30 juni 2026 14:50

CISA waarschuwt voor ransomware-aanvallen via BlueHammer-lek in Microsoft Defender

Een kwetsbaarheid in Microsoft Defender die al in april 2026 werd gepatcht, blijkt intussen actief misbruikt te worden in ransomware-aanvallen. De Amerikaanse cyberveiligheidsdienst CISA bevestigt dat de fout, die bekendstaat als CVE-2026-33825 of “BlueHammer”, door criminelen wordt ingezet om Windows-systemen verder over te nemen nadat ze al binnen zijn geraakt.

Het gaat dus niet om een lek waarmee een pc vanop afstand meteen kan worden overgenomen. Aanvallers moeten eerst toegang krijgen via bijvoorbeeld phishing, gestolen wachtwoorden of andere malware. Maar eens ze binnen zijn, kan dit lek het verschil maken tussen beperkte toegang en volledige controle.

Van beperkte toegang naar volledige systeemrechten

De kwetsbaarheid zit in Microsoft Defender, zo legt Microsoft uit, en draait om een fout in de manier waarop toegangsrechten worden afgedwongen. Daardoor kan een lokale gebruiker zijn rechten opkrikken tot SYSTEM-niveau, de hoogste rechten binnen Windows. Met die toegang kan een aanvaller diep in het systeem ingrijpen. Beveiligingsonderzoekers waarschuwen dat in sommige gevallen zelfs delen van de Security Account Manager (SAM)-database in beeld kunnen komen. Daarin zitten onder meer de wachtwoordhashes van lokale accounts opgeslagen. Van daaruit wordt het voor ransomwaregroepen een stuk eenvoudiger om beveiliging uit te schakelen, lateraal door een netwerk te bewegen en uiteindelijk bestanden te versleutelen.

Lek al misbruikt voor apri-patch

Volgens onderzoekers van onder meer Huntress Labs werd de kwetsbaarheid al gebruikt nog voor Microsoft in april een update uitbracht. In die vroege aanvallen zagen onderzoekers ook “hands-on-keyboard”-activiteit, wat betekent dat aanvallers actief meewerkten in het systeem in plaats van puur geautomatiseerde malware te gebruiken. De fout kreeg extra aandacht nadat exploitdetails en proof-of-conceptcode uitlekten via een onderzoeker die kritiek had op Microsofts manier van kwetsbaarheden melden.

CISA heeft CVE-2026-33825 ondertussen toegevoegd aan zijn lijst van kwetsbaarheden die actief worden misbruikt. De dienst waarschuwt dat er nu ook effectief ransomwarecampagnes draaien die deze bug inzetten. Microsoft heeft het lek wel gepatcht in de april 2026 Patch Tuesday-update, maar heeft nog geen officiële bevestiging gegeven dat het al in ransomwarecampagnes werd gebruikt. Voor organisaties die updates hebben uitgesteld, is dat geen detail: een lokaal privilegelek kan op die manier alsnog uitgroeien tot een volledige overname van systemen binnen een netwerk.

Uitgelicht artikel

Check of Windows 11 deze cruciale Defender-update heeft uitgevoerd

Schrijf je in op onze nieuwsbrief en ontvang elke werkdag het beste uit de techwereld in je mailbox.

Voeg TechPulse.be toe als favoriete bron op Google!

Beveiliging

Marijn Ceulemans

Gebruikt zijn iPhone als Google-telefoon. Deze allround nieuwsgierigaard heeft een passie voor wagens en gaming. Hij droomt ook graag weg over ruimtevaart.