Beveiligingsonderzoekers slaan alarm: drie recent gelekte kwetsbaarheden in Windows worden intussen actief misbruikt in echte aanvallen. Daarbij proberen aanvallers hogere rechten te verkrijgen op systemen, met als doel volledige controle over een toestel te krijgen.
De kwetsbaarheden kwamen eerder deze maand naar buiten nadat een onderzoeker, bekend als ‘Chaotic Eclipse’ of ‘Nightmare-Eclipse’, proof-of-concept code publiceerde. Dat gebeurde uit onvrede over hoe Microsoft Security Response Center (MSRC) de melding had afgehandeld. Omdat er op dat moment nog geen patches beschikbaar waren, werden de lekken beschouwd als zogenaamde zero-days.
Van de drie kwetsbaarheden richten er twee zich op Microsoft Defender en maken ze privilege-escalatie mogelijk. Met andere woorden: een aanvaller kan zichzelf extra rechten toekennen en zo van een gewone gebruiker doorgroeien naar administrator- of zelfs SYSTEM-niveau. De derde kwetsbaarheid maakt het mogelijk om updates van Defender uit te schakelen, waardoor systemen minder goed beschermd zijn tegen nieuwe dreigingen.
Volgens onderzoekers van Huntress Labs worden alle drie de exploits inmiddels misbruikt. Eén van de lekken, bekend als BlueHammer, zou al sinds 10 april actief worden ingezet. In andere gevallen zagen onderzoekers dat aanvallers via een gecompromitteerde VPN-toegang systemen binnendrongen en daar vervolgens handmatig verdere acties uitvoerden.
Microsoft heeft ondertussen één van de kwetsbaarheden, BlueHammer, aangepakt via de april-updates en geregistreerd als CVE-2026-33825. De twee andere lekken, RedSun en UnDefend, zijn op dit moment echter nog niet volledig opgelost. Vooral RedSun baart zorgen. Die exploit kan zelfs op volledig bijgewerkte systemen nog misbruikt worden om systeemrechten te verkrijgen, zolang Defender actief is. De aanval maakt misbruik van een onverwacht gedrag in de antivirussoftware, waarbij verdachte bestanden opnieuw worden weggeschreven op een manier die misbruik mogelijk maakt.
Microsoft laat weten dat het de meldingen onderzoekt en benadrukt het belang van gecoördineerde kwetsbaarheidsrapportering. Toch toont deze situatie opnieuw hoe snel gepubliceerde exploitcode kan leiden tot echte aanvallen, zeker wanneer patches nog ontbreken. Voor gebruikers en IT-beheerders betekent dit vooral dat waakzaamheid cruciaal blijft. Updates installeren helpt, maar zolang niet alle lekken gedicht zijn, blijft er een reëel risico bestaan.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
