Captain Kirk

Cybercriminelen proberen slachtoffers door middel van een nepfoutmelding een malafide PowerShell-commando uit te laten voeren waarmee uiteindelijk malware op het systeem wordt geïnstalleerd en de aanvallers volledige controle krijgen. Dat laat securitybedrijf Fortinet in een analyse weten. De aanval begint met een e-mail die als onderwerp 'Critical Update' heeft en de ontvanger oproept om het meegestuurde 'Document' te bekijken. Het gaat hier om een html-bestand genaamd document.html. Wanneer slachtoffers het html-bestand openen verschijnt er een nepfoutmelding die stelt dat er geen verbinding met de "One drive" clouddienst gemaakt kon worden. De 'foutmelding' is ook voorzien van een knop genaamd 'How to fix'. Wanneer gebruikers op deze knop klikken wordt het malafide PowerShell-commando naar het clipboard gekopieerd en verschijnen er instructies om PowerShell te starten en dan Ctrl + V en Enter uit te voeren. Via het PowerShell-commando wordt malware op het systeem gedownload en uitgevoerd. "Naast het alert zijn op phishingmails, moet er extra voorzichtig worden omgegaan met gerichte adviezen die vragen om een terminal of PowerShell te openen, om zo te voorkomen dat er onbedoeld malafide commando's worden gedownload en uitgevoerd", aldus Fortinet. bron: https://www.security.nl

Broadcam heeft vandaag drie kwetsbaarheden in verschillende VMware-producten gedicht waarvan misbruik al voor het uitkomen van de patches heeft plaatsgevonden. Via de kwetsbaarheden kunnen aanvallers vanuit een virtual machine toegang tot de onderliggende hypervisor krijgen. Dit is de software waarmee virtual machines worden gemaakt en op draaien. De kwetsbaarheden (CVE-2025-22224, CVE-2025-22225 en CVE-2025-22226) zijn aanwezig in VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion, VMware Cloud Foundation en VMware Telco Cloud Platform. De gevaarlijkste kwetsbaarheid is CVE-2025-22224. Het gaat om een out-of-bounds write waardoor een aanvaller vanuit de virtual machine code op de onderliggende host kan uitvoeren. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. De andere twee VMware-kwetsbaarheden hebben een lagere impactscore en maken het mogelijk voor een aanvaller om geheugen van het vmware-proces te lekken en uit de sandbox-beveiliging van de software te breken. Broadcam geeft geen details over de aanvallen, behalve dat de beveiligingslekken door het Microsoft Threat Intelligence Center zijn gerapporteerd. Broadcom heeft ook een 'Questions & Answers' over de kwetsbaarheden uitgebracht waarin het klanten oproept de updates direct te installeren. bron: https://www.security.nl

Kwetsbaarheden in meerdere modellen DrayTek Vigor-routers maken het mogelijk voor aanvallers om in het ergste geval willekeurige code uit te voeren en 'persistent backdoors' te installeren, zo waarschuwen onderzoekers van Faraday Security. De gevaarlijkste twee kwetsbaarheden zijn CVE-2024-51138 en CVE-2024-51139, waardoor een remote aanvaller door het versturen van een speciaal geprepareerd request een buffer overflow of integer overflow kan veroorzaken, wat kan leiden tot het uitvoeren van willekeurige code op de router. Ook verschillende andere kwetsbaarheden bij het controleren van tls-certificaten en updates zorgen ervoor dat een aanvaller willekeurige code kan uitvoeren. Verder blijken de kwetsbare routers voorspelbare 2FA-codes te genereren, worden wachtwoorden in plaintext opgeslagen en gebruiken de routers een kwetsbare functie waardoor het via timing-aanvallen mogelijk is om gevoelige informatie te stelen, aldus de onderzoekers. Via de beveiligingslekken zijn kwetsbare routers volledig over te nemen en is het mogelijk om 'persistent backdoors' te installeren, aldus de onderzoekers. Draytek heeft updates uitgebracht om de problemen te verhelpen. bron: https://www.security.nl

In navolging van Google is ook Microsoft begonnen met het uitschakelen van de zeer populaire adblocker uBlock Origin. Verschillende gebruikers van een vroege testversie van Microsoft Edge melden op X dat de adblocker bij hen door de browser is uitgeschakeld. Net als Google Chrome is Microsoft Edge op de Chromium-browser gebaseerd. De manier waarop extensies binnen Chrome, Edge en andere browsers mogen werken staat beschreven in een manifest. Lange tijd werkten extensies met Manifest V2, maar Google wil deze versie vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API, die wordt vervangen door een andere oplossing genaamd declarativeNetRequest. Adblockers maken van de webRequest API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 en het verdwijnen van de webRequest API minder effectief worden. Zo is er geen Manifest V3-versie van uBlock Origin. Omdat Manifest V2 wordt uitgefaseerd liet Google eerder al weten dat het V2-gebaseerde extensies bij gebruikers gaat uitschakelen en is daar inmiddels mee begonnen. Nu laten ook Edge-gebruikers weten dat de adblocker bij hen is uitgeschakeld. Het gaat specifiek om Edge Canary, dat een vroege testversie van de browser is. Wanneer Microsoft Manifest V2 in de stabiele Edge-versie gaat uitfaseren is nog niet bekend. De makers van de Brave-browser grijpen de berichtgeving aan om Edge-gebruikers naar Brave te krijgen. In een reactie stellen ze dat de browser over een ingebouwde adblocker beschikt en uBlock Origin ondersteunt. bron: https://www.security.nl

Bijna drieduizend Ivanti vpn-systemen met een kritieke kwetsbaarheid die remote code execution mogelijk maakt, waaronder 122 in Nederland, zijn vanaf het internet toegankelijk, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. Updates voor het beveiligingslek in Ivanti Connect Secure (ICS) zijn sinds 11 februari beschikbaar, maar veel organisaties hebben die nog niet geïnstalleerd. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. De kritieke kwetsbaarheid, aangeduid als CVE-2025-22467, betreft een stack-based bufferoverflow waardoor een aanvaller op afstand code kan uitvoeren. Om het beveiligingslek te kunnen misbruiken moet een aanvaller geauthenticeerd zijn, maar elke willekeurige gebruiker is voldoende. Een aanvaller zou bijvoorbeeld de inloggegevens van een vpn-gebruiker kunnen compromitteren en daarmee het lek op de vpn-server kunnen misbruiken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. Ivanti kwam op 11 februari met updates en zegt dat het niet bekend is met misbruik van de kwetsbaarheid. Beveiligingslekken in Ivanti Connected Secure zijn in het verleden geregeld ingezet bij aanvallen. The Shadowserver Foundation is een stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld online scans naar kwetsbare systemen op internet uitvoert. Bij de laatste scan werd gezocht naar Ivanti vpn-servers die de update voor CVE-2025-22467 niet hebben geïnstalleerd. Dit leverde 2850 ip-adressen op. Het grootste deel daarvan bevindt zich in de VS en Japan. Nederland staat met 122 kwetsbare systemen op de vijfde plek in het overzicht. bron: https://www.security.nl

E-mailprovider Tuta slaat alarm over een Frans wetsvoorstel dat aanbieders van versleutelde communicatieplatforms zoals chatapps verplicht om 'technische maatregelen' te implementeren, waardoor inlichtingendiensten de inhoud van versleutelde communicatie kunnen bekijken. Chatdiensten zouden de inhoud van chatberichten van gebruikers na een bevel binnen 72 uur aan de autoriteiten moeten verstrekken. De boete voor het niet meewerken bedraagt voor natuurlijke personen 1,5 miljoen euro en kan voor bedrijven oplopen tot twee procent van de wereldwijde omzet. Volgens de indieners van het wetsvoorstel moet het helpen om drugshandel tegen te gaan. "Drugsnetwerken, terroristische groepen, en daarnaast, alle criminele organisaties maken grootschalig gebruik van versleutelde berichten en de belemmeringen voor inlichtingendiensten om toegang te krijgen tot informatie die op deze platforms wordt uitgewisseld", aldus de tekst van het voorstel. "Dit amendement verplicht platforms om de noodzakelijke technische maatregelen te implementeren waardoor inlichtingendiensten toegang kunnen krijgen tot de inhoud van berichten en gegevens die via de platforms worden verzonden", zo laat het voorstel verder weten. Volgens Tuta staat Frankrijk op het punt om de 'ergste surveillancewetgeving' in de Europese Unie aan te nemen en moet dit worden gestopt. De mailprovider voegt toe dat de wet een gevaarlijk precedent schept dat de waardes zou ondermijnen waarvoor de EU staat. "We moeten niet toestaan dat dit door angst gedreven beleid veiligheid en vrijheid van alle Europese burgers ondermijnt." Het wetsvoorstel werd eerder al door de Franse senaat aangenomen, laat de Franse digitale rechtenbeweging La Quadrature du Net (LQDN) weten. Het voorstel moet nu door het Assemblée nationale worden behandeld. bron: https://www.security.nl

