Captain Kirk

Na de Autoriteit Persoonsgegevens heeft ook de Belgische privacytoezichthouder GBA gebruikers van Facebook en Instagram vandaag gewezen op de mogelijkheid om bezwaar te maken tegen het gebruik van hun gegevens voor het trainen van Meta's 'AI-modellen'. "Om zo doeltreffend mogelijk te zijn, moet dit recht vóór 27 mei 2025 worden uitgeoefend", aldus de GBA. Meta liet eerder weten dat het vanaf deze datum gegevens van Europese gebruikers gaat gebruiken. Het gaat dan om openbaar toegankelijke berichten, opmerkingen en foto's. "Als gebruikers niet willen dat hun openbaar toegankelijke activiteiten worden gebruikt om deze AI-systemen te trainen, moeten zij actief stappen ondernemen om bezwaar te maken tegen deze verwerking", legt de Gegevensbeschermingsautoriteit (GBA) uit. De Belgische privacytoezichthouder stelt ook dat alle online platforms die gebruikersgegevens gebruiken om 'AI-systemen' te ontwikkelen informatie moeten verstrekken over de mogelijkheid om bezwaar te maken tegen deze verwerking. Tevens moeten ze procedures beiden om ook daadwerkelijk bezwaar te maken. bron: https://www.security.nl

Microsoft heeft de omstreden Recall-functie aan een recente bètaversie van Windows 11 toegevoegd, maar het programma blijkt allerlei gevoelige data op te slaan, waaronder Citrix client-sessies, Signal-gesprekken en creditcardgegevens. Dat stelt beveiligingsonderzoeker Kevin Beaumont op basis van eigen onderzoek. Recall is een nieuwe 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Microsoft omschrijft het als een 'fotografisch geheugen'. Experts gebruikten de term keylogger en privacynachtmerrie. Oorspronkelijk zou Recall standaard zijn ingeschakeld, maar vanwege de felle kritiek besloot Microsoft voor een opt-in te kiezen en aanvullende beveiligings- en privacymaatregelen toe te voegen. Zo is er een filter waarmee websites en apps van Recall kunnen worden uitgezonderd. Volgens Beaumont werkt het filter niet betrouwbaar. Zo werden zijn creditcardgegevens toch opgeslagen en geïndexeerd. De onderzoeker stelt dat dit mogelijk komt door het gebruik van Vivaldi als browser. Verder blijkt Recall ook alles op te slaan wat gebruikers in Signal doen, zoals verstuurde berichten. "Verdwijnende Signal- en WhatsApp-berichten worden nog steeds opgeslagen, net als verwijderde Teams-berichten." Tevens ontdekte Beaumont dat Recall Citrix client-sessies opslaat, ook als anti-screen capture staat ingeschakeld. Een ander kritiekpunt van de onderzoeker is de gebruikte beveiliging. Voor het inschakelen en instellen van Recall is de biometrische beveiliging van Windows Hello vereist. Dit is echter alleen voor de initiële setup. Vervolgens is Recall te starten met de PIN-ontgrendeloptie van Windows Hello. Een vingerafdruk of gezichtsscan is daardoor niet meer vereist, alleen een viercijferige code. Dit creëert volgens de onderzoeker een vals gevoel van veiligheid. Microsoft heeft de database-bestanden van Recall wel versleuteld, maar Beaumont maakt zich zorgen of dit aanvallers zal stoppen. "Als infostealers een manier vinden om automatisch iets van Recall te verkrijgen zal de hel losbarsten." De onderzoeker vindt dan ook dat mensen de risico's moeten begrijpen wanneer ze de feature inschakelen. Wanneer de definitieve versie van Recall voor de standaardversie van Windows 11 verschijnt is nog niet bekend. bron: https://www.security.nl

Google blijft trackingcookies in Chrome toestaan. Daarnaast zal de browser voor third-party cookies geen aparte prompt tonen. Dat heeft het techbedrijf bekendgemaakt. Trackingcookies spelen een belangrijke rol bij het volgen van gebruikers op internet en tonen van gerichte advertenties. Vanwege privacyzorgen worden dergelijke cookies door meerdere browsers inmiddels geblokkeerd. Google had plannen aangekondigd om trackingcookies in de eigen browser uit te faseren, maar kwam daar vorig jaar juli op terug. In een nieuwe update claimt Google nu dat het gebruik van 'privacy-verbeterende technologieën' is toegenomen en dat er 'nieuwe kansen' zijn verschenen om de 'browse-ervaring' van mensen door middel van 'AI' te beschermen. Verder stelt het techbedrijf dat het toezicht wereldwijd aanzienlijk is veranderd. "Als we al deze zaken in overweging nemen, hebben we de beslissing genomen om onze huidige aanpak te behouden met het aanbieden van de keuze aan gebruikers voor third-party cookies in Chrome, en zullen geen losse prompt voor third-party cookies uitrollen", aldus Google. Via een aparte pop-up zouden gebruikers dan third-party cookies kunnen weigeren of accepteren. Het techbedrijf ziet dit niet zitten. Volgens Google kunnen gebruikers zelf de beste optie via de browser instellen. Uit onderzoek blijkt echter dat minder dan vijf procent van de gebruikers instellingen aanpast. bron: https://www.security.nl

