Captain Kirk

Microsoft heeft een kritieke kwetsbaarheid in Microsoft Accounts verholpen waardoor een ongeautoriseerde aanvaller 'over een netwerk' zijn rechten kon verhogen. Via een Microsoft Account kan er toegang tot allerlei diensten worden verkregen. Volgens het techbedrijf werd het probleem door 'ontbrekende autorisatie' veroorzaakt. Verdere details over de kwetsbaarheid, zoals hoe misbruik zou kunnen plaatsvinden, zijn niet door Microsoft bekendgemaakt. Het beveiligingsbulletin stelt dat de kwetsbaarheid (CVE-2025-21396) tot 'Elevation of Privilege' kan leiden. Dergelijke beveiligingslekken worden meestal niet als kritiek bestempeld, maar dat is volgens Microsoft in dit geval wel zo. Gebruikers hoeven geen actie te ondernemen, aldus het bulletin. Microsoft heeft de kwetsbaarheid, die door een externe beveiligingsonderzoeker werd gevonden en gerapporteerd, naar eigen zeggen volledig verholpen. bron: https://www.security.nl

Criminelen zijn erin geslaagd om meer dan tienduizend WordPress-sites over te nemen en die te voorzien van malafide code die bezoekers met Mac- of Windows-malware probeert te infecteren. Dat laat securitybedrijf c/side in een analyse weten. Bezoekers van een gecompromitteerde website krijgen een melding te zien dat ze Google Chrome moeten updaten om de website te kunnen bezoeken. De aangeboden 'update' is in werkelijkheid malware. In het geval van macOS wordt de Atomic macOS Stealer geïnstalleerd. Deze malware steelt creditcardgegevens, session cookies, wachtwoorden, informatie om toegang tot cryptowallets te krijgen en browserdata. Windowsgebruikers krijgen een 'update' met de SocGholish-malware. Daarmee kunnen aanvallers allerlei andere malware op het systeem installeren. Hoe de aanvallers toegang tot de WordPress-sites kregen is onbekend, maar de onderzoekers vermoeden dat er gebruik is gemaakt van een kwetsbare WordPressplug-in. bron: https://www.security.nl

Vijftienhonderd Zyxel CPE (customer-provided equipment) apparaten die vanaf het internet toegankelijk bevatten een actief misbruikt beveiligingslek en een update is niet beschikbaar. Dat laat securitybedrijf GreyNoise weten. Vorig jaar juli waarschuwde securitybedrijf VulnCheck voor een kwetsbaarheid in de CPE-apparaten aangeduid als CVE-2024-40891. Via de kwetsbaarheid is 'telnet command injection' mogelijk. Verdere details over kwetsbare modellen en het beveiligingslek werden niet door VulnCheck gegeven. GreyNoise laat nu weten dat aanvallers actief misbruik van deze kwetsbaarheid maken. Volgens het securitybedrijf zijn er meer dan vijftienhonderd kwetsbare CPE-apparaten vanaf het internet toegankelijk. "Aanvallers kunnen deze kwetsbaarheid gebruiken om willekeurige commando's op kwetsbare apparaten uit te voeren, wat leidt tot het volledig compromitteren van het apparaat, datadiefstal of netwerkinfiltratie", aldus GreyNoise. Verdere details over de aanvallen zijn niet door het securitybedrijf gegeven. bron: https://www.security.nl

Google gaat vpn-apps in de Play Store die de 'privacy en veiligheid van gebruikers prioriteren' van een apart label voorzien. Dat heeft het techbedrijf bekendgemaakt. Apps die aan de voorwaarden van Google voldoen krijgen een 'Verified' label. Vpn-apps die het label willen krijgen moeten een Mobile Application Security Assessment (MASA) Level 2 controle voltooien. Bij deze controle wordt naar aanwezige kwetsbaarheden gekeken. Gevonden problemen worden dan aan de ontwikkelaar doorgegeven, die vervolgens een aantal dagen de tijd krijgt om die op te lossen. Verder moet de ontwikkelaar over een 'Organization developer' accounttype beschikken en aan de API-vereisten voor Google Play-apps voldoen. Tevens moet de app minstens tienduizend installaties en 250 reviews hebben en minstens negentig dagen in de Play Store staan. Als laatste moet er een 'dataveiligheidsverklaring' worden gegeven waarin de ontwikkelaar aangeeft de app door een derde partij te laten testen en dat gegevens tijdens het transport worden versleuteld. Volgens Google moet het label het eenvoudiger voor gebruikers maken om vpn-apps te herkennen die privacy en security van gebruikers prioriteren. bron: https://www.security.nl

