Captain Kirk

Google waarschuwt internetgebruikers voor een aanval waarbij wordt geprobeerd om via een malafide captcha malware te installeren. De afgelopen jaren hebben aanvallers verschillende varianten van dergelijke aanvallen uitgevoerd. Internetgebruikers krijgen op malafide webpagina's een melding te zien dat ze een "captcha" moeten oplossen om te bewijzen dat ze geen robot zijn. In werkelijkheid wordt geprobeerd om gebruikers malafide commando's te laten uitvoeren die tot de installatie van malware leiden. Bij de door Google waargenomen aanval worden gebruikers verleid om eerst een malafide dll-bestand genaamd "iamnotarobot" te downloaden en vervolgens op het eigen systeem dit bestand uit te voeren. In werkelijkheid installeert het dll-bestand een backdoor op het systeem, waardoor aanvallers toegang tot de computer krijgen. Volgens Google is de aanval het werk van een groep die het Coldriver noemt. Het zou om een door de Russische overheid gesteunde groep gaan die het onder andere heeft voorzien op NGO's, beleidsadviseurs en dissidenten. De groep wordt onder andere voor allerlei gerichte phishingaanvallen verantwoordelijk gehouden. Waarom de groep nu voor het verspreiden van malware via malafide captcha's kiest kan Google niet zeggen. Het techbedrijf denkt dat de techniek wordt ingezet tegen doelwitten die eerder al via phishing waren gecompromitteerd, om zo aanvullende informatie te verzamelen. Hoe de aanvallers doelwitten naar de malafide captcha-pagina krijgen is niet helemaal bekend. Wel is duidelijk dat de achterliggende pagina's en domeinnamen zich voordoen als informatiebron die voor het doelwit interessant is. bron: https://www.security.nl

Onderzoekers hebben een nieuwe versie van de Vidar-malware ontdekt die multi-threading gebruikt om sneller wachtwoorden en andere inloggegevens van besmette systemen te stelen. Door het gebruik van multi-threading kan de malware gelijktijdig inloggegevens uit verschillende applicaties stelen. Daarbij houdt Vidar ook rekening met de prestaties van het systeem. Op snellere systemen gebruikt de malware meer threads en kan daardoor sneller wachtwoorden en andere data stelen. De Vidar-malware bestaat al jaren en verscheen eind 2018 voor het eerst. Het gaat hier om een zogenoemde "infostealer", malware speciaal ontwikkeld voor het stelen van allerlei inloggegevens. Vidar wordt aangeboden als malware-as-a-service. Een levenslang abonnement kost afnemers 300 dollar. Onlangs werd Vidar 2.0 aangekondigd, zo laat Trend Micro in een analyse weten. Eén van de nieuwe features in deze versie is het ondersteunen van multi-threading. Daardoor kan de malware efficiënt gebruikmaken van processors die over meerdere cores beschikken. "De malware maakt gebruik van een geavanceerd multi-threading systeem dat automatisch de prestaties aanpast afhankelijk van de specificaties van de computer van het slachtoffer", aldus de onderzoekers. "Het schaalt de operaties op door meer worker threads op een krachtig systeem te creëren en minder threads op zwakkere machines, om zo optimaal te presteren zonder het aangevallen systeem te overweldigen." Door deze aanpak kan de malware gelijktijdig uit verschillende bronnen, zoals browsers, cryptowallets en bestanden, data stelen, in plaats van die één voor één te verwerken. Vidar heeft het op verschillende browsers voorzien, namelijk Google Chrome, Microsoft Edge, Opera, Opera GX, Vivaldi, Firefox, Waterfox en Palemoon. Daarnaast steelt de malware ftp- en ssh-inloggegevens uit FileZilla en WinSCP. Tevens zijn Steam, Discord, Telegram en cryptowallets een doelwit, alsmede Office 365 en Azure. Gestolen data wordt vervolgens naar de aanvaller gestuurd. Daarna verwijdert de malware allerlei sporen om zo forensisch onderzoek te bemoeilijken. bron: https://www.security.nl

Ik heb afgelopen weekend op zowel een laptop als de desktop de stappen eenvoudig uitgevoerd. Verliep snel en soepel. Kreeg wel op beide eerst de melding dat het in mijn regio niet beschikbaar zou zijn. Maar na uitvoering van de laatste updates, loop je zo door het proces heen. Dit ter info.

Inderdaad een lastig verhaal. Als je een tv en internetabonnement bij Telenet hebt, heb je naar mijn idee ook het modem van Telenet en dus zou je laptop jet die modem en dus Telenet verbonden moeten zijn. De telefoon loopt via Orange en heeft geen wifi aan staan.... Mijn eerste vraag is: waarom niet? Gebruik van je eigen wifi scheelt data in je abonnement. Een hotspot, dat merkt DCA in mijn ogen al juist op, klinkt niet logisch. Dit is een setting die je echt moet weten hoe je dit kunt instellen.

