Captain Kirk

Microsoft heeft meerdere kritieke kwetsbaarheden in chatbot Copilot verholpen waardoor aanvallers informatie hadden kunnen stelen. "Information disclosure" beveiligingslekken worden over het algemeen niet als kritiek aangemerkt. Microsoft besloot dat voor CVE-2026-26129, CVE-2026-26164 en CVE-2026-33111 wel te doen. Het gaat om kwetsbaarheden in M365 Copilot en Copilot Chat binnen Microsoft Edge. CVE-2026-26129 en CVE-2026-26164 in M365 Copilot zijn twee problemen die ontstaan doordat de chatbot niet goed omgaat met 'speciale elementen', waardoor een ongeautoriseerde aanvaller informatie kan stelen. Microsoft geeft geen verdere details over beide problemen. CVE-2026-33111 in Copilot Chat betreft ook het niet goed verwerken van speciale elementen en is te misbruiken door middel van command injection. Ook bij dit lek zijn geen verdere details gegeven. Microsoft heeft de drie problemen verholpen en gebruikers hoeven geen actie te ondernemen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om via de officiële website van downloadtool JDownloader malware te verspreiden. JDownloader is een tool voor het downloaden van bestanden. Het is beschikbaar voor Linux, macOS en Windows. Bij de aanval werden de alternatieve links voor het downloaden van de Linux- en Windows-versies van JDownloader aangepast. De links wezen naar besmette versies. Eén van de ontwikkelaars laat op Reddit weten dat de aanvallers via een "ongepatchte kwetsbaarheid" de access control list (ACL) konden aanpassen. Vervolgens konden ze de edit-rechten aanpassen en de besmette links toevoegen. Verdere details over de kwetsbaarheid zijn niet gegeven. Het is daarnaast onduidelijk wat de besmette installers van JDownloader doen. De website van de downloadtool is op het moment van schrijven offline. Onlangs wisten aanvallers ook via de officiele websites van de populaire software Daemon Tools, CPU-Z en HWMonitor malware te verspreiden. bron: https://www.security.nl

Na de Copy Fail- en Dirty Frag-kwetsbaarheden waardoor lokale gebruikers op de meeste Linux-distrbuties root kunnen worden is er een soortgelijk probleem gevonden met de naam Electric Boogaloo. Sommigen stellen dat Linux-gebruikers vanwege de kwetsbaarheid er verstandig aan doen om de komende week even geen software te installeren, op de updates van hun distributie na. Electric Boogaloo maakt het mogelijk om de page-cache van elk leesbaar bestand te overschrijven. Bij de proof-of-concept exploit die van het lek misbruik maakt wordt een vermelding in /etc/passwd overschreven en voorzien van een nieuwe gebruiker met rootrechten, waarna er als deze gebruiker wordt ingelogd. Het is een soortgelijke kwetsbaarheid als het Copy Fail-lek, maar bevindt zich in een ander subsysteem, zo laat het beveiligingsbulletin weten. De exploit is getest tegen verschillende versies van Ubuntu, Debian, Archc en Fedora. In het bulletin wordt geen melding gemaakt van de beschikbaarheid van patches. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) houdt rekening met grootschalig misbruik van nieuwe Ivanti-kwetsbaarheden. Het Amerikaanse cyberagentschap CISA heeft overheidsinstanties opgedragen om de beschikbaar gestelde patches binnen drie dagen te installeren. Gisteren kwam Ivanti met een waarschuwing voor een actief aangevallen kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM). Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben. Begin dit jaar werd bekend dat een ander lek gebruikt was om de Ivanti EPMM-servers van meerdere Nederlandse overheidsinstanties te hacken, waaronder de Autoriteit Persoonsgegevens en Raad voor de Rechtspraak. Gisteren kwam Ivanti met beveiligingsupdates voor vijf kwetsbaarheden in EPMM, waarvan er één al actief wordt misbruikt. Via dit beveiligingslek (CVE-2026-6973) kan een aanvaller die al over admin-toegang beschikt code op de server uitvoeren. De andere kwetsbaarheden maken het onder andere mogelijk voor een geauthenticeerde aanvaller om admin-toegang te krijgen. Details over de kwetsbaarheden of exploitcode zijn nog niet beschikbaar, maar volgens het Nationaal Cyber Security Centrum kan dit snel veranderen. "Het NCSC verwacht dat op korte termijn Proof-of-Concept code publiek beschikbaar komt. Dit vergroot de kans grootschalig misbruik aanzienlijk", aldus de overheidsinstantie. Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security kan Amerikaanse overheidsinstanties opdragen om updates voor actief aangevallen kwetsbaarheden binnen een bepaalde tijd te installeren. Normaliter hanteert het CISA een deadline van twee weken. In het geval van het aangevallen Ivanti-lek hebben overheidsinstanties drie dagen de tijd gekregen om de patches uit te rollen. bron: https://www.security.nl

