De BlueHammer-kwetsbaarheid in Microsoft Defender die al in april 2026 werd gepatcht, wordt nu actief misbruikt door ransomwaregroepen. Dat bevestigt de Amerikaanse cyberveiligheidsdienst CISA. De bug, officieel CVE-2026-33825, wordt gebruikt om Windows-systemen verder over te nemen nadat aanvallers al voet aan de grond hebben gekregen.
Het gaat dus niet om een lek waarmee een computer vanop afstand zomaar kan worden binnengedrongen. Aanvallers hebben eerst al toegang nodig, bijvoorbeeld via phishing, gestolen logins of andere malware. Maar eens ze binnen zijn, kan deze kwetsbaarheid het verschil maken tussen beperkte toegang en volledige controle over een systeem.
De fout zit in Microsoft Defender en draait om een probleem in de toegangscontrole. Daardoor kan een lokale gebruiker zijn rechten verhogen tot SYSTEM-niveau, de hoogste rechten binnen Windows, legt Microsoft uit. Met die privileges kunnen aanvallers diep in het systeem ingrijpen. Onderzoekers waarschuwen dat in sommige gevallen ook de Security Account Manager (SAM)-database kan worden uitgelezen. Die bevat onder meer wachtwoordhashes van lokale accounts.
In handen van ransomwaregroepen is dat een belangrijke stap: ze kunnen beveiligingssoftware uitschakelen, zich verder verplaatsen binnen een netwerk en uiteindelijk systemen versleutelen.
Volgens verschillende beveiligingsonderzoekers, waaronder Huntress Labs, werd de kwetsbaarheid al misbruikt nog vóór Microsoft in april een patch uitbracht. In die aanvallen was er sprake van actieve “hands-on-keyboard”-technieken, waarbij aanvallers zelf in het systeem rondkeken en acties uitvoerden. Ook een gelekte proof-of-conceptcode zorgde ervoor dat het lek sneller in het vizier kwam van zowel onderzoekers als kwaadwillenden. Die lekken zouden bovendien hebben bijgedragen aan de eerste exploitpogingen.
Het Amerikaanse overheidsorgaan CISA (Cybersecurity and Infrastructure Security Agency) heeft CVE-2026-33825 intussen opgenomen in zijn lijst van actief misbruikte kwetsbaarheden. De dienst waarschuwt dat er vandaag effectief ransomwarecampagnes lopen die deze fout gebruiken om aanvallen verder op te schalen. Microsoft heeft het probleem al opgelost in de april 2026 Patch Tuesday-update, maar bevestigde nog niet officieel dat het lek in ransomwarecampagnes werd ingezet.
Voor organisaties die updates hebben uitgesteld, is dat een duidelijke waarschuwing: een lokale kwetsbaarheid kan in de praktijk voldoende zijn om een beperkte inbraak te laten escaleren tot een volledige overname van het netwerk.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
