Captain Kirk

Fotodienst Flickr heeft gebruikers gewaarschuwd voor een mogelijk datalek met hun persoonsgegevens. Volgens het platform werd het gisteren gewezen op een kwetsbaarheid in het systeem van een mailserviceprovider waar het gebruik van maakt. Deze kwetsbaarheid heeft mogelijk geleid tot ongeautoriseerde toegang tot gegevens van Flickr-gebruikers. Flickr stelt dat mogelijk namen, e-mailadressen, gebruikersnamen, accounttypes, ip-adressen, generieke locaties en Flickr-activiteit van gebruikers zijn gelekt. Verder meldt de fotodienst dat het de toegang tot het getroffen systeem heeft uitgeschakeld en alle links naar het kwetsbare endpoint heeft verwijderd. Daarnaast heeft het een volledig onderzoek van de serviceprovider geëist. Ook zouden de relevante privacytoezichthouders zijn ingelicht. Verdere details over het incident zijn niet gegeven. bron: https://www.security.nl

Criminelen zijn erin geslaagd om het netwerk van SmarterTools te hacken, ontwikkelaar van SmarterMail. Daarbij is ook een niet nader genoemd aantal klanten gecompromitteerd, zo heeft het bedrijf laten weten. Volgens SmarterTools vond de inbraak plaats via een niet gepatchte virtual machine die door een medewerker was opgezet en niet bij het bedrijf bekend was. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. De mailoplossing heeft de afgelopen maanden met meerdere kritieke kwetsbaarheden te maken gekregen waar aanvallers actief misbruik van maken. Nu blijkt SmarterTools zelf ook gehackt te zijn. Op 29 januari werd het getroffen door een ransomwaregroep. "Voor de inbraak hadden we in ons netwerk zo'n dertig servers/VM's waarop SmarterMail draaide. Helaas waren we onbekend met een VM van een medewerker, die niet werd gepatcht. Daardoor werd die mailserver gecompromitteerd, wat tot de inbraak leidde", zegt Chief Commercial Officer Derek Curtis Bij de aanval werd ook een niet nader genoemd aantal klanten gecompromitteerd. Het ging voornamelijk om SmarterTools-klanten die gebruikmaken van de gehoste helpdesksoftware SmarterTrack, aldus CEO Tim Uzzanti. De aanvallers wisten in totaal twaalf Windowsservers te compromitteren, zo laat SmarterTools verder weten. De softwareontwikkelaar zegt dat het naar aanleiding van de aanval alle Windowssystemen waar mogelijk heeft uitgefaseerd en geen gebruik meer maakt van Active Directory services. bron: https://www.security.nl

Een malafide extensie in de Chrome Web Store die zich voordoet als adblocker uBlock Origin Lite crasht opzettelijk de browser van gebruikers en laat hen vervolgens als "oplossing" malware installeren, zo waarschuwt Microsoft. De methode wordt "CrashFix" genoemd en is een variant van "ClickFix", waarbij slachtoffers voor het oplossen van een zogenaamde CAPTCHA commando's op hun systeem moeten uitvoeren waarmee malware wordt geïnstalleerd. De CrashFix-aanval waarvoor Microsoft waarschuwt begint bij een gebruiker die naar een adblocker zoekt. De aanvallers maken gebruik van malafide advertenties waarin een adblocker wordt geadverteerd. De advertentie linkt naar een browser-extensie in de Chrome Web Store die zich voordoet als de populaire adblocker uBlock Origin Lite. Enige tijd na de installatie voert de extensie een denial of service-aanval tegen de browser uit, waardoor die stopt met werken. Vervolgens laat de extensie een pop-up zien die stelt dat "Microsoft Edge" beveiligingsproblemen heeft ontdekt. Om deze problemen op te lossen moet de gebruiker handmatig een commando uitvoeren. Hierbij wordt gebruikgemaakt van het Finger-protocol, dat eigenlijk bedoeld is voor het opvragen van informatie over gebruikers van een remote systeem. Het gebruik van het Finger-protocol is volgens Microsoft een opvallende nieuwe tactiek bij dit soort aanvallen. Via het Finger-protocol wordt een PowerShell-script op het system van de gebruiker uitgevoerd, dat een ander script downloadt dat weer een remote access trojan (RAT) op het systeem installeert. Via deze malware hebben aanvallers volledige controle over het systeem. Volgens Microsoft laat de aanval zien dat aanvallers steeds vaker misbruik maken van "trusted user actions" en al aanwezige tooling op het systeem om beveiligingssoftware te omzeilen. Eerder kwam securitybedrijf Huntress al met een analyse van de aanval. bron: https://www.security.nl