Aanvallers maken gebruik van SimpleHelp voor het aanvallen van organisaties, zo stelt securitybedrijf Arctic Wolf. Mogelijk vinden de aanvallen plaats via kwetsbaarheden in de software waarvoor onlangs beveiligingsupdates verschenen. SimpleHelp is remote access software waarmee bijvoorbeeld beheerders problemen bij eindgebruikers kunnen verhelpen. SimpleHelp bestaat uit een server waarop de beheerder inlogt en clientsoftware die op de endpoints draait. Twee weken geleden kwam securitybedrijf Horizon3.ai met een beschrijving van verschillende kwetsbaarheden in SimpleHelp. Het ging onder andere om ongeauthenticeerde path traversal waardoor een aanvaller willekeurige bestanden van de SimpleHelp-server kan downloaden. Deze bestanden bevatten gehashte wachtwoorden en kunnen ook andere secrets bevatten, zoals LDAP credentials, OIDC client secrets, API keys en TOTP seeds gebruikt voor multifactorauthenticatie. SimpleHelp kwam vervolgens met beveiligingsupdates. Arctic Wolf ontdekte onlangs een campagne waarbij organisaties via SimpleHelp werden aangevallen. De manier waarop de aanvallers toegang tot de SimpleHelp-server kregen laat het securitybedrijf niet weten, maar de aanvallen begonnen ongeveer een week na de publicatie van Horizon3.ai. Afgelopen maandag waarschuwde The Shadowserver Foundation nog dat 580 kwetsbare SimpleHelp-servers vanaf het internet toegankelijk zijn, waaronder 27 in Nederland. bron: https://www.security.nl

Een kritieke kwetsbaarheid in een modem-router van D-Link maakt remote code execution door een ongeauthenticeerde aanvaller mogelijk. Het beveiligingslek bevindt zich in de EU-versie van de Wireless AC1200 Gigabit VDSL/ADSL modem-router. De kwetsbaarheid wordt veroorzaakt door het niet goed controleren van gebruikersinvoer. Door het versturen van een speciaal geprepareerd request kan een aanvaller op afstand een buffer overflow veroorzaken en zo code op het apparaat uitvoeren. Het gaat hier om 'unauthenticated remote code execution', aldus de uitleg van D-Link. Het beveiligingslek, dat geen CVE-nummer heeft, was eind november vorig jaar aan de netwerkfabrikant gerapporteerd. Een firmware-update is nu beschikbaar en gebruikers worden opgeroepen die te installeren. bron: https://www.security.nl

Vijfduizend firewalls van fabrikant SonicWall bevatten een kritiek authenticatie-lek in de vpn-functie, zo stelt securitybedrijf Bishop Fox op basis van eigen onderzoek. SonicWall kwam op 7 januari met beveiligingsupdates voor het probleem, aangeduid als CVE-2024-53704. Via de kwetsbaarheid kan een remote aanvaller de authenticatie omzeilen en zo toegang tot vpn-server krijgen. De Amerikaanse overheid heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 9.8, terwijl SonicWall een impactscore van 8.2 aanhoudt. SonicWall waarschuwde bij het uitkomen van de updates om die zo snel mogelijk te installeren en dat het beveiligingslek 'susceptible to actual exploitation' is. Onderzoekers van Bishop Fox leggen uit dat een aanvaller via de kwetsbaarheid sessies van actieve sslvpn-gebruikers kan kapen. "Een aanvaller met controle over een actieve sslvpn-sessie kan de Virtual Office bookmarks van de gebruiker lezen, het client configuratieprofiel voor NetExtender verkrijgen, een vpn-tunnel openen, private networks benaderen waar het gekaapte account toegang toe heeft en de sessie uitloggen, waardoor ook de verbinding van de gebruiker wordt beëindigd." De onderzoekers stellen dat er zo'n vijfduizend kwetsbare SonicWall-firewalls online zijn te vinden. "Hoewel de nodige reverse engineering was vereist om de kwetsbaarheid te vinden en te misbruiken, is de exploit zelf redelijk eenvoudig", aldus de onderzoekers. De kwetsbaarheid werd gevonden en gerapporteerd door onderzoekers van het Nederlandse Computest Security. Bishop Fox is van plan om op 10 februari details over de exploit online beschikbaar te maken. bron: https://www.security.nl

