Deze week werd MiniPlasma gepubliceerd: een zero-day kwetsbaarheid in Windows waarvoor geen patch beschikbaar is. Via deze kwetsbaarheid kan iemand met gewone gebruikerstoegang volledige systeemrechten verkrijgen op elk Windows-systeem, inclusief systemen die volledig zijn bijgewerkt met de laatste updates van mei 2026.
Een zero-day betekent dat de kwetsbaarheid publiek bekend is voordat de softwareleverancier een oplossing heeft uitgebracht. Aanvallers kunnen er direct gebruik van maken. Microsoft heeft nog geen patch aangekondigd en heeft de kwetsbaarheid nog niet voorzien van een officieel nummer.
Wat er precies speelt
De kwetsbaarheid zit in een onderdeel van Windows dat verantwoordelijk is voor de synchronisatie van bestanden met cloudopslag, zoals OneDrive. Via een fout in dat onderdeel kan een aanvaller een proces opstarten met de hoogst mogelijke systeemrechten, de zogenaamde SYSTEM-rechten. Wie op dat niveau toegang heeft, heeft volledige controle over het systeem: bestanden inzien, aanpassen of verwijderen, andere gebruikers beheren, beveiligingssoftware uitschakelen.
Voor dit soort aanvallen is lokale toegang tot een systeem vereist, dat wil zeggen: de aanvaller moet al een account op het systeem hebben, of al op een andere manier toegang hebben verkregen. Dat klinkt als een beperking, maar in de praktijk is het dat niet. Phishing, een gestolen wachtwoord of een andere kwetsbaarheid die eerder is misbruikt, zijn gebruikelijke manieren om die eerste voet tussen de deur te krijgen. MiniPlasma is dan de volgende stap: van beperkte toegang naar volledige controle.
| Type kwetsbaarheid Zero-day | Patch beschikbaar? Nee | Exploit beschikbaar? Ja, als proof-of-concept | Getroffen systemen Alle Windows-versies. |
Getest op volledig bijgewerkte systemen
Meerdere onafhankelijke onderzoekers hebben bevestigd dat de aanvalscode werkt op Windows 11 met de meest recente updates van mei 2026. Een standaard gebruikersaccount zonder beheerdersrechten is voldoende om een omgeving te openen met volledige SYSTEM-rechten. De aanval werkt niet op de meest recente testversie van Windows 11, de zogenaamde Insider Preview Canary-build, wat erop wijst dat Microsoft bezig is met een oplossing, maar die is voor reguliere Windows-gebruikers nog niet beschikbaar.
Dat is precies wat een zero-day gevaarlijk maakt: de aanvalsmethode is beschikbaar, de oplossing nog niet.
Onderdeel van een bredere reeks
MiniPlasma staat niet op zichzelf. De afgelopen weken zijn er meerdere vergelijkbare kwetsbaarheden in Windows publiek gemaakt, waaronder BlueHammer, RedSun, YellowKey en GreenPlasma. Van de eerste twee is inmiddels bevestigd dat ze actief worden misbruikt in aanvallen. Samen vormen ze een ongewoon grote hoeveelheid publiek beschikbare aanvalsmethoden voor een besturingssysteem dat wereldwijd op honderden miljoenen systemen draait.
Voor organisaties betekent dit dat het aanvalsoppervlak op Windows-omgevingen de afgelopen weken aanzienlijk is vergroot, ook op systemen die volledig zijn bijgewerkt.
Wat nu te doen
Omdat er nog geen patch beschikbaar is, zijn de opties beperkt. Toch zijn er maatregelen die het risico verkleinen.
- Beperk lokale toegang tot systemen
MiniPlasma vereist een bestaand account op het systeem. Hoe strikter de toegangscontrole, hoe kleiner de kans dat een aanvaller die eerste stap kan zetten. Controleer welke gebruikers toegang hebben tot welke systemen en verwijder onnodige accounts of rechten.
Door te beperken wie er een lokale Administrator is beperk je deze kans ook. - Schakel het Cloud Filter-onderdeel uit waar het niet nodig is
De kwetsbaarheid zit in een onderdeel dat gekoppeld is aan cloudbestandssynchronisatie. Op systemen waar dat niet actief wordt gebruikt, kan de onderliggende driver worden uitgeschakeld. Vraag je IT-afdeling of leverancier dit te beoordelen, als je actief OneDrive gebruikt is de kans groot dat het Cloud Filter nodig is. - Controleer of de Cloud Filter driver actief is:
sc query cldflt - Schakel de driver uit op systemen waar cloudbestandssynchronisatie niet nodig is:
sc config cldflt start=disabled
sc stop cldflt - Versterk detectie op verdacht gedrag
Zorg dat verdachte escalatie van gebruikersrechten wordt gesignaleerd. Processen die onverwacht met SYSTEM-rechten worden gestart door een gewone gebruiker, zijn een duidelijk signaal. Goede monitoringtools herkennen dit patroon. - Houd patchupdates actief in de gaten
Zodra Microsoft een officiële patch uitbrengt, is snelle uitrol noodzakelijk. Gezien de reeks van recente kwetsbaarheden is de verwachting dat dit via een reguliere of spoedpatch zal gebeuren. Zorg dat je patchproces snel genoeg kan reageren.
Wat dit betekent voor jouw organisatie
Een zero-day zonder beschikbare patch vraagt om een andere aanpak dan een reguliere kwetsbaarheid. Updaten lost het probleem nu niet op. Wat wel helpt: het aanvalsoppervlak verkleinen, toegang beperken en zorgen dat verdacht gedrag op systemen wordt opgemerkt.
De combinatie van meerdere publiek beschikbare aanvalsmethoden voor Windows, waarvan sommige al actief worden misbruikt, laat zien dat de druk op Windows-omgevingen momenteel hoger is dan gebruikelijk. Organisaties die hun beveiliging primair baseren op het bijhouden van updates, merken nu dat dat niet altijd voldoende is.
Wat RiskGuard hierin doet
RiskGuard helpt organisaties grip te houden op kwetsbaarheden zoals MiniPlasma, ook als er nog geen patch beschikbaar is. We beoordelen of tijdelijke maatregelen correct zijn doorgevoerd, ondersteunen bij het inrichten van detectie op verdacht gedrag en zorgen dat patchprocessen aansluiten op de snelheid waarmee dit soort dreigingen zich ontwikkelen.
Wil je weten of jouw Windows-omgeving kwetsbaar is of hoe jullie beveiligingsproces er voor staat? Neem contact op voor een vrijblijvend gesprek.