Zo'n 76.000 Firebox-firewalls van leverancier WatchGuard, waarvan meer dan 1200 in Nederland, missen een beveiligingsupdate voor een kritieke kwetsbaarheid die remote code execution (RCE) mogelijk maakt. De patch is sinds 17 september beschikbaar. Dat meldt The Shadowserver Foundation op basis van een online scan naar kwetsbare systemen. "De kwetsbaarheid raakt zowel de mobile user VPN met IKEv2 en de branch office VPN die van IKEv2 gebruikmaakt wanneer die met een dynamic gateway peer is geconfigureerd", aldus het beveiligingsbulletin dat een maand geleden verscheen. "Als de Firebox eerder was geconfigureerd met de mobile user VPN met IKEv2 of een branch office VPN gebruikmakend van IKEv2 naar een dynamic gateway peer, en beide configuraties zijn sindsdien verwijderd, kan die Firebox nog steeds kwetsbaar zijn als een branch office VPN naar een static gateway peer nog steeds geconfigureerd is." De impact van het beveiligingslek, aangeduid als CVE-2025-9242, is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Hoewel een beveiligingsupdate al een maand beschikbaar is, blijken veel beheerders die nog niet te hebben geïnstalleerd. The Shadowserver Foundation is een stichting die geregeld onderzoek naar kwetsbare systemen doet. Voor het laatste onderzoek werd er gescand naar Firefox-firewalls die kwetsbaar voor CVE-2025-9242 zijn. Dit leverde 76.000 apparaten op. Het grootste deel daarvan bevindt zich in de Verenigde Staten, bijna 25.000. In Nederland werden 1224 kwetsbare firewalls geteld. bron: https://www.security.nl

Kwetsbaarheden in de SMB-client van Windows en Kentico Xperience worden actief misbruikt bij aanvallen, zo waarschuwt het Amerikaanse cyberagentschap CISA. Microsoft kwam op 10 juni met beveiligingsupdates voor het Windows-lek, aangeduid als CVE-2025-33073. Via de 'Elevation of Privilege" kwetsbaarheid kan een aanvaller SYSTEM-rechten krijgen. Dit is bijvoorbeeld mogelijk via een script dat het systeem van het slachtoffer via SMB laat inloggen op een machine van de aanvaller, zo laat Microsoft in het beveiligingsbulletin weten. De impact van de kwetsbaarheid, die door meerdere verschillende onderzoekers aan Microsoft werd gerapporteerd, is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Toen Microsoft de beveiligingsupdates uitbracht was er nog geen actief misbruik waargenomen. Wel was er proof-of-concept exploitcode beschikbaar. Desondanks omschreef Microsoft de kans op daadwerkelijk misbruik "less likeley". Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat vandaag weten dat aanvallers inmiddels wel misbruik van het lek maken, maar geeft geen verdere details. Daarnaast waarschuwt het CISA voor misbruik van twee kritieke kwetsbaarheden in Kentico Xperience Staging Sync Server (CVE-2025-2746 en CVE-2025-2747). Het gaat om een "authentication bypass" waardoor een aanvaller als admin kan inloggen zonder over het bijbehorende wachtwoord te beschikken. De impactscore van beide kwetsbaarheden is beoordeeld met een 9.8. Begin maart kwam Kentico met een beveiligingsupdate. Kentico Xperience is een platform voor contentmanagement, digital marketing en e-commerce. Het CISA geeft wederom geen informatie over de waargenomen aanvallen. bron: https://www.security.nl

De officiële website van Xubuntu verspreidde cryptostelende malware. De downloadknop voor het torrent-bestand op de website linkte urenlang naar een zip-bestand genaamd "Xubuntu-Safe-Download.zip". Dit bestand bevatte een .exe-bestand dat in werkelijkheid clipper-malware installeerde. Dit soort malware is speciaal ontwikkeld voor het stelen van allerlei cryptovaluta van besmette systemen. Dat laten gebruikers op Reddit weten. De malafide torrent-downloadlink is inmiddels verwijderd. Xubuntu is een op Ubuntu-gebaseerde Linux-distributie. Gebruikers kunnen de distro op verschillende manieren downloaden, waaronder via een torrent-bestand. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer of telefoon. Clipper-malware op het systeem kan het gekopieerde adres aanpassen naar een adres van de aanvaller. Zodra het slachtoffer het adres op de transactiepagina plakt, en niet goed oplet, maakt hij zo geld over naar de wallet van de aanvaller in plaats van de oorspronkelijk bedoelde begunstigde. De malafide downloadlink stond twaalf uur op de website Xubuntu.org. Hoe de link op de website kon verschijnen is onbekend. In een ander topic op Reddit over de gecompromitteerde Xubuntu-website is een reactie sticky gemaakt, waarin Xubuntu-teamlid Elizabeth Krumbach Joseph laat weten dat er sprake was van een "slip-up" met betrekking tot de hostingomgeving. Verdere details over de aanval zijn echter niet gegeven. Xubuntu geeft aan naar een statische omgeving te migreren om dit soort incidenten in de toekomst te voorkomen. Verder wordt aangegeven dat het team zeer klein en druk is. bron: https://www.security.nl