Microsoft heeft de Edge-browser voorzien van een 'scareware blocker' om zo helpdeskfraude en soortgelijke scams te blokkeren. De feature is nu als test binnen de browser te proberen. Bij helpdeskfraude, dat vaak ook Microsoftfraude wordt genoemd, laten criminelen gebruikers allerlei pop-ups of advertenties zien die vaak van Microsoft afkomstig lijken en stellen dat hun systeem met malware is geïnfecteerd. Vervolgens wordt opgeroepen het opgegeven telefoonnummer te bellen. Dit telefoonnummer is van oplichters die het slachtoffer remote access software laten installeren waarmee hun systeem kan worden overgenomen. Vervolgens proberen de oplichters met hulp van het slachtoffer toegang tot de bankrekening te krijgen, waarna er fraude plaatsvindt. Ook komt het voor dat de oplichters het slachtoffer laten betalen voor het 'opschonen' van de computer of het afnemen van dure onnodige abonnementen. De waarschuwingen en gevonden 'problemen' zijn echter nep. Volgens de FBI veroorzaakte 'tech support' fraude in 2023 voor zo'n 925 miljoen dollar aan schade. Microsofts scareware blocker moet dergelijke scams detecteren en stoppen. Volgens het techbedrijf gebruikt de feature een machine learning model dat lokaal op de computer draait. "Het model gebruikt computer vision om fullscreen pagina's te vergelijken met duizenden voorbeelden van scams die de scam-fighting community met ons gedeeld heeft. Het model draait lokaal, zonder afbeeldingen naar de cloud te sturen of daar op te slaan." Wanneer Edge denkt dat de betreffende pagina een scam is krijgt de gebruiker de optie om de pagina te sluiten of door te gaan. Vervolgens kan de gebruiker ervoor kiezen om de malafide website te rapporteren. Ook kunnen gebruikers bij een onterecht alarm aangeven dat het om een false positive ging. De scareware blocker is nu als preview binnen Edge te proberen. bron: https://www.security.nl

Microsoft heeft klanten van securitybedrijf SonicWall met een SMA1000-gateway opgeroepen om een kwetsbaarheid voor een actief aangevallen kwetsbaarheid te installeren. Via het beveiligingslek (CVE-2025-23006) kan een ongeauthenticeerde aanvaller code op het apparaat uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De Secure Mobile Access (SMA) appliance is een apparaat dat als gateway wordt gebruikt om gebruikers bijvoorbeeld op het bedrijfsnetwerk te laten inloggen. Het biedt onder andere vpn-functionaliteit en load balancing. De kwetsbaarheid werd door het Microsoft Threat Intelligence Center (MSTIC) gevonden en aan SonicWall gerapporteerd. "Aanvallers met toegang tot de interne interface van de appliance (zowel in single- & dual-homed interface configuraties) kunnen CVE-2025-23006 misbruiken om remote code execution uit te voeren", aldus Microsoft Threat Intelligence op X. Microsoft heeft vooralsnog geen details over de waargenomen aanvallen gegeven. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale Amerikaanse overheidsinstanties opgedragen om de SonicWall-update voor 14 februari te installeren. bron: https://www.security.nl

Tientallen Juniper-routers wereldwijd zijn geïnfecteerd met een backdoor die volledig in het geheugen draait, wat het lastig maakt de malware te detecteren, zo stellen onderzoekers van securitybedrijf Lumen. Het gaat om 'customer premise equipment' routers die als vpn-gateway worden ingezet, maar ook routers die vermoedelijk van netwerkserviceproviders zijn. In totaal vonden de onderzoekers van Lumen 36 unieke ip-adressen van besmette Juniper-routers. Hoe de routers besmet konden worden laten de onderzoekers niet weten. Besmette routers werden aangetroffen bij bedrijven en organisaties in allerlei sectoren, zoals bouw, machineproductie, it, bio-engineering, maritieme productie, halfgeleiders, it-dienstverlening, verzekeringen, telecom, internet en overheid. De eerste via VirusTotal ontdekte versie van de backdoor dateert van september 2023. De campagne zou mogelijk tot halverwege 2024 actief zijn geweest. "We denken dat enterprise grade routers een aantrekkelijk doelwit vormen, omdat ze meestal niet over host-based monitoringtools beschikken. Deze apparaten worden zelden uitgeschakeld; malware ontwikkeld voor routers is ontworpen om van de lange up-time gebruik te maken en alleen in het geheugen te draaien, wat voor lage detectie en langetermijntoegang zorgt, in vergelijking met malware die zich in de firmware nestelt", aldus de onderzoekers. Die voegen toe dat routers aan de rand van het bedrijfsnetwerk of die als vpn-gateway fungeren, zoals bij de nu beschreven campagne, een aantrekkelijk doelwit zijn. "Eén interessante correlatie was dat veel van de remote beheerde routers zich fysiek in Zuid-Amerika bevinden, terwijl de meeste vpn-gateways in Europa waren. Dit kan erop duiden dat de aanvallers nog in een planning/verkennende fase in Zuid-Amerika zitten", gaan de onderzoekers verder. Die stellen dat de aanvallers mogelijk in Zuid-Amerika meer de nadruk leggen op internet- en telecomproviders. Wie erachter de backdoor zit en wat het doel ervan is, is onbekend. bron: https://www.security.nl

