Captain Kirk

Microsoft heeft de afgelopen maand op 394.000 Windowscomputers de Lumma-malware ontdekt, die speciaal is ontwikkeld voor het stelen van wachtwoorden. Het techbedrijf heeft met een gerechtelijk bevel 2300 domeinnamen waar de malware gebruik van maakt laten blokkeren of in beslag genomen. Bij de operatie tegen de malware waren ook Europol en bedrijven betrokken, waaronder CleanDNS, Cloudflare, ESET en Lumen. Lumma, ook bekend als Lumma Stealer, is zogenoemde infostealer-malware en wordt tegen betaling aangeboden. Volgens Microsoft maken honderden aanvallers er gebruik van. Die kunnen uit verschillende abonnementen kiezen, variërend van bedragen tussen de 250 en 1000 dollar. De broncode wordt voor een bedrag van 20.000 dollar aangeboden. Voor de verspreiding van de Lumma-malware worden allerlei methodes toegeppast, zoals malafide advertenties, het aanbieden van zogenaamde browser-updates op gecompromitteerde websites, phishing, getrojaniseerde applicaties, installatie door andere malware en slachtoffers malafide captcha's laten oplossen. Eenmaal actief kan de Lumma-malware allerlei data stelen, waaronder wachtwoorden en andere inloggegevens van verschillende applicaties, autofill-data uit de browser, creditcardgegevens, cryptowallets en allerlei documenten. Tevens kan de malware screenshots maken, andere malware installeren en zichzelf weer van het systeem verwijderen, zo laten het Amerikaanse cyberagentschap CISA en de FBI in een analyse weten. De malware communiceert hiervoor met een command & control-server die weer aan een domeinnaam is gekoppeld. Microsoft stapte onlangs naar een Amerikaanse rechter en kreeg toestemming om 2300 domeinnamen waarvan de Lumma-malware gebruikmaakt te laten blokkeren of in beslag te nemen. Volgens Europol zijn 1300 domeinnamen zo in handen van Microsoft gekomen. Die domein wijzen nu naar een sinkhole van Microsoft. Daardoor maken besmette machines verbinding met servers van Microsoft. Het techbedrijf kan daardoor zien waar besmette systemen zich bevinden en bijvoorbeeld de internetproviders van deze gebruikers waarschuwen. Aanbevelingen De FBI en het CISA doen verschillende aanbevelingen om infectie door dergelijke malware te voorkomen. De Amerikaanse overheidsdiensten adviseren onder andere het scheiden van gebruikers- en geprivilegieerde accounts, het monitoren op verdacht gedrag, het allowlisten van remote access software, het verzamelen en analyseren van logs, het intrekken van inloggegevens van vertrekkend personeel en toepassen van netwerksegmentatie. bron: https://www.security.nl

De Belgische politie waarschuwt vandaag voor openbare wifi-netwerken en adviseert die niet te gebruiken voor het doen van vertrouwelijke zaken. Er is namelijk een risico dat het om een 'evil twin' gaat, waarbij een aanvaller een malafide wifi-netwerk opzet met dezelfde naam als een onschuldig wifi-netwerk. "Deze vorm van phishing bestaat al eventjes maar steekt de laatste tijd steeds meer de kop op. Een cybercrimineel zet een fake netwerk op en neemt zo een open wifi-netwerk over. De cyberdief bevindt zich dan wel dicht in de buurt van het originele netwerk want vanop afstand lukt het niet", aldus de federale politie. "We raden aan om niet via dergelijke open netwerken te surfen naar websites waar je vertrouwelijke informatie zoals login en paswoorden moet delen. Als je via een dergelijk Evil Twin-netwerk surft, kan de hacker die gegevens vrij gemakkelijk kopiëren. Doe dus zeker geen bankverrichtingen of deel geen persoonlijke gegevens terwijl je op een open netwerk ingelogd bent”, zegt commissaris Christophe Van Bortel van de Federale Gerechtelijke Politie Antwerpen. De commissaris voegt toe dat het heel eenvoudig is om voor dit soort wifi-netwerken te vallen, omdat ze beide dezelfde naam hebben. "Als je toch beide zou zien in de beschikbare netwerken, dan zal de Evil Twin hoger in de lijst staan omdat deze een sterker signaal uitstuurt net omdat deze zich dichter in de buurt bevindt dan de originele verbinding." Verder adviseert Van Bortel om het automatisch verbinden met openbare wifi-netwerken uit te schakelen en eerder gebruikte openbare wifi-netwerken uit de lijst van gebruikte wifi-netwerken te verwijderen. bron: https://www.security.nl

De website van RVTools is offline na berichtgeving over een mogelijke supplychain-aanval. RVTools is een tool voor het beheren van VMware-omgevingen. ZeroDay Labs meldde vorige week dat aanvallers erin waren geslaagd om via de officiële website van RVTools een getrojaniseerde versie te verspreiden. Gisteren liet securitybedrijf Arctic Wolf weten dat een besmette versie via een typosquat domein wordt verspreid. De officiële website eindigt op .com, terwijl aanvallers een domein eindigend op .org hebben geregistreerd. De officiële website laat op het moment van schrijven een melding zien dat de site offline is en RVTools alleen via deze website moet worden gedownload. "Zoek niet naar of download vermeende RVTools software van andere websites of bronnen", aldus de melding. Het is op dit moment onduidelijk wat er precies aan de hand is. MalwareHunterTeam laat via X weten dat het gewoon lijkt te gaan op nepsites die via Google worden verspreid en de besmette versie aanbieden. Onlangs kwamen ook andere securitybedrijven met berichtgeving dat malafide advertenties werden gebruikt om een besmette RVTools-versie te verspreiden. bron: https://www.security.nl