Mozilla kondigde vorig jaar aan dat het Firefox van meer 'lokale on-device AI-modellen' wil voorzien om de 'gebruikerservaring' te verbeteren. De Firefox-ontwikkelaar is nu een test gestart met experimentele on-device 'AI link previews'. De preview maakt een snapshot van wat erachter de link zit voordat die wordt geopend. Daarbij toont de 'AI' een samenvatting van de betreffende pagina en de verwachte leestijd. De initiële implementatie maakt gebruik van 'credentialless HTTPS requests' om de HTML van een pagina op te halen en verwerkt die vervolgens zonder de pagina te laden of scripts uit te voeren, laat Mozilla weten. "Hoewel we op dit moment geen cookies versturen, versturen we wel een custom x-firefox-ai header waardoor websites kunnen bepalen welke content te previewen is." Mozilla zegt dat de verwerking lokaal plaatsvindt. Daarbij wordt gebruikgemaakt van wllama (WebAssembly llama.cpp) met SmolLM2-360M van HuggingFace. De keuze hiervoor is gebaseerd op onder andere prestaties, relevantie en consistentie, aldus Mozilla. De eerste samenvatting zou gemiddeld binnen vier seconden moeten verschijnen. Gebruikers kunnen de prestaties verbeteren door het 'AI-model' van 369 megabyte eerst te downloaden. De previewfunctie is te testen in Firefox Labs 138. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Erlang/OTP SSH server is ook aanwezig in producten van Cisco, zo waarschuwt het netwerkbedrijf dat updates heeft uitgebracht om het probleem te verhelpen. Erlang is een programmeertaal en OTP is een verzameling Erlang libraries. Erlang/OTP biedt een ingebouwde SSH client en daemon. Het Secure Shell Protocol (SSH Protocol) is een protocol dat gebruikers op een beveiligde manier op bijvoorbeeld servers laat inloggen of op afstand machines beheren. Het beveiligingslek (CVE-2025-32433) bevindt zich in het verwerken van SSH-protocolberichten. Hierdoor kan een aanvaller ongeautoriseerde toegang tot kwetsbare SSH-servers krijgen en zonder geldige inloggegevens willekeurige commando's op de server uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. In het geval van Cisco blijken ConfD, ConfD Basic en Network Services Orchestrator (NSO) van Erlang/OTP SSH server gebruik te maken. Voor deze producten zijn updates beschikbaar. Daarnaast wordt op dit moment onderzocht of verschillende andere producten en apparatuur kwetsbaar zijn. Het gaat onder andere om ASR 5000 Series Routers, Catalyst Center, Small Business RV Series Routers, Expressway en TelePresence Video Communication Server (VCS). Cisco zegt het beveiligingsbulletin te zullen bijwerken als meer informatie beschikbaar komt. bron: https://www.security.nl

Statelijke actoren hebben bij verschillende spionagecampagnes gebruikgemaakt van phishingaanvallen, waarbij slachtoffers via social engineering worden verleid om malafide PowerShell-commando's op hun eigen systeem uit te voeren. Dat meldt securitybedrijf Proofpoint. Via de commando's wordt malware op het systeem geïnstalleerd. Cybercriminelen gebruiken de tactiek al enige tijd, maar nu wordt die ook door statelijke actoren ingezet, aldus de onderzoekers. Doelwitten ontvangen berichten of documenten die uiteindelijk naar een website leiden. Op deze website verschijnt een zogenaamde foutmelding of instructies om het zogenaamde probleem te verhelpen. Slachtoffers denken dat ze bijvoorbeeld een registratiecode kopiëren of een kwetsbaarheid verhelpen, maar in werkelijkheid start men PowerShell en voert een malafide commando uit waarmee malware wordt geïnstalleerd. De onderzoekers stellen dat net als bij andere criminele technieken statelijke actoren die uiteindelijk overnemen, waarbij ze zich ook als criminele groepen voordoen. Op dit moment stelt Proofpoint dat een beperkt aantal statelijke actoren er gebruik van maakt, maar het securitybedrijf verwacht dat het toepassen van PowerShell-commando's voor cyberspionage in de toekomst zal toenemen. bron: https://www.security.nl

