Captain Kirk

Beste Bas15, Ik weet niet of je probleem al is opgelost. Ik was zelf even van wat vrije weken aan het genieten. Als eerste over de druk van de naald. Die verschilt per naald. Op de verpakking staat aangegeven hoe groot de druk mag zijn. Dat mag wel wat lichter afgesteld worden maar niet zwaarder. Het contragewicht moet dan op dezelfde druk afgesteld worden. Hierna pas je de skating in. Maar dit heeft de Lenco L85 niet. Ik begrijp tussen de regels door dat je weet hoe dit moet. Zo niet, hoor ik dat wel en help ik je erbij. Jouw probleem lijkt mij of te zitten in de mechanica van de arm of de drive-belt. Ik zou je aanraden de Lenco open te maken en alles even voorzichtig met een kwastje of busje perslucht schoon maken. Kijk ook of ergens een stofpropje zit wat het loopwerk belemmerd. Wanneer deze open is, controleer dan ook of de belt nog genoeg onder spanning staat en het aandrijfwieltje en de draaischijf niet door de loop der jaren wat vettig zijn geworden. Eventueel kun je deze met een doekje schoon maken en eventueel de belt vervangen. Terwijl je bezig bent kun je gezellig naar dit station luisteren: Just Your Music Station 😁

Een aanvaller heeft een verlopen domeinnaam van een keyboard-app geregistreerd en vervolgens gebruikt voor het verspreiden van malafide updates onder gebruikers. Dat laat antivirusbedrijf Trend Micro in een analyse weten. Het gaat om Sogou Zhuyin, een input method editor (IME). De software, oorspronkelijk bedoeld voor gebruikers in Taiwan, biedt verschillende manieren voor het invoeren van Chinese karakters op Windowscomputers. In 2019 stopte de support van de software. Afgelopen oktober wisten aanvallers de verlopen domeinnaam van Sogou Zhuyin te registreren. Daarnaast wisten ze ook de updateserver over te nemen, aldus Trend Micro. Een maand later werden malafide updates onder gebruikers van de software uitgerold. Begin dit jaar wordt de officiële installer via de geregistreerde domeinnaam aangeboden, die na installatie ook de malafide updates ontvangt. Volgens Trend Micro worden via de malafide updates verschillende soorten malware verspreid, zoals remote access tools, information stealers die allerlei bestanden stelen en backdoors. Inmiddels zouden honderden gebruikers van de software besmet zijn geraakt, zo stellen de onderzoekers. Die voegen toe dat de aanvallers vooral naar "waardevolle" doelwitten zoeken en er bij de meeste besmette systemen geen verdere activiteiten zijn waargenomen. Trend Micro adviseert organisaties en gebruikers om hun systemen op end-of-support software te controleren en dergelijke applicaties te verwijderen of vervangen. bron: https://www.security.nl

Softwarebedrijf Click Studios heeft een kwetsbaarheid in de wachtwoordmanager Passwordstate gedicht waardoor een aanvaller de authenticatie kan omzeilen. Via het beveiligingslek kan een aanvaller toegang tot de "Administration section" verkrijgen, waar beheerders belangrijke instellingen, configuraties en gebruikersaccounts kunnen beheren. Een CVE-nummer is nog niet bekend. Gebruikers worden opgeroepen om naar Build 9972 te updaten. Volgens Click Studios doet het probleem zich voor bij de Emergency Access pagina van de wachtwoordmanager. Via het ingebouwde Emergency Access account, dat over ‘Security Administrator’ rechten beschikt, kan er worden ingelogd op Passwordstate wanneer andere accounts niet te gebruiken zijn. Door een speciaal geprepareerde url op de Emergency Access pagina in te voeren kan er toegang worden verkregen tot de Administration section van de wachtwoordmanager, aldus een zeer korte beschrijving van Click Studios. Verdere details zijn niet bekendgemaakt. bron: https://www.security.nl

