Captain Kirk

Zo'n zevenhonderd ScreenConnect-servers die vanaf internet toegankelijk zijn, waaronder zeventien in Nederland, missen een belangrijke beveiligingsupdate en lopen daardoor het risico te worden aangevallen. ConnectWise, het bedrijf achter ScreenConnect, had klanten opgeroepen om de patch die op 24 april uitkwam zo snel mogelijk te installeren. Daarbij werd 'binnen een aantal dagen' als voorbeeld gegeven. Kwetsbaarheden in ScreenConnect zijn in het verleden bij grootschalige aanvallen gebruikt, onder andere voor de verspreiding van ransomware. ScreenConnect is software om systemen op afstand mee te beheren en monitoren. Managed serviceproviders (MSP's) maken er gebruik van om de systemen van hun klanten te beheren. Door een ScreenConnect-server te compromitteren wordt het zo mogelijk om bij allerlei organisaties ransomware uit te rollen. Een 'ViewState code injection-aanval' maakt het mogelijk voor een aanvaller om code op de server uit te voeren. Voorwaarde is wel dat een aanvaller toegang tot de machine keys moet zien te krijgen, wat systeemtoegang met de benodigde rechten vereist. De impact van de kwetsbaarheid (CVE-2025-3935) is op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Het gaat dan ook niet om een kritiek beveiligingslek. ConnectWise heeft de update toch de hoogste prioriteit gegeven, wat wordt gedaan voor kwetsbaarheden waarvan misbruik plaatsvindt of het risico lopen om te worden misbruikt, en roept klanten op de patch zo snel mogelijk te installeren. The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld onderzoek doet naar kwetsbare online systemen, detecteerde zo'n zevenhonderd ScreenConnect-servers die de update missen. Daarvan staan er zeventien in Nederland. bron: https://www.security.nl

Een kritieke kwetsbaarheid in SAP NetWeaver waar eind april een noodpatch voor verscheen is sinds januari al gebruikt bij aanvallen. Daarnaast maakt het beveiligingslek niet alleen het uploaden van willekeurige bestanden mogelijk, maar 'full remote command execution', zo laat securitybedrijf Onapsis weten. Dat stelt dat het honderden gecompromitteerde SAP-installaties heeft geïdentificeerd. SAP Netweaver is een platform voor het draaien van SAP-applicaties die in veel zakelijke omgevingen worden gebruikt. Onlangs werden Nederlandse organisaties nog door het Digital Trust Center (DTC) van het ministerie van Economische Zaken gewaarschuwd voor misbruik van de kwetsbaarheid. De impact van het beveiligingslek, aangeduid als CVE-2025-31324, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Onapsis heeft nu meer details over de aanvallen gegeven. Volgens het bedrijf hebben de aanvallers de kwetsbaarheid van 20 januari tot en met 10 februari gebruikt voor verkenningsdoeleinden en het testen van verschillende 'payloads'. Na 10 februari was er een toename van exploitpogingen zichtbaar. Bij gecompromitteerde SAP-servers werden webshells aangetroffen. Via een webshell kan een aanvaller toegang tot de server behouden en verdere aanvallen uitvoeren. In eerste instantie werd gedacht dat de kwetsbaarheid alleen het uploaden van bestanden mogelijk maakte en dat aanvallers zo de webshells hadden geüpload. Onapsis zegt op basis van echt gebruikte exploits dat het beveiligingslek 'full remote command execution' (RCE) mogelijk maakt. De aanvallers hebben deze mogelijkheid gebruikt voor het plaatsen van de webshells. Volgens Onapsis hebben de aanvallers uitgebreide kennis van SAP. Het bedrijf laat tegenover SecurityWeek weten dat het honderden gecompromitteerde SAP-servers heeft geïdentificeerd, in een groot aantal sectoren. Onapsis en securitybedrijf Mandiant hebben een opensourcetool uitgebracht waarmee organisaties hun SAP-servers op mogelijk misbruik van CVE-2025-31324 kunnen controleren. bron: https://www.security.nl

