Captain Kirk

Antivirusbedrijf Trend Micro waarschuwt klanten voor een kritieke kwetsbaarheid in beveiligingsplatform Apex Central, waardoor een ongeauthenticeerde aanvaller op afstand code met SYSTEM-rechten kan uitvoeren. "Dit kan de integriteit en beveiliging van de getroffen systemen in gevaar brengen", aldus het Nationaal Cyber Security Centrum (NCSC). De impact van het beveiligingslek (CVE-2025-69258) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Er zijn deze week updates uitgebracht om het probleem te verhelpen. Apex Central is een platform voor het gecentraliseerd beheren van Trend Micro-producten en -diensten op de gateway, mailserver, fileserver en desktops. Het probleem zorgt ervoor dat een ongeauthenticeerde aanvaller een bericht naar Apex Central kan sturen, waardoor een DLL-bestand van de aanvaller in een proces van Apex Central wordt geladen. Zodoende wordt code van de aanvaller met SYSTEM-rechten uitgevoerd. De kwetsbaarheid werd gevonden door onderzoekers van securitybedrijf Tenable, maar die hadden de nodige moeite om het probleem bij Trend Micro te rapporteren. De kwetsbaarheid werd op 26 augustus vorig jaar gerapporteerd, maar Trend Micro had onder andere moeite met het ontsleutelen van de e-mail met informatie. Eind november besloot Tenable de MITRE Corporation te vragen om te helpen om de kwetsbaarheid bij Trend Micro onder de aandacht te brengen. Op 1 december liet de virusbestrijder weten dat het probleem was onderzocht en werden er excuses voor de "communication breakdown" gemaakt. Ook vroeg het bedrijf aan Tenable om details van de kwetsbaarheid later bekend te maken. Kwetsbaarheden in Apex Central zijn in het verleden verschillende keren gebruikt bij aanvallen tegen organisaties. bron: https://www.security.nl

Softwarebedrijf SmarterTools heeft een kritieke kwetsbaarheid in SmarterMail, waardoor een ongeauthenticeerde aanvaller willekeurige code op de mailserver kan uitvoeren, stilletjes gepatcht, zo beweert securitybedrijf watchTowr. Klanten van de mailoplossing zijn zeer verontwaardigd over de situatie. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. Op 29 december maakte de Singaporese overheid bekend dat er een zeer kritieke kwetsbaarheid in SmarterMail aanwezig is, aangeduid als CVE-2025-52691. Via het beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige bestanden naar elke locatie op de mailserver uploaden, wat kan leiden tot remote code execution. Gebruikers werden door de autoriteiten opgeroepen om meteen naar build 9413 te updaten. Het CVE-nummer voor de kwetsbaarheid verscheen op 28 december. Onderzoekers van watchTowr zagen dat build 9413 al op 10 oktober vorig jaar was gepubliceerd. In de release notes wordt alleen gesproken over "general security fixes". Er wordt nergens melding van CVE-2025-52691 gemaakt. De onderzoekers analyseerden de genoemde versie en ontdekten dat deze build het probleem inderdaad verhelpt. Ook maakten ze een technische analyse van de kwetsbaarheid, waarin ze stellen dat SmarterTools het lek stilletjes heeft gepatcht. Klanten van SmarterTools zijn zeer verontwaardigd over het achterhouden van deze belangrijke informatie, zo blijkt uit een forumtopic op de website van het softwarebedrijf. SmarterTools zegt dat het de informatie heeft achtergehouden om aanvallers niet wijzer te maken en klanten de tijd te geven om de update te installeren. Het softwarebedrijf heeft naar aanleiding van alle kritiek gisteren een e-mail over de kwetsbaarheid naar klanten gestuurd. In het forumtopic maken verschillende klanten ook melding dat ze malware op hun mailserver hebben aangetroffen. Of dit het gevolg is van actief misbruik van CVE-2025-52691 is nog niet bevestigd. bron: https://www.security.nl

Vorig jaar is een recordaantal kwetsbaarheden in Windows actief misbruikt bij aanvallen, waar op het moment van de aanval nog geen beveiligingsupdate voor beschikbaar was. Dat blijkt uit cijfers van Google die Security.NL analyseerde. Google houdt al jaren een overzicht bij van actief aangevallen kwetsbaarheden in populaire producten. Vorig jaar werden 43 kwetsbaarheden geregistreerd, waarvoor pas na ontdekking van het misbruik een patch verscheen. Van de 43 kwetsbaarheden bevonden zich er 18 in Windows. Niet eerder werden er zoveel actief aangevallen beveiligingslekken in het besturingssysteem van Microsoft waargenomen. In 2024 ging het nog om 9 kwetsbaarheden en in 2023 registreerde Google 12 aangevallen Windows-lekken. Nagenoeg alle Windows-kwetsbaarheden die vorig jaar bij aanvallen werden waargenomen maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen, en zo het systeem verder te compromitteren, of om bepaalde beveiligingsmaatregelen te omzeilen. Google rapporteerde 8 actief aangevallen kwetsbaarheden in de eigen producten, voornamelijk in Chrome. Het techbedrijf registreerde in 2024 nog 16 beveiligingslekken in de eigen software waar op het moment van de aanval geen update voor beschikbaar was. Apple zag volgens Google het aantal misbruikte kwetsbaarheden stijgen van 5 in 2024 naar 9 in 2025. In 2023 ging het echter nog om 20 beveiligingslekken, voornamelijk in iOS en WebKit. bron: https://www.security.nl

