Twee kwetsbaarheden in Windows worden actief misbruikt door hackers, onder andere om aanvallen uit te voeren op de Belgische diplomatieke diensten.
Aanvallers maken actief misbruik van twee bugs in Windows. De eerste bug is een zero day-kwetsbaarheid die in maart aan het licht is gekomen, maar waarvoor nog steeds geen echte patch bestaat. Het probleem kreeg de noemer CVE-2025-9491 mee, samen met een CVSS-score van 7,8. De bug berust op een probleem met snelkoppelingen binnen Windows dat misbruikt kan worden, en door hackers al jaren onder de radar gekend was.
Malafide snelkoppeling
De aanval begint met een gerichte phishing-mail. Uiteindelijk probeert de hacker een doelwit te overtuigen om LNK-bestanden te downloaden en te openen. Via die schijnbaar onschuldige snelkoppelingen kunnen ze dan PowerShell-commando’s uitvoeren om uiteindelijk een achterpoort in te bouwen.
Volgens beveiligingsonderzoekers van Arctic Wolf Labs loopt er momenteel een spionagecampagne via een hackerscollectief dat gelinkt kan worden aan China. Diplomatieke entiteiten zijn het doelwit. Onder andere België wordt volgens de onderzoekers geviseerd, samen met Hongarije en enkele andere landen. De campagne loopt al sinds september.
Het valt op dat Microsoft nog geen patch heeft uitgerold voor het probleem. Een aanval vereist wel telkens menselijke tussenkomst: op een bepaald moment moet de hacker iemand overtuigen om een geïnfecteerd LNK-bestand te openen. Beheerders kunnen de toegang tot dergelijke bestanden van externe bronnen aan banden leggen.
Ook bewustmaking kan hierbij helpen. Het is nooit een goed idee om zomaar bestanden van een onbetrouwbare bron te openen. Dat een ogenschijnlijk onschuldige snelkoppeling ook malafide kan zijn, verdient extra nadruk.
Bug in WSUS
Helaas is bovenstaande bug niet de enige die misbruikt wordt. Een ander probleem is CVE-2025-59287, met een score van 9,8. Die bug zit in de Windows Server Update Services (WSUS), waarmee beheerders software installeren of updaten op servers. Via deze achterpoort kunnen aanvallers code uitvoeren van over het netwerk en zich een weg naar binnen banen in bedrijfssystemen.
Ook dit probleem heeft de interesse van hackers gewekt. Verschillende beveiligingsbedrijven waaronder Sophos en Huntress rapporteren actief misbruik bij klanten. Microsoft probeerde de bug in oktober te patchen, maar zonder succes. Een tweede uitzonderlijke out of band-patch biedt wel soelaas.
Beheerders doen er goed aan deze update zo snel mogelijk te installeren. Een echte workaround is er niet. Wie de patch niet kan installeren, moet WSUS uitschakelen op servers. Die servers krijgen dan geen updates meer, dus dat is geen langetermijnoplossing. Ook inkomend verkeer op poort 8530 en 8531 blokkeren op de host-firewall helpt, en heeft de facto hetzelfde effect. WSUS wordt er immers mee uitgeschakeld.
Microsoft hamert erop dat de workaround niet ongedaan gemaakt mag worden tot de patch geïnstalleerd is.
Ondersteuning
De twee bugs illustreren opnieuw het belang van updates. Nu Windows 10 niet meer ondersteund wordt, krijgt dat OS geen updates meer. Bugs en lekken zoals hierboven beschrijven, verschijnen op geregelde basis. Hoe langer een OS geen updates meer krijgt, hoe meer gaten in de verdediging ongedicht blijven en hoe groter de kans op problemen.
Heb jij nog een Windows 10-systeem in gebruik? Laat het ons weten in onze poll, en overweeg ook zeker (gratis) ESU-updates.