Google gaat verschillende "Privacy Sandbox" technieken uitfaseren, waaronder de fel bekritiseerde trackingmethode Topics, en blijft voor de toekomst inzetten op trackingcookies. Dat heeft het techbedrijf laten weten. Trackingcookies spelen een belangrijke rol bij het volgen van gebruikers op internet en tonen van gerichte advertenties. Vanwege privacyzorgen worden dergelijke cookies door meerdere browsers inmiddels geblokkeerd. Om gebruikers zonder het gebruik van third-party cookies toch gerichte advertenties te kunnen blijven tonen bedacht Google de "Privacy Sandbox", een verzameling van technieken om gepersonaliseerde reclame te tonen zonder het gebruik van cookies. Het techbedrijf wilde oorspronkelijk trackingcookies binnen Chrome uitfaseren en vervangen door "Privacy Sandbox" technieken. Begin dit jaar maakte het techbedrijf bekend dat het trackingcookies toch blijft toestaan en niet gaat uitfaseren. Zes maanden na de aankondiging dat het doorgaat met trackingcookies is Google nu met een update over de "Privacy Sandbox" gekomen. Daarin benadrukt het techbedrijf opnieuw dat het voor de toekomst blijft inzetten op trackingcookies. Verder gaat Google verschillende "Privacy Sandbox" technieken uitfaseren, waaronder Attribution Reporting API, IP Protection, On-Device Personalization, Private Aggregation, Protected Audience, Protected App Signals, Related Website Sets, SelectURL, SDK Runtime en Topics. Volgens Google wordt er te weinig gebruik van gemaakt. Privacybewegingen hadden veel kritiek op Topics. Zo diende privacyorganisatie noyb bij de Oostenrijkse privacytoezichthouder een klacht in over de techniek. Bij Topics bepaalt de browser op basis van het browsegedrag van de gebruiker welke onderwerpen hij interessant vindt en stemt daar advertenties op af. Wanneer gebruikers een website bezoeken die Topics ondersteunt zal de technologie drie onderwerpen kiezen waar de gebruiker interesse in heeft en die met de website en diens advertentiepartners delen. Vervolgens kunnen websites en adverteerders op basis van deze onderwerpen advertenties tonen. Topics worden voor een periode van drie weken bewaard. Gebruikers kunnen de door de browser gekozen onderwerpen wel zien en die verwijderen. Twee jaar geleden liet Google aan Chrome-gebruikers een pop-up zien met de tekst 'Enhanced ad privacy in Chrome', waarmee het gebruikers liet weten dat de feature staat ingeschakeld of toestemming vroeg dit te doen. Er was veel kritiek op de bewoording die Google gebruikte, omdat die gebruikers zou misleiden. Google stelt dat te weinig uitgevers en advertentiebedrijven er gebruik van maakten, wat de reden is om de techniek uit Chrome en Android te verwijderen. bron: https://www.security.nl

CentreStack heeft een beveiligingsupdate uitgebracht voor een actief aangevallen kwetsbaarheid in de file sharing software. Dit wordt echter niet duidelijk in de release notes vermeld. Het bedrijf spreekt alleen over "Security Enhancements". Een CVE-nummer of vermelding van actief misbruik is niet vermeld. Misbruik zou in ieder geval sinds 27 september plaatsvinden, aldus securitybedrijf Huntress. Het securitybedrijf maakte vorige week melding van de actief aangevallen kwetsbaarheid in CentreStack, aangeduid als CVE-2025-11371, waarvoor op dat moment nog geen beveiligingsupdates beschikbaar waren. Drie klanten van Huntress waren via de kwetsbaarheid aangevallen. CentreStack had wel een tijdelijke mitigatie aan klanten gerapporteerd, maar deze oplossing heeft impact op het functioneren van de software. Gladinet CentreStack is een oplossing voor het opslaan en delen van bestanden. Volgens het bedrijf maken er duizenden bedrijven in 49 landen gebruik van. Nu er een beveiligingsupdate beschikbaar is heeft Huntress meer details over de kwetsbaarheid gegeven. Het gaat om een ongeauthenticeerde "Local File Inclusion" kwetsbaarheid waardoor een aanvaller onbevoegde toegang tot systeembestanden kan krijgen. Zo kan de MachineKey worden verkregen, die het mogelijk maakt om code op het systeem uit te voeren. Verdere details over de aanvallen of aanvallers zijn niet gegeven. bron: https://www.security.nl

Mozilla zal Firefox op Windows 10 voorlopig met updates blijven ondersteunen. Het gaat zowel om feature- als beveiligingsupdates, zo laat de browserontwikkelaar weten. Afgelopen dinsdag stopte Microsoft de ondersteuning van Windows 10. Naar aanleiding hiervan laat Mozilla nu weten welke gevolgen dit heeft voor Firefox-gebruikers op het platform. "Als je op Windows 10 blijft zul je dezelfde updates blijven ontvangen die je ontving, met al onze nieuwste feature-verbeteringen en bugfixes", aldus Mozilla's David Rubino. Het gaat dan ook om "special security updates". Volgens Rubino blijft Windows 10 een belangrijk platform voor Windows 10-gebruikers. Cijfers van Mozilla laten zien dat 37 procent van de Firefox-gebruikers nog op Windows 10 zit. "In tegenstelling tot oudere Windowsversies zoals Windows 7 en 8, waar Mozilla alleen beveiligingsupdates voor Firefox biedt, ontvangt Windows 10 de nieuwste features en bugfixes, net zoals gebruikers op Windows 11", aldus Rubino. Mozilla adviseert gebruikers van Windows 10 om te upgraden naar Windows 11. Gebruikers die niet kunnen of willen upgraden worden aangeraden om "extended security updates" van Microsoft af te nemen. In de EU kan dit door middel van een Microsoft-account. Afsluitend stelt Mozilla dat het van plan is om Windows 10 in ieder geval de komende jaren nog te ondersteunen en het gebruikers zal laten weten wanneer de supportplannen veranderen. bron: https://www.security.nl