Drie kwetsbaarheden in VMware ESXi zijn mogelijk een jaar voordat beveiligingsupdates beschikbaar kwamen om ze te verhelpen, misbruikt bij aanvallen. Dat stelt securitybedrijf Huntress op basis van onderzoek. Ook al zijn updates beschikbaar, nog zo'n 34.000 ESXi-servers zijn niet gepatcht, waaronder achthonderd in Nederland. Via de kwetsbaarheden kunnen aanvallers vanuit een virtual machine toegang tot de onderliggende hypervisor krijgen. Dit is de software waarmee virtual machines worden gemaakt en op draaien. De kwetsbaarheden (CVE-2025-22224, CVE-2025-22225 en CVE-2025-22226) werden op 4 maart 2025 gepatcht in VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion, VMware Cloud Foundation en VMware Telco Cloud Platform. De gevaarlijkste kwetsbaarheid is CVE-2025-22224. Het gaat om een out-of-bounds write waardoor een aanvaller vanuit de virtual machine code op de onderliggende host kan uitvoeren. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. De andere twee VMware-kwetsbaarheden hebben een lagere impactscore en maken het mogelijk voor een aanvaller om geheugen van het vmware-proces te lekken en uit de sandbox-beveiliging van de software te breken. Bij het uitbrengen van de updates meldde Broadcom dat er al actief misbruik van de kwetsbaarheden was gemaakt. Sinds wanneer dit misbruik plaatsvond liet het bedrijf niet weten. Volgens Huntress zijn de beveiligingslekken mogelijk al een jaar voor het uitkomen van de updates misbruikt. Het securitybedrijf baseert zich op een exploit-toolkit die bij aanvallen tegen VMware ESXi-hypervisors werd ingezet. Met "moderate confidence" stelt Huntress dat deze exploit-toolkit gebruikmaakt van de drie bovengenoemde kwetsbaarheden. In de toolkit werd een path aangetroffen met een datum van 19 februari 2024, wat volgens de onderzoekers suggereert dat misbruik al geruime tijd voor het verschijnen van de patches plaatsvond. Via de toolkit wordt een backdoor op de ESXi-hypervisor geïnstalleerd. De onderzochte exploit-toolkit ondersteunt 155 verschillende ESXi builds, van versie 5.1 tot en met 8.0. Sommige van deze versies zijn end-of-life en worden niet meer ondersteund. Volgens The Shadowserver Foundation missen op het moment van schrijven nog zo'n 34.000 ESXi-servers de updates die Broadcom vorig jaar maart beschikbaar stelde. Het gaat onder andere om achthonderd machines in Nederland. bron: https://www.security.nl

Een kritieke kwetsbaarheid in jsPDF, een library om in JavaScript pdf-bestanden te genereren, maakt het mogelijk voor aanvallers om gevoelige informatie van servers te stelen. De impact van de kwetsbaarheid (CVE-2025-68428) is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. JsPDF wordt op grote schaal gebruikt om pdf-documenten in JavaScript-applicaties te genereren. Via npm, de standaard package manager voor de JavaScript-omgeving Node.js, wordt jsPDF bijna vier miljoen keer per week gedownload. De kwetsbaarheid zorgt ervoor dat invoer van gebruikers wordt doorgegeven als een "file path argument". Een aanvaller kan hier misbruik van maken door jsPDF een specifiek bestand op het lokale file system te laten uitlezen en de inhoud daarvan vervolgens toe te laten voegen aan het te genereren pdf-bestand. Een aanvaller kan zo willekeurige bestanden uitlezen. Dit is vooral een probleem bij organisaties die jsPDF server-side draaien en de applicatie gebruikersinvoer laten verwerken. "Succesvol misbruik leidt tot het ongeautoriseerd openbaar maken van gevoelige data, waaronder configuratiebestanden, omgevingsvariabelen en andere bestanden die toegankelijk zijn voor het Node.js proces. De inhoud van bestanden wordt letterlijk toegevoegd aan gegenereerde pdf-bestanden, waardoor datadiefstal via normale applicatie-uitvoer mogelijk is. Daardoor moet dit als een kritieke kwetsbaarheid worden beschouwd", stelt securitybedrijf Endor Labs. Het probleem is verholpen in jsPDF 4.0.0, waardoor tot het file system standaard is beperkt. bron: https://www.security.nl

Onderzoekers hebben twee extensies voor Google Chrome gevonden, met in totaal 900.000 downloads, die gesprekken met chatbots ChatGPT en DeepSeek stelen. Dat meldt securitybedrijf OX Security. Volgens de onderzoekers doen de twee extensies, met de naam 'Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI' en 'AI Sidebar with Deepseek, ChatGPT, Claude and more', zich voor als een legitieme extensie van het bedrijf AItopia. Deze extensie voorziet de browser van een sidebar om zo met allerlei AI-chatbots te chatten. De twee malafide Chrome-extensies vragen gebruikers toestemming voor het verzamelen en versturen van "anonieme, niet-identificeerbare analytics data". In werkelijkheid worden echter volledige gesprekken met ChatGPT en Deepseek verzameld. Eén van de extensies heeft de "Featured" badge van Google gekregen. Google kent deze badge toe aan extensies die 'technische best practices' volgen en aan een 'hoge standaarden' voor gebruikerservaring en -ontwerp voldoen. Naast chatgesprekken kunnen de extensies ook volledige url's, zoekopdrachten, url-parameters met gevoelige data en interne bedrijfs-url's stelen. Gebruikers die de betreffende extensies hebben geinstalleerd worden dan ook opgeroepen die te verwijderen. Onlangs waarschuwde een ander securitybedrijf voor verschillende Chrome- en Edge-extensies, met miljoenen installaties, die ook gesprekken met AI-chatbots onderscheppen en terugsturen. bron: https://www.security.nl

