Microsoft heeft noodupdates uitgebracht voor meerdere ernstige beveiligingslekken in Windows en Office die volgens het bedrijf al actief worden misbruikt door hackers. Het gaat om zogenoemde zero-daykwetsbaarheden, fouten in software die worden aangevallen voordat de ontwikkelaar de kans heeft gehad om een beveiligingspatch beschikbaar te maken. Daardoor vormen ze een bijzonder groot risico voor gebruikers en organisaties.
Zero-daylekken
Volgens Microsoft kunnen sommige van de aanvallen worden uitgevoerd via zogenoemde one-click-exploits. Dat betekent dat een slachtoffer slechts op een kwaadaardige link hoeft te klikken of een geïnfecteerd bestand moet openen om een systeem te compromitteren. In twee gevallen kan een Windows-gebruiker worden aangevallen door het openen van een misleidende link, terwijl een andere kwetsbaarheid misbruikt kan worden via een schadelijk Office-document.
SmartScreen-beveiligingsfunctie
Een van de belangrijkste lekken staat geregistreerd als CVE-2026-21510 en bevindt zich in de Windows-shell, het onderdeel dat verantwoordelijk is voor de gebruikersinterface van het besturingssysteem. Deze kwetsbaarheid treft alle ondersteunde versies van Windows. Door het lek kunnen aanvallers de SmartScreen-beveiligingsfunctie van Microsoft omzeilen, een systeem dat normaal gesproken verdachte bestanden en links controleert op malware. Wanneer een gebruiker op een kwaadaardige link klikt, kan de aanvaller op afstand schadelijke software installeren.
Beveiligingsexpert Dustin Childs noemt het lek opvallend, omdat één enkele klik voldoende kan zijn om code op een systeem uit te voeren. Hoewel er nog steeds interactie van de gebruiker nodig is, blijft het volgens hem een zeldzaam en gevaarlijk type kwetsbaarheid.
Windows-shellkwetsbaarheid
Onderzoekers van Google’s Threat Intelligence Group hielpen bij het ontdekken van de problemen. Een woordvoerder van Google bevestigde dat de Windows-shellkwetsbaarheid al op grote schaal actief wordt misbruikt. Succesvolle aanvallen kunnen volgens hen leiden tot het onopgemerkt uitvoeren van malware met hoge systeemrechten. Dat verhoogt het risico op ransomware-aanvallen, spionage of verdere compromittering van het systeem.
Beveiligingsmechanismen
Een tweede belangrijk lek, CVE-2026-21513, bevindt zich in MSHTML, de browserengine die oorspronkelijk werd gebruikt door Internet Explorer. Hoewel deze browser al jaren niet meer actief wordt ondersteund, is de technologie nog aanwezig in moderne Windows-versies om oudere toepassingen te laten werken. Ook deze kwetsbaarheid kan worden gebruikt om beveiligingsmechanismen van Windows te omzeilen en malware te installeren.
Daarnaast heeft Microsoft nog drie andere zero-daylekken gedicht die volgens beveiligingsjournalist Brian Krebs eveneens actief werden aangevallen. Details over de exacte exploitmethoden zijn inmiddels openbaar gemaakt, wat volgens Microsoft het risico op extra aanvallen kan vergroten.
Advies
Microsoft adviseert gebruikers en organisaties om de nieuwste beveiligingsupdates zo snel mogelijk te installeren. Snelle patching blijft een van de belangrijkste maatregelen om systemen te beschermen tegen aanvallen die misbruik maken van zero-daykwetsbaarheden.