De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale instanties opgedragen om hun Windows-systemen te beveiligen tegen een kwetsbaarheid die wordt misbruikt in zero-day aanvallen.

Deze kwetsbaarheid, CVE-2026-32202, werd gemeld door het cybersecuritybedrijf Akamai. Het gaat om een zero-click NTLM hash-lek dat ontstond nadat Microsoft een fout in de beveiliging tegen externe code-uitvoering (CVE-2026-21510) in februari onvolledig had opgelost.

Zoals CERT-UA onthulde, exploiteerde de Russische cyberespionagegroep APT28 (ook bekend als UAC-0001 en Fancy Bear) CVE-2026-21510 in aanvallen op Oekraïne en EU-landen in december 2025. Dit was onderdeel van een reeks aanvallen die ook een LNK-bestand kwetbaarheid (CVE-2026-21513) betrokken.

Microsoft verklaart dat externe aanvallers, door de CVE-2026-32202 kwetsbaarheid te misbruiken met weinig complexiteit door een schadelijk bestand naar het slachtoffer te sturen dat uitgevoerd moet worden, gevoelige informatie op onbeveiligde systemen kunnen bekijken.

Akamai legde verder uit in een rapport op donderdag dat deze beveiligingsfout kan worden uitgebuit in pass-the-hash-aanvallen om NTLM-hashes (versleutelde wachtwoorden) te stelen. Deze worden vervolgens gebruikt om zich voor te doen als de gecompromitteerde gebruiker, waardoor aanvallers zich lateraal over het netwerk kunnen verspreiden of gevoelige gegevens kunnen stelen.

Microsoft meldde op zondag ook dat de CVE-2026-3220 fout werd uitgebuit in aanvallen, nadat BleepingComputer vorige week contact opnam om te vragen waarom in het april 2026 Patch Tuesday-advies de exploitatie-evaluatie ‘Exploitation Detected’ kreeg, terwijl de kwetsbaarheid gemarkeerd was als niet uitgebuit.

Een woordvoerder van Microsoft moet nog reageren op een tweede e-mail met een verzoek om meer informatie over de CVE-2026-32202-aanvallen, waaronder of APT28-hackers ook deze zero-click kwetsbaarheid hebben misbruikt.

Federale instanties moeten vóór 12 mei patchen

Op dinsdag voegde CISA CVE-2026-32202 toe aan zijn Catalogus van Bekende Geëxploiteerde Kwetsbaarheden (KEV) en gaf federale instanties de opdracht om binnen twee weken, vóór 12 mei, hun Windows-systemen te patchen, zoals vastgelegd in Binding Operational Directive (BOD) 22-01.

“Dit type kwetsbaarheid is een veelvoorkomend aanvalsmiddel voor kwaadwillende cyberacteurs en vormt aanzienlijke risico’s voor de federale onderneming,” waarschuwde de cybersecurity organisatie.

“Volg de mitigatie-instructies van de leverancier op, volg de toepasselijke BOD 22-01 richtlijnen voor cloud services, of stop met het gebruik van het product als mitigaties niet beschikbaar zijn.”

Hoewel BOD 22-01 alleen van toepassing is op Amerikaanse federale instanties, heeft CISA alle beveiligingsteams aangespoord om patches voor CVE-2026-32202 zo snel mogelijk toe te passen en hun netwerken te beveiligen.

Daarnaast worden drie recent onthulde Windows-beveiligingslekken (BlueHammer, RedSun, en UnDefend) actief door dreigingsactoren uitgebuit in aanvallen om SYSTEM of verhoogde beheerdersrechten te verkrijgen, waarbij de laatste twee nog op patches wachten.