Een groep criminelen die eerder ransomware-aanvallen op on-premises omgevingen uitvoerde heeft het nu voorzien op cloudomgevingen, waarbij alle data van de getroffen organisatie eerst wordt gestolen en daarna verwijderd, zo laat Microsoft weten. Vervolgens moeten slachtoffers losgeld betalen om hun data terug te krijgen. In een uitgebreide analyse van de aanval, uitgevoerd door een groep criminelen die Microsoft Storm-0501 noemt, beschrijft het techbedrijf hoe de aanvallers via de on-premises omgeving toegang tot de cloudomgeving weten te krijgen. Daar wordt onder andere een backdoor toegevoegd in de vorm van een federated domain, waardoor de aanvallers als bijna elke gebruiker kunnen inloggen. Nadat de aanvallers de controle over de Azure-cloudomgeving van het bedrijf hebben brengen ze de belangrijke data stores met gevoelige gegevens in kaart, alsmede de locaties met back-ups van on-premises en cloud endpoint devices. Vervolgens worden de gevoelige gegevens gestolen, waarna de aanvallers de Azure resources met de data van het bedrijf verwijderen. Voor een aantal resources bleek het niet mogelijk om die te verwijderen, waarna de aanvallers probeerden om die via de encryptiefeature van Azure te versleutelen. Vervolgens verwijderden de aanvallers de key, maar Microsoft merkt op dat hiervoor een soft-delete van 90 dagen geldt, waardoor het bedrijf de key alsnog kon achterhalen en het versleutelen van de cloudbestanden voor losgeld mislukte. Na het stelen en verwijderen van de gegevens binnen de Azure-omgeving werd het niet nader genoemde bedrijf via Microsoft Teams door de aanvallers benaderd, die vervolgens losgeld eisten. Of er ook losgeld is betaald laat Microsoft niet weten. In de analyse doet het techbedrijf ook verschillende aanbevelingen voor het beveiligen van cloud-identiteiten en resources. bron: https://www.security.nl

De Windowsversie van Microsoft Word bewaart nieuwe bestanden voortaan automatisch in de cloud, zo heeft het techbedrijf in een blogposting aangekondigd. "We moderniseren de manier waarop bestanden in Word voor Windows worden gemaakt en opslagen. Nu hoef je je niet meer druk te maken over het opslaan van documenten: Alles wat je nieuw maakt wordt automatisch in OneDrive of de door jou gekozen cloudbestemming opgeslagen", zegt Microsofts Raul Munoz. Soortgelijke functionaliteit wordt later dit jaar ook aan Excel voor Windows en PowerPoint voor Windows toegevoegd. Gebruikers hebben wel de optie om het automatisch opslaan van bestanden in de cloud uit te schakelen of tijdens het opslaan een andere locatie te kiezen. De optie is nu beschikbaar in Word voor Windows versie 2509 (Build 19221.20000) en nieuwer. bron: https://www.security.nl

Inlichtingendiensten uit allerlei landen, waaronder ook Nederland, hebben vandaag telecombedrijven, internetproviders en andere bedrijven gewaarschuwd voor gehackte routers. Verschillende door de Chinese overheid gesponsorde groepen zouden achter de aanvallen zitten, aldus de AIVD, MIVD en andere inlichtingendiensten en cyberagentschappen uit Australië, Canada, Nieuw-Zeeland, Verenigd Koninkrijk, Verenigde Staten, Tsjechië, Finland, Duitsland, Italië, Japan, Polen en Spanje. Volgens de diensten hebben de aanvallers het voorzien op backbone routers van grote telecomproviders, alsmede provider edge (PE) en customer edge (CE) routers. Om toegang tot de routers te krijgen maken de aanvallers gebruik van bekende kwetsbaarheden in Ivanti Connect Secure, Palo Alto Networks PAN-OS en Cisco IOS. De diensten vermoeden echter dat ook andere apparaten, zoals Fortinet firewalls, Juniper firewalls, Microsoft Exchange servers, Nokia routers en switches, Sierra Wireless devices en Sonicwall firewalls het doelwit zijn. Er zijn geen aanwijzingen gevonden dat bij de aanvallen misbruik is gemaakt van zerodaylekken. De aanvallers proberen via de gecompromitteerde routers achterliggende netwerken te compromitteren en verkeer op te slaan, zo laat de waarschuwing weten. Daarnaast wijzigen de aanvallers Access Control Lists en voegen ip-adressen toe, worden standaard en niet-standaard poorten voor allerlei diensten (SSH, RDP en SFTP) opengezet, wordt de webinterface ingeschakeld of geherconfigureerd om op andere poorten te draaien en schakelen de aanvallers op Cisco-apparaten de HTTP/HTTPS-server in. In de waarschuwing geven de inlichtingendiensten ook Indicators of Compromise (IoC's) waarmee organisaties kunnen kijken of hun systemen zijn gecompromitteerd. Ook wordt "threat hunting" advies gegeven voor het detecteren van aanvallers, zoals het monitoren van configuratieaanpassingen, gevirtualiseerde containers, netwerkservices en -tunnels, firmware en logbestanden. Als laatste volgen aanbevelingen en hardening maatregelen, waaronder het uitschakelen van telnet, het implementeren van logging en uitschakelen van de Cisco Smart Install feature. bron: https://www.security.nl