Workflow-automationplatform n8n waarschuwt voor een kritieke kwetsbaarheid die het mogelijk maakt op afstand code uit te voeren op kwetsbare systemen. Het gaat om CVE-2026-21877, waarvan de ernst is beoordeeld als 10 op een schaal van 10. Volgens n8n kan een geauthenticeerde gebruiker onder specifieke omstandigheden "onvertrouwde" code laten uitvoeren door de n8n service. “Dit kan leiden tot een volledige compromittering van de getroffen instance,” aldus het beveiligingsadvies. De kwetsbaarheid is ontdekt door securityonderzoeker Théo Lelasseux en treft zowel zelfgehoste als n8n Cloud-instances. Versies 0.123.0 tot 1.121.3 zijn kwetsbaar. Het lek is gedicht in versie 1.121.3, die sinds november 2025 beschikbaar is. Gebruikers wordt dringend aangeraden te updaten naar 1.121.3 of nieuwer. Indien direct patchen niet mogelijk is, adviseert n8n de Git-node uit te schakelen en toegang voor "onvertrouwde" gebruikers te beperken. bron: https://www.security.nl

Diverse verouderde D-Link DSL-gateways blijken een kwetsbaarheid te bevatten, die het injecteren van commando's mogelijk maakt. De kwetsbaarheid zit in het dnscfg.cgi-endpoint, dat door gebruikers aangeleverde DNS-configuratie instellingen niet juist controleert. Hiervoor waarschuwt D-Link. Het lek geeft kwaadwillenden de mogelijkheid commando's te injecteren en uit te voeren op kwetsbare D-Link DSL-routers. In ieder geval de DSL-2740R, DSL-2640B, DSL-2780B en DSL-526B zijn kwetsbaar. Deze gateways zijn tussen 2016 en 2019 door D-Link op de markt gebracht. De apparaten zijn sinds begin 2020 end-of-life. D-Link adviseert eigenaren de apparaten daarom niet meer te gebruiken en te vervangen door modellen die wel ondersteuning krijgen. Het lek is ontdekt door The Shadowserver Foundation. Het is onduidelijk of alleen de genoemde modellen kwetsbaar zijn. D-Link meldt dat variaties in firmware-implementaties en productgeneraties de identificatie van kwetsbare modellen bemoeilijken. Het bedrijf geeft aan met een update te komen indien ook andere modellen kwetsbaar blijken. bron: https://www.security.nl

Cybercriminelen maken gebruik van complexe e-mailroutingscenario's en verkeerd geconfigureerde spoofingbeveiliging om domeinen van organisaties te imiteren, waarschuwt Microsoft. Hierdoor kunnen phishingberichten ondanks maatregelen toch bij werknemers terechtkomen. De aanvalsmethode is niet nieuw, maar wordt sinds mei 2025 vaker waargenomen. De berichten zijn vaak opportunistisch en richten zich op uiteenlopende sectoren. Veelvoorkomende thema's zijn onder meer voicemails, gedeelde documenten, HR-communicatie, wachtwoordresets of verlopen inloggegevens. Microsoft waarschuwt dat indien MX-records niet naar Office 365 wijzen en spoofingbeveiliging niet strikt is afgedwongen, aanvallers phishingberichten kunnen versturen die afkomstig lijken van het eigen domein van de organisatie. De meeste phishingcampagnes die deze methode gebruiken, maken volgens Microsoft deel uit van phishing-as-a-service (PhaaS)-platforms zoals Tycoon2FA. In oktober 2025 blokkeerde Microsoft Defender for Office 365 meer dan 13 miljoen kwaadaardige e-mails gelinkt aan Tycoon2FA, waaronder veel berichten die domeinen van organisaties imiteerden. Deze platforms bieden aanvallers kant-en-klare phishingberichten, infrastructuur en ondersteuning, waaronder adversary-in-the-middle (AiTM)-phishing om multifactorauthenticatie (MFA) te omzeilen. Organisaties kunnen onder meer via e-mailheaders achterhalen dat berichten niet intern zijn verstuurd, maar afkomstig zijn van externe IP-adressen. Andere belangrijke indicatoren zijn SPF-foutmeldingen, fouten bij het DMARC-authenticatieproces of het ontbreken van DKIM. Indien bij een e-mail X-MS-Exchange-Organization-InternalOrgSender op 'True' staat maar X-MS-Exchange-Organization-MessageDirectionality 'Incoming' aangeeft, is dit eveneens een signaal dat e-mails extern zijn verzonden. Microsoft wijst op een aantal maatregelen die organisaties kunnen nemen om zichzelf te beschermen: Configureer spoofingbeveiliging strikt: stel DMARC in op 'reject', SPF op 'hard fail' en configureer DKIM correct. Controleer externe connectors: Zorg dat derden (zoals spamfilters) correct zijn geconfigureerd voor het detecteren van spoofing. Microsoft Defender for Office 365: Schakel Safe Links in voor tijdige URL-scans en Zero-hour auto purge (ZAP) om achteraf kwaadaardige berichten te blokkeren. Implementeer phishing-resistente MFA: Microsoft adviseert het gebruik van FIDO2-beveiligingssleutels, Windows Hello for Business of Microsoft Authenticator-passkeys. bron: https://www.security.nl