Een kwetsbaarheid in de back-upsoftware van Nakivo maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand back-ups en inloggegevens te stelen waar de software gebruik van maakt. De fabrikant heeft de kwetsbaarheid inmiddels stilletjes gepatcht, aldus onderzoekers van securitybedrijf watchTowr die het probleem ontdekten. Het beveiligingslek (CVE-2024-48248) maakt het mogelijk om willekeurige bestanden op het back-upsysteem te lezen. Het kan dan gaan om back-ups, maar ook alle inloggegevens waar de back-upsoftware gebruik van maakt. WatchTowr waarschuwde Nakivo op 13 september maar kreeg geen reactie. Op 2 oktober volgde een tweede poging. Pas op 29 oktober bevestigde het bedrijf de kwetsbaarheid. Het probleem werd op 4 november met versie 11.0.0.88174 verholpen, maar nergens in de release notes wordt het beveiligingslek vermeld. WatchTowr spreekt dan ook van 'silent' patching. Het bedrijf heeft vandaag details over de kwetsbaarheid openbaar gemaakt. bron: https://www.security.nl

Criminelen zijn erin geslaagd om door middel van infostealer-malware bijna een half miljard wachtwoorden te stelen. De e-mailadressen van de betreffende accounts zijn met datalekzoekmachine Have I Been Pwned gedeeld, zo laat oprichter Troy Hunt weten. Infostealer-malware is ontwikkeld om inloggegevens van geïnfecteerde pc's te stelen om daarna naar de aanvaller terug te sturen. Aanvallers beschikken vaak over logbestanden met grote hoeveelheden gecompromitteerde accounts. Begin deze maand ontving Hunt een dataset van anderhalve gigabyte, met daarin 23 miljard logregels afkomstig van infostealer-malware. In totaal bleek het om 493 miljoen unieke paren van websites, e-mailadressen en bijbehorende wachtwoorden te gaan. Het ging in totaal om 284 miljoen unieke e-mailadressen. Sommige e-mailadressen werden voor meerdere websites gebruikt. Infostealer-malware steelt gebruikersnamen en wachtwoorden voor elke website waarop een slachtoffer vanaf een besmette computer inlogt. Zodoende zijn er meer combinaties van websites en e-mailadressen dan unieke e-mailadressen. De 284 miljoen e-mailadressen zijn toegevoegd aan Have I Been Pwned (HIBP). Via de zoekmachine kunnen gebruikers kijken of hun e-mailadres in een bekend datalek voorkomt. 69 procent van de e-mailadressen was al via een ander datalek bekend. 244 miljoen wachtwoorden Naast de mogelijkheid om e-mailadressen in bekende datalekken te zoeken biedt HIBP ook een dienst genaamd 'Pwned Passwords'. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Hunt besloot de wachtwoorden uit de dataset toe te voegen aan Pwned Passwords. Het ging daarbij om 244 miljoen unieke wachtwoorden die nog niet in de database van de dienst voorkwamen. Vorige maand voegde Hunt ook al een groot aantal e-mailadressen en wachtwoorden aan Have I Been Pwned toe die van infostealer-malware afkomstig waren. bron: https://www.security.nl

Mozilla heeft opnieuw laten weten dat het Manifest V2 voor Firefox-extensies blijft ondersteunen, zodat populaire adblockers zoals uBlock Origin binnen de browser blijven werken. De manier waarop extensies binnen Firefox, Chrome en andere browsers mogen werken staat beschreven in een manifest. Lange tijd werkten extensies met Manifest V2, maar Google wil deze versie vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API, die wordt vervangen door een andere oplossing genaamd declarativeNetRequest. Adblockers maken van de webRequest API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 en het verdwijnen van de webRequest API minder effectief worden. Zo is er geen Manifest V3-versie van uBlock Origin, de populairste extensie en adblocker voor zowel Firefox als Google Chrome. Als onderdeel van het uitfaseren van Manifest V2 heeft Google besloten om uBlock Origin en andere Manifest V2-extensies bij Chrome-gebruikers uit te schakelen. Mozilla zegt dat het van plan is om Manifest V2 en V3 naast elkaar te blijven ondersteunen. Daardoor kunnen adblockers van de webRequest API gebruik blijven maken, alsmede van declarativeNetRequest. Dit biedt volgens Mozilla meer keuze en innovatie voor gebruikers, alsmede meer mogelijkheden voor extensie-ontwikkelaars. bron: https://www.security.nl