Aanvallers maken gebruik van het contactformulier dat bedrijven op hun websites hebben staan voor het uitvoeren van phishingaanvallen. Dat laat securitybedrijf Check Point in een analyse weten. Door het gebruik van het contactformulier wordt de normale "phishing flow", waarbij de aanvaller het doelwit een e-mail stuurt, omgedraaid. Het is nu het doelwit dat de aanvaller benadert. Voor de aanval hebben de aanvallers verschillende zakelijk ogende domeinen geregistreerd. Vervolgens laten ze via het contactformulier van het aangevallen bedrijf een e-mailadres achter, waarna het bedrijf de e-mailcorrespondentie start. Volgens de onderzoekers blijven de aanvallers één tot twee weken met het bedrijf communiceren voordat ze een link naar een zip-bestand versturen. Het zou zogenaamd om een Non-Disclosure Agreement (NDA) gaan. Dit zip-bestand bevat weer .lnk-bestand dat uiteindelijk een backdoor installeert. Om doelwitten niets te laten vermoeden krijgen die als afleidingsmanoeuvre een echt NDA-document te zien. Volgens Check Point hebben de aanvallers het vooral voorzien op industriële productiebedrijven, maar ook op hardware- en halfgeleiderfabrikanten, leveranciers van consumentengoederen en diensten en biotech- en farmaceutische bedrijven. Dat ook elektronica-, luchtvaart- en energiebedrijven doelwit zijn, naast meer traditionele industriële doelwitten, laat volgens de onderzoekers zien dat de aanvallers het hebben gemunt op organisaties met waardevolle proprietary data, sterke leveranciersnetwerken of te misbruiken infrastructuur. bron: https://www.security.nl

Google heeft belangrijke beveiligingsupdates voor Chrome uitgebracht die een kritieke kwetsbaarheid verhelpen waardoor remote code execution mogelijk is. Een gebruiker hoeft alleen een gecompromitteerde of besmette website te bezoeken of een besmette advertentie te zien krijgen om bijvoorbeeld met malware besmet te raken. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. Het is pas de tweede kritieke kwetsbaarheid dit jaar die Google in Chrome rapporteert. De eerste werd in maart verholpen. Het beveiligingslek wordt aangeduid als CVE-2025-9478 en betreft een 'use after free' in ANGLE. Dit is een onderdeel van de browser dat wordt gebruikt voor het uitvoeren van WebGL- en andere OpenGL-content. Vorig jaar zijn er meerdere kritieke kwetsbaarheden in ANGLE gerapporteerd. De kwetsbaarheid werd gevonden door "Google Big Sleep", zo laat het techbedrijf weten. Dit is een AI-agent die Google ontwikkelde voor het vinden van kwetsbaarheden. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt.Google Chrome 139.0.7258.154/.155 is beschikbaar voor Windows en macOS. Voor Linux is versie 139.0.7258.154 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Een nieuwe kritieke kwetsbaarheid waarvoor Citrix gisteren waarschuwde en updates uitbracht raakte op dat moment ruim 28.000 systemen, waarvan 1300 in Nederland. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Wat de laatste stand van zaken is met betrekking tot ongepatchte systemen is nog niet bekend, maar in de praktijk kan het weken duren voordat Citrix-updates worden geïnstalleerd. Ook voor actief aangevallen lekken. Het beveiligingslek (CVE-2025-7775) betreft een buffer overflow die remote code execution mogelijk maakt. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand code op kwetsbare Citrix-systemen uitvoeren. Aanvallers hebben al voor het uitkomen van de patches misbruik van het beveiligingslek gemaakt. Hoeveel Citrix-systemen inmiddels zijn gecompromitteerd en sinds wanneer CVE-2025-7775 bij aanvallen wordt misbruikt is onbekend. The Shadowserver Foundation is een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld onderzoek doet naar kwetsbare systemen op internet. Bij het bekend worden van het nieuwe Citrix-lek werd een scan uitgevoerd naar Citrix-systemen die vanaf internet toegankelijk zijn. Dit leverde 28.200 ongepatchte systemen op, waarvan 1300 in Nederland. De meeste ongepatchte Citrix-systemen werden in de Verenigde Staten en Duitsland waargenomen. Eerder deze maand deed The Shadowserver Foundation onderzoek naar twee andere Citrix-kwetsbaarheden, aangeduid als CVE-2025–5777 en CVE-2025-6543. Voor deze beveiligingslekken zijn sinds 17 en 25 juni updates beschikbaar. Op 12 augustus bleek dat nog duizenden Citrix-systemen niet waren gepatcht. bron: https://www.security.nl

