Captain Kirk

Overheden dringen steeds dieper het privéleven van burgers binnen, zo stelt de Belgische privacyexpert Joris Vaesen, tevens beheerder van de website chatcontrol.be. Via de site laat hij zien wat Belgische politici van de invoering van chatcontrole vinden, waarbij chatberichten van burgers worden gecontroleerd. "De essentie is dat de overheid de digitale communicatie van álle inwoners van de Europese Unie mag volgen", laat de privacyexpert over het voorstel tegenover de Belgische krant De Morgen weten. De Morgen had Vaesen uitgenodigd voor een gesprek met de Mechelse onderzoeksrechter Philippe Van Linthout en hoogleraar mensenrechten Sofie Royer. "Een voorstel dat bepaalt dat al mijn privécommunicatie automatisch wordt gecontroleerd, daar word ik misselijk van. Dat mensen naar mijn foto’s kijken, wil ik ook niet. Stel dat je met je kinderen op het strand een foto maakt, met of zonder onderbroekje, of je stuurt een foto van je kind dat in bad zit naar je partner: een scanner bestempelt dat meteen als kindermisbruikmateriaal. Dan beland je op een lijst of staat er een agent aan je deur. Laten we vurig hopen dat Europa nooit voor zo’n systeem kiest", zegt Van Linthout. Volgens de onderzoeksrechter is een gebrek aan kennis over het onderwerp bij poltici een probleem. "De gemiddelde politicus kan er niet over meepraten." Hij krijgt bijval van Vaesen die opmerkt dat de Vlaamse minister-president heeft erkend dat hij te weinig technische kennis heeft om dieper in te gaan op chatcontrole. "Hij geeft het tenminste toe, maar als burger voel ik mij dan wel erg kwetsbaar. De overheid wurmt zich almaar dieper in mijn privéleven: heb ik daar ooit voor gestemd? En kan ik daartegen stemmen? Blijkbaar niet." Royen waarschuwt ook voor de gevolgen van chatcontrole. "Het is niet alsof je brief wordt onderschept en in het postkantoor wordt gelezen. Nee, er zit iemand in je kamer die méékijkt als jij schrijft." Ze merkt op dat het in het strafrecht niet is toegestaan om zomaar iemands huis binnen te vallen om te zien of er drugs wordt gedeald. "Eerst moeten er concrete verdenkingen zijn tegen iemand, dan volgt een huiszoekingsbevel. Door de impact van technologie op onze samenleving, en doordat er steeds meer data worden gegenereerd, zien we een verschuiving naar proactief speurwerk. Iederéén wordt zo gecontroleerd, niet alleen verdachten." bron: https://www.security.nl

Criminelen maken gebruik van Linux-ransomware voor het versleutelen van Windowscomputers, zo meldt antivirusbedrijf Trend Micro. De aanvallen zijn het werk van een ransomwaregroep genaamd Qilin, die volgens de virusbestrijder dit jaar al 700 organisaties in 62 landen succesvol heeft aangevallen. De meeste slachtoffers bevinden zich in de Verenigde Staten, Frankrijk, Canada en het Verenigd Koninkrijk. De aanvallers maken gebruik van drie technieken om toegang tot de systemen van hun slachtoffers te krijgen. Het gaat om spear phishing, geldige inloggegevens, die bijvoorbeeld eerder zijn gestolen of via een bruteforce-aanval zijn achterhaald, en fake captcha's. Trend Micro identificeerde meerdere getroffen organisaties waar medewerkers in een malafide captcha waren getrapt. De captcha's stellen dat de gebruiker een commando op het systeem moet uitvoeren om te bewijzen dat hij geen robot is. In werkelijkheid wordt zo malware op het systeem geïnstalleerd. Zodra er toegang tot een systeem is verkregen past de ransomwaregroep de bij dit soort aanvallen gebruikelijke stappen toe, waarbij wordt geprobeerd om de rechten te verhogen en zich lateraal door het systeem te bewegen, totdat men bijvoorbeeld domain administrator is. Vervolgens wordt er data gestolen en als laatste de ransomware uitgerold. De Qilin-groep maakt sinds enige tijd ook gebruik van Linux-ransomware op Windowssystemen. Door deze werkwijze weten de aanvallers endpoint detectiesystemen te omzeilen die niet geconfigureerd zijn om het uitvoeren van Linux binaries via remote management tools tegen te gaan, aldus Trend Micro. Voor het uitvoeren van de Linux-ransomware op Windowssystemen maken de aanvallers gebruik van de remote management software van Splashtop, waarmee het mogelijk is om systemen op afstand te beheren. "De geavanceerde mogelijkheden van de Liunux-variant, gecombineerd met cross-platform uitrol via Splashtop Remote, vormt een aanzienlijk tactische evolutie gericht op hybride infrastructuur-omgevingen", zo stellen de onderzoekers. Zodra de aanval is afgerond laten de aanvallers een notitie achter waarin staat dat de organisatie moet betalen om openbaarmaking van de gestolen data te voorkomen. Voor de onderhandelingen over het losgeld bevat de notitie specifieke inloggegevens waarmee de getroffen organisatie op een communicatieportaal van de aanvallers kan inloggen. bron: https://www.security.nl

Microsoft heeft een noodpatch uitgebracht om een kritieke kwetsbaarheid in Windows Server "volledig" te patchen. Proof-of-concept exploitcode is inmiddels op internet beschikbaar en Microsoft verwacht dat aanvallers actief misbruik van het beveiligingslek zullen maken. Op 14 oktober kwam Microsoft met beveiligingsupdates voor de kwetsbaarheid in de Windows Server Update Service (WSUS), aangeduid als CVE-2025-59287. Met WSUS hebben organisaties meer controle over de updates die ze binnen hun netwerk uitrollen. WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder Windowscomputers op het netwerk. Hierdoor hoeven niet alle computers de updates apart te downloaden. Het is een integraal onderdeel van Windows Server. Een "deserialization" kwetsbaarheid bij het verwerken van onbetrouwbare data zorgt ervoor dat een ongeauthenticeerde aanvaller, op afstand code op de Windows-server kan uitvoeren met SYSTEM-rechten. Hiervoor volstaat het versturen van een speciaal geprepareerd request naar de Windows-server. De impact van CVE-2025-59287 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft kwam op 14 oktober al met een beveiligingsupdate, maar heeft gisteren het beveiligingsbulletin aangepast en laat weten dat proof-of-concept exploitcode publiek beschikbaar is. Daarnaast heeft het techbedrijf een "out of band security update" uitgebracht om de kwetsbaarheid "volledig" te patchen. De patch is beschikbaar voor Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (Server Core installatie) en Windows Server 2025. Microsoft had al bij het uitbrengen van de eerste update aangegeven dat verwacht misbruik van het beveiligingslek "more likely" is. bron: https://www.security.nl

WordPress-sites zijn het doelwit van een aanval waarbij misbruik wordt gemaakt van kritieke kwetsbaarheden in twee plug-ins genaamd GutenKit en Hunk Companion. Via de beveiligingslekken kan een ongeauthenticeerde aanvaller op afstand willekeurige plug-ins op de website inschakelen, wat uiteindelijk tot remote code execution kan leiden. Volgens securitybedrijf Wordfence is er sprake van grootschalig misbruik. GutenKit is een plug-in voor de Gutenberg WordPress-editor en helpt gebruikers bij het vormgeven van hun WordPress-site. Meer dan 40.000 websites maken actief gebruik van de plug-in. Hunk Companion is een plug-in die allerlei extra functionaliteit aan WordPress-sites toevoegt. Deze plug-in wordt door meer dan 8.000 websites actief gebruikt. Oudere versies van de twee plug-ins bleken een publiek toegankelijk API endpoint te hebben waardoor een ongeauthenticeerde aanvaller willekeurige plug-ins op de website kan installeren. Bij de nu waargenomen aanvallen installeren aanvallers een malafide plug-in die een backdoor bevat, waardoor er toegang tot de website wordt behouden. De impact van de kwetsbaarheden (CVE-2024-9234 en CVE-2024-9707) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Beveiligingsupdates voor de kwetsbaarheden in beide plug-ins zijn al meer dan een jaar beschikbaar. Volgens Wordfence wordt er sinds 8 oktober dit jaar actief misbruik van de beveiligingslekken gemaakt. Beheerders die de update nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen en hun installatie op de aanwezigheid van verdachte plug-ins te controleren. bron: https://www.security.nl

Google start deze maand een tweede test met Device Bound Session Credentials (DBSC), een maatregel die moet voorkomen dat malware cookies van besmette systemen steelt. Begin dit jaar werd DBSC voor het eerst onder gebruikers van de browser getest. De nu aangekondigde test loopt door tot eind maart volgend jaar en is beschikbaar voor Windowscomputers met een Trusted Platform Module (TPM). Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd. Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Als oplossing tegen dergelijke cookiediefstal kwam Google vorig jaar met Device Bound Session Credentials. Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt. DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Een aanvaller kan dan nog steeds cookies stelen, maar ze niet op zijn eigen systeem gebruiken omdat ze alleen op het betreffende apparaat van de gebruiker werken. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren. Dit kan bijvoorbeeld via de Trusted Platform Module van de computer. Google stelt dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen. Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft. Gebruikers kunnen de gemaakte keys op elk moment verwijderen. Wanneer gebruikers geen cookies accepteren wordt DBSC uitgeschakeld. Na een eerste 'origin trial' in mei van dit jaar heeft Google nu besloten de komende maanden een twee test uit te voeren. Deze test richt zich vooral op de betrouwbaarheid, consistentie en duidelijkheid in de "DBSC flow", laat Daniel Rubery van Google weten. Ontwikkelaars en gebruikers die aan de nieuwe testronde van DBSC willen meedoen kunnen zich via een website van Google hiervoor aanmelden. bron: https://www.security.nl

Mozilla stelt nieuwe eisen aan Firefox-extensies die persoonlijke data verzamelen of versturen. Vanaf 3 november is elke nieuwe Firefox-extensie verplicht om in het manifest-bestand, waarin allerlei informatie over de extensie staat vermeld, via een speciale "permissions key" aan te geven of er persoonlijke data van gebruikers wordt verzameld of verstuurd. De informatie zal dan worden weergegeven aan gebruikers wanneer die de extensie willen installeren, zo laat de Firefox-ontwikkelaar vandaag weten. De informatie zal ook op addons.mozilla.org worden weergegeven, de website waarop Firefox-extensies worden aangeboden. Mozilla merkt op dat extensies die de permissions key gebruiken dit ook voor alle toekomstige versies moeten doen. Daarnaast zal de Firefox-ontwikkelaar extensies die aangeven dat ze geen data verzamelen, maar dat wel doen, niet meer op addons.mozilla.org toelaten. De verplichting geldt vanaf 3 november voor nieuwe Firefox-extensies. In de eerste helft van volgend jaar gaat die ook voor al bestaande extensies gelden. bron: https://www.security.nl

Adobe waarschuwt webwinkels die gebruikmaken van Adobe Commerce en Magento Open Source voor actief misbruik van een kritieke kwetsbaarheid. Via het beveiligingslek kunnen aanvallers volledige controle over de webshop krijgen. Op 9 september verscheen een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2025-54236, maar volgens securitybedrijf Sansec heeft bijna twee derde van de webwinkels die niet geïnstalleerd. Adobe omschrijft de kwetsbaarheid als een kritieke "security feature bypass", maar Sansec stelt dat ook remote code execution mogelijk is. Proof-of-concept exploitcode is al beschikbaar op internet en securitybedrijf Assetnote publiceerde gisteren technische details over de kwetsbaarheid, waarin wordt uitgelegd hoe een aanvaller via het lek op afstand code kan uitvoeren. Sansec waarschuwt dat de kwetsbaarheid vergelijkbaar is met andere kritieke Adobe-kwetsbaarheden die in het verleden op grote schaal zijn gebruikt voor het aanvallen van webshops. "Met details over de exploit nu openbaar en actieve aanvallen die al plaatsvinden, verwachten we binnen de komende 48 uur grootschalig misbruik", aldus het securitybedrijf. Webshops die van Commerce of Magento gebruikmaken worden opgeroepen de update zo snel mogelijk te installeren. bron: https://www.security.nl

TP-Link heeft firmware-updates uitgebracht voor een kritieke kwetsbaarheid in de Omada-gateways waardoor een ongeauthenticeerde aanvaller op afstand OS-commando's op het apparaat kan uitvoeren. Omada-gateways zijn bedoeld als gateway in de wifi-netwerken van mkb-bedrijven en bieden allerlei functionaliteit zoals firewalling en vpn. Een kwetsbaarheid in de gateway (CVE-2025-6542) maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige OS-commando's op het apparaat uit te voeren, aldus de omschrijving van het beveiligingslek. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Daarnaast is een beveiligingslek gedicht waardoor een aanvaller die op de webinterface kan inloggen OS-commando's kan uitvoeren. Vanwege deze vereiste is de impact van dit beveiligingslek lager ingeschaald met een 8.6. Voor de volgende modellen zijn firmware-updates beschikbaar: ER8411, ER7412-M2, ER707-M2, ER7206, ER605, ER706W, ER706W-4G, ER7212PC, G36, G611, FR365, FR205 en FR307-M2. bron: https://www.security.nl

Oracle heeft voor allerlei producten kritieke beveiligingsupdates uitgebracht en roept klanten op om die meteen te installeren. Het gaat onder andere om Oracle E-Business Suite dat de afgelopen maanden het doelwit van aanvallen is geweest. In Oracle GoldenGate, Oracle Communications Applications, Oracle E-Business Suite, Oracle Financial Services Applications, Oracle Fusion Middleware, Oracle JD Edwards en Oracle Siebel CRM zijn meerdere kwetsbaarheden gepatcht waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8. Het gaat hierbij om beveiligingslekken die door een ongeauthenticeerde aanvaller op afstand zijn te misbruiken en in het ergste geval tot een volledig gecompromitteerd systeem kunnen leiden. Oracle komt elk kwartaal met een patchronde. Tijdens de ronde van oktober zijn 374 nieuwe beveiligingsupdates uitgebracht. Het gaat hier niet om 374 unieke kwetsbaarheden, aangezien dezelfde kwetsbaarheid in verschillende Oracle-producten aanwezig kan zijn. Het verhelpen van het probleem vereist echter wel een aparte update. Oracle laat verder weten dat het geregeld berichten ontvangt van aanvallen waarbij misbruik wordt gemaakt van kwetsbaarheden waarvoor beveiligingsupdates al beschikbaar zijn. "In sommige gevallen wordt er gemeld dat aanvallers succesvol zijn geweest, omdat aangevallen klanten de beschikbare Oracle-patches niet hadden geïnstalleerd." Oracle roept klanten dan ook op om de beschikbaar gestelde updates meteen te installeren. bron: https://www.security.nl

Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn 183 miljoen gecompromitteerde e-mailadressen toegevoegd. Hiervan waren 16,4 miljoen e-mailadressen nog niet bij de zoekmachine bekend. Via HIBP kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. De nu toegevoegde e-mailadressen werden gevonden in zogenaamde "stealer logs". Dit zijn bestanden die door infostealer-malware worden aangemaakt. Deze bestanden bevatten de naam van de websites waarop slachtoffers inloggen, plus bijbehorende gebruikersnaam en wachtwoord. Infostealers zijn malware speciaal ontwikkeld voor het stelen van allerlei inloggegevens. De gestolen data wordt in een bestand verzameld en naar de aanvaller teruggestuurd. Vervolgens verschijnt de data op Telegram-kanalen, forums of andere kanalen. Een onderzoeker van securitybedrijf Synthient verzamelde allerlei stealer logs en deelde die met Have I Been Pwned. Het ging bij elkaar om 3,5 terabyte aan data. De 183 miljoen e-mailadressen zijn nu aan de zoekmachine toegevoegd. HIBP laat eigenaren van de gecompromitteerde e-mailadressen zien op welke website ze die allemaal hebben gebruikt, zodat ze vervolgens de inloggegevens daar kunnen aanpassen. 91 procent van de e-mailadressen was al via een ander datalek of verzameling van stealer logs bij de zoekmachine bekend. Dat houdt in dat er ook 16,4 miljoen nieuwe e-mailadressen zijn toegevoegd. bron: https://www.security.nl

Google waarschuwt internetgebruikers voor een aanval waarbij wordt geprobeerd om via een malafide captcha malware te installeren. De afgelopen jaren hebben aanvallers verschillende varianten van dergelijke aanvallen uitgevoerd. Internetgebruikers krijgen op malafide webpagina's een melding te zien dat ze een "captcha" moeten oplossen om te bewijzen dat ze geen robot zijn. In werkelijkheid wordt geprobeerd om gebruikers malafide commando's te laten uitvoeren die tot de installatie van malware leiden. Bij de door Google waargenomen aanval worden gebruikers verleid om eerst een malafide dll-bestand genaamd "iamnotarobot" te downloaden en vervolgens op het eigen systeem dit bestand uit te voeren. In werkelijkheid installeert het dll-bestand een backdoor op het systeem, waardoor aanvallers toegang tot de computer krijgen. Volgens Google is de aanval het werk van een groep die het Coldriver noemt. Het zou om een door de Russische overheid gesteunde groep gaan die het onder andere heeft voorzien op NGO's, beleidsadviseurs en dissidenten. De groep wordt onder andere voor allerlei gerichte phishingaanvallen verantwoordelijk gehouden. Waarom de groep nu voor het verspreiden van malware via malafide captcha's kiest kan Google niet zeggen. Het techbedrijf denkt dat de techniek wordt ingezet tegen doelwitten die eerder al via phishing waren gecompromitteerd, om zo aanvullende informatie te verzamelen. Hoe de aanvallers doelwitten naar de malafide captcha-pagina krijgen is niet helemaal bekend. Wel is duidelijk dat de achterliggende pagina's en domeinnamen zich voordoen als informatiebron die voor het doelwit interessant is. bron: https://www.security.nl

Onderzoekers hebben een nieuwe versie van de Vidar-malware ontdekt die multi-threading gebruikt om sneller wachtwoorden en andere inloggegevens van besmette systemen te stelen. Door het gebruik van multi-threading kan de malware gelijktijdig inloggegevens uit verschillende applicaties stelen. Daarbij houdt Vidar ook rekening met de prestaties van het systeem. Op snellere systemen gebruikt de malware meer threads en kan daardoor sneller wachtwoorden en andere data stelen. De Vidar-malware bestaat al jaren en verscheen eind 2018 voor het eerst. Het gaat hier om een zogenoemde "infostealer", malware speciaal ontwikkeld voor het stelen van allerlei inloggegevens. Vidar wordt aangeboden als malware-as-a-service. Een levenslang abonnement kost afnemers 300 dollar. Onlangs werd Vidar 2.0 aangekondigd, zo laat Trend Micro in een analyse weten. Eén van de nieuwe features in deze versie is het ondersteunen van multi-threading. Daardoor kan de malware efficiënt gebruikmaken van processors die over meerdere cores beschikken. "De malware maakt gebruik van een geavanceerd multi-threading systeem dat automatisch de prestaties aanpast afhankelijk van de specificaties van de computer van het slachtoffer", aldus de onderzoekers. "Het schaalt de operaties op door meer worker threads op een krachtig systeem te creëren en minder threads op zwakkere machines, om zo optimaal te presteren zonder het aangevallen systeem te overweldigen." Door deze aanpak kan de malware gelijktijdig uit verschillende bronnen, zoals browsers, cryptowallets en bestanden, data stelen, in plaats van die één voor één te verwerken. Vidar heeft het op verschillende browsers voorzien, namelijk Google Chrome, Microsoft Edge, Opera, Opera GX, Vivaldi, Firefox, Waterfox en Palemoon. Daarnaast steelt de malware ftp- en ssh-inloggegevens uit FileZilla en WinSCP. Tevens zijn Steam, Discord, Telegram en cryptowallets een doelwit, alsmede Office 365 en Azure. Gestolen data wordt vervolgens naar de aanvaller gestuurd. Daarna verwijdert de malware allerlei sporen om zo forensisch onderzoek te bemoeilijken. bron: https://www.security.nl

