. Volgens Interpol zijn bij de operatie 41 servers in beslag genomen en meer dan honderd gigabyte aan data. Tevens werden 32 verdachten aangehouden. Infostealer-malware is ontwikkeld voor het stelen van inloggegevens uit allerlei applicaties, zoals browsers, vpn-software, chatapps en cryptowallets. Aan de hand van aangetroffen data hebben autoriteiten 216.000 slachtoffers en mogelijke slachtoffers gewaarschuwd dat ze besmet waren, zodat ze vervolgens actie konden ondernemen, zoals het wijzigen van wachtwoorden. bron: https://www.security.nl

Adobe adviseert webshops die gebruikmaken van Magento Open Source of Adobe Commerce om een kritieke kwetsbaarheid binnen 72 uur te patchen. Om ervoor te zorgen dat webwinkels dit ook zo snel mogelijk doen heeft Adobe een aparte patch uitgebracht. Het beveiligingslek (CVE-2025-47110) maakt cross-site scripting mogelijk en kan een aanvaller willekeurige code laten uitvoeren. Misbruik vereist wel dat een aanvaller over adminrechten beschikt. Desondanks is de kwetsbaarheid toch als kritiek bestempeld en heeft een impactscore van 9.1 op een schaal van 1 tot en met 10. Adobe verhielp gisterenavond ook andere beveiligingslekken in Magento Open Source en Adobe Commerce, waaronder een ander kritiek lek dat het mogelijk maakt om een security feature te omzeilen. Verdere details over dit probleem geeft Adobe niet. Normaliter brengt Adobe nieuwe versies voor de kwetsbare software uit, om zo gevonden beveiligingslekken te verhelpen. Voor Adobe Commerce en Magento Open Source heeft het softwarebedrijf besloten een aparte patch uit te brengen die alleen CVE-2025-47110 verhelpt. Dit moet ervoor zorgen dat webshops de update sneller installeren en beschermd zijn. Adobe heeft de installatie van de update ook de hoogste prioriteit gegeven en adviseert installatie zo snel mogelijk, waarbij het binnen 72 uur als voorbeeld geeft. bron: https://www.security.nl

Microsoft waarschuwt voor een actief aangevallen kwetsbaarheid in WebDAV die remote code execution mogelijk maakt en is met een beveiligingsupdate gekomen om het lek te verhelpen. Volgens securitybedrijf Check Point, dat het probleem ontdekte, is het beveiligingslek ingezet bij een cyberaanval tegen een Turks defensiebedrijf. Web-based Distributed Authoring and Versioning (WebDAV) maakt het mogelijk om bestanden op servers te bekijken en delen. Bij de aanval werd gebruikgemaakt van een bestand met een dubbele extensie, eindigend op .pdf.url. Het url-bestand wees naar een diagnostische tool van Internet Explorer. De kwetsbaarheid (CVE-2025-33053) waar de aanvallers gebruik van maakten maakt het vervolgens mogelijk om de tool malafide code vanaf een WebDAV-server van de aanvallers te laten laden. Het doelwit moet wel zelf het malafide url-bestand openen. Om slachtoffers niets te laten vermoeden wordt een 'decoy' document geopend, terwijl in de achtergrond malware wordt uitgevoerd. Zo wordt er een backdoor geplaatst die de aanvallers toegang tot het gecompromitteerde systeem geeft. Daarnaast gebruiken de aanvallers een keylogger voor het onderscheppen van inloggegevens en een 'credential dumper' die Domain Controller-data steelt. Check Point vermoedt dat het malafide url-bestand via een phishingmail naar het doelwit is verstuurd. bron: https://www.security.nl

SAP waarschuwt opnieuw voor een kritieke kwetsbaarheid in NetWeaver en heeft updates uitgebracht om het probleem te verhelpen. De software blijkt noodzakelijke autorisatiecontroles voor geauthenticeerde gebruikers niet uit te voeren, waardoor die hun rechten kunnen verhogen. Bij een succesvolle aanval zouden de integriteit en beschikbaarheid van de applicatie worden getroffen. De impact van de kwetsbaarheid (CVE-2025-42989) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. SAP Netweaver is een platform voor het draaien van SAP-applicaties, die door tal van organisaties en bedrijven worden gebruikt. De SAP NetWeaver Application Server voor ABAP (Advanced Business Application Programming) biedt de runtime omgeving en ontwikkelomgeving voor alle ABAP-programma's. De afgelopen maanden kreeg SAP met meerdere kritieke NetWeaver-kwetsbaarheden te maken. Eén van deze beveiligingslekken (CVE-2025-31324) is ook bij aanvallen gebruikt. Securitybedrijf Onapsis adviseert SAP-klanten om de update voor CVE-2025-42989 meteen te installeren. bron: https://www.security.nl