Mozilla heeft vorige maand mede dankzij het gebruik van AI een recordaantal van 423 kwetsbaarheden in Firefox verholpen. Niet eerder repareerde de browser-ontwikkelaar in één maand zoveel problemen. In heel 2025 ging het nog om totaal 258 beveiligingslekken die in Firefox werden gepatcht. Een groot deel van de vorige maand verholpen problemen in de browser werden ontdekt door het AI-model Claude Mythos Preview. Volgens Brian Grinstead van Mozilla is de situatie rond het gebruik van AI binnen beveiligingsonderzoek de afgelopen maanden drastisch veranderd. Een aantal maanden geleden werden door AI-gegenereerde bugmeldingen vaak weggezet als 'slop'. Sommige opensourceprojecten weigerden deze bugmeldingen zelfs, omdat het vaak om niet bestaande problemen ging en het uitzoeken ervan veel werk kostte. De AI-modellen die kwetsbaarheden kunnen vinden zijn de afgelopen periode drastisch verbeterd, aldus Grinstead. Daarnaast is Mozilla naar eigen zeggen veel beter geworden in het gebruik ervan. Zo heeft de Firefox-ontwikkelaar een pipeline opgezet waarbij het eenvoudig van AI-model kan wisselen, wat een groot aantal nieuwe kwetsbaarheden opleverde. Grinstead voegt toe dat elke gevonden bug zorg en aandacht vereist om adequaat te worden verholpen. Het wegwerken van het recordaantal kwetsbaarheden kostte de afgelopen maanden dan ook veel werk en 'lange dagen', aldus de Mozilla-medewerker. bron: https://www.security.nl

Een nieuwe kwetsbaarheid in Linux met de naam Dirty Frag maakt lokale aanvallers op meeste distributies root. Volgens de ontdekker van het probleem zijn er nog geen updates beschikbaar. Op Hacker News melden lezers dat het erop lijkt dat er inmiddels fixes voor de Linux-kernel zijn verschenen. Dirty Frag combineert twee verschillende kernel-kwetsbaarheden waardoor het mogelijk is om in het geheugen systeembestanden aan te passen. Een lokale aanvaller kan hierdoor zijn rechten naar die van root verhogen. Het probleem raakt vooral multi-tenant Linux omgevingen en shared-kernel containers. De kwetsbaarheid lijkt op de recent ondekte Copy Fail-kwetsbaarheid. Dit beveiligingslek was ook de reden voor onderzoeker Hyunwoo Kim om zijn onderzoek te doen. Copy Fail bevindt zich in de algif_aead module van de Linux-kernel. Systemen die maatregelen tegen Copy Fail hebben genomen zijn nog steeds kwetsbaar voor Dirty Frag, zo stelt de onderzoeker, omdat zijn aanval niet vereist dat de kwetsbare algif_aead module beschikbaar is. De Dirty Frag-aanval succesvol is getest op Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed 7.0.2, CentOS Stream 10, AlmaLinux 10, Fedora 44. Kim merkt op dat het embargo over de bekendmaking van de kwetsbaarheid is geschonden. Daarop heeft hij besloten de details en proof-of-concept exploitcode te publiceren. Patches zijn echter voor nog geen enkele distributie beschikbaar, aldus de onderzoeker. Die adviseert gebruikers om de modules waarin de twee kwetsbaarheden aanwezig zijn te verwijderen en de page cache op te schonen. Op Hacker News melden lezers dat erop lijkt dat voor de verschillende Linux-kernels inmiddels fixes zijn verschenen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), zo waarschuwt Ivanti vandaag. Er zijn beveiligingsupdates beschikbaar om het probleem te verhelpen, maar misbruik van het probleem vond al plaats voordat patches beschikbaar waren. Begin dit jaar werd bekend dat een ander lek gebruikt was om de Ivanti EPMM-servers van meerdere Nederlandse overheidsinstanties te hacken, waaronder de Autoriteit Persoonsgegevens en Raad voor de Rechtspraak. Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben. Het nu aangevallen beveiligingslek waarvoor Ivanti waarschuwt (CVE-2026-6973) maakt het mogelijk voor een aanvaller met admin-toegang om code op de server uit te voeren. De kwetsbaarheid wordt veroorzaakt door 'improper input validation', aldus het beveiligingsbulletin van Ivanti, waarin geen verdere informatie staat. Het bedrijf meldt dat het met 'zeer beperkt misbruik' bekend is. Sinds wanneer de aanvallen plaatsvinden en hoeveel klanten zijn getroffen wordt niet gemeld. Wel laat Ivanti weten dat klanten minder risico op misbruik lopen als ze eerder gegeven advies hebben opgevolgd. In januari gaf Ivanti het advies aan klanten die via twee andere lekken (CVE-2026-1281 en CVE-2026-1340) waren gehackt om inloggegevens te wijzigen. Mogelijk dat de aanvallers bij deze aanvallen gestolen inloggegevens in combinatie met CVE-2026-6973 hebben gebruikt. Verder stelt Ivanti dat het geen indicators of compromise kan geven. Het gaat in dit geval om technische informatie waarmee organisaties kunnen kijken of ze zijn gehackt. bron: https://www.security.nl