Aanvallers maken actief misbruik van jarenoude kwetsbaarheden in apparatuur van Cisco, waaronder een kritiek beveiligingslek dat sinds 28 maart 2018 bekend is. Dat laat securitybedrijf GreyNoise op basis van eigen bevindingen weten. Twee andere kritieke kwetsbaarheden die bij aanvallen worden ingezet zijn sinds 2023 bekend. De aanvallen, onder andere gericht tegen Amerikaanse telecomproviders, zouden het werk zijn van een groep genaamd Salt Typhoon. Begin deze maand meldde securitybedrijf Recorded Future op basis van eigen onderzoek dat de groep verschillende Cisco-kwetsbaarheden had gebruikt om systemen te compromitteren. Cisco kwam vervolgens met een reactie op de berichtgeving en stelde dat het misbruik van deze beveiligingslekken niet kon bevestigen. Bij de systemen die Cisco onderzocht wisten de aanvallers via gestolen inloggegevens initiële toegang krijgen, aldus het netwerkbedrijf. Hoe de aanvallers deze inloggegevens konden bemachtigen is niet bekend. Eén systeem dat Cisco onderzocht was via een oude kwetsbaarheid gecompromitteerd (CVE-2018-0171), maar deze activiteit kon Cisco naar eigen zeggen niet aan Salt Typhoon toeschrijven. CVE-2018-0171 betreft een kritieke kwetsbaarheid in de Smart Install feature van Cisco IOS en IOS XE waardoor een ongeauthenticeerde aanvaller willekeurige code op kwetsbare apparaten kan uitvoeren. Smart Install is een 'plug-and-play' feature voor het op afstand configureren en uitrollen van switches, dat 'by design' geen authenticatie vereist. "CVE-2018-0171 werd zeven jaar geleden bekendgemaakt, maar geavanceerde aanvallers blijven er gebruik van maken", aldus Noah Stone van GreyNoise. Twee andere Cisco-beveiligingslekken die aanvallers volgens Stone actief bij aanvallen inzetten zijn CVE-2023-20198 en CVE-2023-20273. Het gaat om twee kwetsbaarheden in de web UI feature van Cisco IOS XE, waardoor een ongeauthenticeerde aanvaller kwetsbare systemen op afstand kan overnemen. De impact van CVE-2023-20198 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Al voor het uitkomen van updates werd CVE-2023-20198 bij aanvallen ingezet. Ondanks de leeftijd van de Cisco-kwetsbaarheden proberen aanvallers er nog altijd misbruik van te maken, aldus GreyNoise. Organisaties worden dan ook opgeroepen om alle Cisco-updates meteen te installeren en toegang tot management-interfaces te beperken. bron: https://www.security.nl

Google gaat de sms-gebaseerde tweefactorauthenticatie (2FA) voor Gmail vervangen door QR-codes. Op dit moment hebben gebruikers de mogelijkheid om voor het inloggen een 2FA-code via sms te ontvangen. Straks zullen gebruikers via de camera-app op hun smartphone een QR-code moeten scannen. Dat laat het techbedrijf tegenover zakenblad Forbes weten. Volgens Google moet de maatregel het 'phishingrisico' voor Gmail-gebruikers verminderen, die nu nog kunnen worden misleid om beveiligingscodes met een aanvaller te delen. Daarnaast moet het Google minder afhankelijk maken van hoe telecomproviders met abuse op hun netwerk omgaan. "Sms-codes vormen een verhoogde dreiging voor gebruikers", zegt Gmail-woordvoerder Ross Richendrfer. Die stelt dat QR-codes het aanvalsoppervlak voor aanvallers moeten verkleinen en gebruikers tegen malafide activiteiten moeten beschermen. Richendrfer stelt ook dat QR-codes het 'grootschalig, wereldwijd sms-misbruik' moeten verminderen. Zo wordt als voorbeeld sim-swapping genoemd,. Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken en kunnen zo bijvoorbeeld 2FA-codes ontvangen. Dit wordt onder andere gedaan door personeel van telecomproviders te misleiden of hen om te kopen. "Als een fraudeur eenvoudig een telecomprovider kan misleiden om iemands telefoonnummer in handen te krijgen, verdwijnt de securitywaarde van sms", aldus Richendrfer. Google zegt dat het de nieuwe maatregel de komende maanden gaat uitrollen. bron: https://www.security.nl

