Welkom bij Tech Alerts – maart 2026
We weten dat je weinig tijd hebt. Daarom hebben we deze Tech Alerts in het leven geroepen: om alleen de meest kritieke waarschuwingen met een grote impact te leveren. Of het nu gaat om een zero-day exploit waarvoor onmiddellijk een patch nodig is of een nieuwe trend in social engineering, ons doel is om u op de hoogte te houden, voor te bereiden en een stap voor te blijven.
In de briefing van deze maand:
- Cisco FMC — Unauthenticated RCE
- BYOVD — 54 EDR Killers exploiting 35 signed drivers
- Veeam Backup & Replication – RCE chain
- Microsoft Teams – A0Backdoor via DLL Sideloading
- OAuth Redirect Abuse — Malware targeting government organisations
De bedreigingen in de gaten houden zodat jij dat niet hoeft te doen. Hier zijn de essentiële punten van deze maand.
TOP 5 – MAART 2026
1. Cisco FMC — Unauthenticated RCE
Kwetsbaarheid voor Java-deserialisatie in de webinterface van het Firewall Management Centre.
Uitgebuit als zero-day door de Interlock-bende sinds januari 2026, meer dan een maand voor de Cisco-patch (4 maart).
Maakt arbitraire code-uitvoering mogelijk als root zonder enige authenticatie. Post-exploitatie toolkit waargenomen: Java/JS RATs, in-memory web shell, reverse HTTP proxies, ConnectWise ScreenConnect.
2. BYOVD — 54 EDR Killers exploiting 35 signed drivers
Het laden van legitieme, kwetsbare stuurprogramma’s om Ring 0 (kernel) toegang te krijgen.
Maakt het mogelijk om EDR-processen te beëindigen, kernel-callbacks aan te passen en beveiligingen uit te schakelen terwijl het vertrouwensmodel voor ondertekende stuurprogramma’s van Microsoft behouden blijft.
Wordt routinematig ingezet als een pre-encryptie stap in moderne ransomware operaties. (MITRE T1562.001)
3. Veeam Backup & Replication – RCE chain
Injectie via een misvormde ‘Interval’- of ‘Order’-parameter, waardoor op afstand code kan worden uitgevoerd (RCE) als postgres, zonder interactie van de gebruiker, via het netwerk.
Drie gerelateerde CVE’s (CVSS 6.7-7.2) staan ook root RCE toe via een configuratiebestand en het schrijven van willekeurige bestanden. Betroffen: VBR ≤ 13.0.1.180.
Opgelost in 13.0.1.1071. Veeam-geschiedenis: bijna systematische ransomware-exploitatie in de dagen na openbaarmaking.
4. Microsoft Teams – A0Backdoor via DLL Sideloading
Aanvalsketen: spam flood → voordoen als IT-ondersteuning via Teams → externe toegang via Quick Assist → ondertekende MSI ingezet vanaf een persoonlijke Microsoft-account voor cloudopslag.
De MSI laadt een kwaadaardig hostfxr.dll-bestand dat een shellcode in het geheugen decodeert (AES, SHA-256 afgeleide sleutel) na detectie van een sandbox.
De vector Teams ontbreekt nog grotendeels in de programma’s voor bewustwording over phishing.
5. OAuth Redirect Abuse — Malware targeting government organisations
Misbruik van een legitieme OAuth-functie: het registreren van een kwaadaardige app in een tenant die wordt beheerd door de aanvaller, met een redirect URL die verwijst naar een malafide infrastructuur.
Link gedistribueerd met een opzettelijk ongeldige reikwijdte → levering van een ZIP-archief → PowerShell + DLL sideloading (steam_monitor.exe) → C2.
Sommige campagnes werden gecombineerd met EvilProxy om sessiecookies te ‘harvesten’ (AitM).
Geen kwetsbaarheden om te verhelpen; verdediging berust op het controleren van OAuth-apps die zijn geregistreerd in Entra ID en op bewustwording.