'Diplomaten aangevallen via Windows-lek waarvoor geen patch beschikbaar is'
Aanvallers maken actief misbruik van een kwetsbaarheid in Windows waarvoor geen beveiligingsupdate beschikbaar is. Dat meldt securitybedrijf Arctic Wolf. Het beveiligingslek zou onder andere zijn ingezet bij aanvallen tegen Europese diplomaten, waaronder in België. De kwetsbaarheid (CVE-2025-9491) doet zich voor bij het verwerken van .LNK-bestanden. Speciaal geprepareerde data in het .LNK-bestand zorgt ervoor dat gevaarlijke "command line arguments" niet zichtbaar zijn wanneer gebruikers het bestand inspecteren.
Een aanvaller kan het lek gebruiken om code in de context van de ingelogde gebruiker uit te voeren. ZDI rapporteerde de kwetsbaarheid op 20 september 2024 aan Microsoft. Het techbedrijf stelde dat de melding niet in aanmerking kwam voor een beveiligingsupdate. Het ZDI kwam vervolgens met meer informatie, maar Microsoft bleef volhouden dat het probleem niet ernstig genoeg is voor een patch. Daarop besloot het securitybedrijf de details op 18 maart openbaar te maken.
Arctic Wolf meldt dat de kwetsbaarheid is gebruikt bij aanvallen tegen Europese diplomaten, waaronder in België en Hongarije. Doelwitten ontvangen als eerste een spearphishingmail. De mail wijst naar een malafide Microsoft-inlogpagina. Via deze pagina kan het doelwit een zip-bestand downloaden. Dit bestand bevat een .LNK-bestand. Zodra het doelwit het .LNK-bestand opent wordt er als afleidingsmanoeuvre een echt pdf-document getoond en in de achtergrond de PlugX-malware geïnstalleerd. Deze malware kan allerlei data van het systeem stelen.
De aanvallen zijn volgens Arctic Wolf uitgevoerd door een groep die het UNC6384 noemt. Het zou om een aan China gelieerde groep aanvallers gaan. In maart van dit jaar waarschuwde antivirusbedrijf Trend Micro al dat het beveiligingslek bij aanvallen door een groot aantal spionagegroepen werd gebruikt. LNK-bestanden worden al jaren bij aanvallen ingezet. De kwetsbaarheid in kwestie zorgt ervoor dat doelwitten niet duidelijk kunnen zien wat het .LNK-bestand precies doet.
Nu maar hopen dat ransomware deze laksheid afstraft.
Daarom gebruiken ze Windows, je wilt geen hobby project op je diplomaten pc.
Daarom gebruiken ze Windows, je wilt geen hobby project op je diplomaten pc.
Nu maar hopen dat ransomware deze laksheid afstraft.
Pffff inderdaad. De dagelijkse stroom geslaagde aanvallen op Windows lijkt onstuitbaar. Maar dat nu blijkt dat een in maart 2025 gemelde kwetsbaarheid een half jaar later in november 2025 door Microsoft bewust niet wordt gemitigeerd door een patch te ontwikkelen ... daar zijn geen woorden voor. Met een dergelijke vriend heb je geen vijanden nodig.
Verzekeringsmaatschappijen zouden ook aanvullende eisen kunnen gaan stellen. De overheid heeft al jaren een beleid genaamd "pas toe of leg uit" maar dat lijkt een dode letter?
Misschien is ransomware of andere malware wel uiteindelijk het beste medicijn. Helaas.
Daarom gebruiken ze Windows, je wilt geen hobby project op je diplomaten pc.
Lavrov gebruikt trouwens Astra Linux,
Nu maar hopen dat ransomware deze laksheid afstraft.
Pffff inderdaad. De dagelijkse stroom geslaagde aanvallen op Windows lijkt onstuitbaar. Maar dat nu blijkt dat een in maart 2025 gemelde kwetsbaarheid een half jaar later in november 2025 door Microsoft bewust niet wordt gemitigeerd door een patch te ontwikkelen ... daar zijn geen woorden voor. Met een dergelijke vriend heb je geen vijanden nodig.
Verzekeringsmaatschappijen zouden ook aanvullende eisen kunnen gaan stellen. De overheid heeft al jaren een beleid genaamd "pas toe of leg uit" maar dat lijkt een dode letter?
Misschien is ransomware of andere malware wel uiteindelijk het beste medicijn. Helaas.