QNAP heeft een update voor de eigen back-upsoftware uitgebracht waarmee meerdere rsync-kwetsbaarheden worden verholpen. Rsync is zeer populaire back-up- en synchronisatiesoftware die binnen allerlei oplossingen wordt gebruikt. Eerder deze maand werd bekend dat verschillende kwetsbaarheden in rsync remote code execution mogelijk maken. Eén van de producten die gebruikmaakt van rsync is HBS 3 Hybrid Backup Sync. Dit is een oplossing van QNAP die op de NAS-apparaten van de fabrikant draait en zorgt voor het maken en terugplaatsen van back-ups en synchroniseren van data. Volgens QNAP maken meer dan 1,2 miljoen mensen er gebruik van. Gebruikers worden opgeroepen om te updaten naar HBS 3 Hybrid Backup Sync 25.1.4.952 of nieuwer, aangezien daar de recente rsync-kwetsbaarheden in zijn gedicht. bron: https://www.security.nl

SonicWall waarschuwt klanten voor een actief aangevallen kwetsbaarheid in de Secure Mobile Access (SMA) 1000-gateway. Via het beveiligingslek kan een ongeauthenticeerde aanvaller kwetsbare apparaten op afstand overnemen. De impact van de kwetsbaarheid (CVE-2025-23006) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. SonicWall heeft een update uitgebracht om het probleem te verhelpen, maar misbruik vond hiervoor al plaats. Hoelang aanvallers het beveiligingslek bij aanvallen hebben gebruikt is onbekend. De Secure Mobile Access (SMA) appliance is een apparaat dat als gateway wordt gebruikt om gebruikers bijvoorbeeld op het bedrijfsnetwerk te laten inloggen. Het biedt onder andere vpn-functionaliteit en load balancing. De kwetsbaarheid bevindt zich specifiek in de SMA1000 Appliance Management Console (AMC) en Central Management Console (CMC) en maakt het mogelijk voor een aanvaller om OS-commando's uit te voeren. Organisaties worden aangeraden om naar versie 12.4.3-02854 of nieuwer te updaten. SonicWall geeft geen details over de aanvallen. Het beveiligingslek werd door het Microsoft Threat Intelligence Center (MSTIC) gevonden en gerapporteerd. bron: https://www.security.nl

Een kwetsbaarheid in antivirussoftware ClamAV maakt het mogelijk om de virusscanner via een malafide bestand te laten crashen. Ontwikkelaar Cisco heeft beveiligingsupdates uitgebracht om het probleem te verhelpen en waarschuwt tegelijkertijd dat er proof-of-concept exploitcode op internet verschenen is. Het beveiligingslek (CVE-2025-20128) bevindt zich in de Object Linking and Embedding 2 (OLE2) decryptieroutine van ClamAV. Door het versturen van een speciaal geprepareerd bestand met daarin OLE2-content kan een aanvaller, zodra dit bestand door de virusscanner wordt gescand, het scanproces stoppen. Het raakt de macOS-, Linux- en Windowsversies van Cisco Secure Endpoint Connector, alsmede Secure Endpoint Private Cloud. "Misbruik van deze kwetsbaarheid kan het scanproces laten crashen, vertragen of toekomstige scans voorkomen", aldus Cisco. Cisco Secure Email Gateway en Cisco Secure Web Appliance zijn niet kwetsbaar. Cisco zegt niet bekend te zijn met misbruik van het beveiligingslek, maar waarschuwt dat proof-of-concept exploitcode online is te vinden. Het probleem werd door Google OSS-Fuzz gevonden en gerapporteerd. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt stopt vanaf 4 juni met het versturen van e-mails over certificaten die op het punt staan te verlopen. Partijen die toch gewaarschuwd willen worden krijgen het advies diensten van derden te gebruiken. Let's Encrypt biedt gratis tls-certificaten aan die worden gebruikt voor het versleutelen van de verbinding tussen websites en bezoekers en maken het mogelijk om websites te identificeren. De certificaten zijn negentig dagen gelden en moeten dan worden vernieuwd. Gebruikers van Let's Encrypt kunnen zich aanmelden om door de certificaatautoriteit te worden gewaarschuwd als hun certificaat op het punt staat te verlopen. Let's Encrypt heeft nu besloten om hier over een aantal maanden mee te stoppen. Als reden wordt gegeven dat steeds meer gebruikers hun certificaten automatisch laten vervangen. Daarnaast beschikt Let's Encrypt nu over miljoenen e-mailadressen om organisaties te kunnen waarschuwen, iets waar het naar eigen zeggen wegens privacyredenen niet blij mee is. Het versturen van de e-mails kost jaarlijks tienduizenden dollars die de certificaatautoriteit ook aan andere onderdelen van de infrastructuur kan uitgeven. Als laatste noemt Let's Encrypt dat het bieden van 'expiration notifications' complexiteit aan de infrastructuur toevoegt, wat tijd kost om te beheren en de kans op fouten vergroot. Voor organisaties die wel waarschuwingsmails willen blijven ontvangen wijst Let's Encrypt naar third-party diensten zoals Red Sift Certificates Lite. bron: https://www.security.nl