Fortinet waarschuwt klanten voor een kritiek beveiligingslek in FortiClientEMS waardoor SQL Injection mogelijk is. Twee jaar geleden werd een andere SQL Injection kwetsbaarheid actief misbruikt bij aanvallen. FortiClient EMS is een oplossing waarmee beheerders systemen waarop de FortiClient-software draait op afstand kunnen beheren. Zo is het bijvoorbeeld mogelijk om zaken als antivirussoftware, webfilters, vpn en signature-updates in te stellen. Fortinet laat via het eigen Product Security Incident Response Team (PSIRT) weten dat de admin-interface van FortiClientEMS kwetsbaar is voor SQL Injection. Het probleem is aanwezig in FortiClientEMS en wordt aangeduid als CVE-2026-21643. Verdere details zijn echter nog niet beschikbaar, omdat de link naar het beveiligingsbulletin op het moment van schrijven niet werkt. Verdere details zijn daardoor nog niet beschikbaar. Twee jaar geleden meldde Fortinet misbruik van een andere SQL Injection kwetsbaarheid in FortiClientEMS (CVE-2023-48788). De Australische overheid riep organisaties destijds op om direct in actie te komen, de patches te installeren en te controleren of systemen al niet zijn gecompromitteerd. Bij SQL-njection kan een aanvaller SQL-opdrachten op een systeem uitvoeren. Het is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in SmarterMail waardoor kwetsbare servers op afstand zijn over te nemen, zo waarschuwt het Amerikaanse cyberagentschap CISA. Drie weken geleden verscheen een beveiligingsupdate voor het probleem, aangeduid als CVE-2026-24423. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. CVE-2026-24423 maakt remote code execution (RCE) door een ongeauthenticeerde aanvaller mogelijk. Volgens de omschrijving van het probleem ontbreekt authenticatie voor een belangrijke functie. Een aanvaller kan hier misbruik van maken door de SmarterMail-server naar een malafide HTTP-server te laten wijzen. Deze malafide server kan SmarterMail vervolgens commando's laten uitvoeren, wat tot het uitvoeren van willekeurige code leidt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. SmarterTools, de ontwikkelaar van SmarterMail, kwam op 15 januari met build 9511 waarin het probleem is verholpen. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt nu dat aanvallers actief misbruik van CVE-2026-24423 maken. Details over de aanvallen zijn niet gegeven. Begin dit jaar werd ook al een ander kritiek lek in SmarterMail (CVE-2026-23760) actief misbruikt bij aanvallen. Twee weken na het uitkomen van de update voor dit probleem bleek dat zesduizend SmarterMail-servers de betreffende patch nog niet hadden geïnstalleerd. bron: https://www.security.nl

Aanvallers maken actief misbruik van een recente kwetsbaarheid in FreePBX om servers met een webshell te infecteren. Dat laat Fortinet in een analyse weten. Ook het Amerikaanse cyberagentschap CISA meldt actief misbruik van het beveiligingslek, aangeduid als CVE-2025-64328. FreePBX is software voor het beheren en configureren van telefooncentrales die op Asterisk VoiP-servers draaien. Een kwetsbaarheid in de admin-interface maakt het voor een geauthenticeerde aanvaller mogelijk om willekeurige shellcommando's op de onderliggende server uit te voeren. "Een aanvaller kan dit gebruiken om als de asterisk user remote toegang tot het systeem te krijgen", aldus het beveiligingsbulletin. Afgelopen november verschenen er updates voor het probleem. Een week geleden meldde Fortinet dat aanvallers CVE-2025-64328 gebruiken om de EncystPHP-webshell op kwetsbare FreePBX-servers te installeren. Via de webshell kunnen de aanvallers toegang tot de server behouden en verdere aanvallen uitvoeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft het FreePBX-lek inmiddels toegevoegd aan het overzicht van actief aangevallen kwetsbaarheden, maar geeft geen details over de aanvallen. Vorig jaar werd een ander FreePBX-lek (CVE-2025-57819) nog gebruikt voor het hacken van honderden telefooncentrales. bron: https://www.security.nl