Ontwikkelaars van Firefox-extensies kunnen een nieuwe 'toestemmingservaring' testen om zo data van gebruikers te kunnen verzamelen. Op dit moment moeten extensies die gebruikersgegevens verzamelen of versturen een 'datatoestemmingsvenster' laten zien. Dit toestemmingsvenster moet duidelijk laten weten welke data er wordt verzameld en de gebruiker informeren over de gevolgen van het accepteren of weigeren hiervan. Vorige maand stelde Mozilla dat deze vereiste voor de nodige overhead voor ontwikkelaars kan zorgen en ook zorgt voor een "verwarrende ervaring" voor eindgebruikers, die vaak voor elke extensie een ander datatoestemmingsvenster te zien krijgen. Deze verschillende toestemmingsvensters zorgen er ook voor dat het verwerken van nieuwe extensies meer tijd kost voor de reviewers, aangezien die moeten controleren of de betreffende code compliant is aan het Firefoxbeleid. Als oplossing kondigde Mozilla een nieuwe "datatoestemmingservaring" voor extensies aan. Dit moet het eenvoudiger voor ontwikkelaars maken om hun extensies aan het Firefoxbeleid te laten voldoen. Verder krijgen gebruikers met een consistentere ervaring te maken over welke data wordt verzameld of verstuurd. Daarnaast wordt het makkelijker voor reviewers om Firefox-extensies te controleren. De nieuwe 'Data Consent Experience' is nu door extensie-ontwikkelaars te testen in Firefox Nightly 139, een vroege testversie van de browser. Mozilla benadrukt dat het beleid voor het verzamelen van data niet wordt aangepast of de manier waarop extensies data kunnen verzamelen. Het moet het alleen eenvoudiger voor ontwikkelaars maken om toestemming te vragen en verwarring bij gebruikers verminderen. Extensie-ontwikkelaars kunnen in het manifest.json-bestand van hun extensie opgeven welke gegevens ze willen verzamelen of versturen. Deze informatie wordt dan aan de browser doorgegeven en getoond aan de gebruiker als die de extensie voor de eerste keer installeert. Een gebruiker kan vervolgens het verzamelen van data toestaan of weigeren. Ontwikkelaars kunnen ook aangeven dat hun extensie geen data verzamelt. Om de informatie voor zowel ontwikkelaars als eindgebruikers te standaardiseren heeft Mozilla categorieën in twee datatypes bedacht, namelijk persoonlijke data en technische en interactiedata. Zaken als locatiegegevens, zoekopdrachten, authenticatiegegevens en gezondheidsinformatie vallen onder de persoonlijke data. Technische data is bijvoorbeeld crashrapportages, extensiegebruik en instellingendata. Mozilla roept extensie-ontwikkelaars nu op om de nieuwe '"datatoestemmingservaring" te testen. Wanneer die in de definitieve versie van Firefox komt is nog onbekend. bron: https://www.security.nl

Forensisch experts moeten er rekening mee houden dat bijna alle in beslag genomen Windows 11-apparaten, ook in het consumentensegment, voortaan volledig versleuteld zijn. Dat komt omdat de schijfversleuteling door BitLocker in Windows 11 versie 24H2 standaard staat ingeschakeld, zo waarschuwt forensisch softwarebedrijf Elcomsoft. Dat levert onder andere forensische tools voor opsporingsdiensten. "De Windows 11 24H2-update introduceert een verandering in Microsofts benadering van schijfversleuteling, een verandering die grote gevolgen voor digitaal forensisch onderzoek zal hebben", aldus Oleg Afonin van Elcomsoft. "Met deze release wordt BitLocker-encryptie automatisch ingeschakeld op de meeste moderne hardware wanneer Windows met een Microsoft Account wordt geïnstalleerd." De versleuteling vindt plaats in de achtergrond en wordt ook toegepast bij de Home-edities en consumentenapparatuur, waar volledige schijfversleuteling meestal niet standaard plaatsvond, gaat de forensisch expert verder. Hij merkt op dat de schijfversleuteling alleen plaatsvindt bij nieuwe installaties van Windows 11 24H2, niet bij een update naar deze versie. Microsoft heeft ook een workaround verwijderd waardoor gebruikers eenvoudig het gebruik van een Microsoft Account tijdens de installatie konden omzeilen, wat ook het omzeilen van de standaard schijfversleuteling lastiger maakt, stelt Afonin. De recovery keys om toegang tot een versleuteld systeem te krijgen worden voor persoonlijke apparatuur automatisch naar het Microsoft Account van de gebruiker geüpload. Opsporingsdiensten kunnen via juridische kanalen deze recovery keys opvragen, maar dit introduceert wel vertragingen en procedurele complicaties, gaat Afonin verder. De forensisch expert waarschuwt dat de aanpassing van Microsoft langetermijngevolgen voor forensisch onderzoek zal hebben. Zo zullen in beslag genomen harde schijven onbruikbaar zijn, tenzij de recovery keys worden bemachtigd. Volgens Afonin moeten forensisch experts er dan ook rekening mee houden dat bijna alle in beslag genomen Windows 11-apparaten voortaan versleuteld zullen zijn, ook in het consumentensegment. bron: https://www.security.nl

