Nieuws
image

Microsoft dicht zes aangevallen lekken in Word, Windows en Internet Explorer

woensdag 11 februari 2026, 09:45 door Redactie, 5 reacties

Tijdens de patchdinsdag van februari heeft Microsoft updates uitgebracht voor zes actief aangevallen kwetsbaarheden in Word, Windows en Internet Explorer. Aanvallen vonden plaats voordat de patches beschikbaar waren. Via de beveiligingslekken kunnen aanvallers beveiligingsmaatregelen omzeilen, hun rechten verhogen en voor een denial of service zorgen.

Drie van de kwetsbaarheden vallen in de categorie 'Security Feature Bypass'. Het gaat om CVE-2026-21514 (Microsoft Word), CVE-2026-21510 (Windows Shell) en CVE-2026-21513 (Internet Explorer). De problemen werden gevonden door onderzoekers van Google en Microsoft. Via het Word-lek kan een aanvaller de bescherming tegen embedded content omzeilen, wat in het ergste geval kan leiden tot het uitvoeren van code. Een doelwit zou in dit geval wel een speciaal geprepareerd document moeten openen.

Het Windows Shell-lek maakt het mogelijk voor aanvallers om beveiligingswaarschuwingen van Windows SmartScreen en Windows Shell te omzeilen als het doelwit een malafide bestand opent. Hierdoor wordt code van de aanvaller uitgevoerd, zonder waarschuwing aan de gebruiker of zijn toestemming. Het lek in Internet Explorer is te misbruiken door het openen van malafide .lnk-bestanden. Ook hierbij worden securityfeatures van Windows omzeild wat leidt tot het uitvoeren van code.

"Hoewel IE volgens veel maatstaven al lang niet meer bestaat, is het nog steeds aanwezig op Windows-systemen en leidt het aanroepen altijd tot een kwetsbaarheid. Deze kwetsbaarheid doet zich op dezelfde manier voor als het Shell-lek, omdat er interactie van gebruikers is vereist, maar kan leiden tot het uitvoeren van code. De bypass hier is de mogelijkheid om IE te bereiken, wat niet mogelijk zou moeten zijn", zegt Dustin Childs van securitybedrijf ZDI.

Twee andere kwetsbaarheden, in Desktop Window Manager (CVE-2026-21519) en Windows Remote Desktop Services (CVE-2026-21533), maken het allebei mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen naar die van SYSTEM. Daarmee krijgt een aanvaller volledige controle over het systeem. Deze twee problemen werden gevonden door securitybedrijf CrowdStrike en Microsoft.

Het laatste aangevallen beveiligingslek bevindt zich in de Windows Remote Access Connection Manager (CVE-2026-21525) en maakt een denial of service mogelijk. Dit probleem werd gevonden en gerapporteerd door securitybedrijf ACROS Security. Microsoft geeft geen details over de waargenomen aanvallen. Informatie over de drie aangevallen security feature bypasses is echter al publiek. Organisaties worden opgeroepen de updates zo snel mogelijk te installeren. Op de meeste systemen worden de patches automatisch geïnstalleerd.

Reacties (5)
Reageer met quote
11-02-2026, 13:16 door Anoniem
O o o Het is weer bar en boos.
Hoewel IE volgens veel maatstaven al lang niet meer bestaat, is het nog steeds aanwezig op Windows-systemen en leidt het aanroepen altijd tot een kwetsbaarheid
Het zoveelste bewijs dat het een waardeloos ontwerp is. IE is onlosmakelijk verbonden met het OS net als de GUI met haar vele problemen. Je moet wel verslaafd zijn om hier nog gebruik van te maken. Consumenten hebben er gelukkig massaal afstand van genomen. Een andere GUI was geen enkel probleem en eindelijk een apparaat die het wel doet.
Reageer met quote
11-02-2026, 14:11 door Anoniem
"Hoewel IE volgens veel maatstaven al lang niet meer bestaat, is het nog steeds aanwezig op Windows-systemen en leidt het aanroepen altijd tot een kwetsbaarheid. Deze kwetsbaarheid doet zich op dezelfde manier voor als het Shell-lek, omdat er interactie van gebruikers is vereist, maar kan leiden tot het uitvoeren van code. De bypass hier is de mogelijkheid om IE te bereiken, wat niet mogelijk zou moeten zijn", zegt Dustin Childs van securitybedrijf ZDI.
Ik neem aan dat IE nog in Windows zit voor backward compatibility die sommigen nodig hebben. Dat heeft nut, maar niet absurd lang en niet tegen elke prijs. En zelfs als je het in stand houdt zou ik denken dat we al ruimschoots het punt zijn gepasseerd waarop je het beter als optionele component kan aanbieden die standaard niet wordt geïnstalleerd dan als iets dat op alle systemen aanwezig is.

