Microsoft heeft tijdens Patch Tuesday van februari 2026 een opvallend beveiligingslek in Kladblok gedicht. Door een fout in het toevoegen van links via opmaak konden aanvallers programma’s lokaal of via het netwerk laten uitvoeren, zonder dat Windows een beveiligingswaarschuwing toonde.

Het lek, geregistreerd als CVE-2026-20841, werd bestempeld als een kwetsbaarheid voor remote code execution (RCE). De oorzaak lag in hoe Kladblok omging met speciale protocollen in aanklikbare links. Kladblok bestaat al sinds de begindagen van Windows 1.0 en stond jarenlang bekend als een eenvoudige teksteditor voor snelle notities of het openen van platte tekstbestanden. Voor rijkere opmaak kon je vroeger terecht in Windows Write of later WordPad.

Met Windows 11 trok Microsoft echter de stekker uit WordPad. In plaats daarvan kreeg Kladblok een grondige modernisering. De app ondersteunt nu Markdown, waardoor je tekst kan opmaken met eenvoudige symbolen en aanklikbare links kan toevoegen.

Zo kan je bijvoorbeeld de volgende ‘markdown’-tekst gebruiken om een klikbare link te maken in Kladblok:

**Dit is vette tekst**

[Link naar Clickx.be](https://www.clickx.be)

Kladblok kan niet alleen doorlinken naar webpagina’s, maar ook .md-bestanden openen, bewerken en opslaan. Het probleem zat in de manier waarop Kladblok bepaalde links behandelde. Aanvallers konden een speciaal opgesteld Markdown-bestand maken met links naar uitvoerbare bestanden via file://-links en speciale URI’s zoals ms-appinstaller://. Wanneer een gebruiker zo’n .md-bestand opende in Kladblok (versie 11.2510 of ouder) en in Markdown-weergave bekeek, verschenen die links als klikbare elementen. Wie vervolgens Ctrl + klik gebruikte, startte het gekoppelde programma automatisch, zonder de gebruikelijke Windows-waarschuwing.

Volgens Microsoft kon zo’n aanval ertoe leiden dat niet-geverifieerde protocollen externe bestanden laadden en uitvoerden. De kwaadaardige code draaide vervolgens met dezelfde rechten als de gebruiker die het bestand opende. In theorie konden aanvallers zelfs verwijzen naar uitvoerbare bestanden op externe SMB-netwerkschijven, die dan zonder extra beveiligingsmelding werden gestart.

Hoe kon Remote Code Execution (RCE) mogelijk zijn?

De kern van het probleem is dat Windows geen waarschuwing gaf bij het uitvoeren van die programma’s. Normaal zou het besturingssysteem een beveiligingsdialoog tonen wanneer een onbekend of potentieel gevaarlijk bestand wordt geopend. Het stil uitvoeren van een programma zonder waarschuwing beschouwt Microsoft als remote code execution, zelfs als er nog steeds een gebruikersactie (het aanklikken van de link) nodig is.

Patch voegt waarschuwingen toe

Microsoft heeft het lek inmiddels verholpen. In de nieuwste versie van Kladblok verschijnt nu een waarschuwing wanneer je op een link klikt die geen gebruik maakt van het standaard http:// of https://-protocol. Voor links met protocollen zoals file:, ms-settings:, ms-appinstaller:, mailto: en ms-search toont Kladblok nu een bevestigingsvenster voordat er iets wordt uitgevoerd. Toch roept dat vragen op. Microsoft had er ook voor kunnen kiezen om niet-standaardprotocollen volledig te blokkeren. Nu blijft het mogelijk om gebruikers via social engineering te overtuigen om alsnog op ‘Ja’ te klikken.

Impact waarschijnlijk beperkt

De impact van het lek lijkt beperkt. Kladblok wordt in Windows 11 automatisch bijgewerkt via de Microsoft Store, waardoor de patch stil op de meeste systemen wordt uitgerold. De kwetsbaarheid valt daardoor vooral op door haar originaliteit: een klassieke teksteditor die via Markdown-links programma’s kan starten zonder waarschuwing, dat verwacht je niet meteen.