← Terug naar blog
Security briefing5 min leestijd2026-05-07

Security briefing, 7 mei 2026: PAN-OS-zero-day, vm2-sandboxescape, MuddyWater-false flag en Microsoft-AiTM-phishing

Het patroon van vanochtend is hardnekkig: aanvallers winnen door de vertrouwde laag rond het systeem te misbruiken — het firewallportaal, de sandbox-wrapper, de samenwerkingsworkflow en de inlogpagina die gebruikers menen te herkennen.


Bottom line: beperk blootstelling van PAN-OS Captive Portal direct, patch vm2 overal waar onbetrouwbare code draait, bekijk Teams-gedreven remote-access- en afpersingsincidenten als mogelijke spionage en behandel compliance-phishing in de cloud als tokendiefstal, niet alleen wachtwoorddiefstal.


1. PAN-OS Captive Portal is vandaag het belangrijkste internet-edgeprobleem

Palo Alto zegt dat CVE-2026-0300 een kritieke buffer overflow is in de User-ID Authentication Portal die ongeauthenticeerde root-level code-uitvoering mogelijk maakt op blootgestelde PA- en VM-firewalls. Beperkte exploitatie is al gaande: als het portal bereikbaar is vanaf onbetrouwbare IP-ruimte, is het risico nu actief.


2. vm2 bewijst opnieuw dat “gesandboxte” JavaScript geen veiligheidsgrens op zichzelf is

De vm2-bug CVE-2026-26956 laat aanvallers uit de sandbox ontsnappen en code op de host uitvoeren, met een publieke PoC die al beschikbaar is. De bevestigde impact raakt specifieke Node.js 25-omgevingen, maar de les is groter: als je product door gebruikers aangeleverde JavaScript uitvoert, hoort de wrapper bij de blast radius.


3. MuddyWater gebruikt ransomwaretheater om spionage te verbergen

Rapportage gelinkt aan Rapid7 stelt dat MuddyWater Microsoft Teams, schermdeling, credentialdiefstal, AnyDesk, DWAgent en afpersingsmails gebruikte zonder ooit echte bestandsversleuteling uit te rollen. Chaos was het decor; de echte operatie draaide om toegang, persistentie en data-exfiltratie.


4. Microsofts conduct-review-phishing is gebouwd voor realtime tokendiefstal

Microsoft zag meer dan 35.000 pogingen bij circa 13.000 organisaties met valse interne meldingen, PDF-lokmiddelen, Cloudflare-CAPTCHA’s en adversary-in-the-middle-pagina’s die Microsoft-aanmeldingen proxien. Dat is belangrijk omdat AiTM-phishing zwakke MFA omzeilt door sessietokens te stelen, niet alleen wachtwoorden.


Wat securityteams vóór de lunch moeten doen

  1. Sluit of beperk eerst blootgestelde PAN-OS Captive Portal-oppervlakken.
  2. Patch vm2 en bekijk elk pad waar klanten of medewerkers JavaScript op gedeelde hosts kunnen draaien.
  3. Neem Teams-gebaseerde remote-support-social engineering op in hetzelfde playbook als e-mailphishing en vishing.
  4. Werk phishingrespons bij zodat tokenintrekking en sessiereview prioriteit krijgen, niet alleen wachtwoordresets.

Bronnen


Kortom: het patroon van vandaag is omgekeerd vertrouwen. Blootgestelde portals, sandbox-runtimes, samenwerkingstools en vertrouwde inlogpagina’s worden aanvalsoppervlak zodra teams de verpakking aanzien voor de controle.

Controleer de vertrouwensgrenzen die aanvallers echt misbruiken

KENSAI helpt teams blootgestelde portals, fragiele sandboxes, riskante remote-accesspaden en identiteitsstromen te vinden die onder echte phishingdruk instorten.

Start gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team