Opera heeft een nieuwe feature toegevoegd waardoor het mogelijk is om browserdata bij het sluiten van de browser te verwijderen. Hierdoor wordt volgens de ontwikkelaars de privacy van gebruikers voorop gesteld. Mozilla Firefox biedt al jaren een dergelijk optie, die browsingdata en cookies verwijdert bij het sluiten van de browser. Google Chrome, dat net als Opera op de Chromium-browser is gebaseerd, geeft gebruikers niet de mogelijkheid hun gegevens bij het sluiten te wissen. "Voorrang geven aan de privacy van gebruikers, deze feature laat je automatisch geselecteerde history items bij het sluiten van de browser verwijderen. Kies welke gegevens je wilt verwijderen voor een zorgeloze schoonmaak die je privacy moeiteloos beschermt", aldus Opera. De feature is nu toegevoegd aan Opera 120.0.5510.0. bron: https://www.security.nl

Criminelen maken gebruik van de Zoom remote control feature voor het stelen van cryptovaluta en installeren van malware, zo melden securitybedrijf Trail of Bits en de Security Alliance. Slachtoffers worden via privéberichten op bijvoorbeeld X of via e-mail benaderd om deel te nemen aan een podcast of interview. Ook doen de criminelen zich voor als durfinvesteerder. Vervolgens wordt het slachtoffer uitgenodigd om aan een call via Zoom mee te doen. Tijdens het delen van schermen vragen de aanvallers het doelwit om remote control toegang. Zoom biedt een feature genaamd remote control waarmee het mogelijk is om op afstand toegang tot iemands systeem te krijgen. Net voordat de aanvallers om remote control vragen wijzigen ze hun naam in 'Zoom'. Daardoor lijkt de melding die het slachtoffer te zien krijgt van Zoom afkomstig te zijn. Wanneer het slachtoffer toestemming geeft kunnen de aanvallers malware installeren, data stelen en cryptovaluta stelen, aldus de onderzoekers. "Wat deze aanval met name gevaarlijk maakt is dat het dialoogvenster voor de permissie gelijk is aan andere onschuldige meldingen van Zoom. Gebruikers die gewend zijn om op Zoom prompts "Approve" te klikken kunnen volledige controle over hun computer toestaan, zonder dat ze de gevolgen beseffen", stelt Trail of Bits. bron: https://www.security.nl

Erlang/OTP SSH-servers zijn via een kritieke kwetsbaarheid op afstand door ongeauthenticeerde aanvallers over te nemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Alle Erlang/OTP SSH-server hebben te maken met de kwetsbaarheid, ongeacht de gebruikte versie. "Als je applicatie SSH-toegang via de Erlang/OTP SSH library biedt moet je ervan uitgaan dat je getroffen bent", aldus het beveiligingsbulletin. Erlang is een programmeertaal en OTP is een verzameling Erlang libraries. Erlang/OTP biedt een ingebouwde SSH client en daemon. Het Secure Shell Protocol (SSH Protocol) is een protocol dat gebruikers op een beveiligde manier op bijvoorbeeld servers laat inloggen of op afstand machines beheren. Het beveiligingslek (CVE-2025-32433) bevindt zich in het verwerken van SSH-protocolberichten. Hierdoor kan een aanvaller ongeautoriseerde toegang tot kwetsbare SSH-servers krijgen en zonder geldige inloggegevens willekeurige commando's op de server uitvoeren. Het probleem werd gevonden en gerapporteerd door onderzoekers van Ruhr University Bochum. Gebruikers worden aangeraden om te updaten naar OTP-27.3.3, OTP-26.2.5.11 of OTP-25.3.2.20. Securitybedrijf Horizon3 laat weten dat het ontwikkelen van een proof-of-concept exploit verrassend eenvoudig is. "Zou niet geschrokken zijn als proof-of-concepts snel verschijnen. Als je dit volgt is nu het moment om in actie te komen." bron: https://www.security.nl