Ik heb afgelopen weekend op zowel een laptop als de desktop de stappen eenvoudig uitgevoerd. Verliep snel en soepel. Kreeg wel op beide eerst de melding dat het in mijn regio niet beschikbaar zou zijn. Maar na uitvoering van de laatste updates, loop je zo door het proces heen. Dit ter info.

Inderdaad een lastig verhaal. Als je een tv en internetabonnement bij Telenet hebt, heb je naar mijn idee ook het modem van Telenet en dus zou je laptop jet die modem en dus Telenet verbonden moeten zijn. De telefoon loopt via Orange en heeft geen wifi aan staan.... Mijn eerste vraag is: waarom niet? Gebruik van je eigen wifi scheelt data in je abonnement. Een hotspot, dat merkt DCA in mijn ogen al juist op, klinkt niet logisch. Dit is een setting die je echt moet weten hoe je dit kunt instellen.

Zo'n 76.000 Firebox-firewalls van leverancier WatchGuard, waarvan meer dan 1200 in Nederland, missen een beveiligingsupdate voor een kritieke kwetsbaarheid die remote code execution (RCE) mogelijk maakt. De patch is sinds 17 september beschikbaar. Dat meldt The Shadowserver Foundation op basis van een online scan naar kwetsbare systemen. "De kwetsbaarheid raakt zowel de mobile user VPN met IKEv2 en de branch office VPN die van IKEv2 gebruikmaakt wanneer die met een dynamic gateway peer is geconfigureerd", aldus het beveiligingsbulletin dat een maand geleden verscheen. "Als de Firebox eerder was geconfigureerd met de mobile user VPN met IKEv2 of een branch office VPN gebruikmakend van IKEv2 naar een dynamic gateway peer, en beide configuraties zijn sindsdien verwijderd, kan die Firebox nog steeds kwetsbaar zijn als een branch office VPN naar een static gateway peer nog steeds geconfigureerd is." De impact van het beveiligingslek, aangeduid als CVE-2025-9242, is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Hoewel een beveiligingsupdate al een maand beschikbaar is, blijken veel beheerders die nog niet te hebben geïnstalleerd. The Shadowserver Foundation is een stichting die geregeld onderzoek naar kwetsbare systemen doet. Voor het laatste onderzoek werd er gescand naar Firefox-firewalls die kwetsbaar voor CVE-2025-9242 zijn. Dit leverde 76.000 apparaten op. Het grootste deel daarvan bevindt zich in de Verenigde Staten, bijna 25.000. In Nederland werden 1224 kwetsbare firewalls geteld. bron: https://www.security.nl

Kwetsbaarheden in de SMB-client van Windows en Kentico Xperience worden actief misbruikt bij aanvallen, zo waarschuwt het Amerikaanse cyberagentschap CISA. Microsoft kwam op 10 juni met beveiligingsupdates voor het Windows-lek, aangeduid als CVE-2025-33073. Via de 'Elevation of Privilege" kwetsbaarheid kan een aanvaller SYSTEM-rechten krijgen. Dit is bijvoorbeeld mogelijk via een script dat het systeem van het slachtoffer via SMB laat inloggen op een machine van de aanvaller, zo laat Microsoft in het beveiligingsbulletin weten. De impact van de kwetsbaarheid, die door meerdere verschillende onderzoekers aan Microsoft werd gerapporteerd, is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Toen Microsoft de beveiligingsupdates uitbracht was er nog geen actief misbruik waargenomen. Wel was er proof-of-concept exploitcode beschikbaar. Desondanks omschreef Microsoft de kans op daadwerkelijk misbruik "less likeley". Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat vandaag weten dat aanvallers inmiddels wel misbruik van het lek maken, maar geeft geen verdere details. Daarnaast waarschuwt het CISA voor misbruik van twee kritieke kwetsbaarheden in Kentico Xperience Staging Sync Server (CVE-2025-2746 en CVE-2025-2747). Het gaat om een "authentication bypass" waardoor een aanvaller als admin kan inloggen zonder over het bijbehorende wachtwoord te beschikken. De impactscore van beide kwetsbaarheden is beoordeeld met een 9.8. Begin maart kwam Kentico met een beveiligingsupdate. Kentico Xperience is een platform voor contentmanagement, digital marketing en e-commerce. Het CISA geeft wederom geen informatie over de waargenomen aanvallen. bron: https://www.security.nl