Microsoft heeft een testversie van Windows 11 met ingebouwde Sysmon-functionaliteit gelanceerd. Volgens het techbedrijf helpt de tool bij het detecteren van dreigingen. System Monitor (Sysmon) is een onderdeel van Microsoft Sysinternals, een verzameling tools voor het analyseren, beheren en troubleshooten van systemen en applicaties, alsmede 'threat hunting', zoals het zoeken naar malware. Sysmon verzamelt uitgebreide informatie over systeemactiviteiten en slaat die op in de Windows eventlog. Deze informatie kan onder andere worden gebruikt om malware te identificeren. Windows-gebruikers moesten de software altijd apart downloaden, maar Microsoft heeft die nu toegevoegd aan Windows en beschikbaar gemaakt in een testversie van Windows 11. Sysmon staat standaard uitgeschakeld en moet expliciet door gebruikers worden ingeschakeld. Gebruikers die Sysmon via de website van Microsoft hebben gedownload moeten die eerst verwijderen voordat ze de ingebouwde Sysmon inschakelen. bron: https://www.security.nl

De Europese Commissie test een interne communicatietool gebaseerd op het Matrix-protocol, dat end-to-end versleutelde communicatie mogelijk maakt. Op dit moment wordt Microsoft Teams als primaire communicatietool gebruikt en Signal als back-up, zo liet een EU-functionaris afgelopen oktober tijdens The Matrix Conference al weten. Signal zou echter voor een organisatie zo groot als de Europese Commissie niet flexibel genoeg zijn. "Als onderdeel van onze inspanning om meer soevereine digitale oplossingen te gebruiken, test de Europese Commissie een interne communicatie-oplossing gebaseerd op het Matrix-protocol", aldus een woordvoerder tegenover Euractiv. Brussel wil zo kijken of Matrix als aanvulling en back-up voor bestaande interne communicatiesoftware kan dienen. Er zijn volgens Euractiv dan ook nog geen plannen om Microsoft Teams door de Matrix-oplossing te vervangen. bron: https://www.security.nl

Verschillende burgerrechtenbewegingen, waaronder Amnesty International en Bits of Freedom, maken zich grote zorgen over een Zwitsers voorstel om de bewaarplicht in het land uit te breiden en bijna alle online serviceproviders te verplichten om hun gebruikers te identificeren. Volgens de burgerrechtenbewegingen is dit een schending van de fundamentele rechten op privacy en databescherming. Het Zwitserse Proton dreigde eerder al Zwitserland te zullen verlaten als de surveillancewet wordt aangenomen. De voorgestelde verordening breidt de verplichting voor communicatieproviders om metadata op te slaan verder uit. Ook worden nagenoeg alle serviceproviders, waaronder vpn-diensten, verplicht om hun klanten te identificeren. "Dergelijke surveillance is in een democratische samenleving onacceptabel", aldus de burgerrechtenbewegingen. Het niet anoniem en vrij kunnen communiceren zonder overheidsbemoeienis is ook een inbreuk op de vrijheid van meningsuiting, gedachte en vereniging, gaan de in totaal negentien organisaties verder. Daarnaast brengt de verordening ook risico's met zich mee op het gebied van cybersecurity. "Een verplichting voor bijna alle internetproviders om gevoelige data van al hun gebruikers op te slaan zorgt voor grote beveiligingsrisico's", waarschuwen de burgerrechtenbewegingen. Aanvallers zouden de opgeslagen data kunnen stelen wat voor gevoelige datalekken kan zorgen. Daarnaast zijn er ook minder ingrijpende alternatieven voorhanden. Een gerechtelijk uitgevaardigd bewaarbevel maakt het mogelijk om relevante data veilig te stellen, zonder de gehele bevolking bloot te stellen aan massasurveillance, aldus de burgerrechtenbewegingen. Die roepen de Zwitserse autoriteiten in een open brief op om het voorstel in te trekken. Naast Amnesty International en Bits of Freedom is de brief onder andere ondertekend door European Digital Rights (EDRi), Human Rights Watch, Internet Society, Liga voor Mensenrechten en Privacy International (pdf). bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in React Native Metro-server. Dat laat securitybedrijf Vulncheck in een analyse weten. React Native is een populair framework voor het ontwikkelen van mobiele apps in JavaScript. Het gebruikt de Metro als avaScript bundler en development server. Een kwetsbaarheid in de software, aangeduid als CVE-2025-11953, maakt het mogelijk voor een ongeauthenticeerde aanvaller om via het versturen van POST requests willekeurige executables en shell commando's op de server uit te voeren. Het probleem wordt veroorzaakt door een endpoint van de server dat kwetsbaar is voor command injection en zonder authenticatie toegankelijk is. De impact van CVE-2025-11953 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zes maanden geleden verscheen versie 20.0.0 van de software waarin het probleem is verholpen. Begin november werden details van het probleem openbaar gemaakt, waarna proof-of-concept exploitcode online verscheen. Volgens VulnCheck maken aanvallers sinds 21 december actief misbruik van het probleem. Hoewel een update al maanden beschikbaar is zouden op internet mogelijk nog honderden tot duizenden kwetsbare servers te vinden zijn. bron: https://www.security.nl