Onderzoekers van het Amerikaanse National Institute of Standards and Technology (NIST) en het Amerikaanse cyberagentschap CISA hebben een methode gepresenteerd die de kans berekent dat een kwetsbaarheid is misbruikt. Dit moet organisaties helpen bij het prioriteren van beveiligingsupdates. Volgens de onderzoekers wordt slechts een klein deel van de tienduizenden kwetsbaarheden die jaarlijks worden gevonden misbruikt bij aanvallen. Het voorspellen bij welke kwetsbaarheden dit het geval is kan het patchproces van organisaties kosteneffectiever en efficiënter maken. De onderzoekers wijzen naar onderzoek waaruit blijkt dat vijf procent van de beveiligingslekken daadwerkelijk wordt misbruikt. Bedrijven zouden maandelijks zestien procent van de kwetsbaarheden in hun systemen patchen. De onderzoekers stellen dat dit percentage zo laag is omdat het kostbaar is voor bedrijven om beveiligingslekken te verhelpen. Het gaat dan onder andere om het testen en uitrollen van mitigaties. Het Exploit Prediction Scoring System (EPSS) is een eerder ontwikkelde methode die de kans berekent dat een kwetsbaarheid binnen dertig dagen na bekendmaking wordt misbruikt. Van deze methode is echter bekend dat die onnauwkeurigheden bevat. Daarnaast zijn er overzichten van bekend misbruikte kwetsbaarheden waarvan is vastgesteld dat ze bij aanvallen zijn toegepast. Deze overzichten zijn echter niet alomvattend. De onderzoekers van het NIST en CISA hebben nu de 'Likely Exploited Vulnerabilities' methode bedacht. Die dient als aanvulling op het EPSS en zogenoemde Known Exploited Vulnerability (KEV) lijsten. De Likely Exploited Vulnerabilities is gebaseerd op historische EPSS-scores. Dit resulteert vervolgens in een kans dat een beveiligingslek is misbruikt. De uitkomst kan bedrijven helpen met het bepalen van de belangrijkste beveiligingslekken en het verminderen van cybersecurityrisico's, aldus de onderzoekers. Die voegen toe dat samenwerking met de industrie nog is om vast te stellen hoe nauwkeurig het nieuwe model in de praktijk is. bron: https://www.security.nl

De Europese Unie is bezig met wetgeving die AVG-procedures onwerkbaar maakt, zo waarschuwt privacyorganisatie noyb. Dat dreigt naar het Europees Hof van Justitie te stappen als de voorgestelde wetgeving wordt aangenomen. De wetgeving zou handhaving van de AVG moeten harmoniseren en versnellen. Volgens noyb zorgt het voorstel ervoor dat gebruikers structureel tegenover bedrijven worden gediscrimineerd en zal het tot veel langere doorlooptijden van AVG-procedures eiden. Het Europees Parlement had om een doorlooptijd van drie maanden gevraagd, maar nu lijkt een beslissing twee tot drie jaar te kunnen duren. Noyb stelt dat het voorstel het eenvoudiger maakt voor bedrijven om hun belangen te verdedigen, dan gebruikers hun recht op databescherming. "De gehele regelgeving is tegen gebruikers gericht. In bijna elk artikel worden bedrijven bevoordeeld en gebruikers gediscrimineerd. Er is absoluut geen gelijk speelveld in deze procedure", zegt privacyactivist en noyb-oprichter Max Schrems. Het voorstel van de Europese Commissie werd door allerlei partijen bekritiseerd. Het Europees Parlement kwam vervolgens met een aangepast voorstel om de grootste problemen weg te nemen. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen. Noyb stelt dat het Europees Parlement bijna alle posities heeft opgegeven. Alle bepalingen met betrekking tot de rechten van gebruikers, korte deadlines of transparantieprocedures zijn verwijderd. Elke mogelijkheid om de nieuwe regels te handhaven tegen privacytoezichthouders die hier niet aan voldoen zijn verdwenen. "Het Europees Parlement heeft zijn kernposities verkwanseld", aldus Schrems. De privacyactivist stelt dat tijdens de onderhandelingen niemand iets om dit dossier leek te geven en de uitkomsten dat bevestigen. Mocht het voorstel worden aangenomen dreigt noyb naar het Europees Hof van Justitie te stappen om de wet ongeldig te laten verklaren. bron: https://www.security.nl