Zo'n zestigduizend WordPress bevatten een kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand code kan uitvoeren en de website volledig overnemen. De websites maken gebruik van een plug-in genaamd Everest Forms, waarmee gebruikers hun eigen contactformulieren, nieuwsbrieven, quizzen en betaalformulieren kunnen vormgeven. Meer dan honderdduizend WordPress-sites maken actief gebruik van de plug-in. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige bestanden te uploaden wat tot remote code execution kan leiden. Ook kan een ongeauthenticeerde aanvaller willekeurige bestanden lezen en verwijderen, waaronder het wp-config.php bestand. Daardoor is het mogelijk de website over te nemen, aldus securitybedrijf Wordfence. Het probleem wordt veroorzaakt doordat de uploadfunctie aangeboden bestanden niet goed gecontroleerd. Elk .csv- of .txt-bestand met een malafide PHP-script kan worden hernoemd naar een .php-bestand. Vervolgens verplaatst de functie het bestand naar de WordPress-uploadmap, die publiek toegankelijk is, aldus de uitleg van Wordfence. Zodoende kan de aanvaller malafide PHP-code uploaden, die aanroepen en zo code op de server uitvoeren. Wordfence waarschuwde de ontwikkelaars op 9 februari, die op 20 februari met versie 3.0.9.5 kwamen waarin het probleem is verholpen. Sindsdien is de laatste versie zo'n veertigduizend keer gedownload, aldus cijfers van WordPress.org, wat inhoudt dat zo'n zestigduizend WordPress-sites risico lopen. De impact van de kwetsbaarheid (CVE-2025-1128) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Een kwetsbaarheid in Exim maakt SQL-injection op kwetsbare mailservers mogelijk. De makers van de populaire e-mailserversoftware hebben versie 4.98.1 uitgebracht waarin het probleem is verholpen. Het beveiligingslek, aangeduid als CVE-2025-26794, doet zich alleen voor bij Exim-versie 4.98 en wanneer er aan bepaalde randvoorwaarden is voldaan. Het gaat dan om het gebruik van een bepaalde build time optie en run time configuraties. In deze gevallen is 'remote SQL injection' mogelijk', aldus het beveiligingsbulletin. Verdere details zijn niet gegeven. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. Exim komt zelden met security-releases. De vorige keer dateert van juli 2024. bron: https://www.security.nl

Het Australische ministerie van Binnenlandse Zaken heeft het gebruik van de antivirussoftware op systemen van de overheid verboden. Volgens minister van Binnenlandse Zaken Stephanie Foster vormt de software van het bedrijf een 'onacceptabel risico' voor de Australische overheid, netwerken en data. Het gaat dan om buitenlandse inmenging, spionage en sabotage, aldus de bewindsvrouw. "Ik heb ook de noodzaak voor een sterk beleidssignaal voor de vitale infrastructuur en andere Australische overheden laten meewegen met betrekking tot het onacceptabele beveiligingsrisico dat met het gebruik van producten en webdiensten van Kaspersky Lab samenhangt", aldus Foster. Overheidsinstanties hebben tot 1 april de tijd gekregen om alle Kaspersky-software van hun systemen te verwijderen, meldt ITnews. Eerder besloot de Amerikaanse overheid de verkoop van Kaspersky-software in de Verenigde Staten te verbieden, alsmede het uitbrengen van updates. Daarop maakte Kaspersky kenbaar dat het de Verenigde Staten zou verlaten, waarop de antivirussoftware bij klanten automatisch werd verwijderd en vervangen door een ander product. bron: https://www.security.nl

Kan mij voorstellen dat dat erg irritant werken is. Ik ken de pen niet. Een snelle search geeft wel dat er in 2024 al gebruikers klaagde over dergelijke problemen. Misschien heb je wat aan wat er in deze link als oplossing aangeboden wordt? Huion komt op de eigen site ook met een aantal mogelijke oorzaken en eventuele oplossingen. Op deze site staat ook hoe je van Huion hulp kunt krijgen indien de aangeboden oplossingen niet werken: How to fix lagging issue