De backdoor die maandenlang onder gebruikers van de populaire editor Notepad++ werd verspreid gebruikte software van antivirusbedrijf Bitdefender om zichzelf te laden. Dat laat securitybedrijf Rapid7 in een analyse weten. Gisteren werd bekend dat aanvallers maandenlang toegang tot de shared hostingserver van Notepad++ hadden en via een kwetsbaarheid in de software malafide updates onder geselecteerde gebruikers konden verspreiden. Notepad++ is vooral populair bij softwareontwikkelaars. Via de updates werd een backdoor bij doelwitten geïnstalleerd, aldus onderzoekers van Rapid7. Zodra de malafide Notepad++-update was gedownload plaatste die de Bitdefender Submission Wizard op het systeem voor de verdere infectie. Dit is een onderdeel van Bitdefender antivirus voor het uploaden van verdachte bestanden naar het antivirusbedrijf. De software bleek kwetsbaar voor dll-sideloading, Hierbij wordt kwaadaardige code in een dll-bestand geplaatst. Aanvallers plaatsen dit dll-bestand vaak in de directory van de bijbehorende executable. Wanneer de executable wordt uitgevoerd zal ook het kwaadaardige dll-bestand worden geladen. Om niet te worden gedetecteerd hadden de aanvallers de Bitdefender Submission Wizard hernoemd naar "BluetoothService". Via het malafide dll-bestand dat de Bitdefender-software laadt wordt uiteindelijk de Chrysalis-backdoor geladen. De backdoor verzamelt vervolgens informatie over het besmette systeem en maakt verbinding met een command & control-server. Via de backdoor hebben aanvallers volledige controle over het besmette systeem en kunnen allerlei bestanden stelen, aanvullende malware installeren en de backdoor van het systeem verwijderen. bron: https://www.security.nl

Update: Het is belangrijk dat gebruikers Firefox zonder AI-features kunnen gebruiken, zo stelt Mozilla. Gisteren werd al bekend dat versie 148 van de browser wordt voorzien van een "kill-switch" voor het uitschakelen van alle AI-features, maar Mozilla heeft nu iets meer details gegeven. Volgens Mozilla verandert AI het web, maar zit niet iedereen hier op te wachten. "We hebben van veel mensen gehoord die niets met AI te maken willen hebben. We hebben ook gehoord van anderen die AI-tools willen die echt nuttig zijn." Met "AI Controls" kunnen gebruikers AI-features binnen Firefox straks volledig uitschakelen. "Dit laat je Firefox zonder AI gebruiken terwijl we AI-features blijven ontwikkelen voor diegenen die ze wel willen", aldus Mozilla. Het gaat dan om opties zoals het vertalen van websites, link previews die informatie over de gelinkte pagina geven en chatbots binnen de browser die eenvoudig zijn in en uit te schakelen. Mozilla zegt dat de browser de keuze van gebruikers zal onthouden, ook als die Firefox updaten. "We denken dat keuze belangrijker is dan ooit, nu AI een onderdeel van de browse-ervaring wordt. Wat voor ons belangrijk is om mensen de controle te geven, ongeacht wat ze van AI vinden." AI Controls komt beschikbaar in Firefox 148,die op 24 februari verschijnt. bron: https://www.security.nl

Google waarschuwt organisaties voor datadiefstal uit Software as a Service (SaaS)-omgevingen, waarbij de aanvallers gebruikmaken van vishing, zoals telefonische phishing wordt genoemd. Een groep criminelen die zich ShinyHunters noemt wist de afgelopen maanden op deze manier toegang tot grote hoeveelheden data van organisaties te krijgen, met daarin allerlei persoonlijke gegevens. Volgens Google doen de aanvallers zich voor als it-personeel en bellen medewerkers van aangevallen organisaties. Daarbij beweren ze dat het bedrijf de MFA (multifactorauthenticatie) instellingen aan het aanpassen is. Vervolgens wordt de opgebelde medewerker naar een speciaal voor de organisatie gemaakte phishingsite doorgestuurd. Deze phishingsite moet SSO-inloggegevens en MFA-codes onderscheppen. Vervolgens registreren de aanvallers hun eigen toestel voor MFA-gebruik. Nadat de aanvallers toegang tot een account hebben proberen ze zich door de omgeving van de aangevallen organisatie te bewegen en data uit verschillende SaaS-omgevingen te stelen. De onderzoekers stellen dat de toegang tot deze platforms waarschijnlijk opportunistisch is en wordt bepaald door de permissies en applicaties die via het gecompromitteerde account toegankelijk zijn. Zodra de aanvallers data weten te stelen, dreigen ze die openbaar te maken tenzij het aangevallen bedrijf betaalt. De onderzoekers stellen dat de aanvallen niet het gevolg zijn van kwetsbaarheden in producten of infrastructuur, maar de effectiviteit van social engineering aantonen. Daarnaast onderstrepen de aanvallen volgens Google het belang van het gebruik van phishingbestendige MFA. bron: https://www.security.nl