Microsoft heeft eerder deze maand meer dan tweehonderd certificaten ingetrokken die door een ransomwaregroep werden gebruikt voor het digitaal signeren van malafide bestanden, zo claimt het techbedrijf op X. De gesigneerde bestanden leken op installatiebestanden van Microsoft Teams, maar waren in werkelijkheid een backdoor waarmee de Rhysida-ransomware uiteindelijk op systemen werd uitgerold. Voor het signeren van de backdoor maakten de aanvallers gebruik van code signing diensten van Trusted Signing, SSL.com, DigiCert en GlobalSign, aldus Microsoft. De ransomwaregroep wordt door het techbedrijf "Vanilla Tempest" genoemd, maar staat ook bekend als Vice Society. Om slachtoffers het malafide installatiebestand te laten downloaden maakt de groep gebruik van search engine optimization (SEO) poisoning. Daarbij weten de aanvallers malafide domeinen hoger in de zoekresultaten te krijgen. In dit geval werd er gebruikgemaakt van domeinen met namen als "teams-download", "teams-install" en "teams-download". bron: https://www.security.nl

De meeste cyberaanvallen die vorig jaar plaatsvonden waren mogelijk door het gebruik van exploits voor kwetsbaarheden en gestolen wachtwoorden, zo stelt Microsoft in de nieuwste editie van het Digital Defense Report. Daarnaast proberen aanvallers vooral data van organisaties te stelen. In het rapport geeft het techbedrijf een overzicht van de ontwikkelingen op het gebied van cyberaanvallen. Volgens Microsoft werd 37 procent van de incidenten waarbij het door klanten werd ingeschakeld gemotiveerd door datadiefstal. Afpersing volgt met 33 procent op de tweede plek, gevolgd door ransomware op plek drie met 19 procent. Vier procent van de incidenten waarvoor getroffen organisaties Microsoft inschakelden bleken het gevolg te zijn van cyberspionage. Bij twintig procent van de onderzochte incidenten bleek het niet mogelijk om de oorzaak te achterhalen, waardoor aanvallers de aanval konden uitvoeren. Het gebruik van exploits bij kwetsbare software was in 11 procent van de gevallen de initiële toegangsmethode. Een zelfde percentage van de incidenten werd veroorzaakt door "geldige accounts". Het gaat dan om gestolen inloggegevens waarmee aanvallers op accounts inloggen en daarvandaan verdere aanvallen uitvoeren. Deze wachtwoorden zijn voornamelijk afkomstig van datalekken en infostealer-malware. Social engineering was voor 10 procent van de incidenten verantwoordelijk. Criminelen maken geregeld gebruik van "acces brokers". Dit zijn personen die systemen binnen organisaties compromitteren en vervolgens de toegang tot deze machines aan andere criminelen verkopen. Tal van ransomware-aanvallen zijn uitgevoerd met behulp van access brokers. Volgens Microsoft zijn deze personen dan ook de verborgen "gatekeepers van cybercrime" en spelen ze een belangrijke rol in het cybercrimelandschap. Als er wordt gekeken naar de methodes die access brokers gebruiken om toegang te krijgen, dan blijkt het volgens Microsoft in 80 procent van de gevallen om gestolen inloggegevens te gaan. Microsoft merkt op dat deze inloggegevens niet alleen afkomstig zijn uit datalekken, maar er het afgelopen jaar ook een toename was van het gebruik van infostealer-malware door criminelen. Dergelijke malware kan allerlei inloggegevens van besmette systemen stelen. Microsoft benadrukt dat het gebruik van phishingbestendige multifactorauthenticatie 99 procent van dit soort aanvallen kan stoppen. bron: https://www.security.nl

Tor Project wil de AI-features die Mozilla aan Firefox heeft toegevoegd mede wegens veiligheids- en privacyredenen niet in Tor Browser hebben en heeft die voor zover mogelijk uit de gebruikte Firefox-versie. Dat hebben de ontwikkelaars van het Tor Project in een blogposting over de aankomende release van Tor Browser 15 aangekondigd. Tor Browser bestaat uit software om verbinding te maken met het Tor-netwerk en een aangepaste Firefox-versie. Het Tor Project merkt op dat Mozilla het afgelopen jaar verschillende AI-features en -integraties binnen Firefox heeft doorgevoerd. Zo beschikt de browser inmiddels over een AI-chatbot sidebar. "Dergelijke machine learning systemen en platformen zijn vanuit een veiligheids- en privacyperspectief niet te auditen", zegt Morgan van het Tor Project. "Ook willen we dergelijke systemen niet aanbevelen of promoten door ze aan Tor Browser toe te voegen." Morgan voegt toe dat het Tor Project al het mogelijke heeft gedaan om Mozilla's AI-features uit de Firefox-versie te verwijderen die voor Tor Browser wordt gebruikt. Het gaat hier specifiek om Tor Browser 15, waarvan de eerste stabiele versie eind deze maand zou moeten verschijnen. bron: https://www.security.nl

