Een beveiligingslek in Microsoft Defender, de antivirussoftware die standaard in Windows zit ingebouwd, wordt actief misbruikt bij ransomware-aanvallen, zo waarschuwt het Amerikaanse cyberagentschap CISA. Bij het uitbrengen van beveiligingsupdates stelde Microsoft al dat het verwachtte dat aanvallers de kwetsbaarheid zouden gaan misbruiken. Via het lek (CVE-2026-33825) kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen naar die van SYSTEM en zo volledige controle over het systeem krijgen.

De kwetsbaarheid, die de naam BlueHammer kreeg, werd begin april door een onderzoeker openbaar gemaakt, inclusief proof-of-concept exploit om misbruik van het probleem te maken. Microsoft kwam op 14 april met beveiligingsupdates. Het techbedrijf stelde toen dat het niet bekend was met misbruik van het beveiligingslek, maar stelde dat de kans hierop in de toekomst 'more likely' was.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een overzicht bij van actief aangevallen kwetsbaarheden. Op 22 april voegde het cyberagentschap CVE-2026-33825 aan het overzicht toe, omdat het bekend was met actief misbruik van het probleem. Details over de aanvallen werden niet door de overheidsdienst gegeven.

Het CISA vermeldt ook wanneer kwetsbaarheden bij ransomware-aanvallen zijn ingezet. Deze informatie wordt soms pas weken later toegevoegd, maar het CISA maakt geen aparte melding van deze updates aan het overzicht. Cybersecuritybedrijf GreyNoise monitort alle kwetsbaarheden in het CISA-overzicht op de vermelding van misbruik bij ransomware-aanvallen en laat weten als dit alsnog bij een lek wordt vermeld, wat nu ook het geval is voor CVE-2026-33825.