Europese privacytoezichthouders zijn kritisch op een plan van de Europese Commissie om de AI-regels in de EU te vereenvoudigen. Brussel wil dat het eenvoudiger voor AI-bedrijven wordt om in de EU te opereren, waarbij er ook makkelijker van allerlei gegevens gebruik kan worden gemaakt. Volgens de Europese privacytoezichthouder EDPS en de nationale Europese privacytoezichthouders verenigd in de EDPB mag een vereenvoudiging niet ten koste van de bescherming van fundamentele rechten gaan. Het voorstel van de Europese Commissie verruimt het gebruik voor leveranciers en afnemers van AI-systemen om bijzondere persoonsgegevens, zoals etniciteit of gezondheidsgegevens, voor het opsporen en corrigeren van discriminatie te gebruiken. De EDPB en EDPS vinden dat dit alleen in vooraf beschreven situaties mag, waar de risico’s van dergelijke discriminatie ernstig genoeg zijn. De privacytoezichthouders zijn ook tegen het schrappen van de registratieplicht voor AI-systemen die in categorieën van hoog-risicovolle systemen vallen, maar waarvan de leverancier vindt dat er geen hoog risico is. "Dit ondermijnt transparantie en toezicht en kan misbruik in de hand werken", aldus de Autoriteit Persoonsgegevens, die onderdeel van de EDPB is. Het zou voor een ongewenste prikkel zorgen waarbij AI-leveranciers ten onrechte claimen dat hun AI-systeem geen hoog risico is, om zo toezicht te ontlopen, aldus de privacytoezichthouders. De EDPB en EDPS vinden ook dat AI-leveranciers verplicht moeten blijven om ervoor te zorgen dat hun personeel AI-geletterd blijven. Verder maken de de toezichthouders zorgen over het uitstellen van kernverplichtingen voor AI-systemen met een hoog risico. De privacytoezichthouders pleiten ervoor om deze verplichtingen zo veel mogelijk volgens de oorspronkelijke planning te laten ingaan. bron: https://www.security.nl

Zo'n zestienhonderd Ivanti Endpoint Manager Mobile (EPMM) servers zijn vanaf het internet toegankelijk en aanvallers maken op dit moment actief misbruik van kwetsbaarheden in de oplossing, zo waarschuwt The Shadowserver Foundation op basis van eigen onderzoek. Van de publiek toegankelijk EPMM-servers bevinden zich er in 38 in Nederland. Het grootste deel werd in Duitsland waargenomen, bijna vijfhonderd. Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben. Vorige week kwam Ivanti met beveiligingsupdates voor twee actief aangevallen kwetsbaarheden in de oplossing. CVE-2026-1281 en CVE-2026-1340 laten een ongeauthenticeerde aanvaller op afstand code op kwetsbare servers uitvoeren. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sinds wanneer aanvallers misbruik van de problemen maken is niet bekendgemaakt. Ook het aantal getroffen klanten werd niet door Ivanti vermeld. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. In dit geval werd er alleen gescand naar publiek toegankelijk EPMM-servers, niet of die kwetsbaar zijn. De scan leverde zestienhonderd servers op. Duitsland voert met bijna vijfhonderd servers het overzicht aan, gevolgd door de Verenigde Staten (249) en het Verenigd Koninkrijk (58). Nederland staat met 38 publiek toegankelijke EPMM-servers op de zevende plek in het overzicht. Organisaties die van EPMM gebruikmaken worden opgeroepen de beschikbare updates te installeren. "Er is geen Proof-of-Concept-code publiek beschikbaar, maar het NCSC verwacht dat deze spoedig publiek kan verschijnen, waardoor de kans op grootschalig misbruik zal toenemen", zo laat het Nationaal Cyber Security Centrum (NCSC) over de al aangevallen kwetsbaarheden weten. bron: https://www.security.nl