Ledger, aanbieder van cryptowallets, waarschuwt voor een security-incident. Onbevoegden hebben via betalingsverwerker Global-e toegang gekregen tot persoonlijke gegevens van Ledger-gebruikers. Het gaat onder meer om namen en contactinformatie. ZachXBT, een crypto investeerder die vaker informatie deelt over crypto-gerelateerde security-incidenten, deelt op X een e-mail die Ledger naar klanten heeft gestuurd. Het bedrijf waarschuwt hierin dat Global-e ongebruikelijke activiteiten heeft gedetecteerd in cloudsystemen van Ledger. De aanbieder van cryptowallets meldt dat het forensische experts heeft ingeschakeld om het incident te onderzoeken. Op basis van dit onderzoek meldt Ledger dat namen en contactinformatie zijn ingezien door onbevoegden. Ledger was eerder ook al doelwit van cyberaanvallen. Zo lekte in juni 2020 meer dan een miljoen e-mailadressen van Ledger-klanten uit via e-commercepartner Shopify. In 2023 werd bijna een half miljoen dollar gestolen van Ledger. In een verklaring aan CoinDesk wijst Ledger erop dat het security incident heeft plaatsgevonden bij Global-e. Het benadrukt dat Global-e geen toegang heeft tot onder meer secrets van klanten of inzicht heeft in hun wallets. bron: https://www.security.nl

WhatsApp neemt maatregelen tegen kwetsbaarheden die device fingerprinting mogelijk maken. Kwaadwillenden kunnen hierdoor minder eenvoudig details over het mobiele apparaat van een beoogd slachtoffer achterhalen. Dit meldt Tal Be'ery, medeoprichter en CTO van Zengo Wallet. Be'ery meldt dat WhatsApp door zijn populariteit een waardevolle tool is voor veel cybercriminelen. Om een slachtoffer succesvol met malware te besmetten, moeten aanvallers bijvoorbeeld vooraf achterhalen welk besturingssysteem hij of zij gebruikt. Zengo Wallet waarschuwde begin 2024 al dat WhatsApp allerlei informatie over het apparaat van zijn gebruikers lekt. De kern van het probleem zit volgens het bedrijf in het end-to-end-encryptieprotocol dat WhatsApp gebruikt. Elk apparaat van een eindgebruiker maakt bijvoorbeeld gebruik van een losstaande sessie die met het apparaat van de verzender is verbonden, waarbij verschillende encryptiesleutels worden gehanteerd. Dit maakt het mogelijk individuele apparaten te identificeren, meldt Zengo Wallet. Ook toonde het bedrijf aan hoe deze sessies gebruikt kunnen worden om aanvallen op een specifiek apparaat te richten. Daarnaast bleek in 2025 dat device fingerprinting mogelijk is, wat aanvallers in staat stelt het exacte besturingssysteem op een apparaat te identificeren. Dit maakt het mogelijk malware aan het slachtoffer af te leveren die specifiek is afgestemd op het apparaat van de gebruiker, wat de slagingskans van de besmettingspoging verhoogt. Be'ery meldt dat WhatsApp nu stilletjes maatregelen neemt om device fingerprinting tegen te gaan. De CTO spreekt van een 'welkome verandering' in de houding van moederbedrijf Meta ten opzichte van device fingerprinting, wat het eerder niet actief aanpakte. Wel meldt Be'ery dat aanvallers op basis van One-Time PK ID nog altijd kunnen achterhalen of apparaten op Android of iOS draaien. bron: https://www.security.nl

Opnieuw is een malwarecampagne ontdekt waarbij malafide boekingswebsites die lijken op bijvoorbeeld Booking.com worden ingezet als lokmiddel om slachtoffers te misleiden. Slachtoffers worden verleid om kwaadaardige PowerShell-commando’s uit te voeren. De campagne maakt gebruik van DCRat, malware die volledige externe toegang mogelijk maakt en secundaire payloads kan installeren. De infectie verloopt via verschillende stappen, meldt securitybedrijf Securonix. Slachtoffers ontvangen een phishingmail met een link naar een nep-Booking.com-pagina, vermomd als een reserveringsannulering. Op de frauduleuze website verschijnt een nep-CAPTCHA-foutmelding. Wie hierop klikt, krijgt een vals Blue Screen of Death (BSOD) te zien. Gebruikers worden vervolgens verleid een kwaadaardig script in het Uitvoeren-venster van Windows te plakken. Het script downloadt een MSBuild-projectbestand (v.proj). MSBuild.exe compileert en voert de ingesloten payload uit. Om detectie te voorkomen schakelt de malware Windows Defender uit en installeert een .url-bestand in de Opstartmap voor blijvende toegang. De uiteindelijke payload is staxs.exe, dat verbinding legt met een command-and-control-server (C2) en een secundaire payload in aspnet_compiler.exe injecteert. De malware kan zichzelf onder meer verstoppen in legitieme processen, toetsaanslagen vastleggen en aanvallers persistente toegang geven tot systemen. Ook kunnen aanvallers met DCRat aanvullende malware installeren op systemen van slachtoffers. De campagne richt zich met name op Europese organisaties in de hospitalitysector. De phishingmails vermelden kamertarieven in euro’s. Het v.proj-bestand bevat Russischtalige code, wat volgens de onderzoekers wijst op banden met Russische dreigingsactoren die DCRat gebruiken. bron: https://www.security.nl