De officiële website van Xubuntu verspreidde cryptostelende malware. De downloadknop voor het torrent-bestand op de website linkte urenlang naar een zip-bestand genaamd "Xubuntu-Safe-Download.zip". Dit bestand bevatte een .exe-bestand dat in werkelijkheid clipper-malware installeerde. Dit soort malware is speciaal ontwikkeld voor het stelen van allerlei cryptovaluta van besmette systemen. Dat laten gebruikers op Reddit weten. De malafide torrent-downloadlink is inmiddels verwijderd. Xubuntu is een op Ubuntu-gebaseerde Linux-distributie. Gebruikers kunnen de distro op verschillende manieren downloaden, waaronder via een torrent-bestand. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer of telefoon. Clipper-malware op het systeem kan het gekopieerde adres aanpassen naar een adres van de aanvaller. Zodra het slachtoffer het adres op de transactiepagina plakt, en niet goed oplet, maakt hij zo geld over naar de wallet van de aanvaller in plaats van de oorspronkelijk bedoelde begunstigde. De malafide downloadlink stond twaalf uur op de website Xubuntu.org. Hoe de link op de website kon verschijnen is onbekend. In een ander topic op Reddit over de gecompromitteerde Xubuntu-website is een reactie sticky gemaakt, waarin Xubuntu-teamlid Elizabeth Krumbach Joseph laat weten dat er sprake was van een "slip-up" met betrekking tot de hostingomgeving. Verdere details over de aanval zijn echter niet gegeven. Xubuntu geeft aan naar een statische omgeving te migreren om dit soort incidenten in de toekomst te voorkomen. Verder wordt aangegeven dat het team zeer klein en druk is. bron: https://www.security.nl

Google gaat verschillende "Privacy Sandbox" technieken uitfaseren, waaronder de fel bekritiseerde trackingmethode Topics, en blijft voor de toekomst inzetten op trackingcookies. Dat heeft het techbedrijf laten weten. Trackingcookies spelen een belangrijke rol bij het volgen van gebruikers op internet en tonen van gerichte advertenties. Vanwege privacyzorgen worden dergelijke cookies door meerdere browsers inmiddels geblokkeerd. Om gebruikers zonder het gebruik van third-party cookies toch gerichte advertenties te kunnen blijven tonen bedacht Google de "Privacy Sandbox", een verzameling van technieken om gepersonaliseerde reclame te tonen zonder het gebruik van cookies. Het techbedrijf wilde oorspronkelijk trackingcookies binnen Chrome uitfaseren en vervangen door "Privacy Sandbox" technieken. Begin dit jaar maakte het techbedrijf bekend dat het trackingcookies toch blijft toestaan en niet gaat uitfaseren. Zes maanden na de aankondiging dat het doorgaat met trackingcookies is Google nu met een update over de "Privacy Sandbox" gekomen. Daarin benadrukt het techbedrijf opnieuw dat het voor de toekomst blijft inzetten op trackingcookies. Verder gaat Google verschillende "Privacy Sandbox" technieken uitfaseren, waaronder Attribution Reporting API, IP Protection, On-Device Personalization, Private Aggregation, Protected Audience, Protected App Signals, Related Website Sets, SelectURL, SDK Runtime en Topics. Volgens Google wordt er te weinig gebruik van gemaakt. Privacybewegingen hadden veel kritiek op Topics. Zo diende privacyorganisatie noyb bij de Oostenrijkse privacytoezichthouder een klacht in over de techniek. Bij Topics bepaalt de browser op basis van het browsegedrag van de gebruiker welke onderwerpen hij interessant vindt en stemt daar advertenties op af. Wanneer gebruikers een website bezoeken die Topics ondersteunt zal de technologie drie onderwerpen kiezen waar de gebruiker interesse in heeft en die met de website en diens advertentiepartners delen. Vervolgens kunnen websites en adverteerders op basis van deze onderwerpen advertenties tonen. Topics worden voor een periode van drie weken bewaard. Gebruikers kunnen de door de browser gekozen onderwerpen wel zien en die verwijderen. Twee jaar geleden liet Google aan Chrome-gebruikers een pop-up zien met de tekst 'Enhanced ad privacy in Chrome', waarmee het gebruikers liet weten dat de feature staat ingeschakeld of toestemming vroeg dit te doen. Er was veel kritiek op de bewoording die Google gebruikte, omdat die gebruikers zou misleiden. Google stelt dat te weinig uitgevers en advertentiebedrijven er gebruik van maakten, wat de reden is om de techniek uit Chrome en Android te verwijderen. bron: https://www.security.nl