De Belgische overheid waarschuwt bedrijven en zzp'ers voor malafide security-audits die uit naam van de overheid worden aangeboden. Het Centrum voor Cybersecurity België (CCB) van de Belgische overheid zegt dat het de afgelopen dagen meerdere meldingen van kleinen bedrijven en zzp'ers heeft ontvangen waarbij werd geprobeerd hen op te lichten. De bedrijven worden door een zogenaamde ambtenaar benaderd die claimt in het kader van een bewustzijnscampagne over internetveiligheid te bellen. De 'ambtenaar' biedt dan een security-audit aan om zo de digitale veiligheid van het bedrijf te onderzoeken. "De dienst is gratis en de zogenaamde ambtenaar brengt zijn eigen apparatuur mee om verbinding te maken met jouw netwerk. Vervolgens verwijst hij je naar een website om te bevestigen dat alles in orde is", aldus het CCB. Verdere details over wat de oplichter precies doet zijn niet gegeven. De overheidsdienst merkt op dat de “FOD Cyberbeveiliging” of “federale dienst cybercriminaliteit”, waar de oplichter van zegt te zijn, niet bestaan. Tevens stelt het CCB dat de oplichter bijzonder aandringt om een afspraak te krijgen. "Laat je niet misleiden: een fraudeur kan een vals e-mailadres of een valse badge/visitekaart gebruiken om zich voor te doen als een federale agent", aldus het advies van de dienst, die tevens aanraadt om het gebruikte e-maildomein te controleren. "Een federale instelling zal een officieel domein gebruiken (bijvoorbeeld @belgium.be)." bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt, dat dit jaar het tienjarig bestaan viert, heeft voor het eerst een tls-certificaat met een levensduur van zes dagen uitgegeven. Let's Encrypt verstrekte het certificaat aan zichzelf en besloot om het meteen in te trekken. "Dit is de eerste stap om certificaten met een kortere levensduur voor gebruikers beschikbaar te maken", aldus Josh Aas, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt. Volgens Aas zijn certificaten met een korte levensduur goed voor de veiligheid. Hoe langer de levensduur van een certificaat, hoe meer kans op misbruik. Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen, liet Aas vorige maand weten. De volgende stap in het proces is om de 'shorter-lived' certificaten voor een klein aantal gebruikers beschikbaar te maken. Dit zou in het tweede kwartaal van dit jaar moeten gebeuren. Het is uiteindelijk de bedoeling dat eind dit jaar alle Let's Encrypt-gebruikers certificaten kunnen aanvragen die zes dagen geldig zijn. Certificaten die negentig dagen geldig zijn blijft de certificaatautoriteit ook gewoon aanbieden. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Microsoft Bing maakte remote code execution mogelijk, zo heeft Microsoft laten weten. Het techbedrijf heeft de kwetsbaarheid verholpen en Bing-gebruikers hoeven geen actie te ondernemen. Microsoft kwam gisterenavond met een beveiligingsbulletin waarin het het bestaan van de kwetsbaarheid bekendmaakt. "Ontbrekende authenticatie voor kritieke functie in Microsoft Bing laat een ongeautoriseerde aanvaller code over een netwerk uitvoeren", aldus de summiere omschrijving. Verdere details worden niet gegeven, zoals hoe misbruik zou kunnen plaatsvinden. De impact van het beveiligingslek (CVE-2025-21355) is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. bron: https://www.security.nl

Microsoft heeft een actief aangevallen kwetsbaarheid in Power Pages gedicht waardoor een aanvaller zijn rechten kon verhogen en mogelijk de 'user registration control' omzeilen. Sinds wanneer aanvallers misbruik van het beveiligingslek maken laat Microsoft niet weten. Microsoft Power Pages is een SaaS (Software-as-a-service) platform waarmee gebruikers en organisaties eenvoudig websites kunnen maken en hosten. Power Pages maakt gebruik van een role based access control (RBAC) model om het toegangsniveau van gebruikers te beheren. Daarbij wordt er gewerkt met anonieme en geauthenticeerde gebruikers. Gisterenavond kwam Microsoft met een beveiligingsbulletin waarin het voor de aangevallen kwetsbaarheid waarschuwt en stelt dat een update inmiddels voor de clouddienst is uitgerold. Details over het beveiligingslek (CVE-2025-24989), het waargenomen misbruik en aantal getroffen organisaties geeft Microsoft niet. Het techbedrijf zegt dat het alle getroffen klanten inmiddels heeft gewaarschuwd. De kwetsbaarheid zou door een eigen medewerker zijn ontdekt. bron: https://www.security.nl