Een kritieke kwetsbaarheid in firewalls van Palo Alto Networks is sinds begin april misbruikt bij aanvallen, zo heeft het securitybedrijf zelf bekendgemaakt. Updates voor het beveiligingslek zijn nog niet beschikbaar en zullen op 13 en 28 mei verschijnen. Via het lek, aangeduid als CVE-2026-0300, kan een ongeauthenticeerde aanvaller op de firewall willekeurige code met rootrechten uitvoeren. Palo Alto Networks stelt dat het bekend is met 'beperkt misbruik' van de kwetsbaarheid. Zo vond op 9 april een aanval plaats die mislukte. Een week later lukte het de aanvallers wel om code op de firewall uit te voeren, waarbij er shellcode werd geïnjecteerd. Vervolgens werden de logbestanden door de aanvallers opgeschoond en crashdumpbestanden verwijderd om zo detectie te voorkomen. Bij de aanval maakten de aanvallers ook gebruik van tunneling tools EarthWorm en ReverseSocks5, vond er Active Directory enumeratie plaats met inloggegevens die vermoedelijk van de gehackte firewall afkomstig waren en werden logbestanden en ander bewijs van de aanval systematisch verwijderd. De aanvallen zijn volgens Palo Alto Networks vermoedelijk het werk van een statelijke actor. bron: https://www.security.nl

Update: Daemon Tools bevestigt verspreiding van malware via officiële website Disc Soft Limited, de ontwikkelaar van de populaire emulatiesoftware Daemon Tools, heeft bevestigd dat de officiële website van de tool malware verspreidde. Dinsdag waarschuwde antivirusbedrijf Kaspersky dat aanvallers de software van een backdoor hadden voorzien en dat deze besmette versie wekenlang via de officiële site werd aangeboden. De backdoor downloadt bij alle slachtoffers eerst een payload die informatie over het systeem verzamelt. Het gaat dan om zaken als MAC-adres, hostnaam, dns-domeinnaam, overzicht van actieve processen en geïnstalleerde software en systeemgegevens. Op basis van de verzamelde informatie wordt vervolgens bij een select aantal slachtoffers een tweede payload uitgevoerd. Het gaat om een remote access trojan waarmee de aanvallers volledige toegang tot het systeem hebben. Bij de meeste slachtoffers wordt alleen de eerste payload uitgevoerd. De backdoor is bij slechts een tiental machines waargenomen. Het gaat om overheden, wetenschappelijke organisaties, fabrieken en retailorganisaties in Rusland, Wit-Rusland en Thailand, aldus Kaspersky. Het werkelijke aantal kan hoger liggen, aangezien het hier alleen om detectie door Kaspersky gaat. Gisteren kwam Disc Soft Limited met een reactie op het incident. Het softwarebedrijf stelt dat alleen Daemon Tools Lite door de supplychain-aanval is getroffen. Inmiddels wordt de besmette versie niet meer aangeboden en kunnen gebruikers een schone versie downloaden. Gebruikers krijgen van het bedrijf het advies om de besmette applicatie te verwijderen, het systeem door antivirus te laten scannen en dan de nieuwste, schone versie te installeren. Experts en organisaties adviseren geregeld bij een besmetting om het systeem volledig opnieuw te installeren. Hoe aanvallers de officiële software van malware konden voorzien is nog niet bekendgemaakt. Disc Soft Limited zegt dat het onderzoek naar de aard en omvang van de aanval nog wordt onderzocht. Verder stelt de ontwikkelaar dat de verificatieprocedures worden aangescherpt om herhaling van dergelijke incidenten in de toekomst te voorkomen. bron: https://www.security.nl

Google heeft beveiligingsupdates voor Chrome uitgebracht die meerdere kritieke kwetsbaarheden verhelpen waardoor remote code execution mogelijk is. De afgelopen weken kwam Google meerdere keren met patches voor dergelijke impactvolle beveiligingslekken. Een aanvaller kan via dit soort kwetsbaarheden malafide code op het systeem van gebruikers uitvoeren, waarbij alleen het bezoeken van een gehackte of gecompromitteerde website of het te zien krijgen van besmette advertenties voldoende is. Er is geen verdere interactie van gebruikers vereist. De nu verholpen kritieke beveiligingslekken bevinden zich in Blink, Mobile en Chromoting. Blink is de browser-engine die Chrome gebruikt voor het weergeven van webcontent. Chromoting is het onderdeel van de browser die remote desktoptoegang mogelijk maakt. Twee van de drie kritieke beveiligingslekken waren door Google zelf gevonden. Het derde probleem werd door een externe onderzoeker gerapporteerd. Die ontving als beloning voor zijn bugmelding een bedrag van 43.000 dollar. Verdere details over de beveiligingslekken zijn nog niet gedeeld. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare updates binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 148.0.7778.96/97 is beschikbaar voor Windows en macOS. Voor Linux is versie 148.0.7778.96 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