Kwetsbaarheden in een AI-chatbot van treinmaatschappij Eurostar maakten het mogelijk de ingebouwde guardrails te omzeilen. Hierdoor was het onder meer mogelijk cross-site scripting (XSS)-aanvallen uit te voeren en interne prompts van de chatbot te laten uitlekken. De beveiligingsproblemen zijn ontdekt door Pen Test Partners, dat op zijn blog details deelt. De onderzoekers melden dat de API van de AI-chatbot zwakke plekken bevat. Zo controleerde de chatbot uitsluitend het meest recente bericht op veiligheid, maar oudere berichten werden nooit opnieuw geverifieerd. Door in eerste instantie een onschuldig bericht naar de chatbot te sturen en vervolgens later aan te passen, werd dit bericht zonder verdere controle als onschuldig beschouwd. Pen Test Partners meldt het lek via het vulnerability disclosure-programma te hebben gemeld, maar hierop in eerste instantie geen reactie te hebben gekregen. Later bleek dat de meldingen van de onderzoekers verloren waren gegaan bij de migratie naar een nieuwe meldpagina en een nieuw meldproces voor bugs. Ken Munro, managing partner van Pen Test Partners, besloot via LinkedIn contact op te nemen met het hoofd beveiliging van Eurostar. Munro vroeg daarbij Eurostar om een bevestiging dat hun meldingen waren ontvangen. "Sommigen zien dit als afpersing", antwoordde het hoofd beveiliging op deze vraag. "Om te zeggen dat we verrast en verward waren, is een enorme understatement – we hadden in goede trouw een kwetsbaarheid gemeld, werden genegeerd en hebben daarom via een privébericht op LinkedIn geëscaleerd. Volgens mij vereist de definitie van afpersing een dreiging, en die is er natuurlijk nooit geweest. Zo werken wij niet!", schrijft Pen Test Partners. bron: https://www.security.nl

Naast je wachtwoord aanpassen zou ik ook adviseren om de 2FA te activeren. En scan voor de zekerheid je computer eens goed op virussen etc. Eventueel kun je hier aan het team hulp vragen om je pc goed te laten doorlichten. Vervelend. Succes en heb je vragen, je hebt ons inmiddels weten te vinden

Een kwetsbaarheid in Roundcube Webmail maakt het mogelijk voor aanvallers om op afstand e-mailaccounts over te nemen. Beveiligingslekken in RoundCube zijn in het verleden vaker gebruikt bij aanvallen en de Poolse overheid spreekt van een gevaarlijke kwetsbaarheid. Er zijn updates beschikbaar om het probleem te verhelpen. Roundcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. Het beveiligingslek (CVE-2025-68461), gevonden door een onderzoeker van securitybedrijf CrowdStrike, betreft een cross-site scripting (XSS) probleem. Het zorgt ervoor dat een aanvaller door het versturen van een e-mail met een speciaal geprepareerd SVG-bestand JavaScript-code in de browser van een gebruiker kan uitvoeren. Zo is het bijvoorbeeld mogelijk om e-mails te stelen of zelfs een e-mailaccount over te nemen, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC). Organisaties worden opgeroepen om te updaten naar versies 1.6.12 en 1.5.12. bron: https://www.security.nl

Onderzoekers hebben verschillende malafide browser-extensies voor Google Chrome, Microsoft Edge en Mozilla Firefox ontdekt die data van online meetings stelen, die bijvoorbeeld via Zoom, Microsoft Teams en Cisco WebEx plaatsvinden. Dat laat securitybedrijf Koi Security weten. De in totaal achttien extensies zijn volgens de onderzoekers bij elkaar meer dan 2,2 miljoen keer gedownload. De extensies doen zich voor als productiviteitstools, zoals videodownloaders, meeting timers en recording assistants. Daarbij bieden deze extensies ook de beloofde functionaliteit. Een van deze extensies, Chrome Audio Capture, telt meer dan 800.000 downloads. De extensies vragen toegang tot meer dan 28 videovergaderplatforms. Zodra gebruikers aan een videovergadering deelnemen worden meeting URL met embedded wachtwoorden, meeting ID's, onderwerpen, omschrijving, tijd en registratiestatus verzameld en naar de aanvallers verstuurd. "De extensies scrapen systematisch professionele informatie van webinar speakers en hosts - namen, functieomschrijving, bio's, profielfoto's en bedrijfsrelaties", aldus de onderzoekers. "Voor elk geregistreerd webinar maken de extensies een professioneel dossier van de sprekers aan. Naast deze personen verzamelen ze bedrijfslogo's, graphics en session timing - waarbij wordt bijgehouden of registraties succesvol of niet succesvol zijn." Het meest verontrustende aspect van de extensies is volgens de onderzoekers niet alleen het verzamelen van de data, maar hoe het wordt teruggestuurd. Dit vindt plaats via een websocket-verbinding voor live streaming. Zo worden de meeting-activiteiten in real-time gestreamd. "Het moment dat je aan een meeting deelneemt, een registratiepagina opent, of naar een videovergaderplatform gaat, gaat die data meteen naar de server van de aanvaller." Volgens de onderzoekers kan de verzamelde informatie voor bedrijfsspionage, 'sales intelligence' en social engineering worden gebruikt. bron: https://www.security.nl