Harde schijven gaan steeds langer mee voordat ze uiteindelijk uitvallen, zo stelt back-updienst Backblaze op basis van honderdduizenden geanalyseerde harde schijven. Backblaze publiceert elk kwartaal een overzicht van hoe goed de gebruikte harde schijven presteren, maar besloot voor de nieuwste analyse langer terug te kijken. Voor het onderzoek werden cijfers uit 2013, 2021 en 2025 vergeleken. In 2013 zag de back-updienst de meeste uitval rond de 3 jaar en 3 maanden en 3 jaar en 9 maanden. In 2021 werd de meeste uitval pas na 7 jaar en 9 maanden waargenomen. Dit jaar ligt de uitvalspiek rond de 10 jaar en 3 maanden. Ook blijkt dat harde schijven tegenwoordig aan het begin van hun levensduur niet vaak uitvallen. Iets wat in 2013 vaker voorkwam. Volgens Backblaze laat de trend zien dat harde schijven steeds beter worden en langer meegaan. De back-updienst stelt ook dat de cijfers laten zien dat de badkuipkromme, die vaak wordt gebruikt om te laten zien wanneer een product binnen de levenscyclus uitvalt, niet volledig is. "Het behandelt tijd als de enige betrouwbare dimensie, en negeert belasting, productieverschillen, firmware-updates en operationeel verloop. En is gebaseerd op een aantal aannames dat apparaten identiek zijn en onder dezelfde omstandigheden opereren, uitval onafhankelijk plaatsvindt, voornamelijk veroorzaakt door tijd, en de omgeving van het product tijdens de levenscyclus gelijk blijft." bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Adobe Experience Manager Forms, waardoor remote code execution mogelijk is. De impact van het beveiligingslek (CVE-2025-54253) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Adobe kwam op 5 augustus met beveiligingsupdates. Het softwarebedrijf meldde toen dat proof-of-concept exploitcode op internet was te vinden, maar er nog geen misbruik was waargenomen. Een securitybedrijf had de technische details van de kwetsbaarheid en proof-of-concept openbaar gemaakt. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is er inmiddels wel sprake van actief misbruik. Adobe Experience Manager (AEM) is software waarmee organisaties digitale formulieren kunnen creëren, beheren, publiceren en up-to-date houden en is te integreren met andere oplossingen van Adobe. CVE-2025-54253 wordt omschreven als een misconfiguratie die het uitvoeren van willekeurige code mogelijk maakt. Verdere details zijn niet door Adobe gegeven. Het CISA geeft daarnaast ook geen informatie over de waargenomen aanvallen, maar heeft Amerikaanse overheidsinstanties opgedragen de update voor 5 november te installeren. bron: https://www.security.nl

Op internet is een website verschenen waarop criminelen beweren één miljard records uit de databases van Salesforce-klanten te hebben gestolen, waaronder KLM, Cisco en McDonald's. Meer dan honderd Salesforce-installaties van grote bedrijven zijn getroffen, aldus de aanvallers. Bedrijven die op de website worden genoemd hebben tot 10 oktober om losgeld te betalen, anders dreigen de aanvallers de vermeende gestolen data openbaar te maken. De afgelopen maanden wisten aanvallers via telefonische phishingaanvallen en gestolen tokens bij softwarebedrijf Salesloft toegang tot allerlei Salesforce-omgevingen te krijgen. Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software. Via CRM-systemen houden bedrijven allerlei informatie over klanten en potentiële klanten bij. Op de lijst van de aanvallers staan ook namen van bedrijven die de afgelopen maanden wel een datalek rapporteerden, maar waarbij niet werd genoemd dat het om Salesforce ging. Zo waarschuwde KLM begin augustus voor een datalek waarbij aanvallers via een niet nader genoemd "extern platform", dat de luchtvaartmaatschappij voor de klantenservice gebruikt, toegang tot klantgegevens wisten te krijgen. Beveiligingsonderzoekers merken op dat het nog niet zeker is of de website ook daadwerkelijk is van de aanvallers die achter de Salesforce-aanvallen zouden zitten, maar het hier wel op lijkt. bron: https://www.security.nl