De aanvallers die certificaatautoriteit DigiCert wisten te hacken maakten gebruik van een malafide screensaver-bestand. Dat heeft het bedrijf in een incidentrapport laten weten. Bij de aanval werden 27 certificaten gestolen die worden gebruikt voor het signeren van code. De aanvallers gebruikten deze certificaten vervolgens om hun malware mee te signeren. Uiteindelijk besloot DigiCert zestig certificaten in te trekken. Het incident begon op 2 april, toen de aanvaller een helpdeskmedewerker via een chatkanaal benaderde. Daarbij verstuurde de aanvaller een zip-bestand, dat zogenaamd een screenshot zou zijn. Het zip-bestand bevatte een .scr-bestand. Scr-bestanden zijn screensaver-bestanden, maar ook uitvoerbare bestanden. In dit geval bleek het bestand een malicious payload te bevatten. De beveiligingssoftware die DigiCert gebruikte blokkeerde vier infectiepogingen. Bij een vijfde poging werd de machine van een support-analist geïnfecteerd. DigiCert detecteerde de infectie en startte vervolgens een onderzoek. De conclusie was dat het incident onder controle was. Elf dagen later wees verder onderzoek uit, na te zijn getipt door een externe onderzoeker, dat ook een tweede machine van een andere analist op dezelfde manier besmet was geraakt. De beveiligingssoftware op dit systeem werkte niet naar behoren, waardoor de infectie niet tijdens het eerdere onderzoek werd opgemerkt. Via de tweede besmette machine kreeg de aanvaller toegang tot de interne support-portal van DigiCert. Via dit portaal kunnen DigiCert-medewerkers beperkte toegang tot klantaccounts krijgen. Via het portaal kreeg de aanvaller toegang tot codes voor bestelde en nog niet geleverde code signing certificaten, van een beperkt aantal klantaccounts. Met de code en goedgekeurde bestelling kon de aanvaller vervolgens de code signing certificaten in handen krijgen. Op basis van het onderzoek en de gecompromitteerde accounts besloot DigiCert zestig certificaten in te trekken, waarvan er 27 door de aanvallers waren gebruikt. Volgens DigiCert gingen er verschillende zaken verkeerd, waaronder de controle op bestandstypes binnen de gebruikte supportkanalen. Daarnaast was de endpoint detection en response (EDR)-dekking inconsistent en onvolledig, waardoor er een blinde vlek was. Verder waren de initialisatiecodes van de code signing certificaten niet goed beveiligd. Verder stelt de certificaatautoriteit dat het mazzel had. Een externe onderzoeker ontdekte het misbruik van de certificaten en waarschuwde DigiCert, waarop de tweede besmette machine werd ontdekt. bron: https://www.security.nl

