Zero-day kwetsbaarheid in meerdere Windows-versies
Onderzoekers van beveiligingsbedrijf 0patch hebben een kwetsbaarheid ontdekt in meerdere Windows-versies waarbij hashes van credentials van gebruikers kunnen lekken door alleen een speciaal gemaakt bestand te openen. Deze hashes kunnen vervolgens gekraakt worden door de verouderde encryptie in het NTLM-protocol.
Zero-day
Een zero-day is een kwetsbaarheid die is ontdekt maar waarvoor er nog geen officiële patch beschikbaar is. Hiermee worden vaak nieuwe lekken aangeduid die nog actief misbruikt kunnen worden.
Het lekken van hashes
Door een speciaal gefabriceerd bestand op de machine (PC of server) te plaatsen of door de gebruiker deze te laten downloaden kunnen kwaadwillenden met dit lek Windows de hashes van gebruikers laten lekken.
Hashes zijn in feite de versleutelde wachtwoorden, maar door de verouderde encryptiestandaarden in het NTLM-protocol kunnen deze vrij eenvoudig worden gekraakt, waarbij de daadwerkelijke credentials van de gebruiker in te zien zijn.
Dit doen ze door het bestand een connectie naar een SMB-share (netwerkschijf) te laten maken die niet bestaat. Doordat ze het verkeer op het adres waar ze naar toe verbinden kunnen inzien kunnen ze hier alle hashes uitlezen, omdat Windows deze allemaal stuurt in een poging in te loggen op de netwerkschijf.
Nog geen officiële patch
Microsoft heeft bevestigd het probleem te onderzoeken en mogelijk met een officiële patch te komen.
In de tussentijd heeft 0patch een micropatch uitgebracht om dit op te lossen, maar er is ook een workaround door in het register of met een Group Policy de NTLM authenticatie uit te schakelen door middel van Network security: Restrict NTLM.
Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- Copy Fail: een Linux-kwetsbaarheid die al negen jaar onopgemerkt was en nu directe actie vraagtEen ernstige kwetsbaarheid in Linux is publiek gemaakt. De fout zit al sinds 2017 in vrijwel alle versies, […]
- Cyberbeveiligingswet en WWKE aangenomen door Tweede Kamer: wat betekent dit voor jouw organisatie?Het is zover. Gisteren, 15 april 2026, heeft de Tweede Kamer ingestemd met twee wetsvoorstellen die al lange […]
- Kwaadaardige code die je niet kunt zien: hoe aanvallers Unicode misbruiken in open source repositoriesUnicode is de wereldwijde standaard voor het weergeven van tekst in vrijwel elke taal, elk schrift en elk […]
- OAuth-misbruik: hoe aanvallers vertrouwde inlogpagina’s als wapen gebruikenMicrosoft waarschuwde begin maart voor een phishingtechniek waarbij aanvallers misbruik maken van OAuth, het inlogprotocol dat vrijwel elke […]
- Ransomware jaarbeeld 2025: minder meldingen, maar het risico blijftHet NCSC publiceerde het Ransomware Jaarbeeld 2025. De belangrijkste boodschap is duidelijk: het aantal gemelde ransomware-incidenten lijkt te […]