Vandaag is er een nieuwe versie van datalekzoekmachine Have I Been Pwned (HIBP) gelanceerd. Via de website kunnen mensen zoeken of hun e-mailadres in een bekend datalek voorkomt. De zoekmachine bevat e-mailadressen van bijna vijftien miljard gecompromitteerde accounts, afkomstig van bijna negenhonderd gecompromitteerde websites, verzamellijsten, infostealer-malware en door autoriteiten verstrekte informatie. Naast de mogelijkheid om e-mailadressen in bekende datalekken te zoeken biedt HIBP ook een dienst genaamd 'Pwned Passwords'. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. De vandaag gelanceerde versie 2.0 is onder andere voorzien van een nieuwe vormgeving. Met deze nieuwe versie is het niet meer mogelijk om op telefoonnummers en gebruikersnamen te zoeken. Deze optie was toegevoegd naar aanleiding van incidenten bij Snapchat en Facebook. Een andere grote aanpassing is dat er nu per datalek een aparte pagina is met informatie over gelekte gegevens. Verder wordt gebruikers nu ook duidelijker uitgelegd wat ze na een datalek moeten doen. bron: https://www.security.nl

10 jaar!!!! Super. Volhouden. Het lukt mij nu al 22 jaar

Zo'n zevenhonderd ScreenConnect-servers die vanaf internet toegankelijk zijn, waaronder zeventien in Nederland, missen een belangrijke beveiligingsupdate en lopen daardoor het risico te worden aangevallen. ConnectWise, het bedrijf achter ScreenConnect, had klanten opgeroepen om de patch die op 24 april uitkwam zo snel mogelijk te installeren. Daarbij werd 'binnen een aantal dagen' als voorbeeld gegeven. Kwetsbaarheden in ScreenConnect zijn in het verleden bij grootschalige aanvallen gebruikt, onder andere voor de verspreiding van ransomware. ScreenConnect is software om systemen op afstand mee te beheren en monitoren. Managed serviceproviders (MSP's) maken er gebruik van om de systemen van hun klanten te beheren. Door een ScreenConnect-server te compromitteren wordt het zo mogelijk om bij allerlei organisaties ransomware uit te rollen. Een 'ViewState code injection-aanval' maakt het mogelijk voor een aanvaller om code op de server uit te voeren. Voorwaarde is wel dat een aanvaller toegang tot de machine keys moet zien te krijgen, wat systeemtoegang met de benodigde rechten vereist. De impact van de kwetsbaarheid (CVE-2025-3935) is op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Het gaat dan ook niet om een kritiek beveiligingslek. ConnectWise heeft de update toch de hoogste prioriteit gegeven, wat wordt gedaan voor kwetsbaarheden waarvan misbruik plaatsvindt of het risico lopen om te worden misbruikt, en roept klanten op de patch zo snel mogelijk te installeren. The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld onderzoek doet naar kwetsbare online systemen, detecteerde zo'n zevenhonderd ScreenConnect-servers die de update missen. Daarvan staan er zeventien in Nederland. bron: https://www.security.nl

Een kritieke kwetsbaarheid in SAP NetWeaver waar eind april een noodpatch voor verscheen is sinds januari al gebruikt bij aanvallen. Daarnaast maakt het beveiligingslek niet alleen het uploaden van willekeurige bestanden mogelijk, maar 'full remote command execution', zo laat securitybedrijf Onapsis weten. Dat stelt dat het honderden gecompromitteerde SAP-installaties heeft geïdentificeerd. SAP Netweaver is een platform voor het draaien van SAP-applicaties die in veel zakelijke omgevingen worden gebruikt. Onlangs werden Nederlandse organisaties nog door het Digital Trust Center (DTC) van het ministerie van Economische Zaken gewaarschuwd voor misbruik van de kwetsbaarheid. De impact van het beveiligingslek, aangeduid als CVE-2025-31324, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Onapsis heeft nu meer details over de aanvallen gegeven. Volgens het bedrijf hebben de aanvallers de kwetsbaarheid van 20 januari tot en met 10 februari gebruikt voor verkenningsdoeleinden en het testen van verschillende 'payloads'. Na 10 februari was er een toename van exploitpogingen zichtbaar. Bij gecompromitteerde SAP-servers werden webshells aangetroffen. Via een webshell kan een aanvaller toegang tot de server behouden en verdere aanvallen uitvoeren. In eerste instantie werd gedacht dat de kwetsbaarheid alleen het uploaden van bestanden mogelijk maakte en dat aanvallers zo de webshells hadden geüpload. Onapsis zegt op basis van echt gebruikte exploits dat het beveiligingslek 'full remote command execution' (RCE) mogelijk maakt. De aanvallers hebben deze mogelijkheid gebruikt voor het plaatsen van de webshells. Volgens Onapsis hebben de aanvallers uitgebreide kennis van SAP. Het bedrijf laat tegenover SecurityWeek weten dat het honderden gecompromitteerde SAP-servers heeft geïdentificeerd, in een groot aantal sectoren. Onapsis en securitybedrijf Mandiant hebben een opensourcetool uitgebracht waarmee organisaties hun SAP-servers op mogelijk misbruik van CVE-2025-31324 kunnen controleren. bron: https://www.security.nl