Microsoft Edge bewaart wachtwoorden onversleuteld in het geheugen van het systeem, ook als ze niet in gebruik zijn. Dat meldt de Noorse beveiligingsonderzoeker Tom Jøran Sønstebyseter Rønning op X. Alle in Edge opgeslagen wachtwoorden worden automatisch tijdens het opstarten van de browser ontsleuteld in het procesgeheugen opgeslagen. "Dit gebeurt zelfs als je nooit een site bezoekt die van die inloggegevens gebruikmaakt", aldus de onderzoeker. Gebruikers moeten zich echter wel authenticeren om de wachtwoorden in de wachtwoordmanager van de browser te bekijken. "Terwijl het browserproces ze al in plaintext heeft", voegt de onderzoeker toe. Rønning stelt dat andere op Chromium-gebaseerde browsers, zoals Google Chrome, dit gedrag niet te vertonen. De onderzoeker rapporteerde het probleem aan Microsoft, maar het techbedrijf liet weten dat dit gedrag "by design" is, aldus Rønning. Die heeft inmiddels ook een tool gepubliceerd waarmee wachtwoorden uit het procesgeheugen van Edge zijn te lezen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een nieuwe kritieke kwetsbaarheid om firewalls van Palo Alto Networks te hacken en beveiligingsupdates zijn niet beschikbaar. Via het beveiligingslek in PAN-OS, het besturingssysteem dat op de firewalls draait, kan een ongeauthenticeerde aanvaller willekeurige code met rootrechten uitvoeren. De kwetsbaarheid (CVE-2026-0300) bevindt zich in de User-ID Authentication Portal (Captive Portal), die wordt gebruikt om gebruikers te authenticeren. Door het versturen van speciaal geprepareerde packets kan een aanvaller een buffer overflow veroorzaken, en vervolgens willekeurige code als root uitvoeren. Verdere details over het beveiligingslek zijn niet gegeven. Palo Alto Networks stelt dat organisaties minder risico lopen als ze de authenticatieportal niet toegankelijk maken voor het gehele internet. Volgens het securitybedrijf is er 'beperkt misbruik' waargenomen, maar om hoeveel klanten het precies gaat en sinds wanneer de aanvallen plaatsvinden is niet bekendgemaakt. Updates voor het probleem zijn nog niet beschikbaar. Die staan voor 13 en 28 mei gepland. Organisaties worden opgeroepen om de authenticatieportal te beveiligen door de toegang te beperken of de feature uit te schakelen als die niet wordt gebruikt. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de WordPress-plug-in Breeze Cache om websites aan te vallen. Een update voor het beveiligingslek is sinds 21 april beschikbaar, maar vele tienduizenden WordPress-sites hebben die nog niet geïnstalleerd. Daarnaast maakt de ontwikkelaar in de release notes geen duidelijke melding van het probleem. Breeze Cache is een 'caching plug-in' die de prestaties van WordPress-sites moet verbeteren, zodat die sneller bij gebruikers worden geladen. De plug-in is op meer dan 400.000 websites actief. Een kritieke kwetsbaarheid in de plug-in zorgt ervoor dat aanvallers, door het plaatsen van een reactie met een speciaal geprepareerde gebruikersnaam, willekeurige bestanden naar de webserver kunnen uploaden. Het kan dan gaan om PHP-backdoors wat tot remote code execution mogelijk leidt, aldus securitybedrijf Wordfence. Het kwetsbare onderdeel van de plug-in, 'Host Files Locally - Gravatars', staat niet standaard ingeschakeld. De leverancier van de plug-in kwam op 21 april met een beveiligingsupdate. In de release notes wordt het probleem niet duidelijk vermeld. Er staat alleen 'Enhanced Gravatar handling by enforcing official sources only, ensuring only valid images are cached.' Wordfence maakte het bestaan van de kwetsbaarheid op 22 april bekend en op dezelfde dag vond volgens het securitybedrijf al misbruik plaats. Hoeveel websites via het lek zijn gehackt is onduidelijk. Wel blijkt uit cijfers van Wordfence dat vele tienduizenden WordPress-sites de update missen. bron: https://www.security.nl

Oracle start op 28 mei met de allereerste Critical Security Patch Update (CSPU). Het gaat hierbij om beveiligingsupdates voor kritieke kwetsbaarheden in producten van het softwarebedrijf. Normaliter kwam Oracle eens per kwartaal met patches, maar het bedrijf zegt vanwege AI, dat sneller en efficiënter kwetsbaarheden zou kunnen vinden en verhelpen, hier nu vanaf te zien. Daarnaast moet de nieuwe aanpak ervoor zorgen dat klanten kritieke beveiligingsupdates eerder kunnen installeren, in plaats van te moeten wachten op het volgende kwartaal. Na de eerste CSPU op 28 mei hanteert Oracle een maandelijkse cadens, waarbij elke derde dinsdag van de maand de kritieke updates zullen verschijnen. Dit komt overeen met de kwartaal-updates van Oracle. Na 28 mei volgt de volgende CSPU op 16 juni. Op 21 juli vindt de al eerder geplande kwartaal-update plaats, gevolgd door een nieuwe CSPU op 18 augustus. bron: https://www.security.nl

Videodienst Viemo heeft de persoonlijke gegevens van 119.000 klanten en gebruikers gelekt. De data is inmiddels door de groep criminelen genaamd ShinyHunters op internet geplaatst. Dat laat Troy Hunt van datalekzoekmachine Have I Been Pwned weten. Eind april meldde Vimeo dat het te maken had gekregen met een beveiligingsincident, waarbij ook data van gebruikers en klanten was buitgemaakt. De data was gestolen bij Anodot, een bedrijf dat software levert waarmee bedrijven storingen en andere afwijkingen kunnen detecteren. Aanvallers zouden bij Anodot authenticatietokens hebben gestolen die klanten gebruiken om toegang te krijgen tot clouddata. Met die tokens zou vervolgens klantdata uit cloudomgevingen zijn buitgemaakt. De aanval op Anodot raakte meerdere klanten, waaronder ook Vimeo. Volgens de videodienst zijn gebruikers- en klantgegevens buitgemaakt. Het zou vooral gaan om technische data, titels en metadata, en in sommige gevallen ook e-mailadressen en namen. De aanval werd opgeëist door ShinyHunters. De criminele groepering dreigde de data openbaar te maken, tenzij er losgeld werd betaald. Vimeo ging niet op het dreigement in, waarop de data openbaar werd gemaakt. Het gaat onder andere om 119.000 e-mailadressen. Deze adressen zijn nu toegevoegd aan Have I Been Pwned. Via de website kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de gestolen e-mailadressen was 56 procent al via een ander datalek bij de site bekend. bron: https://www.security.nl