De Belgische regeringspartij N-VA is tegen chatcontrole en vindt dat België zich tijdens een eventuele stemming in oktober van stemming moet onthouden. "Chat control dreigt een monster te worden dat in je privacy inbreekt en dat je niet meer getemd krijg", zegt N-VA-Kamerlid Michael Freilich tegenover de Belgische krant HLN. In oktober wordt op Europees niveau mogelijk gestemd over een Deens voorstel dat chatdiensten kan verplichten om de inhoud van berichten die gebruikers versturen te controleren. Volgens de Europese burgerrechtenbeweging EDRi is het Deense voorstel in werkelijkheid een combinatie van de Belgische en Hongaarse voorstellen die eerder al werden gedaan. Deze voorstellen werden uiteindelijk niet in stemming gebracht omdat er onvoldoende voorstemmers waren. De Europese Commissie wil een wet invoeren waardoor chatdiensten verplicht worden om alle berichten van hun gebruikers te controleren. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen. Het Europees Parlement zag het voorstel van de Europese Commissie voor chatcontrole niet zitten en kwam met een eigen voorstel, waar nog steeds kritiek op is, maar wat end-to-end versleutelde diensten uitzondert. Binnen de EU-lidstaten is nog altijd geen positie ingenomen. Omdat er onvoldoende voorstemmers waren heeft geen van de vorige EU-voorzitters hun voorstel over chatcontrole in stemming gebracht. Sinds 1 juli is Denemarken de EU-voorzitter en het land kwam meteen met een nieuw voorstel dat onder andere verplichte detectie bevat. Bovendien kan ook met betrekking tot nieuw materiaal op grond van dit voorstel een verplicht detectiebevel aan chatdiensten worden gegeven. Om het voorstel aangenomen te krijgen is een 'gekwalificeerde meerderheid' vereist. Een gekwalificeerde meerderheid is bereikt als vijftien lidstaten vóór stemmen én het voorstel wordt gesteund door lidstaten die samen tenminste 65 procent van de totale EU-bevolking vertegenwoordigen. In juli meldde Patrick Breyer van de Duitse Piratenpartij dat vijftien landen voor het Deense voorstel zullen stemmen. Nederland, Polen en Oostenrijk zijn tegen of neutraal en de overige landen hebben nog geen positie ingenomen. "N-VA zal zich verzetten tegen chat control in de huidige vorm, want het is ontspoord”, aldus Freilich. Van de andere partijen in de Belgische regering is bekend dat minister van Justitie Annelies Verlinden, van CD&V, juist voorstander van chatcontrole is. Volgens EDRi blijkt uit een verslag van het laatste overleg over het Deense voorstel dat de verdeling tussen voor- en tegenstanders niet veranderd is ten opzichte van de vorige periode. De poging van Denemarken lijkt dan ook meer op een PR-oefening dan een echte poging om beweging in de zaak te krijgen, laat de burgerrechtenbeweging verder weten. Duitsland Er wordt vooral gekeken naar de stem van Duitsland, dat de doorslag kan geven. Het land was eerder nog tegen chatcontrole, maar de nieuwe regering zou nog geen beslissing hebben genomen. "Als de Duitse regering instemt met het nieuw compromis, betekent dat waarschijnlijk dat de oppositie in de Raad het voorstel in deze fase niet langer zal kunnen tegenhouden", zegt Rejo Zenger van Bits of Freedom. "De volgende stap is in dat geval de geheime onderhandelingen tussen de Raad, het Europees Parlement en de Europese Commissie. De uitkomst daarvan is onvoorspelbaar. Wat wel vaststaat is dat we daarmee een stap dichter bij het moment komen waarop deze draconische maatregelen werkelijkheid worden", gaat Zenger verder. Hij verwacht dat als het voorstel zal worden aangenomen een Europese rechter het over een paar jaar ongeldig zal verklaren. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) heeft een eerder gepubliceerd script aangepast zodat organisaties webshells op hun Citrix-systemen kunnen detecteren die daar via nieuwe kwetsbaarheden op zijn geplaatst. Webshells zijn malware waarmee een aanvaller toegang tot een gecompromitteerde server kan behouden, ook als die daarna wordt gepatcht, en verdere aanvallen uitvoeren. Het NCSC publiceerde op 13 augustus een eerste versie van het detectiescript voor het detecteren van webshells die via een beveiligingslek aangeduid als CVE-2025-6543 op Citrix-systemen waren geplaatst. Gisteren kwam Citrix met beveiligingsupdates voor drie nieuwe kwetsbaarheden, waarvan er één (CVE-2025-7775) al voor het uitkomen van de patches actief bij aanvallen is gebruikt. Naar aanleiding van de nieuwe kwetsbaarheden meldt het NCSC dat het detectiescript ook te gebruiken is om de aanwezigheid van webshells te detecteren die via de nieuwe beveiligingslekken op systemen zijn geplaatst. Er is daarbij ook gisteren een nieuwe versie van het script verschenen. CVE-2025-7775 betreft een kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand code op kwetsbare Citrix-systemen kan uitvoeren. Citrix stelt dat misbruik alleen bij bepaalde configuraties mogelijk is. "Het NCSC heeft nader onderzoek gedaan en dat toont aan dat de kwetsbare configuratie zeer veel voorkomt waardoor grootschalig misbruik waarschijnlijk wordt", laat het Digital Trust Center (DTC) van het ministerie van Economische Zaken weten. Via Citrix kunnen medewerkers van bedrijven en organisaties op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan ook groot zijn. bron: https://www.security.nl