Wereldwijd hebben aanvallers zo'n 17.000 Fortinet-firewalls van een 'symlink-backdoor' voorzien, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. Het aantal waargenomen gecompromitteerde firewalls is de afgelopen dagen toegenomen, ook in Nederland. Hier zou het om 177 firewalls gaan, aldus de laatste cijfers. Vorige week waarschuwde Fortinet dat aanvallers gebruikmaken van bekende kwetsbaarheden, waarvoor in december 2022 (CVE-2022-42475), juni 2023 (CVE-2023-27997) en februari 2024 (CVE-2024-21762) beveiligingsupdates verschenen, om FortiGate-firewalls te compromitteren. Zodra er toegang is verkregen maken de aanvallers een symbolic link aan die het user filesystem en root filesystem aan elkaar koppelt, in een map die wordt gebruikt om het ssl vpn-onderdeel van de firewall van taalbestanden te voorzien. Wanneer de firewall vervolgens voor de betreffende kwetsbaarheid wordt geüpdatet blijft de symbolic link bestaan. Daardoor behoudt de aanvaller read-only toegagng tot bestanden op de firewall, waaronder de configuratie. Klanten die de ssl vpn-functie nooit hebben ingeschakeld lopen geen risico. Eerder deze week voerde The Shadowserver Foundation een scan uit die zo'n 12.000 gecompromitteerde firewalls opleverde. De afgelopen dagen is dit aantal naar zo'n 17.000 firewalls gestegen. Het gaat hier specifiek om firewalls met de betreffende symlink-backdoor. "Dit zijn geen SOHO-routers. Dit zijn corporate edge boxes. Echte netwerken. Echte blootstelling", zegt beveiligingsexpert Florian Roth. "Je hebt Indicators of Compromise nodig. Je hebt advies nodig. Al het andere is schoonmaaktheater. Deze apparaten zijn bloated, buggy, ontoegankelijk en lastig te onderzoeken. Aanvallers krijgen root. Verdedigers krijgen een beperkte shell." bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Windows voor het stelen van NTLMv2-hashes bij Europese overheidsinstanties en private instellingen, zo meldt securitybedrijf Checkpoint. Ook het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van de kwetsbaarheid, waarvoor afgelopen maart een beveiligingsupdate verscheen. Het beveiligingslek, aangeduid als CVE-2025-24054, maakt het mogelijk voor aanvallers om NTLMv2-hashes van gebruikers te stelen. Hiervoor versturen de aanvallers e-mails met link een naar zip-bestand. Dit zip-bestand bevat weer een .library-ms-bestand. Ook komt het voor dat aanvallers dit bestand direct naar doelwitten mailen. Alleen het selecteren, inspecteren, verslepen of andere actie met het bestand is voldoende om het lek te misbruiken. Het is niet nodig voor een doelwit om het bestand te openen. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het authenticeren van gebruikers, waarbij gebruik wordt gemaakt van wachtwoordhashes. "Na het ontvangen van de NTLM-hash kan een aanvaller een pass-the-hash-aanval uitvoeren om zich als de gebruiker van de betreffende hash voor te doen, zonder over het bijbehorende wachtwoord te beschikken", zo liet securitybedrijf ClearSky vorig jaar over een soortgelijke actief misbruikte kwetsbaarheid (CVE-2024-43451) weten. Volgens Checkpoint vindt misbruik van CVE-2025-24054 sinds 19 maart plaats, acht dagen na het uitkomen van de beveiligingsupdate op 11 maart. Ook Checkpoint merkt op dat aanvallers met de gestolen hashes relay-aanvallen kunnen uitvoeren of kunnen proberen om de hash te kraken en zo het bijbehorende wachtwoord te achterhalen. Verder stelt het securitybedrijf dat de exploit die misbruik van CVE-2025-24054 maakt overeenkomsten heeft met de exploit voor CVE-2024-43451. Checkpoint laat weten dat overheidsinstanties en private instellingen in Polen en Roemenië het doelwit van aanvallen zijn geworden. Doelwitten ontvingen onder andere e-mails met een Dropbox-link die naar een zip-bestand wees. Dit zip-bestand maakte misbruik van meerdere bekende kwetsbaarheden, waaronder CVE-2024-43451. Volgens het securitybedrijf laat het snelle misbruik van het lek na het uitkomen van de update zien dat organisaties patches snel moeten toepassen en ervoor moeten zorgen dat NTLM-kwetsbaarheden in hun omgeving worden aangepakt. bron: https://www.security.nl

Een kwetsbaarheid in de Cisco Webex-app maakt client-side remote code execution mogelijk. Daarvoor waarschuwt Cisco, dat een beveiligingsupdate heeft uitgebracht. Het beveiligingslek bevindt zich in het onderdeel van de app dat url's verwerkt. Hierdoor kan een ongeauthenticeerde aanvaller een gebruiker overtuigen om willekeurige bestanden te downloaden, wat ertoe kan leiden dat de aanvaller willekeurige commando's op het systeem van de gebruik kan uitvoeren. "De kwetsbaarheid wordt veroorzaakt door onvoldoende invoervalidatie wanneer de Cisco Webex-app een uitnodigingslink voor een meeting verwerkt. Een aanvaller kan dit beveiligingslek misbruiken door een gebruiker te overtuigen om op een speciaal geprepareerde uitnodigingslink te klikken en willekeurige bestanden te downloaden", aldus de uitleg van Cisco. De impact van de kwetsbaarheid (CVE-2025-20236) is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. bron: https://www.security.nl