De officiële website van emulatiesoftware Daemon Tools verspreidt al wekenlang malware, zo beweert antivirusbedrijf Kaspersky. De virusbestrijder zegt dat het sinds 8 april duizenden infectiepogingen heeft waargenomen, zowel bij eindgebruikers als organisaties in meer dan honderd landen. Daemon Tools is populaire software voor het mounten van disk images. Binnen de software hebben aanvallers verschillende bestanden aangepast en voorzien van een backdoor. Deze backdoor downloadt bij alle slachtoffers eerst een payload die informatie over het systeem verzamelt. Het gaat dan om zaken als MAC-adres, hostnaam, dns-domeinnaam, overzicht van actieve processen en geïnstalleerde software en systeemgegevens. Op basis van de verzamelde informatie wordt vervolgens bij een select aantal slachtoffers een tweede payload uitgevoerd. Het gaat om een remote access trojan waarmee de aanvallers volledige toegang tot het systeem hebben. Kaspersky heeft infecties waargenomen in meer dan honderd landen, waarbij de meeste slachtoffers zich bevinden in Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en China. Tien procent van de getroffen machines is van organisaties en bedrijven, aldus de virusbestrijder. Bij de meeste slachtoffers wordt alleen de eerste payload uitgevoerd. De backdoor is bij slechts een tiental machines waargenomen. Het gaat om overheden, wetenschappelijke organisaties, fabrieken en retailorganisaties in Rusland, Wit-Rusland en Thailand, aldus Kaspersky. Wat het doel van de infecties is, is volgens de virusbestrijder nog onduidelijk. Kaspersky zegt dat het de ontwikkelaars van Daemon Tools heeft ingelicht zodat die actie kunnen ondernemen, maar meldt ook dat de supplychain-aanval nog 'ongoing' is bron: https://www.security.nl

Privacyorganisatie noyb heeft bij de Oostenrijkse privacytoezichthouder DSB een klacht over LinkedIn ingediend, omdat het bedrijf geld vraagt voor informatie over profielbezoeken. Volgens noyb hoort dergelijke informatie gratis aan gebruikers van het platform te worden verstrekt. LinkedIn houdt bij welke gebruikers het profiel van een gebruiker hebben bekeken. Alleen tegen betaling is het mogelijk om deze informatie over de afgelopen 365 dagen in te zien. "Onder EU-wetgeving hoort dergelijke persoonlijke data gratis toegankelijk te zijn", aldus noyb. Op dit moment moeten gebruikers een abonnement afsluiten om toegang tot deze informatie te krijgen. Noyb stelt dat LinkedIn de gegevens echter kosteloos moet verstrekken als onderdeel van AVG-inzageverzoeken die gebruikers kunnen doen en waar het platform verplicht gehoor aan moet geven. LinkedIn weigert de data als onderdeel van een inzageverzoek aan gebruikers te verstrekken. "Het verkopen van data aan eigen gebruikers is een populaire activiteit onder bedrijven. In werkelijkheid hebben mensen het recht om hun eigen data gratis te ontvangen. Het is absurd dat bedrijven alleen het belang van databescherming erkennen wanneer ze gegevens willen verkopen. LinkedIn heeft geen problemen om bepaalde data in ruil voor geld te verstrekken, maar maakt zich opeens zorgen over de privacy van andere gebruikers wanneer je het recht op inzage uitoefent", aldus noyb-advocaat Martin Baumann. Volgens de privacyorganisatie handelt LinkedIn in strijd met de AVG. Noyb heeft nu een klacht bij de Oostenrijkse privacytoezichthouder ingediend en wil dat LinkedIn wordt gedwongen tot het alsnog vrijgeven van de profielinformatie. Daarnaast wil de privacyorganisatie dat Microsofts platform een boete krijgt opgelegd om zo soortgelijke privacy-overtredingen in de toekomst te voorkomen. bron: https://www.security.nl