Tijdens de eerste patchronde van 2025 heeft Oracle meerdere kritieke kwetsbaarheden verholpen, waaronder in Oracle WebLogic Server, een product dat geregeld doelwit van aanvallen is. Oracle komt, in tegenstelling tot bedrijven die maandelijks met patches komen, elk kwartaal met beveiligingsupdates. De patchronde van januari bevat 318 beveiligingsupdates. Dat wil niet zeggen dat het ook om 318 unieke kwetsbaarheden gaat, omdat sommige beveiligingslekken in meerdere Oracle-producten voorkomen. Tien kwetsbaarheden die Oracle heeft verholpen hebben op een schaal van 1 tot en met 10 een impact die boven de 9.0 ligt. De gevaarlijkste kwetsbaarheid, met een impactscore van 9.9, is aanwezig in Oracle Agile PLM Framework. Oracle kwam in november al met een noodupdate voor dit probleem, omdat aanvallers er actief misbruik van maakten. Verder zijn er meerdere kwetsbaarheden met een impactscore van 9.8 die aanwezig zijn in Agile Engineering Data Management, Communications Diameter Signaling Route, Communications Network Analytics Data Director, Communications Policy Management, Financial Services Behavior Detection Platform, Financial Services Trade-Based Anti Money Laundering Enterprise Edition, Oracle HTTP Server en Oracle WebLogic Server. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. Zo zijn kwetsbaarheden in WebLogic soms al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare gecompromitteerde servers in het verleden voor onder andere cryptomining of het installeren van ransomware. In het overzicht van de verholpen kwetsbaarheden laat Oracle verder weten dat het berichten blijft ontvangen van succesvolle aanvallen waarbij er misbruik is gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht, maar organisaties die niet hebben geïnstalleerd. Oracle roept organisaties dan ook op om de beschikbaar gestelde updates meteen te installeren. De volgende patchronde van Oracle vindt plaats op 15 april. bron: https://www.security.nl

Er is een nieuwe versie van encryptiesoftware VeraCrypt verschenen, die twee kwetsbaarheden in de Linux- en macOS-versies verhelpt. Daarnaast worden 32-bit versies van Windows niet meer ondersteund. VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. Via de software is het mogelijk om harde schijven te versleutelen, maar ook losse versleutelde containers te maken. De nu verschenen versie VeraCrypt 1.26.18 biedt ondersteuning van SHA-256 x86 en AES-hardware op ARM64-platforms. In het geval van de Windowsversie is support van Windows 32-bit gestopt en is Windows 10 October 2018 Update (versie 1809) de minimaal ondersteunde Windowsversie. Verder zijn verschillende bugfixes en updates van gebruikte libraries doorgevoerd. De versies voor Linux en macOS bevatten als belangrijkste verbetering updates voor twee kwetsbaarheden. Het gaat om CVE-2024-54187 en CVE-2025-23021. Veel details over de beveiligingslekken zijn niet gegeven, behalve dat het om 'path hijacking' gaat en het voorkomen van het mounten van volumes op systeemdirectories. Verder is in het geval van de macOS-versie 'screen capture' nu standaard uitgeschakeld. bron: https://www.security.nl

Onderzoekers van antivirusbedrijf ESET hebben in de installatiesoftware die via de officiële website van de Zuid-Koreaanse vpn-provider IPany werd aangeboden een backdoor aangetroffen. Gebruikers van IPany die de Windows-installer via de officiële website downloadden kregen zowel de legitieme vpn-software als een backdoor. Het was aanvallers gelukt om de legitieme installer door een besmette versie te vervangen, aldus de onderzoekers. De backdoor, die SlowStepper wordt genoemd, beschikt over tientallen modules waarmee aanvallers allerlei acties op het besmette systeem kunnen uitvoeren. Het gaat dan om het verzamelen van .txt, .doc, .docx, .xls, .xlsx, .ppt en .pptx bestanden, het verzamelen van informatie over geïnstalleerde apps waaronder LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin en ToDesk, het maken van foto's via de webcam, het verzamelen van allerlei gegevens uit geïnstalleerde browsers, waaronder opgeslagen wachtwoorden, het maken van schermopnames, het verzamelen van allerlei gegevens uit specifiek de chatapps WeChat en Telegram en het stelen van wifi-gegevens, waaronder het wifi-wachtwoord. De besmette installer op de website van IPany werd vorig jaar mei door ESET ontdekt, maar de bevindingen zij nu pas bekendgemaakt. De eerste infecties die het antivirusbedrijf via de besmette vpn-installer kon vinden dateren van november en december 2023. Hoe de aanvallers toegang tot de server van IPany konden krijgen om daar de legitieme installer te vervangen door een malafide laat ESET niet weten. Wel zou de verantwoordelijke groep, die PlushDaemon wordt genoemd, kwetsbaarheden in webservers gebruiken om toegang te krijgen. Na te zijn ingelicht heeft IPany de malafide installer van de eigen website verwijderd. bron: https://www.security.nl