Ooit was er een blog van een medewerker van Microsoft die met een kritisch blik onder een schuilnaam schreef over zijn werkgever. Ik weet niet meer hoe die blog heette. Ik geloof dat het daar was dat ik Microsoft beschreven zag worden als een organisatie die uit twee qua grootte vergelijkbare kampen bestond: informatica tegenover marketing. De marketing had vaak de overhand, en drukte door dat precies dit soort dingen gebeurden. Als je een optionele component maakt van iets dat er om securityredenen uit moet (IE in dit geval) dan zullen er klanten zijn bij wie na installatie van een nieuwe versie van Windows opeens iets niet meer werkt, en een aantal zal niet kundig genoeg zijn om dat zelf op te lossen. Dat levert slechte publiciteit op, tast het beeld van "het werkt gewoon" aan, is dus taboe voor de marketingtak van het bedrijf, en dus gebeurt het domweg niet, zelfs niet als de informatici het essentieel vinden dat het wel gebeurt. Dat is het beeld dat ik me herinner dat beschreven werd.

Als dat beeld klopte en nog steeds klopt is kennelijk de schade die een klant door een beveiligingslek oploopt makkelijker recht te lullen dan het ongemak van een component die extra geïnstalleerd moet worden bij een nieuwe Windows-versie, ondanks dat de schade door bijvoorbeeld een geslaagde ransomware-aanval aanzienlijk kan zijn. Wie weet komt dat omdat er bij misbruik van een beveiligingslek een indringer is die het lek misbruikt, en dan is Microsoft niet de directe boosdoener, al is het wel Microsoft die de bewust een zwakke plek in de beveiliging heeft laten zitten.

Het is een behoorlijk cynisch beeld, maar zo heb ik Microsoft ooit beschreven zien worden en dit past daar naadloos bij. Het is ronduit bizar dat IE nog steeds standaard aanwezig is op Windows-systemen, dat is vragen om problemen.
Reageer met quote
11-02-2026, 14:53 door Anoniem
Door Anoniem:
"Hoewel IE volgens veel maatstaven al lang niet meer bestaat, is het nog steeds aanwezig op Windows-systemen en leidt het aanroepen altijd tot een kwetsbaarheid. Deze kwetsbaarheid doet zich op dezelfde manier voor als het Shell-lek, omdat er interactie van gebruikers is vereist, maar kan leiden tot het uitvoeren van code. De bypass hier is de mogelijkheid om IE te bereiken, wat niet mogelijk zou moeten zijn", zegt Dustin Childs van securitybedrijf ZDI.
Ik neem aan dat IE nog in Windows zit voor backward compatibility die sommigen nodig hebben. Dat heeft nut, maar niet absurd lang en niet tegen elke prijs. En zelfs als je het in stand houdt zou ik denken dat we al ruimschoots het punt zijn gepasseerd waarop je het beter als optionele component kan aanbieden die standaard niet wordt geïnstalleerd dan als iets dat op alle systemen aanwezig is.

Ooit was er een blog van een medewerker van Microsoft die met een kritisch blik onder een schuilnaam schreef over zijn werkgever. Ik weet niet meer hoe die blog heette. Ik geloof dat het daar was dat ik Microsoft beschreven zag worden als een organisatie die uit twee qua grootte vergelijkbare kampen bestond: informatica tegenover marketing. De marketing had vaak de overhand, en drukte door dat precies dit soort dingen gebeurden. Als je een optionele component maakt van iets dat er om securityredenen uit moet (IE in dit geval) dan zullen er klanten zijn bij wie na installatie van een nieuwe versie van Windows opeens iets niet meer werkt, en een aantal zal niet kundig genoeg zijn om dat zelf op te lossen. Dat levert slechte publiciteit op, tast het beeld van "het werkt gewoon" aan, is dus taboe voor de marketingtak van het bedrijf, en dus gebeurt het domweg niet, zelfs niet als de informatici het essentieel vinden dat het wel gebeurt. Dat is het beeld dat ik me herinner dat beschreven werd.