Het lijkt nog erger te zijn: zoals in het bovenstaande artikel ook wordt gezegd is deze kwetsbaarheid door ZDI (Zero Day Initiative) al op 20 september 2024 aan Microsoft gemeld.
Microsoft (h)erkent deze Zeroday niet als een te patchen kwetsbaarheid. Nu in oktober 2025, dus ruim een jaar later heeft de Chinese groep "UNC6384" de "ZDI-CAN-25373 Windows vulnerability" volop in gebruik, onder andere gericht op "European Commission meetings, NATO-related workshops":
https://arcticwolf.com/resources/blog/unc6384-weaponizes-zdi-can-25373-vulnerability-to-deploy-plugx/
Een overzichtelijke tijdlijn is hier gepubliceerd:
https://www.zerodayinitiative.com/advisories/ZDI-CAN-25373/
De Chinese groep UNC6384 (h)erkent de malafide mogelijkheden van de ZDI-CAN-25373 Windows vulnerability dus wel ... Microsoft gaat nu hopelijk de put alsnog wel dempen (maar het kalf is al verdronken)?
Nu maar hopen dat ransomware deze laksheid afstraft.
Nee dit is meer een 406thday vulnerability
Mitigeren betekent verzachten, matigen, lenigen (als in de nood lenigen). Het slaat op maatregelen die iets minder erg maken, maar het niet oplossen. Een patch is wel een oplossing (het Engelse woord slaat op een klein stukje van wat dan ook waarmee een reparatie wordt verricht). Dat is dus geen mitigatie.
Het is geen nieuw woord, het is veel en veel ouder dan IT of IT security. Het komt van het Latijnse woord mitigare en is via het Frans in het Nederlands beland, de oudst bekende vermelding van de term bij ons komt uit het jaar 1547. In het Engels is het met dezelfde betekenis al sinds de vroege 15e eeuw bekend.
Voor zover ik me kan herinneren heb ik het woord in de context van IT security in het Engels ook consequent zien gebruiken, niet voor reparaties van problemen, maar voor (typisch tijdelijke) maatregelen die schade helpen voorkomen zonder een echte oplossing te zijn.
Bronnen:
https://nl.wiktionary.org/wiki/mitigeren
https://www.etymologiebank.nl/trefwoord/mitigeren
https://www.etymonline.com/search?q=mitigate
https://en.wiktionary.org/wiki/patch#Noun (tweede betekenis)
Ik ben inmiddels al decennia geleden het volgende tegengekomen, en dat sprak en spreekt me erg aan:
https://www.openbsd.org/security.html
Bij OpenBSD onderkennen ze dat security vulnerabilities in wezen gewoon bugs zijn die alleen of in combinatie misbruikt kunnen worden, vaak zonder dat iemand van te voren weet te voorzien hoe dat misbruik dan gaat. Bij OpenBSD hebben ze daarom een audit-team van 6-12 mensen die voortdurend op zoek zijn in de kritische delen van het systeem, niet naar securityproblemen maar simpelweg naar bugs, en als die gevonden worden dan worden ze gerepareerd. Vaak blijkt pas veel later dat zo'n bug een rol speelt in een securityprobleem dat dan bij hun al niet meer kan optreden.
Dat is precies wat Microsoft hier niet doet. Oh, zien we de ernst ervan niet in? Dan heeft reparatie geen prioriteit. Dit voorval illustreert waarom dat geen verstandige benadering is.
De ontwikkelaars van de Linux-kernel maken sinds meer dan een jaar voor vrijwel elke bug een CVE aan. Elke bug als een (potentieel) securityprobleem opvatten doet me erg aan die OpenBSD-benadering denken.
Los van de emotionele en onjuiste stelling dat Microsoft consumententroep is, heb je wel degelijk een punt dat diplomaten zich moeten afvragen of ze Amerikaanse computers (niet alle Microsoft, geldt ook voor Apple) willen gebruiken. Een open source OS dat door de diensten is geinspecteert kan hier een meer veilige oplossing zijn.
Het biedt overigens geen absolute bescherming, de laptop is vrijwel altijd van een Amerikaans merk (Dell, HP, Apple) of Chinees (Lenovo) en ongeacht het merk, altijd in China gemaakt. Voor de meest geavanceerde aanvallen hack je op chip/hardware niveau.
Gezien de frequentie waarmee zich dit voordoet heeft hij wel een punt.
Daarom gebruiken ze Windows, je wilt geen hobby project op je diplomaten pc.
Ik zou MacOS of RedHat linux geen hobbyproject willen noemen. Onder welke steen heb jij gelegen?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?