CentreStack heeft een beveiligingsupdate uitgebracht voor een actief aangevallen kwetsbaarheid in de file sharing software. Dit wordt echter niet duidelijk in de release notes vermeld. Het bedrijf spreekt alleen over "Security Enhancements". Een CVE-nummer of vermelding van actief misbruik is niet vermeld. Misbruik zou in ieder geval sinds 27 september plaatsvinden, aldus securitybedrijf Huntress. Het securitybedrijf maakte vorige week melding van de actief aangevallen kwetsbaarheid in CentreStack, aangeduid als CVE-2025-11371, waarvoor op dat moment nog geen beveiligingsupdates beschikbaar waren. Drie klanten van Huntress waren via de kwetsbaarheid aangevallen. CentreStack had wel een tijdelijke mitigatie aan klanten gerapporteerd, maar deze oplossing heeft impact op het functioneren van de software. Gladinet CentreStack is een oplossing voor het opslaan en delen van bestanden. Volgens het bedrijf maken er duizenden bedrijven in 49 landen gebruik van. Nu er een beveiligingsupdate beschikbaar is heeft Huntress meer details over de kwetsbaarheid gegeven. Het gaat om een ongeauthenticeerde "Local File Inclusion" kwetsbaarheid waardoor een aanvaller onbevoegde toegang tot systeembestanden kan krijgen. Zo kan de MachineKey worden verkregen, die het mogelijk maakt om code op het systeem uit te voeren. Verdere details over de aanvallen of aanvallers zijn niet gegeven. bron: https://www.security.nl

Mozilla zal Firefox op Windows 10 voorlopig met updates blijven ondersteunen. Het gaat zowel om feature- als beveiligingsupdates, zo laat de browserontwikkelaar weten. Afgelopen dinsdag stopte Microsoft de ondersteuning van Windows 10. Naar aanleiding hiervan laat Mozilla nu weten welke gevolgen dit heeft voor Firefox-gebruikers op het platform. "Als je op Windows 10 blijft zul je dezelfde updates blijven ontvangen die je ontving, met al onze nieuwste feature-verbeteringen en bugfixes", aldus Mozilla's David Rubino. Het gaat dan ook om "special security updates". Volgens Rubino blijft Windows 10 een belangrijk platform voor Windows 10-gebruikers. Cijfers van Mozilla laten zien dat 37 procent van de Firefox-gebruikers nog op Windows 10 zit. "In tegenstelling tot oudere Windowsversies zoals Windows 7 en 8, waar Mozilla alleen beveiligingsupdates voor Firefox biedt, ontvangt Windows 10 de nieuwste features en bugfixes, net zoals gebruikers op Windows 11", aldus Rubino. Mozilla adviseert gebruikers van Windows 10 om te upgraden naar Windows 11. Gebruikers die niet kunnen of willen upgraden worden aangeraden om "extended security updates" van Microsoft af te nemen. In de EU kan dit door middel van een Microsoft-account. Afsluitend stelt Mozilla dat het van plan is om Windows 10 in ieder geval de komende jaren nog te ondersteunen en het gebruikers zal laten weten wanneer de supportplannen veranderen. bron: https://www.security.nl

Microsoft heeft eerder deze maand meer dan tweehonderd certificaten ingetrokken die door een ransomwaregroep werden gebruikt voor het digitaal signeren van malafide bestanden, zo claimt het techbedrijf op X. De gesigneerde bestanden leken op installatiebestanden van Microsoft Teams, maar waren in werkelijkheid een backdoor waarmee de Rhysida-ransomware uiteindelijk op systemen werd uitgerold. Voor het signeren van de backdoor maakten de aanvallers gebruik van code signing diensten van Trusted Signing, SSL.com, DigiCert en GlobalSign, aldus Microsoft. De ransomwaregroep wordt door het techbedrijf "Vanilla Tempest" genoemd, maar staat ook bekend als Vice Society. Om slachtoffers het malafide installatiebestand te laten downloaden maakt de groep gebruik van search engine optimization (SEO) poisoning. Daarbij weten de aanvallers malafide domeinen hoger in de zoekresultaten te krijgen. In dit geval werd er gebruikgemaakt van domeinen met namen als "teams-download", "teams-install" en "teams-download". bron: https://www.security.nl

De meeste cyberaanvallen die vorig jaar plaatsvonden waren mogelijk door het gebruik van exploits voor kwetsbaarheden en gestolen wachtwoorden, zo stelt Microsoft in de nieuwste editie van het Digital Defense Report. Daarnaast proberen aanvallers vooral data van organisaties te stelen. In het rapport geeft het techbedrijf een overzicht van de ontwikkelingen op het gebied van cyberaanvallen. Volgens Microsoft werd 37 procent van de incidenten waarbij het door klanten werd ingeschakeld gemotiveerd door datadiefstal. Afpersing volgt met 33 procent op de tweede plek, gevolgd door ransomware op plek drie met 19 procent. Vier procent van de incidenten waarvoor getroffen organisaties Microsoft inschakelden bleken het gevolg te zijn van cyberspionage. Bij twintig procent van de onderzochte incidenten bleek het niet mogelijk om de oorzaak te achterhalen, waardoor aanvallers de aanval konden uitvoeren. Het gebruik van exploits bij kwetsbare software was in 11 procent van de gevallen de initiële toegangsmethode. Een zelfde percentage van de incidenten werd veroorzaakt door "geldige accounts". Het gaat dan om gestolen inloggegevens waarmee aanvallers op accounts inloggen en daarvandaan verdere aanvallen uitvoeren. Deze wachtwoorden zijn voornamelijk afkomstig van datalekken en infostealer-malware. Social engineering was voor 10 procent van de incidenten verantwoordelijk. Criminelen maken geregeld gebruik van "acces brokers". Dit zijn personen die systemen binnen organisaties compromitteren en vervolgens de toegang tot deze machines aan andere criminelen verkopen. Tal van ransomware-aanvallen zijn uitgevoerd met behulp van access brokers. Volgens Microsoft zijn deze personen dan ook de verborgen "gatekeepers van cybercrime" en spelen ze een belangrijke rol in het cybercrimelandschap. Als er wordt gekeken naar de methodes die access brokers gebruiken om toegang te krijgen, dan blijkt het volgens Microsoft in 80 procent van de gevallen om gestolen inloggegevens te gaan. Microsoft merkt op dat deze inloggegevens niet alleen afkomstig zijn uit datalekken, maar er het afgelopen jaar ook een toename was van het gebruik van infostealer-malware door criminelen. Dergelijke malware kan allerlei inloggegevens van besmette systemen stelen. Microsoft benadrukt dat het gebruik van phishingbestendige multifactorauthenticatie 99 procent van dit soort aanvallen kan stoppen. bron: https://www.security.nl