Microsoft is wegens veiligheidsredenen gestopt met het weergeven van inline SVG-afbeeldingen in Outlook voor Web en de nieuwe Outlook voor Windows. Volgens het techbedrijf moet dit onder andere cross-site scripting (XSS) aanvallen voorkomen. In plaats van de inline SVG-afbeelding zal de e-mailclient nu een lege ruimte weergeven waar normaliter de afbeelding zou worden getoond. In tegenstelling tot JPEG- of PNG-afbeeldingen zijn Scalable Vector Graphics (SVG) afbeeldingen geschreven in XML en ondersteunen JavaScript en HTML. Aanvallers kunnen hier misbruik van maken door scripts toe te voegen met links naar phishingsites. Het afgelopen jaar waarschuwden verschillende antivirus- en securitybedrijven voor phishingaanvallen waarbij deze functionaliteit werd gebruikt. "Omdat SVG-afbeeldingen binnen een browser worden weergeven, kunnen ze ook anchor tags bevatten, scripts en andere soorten actieve webcontent. Op deze manier hebben aanvallers het bestandsformaat misbruikt. De SVG-bestanden gebruikt in de aanvallen bevatten soms instructies om eenvoudige vormen weer te geven, zoals rechthoeken, maar bevatten ook een anchor tag die naar een ergens anders gehoste website linkt", aldus antivirusbedrijf Sophos. Wanneer iemand de SVG-afbeelding in de e-mail opent wordt vervolgens door de browser de phishingpagina geladen. Volgens Microsoft heeft de maatregel nauwelijks impact op gebruikers. Minder dan 0,1 procent van alle afbeeldingen die via Outlook worden weergegeven zijn SVG-afbeeldingen, aldus het techbedrijf. Daarnaast zullen SVG-beeldingen die als normale bijlage worden meegestuurd nog wel worden ondersteund en weergegeven. bron: https://www.security.nl

Red Hat meldt inbraak op GitLab-omgeving en diefstal van data Aanvallers zijn erin geslaagd om in te breken op een GitLab-omgeving van Red Hat en hebben daarbij data gestolen, mogelijk ook van klanten, zo heeft het bedrijf bekendgemaakt. Eerder deze week claimden criminelen 570 gigabyte aan data uit 28.000 private GitHub-repositories van Red Hat te hebben gestolen. Het zou naast inloggegevens, vpn-profielen, CI/CD secrets, pipeline configuraties en infrastructure blueprints ook om Customer Engagement Reports (CERs) gaan, die gevoelige informatie over de omgevingen van klanten kunnen bevatten. Red Hat laat nu in een blogposting weten dat er is ingebroken op een GitLab instance, waar Red Hat Consulting gebruik van maakt voor interne samenwerking. Het onderzoek is nog gaande, maar vaststaat dat de aanvallers gegevens hebben gekopieerd. De betreffende GitLab instance bevat "consulting engagement data", zoals projectspecificaties, code en interne communicatie over consultancydiensten. Volgens Red Hat heeft de inbraak voor zover nu bekend geen gevolgen voor andere Red Hat services en producten, waaronder de software supply chain of het downloaden van Red Hat software via officiële kanalen. Red Hat zegt dat het klanten zal informeren van wie gegevens zijn gestolen. Hoe de inbraak mogelijk was laat Red Hat niet weten. Welk stelt het bedrijf aanvullende beveiligingsmaatregelen te hebben genomen. bron: https://www.security.nl

DrayTek heeft een kwetsbaarheid in Vigor-routers verholpen die in het ergste geval remote code execution mogelijk maakt. Een ongeauthenticeerde aanvaller kan misbruik van het beveiligingslek maken door speciaal geprepareerde HTTP en HTTPS requests naar de Web User Interface (WebUI) van de router te sturen. Bij een succesvolle aanval zal het systeem crashen en kan een aanvaller in bepaalde gevallen ook op afstand code op het apparaat uitvoeren. "Routers zijn beschermd tegen WAN-gebaseerde aanvallen wanneer remote toegang tot de WebUI en SSL VPN services is uitgeschakeld, of wanneer Access Control Lists (ACL's) goed zijn geconfigureerd", aldus DrayTek. "Desondanks kan een aanvaller met toegang tot het lokale netwerk het lek nog steeds via de WebUI misbruiken." Via de WebUI kunnen gebruikers de router beheren en configureren. Toegang vanaf het lokale netwerk tot de WebUI is bij sommige Vigor-modellen door middel van VLAN's en ACL's in te stellen. DrayTek werd op 22 juli over het beveiligingslek (CVE-2025-10547) ingelicht en kwam gisteren met updates. Verdere details over het probleem zijn niet bekendgemaakt. Gebruikers worden opgeroepen om naar de laatste firmware-versie te updaten. bron: https://www.security.nl