Meerdere organisaties zijn de afgelopen weken het doelwit geworden van ransomware-aanvallen die begonnen via Microsoft Teams, zo meldt antivirusbedrijf Sophos. De virusbestrijder zag de afgelopen drie maanden vijftien incidenten, waarvan de helft in de afgelopen twee weken. De aanvallers gebruiken hun eigen Office 365-omgeving om via Microsoft Teams contact met het doelwit op te nemen. Microsoft Teams staat standaard toe dat gebruikers op een extern domein chats of meetings met interne gebruikers kunnen starten, stelt Mark Parsons van Sophos. De aanvallers sturen de organisaties eerst een grote hoeveelheid spamberichten. Vervolgens nemen de aanvallers vanaf hun eigen Office 365-omgeving contact op met het doelwit. Daarbij doen de aanvallers zich voor als de "helpdesk". Tijdens het gesprek, dat via Microsoft Teams plaatsvindt, geven de aanvallers het doelwit instructies om een remote screen control session via Teams toe te staan. Zodra het doelwit dit doet kan de aanvaller malware op het systeem van deze gebruiker installeren en daarvandaan het netwerk verder compromitteren. Het komt ook voor dat de aanvallers het doelwit de Microsoft remote access tool Quick Assist laten installeren, waarmee de aanvaller toegang tot het systeem krijgt. Sophos adviseert organisaties om hun Office 365-omgeving zo in te stellen dat Teams-gesprekken door externe organisaties niet mogelijk zijn of dit alleen tot partners is beperkt. Daarnaast zou ook het gebruik van remote access applicaties zoals Quick Assist moeten worden beperkt. bron: https://www.security.nl

Nederland telt honderden Fortinet-apparaten die een actief aangevallen kwetsbaarheid bevatten. Wereldwijd gaat het om zo'n vijftigduizend systemen. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Fortinet waarschuwde vorige week voor een actief misbruikte kwetsbaarheid in FortiOS en FortiProxy waardoor aanvallers kwetsbare apparaten op afstand kunnen overnemen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. De kwetsbaarheid, aangeduid als CVE-2024-55591, betreft een 'authentication bypass'. Een aanvaller kan door het versturen van een speciaal geprepareerd request naar de Node.js websocket module 'super-admin privileges' krijgen. De impact van CVE-2024-55591 is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. The Shadowserver Foundation is een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld online onderzoek doet naar kwetsbare systemen. Het laatste onderzoek richtte zich op Fortinet-systemen die online toegankelijk zijn en CVE-2024-55591 bevatten. Dit leverde zo'n vijftigduizend systemen wereldwijd op, waarvan zo'n 350 in Nederland. bron: https://www.security.nl

Een kwetsbaarheid in de populaire archiveringssoftware 7-Zip maakt het mogelijk voor aanvallers om het Mark-of-the-Web te omzeilen, wat kan leiden tot het uitvoeren van willekeurige code op het systeem van de gebruiker. 7-Zip heeft het probleem afgelopen november al in versie 24.09 verholpen, maar het bestaan van de kwetsbaarheid is nu pas bekendgemaakt. Mark-of-the-Web (MOTW) is een beveiligingsfeature van Windows die ervoor zorgt dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. De kwetsbaarheid in 7-Zip, aangeduid als CVE-2025-0411, doet zich voor bij het verwerken van archiefbestanden. Wanneer 7-Zip bestanden uit een speciaal geprepareerd archiefbestand uitpakt dat van de MOTW-tag is voorzien, wordt het Mark-of-the-Web niet aan de uitgepakte bestanden toegekend. "Een aanvaller kan deze kwetsbaarheid gebruiken om willekeurige code in de context van de huidige gebruiker uit te voeren", aldus securitybedrijf ZDI dat het probleem rapporteerde. Een aanvaller zou het doelwit nog wel een malafide archiefbestand moeten laten openen. bron: https://www.security.nl