Google Chrome gaat websites die gebruikers bezoeken inspecteren op helpdeskfraude en in het geval de browser denkt dat dit zo is een waarschuwing laten zien. Dat heeft Google aangekondigd. Chrome maakt al gebruik van Google Safe Browsing, dat voor bekende malafide websites waarschuwt. Volgens Google bestaat de gemiddelde malafide website minder dan tien minuten, waardoor deze websites nog niet altijd bekend zijn. Om deze websites ook te kunnen identificeren gaat Chrome gebruikmaken van het on-device Gemini Nano large language model (LLM). Dit model zal de inhoud van mogelijk gevaarlijke websites inspecteren. Daarbij richt Google zich specifiek op helpdeskfraude. Bij dergelijke fraude krijgen slachtoffers pop-ups en meldingen van websites te zien dat er een probleem is met hun computer en ze een opgegeven telefoonnummer moeten bellen of bepaalde software installeren. Vervolgens nemen oplichters de computer over en stelen geld van bankrekeningen of laten slachtoffers voor het oplossen van de zogenaamde problemen betalen. Wanneer de browser op bezochte websites kenmerken van helpdeskfraude herkent zal het Gemini Nano-model de inhoud van de pagina verder inspecteren. Google claimt dat hierbij de privacy van gebruikers wordt beschermd. "De on-device aanpak laat ons dreigingen zien zoals gebruikers ze zien", aldus het techbedrijf. De feature staat niet standaard ingeschakeld. Gebruikers moeten hiervoor de Enhanced Protection mode van Safe Browsing in Chrome inschakelen. Deze mode zorgt er wel voor dat er meer informatie naar Google wordt gestuurd. De scamdetectie is beschikbaar in Chrome 137 en komt later dit jaar beschikbaar voor de Androidversie van de browser. bron: https://www.security.nl

Een kwetsbaarheid in SonicWall SMA 100-gateways die voor een fabrieksreset kan zorgen is mogelijk misbruikt bij aanvallen, zo laat securitybedrijf Rapid7 weten. SonicWall heeft gisteren updates uitgebracht om het probleem te verhelpen. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Het biedt verschillende functies, zoals een vpn. SonicWall kwam gisteren met een beveiligingsbulletin, waarin het drie kwetsbaarheden meldt: CVE-2025-32819, CVE-2025-32820 en CVE-2025-3282. De eerstgenoemde kwetsbaarheid maakt het mogelijk voor een ingelogde vpn-gebruiker om willekeurige bestanden te verwijderen, wat tot een fabrieksreset leidt. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Deze score hangt mede samen met het feit dat een aanvaller over inloggegevens van een gebruiker moet beschikken. Toch lijkt dat geen belemmering voor aanvallers. Rapid7 stelt op basis van bekende Indicators of Compromise en eigen incidentrespons-onderzoeken dat beveiligingslek CVE-2025-32819 mogelijk actief is misbruikt. Verdere details worden echter niet gegeven. Het combineren van de drie kwetsbaarheden kan tot het uitvoeren van code met rootrechten leiden. Het was Rapid7 dat de drie kwetsbaarheden aan SonicWall rapporteerde. SonicWall roept systeembeheerders op om de beschikbaar gestelde update te installeren en op ongeautoriseerde inlogpogingen te controleren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Samsung MagicINFO 9 en een beveiligingsupdate is niet beschikbaar. Organisaties die van de oplossing gebruikmaken wordt aangeraden hun systeem offline te halen totdat een patch beschikbaar is. Samsung MagicINFO 9 is een contentmanagementsysteem voor het beheer van digitale reclameborden die bijvoorbeeld op gebouwen of in winkels zijn te zien. Vorig jaar augustus kwam Samsung met een update voor een kwetsbaarheid in de oplossing aangeduid als CVE-2024-7399. Begin januari rapporteerde securitybedrijf SSD Secure Disclosure een kwetsbaarheid aan Samsung. Volgens de elektronicagigant was dit hetzelfde probleem dat het eerder als CVE-2024-7399 had verholpen. Op 30 april maakte SSD Secure Disclosure de details van het beveiligingslek openbaar. Vervolgens liet securitybedrijf Arctic Wolf op 5 mei weten dat aanvallers actief misbruik van CVE-2024-7399 maakten. De nieuwste versie van Samsung MagicINFO 9 zou echter veilig moeten zijn. Dat is niet het geval, aldus securitybedrijf Huntress. Samsung MagicINFO 9-servers zijn onder andere het doelwit van een Mirai-gebaseerd botnet. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller JSP-bestanden naar de server uploaden en willekeurige code uitvoeren. Volgens Huntress wordt de kwetsbaarheid gebruikt voor het uploaden van webshells, waarmee aanvallers toegang tot de server behouden en verdere aanvallen kunnen uitvoeren, ook als het beveiligingslek wel wordt gepatcht. Het securitybedrijf adviseert organisaties die van de oplossing gebruikmaken om ervoor te zorgen dat hun MagicINFO 9-servers niet vanaf het internet toegankelijk zijn, totdat er een werkende update is geïnstalleerd. Wanneer Samsung een nieuwe patch uitbrengt is onbekend. bron: https://www.security.nl