Ontwikkelaars van Firefox-extensies kunnen een nieuwe 'toestemmingservaring' testen om zo data van gebruikers te kunnen verzamelen. Op dit moment moeten extensies die gebruikersgegevens verzamelen of versturen een 'datatoestemmingsvenster' laten zien. Dit toestemmingsvenster moet duidelijk laten weten welke data er wordt verzameld en de gebruiker informeren over de gevolgen van het accepteren of weigeren hiervan. Vorige maand stelde Mozilla dat deze vereiste voor de nodige overhead voor ontwikkelaars kan zorgen en ook zorgt voor een "verwarrende ervaring" voor eindgebruikers, die vaak voor elke extensie een ander datatoestemmingsvenster te zien krijgen. Deze verschillende toestemmingsvensters zorgen er ook voor dat het verwerken van nieuwe extensies meer tijd kost voor de reviewers, aangezien die moeten controleren of de betreffende code compliant is aan het Firefoxbeleid. Als oplossing kondigde Mozilla een nieuwe "datatoestemmingservaring" voor extensies aan. Dit moet het eenvoudiger voor ontwikkelaars maken om hun extensies aan het Firefoxbeleid te laten voldoen. Verder krijgen gebruikers met een consistentere ervaring te maken over welke data wordt verzameld of verstuurd. Daarnaast wordt het makkelijker voor reviewers om Firefox-extensies te controleren. De nieuwe 'Data Consent Experience' is nu door extensie-ontwikkelaars te testen in Firefox Nightly 139, een vroege testversie van de browser. Mozilla benadrukt dat het beleid voor het verzamelen van data niet wordt aangepast of de manier waarop extensies data kunnen verzamelen. Het moet het alleen eenvoudiger voor ontwikkelaars maken om toestemming te vragen en verwarring bij gebruikers verminderen. Extensie-ontwikkelaars kunnen in het manifest.json-bestand van hun extensie opgeven welke gegevens ze willen verzamelen of versturen. Deze informatie wordt dan aan de browser doorgegeven en getoond aan de gebruiker als die de extensie voor de eerste keer installeert. Een gebruiker kan vervolgens het verzamelen van data toestaan of weigeren. Ontwikkelaars kunnen ook aangeven dat hun extensie geen data verzamelt. Om de informatie voor zowel ontwikkelaars als eindgebruikers te standaardiseren heeft Mozilla categorieën in twee datatypes bedacht, namelijk persoonlijke data en technische en interactiedata. Zaken als locatiegegevens, zoekopdrachten, authenticatiegegevens en gezondheidsinformatie vallen onder de persoonlijke data. Technische data is bijvoorbeeld crashrapportages, extensiegebruik en instellingendata. Mozilla roept extensie-ontwikkelaars nu op om de nieuwe '"datatoestemmingservaring" te testen. Wanneer die in de definitieve versie van Firefox komt is nog onbekend. bron: https://www.security.nl

Forensisch experts moeten er rekening mee houden dat bijna alle in beslag genomen Windows 11-apparaten, ook in het consumentensegment, voortaan volledig versleuteld zijn. Dat komt omdat de schijfversleuteling door BitLocker in Windows 11 versie 24H2 standaard staat ingeschakeld, zo waarschuwt forensisch softwarebedrijf Elcomsoft. Dat levert onder andere forensische tools voor opsporingsdiensten. "De Windows 11 24H2-update introduceert een verandering in Microsofts benadering van schijfversleuteling, een verandering die grote gevolgen voor digitaal forensisch onderzoek zal hebben", aldus Oleg Afonin van Elcomsoft. "Met deze release wordt BitLocker-encryptie automatisch ingeschakeld op de meeste moderne hardware wanneer Windows met een Microsoft Account wordt geïnstalleerd." De versleuteling vindt plaats in de achtergrond en wordt ook toegepast bij de Home-edities en consumentenapparatuur, waar volledige schijfversleuteling meestal niet standaard plaatsvond, gaat de forensisch expert verder. Hij merkt op dat de schijfversleuteling alleen plaatsvindt bij nieuwe installaties van Windows 11 24H2, niet bij een update naar deze versie. Microsoft heeft ook een workaround verwijderd waardoor gebruikers eenvoudig het gebruik van een Microsoft Account tijdens de installatie konden omzeilen, wat ook het omzeilen van de standaard schijfversleuteling lastiger maakt, stelt Afonin. De recovery keys om toegang tot een versleuteld systeem te krijgen worden voor persoonlijke apparatuur automatisch naar het Microsoft Account van de gebruiker geüpload. Opsporingsdiensten kunnen via juridische kanalen deze recovery keys opvragen, maar dit introduceert wel vertragingen en procedurele complicaties, gaat Afonin verder. De forensisch expert waarschuwt dat de aanpassing van Microsoft langetermijngevolgen voor forensisch onderzoek zal hebben. Zo zullen in beslag genomen harde schijven onbruikbaar zijn, tenzij de recovery keys worden bemachtigd. Volgens Afonin moeten forensisch experts er dan ook rekening mee houden dat bijna alle in beslag genomen Windows 11-apparaten voortaan versleuteld zullen zijn, ook in het consumentensegment. bron: https://www.security.nl