Aanvallers maken gebruik van malafide cryptovaluta-gerelateerde advertenties voor het verspreiden van malware, zo meldt Microsoft. De advertenties wijzen gebruikers naar websites die bestanden aanbieden die van cryptobeurzen zoals Binance of TradingView afkomstig lijken. In werkelijkheid gaat het om malware. Zodra de malware actief is op een systeem voegt die een uitzondering toe aan Microsoft Defender for Endpoint. "Deze actie voorkomt dat verdere PowerShell-acties worden gedetecteerd, waardoor de aanval ongestoord kan doorgaan", aldus Microsoft. Hierna voeren de aanvallers een script uit dat allerlei informatie over het besmette systeem terugstuurt. Nadat de informatie is verzamelt ontvangt het besmette systeem een bestand dat voor het volgende deel van de aanval wordt gebruikt. Zo wordt er een certificaat geïnstalleerd en is het mogelijk om gevoelige browsergegevens te lezen en stelen. Microsoft adviseert organisaties om hun gebruikers te onderwijzen over het downloaden van software van niet geverifieerde bronnen. Tevens wordt aangeraden om PowerShell logging in te schakelen en uitgaand verkeer naar verdachte domeinen te blokkeren. bron: https://www.security.nl

Exchange Server 2016 en 2019 worden nog maar zes maanden ondersteund. Het is dan ook belangrijk dat organisaties op tijd in actie komen, aldus Microsoft in een nieuwe oproep aan klanten. De mailserversoftware ontvang op 14 oktober dit jaar voor het laatst beveiligingsupdates. Ook bugfixes en tijdszone-updates zullen niet meer verschijnen. Het techbedrijf stelt dat installaties na de genoemde end-of-support datum gewoon blijven werken, maar dit wel potentiële beveiligingsrisico's met zich meebrengt. Microsoft adviseert klanten om te migreren naar Exchange Online of het upgraden naar Exchange Server Subscription Edition (SE) als deze versie in juli van dit jaar beschikbaar komt. Om de overstap eenvoudiger te maken stelt Microsoft dat organisaties Exchange Server 2019 CU15 nu kunnen installeren. Vervolgens zal het mogelijk zijn om een 'in-place upgrade' naar Exchange Server SE uit te voeren als deze versie beschikbaar is. In het geval van organisaties die met Exchange 2016 werken wordt aangeraden om eerst een 'legacy upgrade' naar Exchange 2019 uit te voeren en daarna de upgrade naar Exchange Server SE. "Aangezien er slechts een paar maanden zitten tussen de release van Exchange Server SE en het einde van de support voor Exchange 2016, is er mogelijk geen voldoende tijd, afhankelijk van de omvang van je uitrol en andere factoren", aldus Microsoft. Daarom raadt het techbedrijf aan om nu Exchange Server 2019 te upgraden en Exchange 2016-servers uit te faseren. bron: https://www.security.nl

Microsoft gaat deze maand standaard ActiveX in de Windowsversie van Microsoft 365 blokkeren. Dat heeft het techbedrijf via een blogposting bekendgemaakt. "ActiveX is een krachtige technologie die rijke interacties binnen Microsoft 365-applicaties mogelijk maakt, maar de vergaande toegang tot systeemmiddelen vergroot ook beveiligingsrisico's", zegt Microsoft. De Windowsversies van Microsoft Word, Excel, PowerPoint en Visio krijgen daarom een nieuwe standaardconfiguratie voor ActiveX-controls. Die worden daardoor standaard geblokkeerd, zonder dat gebruikers hier melding van krijgen. Voorheen kregen gebruikers wel een melding en was het mogelijk om ActiveX eenvoudig in te schakelen. Iets waar aanvallers volgens Microsoft door middel van social engineering of malafide bestanden misbruik van konden maken. Wanneer ActiveX is uitgeschakeld kunnen gebruikers niet langer zelf meer ActiveX-objecten in Microsoft 365-bestanden aanmaken of, wanneer die in een ontvangen bestand aanwezig zijn, openen. Sommige ActiveX-objecten zullen als statische afbeelding zichtbaar zijn, maar zijn verder niet te gebruiken. Beheerders en gebruikers kunnen de de mogelijkheid om ActiveX te gebruiken wel weer inschakelen. bron: https://www.security.nl