Phishing en misbruik van kwetsbaarheden zijn de twee meest gebruikte methodes voor het aanvallen van systemen, zo laat het Europese cyberagentschap ENISA in het jaarlijkse Threat Landscape rapport weten. Het rapport is gebaseerd op bijna vijfduizend incidenten, afkomstig uit open bronnen, geanonimiseerde informatie van EU-lidstaten en deelnemers aan het ENISA Cyber Partnership-programma. Van de incidenten waarvan de initiële aanvalsvector kon worden achterhaald, bleek het in zestig procent van de gevallen om phishing te gaan. Het gaat dan niet alleen om phishingmails, maar ook om telefonische phishing en mails met besmette bijlagen. Bij 21 procent van de incidenten waarvan de oorzaak bekend was bleek dat de aanvallers misbruik hadden gemaakt van kwetsbaarheden. Het gebruik van gecompromitteerde of getrojaniseerde software was goed voor acht procent van de incidenten waarbij de aanvalsvector bekend was. De gevolgen van de waargenomen phishingaanvallen zijn in veel gevallen onduidelijk. Zo was bij 73 procent van de phishing-incidenten de impact onbekend. In 27 procent van de gevallen stond vast dat er ook daadwerkelijk op een account of systeem was ingebroken. Bij ongeveer een kwart van de phishingaanvallen wordt malware geïnstalleerd, wat volgens ENISA aantoont dat deze aanvalsvector voor andere doeleinden wordt gebruikt dan de installatie van malware. Wanneer aanvallers misbruik van kwetsbaarheden maken leidt dit veel vaker tot een bevestigde inbraak. Zeventig procent van de aanvallen via een beveiligingslek leidde tot een vastgestelde "intrusion" en in de meeste gevallen installeren de aanvallers dan malware. ENISA zag bij de onderzochte incidenten voornamelijk ransomware geïnstalleerd worden. Het Europese cyberagentschap noemt ransomware dan ook de meest impactvolle dreiging in de EU. bron: https://www.security.nl

Criminelen claimen 570 gigabyte aan data uit private GitHub-repositories van Red Hat te hebben gestolen. Het zou naast inloggegevens, vpn-profielen, CI/CD secrets, pipeline configuraties en infrastructure blueprints ook om Customer Engagement Reports (CERs) gaan, die gevoelige informatie over de omgevingen van klanten kunnen bevatten. Volgens de criminelen is de gestolen data uit 28.000 repositories afkomstig. De aanvallers claimen ook bij verschillende klanten van Red Hat te hebben ingebroken, zo blijkt uit screenshots die beveiligingsonderzoeker Kevin Beaumont op Mastodon deelde. In een reactie tegenover Bleeping Computer laat Red Hat weten dat het bekend is met meldingen van een beveiligingsincident met betrekking tot de consultancy-afdeling van het bedrijf en dat de noodzakelijk herstelmaatregelen zijn genomen. Daarnaast stelt het bedrijf dat het beveiligingsprobleem geen andere diensten of producten raakt. Verdere details zijn niet gegeven en ook de claim van de aanvallers is niet door Red Hat bevestigd. bron: https://www.security.nl

Burgerrechtenbeweging Bits of Freedom heeft het kort geding gewonnen dat het tegen Meta had aangespannen over profilerende tijdlijnen op Instagram en Facebook. Meta moet van de rechter binnen twee weken aanpassingen aan de apps doorvoeren zodat de keuze van de gebruiker behouden blijft, ook als de gebruiker naar een andere sectie navigeert of de app herstart. Volgens Bits of Freedom moeten gebruikers onder de Digital Services Act (DSA) kunnen kiezen voor een tijdlijn die niet op gebruikersprofielen is gebaseerd, zoals een tijdlijn met alleen de content van mensen en organisaties die zij zelf volgen, op chronologische volgorde. "Meta geeft gebruikers niet de optie deze standaard als voorkeur in te stellen. Bovendien maakt Meta het onnodig lastig deze tijdlijn te vinden en te gebruiken. Dit is in strijd met de DSA", aldus de burgerrechtenbeweging. De burgerrechtenbeweging stelt dat grote platformen bij het bepalen van welke content gebruikers te zien krijgen, hun eigen belangen voorop stellen, namelijk het verkopen van zoveel mogelijk advertenties op basis van interesses en het gedrag van gebruikers. De rechtbank Amsterdam heeft nu geoordeeld dat Meta, met de manier waarop het Facebook- en Instagram-gebruikers een niet-geprofileerd aanbevelingssysteem laat kiezen, op een aantal onderdelen de DSA overtreedt. "Op die onderdelen zullen de platforms moeten worden aangepast. ter bescherming van de autonomie en keuzevrijheid van gebruikers van deze platforms", aldus het vonnis. Wanneer gebruikers voor een niet-geprofileerd aanbevelingssysteem kiezen moeten ze deze keuze steeds opnieuw instellen. "Aannemelijk is dat deze praktijk tot keuzemoeheid van gebruikers leidt en daarmee een wezenlijke verstoring vormt van de autonomie van de gebruikers van Facebook en Instagram. Deze functionaliteit van de platforms betreft dan ook een door de DSA verboden donker patroon", laat de rechter weten. De rechter merkt ook op dat de keuze van gebruikers voor een niet-geprofileerd aanbevelingssysteem persistent moet zijn. De keuze moet behouden blijven totdat de gebruiker die wijzigt. "De functionaliteit die Facebook en Instagrarn op dit moment bieden voor het kiezen van een niet-geprofleerd aanbevelingssysteem is niet persistent en dus in strijd met de DSA." “We zijn blij dat de rechter nu duidelijk maakt dat Meta de keuze van de gebruiker moet respecteren," zegt Maartje Knaap, woordvoerder bij Bits of Freedom. Knaap voegt toe dat de uitspraak een druppel op een gloeiende plaat is. "Er is nog zoveel meer nodig. We hopen daarom dat de uitspraak een hart onder de riem is voor alle individuen, organisaties in het maatschappelijk middenveld, toezichthouders en wetgevers wereldwijd die macht van Meta proberen in te perken." bron: https://www.security.nl