Mozilla heeft opnieuw besloten om Firefox langer te blijven ondersteunen op Windows 7, Windows 8 en en oudere macOS-versies. Oorspronkelijk zou de ondersteuning tot en met maart lopen, maar op basis van het aantal Windows 7-gebruikers is besloten de support met nog eens zes maanden te verlengen tot en met september dit jaar. Microsoft stopte de ondersteuning van Windows 7 op 14 januari 2020. Volgens cijfers van Mozilla werkt bijna acht procent van de Firefox-gebruikers nog met Windows 7. De ondersteuning zal echter beperkt zijn tot alleen kritieke beveiligingsupdates en 'kwaliteitsfixes'. Wanneer het einde van de nieuwe supportperiode zich aandient zal Mozilla opnieuw een beslissing nemen of het de ondersteuning stopzet of nogmaals verlengt. bron: https://www.security.nl

Aanvallers maken actief misbruik van drie kwetsbaarheden in firewalls van Palo Alto Networks om kwetsbare apparaten te compromitteren, zo laat de leverancier weten, die van de 'hoogste urgentie' spreekt. Bij de aanvallen worden drie kwetsbaarheden gecombineerd, namelijk CVE-2025-0111, CVE-2025-0108 en CVE-2024-9474. Updates voor de eerste twee kwetsbaarheden zijn sinds vorige week beschikbaar. Voor CVE-2024-9474 verscheen op 18 november een patch. Securitybedrijf GreyNoise meldde al op 13 februari dat CVE-2025-0108 actief bij aanvallen werd ingezet. Via het beveiligingslek kan een ongeauthenticeerde aanvaller de authenticatie van de managementinterface omzeilen en bepaalde PHP-scripts aanroepen. Dit maakt het niet mogelijk om code uit te voeren, maar kan wel de integriteit en vertrouwelijkheid van PAN-OS negatief beïnvloeden, aldus het beveiligingsbulletin. CVE-2025-0111 laat een aanvaller bepaalde bestanden lezen en CVE-2024-9474 laat een aanvaller met admintoegang acties met rootrechten uitvoeren. PAN-OS is het besturingssysteem dat op de firewalls van Palo Alto Networks draait. Verschillende PAN-OS-versies zijn kwetsbaar. Om de aanval uit te kunnen voeren moet een aanvaller de managementinterface van de firewall kunnen benaderen. Iets wat bij duizenden firewalls het geval blijkt te zijn. Wanneer organisaties toestaan dat externe ip-adressen de managementinterface van hun firewall kunnen benaderen is de impact van CVE-2025-0108 op een schaal van 1 tot en met 10 beoordeeld met een 8.8. De overige twee kwetsbaarheden hebben een lagere impactscore. Palo Alto Networks heeft de drie beveiligingsbulletins vandaag van een update voorzien en meldt nu dat aanvallers de drie kwetsbaarheden combineren om zo kwetsbare firewalls aan te vallen. bron: https://www.security.nl

Verschillende kwetsbaarheden in UniFi Protect-camera's van fabrikant Ubiquiti en de bijbehorende applicatie maken remote code execution, het installeren van malafide firmware en het overnemen van de apparaten mogelijk. Er zijn updates uitgebracht om de problemen te verhelpen. Van de vijf kwetsbaarheden zijn er twee als kritiek aangemerkt. Het gaat als eerste om CVE-2025-23115, waardoor een aanvaller met toegang tot de camera willekeurige code kan uitvoeren. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.0. Het tweede kritieke beveiligingslek, CVE-2025-23116, betreft een 'authentication bypass' en is aanwezig in de UniFi Protect-applicatie. Een aanvaller met toegang tot het netwerk van de camera's kan dit lek gebruiken om de apparaten 'volledig over te nemen', aldus de uitleg van Ubiquiti. De impactscore van deze kwetsbaarheid is vastgesteld op een 9.6. De overige drie kwetsbaarheden betreffen problemen bij het controleren van firmware-updates en certificaten en een tweede authentication bypass die tot remote code execution kan leiden. Gebruikers worden opgeroepen de laatste firmware te installeren. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, waarschuwt organisaties voor het laten verlopen van belangrijke en gevoelige domeinnamen. Aanleiding is een waarschuwing van ICANN, de organisatie die onder andere verantwoordelijk is voor de verdeling van ip-nummers en domeinen. ICANN kwam een aantal weken geleden met een waarschuwing voor malafide Whois-servers. Via een Whois-server is het mogelijk om informatie over domeinnamen op te vragen, zoals contactgegevens van domeinnaamhouders en registratiedata van domeinnamen. Tot voor kort waren alle registry’s van generieke topleveldomeinen verplicht een Whois-server te onderhouden. Deze verplichting is sinds vorig jaar komen te vervallen als de betreffende registry gebruikmaakt van het Registration Data Access Protocol (RDAP). Via RDAP is het ook mogelijk om registratiegegevens van een domeinnaam op te vragen. "Veel registry’s haalden daarop hun Whois-servers offline, vaak uit kostenoverwegingen. De bijbehorende domeinnaam werd ook beëindigd. Deze opgeheven domeinnamen blijken nu te gebruiken als ‘rogue Whois-server’. Dat wil zeggen een malafide Whois-server op een legitiem domein, waarmee cybercriminelen valse gegevens kunnen tonen om bijvoorbeeld frauduleus SSL-certificaten voor phishingwebsites te verkrijgen", aldus SIDN. Vorig jaar lieten beveiligingsonderzoekers zien dat door het registreren van een verlopen Whois-domeinnaam allerlei informatie kan worden verkregen waarmee weer allerlei aanvallen mogelijk zijn. Volgens SIDN zijn de resultaten van het onderzoek pijnlijk, omdat er gebruik werd gemaakt van een eenvoudig te voorkomen kwetsbaarheid. "Als men de domeinnaam die bij de server hoorde had aangehouden. Registry’s horen als geen ander te weten welke risico’s het opheffen van gevoelige domeinnamen met zich meebrengt." SIDN geeft dan ook het advies om belangrijke domeinnamen nooit te laten verlopen, ook al zijn er geen diensten meer op actief. "Het veiligheidsrisico is te groot!" bron: https://www.security.nl

