Ik ben er een weekje tussenuit geweest (2e paasdag vrij, dinsdag daarop vrij), moest nog wat ander zaken doen, dus in de week van 6 april geen blog-posts op dit Techblog
1. Chipsoft gehackt, via tweakers.net, 7 april 2026
Chipsoft zit op meerdere locaties, maar ook in Heerenveen. Het schijnt een ransomware-aanval te zijn. Je vraagt je af of je de mensen daar had moeten waarschuwen, als je al mijn berichten over "securityzaken" doorleest, dan zie je dat er redelijk vaak bedrijven in de gezondheidssector door ransomware getroffen worden. Vaak in Amerika. Maar dat betekent niet dat organisaties in andere landen niet onder vuur liggen. Dus hierbij de oproep aan alle bedrijven die in de gezondheidssector werken: wakker worden, jij bent mogelijk het volgende slachtoffer! Zorg dat je jouw zaken op orde hebt. Dit type bedrijven heeft vaak een grote klantenkring, wat interessant is voor hackers, omdat bij een geslaagde actie de impact groot is. Volgens het artikel zou Z-Cert helpen om de problemen op te lossen. Sterke/succes!
2. Gaat Claude mijn code veiliger maken?, via esecurityplanet.com, 10 april 2026
Claude zegt met Project Glasswing veel security-issues te kunnen vinden (en dus ook voorkomen). Zoals je in het artikel kunt lezen, zijn er nogal wat security-partijen die hier hun vraagtekens bij zetten. Dit draait op basis van Claude Mythos Preview. Zoals we op het werk zeggen "het is nooit verkeerd om een paar extra ogen je code door te laten nemen", omdat je altijd "iets" over het hoofd ziet, zou ook dit best een goede aanvulling kunnen zijn om je code te valideren.
3. Zero-day exploit voor Windows, via bleepingcomputer.com, 6 april 2026
Iemand heeft via een Github-repo "BlueHammer" online gezet. Je hoeft niet lang te zoeken, dan kom je uit op deze repo. Je moet nu inloggen, maar via archive.org kun je de broncode alsnog bekijken. De README.md lijkt inderdaad wat frustratie uit te drukken, het lijkt erop alsof iemand deze bevinding bij het security-team van Microsoft gedaan heeft en dat ze gezegd hebben "volgens ons valt het wel mee". Zoals je in het artikel kunt lezen, het valt helemaal niet mee. Met deze code (als het goed gaat, zitten een paar bugs in) zou het mogelijk zijn dat iemand die "user" is (weinig rechten) bijgewerkt kan worden naar type SYSTEM (ik mag alles). We gaan er maar vanuit dat de ogen van Microsoft nu wél op dit issue gericht zijn en de volgende fix op patchday tuesday mee gaat.
4. Zero-day exploit voor Acrobat Reader, via techrepublic.com, 9 april 2026
Ook hier een issue dat nog niet gefixt is. Bepaalde PDF's kunnen bij het openen direct Javascript uitvoeren. Waarmee het filesysteem en bestanden wordt uitgelezen en waarbij ook code uitgevoerd kan worden. Oftewel, open alleen PDF-bestanden van vertrouwde bronnen. Bij twijfel: niet openen dus. In het artikel worden een aantal zaken genoemd waarvan ik denk, dat klinkt goed, maar hoe breng je dat in de praktijk? Namelijk: sandbox unsollicited PDF's, disable Reader JavaScript, monitor "Adobe Synchronizer" traffic and block outbound connections to known command-and-control-servers.
De "algemene Windows- en Mac-gebruiker" heeft dit niet voor elkaar. Ik ook niet. Kan ik "iets doen" om die acties redelijk makkelijk te configureren?
5. Russische hackers hacken 18.000 TP-Link routers, via cyberscoop.com, 7 april 2026
In dit artikel wordt gesproken over de Amerikaanse routers en de FBI die met een "contra-actie" geprobeerd heeft die routers weer goed te krijgen. Het gaat trouwens niet alleen om TP-Link, maar ook om MicroTik. In het artikel staat dat de overheid het advies geeft om end-of-life equipment te upgraden (daar zit natuurlijk wel een kostenplaatje aan!), DNS te resetten, remote admin uit te zetten en MFA te activeren.