Een besmette tool voor het activeren van Windows, die in de achtergrond cryptovaluta steelt, is wereldwijd zo'n 2,8 miljoen keer gedownload. Dat laat de Zuid-Koreaanse politie weten. Een verdachte die voor de malware verantwoordelijk zou zijn is na een internationaal arrestatiebevel aangehouden en uitgeleverd aan Zuid-Korea. KMSAuto is een tool voor het activeren van illegale Windowsversies. Volgens de Zuid-Koreaanse autoriteiten werd een aangepaste, besmette versie van KMSAuto tussen april 2020 en januari 2023 zo'n 2,8 miljoen keer gedownload. De aangepaste versie was besmet met clipper-malware. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer of telefoon. Clipper-malware op het systeem kan het gekopieerde adres aanpassen naar een adres van de aanvaller. Zodra het slachtoffer het adres op de transactiepagina plakt, en niet goed oplet, maakt hij zo geld over naar de wallet van de aanvaller in plaats van de oorspronkelijk bedoelde begunstigde. De verdachte zou op deze manier een miljoen euro aan cryptovaluta hebben gestolen. Verschillende slachtoffers van de malware bevinden zich in Zuid-Korea. Deze personen zouden bij elkaar ruim 9.000 euro aan crypto hebben verloren. Het onderzoek naar de malware leidde naar een Litouwse man. Die werd door de Georgische autoriteiten aangehouden toen hij van Litouwen naar Georgië vloog. Inmiddels is de verdachte aan Zuid-Korea uitgeleverd. Om besmettingen met malware te voorkomen adviseert de Zuid-Koreaanse politie onder andere om geen illegale software te gebruiken. bron: https://www.security.nl

Zo'n 75.000 mogelijk kwetsbare MongoDB-servers, waarvan 1600 in Nederland, zijn toegankelijk vanaf het internet. Daarvoor waarschuwt The Shadowserver Foundation op basis van eigen onderzoek. Na de Australische overheid laat ook de Amerikaanse overheid weten dat aanvallers actief misbruik van een kwetsbaarheid in MongoDB maken, ook bekend als MongoBleed en CVE-2025-14847. Het probleem is al 8 jaar in de code van MongoDB aanwezig. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt voor de opslag van data. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand ongeïnitialiseerd heapgeheugen van de server uitlezen en zo gevoelige informatie als inloggegevens, session tokens en persoonlijke informatie stelen. The Shadowserver Foundation deed onderzoek en detecteerde bijna 79.000 MongoDB-servers die vanaf internet toegankelijk zijn. Van vierduizend servers kon worden vastgesteld dat die de beveiligingsupdate voor CVE-2025-14847 hebben geïnstalleerd. Vanwege de mogelijkheid om patches te backporten, waarbij het versienummer ongewijzigd blijft, valt echter niet met zekerheid te zeggen dat de overige 75.000 kwetsbaar zijn. Van de mogelijk kwetsbare MongoDB-servers bevinden zich er zestienhonderd in Nederland. Het beveiligingslek werd in mei 2017 in MongoDB geïntroduceerd. Volgens software engineer Stanislav Kozlovski is het onbekend of de kwetsbaarheid misbruikt is voordat die bekend werd gemaakt. "Maar gegeven de eenvoud ervan denk ik van wel." bron: https://www.security.nl

De Duitse hackersclub CCC pleit voor een digitale onafhankelijkheidsdag van Big Tech en organiseert het komende jaar allerlei workshops om mensen hierbij te helpen. Tijdens het jaarlijkse congres van de Chaos Computer Club (CCC), het Chaos Communications Congress dat sinds zaterdag in Hamburg plaatsvindt, werd gisteren opgeroepen tot een digitale onafhankelijkheidsdag. Volgens de CCC heeft Big Tech Europa in de houdgreep. Overheden zouden hier echter niets aan willen doen. "WhatsApp, Instagram, X of Facebook zijn miljarden waard. Hun echte waarde zijn wij, de gebruikers", aldus de CCC. De hackersclub merkt op dat ook clouddiensten gebruikersdata steeds vaker als grondstof beschouwen, onder andere om ervoor te zorgen dat gebruikers en organisaties steeds afhankelijker van hen worden. Het overstappen op alternatieven kan echter lastig zijn, mede omdat zoveel mensen van de huidige platforms gebruikmaken. De CCC wil daarom de eerste zondag van elke maand via aangesloten hackerspaces workshops organiseren waarin mensen wordt uitgelegd hoe ze van WhatsApp, Gmail, Windows of commerciële socialmediaplatforms kunnen overstappen. "We laten zien dat alternatieven werken, en we roepen je op om je vrienden en kennissen mee te nemen. Om de boodschap te verspreiden, gebruiken we zowel nieuwe als oude social media om onze ervaringen te delen." bron: https://www.security.nl

