Microsoft heeft beveiligingsupdates uitgebracht voor een reeks zero-day-kwetsbaarheden in Windows en Office die actief worden uitgebuit door aanvallers. Het bedrijf omschreef de exploits als aanvallen met één klik die malware kunnen installeren of ongeautoriseerde toegang kunnen verlenen met minimale gebruikersinteractie.
Twee van de fouten kunnen worden geactiveerd wanneer een gebruiker op een kwaadaardige link op een Windows-computer klikt, terwijl een derde een systeem in gevaar kan brengen wanneer een kwaadaardig Office-bestand wordt geopend. Microsoft classificeerde de bugs als zero-days omdat ze werden gebruikt voordat er patches beschikbaar waren.
Er zijn details over de exploitatiemethoden gepubliceerd, waardoor het risico op verdere aanvallen toeneemt. Microsoft heeft de bron van de gepubliceerde details niet bekendgemaakt, en een woordvoerder heeft niet onmiddellijk commentaar gegeven aan TechCrunch toen hem werd gevraagd naar de publicatie.
Beveiligingsonderzoekers van de Threat Intelligence Group van Google worden gecrediteerd voor het ontdekken van de kwetsbaarheden. Een van de bugs, geïdentificeerd als CVE-2026-21510, bevindt zich in de Windows-shell die de gebruikersinterface van het besturingssysteem aanstuurt en is van invloed op alle ondersteunde Windows-versies. Wanneer een slachtoffer op een kwaadaardige link klikt, omzeilt de kwetsbaarheid het SmartScreen-filter van Microsoft, dat normaal gesproken kwaadaardige links en bestanden blokkeert.
Beveiligingsexpert Dustin Childs merkte op dat de bug kan worden gebruikt om op afstand malware te installeren. “Er is hier sprake van gebruikersinteractie, omdat de klant op een link of een snelkoppelingsbestand moet klikken”, schreef Childs in zijn blogpost. “Toch is een bug met één klik om de code uit te voeren een zeldzaamheid.”
Een woordvoerder van Google bevestigde dat de Windows-shell-kwetsbaarheid onder “wijdverbreide, actieve exploitatie” valt en de stille uitvoering van malware met hoge privileges mogelijk kan maken, waardoor het risico op ransomware-implementatie of het verzamelen van inlichtingen toeneemt.
De tweede Windows zero-day, CVE-2026-21513, bevindt zich in de eigen MSHTML-browserengine van Microsoft, oorspronkelijk gebruikt door Internet Explorer en behouden voor achterwaartse compatibiliteit. Microsoft zei dat aanvallers door de fout de beveiligingscontroles van Windows kunnen omzeilen om malware te installeren.
Onafhankelijke beveiligingsverslaggever Brian Krebs meldde dat Microsoft ook drie extra zero-day-bugs had gepatcht die actief werden uitgebuit, hoewel de details van deze kwetsbaarheden niet in de aankondiging werden bekendgemaakt.
Het antwoord van Microsoft omvat de release van patches voor alle geïdentificeerde zero-day bugs, waarbij gebruikers worden aangespoord de updates onmiddellijk toe te passen om het risico op compromissen te verkleinen.
