image

Beveiligingslek in Microsoft Defender misbruikt bij ransomware-aanvallen

dinsdag 30 juni 2026, 11:30 door Redactie, 10 reacties

Een beveiligingslek in Microsoft Defender, de antivirussoftware die standaard in Windows zit ingebouwd, wordt actief misbruikt bij ransomware-aanvallen, zo waarschuwt het Amerikaanse cyberagentschap CISA. Bij het uitbrengen van beveiligingsupdates stelde Microsoft al dat het verwachtte dat aanvallers de kwetsbaarheid zouden gaan misbruiken. Via het lek (CVE-2026-33825) kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen naar die van SYSTEM en zo volledige controle over het systeem krijgen.

De kwetsbaarheid, die de naam BlueHammer kreeg, werd begin april door een onderzoeker openbaar gemaakt, inclusief proof-of-concept exploit om misbruik van het probleem te maken. Microsoft kwam op 14 april met beveiligingsupdates. Het techbedrijf stelde toen dat het niet bekend was met misbruik van het beveiligingslek, maar stelde dat de kans hierop in de toekomst 'more likely' was.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een overzicht bij van actief aangevallen kwetsbaarheden. Op 22 april voegde het cyberagentschap CVE-2026-33825 aan het overzicht toe, omdat het bekend was met actief misbruik van het probleem. Details over de aanvallen werden niet door de overheidsdienst gegeven.

Het CISA vermeldt ook wanneer kwetsbaarheden bij ransomware-aanvallen zijn ingezet. Deze informatie wordt soms pas weken later toegevoegd, maar het CISA maakt geen aparte melding van deze updates aan het overzicht. Cybersecuritybedrijf GreyNoise monitort alle kwetsbaarheden in het CISA-overzicht op de vermelding van misbruik bij ransomware-aanvallen en laat weten als dit alsnog bij een lek wordt vermeld, wat nu ook het geval is voor CVE-2026-33825.

Reacties (10)
30-06-2026, 12:52 door Anoniem
En weer windows he. Die symptoom bestrijdingssoftware bult zit nog ingebouwd ook.
30-06-2026, 14:25 door Bitje-scheef
Ik heb zo een donker bruin vermoeden dat meer anti-virus producten hier last van kunnen hebben...
30-06-2026, 16:25 door Anoniem
Wat is nou eigenlijk de nieuwswaarde van dit artikel?

Dat je een beveiligingsupdate snel moet installeren omdat 1 à 2 weken later de vulnerability actief word aangevallen is geen nieuws. Dat is al jaren het geval. En daarbij maakt het niet uit of het een beveiligingsupdate voor Windows, of Mac, Of linux, Apache, Acrobat of een ander veel gebruikt stuk software is.
30-06-2026, 20:40 door Anoniem
"Microsoft kwam op 14 april met beveiligingsupdates"

Ondertussen zijn we al meer dan 2 maanden verder, als je de update(s) nu nog niet (automatisch) geinstalleerd zijn, kan je het Microsoft niet kwalijk nemen.
30-06-2026, 21:24 door Anoniem
Door Bitje-scheef: Ik heb zo een donker bruin vermoeden dat meer anti-virus producten hier last van kunnen hebben...
ESET in ieder geval niet.
30-06-2026, 22:27 door Anoniem
Door Anoniem: Wat is nou eigenlijk de nieuwswaarde van dit artikel?

Dat je een beveiligingsupdate snel moet installeren omdat 1 à 2 weken later de vulnerability actief word aangevallen is geen nieuws. Dat is al jaren het geval. En daarbij maakt het niet uit of het een beveiligingsupdate voor Windows, of Mac, Of linux, Apache, Acrobat of een ander veel gebruikt stuk software is.
Het duurde nogal lang zoals altijd voordat MS met een patch kwam!
01-07-2026, 09:55 door Anoniem
Door Anoniem:
Door Anoniem: Wat is nou eigenlijk de nieuwswaarde van dit artikel?

Dat je een beveiligingsupdate snel moet installeren omdat 1 à 2 weken later de vulnerability actief word aangevallen is geen nieuws. Dat is al jaren het geval. En daarbij maakt het niet uit of het een beveiligingsupdate voor Windows, of Mac, Of linux, Apache, Acrobat of een ander veel gebruikt stuk software is.
Het duurde nogal lang zoals altijd voordat MS met een patch kwam!
Maar de patch was er ruim voordat er sprake van van exploitation (al was er wel een semi werkend PoC dus je weet het nooit zeker.

Ik zou me meer zorgen maken over CVE-2026-50656 (ook met een werkende PoC), in hetzelfde stukje (Microsoft Defender) en nog niet gepatched.

Heel vervelend als je gebruik maakt van een andere end-point beveiliging en je wel last hebt van gaten in een product wat je niet eens gebruikt (of wil gebruiken).
01-07-2026, 20:04 door Anoniem
Ik las laatst hier iets op deze site over een manager die alle systemen op Microsoft Defender had laten zetten en daarmee z'n systeembeheerders had gepasseerd want die vonden dat blijkbaar niet zo goed plan, ik denk dat die manager nu geen haren meer op z'n hoofd heeft van spijt :)
01-07-2026, 20:33 door Joep Lunaar - Bijgewerkt: 01-07-2026, 20:36
Door Anoniem: Wat is nou eigenlijk de nieuwswaarde van dit artikel?

Dat je een beveiligingsupdate snel moet installeren omdat 1 à 2 weken later de vulnerability actief word aangevallen is geen nieuws. Dat is al jaren het geval. En daarbij maakt het niet uit of het een beveiligingsupdate voor Windows, of Mac, Of linux, Apache, Acrobat of een ander veel gebruikt stuk software is.

Interessant is dat juist een component dat de veiligheid van een systeem beoogt te vergroten een aanvalsvlak blijkt te bieden.

Dat dit NB een standaard onderdeel van MS Windows is (inclusief kernel mode drivers !) en niet van een derde is ook opmerkelijk, van de producent van het OS verwacht je dat minder snel dan van producten van derden ...
02-07-2026, 12:49 door Anoniem
Door Joep Lunaar:
Door Anoniem: Wat is nou eigenlijk de nieuwswaarde van dit artikel?

Dat je een beveiligingsupdate snel moet installeren omdat 1 à 2 weken later de vulnerability actief word aangevallen is geen nieuws. Dat is al jaren het geval. En daarbij maakt het niet uit of het een beveiligingsupdate voor Windows, of Mac, Of linux, Apache, Acrobat of een ander veel gebruikt stuk software is.

Interessant is dat juist een component dat de veiligheid van een systeem beoogt te vergroten een aanvalsvlak blijkt te bieden.

Dat dit NB een standaard onderdeel van MS Windows is (inclusief kernel mode drivers !) en niet van een derde is ook opmerkelijk, van de producent van het OS verwacht je dat minder snel dan van producten van derden ...
Het is niet voor niets dat dit soort programma's op Linux niet wordt geïnstalleerd door beheerders. Ik ben ook zo'n beheerder maar heb regelmatig te maken met een (windows) CISO die er de ballen verstand van heeft en probeert deze software te eisen omdat windows dat ook heeft. Wij weigeren juist ivm security. Met 3party software met root rechten zijn wij niet meer in control. Dan moet je andere systeembeheerders gaan zoeken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.