Wegens de ontwikkeling van AI-tools die kwetsbaarheden kunnen vinden en verhelpen heeft Oracle besloten om voortaan elke maand kritieke beveiligingsupdates uit te brengen. Softwarebedrijven zoals Adobe en Microsoft hanteren al geruime tijd een maandelijkse patchcyclus. Oracle komt eens per kwartaal met beveiligingsupdates, of in het geval van ernstige of aangevallen kwetsbaarheden met noodpatches die buiten deze cyclus om verschijnen. Volgens Oracle verandert de nieuwste generatie AI de snelheid waarmee kwetsbaarheden worden gevonden en verholpen. "Het up-to-date houden van systemen is één van de belangrijkste manieren om risico te verkleinen. Het tijdig installeren van updates beperkt blootstelling en waarborgt op de lange termijn de security", aldus het softwarebedrijf. Bij elke patchronde meldt Oracle echter dat het bekend is met gehackte klanten die nalieten om beschikbare updates te installeren. Om ervoor te zorgen dat klanten sneller beschermd zijn en updates ook sneller installeren start Oracle vanaf deze maand de maandelijkse Critical Security Patch Update (CSPU). Het gaat hier om patches voor kritieke beveiligingsproblemen die klanten meteen kunnen installeren, zonder dat ze mogelijk nog maanden moeten wachten op de patchonrde van het volgende kwartaal. De updates die via de CSPU beschikbaar komen zijn ook kleiner en gerichter, wat installatie volgens Oracle eenvoudiger zou moeten maken. bron: https://www.security.nl

Softwareontwikkelaar Progress waarschuwt voor een kritiek beveiligingslek in MOVEit Automation waardoor een aanvaller de authenticatie kan omzeilen en zo toegang tot het systeem kan krijgen. MOVEit Automation is een oplossing die organisaties en bedrijven gebruiken voor het uitwisselen van bestanden. Het zorgt specifiek voor de geautomatiseerde en periodieke uitwisseling van bestanden tussen interne systemen, externe partners en cloudplatforms. Een kwetsbaarheid in de oplossing, aangeduid als CVE-2026-4670, zorgt ervoor dat een aanvaller de authenticatie kan omzeilen en vervolgens toegang kan krijgen. Details over het beveiligingslek zijn niet gegeven. Wel waarschuwt Progress dat misbruik kan leiden tot ongeautoriseerde toegang, admincontrole en datalekken. Organisaties worden opgeroepen om de beschikbaar gestelde updates te installeren. Een beveiligingslek in MOVEit Transfer, een andere oplossing van Progress bedoelt voor bestandsopslag, werd drie jaar geleden gebruikt voor een grootschalige wereldwijde ransomware-aanval. Aanvallers wisten volgens securitybedrijf Emsisoft via dit specifieke lek (CVE-2023-34362) de MOVEit-servers van ruim 2700 organisaties te hacken, waarbij gegevens van zo'n 96 miljoen mensen werden gestolen. Het ging onder andere om TomTom, TenneT, Shell, Siemens Energy, British Airways, Sony en CCleaner. bron: https://www.security.nl

Cybersecuritybedrijf Trellix heeft te maken gekregen met een inbraak op een deel van de source code repository. Details, zoals hoe de ongeautoriseerde toegang mogelijk was en om welke source code het precies gaat, zijn niet gegeven. In een korte verklaring op de eigen website meldt Trellix dat het recentelijk ongeautoriseerde toegang tot een deel van de source code repository ontdekte. Na ontdekking van de inbraak is er een forensisch onderzoek ingesteld. Verder zijn de autoriteiten ingelicht. "Gebaseerd op ons onderzoek tot nu toe, hebben we geen bewijs gevonden dat onze source code release of distributieprocessen zijn geraakt, of dat er misbruik van onze source code is gemaakt." Trellix voegt toe dat het met meer informatie komt zodra het onderzoek is afgerond en dit gepast is. bron: https://www.security.nl

De ontwikkelaars van het op privacy gerichte besturingssysteem Tails hebben opnieuw een noodpatch uitgebracht, nu vanwege de Copy Fail-kwetsbaaheid. Aanvallers zouden gebruikers via het beveiligingslek kunnen ontmaskeren. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Tails maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Vorige week verscheen er al een noodpatch wegens kwetsbaarheden in Tor Browser, waar Tails standaard gebruik van maakt. Nu is het Copy Fail-lek in Linux de reden. Via deze kwetsbaarheid kan een lokale unprivileged gebruiker root worden. De Tails-ontwikkelaars melden dat applicaties binnen Tails Copy Fail kunnen gebruiken om adminrechten te krijgen. "Als een aanvaller misbruik van een andere onbekende kwetsbaarheid in met Tails meegeleverde applicaties kan maken, kunnen ze via Copy Fail volledige controle over je Tails krijgen en je de-anonimiseren." Gebruikers worden opgeroepen om te updaten naar versie Tails 7.7.2. bron: https://www.security.nl