Aanvallers maken actief misbruik van een vijf jaar oude kwetsbaarheid in het SSL VPN-onderdeel van FortiOS, zo waarschuwt Fortinet. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en VPN-systemen. Via het beveiligingslek (CVE--2020-12812) kan een aanvaller de ingeschakelde tweefactorauthenticatie (2FA) voor een VPN-account omzeilen. Het probleem doet zich voor wanneer 2FA staat ingeschakeld in de "user local" setting en er een remote authenticatiemethode voor deze gebruiker staat geconfigureerd. Door het wijzigen van de gebruikersnaam kan een aanvaller dan de 2FA omzeilen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Fortinet kwam op 13 juli 2020 met een beveiligingsbulletin voor de kwetsbaarheid en maakte het bestaan van beveiligingsupdates bekend. In 2021 waarschuwden de FBI, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Australische Cyber Security Centre (ACSC) en het Britse National Cyber Security Centre (NCSC) voor misbruik van het beveiligingslek, ook al waren patches al meer dan een jaar beschikbaar. Een aantal dagen geleden meldde Fortinet dat aanvallers de kwetsbaarheid nog altijd bij aanvallen inzetten. Het gaat daarbij om configuraties die gebruikmaken van LDAP. Details over de aanvallen zelf, zoals getroffen organisaties en de aard van de aanvallen, geeft Fortinet niet. Wel beschrijft het securitybedrijf in welke gevallen de aanvallen mogelijk zijn en benoemt daarbij ook dat een beveiligingsupdate al meer dan vijf jaar beschikbaar is. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om de officiële website van teksteditor EmEditor te compromitteren en vervolgens een besmette versie te verspreiden. Deze versie bevatte infostealer-malware, die allerlei wachtwoorden en andere inloggegevens van systemen steelt, alsmede een malafide browser-extensie installeert. Volgens softwarebedrijf Emurasoft, ontwikkelaar van EmEditor, werd de besmette versie van 19 tot en met 22 december via de officiële website aangeboden. Gebruikers die in deze periode de software hebben gedownload wordt aangeraden om te controleren of ze inderdaad de besmette versie hebben gedownload. Wanneer dit het geval is moet het systeem direct van het netwerk worden losgekoppeld. Vervolgens moet er een virusscan worden uitgevoerd. Afhankelijk van de situatie adviseert Emurasoft om het systeem opnieuw te installeren. Vanwege de kans op gestolen wachtwoorden wordt aangeraden om alle op het systeem opgeslagen inloggegevens te wijzigen. Zakelijke gebruikers krijgen het advies om contact met hun interne securityteam op te nemen en waar mogelijk relevante logbestanden te bewaren. Hoe de aanvallers de website van het softwarebedrijf konden compromitteren is niet bekendgemaakt. Securitybedrijf Qianxin meldt dat zowel organisaties als overheden door de malware zijn getroffen. Veel van de slachtoffers zouden zich in China bevinden. De malware steelt informatie over het systeem en inloggegevens van onder andere Zoho Mail, Evernote, Notion, Discord, Slack, Mattermost, Skype, LiveChat, MSTeams, Zoom, WinSCP, PuTTY, Steam en Telegram. De malware kan ook screenshots van het scherm maken en toetsaanslagen opslaan. Daarnaast installeert de malware een malafide browser-extensie genaamd "Google Drive Caching". Deze extensie kan bookmarks, cookies, wachtwoorden en informatie over bezochte websites stelen. Tevens fungeert de extensie ook als clipper-malware. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer of telefoon. Clipper-malware op het systeem kan het gekopieerde adres aanpassen naar een adres van de aanvaller. Zodra het slachtoffer het adres op de transactiepagina plakt, en niet goed oplet, maakt hij zo geld over naar de wallet van de aanvaller in plaats van de oorspronkelijk bedoelde begunstigde. Hoe vaak de besmette versie gedownload is, is niet bekendgemaakt. bron: https://www.security.nl

Aanvallers maken wereldwijd actief misbruik van een kwetsbaarheid in MongoDB, waarvoor een aantal dagen geleden een beveiligingsupdate verscheen, zo laat het Australische Cyber Security Centre (ACSC) weten. Via het beveiligingslek, aangeduid als CVE-2025-14847 en MongoBleed, kan een aanvaller gevoelige informatie uit het geheugen van servers stelen, zoals inloggegevens, session tokens en persoonlijke informatie. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt voor de opslag van data. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand ongeïnitialiseerd heapgeheugen van de server uitlezen. Het probleem wordt veroorzaakt door het niet goed verwerken van lengteparameters in Zlib-gecomprimeerde protocolheaders. Volgens securitybedrijf Censys zijn 87.000 kwetsbare MongoDB-servers op internet te vinden. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) waarschuwde afgelopen weekend dat het misbruik van het beveiligingslek verwachtte, aangezien proof-of-concept exploitcode online was verschenen. Volgens het ACSC vindt dat inmiddels op wereldwijde schaal plaats. De Australische overheidsinstantie roept organisaties en beheerders op om hun MongoDB-installaties te patchen en te onderzoeken of die niet zijn gecompromitteerd. bron: https://www.security.nl

