Het patroon van vanochtend is hardnekkig: aanvallers winnen door de vertrouwde laag rond het systeem te misbruiken — het firewallportaal, de sandbox-wrapper, de samenwerkingsworkflow en de inlogpagina die gebruikers menen te herkennen.
Bottom line: beperk blootstelling van PAN-OS Captive Portal direct, patch vm2 overal waar onbetrouwbare code draait, bekijk Teams-gedreven remote-access- en afpersingsincidenten als mogelijke spionage en behandel compliance-phishing in de cloud als tokendiefstal, niet alleen wachtwoorddiefstal.
Palo Alto zegt dat CVE-2026-0300 een kritieke buffer overflow is in de User-ID Authentication Portal die ongeauthenticeerde root-level code-uitvoering mogelijk maakt op blootgestelde PA- en VM-firewalls. Beperkte exploitatie is al gaande: als het portal bereikbaar is vanaf onbetrouwbare IP-ruimte, is het risico nu actief.
De vm2-bug CVE-2026-26956 laat aanvallers uit de sandbox ontsnappen en code op de host uitvoeren, met een publieke PoC die al beschikbaar is. De bevestigde impact raakt specifieke Node.js 25-omgevingen, maar de les is groter: als je product door gebruikers aangeleverde JavaScript uitvoert, hoort de wrapper bij de blast radius.
Rapportage gelinkt aan Rapid7 stelt dat MuddyWater Microsoft Teams, schermdeling, credentialdiefstal, AnyDesk, DWAgent en afpersingsmails gebruikte zonder ooit echte bestandsversleuteling uit te rollen. Chaos was het decor; de echte operatie draaide om toegang, persistentie en data-exfiltratie.
Microsoft zag meer dan 35.000 pogingen bij circa 13.000 organisaties met valse interne meldingen, PDF-lokmiddelen, Cloudflare-CAPTCHA’s en adversary-in-the-middle-pagina’s die Microsoft-aanmeldingen proxien. Dat is belangrijk omdat AiTM-phishing zwakke MFA omzeilt door sessietokens te stelen, niet alleen wachtwoorden.
Kortom: het patroon van vandaag is omgekeerd vertrouwen. Blootgestelde portals, sandbox-runtimes, samenwerkingstools en vertrouwde inlogpagina’s worden aanvalsoppervlak zodra teams de verpakking aanzien voor de controle.
KENSAI helpt teams blootgestelde portals, fragiele sandboxes, riskante remote-accesspaden en identiteitsstromen te vinden die onder echte phishingdruk instorten.
Start gratis scan →Blijf scherp.
🗡️ KENSAI Security Team