Als dat beeld klopte en nog steeds klopt is kennelijk de schade die een klant door een beveiligingslek oploopt makkelijker recht te lullen dan het ongemak van een component die extra geïnstalleerd moet worden bij een nieuwe Windows-versie, ondanks dat de schade door bijvoorbeeld een geslaagde ransomware-aanval aanzienlijk kan zijn. Wie weet komt dat omdat er bij misbruik van een beveiligingslek een indringer is die het lek misbruikt, en dan is Microsoft niet de directe boosdoener, al is het wel Microsoft die de bewust een zwakke plek in de beveiliging heeft laten zitten.

Het is een behoorlijk cynisch beeld, maar zo heb ik Microsoft ooit beschreven zien worden en dit past daar naadloos bij. Het is ronduit bizar dat IE nog steeds standaard aanwezig is op Windows-systemen, dat is vragen om problemen.
IE zit er in vanwege ActiveX ondersteuning van een ge-creerde vendor lock (hier keert de wal het schip) en ook voor de outdated helppagina's.
Daarnaast heeft men in een rechtszaak beweerd dat het onlosmakelijk verbonden is met het OS tijdens de browser optie oorlog.
Reageer met quote
11-02-2026, 16:40 door Anoniem
Door Anoniem:
Door Anoniem:
"Hoewel IE volgens veel maatstaven al lang niet meer bestaat, is het nog steeds aanwezig op Windows-systemen en leidt het aanroepen altijd tot een kwetsbaarheid. Deze kwetsbaarheid doet zich op dezelfde manier voor als het Shell-lek, omdat er interactie van gebruikers is vereist, maar kan leiden tot het uitvoeren van code. De bypass hier is de mogelijkheid om IE te bereiken, wat niet mogelijk zou moeten zijn", zegt Dustin Childs van securitybedrijf ZDI.
Ik neem aan dat IE nog in Windows zit voor backward compatibility die sommigen nodig hebben. Dat heeft nut, maar niet absurd lang en niet tegen elke prijs. En zelfs als je het in stand houdt zou ik denken dat we al ruimschoots het punt zijn gepasseerd waarop je het beter als optionele component kan aanbieden die standaard niet wordt geïnstalleerd dan als iets dat op alle systemen aanwezig is.

Ooit was er een blog van een medewerker van Microsoft die met een kritisch blik onder een schuilnaam schreef over zijn werkgever. Ik weet niet meer hoe die blog heette. Ik geloof dat het daar was dat ik Microsoft beschreven zag worden als een organisatie die uit twee qua grootte vergelijkbare kampen bestond: informatica tegenover marketing. De marketing had vaak de overhand, en drukte door dat precies dit soort dingen gebeurden. Als je een optionele component maakt van iets dat er om securityredenen uit moet (IE in dit geval) dan zullen er klanten zijn bij wie na installatie van een nieuwe versie van Windows opeens iets niet meer werkt, en een aantal zal niet kundig genoeg zijn om dat zelf op te lossen. Dat levert slechte publiciteit op, tast het beeld van "het werkt gewoon" aan, is dus taboe voor de marketingtak van het bedrijf, en dus gebeurt het domweg niet, zelfs niet als de informatici het essentieel vinden dat het wel gebeurt. Dat is het beeld dat ik me herinner dat beschreven werd.

Als dat beeld klopte en nog steeds klopt is kennelijk de schade die een klant door een beveiligingslek oploopt makkelijker recht te lullen dan het ongemak van een component die extra geïnstalleerd moet worden bij een nieuwe Windows-versie, ondanks dat de schade door bijvoorbeeld een geslaagde ransomware-aanval aanzienlijk kan zijn. Wie weet komt dat omdat er bij misbruik van een beveiligingslek een indringer is die het lek misbruikt, en dan is Microsoft niet de directe boosdoener, al is het wel Microsoft die de bewust een zwakke plek in de beveiliging heeft laten zitten.

Het is een behoorlijk cynisch beeld, maar zo heb ik Microsoft ooit beschreven zien worden en dit past daar naadloos bij. Het is ronduit bizar dat IE nog steeds standaard aanwezig is op Windows-systemen, dat is vragen om problemen.
IE zit er in vanwege ActiveX ondersteuning van een ge-creerde vendor lock (hier keert de wal het schip) en ook voor de outdated helppagina's.
Daarnaast heeft men in een rechtszaak beweerd dat het onlosmakelijk verbonden is met het OS tijdens de browser optie oorlog.


Grappig hoe zoveel mensen deze spaghetti zooi nog proberen goed te praten. Zal niet alleen Windows als rommel bestempelen maar hoe logisch Linux in mekaar steekt doet t pijn om een Android telefoon te hebben. Net zon bagger wat onlogisch in mekaar zit, waar je niks kan vinden op een normale plek en totaal geen eigenaar bent van hetgeen wat je aangeschaft hebt.