Aanvallers maken actief misbruik van de Copy Fail-kwetsbaarheid in Linux, waardoor een lokale unprivileged gebruiker root kan worden, zo melden Microsoft en het Amerikaanse cyberagentschap CISA. Microsoft verwacht dat het misbruik op korte termijn verder zal toenemen. Het probleem, dat vorige week in het nieuws kwam, raakt genoeg alle Linux-distributies. Met name multi-tenant Linux omgevingen, shared-kernel containers en CI runners die niet vertrouwde code uitvoeren lopen risico op aanvallen. De Copy Fail-kwetsbaarheid bevindt zich in het crypto-subsysteem van de Linux-kernel en maakt het mogelijk voor een lokale unprivileged gebruiker om de cache van elk leesbaar bestand te corrumperen, waaronder setuid binaries. De page cache is een kopie in het geheugen dat de Linux-kernel leest wanneer een bestand wordt geladen. Door het aanpassen van deze cache kan een gebruiker root worden. Bij de Copy Fail-aanval worden dan ook geen bestanden op de schijf aangepast, alleen de versie in het geheugen. Dit maakt een eventuele aanval lastig te detecteren. "Deze kwetsbaarheid maakt het mogelijk om ongeautoriseerd de rechten naar root te verhogen, en raakt een groot deel van de cloud Linux workloads en miljoenen Kubernetes clusters", aldus Microsoft. "Hoewel actief misbruik beperkt is en voornamelijk waargenomen in proof-of-concept testen, heeft de brede toepasbaarheid van de kwetsbaarheid tot grote bezorgdheid geleid." Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldde op 1 mei dat het bekend was met actief misbruik van Copy Fail, maar geeft geen verdere details. Microsoft merkt op dat er inmiddels werkende proof-of-concept exploitcode online is verschenen en het 'testactiviteiten' heeft waargenomen. Dit zal volgens het techbedrijf waarschijnlijk het misbruik de komende dagen verder doen toenemen. Organisaties en beheerders worden opgeroepen om hun systemen te patchen. In het geval patches niet beschikbaar zijn adviseert Microsoft het uitschakelen van de betreffende feature, het implementeren van network isolation of het toepassen van access controls. bron: https://www.security.nl

Meer dan 44.000 installaties van cPanel en WebHost Manager (WHM) zijn zeer vermoedelijk gehackt via een nieuwe kritieke kwetsbaarheid, zo meldt The Shadowserver Foundation. De Amerikaanse en Australische autoriteiten bevestigen dat aanvallers misbruik van het probleem maken, aangeduid als CVE-2026-41940. De WebHost Manager (WHM) is een interface bedoeld voor hostingproviders die daarmee servers kunnen beheren en cPanel-accounts kunnen aanmaken en beheren. CPanel is een interface bedoeld voor individuele hosting-accounts. Hostingbedrijven en systeembeheerders maken er vaak gebruik van. CVE-2026-41940 is een authenticatie bypass kwetsbaarheid, waardoor ongeauthenticeerde aanvallers op afstand toegang tot het controlepaneel kunnen krijgen, alsmede op afstand code kunnen uitvoeren, zo laat het Australische Cyber Security Centre (ACSC) weten. Dat meldt dat het bekend is met actief misbruik van het cPanel/WHM-lek in Australië. Ook het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt voor actief misbruik. The Shadowserver Foundation is een stichting die zich bezig met de bestrijding van cybercrime houdt en onderzoek doet naar kwetsbare systemen op internet. De stichting heeft meerdere honeypots en zag zeker 44.000 ip-adressen van cPanel-installaties de honeypots scannen. In totaal zijn er volgens The Shadowserver Foundation zeker 650.000 cPanel-installaties vanaf het internet toegankelijk, waarvan bijna dertienduizend in Nederland. Hoeveel er daarvan zijn gecompromitteerd is onduidelijk. Updates voor CVE-2026-41940 zijn sinds 28 april beschikbaar, maar sommige partijen melden dat misbruik al sinds 23 februari plaatsvindt. bron: https://www.security.nl

De ontwikkelaars van het op privacy gerichte besturingssysteem Tails hebben wegens kwetsbaarheden in Tor Browser een noodpatch uitgebracht. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Tails maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. De standaard browser binnen Tails is Tor Browser, dat weer op Firefox is gebaseerd. Eerder deze week verscheen Firefox ESR 140.10.1, waarin meerdere kwetsbaarheden zijn verholpen, waaronder een kritiek beveiligingslek CVE-2026-7322. Via deze kwetsbaarheid zou mogelijk willekeurige code op het systeem van gebruikers kunnen worden uitgevoerd. Daarbij is alleen het bezoeken van een gehackte of malafide website voldoende, of het te zien krijgen van besmette advertenties. Er is geen verdere actie van gebruikers vereist. Vervolgens kwam Tor Browser met een nieuwe versie die nu ook aan Tails is toegevoegd. De ontwikkelaars merken op dat ze niet bekend zijn met misbruik van de beveiligingslekken in Tor Browser. Gebruikers worden opgeroepen om te updaten naar Tails 7.7.1. bron: https://www.security.nl