Exploit van Windows-kwetsbaarheden vergroot risico op aanvallen

Cybercriminelen maken momenteel misbruik van drie recent ontdekte beveiligingslekken in Windows. Deze lekken kunnen worden ingezet om systeem- of verhoogde beheerdersrechten te verkrijgen.

Sinds het begin van deze maand heeft de bekende beveiligingsonderzoeker ‘Chaotic Eclipse’ ook wel bekend als ‘Nightmare-Eclipse’ bewijs van conceptcodes voor al deze beveiligingsproblemen openbaar gemaakt. Dit was uit protest tegen de manier waarop Microsofts Security Response Center (MSRC) omging met het proces van openbaarmaking.

Twee van de kwetsbaarheden, BlueHammer en RedSun genaamd, zijn lokale privilege-escalatiefouten in Microsoft Defender. De derde, UnDefend, kan worden gebruikt om als standaardgebruiker updates voor Microsoft Defender te blokkeren.

Op het moment van de openbaarmaking werden deze kwetsbaarheden door Microsoft als zero-days beschouwd, omdat er nog geen officiële patches of updates beschikbaar waren om ze aan te pakken.

Op donderdag meldden beveiligingsonderzoekers van Huntress Labs dat alle drie de zero-day-exploits in de praktijk werden ingezet, waarbij de BlueHammer-kwetsbaarheid al sinds 10 april werd misbruikt.

Daarnaast ontdekten ze dat de UnDefend- en RedSun-exploits werden gebruikt op een Windows-apparaat dat was binnengedrongen via een gecompromitteerde SSLVPN-gebruiker. De aanvallen vertoonden duidelijke aanwijzingen van "hands-on-keyboard" activiteiten van dreigingsactoren.

Twee zero-days wachten nog op patches

Microsoft houdt de BlueHammer-kwetsbaarheid nu bij als CVE-2026-33825 en heeft deze in de beveiligingsupdates van april 2026 opgelost. De andere twee kwetsbaarheden zijn echter nog niet aangepakt.

Volgens eerdere berichten van BleepingComputer kunnen aanvallers de RedSun-exploit gebruiken om systeemrechten te verkrijgen op Windows 10, Windows 11 en Windows Server 2019 en latere systemen wanneer Windows Defender is ingeschakeld, zelfs na de updates van april.

"Wanneer Windows Defender merkt dat een kwaadaardig bestand een cloud-tag heeft, gebeurt er iets hilarisch en stom: het antivirusprogramma dat moet beschermen, besluit het bestand opnieuw op de originele locatie te plaatsen," aldus de onderzoeker. "De PoC maakt misbruik van dit gedrag om systeembestanden te overschrijven en beheerdersrechten te verkrijgen."

Een woordvoerder van Microsoft liet weten: "We hebben toegezegd om gemelde beveiligingsproblemen te onderzoeken en getroffen apparaten zo snel mogelijk bij te werken om klanten te beschermen. We ondersteunen ook gecoördineerde openbaarmaking van kwetsbaarheden, een breed geaccepteerde industriestandaard die ervoor zorgt dat problemen grondig worden onderzocht en aangepakt voordat ze openbaar worden gemaakt."

Met de aankomende golven van nieuwe exploits en zero-days blijft het cruciaal om goed op de hoogte te blijven van beveiligingsupdates en maatregelen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.