Qua Android heeft de open source community toch echt liggen slapen en nu is het zeer lastig en eigenlijk te laat om een alternatief te ontwikkelen...
Reageer met quote
11-02-2026, 21:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
"Hoewel IE volgens veel maatstaven al lang niet meer bestaat, is het nog steeds aanwezig op Windows-systemen en leidt het aanroepen altijd tot een kwetsbaarheid. Deze kwetsbaarheid doet zich op dezelfde manier voor als het Shell-lek, omdat er interactie van gebruikers is vereist, maar kan leiden tot het uitvoeren van code. De bypass hier is de mogelijkheid om IE te bereiken, wat niet mogelijk zou moeten zijn", zegt Dustin Childs van securitybedrijf ZDI.
Ik neem aan dat IE nog in Windows zit voor backward compatibility die sommigen nodig hebben. Dat heeft nut, maar niet absurd lang en niet tegen elke prijs. En zelfs als je het in stand houdt zou ik denken dat we al ruimschoots het punt zijn gepasseerd waarop je het beter als optionele component kan aanbieden die standaard niet wordt geïnstalleerd dan als iets dat op alle systemen aanwezig is.

Ooit was er een blog van een medewerker van Microsoft die met een kritisch blik onder een schuilnaam schreef over zijn werkgever. Ik weet niet meer hoe die blog heette. Ik geloof dat het daar was dat ik Microsoft beschreven zag worden als een organisatie die uit twee qua grootte vergelijkbare kampen bestond: informatica tegenover marketing. De marketing had vaak de overhand, en drukte door dat precies dit soort dingen gebeurden. Als je een optionele component maakt van iets dat er om securityredenen uit moet (IE in dit geval) dan zullen er klanten zijn bij wie na installatie van een nieuwe versie van Windows opeens iets niet meer werkt, en een aantal zal niet kundig genoeg zijn om dat zelf op te lossen. Dat levert slechte publiciteit op, tast het beeld van "het werkt gewoon" aan, is dus taboe voor de marketingtak van het bedrijf, en dus gebeurt het domweg niet, zelfs niet als de informatici het essentieel vinden dat het wel gebeurt. Dat is het beeld dat ik me herinner dat beschreven werd.

Als dat beeld klopte en nog steeds klopt is kennelijk de schade die een klant door een beveiligingslek oploopt makkelijker recht te lullen dan het ongemak van een component die extra geïnstalleerd moet worden bij een nieuwe Windows-versie, ondanks dat de schade door bijvoorbeeld een geslaagde ransomware-aanval aanzienlijk kan zijn. Wie weet komt dat omdat er bij misbruik van een beveiligingslek een indringer is die het lek misbruikt, en dan is Microsoft niet de directe boosdoener, al is het wel Microsoft die de bewust een zwakke plek in de beveiliging heeft laten zitten.

Het is een behoorlijk cynisch beeld, maar zo heb ik Microsoft ooit beschreven zien worden en dit past daar naadloos bij. Het is ronduit bizar dat IE nog steeds standaard aanwezig is op Windows-systemen, dat is vragen om problemen.
IE zit er in vanwege ActiveX ondersteuning van een ge-creerde vendor lock (hier keert de wal het schip) en ook voor de outdated helppagina's.
Daarnaast heeft men in een rechtszaak beweerd dat het onlosmakelijk verbonden is met het OS tijdens de browser optie oorlog.


Grappig hoe zoveel mensen deze spaghetti zooi nog proberen goed te praten. Zal niet alleen Windows als rommel bestempelen maar hoe logisch Linux in mekaar steekt doet t pijn om een Android telefoon te hebben. Net zon bagger wat onlogisch in mekaar zit, waar je niks kan vinden op een normale plek en totaal geen eigenaar bent van hetgeen wat je aangeschaft hebt.

Qua Android heeft de open source community toch echt liggen slapen en nu is het zeer lastig en eigenlijk te laat om een alternatief te ontwikkelen...
Hoe kun je zo iets beweren! De open source community is niet verantwoordelijk voor een open source telefoon. Men heeft alternativen geprobeerd (en nog) maar zeker niet liggen slapen. Android is trouwens open source (op een stukje na). Dat Android zo stabiel is komt o.a. door de Linux kernel.
Dat jij Android onlogisch in elkaar vindt steken komt misschien omdat ze (Google) geen boodschap hebben aan https://www.freedesktop.org/wiki/Specifications/ Misschien moet je eens naar https://grapheneos.org/ kijken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Image