Microsoft heeft opnieuw gewaarschuwd voor het naderende einde van de support van Exchange 2016 en 2019. Over iets minder dan negen maanden, vanaf 14 oktober, zal de mailserversoftware geen beveiligingsupdates meer ontvangen. "Installaties van Exchange 2016 en 2019 bij klanten zullen na 14 oktober 2025 gewoon blijven werken, maar vanwege de aankomende end of support datum en potentiële toekomstige beveiligingsrisico's, raden we klanten ten zeerste aan om nu in actie te komen", zo laat het Microsoft Exchange Team in een blogposting weten. Microsoft stelt dat organisaties als oplossing kunnen overstappen op Exchange Online of upgraden naar Exchange Server Subscription Edition (SE) als deze in het begin van de tweede helft van dit jaar beschikbaar komt. In het geval van organisaties die met Exchange 2016 werken wordt aangeraden om eerst een 'legacy upgrade' naar Exchange 2019 te doen en daarvandaan naar Exchange Server SE te upgraden. Het Exchange Team stelt dat organisaties de optie hebben om een 'legacy upgrade' van Exchange 2016 naar Exchange Server SE RTM uit te voeren, en zo Exchange 2019 helemaal over te slaan. "Maar aangezien er minder dan vier maanden zijn tussen de release van Exchange Server SE en het einde van de support van Exchange 2016, is dat misschien niet genoeg tijd, afhankelijk van de omvang van de uitrol en andere factoren", aldus het Exchange Team. Organisaties die nog met Exchange Server 2013 of eerder werken moeten die eerst verwijderen voordat ze Exchange Server 2019 CU15 kunnen installeren of naar Exchange Server SE kunnen upgraden. bron: https://www.security.nl

Microsoft heeft een testversie van Windows 11 gelanceerd die extra beveiliging voor ingelogde admins introduceert. Administrator Protection werd eind vorig jaar door het techbedrijf aangekondigd en zorgt ervoor dat admin-gebruikers met standaard gebruikersrechten werken. Wanneer er een systeemaanpassing is vereist of er een applicatie moet worden geïnstalleerd zal de gebruiker dit via een aparte prompt en Windows Hello moeten autoriseren. Windows maakt dan een tijdelijk, geïsoleerd admintoken aan om de taak uit te voeren. Dit token wordt na het uitvoeren van de taak meteen verwijderd, zodat de adminrechten niet blijven en de ingelogde admin gewoon weer standaard gebruikersrechten krijgt. Bij de aankondiging afgelopen jaar stelde Microsoft dat Administrator Protection ervoor zorgt dat gebruikers de controle over het systeem blijven houden en dat aanvallers niet automatisch, directe toegang tot de kernel of belangrijke systeembeveiliging hebben. "Standaard gebruikersrechten bieden betere security. Gebruikerstoegang tot belangrijke systeemmiddelen is standaard geblokkeerd en het voorkomt dat malware of apps stilletjes de configuratie aanpassen. Standaardrechten zijn echter frustrerend voor gebruikers omdat ze bepaalde gewone taken, zoals het aanpassen van de tijd of installeren van applicaties niet kunnen doen, omdat een standaard gebruiker in veel gevallen geen admin-inloggegevens heeft", aldus Microsoft. Het standaard draaien met admin-rechten neemt weer allerlei risico's met zich mee als het systeem met malware besmet raakt, omdat de malware dan directe toegang tot belangrijke systeembronnen heeft, voegt Microsoft toe. Administrator Protection zou ervoor moeten zorgen dat admin-rechten beter zijn beschermd. De feature staat standaard uitgeschakeld en is beschikbaar voor zowel zakelijke omgevingen als thuisgebruikers. De feature is nu te proberen in Windows 11 Insider Preview Build 27774. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt zal eind dit jaar tls-certificaten gaan uitgeven die zes dagen geldig zijn. Volgens Josh Aas, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt, zijn certificaten met een korte levensduur goed voor security. "Wanneer de private key van een certificaat is gecompromitteerd, is het advies om het certificaat in te trekken zodat mensen weten het niet te gebruiken. Helaas werkt het intrekken van certificaten niet erg goed", stelt Aas. Certificaten met een gecompromitteerde key kunnen daardoor worden gebruikt totdat ze zijn verlopen. Hoe langer de levensduur van een certificaat, hoe meer kans op misbruik. Tls-certificaten, zoals Let's Encrypt uitgeeft, zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om websites te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het certificaat worden ingetrokken. Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen, merkt Aas op. "Dit verkleint de noodzaak voor het intrekken van certificaten, wat historisch gezien onbetrouwbaar is." De certificaten die Let's Encrypt gaat uitgeven en zes dagen geldig zijn beschikken niet over OCSP of CRL. Wanneer een certificaat is ingetrokken moet dit aan de browser van gebruikers worden gecommuniceerd. Hiervoor zijn Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht. CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren. Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd. De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren. Let's Encrypt liet eerder al weten dat het met de ondersteuning van OCSP gaat stoppen. Let's Encrypt is van plan om volgende maand het eerste 'short-lived' certificaat voor zichzelf uit te geven. Rond april zullen de certificaten voor een kleine groep early adopters beschikbaar komen. Eind dit jaar zouden de certificaten met een levensduur van zes dagen voor iedereen beschikbaar moeten zijn. Het zal vooralsnog mogelijk blijven om certificaten met een levensduur van negentig dagen te kiezen. bron: https://www.security.nl

