Aanbevolen verhaal

Nieuwe downgrade-aanval kan FIDO-auth in Microsoft Entra ID omzeilen

Beveiligingsonderzoekers hebben een nieuwe FIDO downgrade aanval tegen Microsoft Entra ID ontwikkeld die gebruikers verleidt tot authenticatie met zwakkere inlogmethoden, waardoor ze vatbaar worden voor phishing en session hijacking.

De aanval maakt gebruik van een aangepaste phishlet binnen het Evilginx-framework om Safari op Windows te spoofen, wat niet compatibel is met FIDO-gebaseerde authenticatie in Microsoft Entra ID.

Omdat het phishlet een niet-ondersteunde browser-gebruikersagent spooft, schakelt Microsoft Entra ID de FIDO-authenticatie uit en wordt de gebruiker gevraagd om een alternatieve verificatiemethode te kiezen.

Als de gebruiker alternatieve methoden gebruikt, onderschept de AiTM proxy hun referenties en sessiecookie, waardoor volledige toegang wordt verleend tot de account van het slachtoffer.

SOC-analyse: Deze aanval brengt kritieke gaten in FIDO fallback-mechanismen aan het licht. Overweeg een strikt beleid voor voorwaardelijke toegang te implementeren dat verificatie vanuit niet-ondersteunde browsercombinaties blokkeert en alternatieve MFA-opties voor bevoorrechte accounts beperkt om het aanvalsoppervlak te verkleinen.

Meer lezen

Andere verhalen

De opkomst van native phishing: Microsoft 365-apps misbruikt bij aanvallen

Aanvallers delen schadelijke bestanden of koppelingen binnen organisaties via vertrouwde, ingebouwde samenwerkingsfuncties vanaf gecompromitteerde accounts, een tactiek die “native phishing” wordt genoemd.

Microsoft OneNote wordt steeds vaker gebruikt in phishingaanvallen omdat het niet onder Protected View valt en het insluiten van schadelijke bestanden of koppelingen ondersteunt. Nadat ze M365-referenties hadden verkregen, maakten bedreigingsactoren OneNote-bestanden in de OneDrive-mappen van gecompromitteerde gebruikers en sloten URL’s in.

De phishingsites werden gebouwd met behulp van gratis, AI-gestuurde websitebouwers zoals Flazio, waardoor het voor aanvallers eenvoudig was om overtuigende replica’s te maken.

SOC-analyse: Native phishing vertegenwoordigt een belangrijke evolutie in aanvalstactieken die gebruikmaken van het inherente vertrouwen in interne samenwerkingstools. Organisaties moeten strengere M365 controles implementeren voor het delen van bestanden en gedragsrichtlijnen vaststellen voor het delen van bestanden om gecompromitteerde accounts te identificeren die zich bezighouden met laterale phishing-campagnes.

Meer lezen

Details over WinRAR zero-day aanvallen die pc’s besmetten met malware

Onderzoekers hebben een rapport uitgebracht waarin gedetailleerd wordt beschreven hoe een recente kwetsbaarheid in WinRAR (CVE-2025-8088) werd misbruikt door de Russische ‘RomCom’-groep om malware te droppen.

De aanval gebruikte verborgen ADS payloads in kwaadaardige RAR-archieven om DLL’s en snelkoppelingen uit te pakken in de %TEMP% of %LOCALAPPDATA% directory’s, waardoor uitvoering mogelijk werd na het inloggen van de gebruiker.

WinRAR heeft op 30 juli 2025 een fix uitgebracht (v7.13).

SOC-analyse: Organisaties moeten onmiddellijke patching van WinRAR naar versie 7.13+ afdwingen en de implementatie overwegen van een toestemmingslijst voor toepassingen om te voorkomen dat niet-geautoriseerde uitvoerbare bestanden worden uitgevoerd vanuit tijdelijke directory’s.

Meer lezen

Wil je makkelijk geld verdienen achter je computer? Trap niet in taakzwendel

Takenzwendelaars laten slachtoffers geloven dat ze geld kunnen verdienen door eenvoudige online taken uit te voeren. Na de eerste nepuitbetalingen vragen oplichters om stortingen om verdere ‘verdiensten’ vrij te spelen, wat leidt tot financieel verlies.

Oplichters doen zich voor als echte instanties en gebruiken algemene berichtenplatforms om slachtoffers te lokken.

SOC-analyse: Deze zwendelpraktijken bouwen vertrouwen op via legitiem ogende vroege betalingen. Leer werknemers, vooral werknemers op afstand, sceptisch te zijn over ongevraagde “baanaanbiedingen”. Verdachte berichten kunnen worden doorgestuurd naar verdacht@safeonweb.be, suspect@safeonweb.be of suspicious@safeonweb.be.

Meer lezen