Tijdens de eerste patchdinsdag van dit jaar is Microsoft in eerste instantie vergeten te melden dat één van de verholpen kwetsbaarheden al voor het uitkomen van de update actief werd aangevallen. Een aantal dagen later werd de ontbrekende informatie alsnog toegevoegd. De Amerikaanse overheid heeft federale overheidsinstanties nu verplicht om het beveiligingslek voor 18 februari te patchen.

Microsoft komt elke tweede dinsdag van de maand met beveiligingsupdates voor Windows en andere software. Daarbij wordt ook vermeld of er al misbruik van de kwetsbaarheid plaatsvindt. Er is dan sprake van een zerodaylek. Geregeld voegt Microsoft op latere momenten informatie aan de beveiligingsbulletins toe. Dat het vergeet te melden dat het om een actief aangevallen kwetsbaarheid gaat is een zeldzaamheid.

De kwetsbaarheid in kwestie, aangeduid als CVE-2022-21882, bevindt zich in de Windows-kernel. Via het lek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en beheerder- of systeemrechten krijgen. De kwetsbaarheid werd door een Chinese beveiligingsonderzoeker met het alias b2ahex gevonden. Op 11 januari kwam Microsoft met een beveiligingsupdate voor het probleem. In de beschrijving liet het techbedrijven initieel weten dat er geen misbruik van het lek werd gemaakt.

Twee dagen later meldde Microsoft dat dit wel het geval was. "Op het moment dat de informatie oorspronkelijk werd gepubliceerd was Microsoft bekend met beperkte, gerichte aanvallen die misbruik van deze kwetsbaarheid proberen te maken." Verdere details over deze aanvallen zijn niet gegeven. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een overzicht van actief aangevallen kwetsbaarheden bij die federale overheidsinstanties verplicht moeten patchen. Afgelopen vrijdag werd CVE-2022-21882 op deze lijst geplaatst en moeten overheidsinstellingen de betreffende update voor 18 februari hebben uitgerold.