Nog drie weken en dan stopt Gmail de ondersteuning van de Triple Data Encryption Standard (3DES) voor inkomende SMTP-verbindingen zo heeft Google aangekondigd. Na 30 mei zullen mailservers die 3DES voor SMTP-verbindingen maken geen e-mail meer bij Gmail-accounts kunnen afleveren. Volgens Google is de maatregel noodzakelijk om de veiligheid te verbeteren en gebruikers te beschermen tegen mogelijke kwetsbaarheden die met de verouderde encryptiestandaard samenhangen. Bij het opzetten van een beveiligde TLS-verbinding zijn er verschillende encryptiealgoritmes waaruit gekozen kan worden. De triple Data Encryption Standard is er daar één van. Eerder stelde het National Institute of Standards and Technology (NIST), een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, dat 3DES vanaf 2017 niet meer in nieuwe applicaties moet worden gebruikt en vanaf 2023 overal moet zijn verdwenen. Google adviseert systeembeheerders om te controleren dat hun mailservers geconfigureerd zijn om modernere encryptiealgoritmes te gebruiken. In het geval domeinen berichten naar Gmail-accounts versturen waarbij gebruik wordt gemaakt van 3DES, zegt Google beheerders een e-mail met aanvullende informatie te zullen sturen. bron: https://www.security.nl

Tientallen installaties van helpdesksoftware SysAid die vanaf het internet toegankelijk zijn, zijn kwetsbaar voor aanvallen, waardoor aanvallers vertrouwelijke informatie kunnen stelen en verdere aanvallen uitvoeren. Dat meldt The Shadowserver Foundation op basis van een online scan. Anderhalf jaar geleden werd een kwetsbaarheid in SysAid nog gebruikt voor het verspreiden van de Clop-ransomware. De software van SysAid biedt verschillende helpdeskfunctionaliteiten voor organisaties, zoals een ticketsysteem, het automatisch laten resetten van wachtwoorden door medewerkers, remote control om systemen van personeel op afstand over te nemen en 'IT Asset Management'. Onderzoekers van securitybedrijf watchTowr ontdekten verschillende kwetsbaarheden in de software waardoor het mogelijk is om het plaintext wachtwoord van de admin te achterhalen, alsmede XML External Entity Injection uit te voeren. Een aanvaller kan zo uiteindelijk commando's op het onderliggende systeem uitvoeren en dat volledig overnemen. SysAid kwam op 3 maart met een update voor de problemen. Gisteren publiceerde watchTowr details van de gevonden kwetsbaarheden. Daarop voerde The Shadowserver Foundation een online scan uit. De stichting houdt zich bezig met de bestrijding van cybercrime en doet geregeld onderzoek naar kwetsbare systemen die op internet zijn te vinden. Er werden bij de scan 77 kwetsbare installaties aangetroffen, waarvan twee in Nederland. bron: https://www.security.nl