Google Chrome gaat websites die gebruikers bezoeken inspecteren op helpdeskfraude en in het geval de browser denkt dat dit zo is een waarschuwing laten zien. Dat heeft Google aangekondigd. Chrome maakt al gebruik van Google Safe Browsing, dat voor bekende malafide websites waarschuwt. Volgens Google bestaat de gemiddelde malafide website minder dan tien minuten, waardoor deze websites nog niet altijd bekend zijn. Om deze websites ook te kunnen identificeren gaat Chrome gebruikmaken van het on-device Gemini Nano large language model (LLM). Dit model zal de inhoud van mogelijk gevaarlijke websites inspecteren. Daarbij richt Google zich specifiek op helpdeskfraude. Bij dergelijke fraude krijgen slachtoffers pop-ups en meldingen van websites te zien dat er een probleem is met hun computer en ze een opgegeven telefoonnummer moeten bellen of bepaalde software installeren. Vervolgens nemen oplichters de computer over en stelen geld van bankrekeningen of laten slachtoffers voor het oplossen van de zogenaamde problemen betalen. Wanneer de browser op bezochte websites kenmerken van helpdeskfraude herkent zal het Gemini Nano-model de inhoud van de pagina verder inspecteren. Google claimt dat hierbij de privacy van gebruikers wordt beschermd. "De on-device aanpak laat ons dreigingen zien zoals gebruikers ze zien", aldus het techbedrijf. De feature staat niet standaard ingeschakeld. Gebruikers moeten hiervoor de Enhanced Protection mode van Safe Browsing in Chrome inschakelen. Deze mode zorgt er wel voor dat er meer informatie naar Google wordt gestuurd. De scamdetectie is beschikbaar in Chrome 137 en komt later dit jaar beschikbaar voor de Androidversie van de browser. bron: https://www.security.nl

Een kwetsbaarheid in SonicWall SMA 100-gateways die voor een fabrieksreset kan zorgen is mogelijk misbruikt bij aanvallen, zo laat securitybedrijf Rapid7 weten. SonicWall heeft gisteren updates uitgebracht om het probleem te verhelpen. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Het biedt verschillende functies, zoals een vpn. SonicWall kwam gisteren met een beveiligingsbulletin, waarin het drie kwetsbaarheden meldt: CVE-2025-32819, CVE-2025-32820 en CVE-2025-3282. De eerstgenoemde kwetsbaarheid maakt het mogelijk voor een ingelogde vpn-gebruiker om willekeurige bestanden te verwijderen, wat tot een fabrieksreset leidt. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Deze score hangt mede samen met het feit dat een aanvaller over inloggegevens van een gebruiker moet beschikken. Toch lijkt dat geen belemmering voor aanvallers. Rapid7 stelt op basis van bekende Indicators of Compromise en eigen incidentrespons-onderzoeken dat beveiligingslek CVE-2025-32819 mogelijk actief is misbruikt. Verdere details worden echter niet gegeven. Het combineren van de drie kwetsbaarheden kan tot het uitvoeren van code met rootrechten leiden. Het was Rapid7 dat de drie kwetsbaarheden aan SonicWall rapporteerde. SonicWall roept systeembeheerders op om de beschikbaar gestelde update te installeren en op ongeautoriseerde inlogpogingen te controleren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Samsung MagicINFO 9 en een beveiligingsupdate is niet beschikbaar. Organisaties die van de oplossing gebruikmaken wordt aangeraden hun systeem offline te halen totdat een patch beschikbaar is. Samsung MagicINFO 9 is een contentmanagementsysteem voor het beheer van digitale reclameborden die bijvoorbeeld op gebouwen of in winkels zijn te zien. Vorig jaar augustus kwam Samsung met een update voor een kwetsbaarheid in de oplossing aangeduid als CVE-2024-7399. Begin januari rapporteerde securitybedrijf SSD Secure Disclosure een kwetsbaarheid aan Samsung. Volgens de elektronicagigant was dit hetzelfde probleem dat het eerder als CVE-2024-7399 had verholpen. Op 30 april maakte SSD Secure Disclosure de details van het beveiligingslek openbaar. Vervolgens liet securitybedrijf Arctic Wolf op 5 mei weten dat aanvallers actief misbruik van CVE-2024-7399 maakten. De nieuwste versie van Samsung MagicINFO 9 zou echter veilig moeten zijn. Dat is niet het geval, aldus securitybedrijf Huntress. Samsung MagicINFO 9-servers zijn onder andere het doelwit van een Mirai-gebaseerd botnet. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller JSP-bestanden naar de server uploaden en willekeurige code uitvoeren. Volgens Huntress wordt de kwetsbaarheid gebruikt voor het uploaden van webshells, waarmee aanvallers toegang tot de server behouden en verdere aanvallen kunnen uitvoeren, ook als het beveiligingslek wel wordt gepatcht. Het securitybedrijf adviseert organisaties die van de oplossing gebruikmaken om ervoor te zorgen dat hun MagicINFO 9-servers niet vanaf het internet toegankelijk zijn, totdat er een werkende update is geïnstalleerd. Wanneer Samsung een nieuwe patch uitbrengt is onbekend. bron: https://www.security.nl

Nog drie weken en dan stopt Gmail de ondersteuning van de Triple Data Encryption Standard (3DES) voor inkomende SMTP-verbindingen zo heeft Google aangekondigd. Na 30 mei zullen mailservers die 3DES voor SMTP-verbindingen maken geen e-mail meer bij Gmail-accounts kunnen afleveren. Volgens Google is de maatregel noodzakelijk om de veiligheid te verbeteren en gebruikers te beschermen tegen mogelijke kwetsbaarheden die met de verouderde encryptiestandaard samenhangen. Bij het opzetten van een beveiligde TLS-verbinding zijn er verschillende encryptiealgoritmes waaruit gekozen kan worden. De triple Data Encryption Standard is er daar één van. Eerder stelde het National Institute of Standards and Technology (NIST), een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, dat 3DES vanaf 2017 niet meer in nieuwe applicaties moet worden gebruikt en vanaf 2023 overal moet zijn verdwenen. Google adviseert systeembeheerders om te controleren dat hun mailservers geconfigureerd zijn om modernere encryptiealgoritmes te gebruiken. In het geval domeinen berichten naar Gmail-accounts versturen waarbij gebruik wordt gemaakt van 3DES, zegt Google beheerders een e-mail met aanvullende informatie te zullen sturen. bron: https://www.security.nl