Later deze maand zou Firefox 148 moeten verschijnen en Mozilla heeft deze versie van de browser uitgerust met een 'killswitch' voor het uitschakelen van alle AI-features. In december maakte de nieuwe ceo van Mozilla bekend dat Firefox zal veranderen in een "moderne AI-browser". De aankondiging zorgde voor meer dan drieduizend reacties op een Reddit-thread, waar veel gebruikers hun ongenoegen uitten. De ceo benadrukte in de aankondiging dat AI altijd een keuze moet zijn, maar veel gebruikers zijn hier niet gerust over. Vervolgens maakte het Firefox-ontwikkelteam bekend dat de browser zal worden voorzien van een optie om alle AI-features uit te schakelen. "Intern noemen we het de AI-killswitch. Het zal onder een minder heftige naam beschikbaar komen, maar het laat zien hoe serieus we dit nemen." Verder stelden de Firefox-ontwikkelaars dat alle AI-features opt-in zullen zijn, maar dat er 'sommige grijze gebieden' zijn wat 'opt-in inhoudt. De killswitch moet echter alle AI-features uitschakelen. De bètaversie van Firefox 148 bevat de veelbesproken "killswitch", die de naam "Block AI enchancements" heeft gekregen. Met deze feature ingeschakeld zal de browser vertalingen, chatbots in de zijbalk, suggesties voor tabgroupen en samenvattingen van link previews blokkeren. Ook extensies die van de Firefox AI-features gebruikmaken zullen bij het inschakelen van de optie niet meer werken. Firefox 148 zou op 24 februari moeten uitkomen, zo meldt Mozilla-volger Sören Hentzschel bron: https://www.security.nl

Statelijke actoren hadden maandenlang toegang tot de webserver van Notepad++ en hebben die toegang misbruikt voor het aanvallen van bepaalde gebruikers van de populaire teksteditor. Dat stelt de ontwikkelaar van Notepad++ in een blogposting. In december kwam Notepad++ met een update voor een kwetsbaarheid waardoor aanvallers malafide updates onder gebruikers van de software konden verspreiden. Notepad++ wordt onder andere door programmeurs gebruikt. Verschillende niet nader genoemde organisaties met belangen in Oost-Azië werden slachtoffer van de malafide Notepad++-updates. Het beveiligingslek waar de aanvallers misbruik van maakten bevindt zich in de manier waarop de updater van Notepad++ de integriteit en authenticiteit van het gedownloade updatebestand controleert. In het geval een aanvaller het netwerkverkeer tussen gebruikers van Notepad++ en de updateservers van Notepad++ kan onderscheppen, is het mogelijk om de updater een malafide bestand te laten downloaden en uitvoeren, in plaats van een legitieme update. Volgens de ontwikkelaar van Notepad++ hebben beveiligingsonderzoekers onderzoek naar de aanval gedaan en ontdekten dat aanvallers maandenlang toegang tot de webserver hadden waar de editor wordt gehost. Het gaat om een shared hostingserver waar aanvallers van juni tot september toegang toe hadden. Een update van de kernel en firmware zorgde ervoor dat de aanvallers op 2 september de toegang verloren. Hoewel de aanvallers de toegang op 2 september verloren, beschikten ze nog wel over inloggegevens voor interne services die op de betreffende server draaiden. Daardoor konden de aanvallers verkeer van notepad-plus-plus.org naar hun eigen server redirecten en zo malafide updates onder gebruikers verspreiden. De aanvallers hadden het daarbij specifiek voorzien op Notepad++, andere partijen die van de shared hostingserver gebruikmaakten zijn niet aangevallen. Hoe de aanvallers toegang tot de server wisten te krijgen is niet bekendgemaakt. De hostingprovider stelt dat het meerdere kwetsbaarheden heeft gepatcht en dat de aanvallers één van deze kwetsbaarheden opnieuw hebben geprobeerd te misbruiken, maar dat deze poging mislukte. Om welk beveiligingslek het gaat wordt niet vermeld. De ontwikkelaar van Notepad++ vermoedt dat de aanvallers dan ook van juni tot en met december toegang hadden. De ontwikkelaar van Notepad++ stelt verder dat hij vanwege de aanval naar een andere hostingprovider is overgestapt die "sterkere security practies" zou toepassen. Daarnaast zijn er al verschillende maatregelen aan de teksteditor zelf doorgevoerd om de verspreiding van malafide updates tegen te gaan. bron: https://www.security.nl

Ik vind het hier een prima plaats, zeker ook namens veel lezers, waaronder ikzelf, dank voor delen van deze mooie informatie. Zie dat ik zelf al van veel gebruik maak