Citrix-systemen zijn aangevallen via een nieuwe kritieke kwetsbaarheid die tot remote code execution leidt, waardoor een aanvaller het systeem kan compromitteren, zo laat Citrix zelf weten. Het bedrijf heeft vandaag beveiligingsupdates uitgebracht om het probleem te verhelpen. De aanvallen waarvoor Citrix waarschuwt vonden plaats voordat de patch beschikbaar was. De kwetsbaarheid, aangeduid als CVE-2025-7775, betreft een buffer overflow in Citrix/NetScaler ADC en Citrix/NetScaler Gateway. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan ook groot zijn. Misbruik van de kwetsbaarheid hangt volgens Citrix af van de configuratie. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. Verdere details over het waargenomen misbruik, zoals het aantal getroffen klanten en sinds wanneer de aanvallen plaatsvinden, zijn niet door Citrix gegeven. "Er is een aantal nieuwe NetScaler-kwetsbaarheden die als zerodays worden misbruikt", zegt beveiligingsonderzoeker Kevin Beaumont. "Patches zijn nu beschikbaar." Volgens de onderzoeker wordt het lek gebruikt om Citrix-systemen met een webshell te infecteren. Via een webshell kan een aanvaller toegang tot een gecompromitteerd systeem behouden en verdere aanvallen uitvoeren, ook als het systeem later wordt gepatcht. Beaumont spreekt in zijn bericht op Mastodon over meerdere kwetsbaarheden. De updates van Citrix verhelpen in totaal drie beveiligingslekken, maar volgens het bedrijf wordt er alleen van CVE-2025-7775 misbruik gemaakt. Onlangs bleek dat aanvallers op Citrix-systemen van het Openbaar Ministerie hadden ingebroken en liet het Nationaal Cyber Security Centrum (NCSC) weten dat de Citrix-systemen van meerdere vitale Nederlandse organisaties via een kritieke kwetsbaarheid zijn gecompromitteerd. Het ging volgens het NCSC om CVE-2025-6543, waarvan de omschrijving, het onderliggende probleem en impactscore nagenoeg gelijk zijn aan die van CVE-2025-7775. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Docker Desktop maakt het mogelijk voor malafide containers om toegang tot het onderliggende host-systeem te krijgen. Het beveiligingslek (CVE-2025-9074) is vorige week met versie 4.44.3 gepatcht. Docker Desktop is een applicatie waarmee softwareontwikkelaars op een lokale machine applicaties in een container kunnen ontwikkelen en draaien. De kritieke kwetsbaarheid maakt het mogelijk voor een malicious container om de Docker Engine te benaderen en andere Docker containers te starten, zonder dat de Docker socket gemount moet zijn. Dit kan ervoor zorgen dat een aanvaller via de malicious container toegang tot het onderliggende host-systeem kan krijgen. Ook als Enhanced Container Isolation (ECI) staat ingeschakeld. Deze beveiligingsmaatregel moet juist voorkomen dat malicious containers het host-systeem kunnen compromitteren. "De kwetsbaarheid is op zichzelf vrij eenvoudig: De Docker Engine socket zou nooit toegankelijk voor onbetrouwbare code of gebruikers moeten zijn. Dit socket is de management API voor Docker en er toegang toe hebben geeft volledige toegang tot alles wat de Docker-applicatie kan doen", zegt onderzoeker Philippe Dugre. Een aanvaller zou zo in het ergste geval bestanden op de host kunnen lezen en schrijven. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. bron: https://www.security.nl