Verplichte online leeftijdsverificatie en een totaalverbod op social media en andere websites zijn geen oplossing voor complexe maatschappelijke problemen en lossen ook de onderliggende problemen bij online platforms niet op, zo stelt Mozilla. Onlangs voerde de Australische overheid een socialmediaverbod in, waardoor iedereen die een account op een reeks websites wil aanmaken zijn leeftijd moet laten verifiëren. Daarnaast is het verboden om onder de 16 jaar een account op deze websites te hebben. Volgens Mozilla gaat het om een botte en disproportionele aanpak van de Australische overheid die ook nog eens een verkeerd signaal uitzendt, namelijk dat online leeftijdsverificatie een wondermiddel is. "Australische wetgeving biedt bijna geen richtlijnen hoe serviceproviders privacy, security en de robuustheid van leeftijdsverificatietechnologieën moeten balanceren bij het uitvoeren van leeftijdscontroles. Providers hebben dus geen andere keuze dan te kiezen uit slechte opties", aldus Mozilla. In het Verenigd Koninkrijk is eerder dit jaar al online leeftijdsverificatie voor allerlei websites verplicht gesteld. Britse gebruikers hebben daardoor allerlei gevoelige data aan tal van nieuw opgerichte leeftijdsverificatie-aanbieders moeten verstrekken. "Deze partijen vragen om allerlei informatie en geven weinig rekenschap of transparantie over de manier waarop ze met gegevens omgaan", merkt Mozilla op. In plaats van toegang tot bepaalde online platforms te verbieden, zouden beleidsmakers zich moeten richten op het verhelpen van de systemische problemen die online spelen, zoals het niet goed modereren van content, onverantwoord omgaan met data en verslavende ontwerpen. Ook wordt met dergelijk beleid het recht van jongeren beperkt om zich online te kunnen uiten, gaat Mozilla verder. "De Australische aanpak zendt een zorgwekkende boodschap uit: dat verplichte leeftijdsverificatie en totaalverboden een wondermiddel zijn voor complexe maatschappelijke uitdagingen, ongeacht hun gevolgen voor fundamentele rechten op internet", aldus Mozilla. Dat stelt dat politici ervoor moeten zorgen dat de problemen met social media, waardoor de privacy, het welzijn en de veiligheid van alle gebruikers risico lopen, worden aangepakt, in plaats van jongeren te verbieden om bepaalde platforms te gebruiken. bron: https://www.security.nl

De Belgische telecomprovider Proximus heeft de persoonlijke gegevens van een onbekend aantal klanten gelekt. Volgens het bedrijf heeft een medewerker van een partner op een niet geautoriseerde manier en "op grote schaal", de Proximus-klantendatabase benaderd. De medewerker kon zo voornaam, achternaam, adres, e-mailadres, geboortedatum en telefoonnummer van een onbekend aantal klanten raadplegen. Proximus merkt op dat het onderzoek naar de volledige omvang van het incident nog gaande is. "In dit stadium, en zolang het onderzoek loopt, kan Proximus geen verdere details over het incident geven", aldus de telecomprovider. Die stelt dat de gestolen gegevens gebruikt kunnen worden door fraudeurs, die zich bijvoorbeeld voordoen als medewerker van Proximus of een ander bedrijf. In het verleden zijn bijvoorbeeld klantgegevens gestolen bij energiebedrijven gebruikt voor bankhelpdeskfraude. Klanten hoeven volgens Proximus geen actie te ondernemen. "Je moet gewoon waakzaam blijven voor verdachte activiteiten." bron: https://www.security.nl

De Europese Unie mag de komende zes jaar persoonsgegevens met het Verenigd Koninkrijk uitwisselen. De Europese Commissie heeft twee adequaatheidsbesluiten die dit mogelijk maken verlengd tot 27 december 2031. Voor de doorgifte van persoonsgegevens vanuit de EU naar landen buiten de Europese Economische Ruimte (EER) gelden aparte regels. Wanneer een land in de nationale wetgeving een passend beschermingsniveau neemt kan de Europese Commissie een adequaatheidsbesluit nemen. Brussel stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG. Voor het Verenigd Koninkrijk werd in 2021 een adequaatheidsbesluit genomen. Dit besluit was tijdelijk, in afwachting op nieuwe privacywetgeving in het VK. Er werd in oktober 2024 een wetsvoorstel gepresenteerd, maar de Britten had dat nog niet aangenomen. Daarom was het volgens de Europese privacytoezichthouders eerder dit jaar nodig om het adequaatheidsbesluit tijdelijk met zes maanden te verlengen, tot 27 december dit jaar. Dit zou volgens de privacytoezichthouders de Europese Commissie voldoende tijd moeten geven om de Britse privacywetgeving te beoordelen zodra die is aangenomen. Brussel zegt dat het de afgelopen maanden de wetgeving in het VK heeft onderzocht en dat die waarborgen biedt die gelijkwaardig zijn aan die van de EU. Daarop is besloten om de twee adequaatheidsbesluiten voor een periode van zes jaar te verlengen, met de mogelijkheid om de besluiten na deze periode opnieuw te verlengen. bron: https://www.security.nl