Het echte ip-adres van Tor-gebruikers is mogelijk te achterhalen via kwetsbaarheden in OpenSSL waarvoor deze week updates verschenen, zo laten de ontwikkelaars van Tails weten. Die hebben vanwege de impact van de OpenSSL-lekken een noodpatch voor Tails uitgebracht. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Vandaag is Tails 7.4.1 verschenen, een "emergency release". Deze versie bevat onder andere een update van de gebruikte OpenSSL-library. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Ook het Tor-netwerk maakt er gebruik van. Afgelopen dinsdag verschenen er beveiligingsupdates voor OpenSSL wegens verschillende kwetsbaarheden, die in het ergste geval remote code execution mogelijk kunnen maken. Volgens de ontwikkelaars van Tails zou een malafide Tor-server door middel van de OpenSSL-kwetsbaarheden mogelijk het echte ip-adres van een Tor-gebruiker kunnen achterhalen. De ontwikkelaars voegen toe dat ze niet bekend zijn met misbruik van deze kwetsbaarheden. bron: https://www.security.nl

Het Tor Project heeft wegens "tekst-vandalisme" een nieuwe versie van Tor Browser uitgebracht, de browser waarmee gebruikers via het Tor-netwerk kunnen browsen. Volgens het Tor Project heeft een vandaal de Vietnamese vertaling van Tor Browser gevandaliseerd en zijn deze verkeerd vertaalde teksten in Tor Browser 15.0.4 terecht gekomen. Dit had geen invloed op de werking van de browser, aldus de ontwikkelaars. Met de lancering van Tor Browser 15.0.5 zijn de ongewenste vertalingen ongedaan gemaakt. Daarnaast wordt ook het proces rond het accepteren van bijgewerkte vertalingen herzien, om herhaling van een soortgelijke situatie te voorkomen. Het Tor Project zegt dat het bijdragen van de community wil blijven ontvangen, maar waarborgen toevoegt waar nodig. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Update Tor Browser 15.0.5 bevat ook een update voor OpenSSL die verschillende kwetsbaarheden verhelpt. Een malafide Tor-server zou via deze beveiligingslekken mogelijk het ip-adres van Tor-gebruikers kunnen achterhalen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in encryptiesoftware GnuPG en Gpg4win kan remote code execution mogelijk maken, zo waarschuwt ontwikkelaar Werner Koch. Een CVE-nummer is nog niet beschikbaar, beveiligingsupdates wel. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. Gpg4win is een GnuPG-implementatie voor Windows om e-mails en bestanden te versleutelen en signeren. Een speciaal geprepareerd "CMS (S/MIME) EnvelopedData" bericht met een oversized wrapped session key kan een stack buffer overflow in de software veroorzaken. Dit kan leiden tot een denial of service waardoor de software stopt met werken, maar kan volgens Koch zeer waarschijnlijk ook remote code execution mogelijk maken. Het beveiligingslek werd gevonden en gerapporteerd door OpenAI Security Research. Koch ontving de bugmelding op 18 januari en bracht op 27 januari gepatchte versies uit. Gebruikers van de software worden opgeroepen om zo snel mogelijk de updates te installeren. bron: https://www.security.nl

Aanvallers hebben een updateserver van eScan gehackt en gebruikt voor het verspreiden van malware onder klanten van het antivirusbedrijf. Op 20 januari werd een malafide update verspreid onder klanten die van de betreffende updateserver gebruikmaken. Securitybedrijf Morphisec stelt dat het de aanval ontdekte en vervolgens MicroWorld, het bedrijf achter eScan, waarschuwde. MicroWorld ontkent dit tegenover Bleeping Computer en claimt dat het de aanval zelf ontdekte. Volgens Morphisec wijzigt de malware de registerwaardes, bestanden en updateconfiguratie van eScan en zorgt ervoor dat de virusscanner niet goed meer functioneert. Zo worden updates niet meer automatisch door de antivirussoftware gedownload. Het automatisch herstellen van de infectie via eScan is daardoor niet mogelijk, aldus de onderzoekers. Getroffen organisaties moeten daardoor zelf contact met eScan opnemen om de update/patch voor het herstellen van de infectie handmatig te verkrijgen en installeren, zo stellen de onderzoekers verder. Morphisec stelt dat zowel organisaties als eindgebruikers via de malafide update met "multi-stage malware" besmet zijn geraakt, waaronder een backdoor, en besmette machines verbinding met een command & control-server verbinding maken om aanvullende malware te downloaden. Verder meldt het securitybedrijf dat de malafide update was gesigneerd met een certificaat van eScan. Hoe de aanvallers de updateserver konden compromitteren is niet bekendgemaakt. bron: https://www.security.nl