De levensduur van tls-certificaten wordt in 2029 naar 47 dagen verkort. Dat heeft het CA/Browser Forum in een unanieme stemming bepaald. Op dit moment kunnen certificaten maximaal 398 dagen geldig zijn. Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Certificaatautoriteiten geven de certificaten uit die websites gebruiken voor het opzetten van een beveiligde verbinding met bezoekers. De invoering van de verkorte levensduur zal gefaseerd plaatsvinden. Zo geldt vanaf 15 maart 2026 een maximale levensduur van 200 dagen. Een jaar later, vanaf 15 maart 2027, zullen tls-certificaten nog maximaal 100 dagen geldig kunnen zijn. Vanaf 15 maart geldt de uiteindelijke maximale levensduur van 47 dagen. Het oorspronkelijke voorstel voor de kortere levensduur is afkomstig van Apple. Volgens voorstanders van een kortere levensduur van certificaten heeft dit allerlei veiligheidsvoordelen. In het geval van problemen met uitgegeven certificaten zullen die namelijk veel sneller verlopen dan nu het geval is. Ook zal het organisaties dwingen om hun werkwijze met betrekking tot certificaten te automatiseren, wat sneller tot het implementeren van best practices zou moeten leiden. Let's Encrypt, de grootse certificaatautoriteit van dit moment, geeft certificaten uit die maximaal 90 dagen geldig zijn. Daarnaast zal het dit jaar beginnen met het uitgeven van certificaten met een levensduur van 6 dagen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de Apache Parquet Java-library maakt het mogelijk voor een aanvallers om op afstand willekeurige code op systemen uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Apache Parquet is een bestandsformaat bedoeld voor de "efficiënte opslag van data". Elke applicatie of service die gebruikmaakt van Apache Parquet Java library versie 1.15.0 of eerder is kwetsbaar, waaronder systemen die Parquet-bestanden lezen of importeren, zoals de populaire big data-frameworks Hadoop, Spark en Flink. Wanneer een aanvaller een kwetsbaar systeem een speciaal geprepareerd Parquet-bestand kan laten verwerken kan dit tot remote code execution leiden. Ook is het mogelijk om data te stelen of manipuleren of systemen te verstoren, aldus securitybedrijf Endor Labs. Het probleem is verholpen in Apache Parquet versie 1.15.1 die op 16 maart verscheen. De aanwezigheid van de kwetsbaarheid is nu pas bekendgemaakt. bron: https://www.security.nl

Firefox komt met een aanpassing aan de browser waardoor extensies eenvoudiger toestemming kunnen vragen om data van gebruikers te verzamelen of versturen. Op dit moment moeten extensies die gebruikersgegevens verzamelen of versturen een 'datatoestemmingsvenster' laten zien. Dit toestemmingsvenster moet duidelijk laten weten welke data er wordt verzameld en de gebruiker informeren over de gevolgen van het accepteren of weigeren hiervan. Volgens Alan Byrne van Mozilla kan deze vereiste voor de nodige overhead voor ontwikkelaars zorgen en zorgt het voor een "verwarrende ervaring" voor eindgebruikers, die vaak voor elke extensie een ander datatoestemmingsvenster te zien krijgen. Deze verschillende toestemmingsvensters zorgen er ook voor dat het verwerken van nieuwe extensies meer tijd kost voor de reviewers, aangezien die moeten controleren of de betreffende code compliant is aan het Firefoxbeleid. Dit jaar gaat Mozilla een nieuwe "datatoestemmingservaring" voor extensies doorvoeren. Dit moet het eenvoudiger voor ontwikkelaars maken om hun extensies aan het Firefoxbeleid te laten voldoen. Verder krijgen gebruikers met een consistentere ervaring te maken over welke data wordt verzameld of verstuurd. Daarnaast wordt het makkelijker voor reviewers om Firefox-extensies te controleren. Ontwikkelaars kunnen binnenkort in een manifest opgeven welke data hun extensie verzamelt of verstuurt en dit zal automatisch via een "uniforme toestemmingservaring" aan gebruikers worden gecommuniceerd. Hierdoor zal de communicatie richting eindgebruikers voor elke extensie hetzelfde zijn en hoeven ontwikkelaars geen custom dialoogvensters meer te maken. Daarnaast zal een overzicht van de gegevens die extensies verzamelen of versturen ook op de downloadpagina van de betreffende extensie op addons.mozilla.org worden weergegeven. bron: https://www.security.nl