Aanvallers maken actief misbruik van twee kwetsbaarheden in Internet of Things (IoT) apparaten van fabrikant Akamai, zo melden internetbedrijf Akamai en het Amerikaanse cyberagentschap CISA. De apparaten zijn end-of-life en ontvangen geen beveiligingsupdates meer. Via de kwetsbaarheden (CVE-2024-6047 en CVE-2024-11120) kan een ongeauthenticeerde aanvaller op afstand commando's op het systeem uitvoeren en dat zo overnemen. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbare IoT-apparaten van GeoVision zijn ip-camera's, videoservers en een ANPR-systeem voor het lezen van kentekenplaten. Vorig jaar juni en november waarschuwde het Taiwanese Computer Emergency Response Team (TWCERT) voor de twee kwetsbaarheden en adviseerde eigenaren om de systemen te vervangen. In het geval van CVE-2024-11120 werd het beveiligingslek al misbruikt, aldus TWCERT en The Shadowserver Foundation bij de publicatie van het beveiligingslek. Akamai laat nu weten dat een Mirai-gebaseerd botnet van de kwetsbaarheden misbruik maakt. Het botnet kan geïnfecteerde apparaten vervolgens gebruiken voor het uitvoeren van ddos-aanvallen en zoeken naar andere kwetsbare machines. Akamai stelt dat misbruik nog niet bekend was, maar dat klopt in het geval van CVE-2024-11120 niet. Ook het internetbedrijf adviseert eigenaren van de kwetsbare GeoVision-apparaten om een nieuwer model aan te schaffen dat nog wel wordt ondersteund. bron: https://www.security.nl

Firefox kan door een nieuwe securitymaatregel die Google aan Chrome heeft toegevoegd gegevens uit de browser lastiger importeren. Daardoor moeten gebruikers meer handmatige handelingen verrichten als ze van Chrome naar Firefox willen overstappen. Chrome-gebruikers kunnen sinds een aantal dagen 'Device Bound Session Credentials' (DBSC) testen. DBSC moet cookiediefstal door bijvoorbeeld infostealer-malware voorkomen. Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd. Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Volgens Mozilla is DBSC fantastisch voor het beschermen van gebruikersgegevens tegen malware. "Maar het houdt ook in dat het erg lastig voor ons is om lokaal opgeslagen zaken als inloggegevens en betaalmethodes automatisch te importeren", aldus Mozilla's Anna Kulyk. De huidige oplossing van Firefox is hetzelfde als die het voor Safari toepast. Gebruikers krijgen instructies om hun Chrome-wachtwoorden naar een CSV-bestand te exporteren en dat CSV-bestand vervolgens binnen Firefox te importeren. Mozilla werkt aan patches om ervoor te zorgen dat gebruikers handmatig wachtwoorden kunnen importeren, maar zegt ook naar andere opties te kijken. bron: https://www.security.nl

Er vinden gerichte aanvallen plaats waarbij zogenaamde 'Cloudflare-captcha's' worden gebruikt om doelwitten met malware te infecteren, zo waarschuwt Google. Het gaat daarbij om gerichte aanvallen tegen 'westerse doelen en ngo's', aldus het techbedrijf. De aanvallers beginnen de aanval door het doelwit naar een bepaalde website te lokken. Hoe dit wordt gedaan laat Google niet weten, maar de groep wordt voor allerlei phishingaanvallen verantwoordelijk gehouden. Zodra het doelwit op de website komt krijgt die een melding te zien dat er eerst een 'captcha' moet worden opgelost. In werkelijkheid wordt het doelwit verleid om een malafide PowerShell-commando op zijn eigen systeem uit te voeren. Dit commando zorgt voor de uiteindelijke installatie van de Lostkeys-malware. Deze malware steelt bestanden van het systeem en stuurt systeeminformatie en draaiende processen naar de aanvaller. Google stelt dat de verantwoordelijke groep vaak inloggegevens voor e-mailaccounts steelt, om vervolgens e-mails en contacten te stelen. Onlangs stelde securitybedrijf Proofpoint dat het gebruik van malafide PowerShell-commando's zowel door cybercriminelen als voor cyberspionage wordt toegepast. Volgens Google is een door de Russische staat gesteunde groep verantwoordelijk voor de aanvaller met de 'Cloudflare-captcha's'. bron: https://www.security.nl