Er is een sterke toename van scans gericht tegen Microsoft RDP-services, wat mogelijk samenhangt met Amerikaanse onderwijsinstellingen en universiteiten die hun systemen weer online brengen. Dat stelt securitybedrijf GreyNoise op basis van eigen onderzoek. De scans zijn gericht tegen Microsoft RD Web Access en Microsoft RDP Web Client, die gebruikers via een browser toegang tot remote diensten geven. Het securitybedrijf zag op 24 augustus meer dan 30.000 unieke ip-adressen die op "timing flaws" testen, waarmee geldige gebruikersnamen zijn te achterhalen. Als eerste zoeken de aanvallers naar endpoints waarvan RD Web Access of de RDP Web Client vanaf het internet toegankelijk zijn. Vervolgens wordt er gekeken of tijdens de inlogprocedure informatie lekt waarmee geldige gebruikersnamen zijn te achterhalen. Een systeem kan bij een ongeldige gebruikersnaam meer of minder tijd nodig hebben dan bij een geldige gebruikersnaam, wat aanvallers kan vertellen dat een gebruikersnaam in het systeem bestaat of niet. Zodra de gebruikersnamen zijn bevestigd kunnen de aanvallers later proberen om hier door middel van credential stuffing, password spraying of bruteforce-aanvallen toegang tot te krijgen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Password spraying is een techniek waarbij een aanvaller met veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Volgens GreyNoise is de timing van de waargenomen scans geen toeval. In de Verenigde Staten start het schooljaar, waardoor scholen en universiteiten hun RDP-systemen weer online brengen en duizenden nieuwe accounts registreren. Deze omgevingen gebruiken volgens de onderzoekers vaak voorspelbare formats, wat het enumereren van de namen effectiever maakt. De onderzoekers merken op dat de scans alleen tegen Amerikaanse systemen zijn gericht. Daarnaast stellen ze dat pieken in het aantal scans tegen bepaalde systemen of platforms vaak worden opgevolgd door aanvallen of nieuwe kwetsbaarheden in de betreffende omgevingen. bron: https://www.security.nl

Het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van een kwetsbaarheid in Git waardoor een aanvaller code op systemen kan uitvoeren. Git is een populaire oplossing voor softwareontwikkelaars om code van een lokale repository naar een remote Git-repository te krijgen. Zo kunnen meerdere programmeurs aan de code werken. Het is ook mogelijk om een remote Git-repository naar een lokale machine of andere locatie te kopiëren. Het beveiligingslek, CVE-2025-48384, doet zich voor wanneer gebruikers nietsvermoedend een malafide repository met submodules via de --recursive flag klonen. Bij het verwerken van het .gitmodules bestand gaat Git niet goed om met configuratiewaarden en carriage return (\r of CR) karakters. Hierdoor kan een aanvaller de interne submodule paden manipuleren en Git naar onverwachte locaties op het filesystem laten schrijven. Het probleem doet zich voor bij bepaalde versies van Git voor macOS en Linux. Op 8 juli verschenen er beveiligingsupdates voor het probleem. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat er actief misbruik van het beveiligingslek wordt gemaakt. Details over de waargenomen aanvallen worden echter niet gegeven. Amerikaanse overheidsinstanties die met Git werken zijn opgedragen de patches voor 15 september te installeren. bron: https://www.security.nl