Microsoft heeft een testversie van Windows 11 voorzien van een tool voor het automatisch oplossen van opstartproblemen bij computers en een testsimulatie is nu ook beschikbaar. Voor het herstellen van systemen wordt diagnostische data naar Microsoft gestuurd. Quick Machine Recovery (QMR) is onderdeel van het Windows Resiliency Initiative dat Microsoft vorig jaar naar aanleiding van de wereldwijde CrowdStrike-storing aankondigde. Wanneer QMR staat ingeschakeld kan het veelvoorkomende opstartproblemen met Windows 11-apparaten automatisch detecteren en vervolgens oplossen vanuit de Windows Recovery Environment (WinRE) toepassen. Dit moet de downtime van systemen verkorten en handmatige interventie voorkomen. Wanneer er zich een kritiek opstartprobleem voordoet start het systeem WinRE, maakt verbinding met het netwerk en stuurt diagnostische data naar Microsoft. Dat zal vervolgens via Windows Update een oplossing uitrollen. Vorige week werd er al een testversie van QMR aangekondigd. Nu is ook de 'test remediation package' beschikbaar om daarmee de volledige werking van de hersteltool te kunnen testen, zonder dat het systeem tegen een kritieke fout moet aanlopen. Via de testmode is het mogelijk om in een gesimuleerde omgeving de configuratie en het automatische herstelproces te testen. "Testmode laat je verifiëren dat de herstelervaring functioneert zoals verwacht voordat het naar productiesystemen wordt uitgerold", aldus Microsoft. Het techbedrijf adviseert systeembeheerders om de feature in te schakelen, aan te passen en vervolgens binnen hun omgeving te testen. Voor thuisgebruikers staat QMR standaard ingeschakeld. De test package voor Quick Machine Recovery is beschikbaar in Windows 11 Insider Preview Build 26120.3671 (Beta Channel). bron: https://www.security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen die de ingebouwde Tor Browser toegang tot meer mappen geeft. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Om bestanden van gebruikers tegen kwetsbaarheden in Tor Browser te beschermen kon de browser tot nu toe alleen bestanden opslaan en lezen in een bepekt aantal mappen van de Home folder of Persistent Storage. "Met Tails 6.14.1 kun je veilig vanuit Tor Browser elke map in je Home folder of Persistent Storage benaderen", zo laten de ontwikkelaars weten. Deze nieuwe integratie van de 'confinement technology' verhelpt ook een aantal andere toegankelijkheids- en gebruiksproblemen, waaronder de grootte van de tekst en cursor en de beschikbaarheid van de knoppen om het venster te minimaliseren en maximaliseren. De ontwikkelaars stellen dat de verbeteringen aan twee beveiligingstechnologieën te danken zijn. De flexibiliteit van de nieuwe XDG Desktop Portals van Flatpak maakt het mogelijk om de AppArmor beperking te versoepelen en zo de bruikbaarheid te verbeteren, zonder dat dit ten koste van de veiligheid gaat. Updaten naar de nieuwste versie kan via de automatische updatefunctie of een handmatige upgrade. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Connect Secure en Pulse Connect Secure om kwetsbare vpn-servers over te nemen, zo waarschuwt softwarebedrijf Ivanti. Meerdere klanten zijn inmiddels gecompromitteerd, aldus het bedrijf, dat updates beschikbaar heeft. Het gaat om een kritieke kwetsbaarheid aangeduid als CVE-2025-22457 die remote code execution door een ongeauthenticeerde aanvaller mogelijk maakt. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. Het beveiligingslek werd op 11 februari met de release van Ivanti Connect Secure 22.7R2.6 verholpen, maar was in eerste instantie als een "product bug" geïdentificeerd. De kwetsbaarheid, waarvan het bestaan vandaag door Ivanti is aangekondigd, is aanwezig in Ivanti Connect Secure (versie 22.7R2.5 en eerder), Pulse Connect Secure 9.x en Ivanti Policy Secure en ZTA gateways. Pulse Connect Secure 9.1.x is sinds 31 december vorig jaar end-of-support en ontvangt geen updates meer. Organisaties die nog met deze versie werken moeten contact opnemen met Ivanti voor het migreren naar Connect Secure. Volgens het softwarebedrijf is het bekend met een "beperkt aantal klanten" waarvan de vpn-servers zijn gecompromitteerd. Om hoeveel klanten het gaat is niet bekendgemaakt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Update Securitybedrijf Mandiant heeft meer details over de aanvallen. Die vinden volgens het bedrijf sinds halverwege maart plaats. Het beveiligingslek werd in eerste aangezien voor een 'low-risk' denial of service kwetsbaarheid. Mandiant vermoedt dat de aanvaller de patch die op 11 februari uitkwam heeft onderzocht en zo een manier ontdekte om het lek voor remote code execution te gebruiken. Via de kwetsbaarheid installeren de aanvallers backdoors op vpn-servers. bron: https://www.security.nl

Een kwetsbaarheid in WinRAR maakt het mogelijk voor aanvallers om de beveiligingswaarschuwing Mark-of-the-Web te omzeilen, wat kan leiden tot het uitvoeren van willekeurige code op het systeem van de gebruiker. De ontwikkelaars hebben versie 7.11 uitgebracht waarmee de kwetsbaarheid, aangeduid als CVE-2025-31334, is verholpen. Mark-of-the-Web (MOTW) is een beveiligingsfeature van Windows die ervoor zorgt dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. De kwetsbaarheid zorgt ervoor dat de waarschuwing niet wordt gegeven bij symbolische links die naar een uitvoerbaar bestand wijzen. Wanneer een dergelijke link wordt geopend kan dit tot het uitvoeren van willekeurige code leiden. Het beveiligingslek werd door het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC) aan WinRAR-ontwikkelaar RARLab gemeld. De Duitse overheid adviseert het tijdig installeren van de beveiligingsupdate. Kwetsbaarheden in WinRAR zijn in het verleden gebruikt bij aanvallen. bron: https://www.security.nl