Tientallen installaties van helpdesksoftware SysAid die vanaf het internet toegankelijk zijn, zijn kwetsbaar voor aanvallen, waardoor aanvallers vertrouwelijke informatie kunnen stelen en verdere aanvallen uitvoeren. Dat meldt The Shadowserver Foundation op basis van een online scan. Anderhalf jaar geleden werd een kwetsbaarheid in SysAid nog gebruikt voor het verspreiden van de Clop-ransomware. De software van SysAid biedt verschillende helpdeskfunctionaliteiten voor organisaties, zoals een ticketsysteem, het automatisch laten resetten van wachtwoorden door medewerkers, remote control om systemen van personeel op afstand over te nemen en 'IT Asset Management'. Onderzoekers van securitybedrijf watchTowr ontdekten verschillende kwetsbaarheden in de software waardoor het mogelijk is om het plaintext wachtwoord van de admin te achterhalen, alsmede XML External Entity Injection uit te voeren. Een aanvaller kan zo uiteindelijk commando's op het onderliggende systeem uitvoeren en dat volledig overnemen. SysAid kwam op 3 maart met een update voor de problemen. Gisteren publiceerde watchTowr details van de gevonden kwetsbaarheden. Daarop voerde The Shadowserver Foundation een online scan uit. De stichting houdt zich bezig met de bestrijding van cybercrime en doet geregeld onderzoek naar kwetsbare systemen die op internet zijn te vinden. Er werden bij de scan 77 kwetsbare installaties aangetroffen, waarvan twee in Nederland. bron: https://www.security.nl

Aanvallers maken actief misbruik van twee kwetsbaarheden in Internet of Things (IoT) apparaten van fabrikant Akamai, zo melden internetbedrijf Akamai en het Amerikaanse cyberagentschap CISA. De apparaten zijn end-of-life en ontvangen geen beveiligingsupdates meer. Via de kwetsbaarheden (CVE-2024-6047 en CVE-2024-11120) kan een ongeauthenticeerde aanvaller op afstand commando's op het systeem uitvoeren en dat zo overnemen. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbare IoT-apparaten van GeoVision zijn ip-camera's, videoservers en een ANPR-systeem voor het lezen van kentekenplaten. Vorig jaar juni en november waarschuwde het Taiwanese Computer Emergency Response Team (TWCERT) voor de twee kwetsbaarheden en adviseerde eigenaren om de systemen te vervangen. In het geval van CVE-2024-11120 werd het beveiligingslek al misbruikt, aldus TWCERT en The Shadowserver Foundation bij de publicatie van het beveiligingslek. Akamai laat nu weten dat een Mirai-gebaseerd botnet van de kwetsbaarheden misbruik maakt. Het botnet kan geïnfecteerde apparaten vervolgens gebruiken voor het uitvoeren van ddos-aanvallen en zoeken naar andere kwetsbare machines. Akamai stelt dat misbruik nog niet bekend was, maar dat klopt in het geval van CVE-2024-11120 niet. Ook het internetbedrijf adviseert eigenaren van de kwetsbare GeoVision-apparaten om een nieuwer model aan te schaffen dat nog wel wordt ondersteund. bron: https://www.security.nl

Firefox kan door een nieuwe securitymaatregel die Google aan Chrome heeft toegevoegd gegevens uit de browser lastiger importeren. Daardoor moeten gebruikers meer handmatige handelingen verrichten als ze van Chrome naar Firefox willen overstappen. Chrome-gebruikers kunnen sinds een aantal dagen 'Device Bound Session Credentials' (DBSC) testen. DBSC moet cookiediefstal door bijvoorbeeld infostealer-malware voorkomen. Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd. Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Volgens Mozilla is DBSC fantastisch voor het beschermen van gebruikersgegevens tegen malware. "Maar het houdt ook in dat het erg lastig voor ons is om lokaal opgeslagen zaken als inloggegevens en betaalmethodes automatisch te importeren", aldus Mozilla's Anna Kulyk. De huidige oplossing van Firefox is hetzelfde als die het voor Safari toepast. Gebruikers krijgen instructies om hun Chrome-wachtwoorden naar een CSV-bestand te exporteren en dat CSV-bestand vervolgens binnen Firefox te importeren. Mozilla werkt aan patches om ervoor te zorgen dat gebruikers handmatig wachtwoorden kunnen importeren, maar zegt ook naar andere opties te kijken. bron: https://www.security.nl