Tor Project wil de AI-features die Mozilla aan Firefox heeft toegevoegd mede wegens veiligheids- en privacyredenen niet in Tor Browser hebben en heeft die voor zover mogelijk uit de gebruikte Firefox-versie. Dat hebben de ontwikkelaars van het Tor Project in een blogposting over de aankomende release van Tor Browser 15 aangekondigd. Tor Browser bestaat uit software om verbinding te maken met het Tor-netwerk en een aangepaste Firefox-versie. Het Tor Project merkt op dat Mozilla het afgelopen jaar verschillende AI-features en -integraties binnen Firefox heeft doorgevoerd. Zo beschikt de browser inmiddels over een AI-chatbot sidebar. "Dergelijke machine learning systemen en platformen zijn vanuit een veiligheids- en privacyperspectief niet te auditen", zegt Morgan van het Tor Project. "Ook willen we dergelijke systemen niet aanbevelen of promoten door ze aan Tor Browser toe te voegen." Morgan voegt toe dat het Tor Project al het mogelijke heeft gedaan om Mozilla's AI-features uit de Firefox-versie te verwijderen die voor Tor Browser wordt gebruikt. Het gaat hier specifiek om Tor Browser 15, waarvan de eerste stabiele versie eind deze maand zou moeten verschijnen. bron: https://www.security.nl

Harde schijven gaan steeds langer mee voordat ze uiteindelijk uitvallen, zo stelt back-updienst Backblaze op basis van honderdduizenden geanalyseerde harde schijven. Backblaze publiceert elk kwartaal een overzicht van hoe goed de gebruikte harde schijven presteren, maar besloot voor de nieuwste analyse langer terug te kijken. Voor het onderzoek werden cijfers uit 2013, 2021 en 2025 vergeleken. In 2013 zag de back-updienst de meeste uitval rond de 3 jaar en 3 maanden en 3 jaar en 9 maanden. In 2021 werd de meeste uitval pas na 7 jaar en 9 maanden waargenomen. Dit jaar ligt de uitvalspiek rond de 10 jaar en 3 maanden. Ook blijkt dat harde schijven tegenwoordig aan het begin van hun levensduur niet vaak uitvallen. Iets wat in 2013 vaker voorkwam. Volgens Backblaze laat de trend zien dat harde schijven steeds beter worden en langer meegaan. De back-updienst stelt ook dat de cijfers laten zien dat de badkuipkromme, die vaak wordt gebruikt om te laten zien wanneer een product binnen de levenscyclus uitvalt, niet volledig is. "Het behandelt tijd als de enige betrouwbare dimensie, en negeert belasting, productieverschillen, firmware-updates en operationeel verloop. En is gebaseerd op een aantal aannames dat apparaten identiek zijn en onder dezelfde omstandigheden opereren, uitval onafhankelijk plaatsvindt, voornamelijk veroorzaakt door tijd, en de omgeving van het product tijdens de levenscyclus gelijk blijft." bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Adobe Experience Manager Forms, waardoor remote code execution mogelijk is. De impact van het beveiligingslek (CVE-2025-54253) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Adobe kwam op 5 augustus met beveiligingsupdates. Het softwarebedrijf meldde toen dat proof-of-concept exploitcode op internet was te vinden, maar er nog geen misbruik was waargenomen. Een securitybedrijf had de technische details van de kwetsbaarheid en proof-of-concept openbaar gemaakt. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is er inmiddels wel sprake van actief misbruik. Adobe Experience Manager (AEM) is software waarmee organisaties digitale formulieren kunnen creëren, beheren, publiceren en up-to-date houden en is te integreren met andere oplossingen van Adobe. CVE-2025-54253 wordt omschreven als een misconfiguratie die het uitvoeren van willekeurige code mogelijk maakt. Verdere details zijn niet door Adobe gegeven. Het CISA geeft daarnaast ook geen informatie over de waargenomen aanvallen, maar heeft Amerikaanse overheidsinstanties opgedragen de update voor 5 november te installeren. bron: https://www.security.nl