Microsoft heeft ondersteuning voor hotpatching aan Windows 11 Enterprise toegevoegd, waardoor organisaties beveiligingsupdates kunnen installeren zonder dat het systeem moet worden herstart. Dat laat Microsoft weten. Waar het bij normale updates nodig kan zijn om het systeem te herstarten voordat de patches bescherming bieden, zijn hotpatches na de installatie meteen actief. Daarbij ontvangen systemen via hotpatching dezelfde beveiliging als de maandelijkse beveiligingsupdates tijdens patchdinsdag bieden, aldus Microsoft. "Gebruikers kunnen zonder onderbrekingen blijven werken als de hotpatch-updates worden geïnstalleerd. Hotpatches-updates vereisen niet dat de pc wordt herstart voor het restant van het kwartaal." Hotpatches-updates werken met een 'kwartaalcyclus', aldus Microsoft. In januari, april, juli en oktober installeren systemen de maandelijkse beveiligingsupdates en feature-updates, waarna er een herstart plaatsvindt. De twee maanden daarop ontvangen de systemen de hotpatch-updates, die alleen beveiligingsupdates bevatten en geen herstart vereisen. Hotpatching is beschikbaar voor organisatie met een Microsoft-abonnement dat bestaat uit Windows 11 Enterprise E3, E5, of F3, Windows 11 Education A3 of A5 of een Windows 365 Enterprise abonnement. Tevens moeten de systemen Windows 11 Enterprise, version 24H2 draaien. bron: https://www.security.nl

Vorige maand kregen internetproviders te maken met aanvallen op DrayTek-routers, waardoor de apparaten hun internetverbinding verloren of er een reboot plaatsvond. Volgens DrayTek waren met name oudere modellen het doelwit of apparaten met verouderde firmware. De betreffende firmware-updates waarmee de aanvallen zijn te voorkomen zijn volgens de fabrikant al sinds 2020 beschikbaar. Vorige week stelde DrayTek nog op X dat het probleem mogelijk te maken had met een eerder onthulde kwetsbaarheid van begin maart. Een aantal dagen later verscheen er een nieuw beveiligingsbulletin waarin de fabrikant laat weten dat het een oud probleem betreft en veel van de routers in kwestie end-of-life zijn en niet meer worden ondersteund. "Veel van deze apparaten zijn jaren geleden neergezet en sindsdien niet meer geüpdatet", zo staat in het bulletin. Daarnaast zouden de aanvallen ook te maken hebben met het feit dat SSL VPN en HTTP/HTTPS remote management via de WAN-interface toegankelijk zijn. DrayTek adviseert ook voor deze oudere modellen om de meest recente firmware-update te installeren. Daarnaast wordt aangeraden om niet gebruikte services uit te schakelen. Verder voegt de netwerkfabrikant toe dat het uitschakelen van SSL VPN en Web Management bescherming tegen de aanvallen biedt. Vorige week meldde securitybedrijf GreyNoise nog dat DrayTek-routers het doelwit van aanvallen zijn, waarbij meerdere oudere kwetsbaarheden worden ingezet. bron: https://www.security.nl

Via GitHub zijn vorig jaar 39 miljoen secrets gelekt, zoals credentials, API-keys en tokens, zo heeft het platform voor softwareontwikkelaars bekendgemaakt. Via de gelekte secrets kunnen aanvallers toegang systemen en data krijgen waar ze eigenlijk geen toegang toe zouden moeten hebben. Volgens GitHub zijn gelekte secrets één van de meestvoorkomende, en te voorkomen, oorzaken van beveiligingsincidenten en datalekken. Een groot deel van deze incidenten ontstaat door softwareontwikkelaars die bewust een secret delen of openbaar maken, aldus GitHub. "Ontwikkelaars onderschatten vaak het risico van private exposures, het committen, delen of opslaan van deze secrets op manieren die op het moment gemakkelijk zijn, met in de loop van de tijd voor risico's zorgen." Het platform stelt verder dat aanvallers zeer bedreven zijn om de toegang te gebruiken die ze door 'low risk' secrets weten te krijgen, om vervolgens lateraal naar waardevollere assets te bewegen. "Zelfs zonder het risico van de dreiging van insiders maakt de aanwezigheid van secrets in git history (of waar dan ook) ons kwetsbaar voor toekomstige fouten." Om het lekken tegen te gaan gaan kwam GitHub vorig jaar met standaard 'push protection' voor publieke repositories. Nu laat het platform weten dat organisaties gratis een 'point-in-time scan' kunnen uitvoeren om blootgestelde secrets te vinden. bron: https://www.security.nl