Er vinden gerichte aanvallen plaats waarbij zogenaamde 'Cloudflare-captcha's' worden gebruikt om doelwitten met malware te infecteren, zo waarschuwt Google. Het gaat daarbij om gerichte aanvallen tegen 'westerse doelen en ngo's', aldus het techbedrijf. De aanvallers beginnen de aanval door het doelwit naar een bepaalde website te lokken. Hoe dit wordt gedaan laat Google niet weten, maar de groep wordt voor allerlei phishingaanvallen verantwoordelijk gehouden. Zodra het doelwit op de website komt krijgt die een melding te zien dat er eerst een 'captcha' moet worden opgelost. In werkelijkheid wordt het doelwit verleid om een malafide PowerShell-commando op zijn eigen systeem uit te voeren. Dit commando zorgt voor de uiteindelijke installatie van de Lostkeys-malware. Deze malware steelt bestanden van het systeem en stuurt systeeminformatie en draaiende processen naar de aanvaller. Google stelt dat de verantwoordelijke groep vaak inloggegevens voor e-mailaccounts steelt, om vervolgens e-mails en contacten te stelen. Onlangs stelde securitybedrijf Proofpoint dat het gebruik van malafide PowerShell-commando's zowel door cybercriminelen als voor cyberspionage wordt toegepast. Volgens Google is een door de Russische staat gesteunde groep verantwoordelijk voor de aanvaller met de 'Cloudflare-captcha's'. bron: https://www.security.nl

Een kwetsbaarheid in Windows waarvoor op 8 april een beveiligingsupdate verscheen is al voor het uitkomen van de patch gebruikt voor het verspreiden van malware, zo stelt Symantec. Eerder maakte Microsoft al bekend dat het beveiligingslek ook bij ransomware-aanvallen was gebruikt. Al deze aanvallen vonden plaats voordat Microsoft met een update kwam. De kwetsbaarheid (CVE-2025-29824) bevindt zich in het Windows Common Log Filesystem (CLFS), een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits. Via CVE-2025-29824 kan een aanvaller die al toegang tot een machine heeft SYSTEM-rechten krijgen en zo het systeem volledig compromitteren. Bij de aanval die Symantec analyseerde wisten de aanvallers vermoedelijk eerst een Cisco ASA firewall te compromitteren. Op een onbekende manier werd er vervolgens toegang gekregen tot een Windowsmachine op het netwerk. Op deze machine maakten de aanvallers gebruik van CVE-2025-29824. De groep die volgens Symantec voor de aanval verantwoordelijk was houdt zich ook bezig met ransomware-aanvallen. In dit geval werd malware genaamd Grixba uitgerold. Dit is een infostealer en netwerkscanner waarmee de aanvallers allerlei informatie over het systeem en netwerk verzamelen. Deze data wordt dan voor verdere aanvallen gebruikt. Volgens Symantec verschilt de waargenomen aanval van de ransomware-aanvallen die Microsoft eerder beschreef, wat mogelijk inhoudt dat verschillende groepen over de kwetsbaarheid beschikten. bron: https://www.security.nl

WordPress-sites worden aangevallen via een kritieke kwetsbaarheid in de plug-in OttoKit, die eerder nog bekend stond als SureTriggers. Via het beveiligingslek kan een ongeauthenticeerde aanvaller admintoegang tot de website krijgen. De impact van de kwetsbaarheid (CVE-2025-27007) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. OttoKit is een automatiseringsplatform dat processen tussen verschillende websites, applicaties en WordPress-plug-ins automatiseert. Meer dan honderdduizend WordPress-sites maken er actief gebruik van, aldus cijfers van WordPress.org. Kwetsbaarheid CVE-2025-27007 wordt veroorzaakt doordat de plug-in inloggegevens van gebruikers onvoldoende verifieert. Dit maakt het mogelijk voor ongeauthenticeerde aanvallers om een verbinding op te zetten en uiteindelijk hun rechten naar die van admin te verhogen. Misbruik is volgens securitybedrijf Wordfence in twee scenario's mogelijk. Het eerste scenario is wanneer de website nooit een applicatiewachtwoord heeft ingeschakeld of gebruikt en OttoKit/SureTriggers nooit via een applicatiewachtwoord met de website verbinding heeft gemaakt. Wanneer sites verbinding al met een applicatiewachtwoord verbinding met OttoKit/SureTriggers hebben gemaakt is een aanval door een ongeauthenticeerde aanvaller niet mogelijk. Het tweede scenario doet zich voor wanneer een aanvaller zich al bij een website kan authenticeren en een applicatiewachtwoord kan genereren. Bij de nu waargenomen aanvallen proberen aanvallers het eerste scenario om zo een nieuwe admin aan te maken. Websites die van de plug-in gebruikmaken wordt dan ook aangeraden om de beschikbaar gestelde update te installeren en op de aanwezigheid van onbekende admins te controleren. Vorige maand gebruikten aanvallers ook een ander beveiligingslek (CVE-2025-3102) in OttoKit/SureTriggers voor het aanvallen van websites. Wordfence stelt dat bij de nu waargenomen aanvallen beide kwetsbaarheden worden gebruikt. Op maandag 21 april verscheen versie 1.0.83 waarin het probleem is verholpen. Aanvallen vinden volgens Wordfence sinds 2 mei plaats. Uit cijfers van WordPress.org blijkt dat tienduizenden websites nog niet up-to-date zijn. bron: https://www.security.nl