Verschillende botnets maken actief misbruik van een kritieke kwetsbaarheid in Wazuh, een opensource-beveiligingsplatform voor het voorkomen en detecteren van dreigingen en incidentrespons. Dat laat internetbedrijf Akamai in een analyse weten. Het misbruikte beveiligingslek (CVE-2025-24016) laat een aanvaller willekeurige code op kwetsbare Wazuh-servers uitvoeren. Hiervoor volstaat het uploaden van een 'unsanitized dictionary'. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. In februari verscheen er een beveiligingsupdate voor het probleem. Akamai laat nu weten dat verschillende varianten van de Mirai-malware de kwetsbaarheid misbruiken om servers onderdeel van een botnet te maken. Daarnaast zijn er ook aanvallen door het "Resentual-botnet" waargenomen. Eind februari verscheen er proof-of-concept exploitcode voor de kwetsbaarheid. Bij de nu waargenomen aanvallen wordt van deze exploitcode gebruikgemaakt. "Pogingen van onderzoekers om organisaties te wijzen op kwetsbaarheden door proof-of-concepts te maken blijven tot rampzalige resultaten leiden, en laten zien hoe belangrijk het is om patches te installeren zodra die uitkomen", aldus Akamai. "Botnetbeheerders houden openbaarmakingen van kwetsbaarheden in de gaten, en met name in gevallen waarbij ook proof-of-concepts beschikbaar zijn, zullen ze de proof-of-concept code snel aanpassen om hun botnet verder te verspreiden." bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Erlang Erlang/OTP SSH Server, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De impact van het beveiligingslek (CVE-2025-32433) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Erlang is een programmeertaal en OTP is een verzameling Erlang libraries. Erlang/OTP biedt een ingebouwde SSH client en daemon. Het Secure Shell Protocol (SSH Protocol) is een protocol dat gebruikers op een beveiligde manier op bijvoorbeeld servers laat inloggen of op afstand machines beheren. Het beveiligingslek bevindt zich in het verwerken van SSH-protocolberichten. Hierdoor kan een aanvaller ongeautoriseerde toegang tot kwetsbare SSH-servers krijgen en zonder geldige inloggegevens willekeurige commando's op de server uitvoeren. Verschillende leveranciers en producten maken gebruik van Erlang/OTP SSH Server, waaronder Cisco. Updates voor het probleem zijn sinds april beschikbaar. Eerder waarschuwde securitybedrijf Horizon3 al dat misbruik van het beveiligingslek eenvoudig is. Het. Securitybedrijf Qualys berichtte eind april dat er meer dan twee miljoen publiek beschikbare doelwitten zijn. Volgens het CISA vindt misbruik nu ook plaats, maar het Amerikaanse cyberagentschap geeft geen details over de waargenomen aanvallen. bron: https://www.security.nl

Wereldwijd zijn er ruim 85.000 RoundCube-mailservers die een actief misbruikte kwetsbaarheid bevatten die remote code execution (RCE) mogelijk maakt, waarvan meer dan zeventienhonderd in Nederland. Dat stelt The Shadowserver Foundation op basis van eigen onderzoek. Roundcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De software blijkt url-parameters niet goed te controleren, wat tot 'PHP Object Deserialization' kan leiden. Dit maakt het mogelijk voor aanvallers om code op de server uit te voeren. Misbruik vereist dat de aanvaller zich op de mailserver kan authenticeren. Dit kan door bijvoorbeeld inloggegevens van een gebruiker te stelen. Deze voorwaarde doet weinig af aan de impact van het beveiligingslek (CVE-2025-49113). Die is namelijk op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Vorige week verscheen er een beveiligingsupdate voor de software. Exploitcode werd na het uitkomen van de update op internet aangeboden. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt dat aanvallers actief misbruik van de kwetsbaarheid maken. Ondanks de beschikbaarheid van een update blijkt dat veel organisaties die nog niet hebben geïnstalleerd. The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime, doet geregeld onderzoek naar online kwetsbare systemen. Bij de laatste scan werd gezocht naar RoundCube-mailservers. Dit leverde ruim 85.000 kwetsbare systemen op die de update voor CVE-2025-49113 missen. In Nederland gaat het om 1721 servers. Organisaties worden opgeroepen hun installaties te updaten. bron: https://www.security.nl

Internet.nl kan domeinen voortaan ook op Certification Authority Authorization (CAA) testen. Domeinhouders kunnen met CAA één of meer certificaatautoriteiten opgeven die certificaten voor de domeinnaam mogen uitgeven. Een certificaatautoriteit (CA) mag geen certificaat voor het domein uitgeven, tenzij de CA vaststelt dat de certificaataanvraag overeenkomt met de toepasselijke CAA-records. "Voor een veilige verbinding met uw website of mailserver is het certificaat cruciaal. Als een kwaadwillende een certificaat voor uw domeinnaam kan bemachtigen, kan deze mogelijk gevoelige gegevens onderscheppen. Door het aantal geautoriseerde certificaatautoriteiten te beperken, verkleint u het risico op een verkeerde uitgifte", laat Internet.nl weten. Internet.nl is een initiatief van het Platform Internetstandaarden en maakt het mogelijk om websites, mailservers en verbindingen op verschillende standaarden te testen. Bij de CAA-test controleert Internet.nl of de nameservers van het geteste domein of de domeinen van bijbehorende mailservers (MX) één of meer CAA-records bevatten die allemaal de juiste syntax hebben. Internet.nl kan domeinen op basis van uitgevoerde tests ook een score geven. De CAA-test heeft op dit moment nog geen invloed op de score die aan een domein wordt gegeven. bron: https://www.security.nl