6. Smokkelen van bijvoorbeeld ransomware-code in emoji's, via yeoandyeo.com, 10 maart 2026
In het artikel wordt een goed voorbeeld gegeven, je ontvangt een Excel-bestand. In een aantal kolommen staat het groene blokje met het witte vinkje, in andere cellen staat het gele driehoekje met een uitroepteken. Jij ziet een emoji, je virusscanner ziet een emoji, maar in werkelijkheid heeft de hacker de code aangepast en wordt er extra code ingeladen en uitgevoerd, waardoor onder andere ransomware uitgevoerd kan worden. Als je het artikel leest is het een beetje een reclamepraatje van Yeo en Yeo, feit is wel dat je heel voorzichtig moet zijn met documenten van een partij die je niet kent/vertrouwt. En ook als je de partij wel vertrouwt, kunnen zij garanderen dat er niets aan het document verandert is doordat bijvoorbeeld een 3e partij toegang heeft tot hun fileserver?
7. Patch voor Fortinet Endpoint Management Server (EMS), via fortinet.com, 4 april 2026
Door onvolledige controles is het mogelijk om als gebruiker meer rechten te krijgen waardoor acties uitgevoerd kunnen worden die anders geblokkeerd zouden worden. Geldt alleen voor versie 7.4.5 en 7.4.6. Volgens Shadowserver waren er ten tijde van het uitbrengen van dit bericht in ieder geval 2.000 apparaten online die deze versies draaiden.
8. Datalek bij LiteLLM, via techrepublic.com, 6 april 2026
In dit artikel kun je lezen dat META de diensten van Mercor (tijdelijk?) opgeschort heeft. Voor de AI-diensten maken ze gebruik van Mercor, dit is een bemiddelaar, die zorgt dat bedrijven die AI gebruiken in contact komen met partijen die modellen trainen en evalueren. Onderdeel hiervan is LiteLLM. LiteLLM is een open-source Python-codebibliotheek en proxy server die je een interface geeft naar allemaal andere LLM's, zoals OpenAI, Anthropic. Maar deze tool bevatte (tijdelijk) malware. Daarmee werd op geïnfecteerde systemen gekeken of er geheimen doorgestuurd konden worden (SSH-keys, credentials voor de cloud, zoals AWS, Azure). Voor de verdere uitleg kun je het beste de pagina van LiteLLM zelf lezen.
9. Update je Chromium-browsers, via techrepublic.com, 2 april 2026
Chromium is niet alleen de Chrome browser van Google, maar is ook de motor onder andere browsers zoals Edge (van Microsoft), Brave, Vivaldi, Opera. Een bug in de code die wat met je GPU doet (processor van je grafische kaart) kon misbruikt worden om je machine te misbruiken. Let op, je moet dit actief doen. Toen ik Edge opstartte, via Help en Feedback naar Over Microsoft Edge ging, toen begon de browser een update binnen te halen.
10. Hack bij Hasbro, via techrepublic.com, 2 april 2026
Hasbro is een grote partij in de speelgoedindustrie. Transformers, Monopoly, My Little Pony. Eind maart constateerde het bedrijf dat er verdachte activiteit was en hebben ze allemaal zaken afgesloten. Daardoor zie je nu (13 april 2026) nog steeds een melding over "onderhoud wat gepleegd wordt". Dit betekent dat de site al ruim 2 weken niet bereikbaar is (en misschien nog wel langer). Laat dit laatste issue op deze lijst een waarschuwing voor jou / jouw bedrijf zijn. Ga er vanuit dat je "ergens" in de komende 5 jaar getroffen zult worden door een dergelijke aanval en dat ook jouw site voor onbepaalde tijd niet bereikbaar is. Wat zijn je noodscenario's? Hoe heb jij je voorbereid? Heb je back-ups? Heb je een schaduwomgeving die redelijk snel je huidige live omgeving kan vervangen?