Softwarebedrijf SolarWinds waarschuwt voor verschillende kritieke kwetsbaarheden in Web Help Desk waardoor ongeauthenticeerde aanvallers systemen op afstand kunnen overnemen. Ook bevat de software hardcoded inloggegevens waardoor een aanvaller toegang tot "administrative functions" kan krijgen. Er is een update uitgebracht die het probleem verhelpt. Web Help Desk (WHD) is een ticketingsysteem waarmee organisaties hun gebruikers en klanten tickets kunnen laten insturen. Vervolgens kan de organisatie de ingezonden tickets aan medewerkers toekennen zodat die gemelde problemen kunnen oplossen. De software bevat verschillende kwetsbaarheden, zo laat SolarWinds vandaag weten. Het gaat onder andere om twee "untrusted data deserialization" kwetsbaarheden die remote code execution mogelijk maken en een "authentication bypass" waardoor een aanvaller de authenticatie kan omzeilen. De impact van deze drie beveiligingslekken (CVE-2025-40551, CVE-2025-40553 en CVE-2025-40554 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De problemen zijn door een ongeauthenticeerde aanvaller op afstand te misbruiken. Een andere opvallende kwetsbaarheid die SolarWinds in Web Help Desk heeft verholpen is CVE-2025-40537. Het betreft de aanwezigheid van hardcoded credentials die een aanvaller toegang tot "administrative functions" geven. Verdere details zijn niet gegeven. Twee jaar geleden maakten aanvallers actief misbruik van een "deserialization of untrusted data" kwetsbaarheid in SolarWinds Web Help Desk en de aanwezigheid van hardcoded credentials. De twee beveiligingslekken, CVE-2024-28986 en CVE-2024-28987, werden door het Amerikaanse cyberagentschap CISA op een lijst van actief aangevallen kwetsbaarheden geplaatst. In de beveiligingsbulletins voor de nieuwe kwetsbaarheden wordt geen melding van waargenomen misbruik gemaakt. bron: https://www.security.nl

De makers van e-mailclient Thunderbird hebben een beveiligingsupdate uitgebracht wegens een kwetsbaarheid waardoor een aanvaller de inhoud van versleutelde e-mail kan stelen. De Duitse overheid stelt dat het risico van het beveiligingslek "hoog" is. Wanneer het laden van remote content in Thunderbird wordt toegestaan is het via CSS (Cascading Style Sheets) mogelijk om de inhoud van versleutelde e-mails deels te stelen, aldus het beveiligingsbulletin van Thunderbird. Verdere details over het lek, aangeduid als CVE-2026-0818, zijn niet door de ontwikkelaars van de e-mailclient gegeven. De link naar de betreffende bug is nog niet voor het publiek toegankelijk. Mozilla heeft CVE-2026-0818 beoordeeld als een "moderate" kwetsbaarheid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, denkt daar anders over en stelt dat het risico "hoog" is. De kwetsbaarheid is verholpen in Thunderbird 140.7.1 en 147.0.1. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kwetsbaarheid in WinRAR waarvoor vorig jaar juli een beveiligingsupdate verscheen, zo meldt Google. WinRAR heeft geen automatische updatefunctie, wat inhoudt dat gebruikers de update zelf handmatig moeten installeren. Via het beveiligingslek (CVE-2025-8088) kan een aanvaller willekeurige code op het systeem van slachtoffers uitvoeren, als die een speciaal geprepareerd archiefbestand openen. Hierbij worden bestanden in de Windows Startup directory geplaatst en bij het opstarten van het systeem uitgevoerd. Het probleem werd op 24 juli verholpen in de bètaversie van WinRAR 7.13. De definitieve versie van WinRAR 7.13 verscheen op 30 juli. Op het moment dat deze versies verschenen was er al misbruik van het lek gemaakt. Antivirusbedrijf ESET, dat de kwetsbaarheid ontdekte, waarschuwde dat Europese bedrijven, waaronder in de financiële, productie, defensie en logistieke sectoren, via het lek waren aangevallen. Hoewel een gepatchte versie al maanden beschikbaar is zijn er meerdere door staten gesteunde groepen aanvallers die nog altijd op grote schaal misbruik van CVE-2025-8088 maken, aldus de Google Threat Intelligence Group (GTIG). Deze groepen hebben zowel financieel gewin als spionage als motief. Volgens de onderzoekers kunnen aanvallers misbruik van bekende kwetsbaarheden blijven maken, omdat gebruikers nalaten beschikbare updates te installeren. bron: https://www.security.nl