Microsoft heeft een kwetsbaarheid in Windows 11 Notepad verholpen die het mogelijk maakte voor aanvallers om lokale of externe programma’s uit te voeren door gebruikers te misleiden om op speciaal gemaakte Markdown-links te klikken, zonder enige beveiligingswaarschuwingen van Windows te tonen.

Met de introductie van Windows 1.0 lanceerde Microsoft Notepad, een eenvoudige tekstverwerker die snel populair werd voor het maken van notities, lezen van tekstbestanden, to-do lijsten maken of als code-editor dienen.

Voor degenen die behoefte hadden aan een teksteditor met meer opmaakopties zoals verschillende lettertypen en opmaakstijlen, bood Microsoft Windows Write aan en later WordPad.

Echter, met de komst van Windows 11 besloot Microsoft WordPad stop te zetten en uit Windows te verwijderen. In plaats daarvan werd Notepad gemoderniseerd zodat het zowel als simpele tekstverwerker als RTF-editor kan fungeren, met ondersteuning voor Markdown waarmee je tekst kunt opmaken en klikbare links kunt toevoegen.

Dankzij Markdown kan Notepad nu bestanden openen, bewerken en opslaan die in het Markdown-formaat (.md) zijn. Deze eenvoudige tekstbestanden gebruiken symbolen om tekst op te maken en lijsten of links te representeren.

Om bijvoorbeeld tekst vet te maken of een klikbare link te creëren, gebruik je de volgende Markdown-tekst:

Dit is vette tekst
Link naar BleepingComputer

Microsoft repareert Notepad RCE-lek

Tijdens de Patch Tuesday-updates van februari 2026 maakte Microsoft bekend dat ze een ernstige kwetsbaarheid in Notepad hadden opgelost, bekend als CVE-2026-20841.

“Onjuiste neutralisatie van speciale elementen in Windows Notepad App staat een ongeautoriseerde aanvaller toe om code via een netwerk uit te voeren,” legt Microsoft’s beveiligingsbulletin uit.

De fout werd ontdekt door Cristian Papa, Alasdair Gorniak en Chen. Deze kan worden misbruikt door een gebruiker te verleiden op een schadelijke link in een Markdown-bestand te klikken.

Een aanvaller kan een gebruiker verleiden om een schadelijke link te klikken binnen een Markdown-bestand dat in Notepad is geopend, waardoor het programma ongecontroleerde protocollen opent die externe bestanden laden en uitvoeren.

De kwaadaardige code zou worden uitgevoerd met dezelfde rechten als de gebruiker die het Markdown-bestand heeft geopend, waarschuwt Microsoft.

De ontdekking van dit lek trok al snel aandacht op sociale media, waarbij cybersecurity-specialisten uitzochten hoe eenvoudig het was te exploiteren.

Een simpele Markdown-file met file://-links naar uitvoerbare bestanden of speciale URI’s zoals ms-appinstaller:// was genoeg om het probleem te demonstreren.

Als een gebruiker dit bestand opent in de Markdown-modus van Windows 11 Notepad (versie 11.2510 of ouder) en de link met Ctrl+klik activeert, zou het bestand zonder waarschuwing worden uitgevoerd.

De mogelijkheid voor een programma om zonder waarschuwing te worden uitgevoerd, beschouwt Microsoft als een remote code execution-lek.

Er was een kans dat aanvallers links zouden kunnen creëren naar bestanden op externe SMB-shares die dan zonder waarschuwing worden uitgevoerd.

In testresultaten van BleepingComputer blijkt dat Microsoft nu de fout heeft hersteld. Notepad geeft een waarschuwing als je op een link klikt die geen http:// of https:// gebruikt.

Nu wordt bij alle andere URI-links, zoals file:, ms-settings:, ms-appinstaller, mailto:, en ms-search:, de bovenstaande dialoog weergegeven.

Het is onduidelijk waarom Microsoft niet gewoon niet-standaard links blokkeert, want het is nog steeds mogelijk om gebruikers te manipuleren om op ‘Ja’ te klikken in de prompts.

Het goede nieuws is dat Windows 11 Notepad automatisch update via de Microsoft Store, zodat deze fout waarschijnlijk geen grote gevolgen zal hebben.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.