Een kwetsbaarheid in Windows waarvoor op 8 april een beveiligingsupdate verscheen is al voor het uitkomen van de patch gebruikt voor het verspreiden van malware, zo stelt Symantec. Eerder maakte Microsoft al bekend dat het beveiligingslek ook bij ransomware-aanvallen was gebruikt. Al deze aanvallen vonden plaats voordat Microsoft met een update kwam. De kwetsbaarheid (CVE-2025-29824) bevindt zich in het Windows Common Log Filesystem (CLFS), een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits. Via CVE-2025-29824 kan een aanvaller die al toegang tot een machine heeft SYSTEM-rechten krijgen en zo het systeem volledig compromitteren. Bij de aanval die Symantec analyseerde wisten de aanvallers vermoedelijk eerst een Cisco ASA firewall te compromitteren. Op een onbekende manier werd er vervolgens toegang gekregen tot een Windowsmachine op het netwerk. Op deze machine maakten de aanvallers gebruik van CVE-2025-29824. De groep die volgens Symantec voor de aanval verantwoordelijk was houdt zich ook bezig met ransomware-aanvallen. In dit geval werd malware genaamd Grixba uitgerold. Dit is een infostealer en netwerkscanner waarmee de aanvallers allerlei informatie over het systeem en netwerk verzamelen. Deze data wordt dan voor verdere aanvallen gebruikt. Volgens Symantec verschilt de waargenomen aanval van de ransomware-aanvallen die Microsoft eerder beschreef, wat mogelijk inhoudt dat verschillende groepen over de kwetsbaarheid beschikten. bron: https://www.security.nl

WordPress-sites worden aangevallen via een kritieke kwetsbaarheid in de plug-in OttoKit, die eerder nog bekend stond als SureTriggers. Via het beveiligingslek kan een ongeauthenticeerde aanvaller admintoegang tot de website krijgen. De impact van de kwetsbaarheid (CVE-2025-27007) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. OttoKit is een automatiseringsplatform dat processen tussen verschillende websites, applicaties en WordPress-plug-ins automatiseert. Meer dan honderdduizend WordPress-sites maken er actief gebruik van, aldus cijfers van WordPress.org. Kwetsbaarheid CVE-2025-27007 wordt veroorzaakt doordat de plug-in inloggegevens van gebruikers onvoldoende verifieert. Dit maakt het mogelijk voor ongeauthenticeerde aanvallers om een verbinding op te zetten en uiteindelijk hun rechten naar die van admin te verhogen. Misbruik is volgens securitybedrijf Wordfence in twee scenario's mogelijk. Het eerste scenario is wanneer de website nooit een applicatiewachtwoord heeft ingeschakeld of gebruikt en OttoKit/SureTriggers nooit via een applicatiewachtwoord met de website verbinding heeft gemaakt. Wanneer sites verbinding al met een applicatiewachtwoord verbinding met OttoKit/SureTriggers hebben gemaakt is een aanval door een ongeauthenticeerde aanvaller niet mogelijk. Het tweede scenario doet zich voor wanneer een aanvaller zich al bij een website kan authenticeren en een applicatiewachtwoord kan genereren. Bij de nu waargenomen aanvallen proberen aanvallers het eerste scenario om zo een nieuwe admin aan te maken. Websites die van de plug-in gebruikmaken wordt dan ook aangeraden om de beschikbaar gestelde update te installeren en op de aanwezigheid van onbekende admins te controleren. Vorige maand gebruikten aanvallers ook een ander beveiligingslek (CVE-2025-3102) in OttoKit/SureTriggers voor het aanvallen van websites. Wordfence stelt dat bij de nu waargenomen aanvallen beide kwetsbaarheden worden gebruikt. Op maandag 21 april verscheen versie 1.0.83 waarin het probleem is verholpen. Aanvallen vinden volgens Wordfence sinds 2 mei plaats. Uit cijfers van WordPress.org blijkt dat tienduizenden websites nog niet up-to-date zijn. bron: https://www.security.nl

Microsoft heeft een AI-agent gelanceerd die voor gebruikers de instellingen van Windows 11 kan aanpassen. Gebruikers kunnen dan omschrijven waar ze hulp mee nodig hebben of wat ze veranderd willen hebben. De AI-agent zal dan de aanbevolen stappen beschrijven, maar kan die met toestemming van de gebruiker ook zelf uitvoeren. "Een agent maakt gebruik van on-device AI om je bedoeling te begrijpen en met jouw toestemming taken te automatiseren en uit te voeren", legt Microsoft uit. De feature is als eerste beschikbaar voor Windows Insiders met een Snapdragon Copilot+ pc. Daarna zijn systemen met AMD- en Intel-processors aan de beurt. Vooralsnog worden alleen Engelse 'language inputs' ondersteund. Daarnaast krijgt Notepad mogelijkheden om tekst te genereren. Microsoft laat daarover weten dat het informatie van gebruikers verzamelt wanneer die zijn ingelogd om de AI-features te gebruiken. Onlangs kondigde Amazon een AI-agent aan die taken in de browser van gebruikers uitvoert. bron: https://www.security.nl