Gmail stopt vanaf 1 januari volgend jaar de ondersteuning van third-party e-mailaccounts via POP, zo heeft Google aangekondigd. Daarnaast zal de optie "Check mail from other accounts" uit de desktopversie van Gmail verdwijnen. Gebruikers kunnen dan niet meer via het Post Office Protocol (POP) binnen Gmail e-mail voor andere accounts ophalen. In tegenstelling tot IMAP (Internet Message Access Protocol) wordt bij POP de e-mail van de mailserver op het lokale systeem gedownload. Google claimt mede wegens veiligheidsredenen binnen Gmail te stoppen met de support van POP voor third-party e-mailaccounts, maar geeft geen verdere details. Gebruikers die third-party accounts binnen Gmail willen blijven gebruiken krijgen het advies van Google om deze accounts aan de mobiele Gmail-app toe te voegen. Daarnaast moet er dan gebruik worden gemaakt van IMAP. Veel gebruikers zijn niet blij met deze aankondiging, zo blijkt uit reacties op Hacker News en Reddit. bron: https://www.security.nl

Onderzoekers van de KU Leuven en de universiteit van Birmingham hebben een fysieke aanval tegen beveiligde cloudservers gedemonstreerd, waarbij ze via een zelfgebouwde hardwaremodule vertrouwelijke gegevens kunnen onderscheppen. Bij de aanval, met de naam Battering RAM, weten de onderzoekers beveiligingstechnologieën zoals Intel Software Guard Extensions (SGX) en AMD Secure Encrypted Virtualization (SEV-SNP) te omzeilen. Verschillende cloudproviders maken gebruik van ‘confidential computing’-technologieën, waarbij gegevens op hardwareniveau zijn beschermd, ook tegen de cloudprovider. Intels SGX en de SEV-SNP van AMD moeten voorkomen dat aanvallers via een gecompromitteerde host, malafide cloudprovider of kwaadwillende medewerker toegang tot gevoelige gegevens krijgen. De onderzoekers bouwden voor de aanval een goedkope geheugeninterposer: een kleine printplaat die tussen de processor en het geheugen wordt geplaatst. Door subtiele manipulatie van de elektrische signalen tussen deze onderdelen verkrijgt de interposer toegang tot geheugenlocaties die normaal gesproken beschermd zijn. Zo kunnen de aanvallers plaintext toegang tot SGX-beveiligd geheugen krijgen. Daarbij wordt de ontwikkelde module niet opgemerkt tijdens het opstarten van het systeem. De onderzoekers waarschuwen dat het probleem niet eenvoudig op te lossen is, aangezien de kwetsbaarheid niet in de software, maar in de hardware-architectuur zelf zit. Zolang een aanvaller fysieke toegang heeft tot het moederbord, bijvoorbeeld via onderhoudspersoneel in datacenters of via grootschalige overheidssurveillance, kan een dergelijke aanval worden uitgevoerd zonder sporen na te laten. Op de vraag hoe realistisch deze fysieke aanvalsvector is merken de onderzoekers op dat er allerlei scenario's zijn waarin dit mogelijk is. Als voorbeeld noemen ze malafide medewerkers van de cloudprovider, technici van het datacenter of schoonmaakpersoneel, opsporingsdiensten die toegang tot het systeem krijgen of tijdens de logistieke keten, waarbij systemen tijdens de verzending worden onderschept of tijdens de productie van het geheugen worden aangepast. Het apparaatje dat de onderzoekers ontwikkelden kost minder dan 50 dollar. Vooralsnog werkt de module alleen tegen DDR4-geheugen. De onderzoekers merken op dat DDR5 de aanval lastiger maakt, maar het onderliggende probleem niet verhelpt. Zowel Intel als AMD werden van tevoren ingelicht en zijn met beveiligingsbulletins gekomen waarin ze beiden aangeven het probleem niet te zullen verhelpen, omdat die buiten de scope van het gepubliceerde dreigingsmodel valt. bron: https://www.security.nl

Western Digital heeft een kritieke kwetsbaarheid gepatcht die een aanvaller toegang tot My Cloud NAS-systemen kan geven. Gebruikers worden opgeroepen de update te installeren. My Cloud NAS-systemen bieden gebruikers de optie om bestanden op hun lokale NAS vanaf allerlei apparaten en het internet te benaderen. Een kwetsbaarheid in de firmware van My Cloud NAS-systemen zorgt ervoor dat een aanvaller door het versturen van een speciaal geprepareerde HTTP POST willekeurige systeemcommando's kan uitvoeren, aldus een beschrijving van het beveiligingslek, aangeduid als CVE-2025-30247. Volgens de CVE-beschrijving betreft de kwetsbaarheid command injection. WD spreekt in de release notes van remote code execution. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Gebruikers worden opgeroepen om te updaten naar firmware versie 5.31.108. Verdere details over het beveiligingsprobleem zijn niet gegeven. bron: https://www.security.nl