De backdoor die de Britse autoriteiten willen om zo toegang tot end-to-end versleutelde iCloud-back-ups te hebben bedreigt privacyrechten wereldwijd, zo stellen mensenrechtenbewegingen Amnesty International en Human Rights Watch. De organisaties reageren op berichtgeving dat de Britse autoriteiten aan Apple een Capability Notice (TCN) hebben gegeven, waarin ze eisen dat Apple toegang tot end-to-end versleutelde iCloud-back-ups biedt. Human Rights Watch (HRW) stelt dat als de berichten waar zijn, de Britse autoriteiten haar bevoegdheden ver te buiten gaan door toegang te willen tot de privédata van niet alleen mensen in het Verenigd Koninkrijk, maar van iedereen met een Apple-account. "Mensen vertrouwen op veilige en vertrouwelijke communicatie om hun rechten uit te oefenen. Toegang tot back-ups van apparaten is toegang tot je gehele telefoon, en sterke encryptie die toegang voorkomt zou de standaard moeten zijn", zegt HRW-onderzoeker Zach Campbell. De mensenrechtenbewegingen noemen de eis van de Britse autoriteiten om toegang tot versleutelde gebruikersdata te krijgen disproportioneel, omdat het de bescherming voor alle gebruikers verzwakt, niet alleen van degenen die van een misdrijf worden verdacht. Als Apple de eis zou inwilligen zou dit de privacyrechten van gebruikers wereldwijd schaden, zo benadrukken ze. "Staten hebben meer en meer krachtige juridische en technische tools tot hun beschikking en onderzoek laat zien dat ze die gebruiken tegen mensen die demonstreren en zich uitspreken, of alleen om wat ze vertegenwoordigen", zegt Joshua Franco van Amnesty International. "Sterke encryptie is één van de weinige beschermingen die we tegen dergelijke aanvallen hebben, en staten zouden bedrijven moeten aanmoedigen om betere bescherming van onze data en rechten aan te bieden, en geen backdoors te willen die mensen wereldwijd risico laten lopen." bron: https://www.security.nl

Juniper waarschuwt voor een kritieke kwetsbaarheid waardoor routers van het netwerkbedrijf op afstand door een ongeauthenticeerde aanvaller zijn over te nemen. Het bedrijf heeft noodpatches uitgebracht om het probleem, aangeduid als CVE-2025-21589, te verhelpen. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en volledige controle over het apparaat krijgen. Verdere details zijn niet gegeven. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem speelt bij de Session Smart Router, Session Smart Conductor en WAN Assurance Managed Routers. Voor organisaties die gebruikmaken van WAN Assurance, waarbij de configuratie ook wordt beheerd, zullen de beschikbare updates automatisch worden geïnstalleerd. Juniper zegt dat het niet bekend is met actief misbruik van de kwetsbaarheid. bron: https://www.security.nl