Een compacte beveiligingssamenvatting voor product- en engineeringteams: arrestaties door rechtshandhaving, verschillende Pwn2Own-onthullingen, een in het wild aangetroffen Exchange zero-day, een betwiste Azure-kwetsbaarheidsmelding en een supply-chain-inbreuk die OpenAI treft.
Overwinningen voor rechtshandhaving na operationele fout
Twee vermeende cybercriminelen werden geïdentificeerd en gearresteerd nadat ze naar verluidt nalietten de opnamefunctie van Microsoft Teams tijdens een operatie uit te schakelen. De berichtgeving van deze week vermeldt ook een arrestatie in verband met een vermoedelijk kopstuk van een darknet-markt, en dat het Instructure Canvas-ransomwareincident is afgerond.
Pwn2Own Berlin Dag 1: Windows 11 en Edge als doelwit
Op de eerste dag van Pwn2Own Berlin 2026 toonden deelnemende teams 24 verschillende zero-day-exploits en verdienden contante prijzen ter waarde van in totaal $523.000. Onder de producten die kwetsbaar bleken waren Windows 11 en Microsoft Edge.
Pwn2Own Berlin Dag 2: Exchange, Windows en RHEL tonen meer hiaten
De tweede dag van de wedstrijd leverde opnieuw succesvolle demonstraties op: onderzoekers maakten misbruik van 15 unieke zero-days en kregen $385.750 aan contante prijzen. Doelwitten waren onder andere Windows 11, Microsoft Exchange en Red Hat Enterprise Linux for Workstations.
Microsoft signaleert een Exchange Server zero-day die wordt misbruikt
Microsoft heeft mitigaties uitgegeven voor een kwetsbaarheid met hoge ernst in Exchange Server die is gebruikt in aanvallen. De kwetsbaarheid maakt willekeurige code-uitvoering mogelijk via een cross-site scripting-vector die specifiek gericht is op Outlook on the web-gebruikers.
Geschil over een rapport over Azure Backup for AKS en ontbrekende CVE
Een onderzoeker zegt dat Microsoft stilletjes een kritisch probleem met Azure Backup for AKS heeft verholpen zonder een CVE uit te geven, nadat het rapport aanvankelijk was afgewezen. Microsoft betwist dat verhaal en stelt dat het waargenomen gedrag verwacht was en dat er geen productwijzigingen zijn doorgevoerd.
OpenAI bevestigt inbreuk gekoppeld aan het TanStack-toeleveringsketenincident
OpenAI erkende dat twee apparaten van medewerkers werden gecompromitteerd tijdens de recente TanStack-toeleveringsketenaanval die honderden npm- en PyPI-pakketten raakte. Als voorzorgsmaatregel heeft het bedrijf de code-signingcertificaten voor zijn applicaties vervangen.
Korte samenvatting: Deze week bracht demonstraties van exploits met hoge zichtbaarheid en actieve incidenten samen met opvallende handhavingsacties en geschillen tussen leveranciers. Teams die software uitrollen, moeten de gepubliceerde mitigaties voor Exchange volgen, adviezen over de toeleveringsketen in de gaten houden en letten op eventuele vervolgacties van getroffen leveranciers.
Blijf op de hoogte
Ontvang releases, productupdates en lanceringsmeldingen per e-mail. Een lijst voor nieuws en producten.
Community feedback
What do you think?
Leave one reaction and join the discussion below.
Comments
0 comments