Microsoft waarschuwt voor een actief aangevallen informatielek in Windows en heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Daarnaast zijn tijdens de eerste patchdinsdag van 2026 verschillende kritieke kwetsbaarheden in Office, Word en Excel gepatcht. In totaal zijn er updates voor 112 beveiligingslekken verschenen.

De actief aangevallen kwetsbaarheid (CVE-2026-20805) bevindt zich in de Desktop Window Manager en is aanwezig in alle ondersteunde versies van Windows. De Desktop Window Manager is verantwoordelijk voor de grafische gebruikersinterface en laat het besturingssysteem visuele effecten gebruiken. Via het beveiligingslek kan een remote aanvaller het section address van een remote ALPC (Asynchronous Local Procedure Call) poort achterhalen. ALPC is een mechanisme in Windows dat processen gebruiken om met elkaar te communiceren.

Volgens Dustin Childs van securitybedrijf ZDI zal een aanvaller het achterhaalde adres van de ALPC-poort voor een volgende stap in de aanval gebruiken, vermoedelijk om op afstand willekeurige code uit te voeren. "Dit laat zien dat geheugenlekken net zo belangrijk als code execution kwetsbaarheden kunnen zijn, aangezien ze remote code execution betrouwbaar maken." Microsoft geeft geen details over de waargenomen aanvallen, die het zelf ontdekte.

Naast de aangevallen kwetsbaarheid zijn ook acht kritieke kwetsbaarheden verholpen, waarvan vijf in Microsoft Office, Excel en Word. Via deze beveiligingslekken is remote code execution mogelijk. Misbruik kan ook via het Voorbeeldvenster (Preview Pane) plaatsvinden. Om de beveiligingslekken te misbruiken moet een aanvaller het doelwit een e-mail sturen met daarin een malafide link. Daarbij hoeft het doelwit de e-mail niet te openen, te lezen of op de link te klikken om de aanvaller code op het systeem van het slachtoffer uit te laten voeren.

De afgelopen maanden heeft Microsoft tal van kwetsbaarheden in Office gepatcht die via het Voorbeeldvenster zijn te misbruiken. "We zijn nog steeds niet bekend met misbruik van deze kwetsbaarheden, maar ze blijven verschijnen. Het is slechts een kwestie van tijd voordat aanvallers een manier vinden om deze kwetsbaarheden te misbruiken in hun exploits", merkt Childs op. Organisaties en gebruikers die zich over deze beveiligingslekken zorgen maken kunnen het Voorbeeldvenster uitschakelen, wat misbruik zonder enige gebruikersinteractie voorkomt. De gisteren uitgebrachte beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd.