1. Sec-Gemini v1, AI security door Google, artikel techrepublic.com, 7 april 2025
Hackers en ander gespuis kunnen "met behulp van AI" ransomware ontwikkelen en andere zaken waar je niets mee te maken wilt hebben. Maar.. je kunt AI natuurlijk ook gebruiken om zulke zaken te detecteren. Vooral als je deze AI agent koppelt aan betrouwbare systemen die bijhouden welke risico's momenteel actueel zijn, welke nieuwe mogelijkheden "misbruikt" worden om kwaadaardige acties uit te voeren. De bronnen die hier genoemd worden kun je ook zelf raadplegen: Google Threat Intelligence, Mandiant’s attack reports, and the Open Source Vulnerabilities database. Door dit artikel ook het security-blog van Google gevonden, de moeite waard om dat te volgen.
2. Het was weer Microsoft Patch Tuesday: 134 vulnerabilities, artikel techrepublic.com, 9 april 2025
Hier zat ook een zero-day issue in. Via een bug in de Windows Common Log File System Driver kon je jouw account dezelfde rechten als SYSTEM geven, dan kan/mag je bijna alles. Release-notes van Microsoft zijn hier na te lezen.
3. ToddyCat Hackers misbruiken security-software ESET om malware uit te voeren, artikel esecurityplanet.com, 10 april 2025
Naast het feit dat het "knap" is dat het hackers lukt om dit te doen, is het ook verontrustend. Je gebruikt bepaalde software om je systeem veilig te houden, maar het lukt hier dus een groep(je) hackers om een DLL toe te voegen aan dit product die ingeladen wordt en kwaadaardige code kan uitvoeren. Hierbij wordt EDRSandblast genoemd, een tool om "vulnerable drivers" te kunnen laden, is open-source en via Github te downloaden. Dat kan een legale actie zijn, dat je alleen nog een bepaalde driver voor iets hebt en je computer die wil blokkeren, maar je die écht nodig hebt. Dan kun je met deze code zorgen dat je driver blijft werken. Ik zou dat niet op een productiemachine gaan draaien, maar binnen een container (die geen connecties naar buiten heeft) zou het iets kunnen zijn.
4. Hackers en botnets gebruiken AI voor DDOS aanvallen, artikel techrepublic.com, 4 april 2025
Het werd bij punt 1 al genoemd, volgens NETSCOUT vooral politiek gedreven aanvallen, bijvoorbeeld door Russische hackergroepen.
5. Android malware die een "blinde vlek" van Microsoft misbruikt, artikel techrepublic.com, 27 maart 2025
Als .NET developer kun je met .NET MAUI (voormalig Xamarin) in C# cross-platform apps bouwen, ook voor Android. Normale apps voor Android worden in DEX (Dalvik Executable) formaat gemaakt en kunnen gescand worden. De bestanden van MAUI zijn binaire blob-bestanden, zonder eenduidige structuur, dus niet (of slecht) te scannen op malware.
6. Gebruik je ColdFusion van Adobe? Dan gauw updaten!, artikel adobe.com, 8 april 2025
Ik meende dat ik ColdFusion voor JSP pagina's gebruikte, maar dat blijkt Tomcat te zijn. ColdFusion wordt gebruikt om pagina's die met CFML opgebouwd worden te tonen en uit te voeren. 15 vulnerabilities, waarvan 11 critical en bij misbruik acties op het filesysteem uitgevoerd kunnen worden: snel patchen dus.
7. VMware Tools voor Windows, omzeilen van authenticatie door hackers, artikel techrepublic.com, 26 maart 2025
Als je VMWare op Windows gebruikt, helpen de VMware Tools met de resolutie van je scherm, integratie van muis en toetsenbord en een soepele integratie tussen de "host" en de "cliënt". Er is een bevinding gedaan, een gast-gebruiker kan zaken omzeilen waardoor hij/zij meer rechten krijgt binnen het systeem. Hier het artikel van broadcom.com met de fix/uitleg.
8. Oracle Cloud Breach: 6 miljoen records openbaar, via escurityplanet.com, 24 maart 2025
Ik wist niet dat Oracle "ook" een cloud had, maar met dit (negatieve) nieuws weten we dat nu ook: https://www.oracle.com/cloud/. Hieruit blijkt maar weer dat "onderhoud van je volledige systeem" essentieel is. Een (sub-)domain wat niet actief gebruikt wordt (of in ieder geval niet bijgewerkt werd) en daardoor zorgt dat iemand binnen kan komen en bij zaken kan komen waar hij/zij niet bij mag komen.
9. Had ik bij punt 6 Tomcat in gedachten, blijkt ook Tomcat een kwetsbaarheid te hebben, artikel techrepublic.com, 19 maart 2025
Met een aantal acties (PUT data) en weer met GET data ophalen voer je kwaadaardige code op de server uit. Je kunt hier de CVE bekijken en hier op Github een proof-of-concept.
10. Uit de oude doos, zorg dat je back-ups niet door ransomware onbruikbaar worden, artikel techrepublic.com, 12 april 2024
Een artikel van vorig jaar, maar waarschijnlijk nog steeds actueel. Onderzoek door Sophos. Als je zorgt dat je goede back-ups hebt, hoef je waarschijnlijk geen losgeld te betalen bij een ransomware-aanval. Maar dan moet je jouw back-up-plan wel goed op orde hebben. Zijn jouw back-ups "niet benaderbaar?", "immutable: onwijzigbaar". En ook getest? Je zult niet de eerste zijn die denkt een back-up te hebben, maar er op het moment dat een back-up nodig is, er achter komt dat de bestanden corrupt zijn...