Microsoft heeft een AI-agent gelanceerd die voor gebruikers de instellingen van Windows 11 kan aanpassen. Gebruikers kunnen dan omschrijven waar ze hulp mee nodig hebben of wat ze veranderd willen hebben. De AI-agent zal dan de aanbevolen stappen beschrijven, maar kan die met toestemming van de gebruiker ook zelf uitvoeren. "Een agent maakt gebruik van on-device AI om je bedoeling te begrijpen en met jouw toestemming taken te automatiseren en uit te voeren", legt Microsoft uit. De feature is als eerste beschikbaar voor Windows Insiders met een Snapdragon Copilot+ pc. Daarna zijn systemen met AMD- en Intel-processors aan de beurt. Vooralsnog worden alleen Engelse 'language inputs' ondersteund. Daarnaast krijgt Notepad mogelijkheden om tekst te genereren. Microsoft laat daarover weten dat het informatie van gebruikers verzamelt wanneer die zijn ingelogd om de AI-features te gebruiken. Onlangs kondigde Amazon een AI-agent aan die taken in de browser van gebruikers uitvoert. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Langflow, opensourcesoftware voor het ontwikkelen en uitrollen van 'AI-powered agents'. Langflow is een op Python-gebaseerde webapplicatie die een visuele interface biedt voor het maken van AI-agents. Een code injection-kwetsbaarheid in de software maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige code op het systeem uit te voeren. Voor het uitvoeren van een aanval hoeft een aanvaller alleen een speciaal geprepareerd HTTP-request naar een kwetsbaar systeem te sturen. Het beveiligingslek, aangeduid als CVE-2025-3248, werd eind februari gerapporteerd door securitybedrijf Horizon3.ai. Op 31 maart verscheen Langflow versie 1.3.0, waarin het probleem is verholpen. De release notes maken echter geen melding van de kwetsbaarheid. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een maand geleden publiceerde Horizon3.ai details van het probleem. Volgens securitybedrijf Censys zijn er 460 kwetsbare Langflow-installaties vanaf het internet toegankelijk. Het Amerikaanse cyberagentschap CISA meldt nu dat aanvallers actief misbruik van CVE-2025-3248 maken. Details over deze aanvallen zijn niet gegeven. Amerikaanse overheidsinstanties zijn opgedragen de Langflow-update voor 26 mei te installeren. bron: https://www.security.nl

Microsoft is gestopt met communicatiedienst Skype en zal gegevens van gebruikers die geen actie ondernemen in januari 2026 verwijderen, zo heeft het techbedrijf aangekondigd. De eerste versie van Skype verscheen in augustus 2003. De software werd overgenomen door eBay, om vervolgens in handen van een investeringsgroep te komen. Die verkocht Skype in 2011 aan Microsoft, dat een vervanger voor Windows Live Messenger zocht. Microsoft trok gisteren de stekker uit Skype en stelt dat gebruikers kunnen overstappen naar Teams. Daarbij kunnen Skype-gebruikers van hun bestaande inloggegevens gebruikmaken. Skype-gebruikers die niet naar Teams willen overstappen hebben tot januari 2026 de tijd om hun gegevens te exporteren of te verwijderen. "Als u zich tegen die tijd aanmeldt bij Microsoft Teams Gratis, is uw Skype-gespreks- en chatgeschiedenis voor u beschikbaar. Als u geen actie onderneemt, worden uw Skype-gegevens in januari 2026 verwijderd", aldus de uitleg van Microsoft. bron: https://www.security.nl

Cloudplatform Snowflake, dat vorig jaar met een grote aanval op klanten te maken kreeg, verplicht later dit jaar voor alle gebruikers multifactorauthenticatie (MFA). Daarnaast kunnen gebruikers straks niet meer alleen met gebruikersnaam en wachtwoord inloggen. Snowflake biedt een cloudplatform voor de opslag van data, waar allerlei grote bedrijven gebruik van maken. Het bedrijf stelde vorig jaar dat de accounts van verschillende klanten waren gecompromitteerd, nadat aanvallers de inloggegevens hiervan hadden bemachtigd. Het ging onder andere om AT&T, Ticketmaster, Advanced Auto Parts, Ticketek en andere bedrijven. In het geval van Ticketmaster zouden de gegevens van 560 miljoen klanten wereldwijd zijn gestolen. Volgens securitybedrijf Mandiant werden meer dan honderdzestig Snowflake-klanten gecompromitteerd. Dit was mogelijk doordat systemen van deze klanten, hun medewerkers of contractors die ze gebruikten, met infostealer-malware waren besmet. Met de gestolen inloggegevens konden de aanvallers inloggen op de Snowflake-omgevingen en daar allerlei informatie uit stelen. Vorig jaar kondigde Snowflake aan dat het de verplichting om MFA te gebruiken gefaseerd gaat doorvoeren. Vanaf deze maand moeten alle menselijke gebruikers die via gebruikersinterface Snowsight inloggen MFA hebben ingesteld, zo laat het bedrijf in een blogposting weten. Vanaf augustus is MFA verplicht voor alle wachtwoord-gebaseerde logins voor nieuw aangemaakte menselijke gebruikers. Vanaf november wordt inloggen met alleen een wachtwoord voor iedereen geblokkeerd. Dit geldt zowel voor menselijke gebruikers als service-accounts. bron: https://www.security.nl