Criminelen maken gebruik van malafide Google-advertenties om Google Ads-accounts te kapen, zo laat antivirusbedrijf Malwarebytes in een analyse weten. Google Ads is het advertentieplatform van Google waarmee adverteerders hun online advertenties via de zoekmachine van Google, websites, video's en apps kunnen beheren. Voor het uitvoeren van de phishingaanval maken de criminelen gebruik van advertenties die bij de zoekopdracht 'google ads' verschijnen. Google zal de advertentie bovenaan de zoekresultaten plaatsen. De malafide advertentie doet zich voor als de officiële Google Ads-pagina. De advertentie linkt naar een bij Google Sites gehoste pagina die slachtoffers naar de uiteindelijke phishingpagina doorstuurt. Deze phishingpagina vraagt slachtoffers om met hun Google Ads-account in te loggen. De op de phishingsite ingevoerde inloggegevens worden vervolgens doorgestuurd naar de aanvallers, die ze gebruiken voor het toevoegen van een malafide admin-account. Hierna kan de aanvaller op kosten van het slachtoffer allerlei advertenties plaatsen die weer naar andere scams en malware wijzen. Doordat de aanvallers het domein bij sites.google.com hosten kunnen ze in de advertentie doen alsof de link van de advertentie naar ads.google.com wijst. Google staat dit toe omdat sites.google.com en ads.google.com hetzelfde hoofddomein hebben. bron: https://www.security.nl

Een kwetsbaarheid in een bootloader-applicatie maakt het mogelijk voor aanvallers om UEFI Secure Boot te omzeilen en zo het systeem te compromitteren. Het probleem is inmiddels door de betrokken leveranciers verholpen en de kwetsbare binaries zijn afgelopen dinsdag door Microsoft ingetrokken. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen, nog voor het besturingssysteem. UEFI Secure Boot kan UEFI-applicaties uitvoeren die meestal door de Microsoft UEFI Certificate Authority (CA) zijn gesigneerd. De UEFI-bootloader is een UEFI-applicatie die verantwoordelijk is voor boot management en het laden van bestanden van het besturingssysteem. Deze bootloaders kunnen tijdens het opstartproces aanvullende software uitvoeren en drivers laden. De Howyar Reloader UEFI-applicatie is een UEFI-bootloader die een kwetsbaarheid (CVE-2024-7344) bevat waardoor arbitrary code execution mogelijk is. Een aanvaller kan hier misbruik van maken door niet-gesigneerde third-party software tijdens het begin van de opstartfase uit te voeren en UEFI Secure Boot te omzeilen. Deze software draait dan met verhoogde rechten binnen de UEFI-context. Doordat de Howyar Reloader-applicatie gesigneerd is door de vertrouwde Microsoft UEFI CA, is het op elk systeem te installeren dat UEFI ondersteunt. Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit waarschuwt dat een aanvaller via de kwetsbaarheid malafide kernel-extensies kan installeren die zowel een herstart als het opnieuw installeren van het besturingssysteem kunnen overleven. Daarnaast zou de malware OS-gebaseerde beveiligingsmaatregelen en endpoint detection en response kunnen omzeilen. De kwetsbare UEFI-applicatie is onderdeel van verschillende realtime systeemherstelsoftwarepakketten van bedrijven als Howyar Technologies, Greenware Technologies, Radix Technologies, SANFONG, Wasay Software Technology, Computer Education System en Signal Computer. "Misbruik van deze kwetsbaarheid is niet beperkt tot systemen waarop de getroffen herstelsoftware is geïnstalleerd. Aanvallers kunnen hun eigen kopie van de kwetsbare binary meenemen naar elk UEFI-systeem dat gebruikmaakt van het Microsoft derde-partijscertificaat", aldus antivirusbedrijf ESET dat het probleem ontdekte. Om de kwetsbaarheid te verhelpen is er een update voor de Reloader-applicatie beschikbaar. Daarnaast is het ook belangrijk dat alle UEFI compliant computers hun Secure Boot Forbidden Signature Database (DBX of Revocation List) bijwerken, zo adviseert het CERT/CC. bron: https://www.security.nl