Twee zwakke plekken in Windows uitgebuit, ook België in het vizier

Windows bevat twee zwakke plekken, waarvan eentje al sinds 2017, die momenteel worden misbruikt voor malwareaanvallen. België en de Europese diplomatie zitten daarbij in het vizier.

Aanvallers die door landen worden gesponsord en groepen cybercriminelen maken gebruik van een lek dat al sinds 2017 (ja, echt, al acht jaar) in Windows zit. De doelen van deze cyberspionage waren afgelopen september en oktober al in Hongarije, Italië, Nederland, Servië en België. De aanvallers behoren tot de groep UNC6384, dat banden heeft met China, en de doelen behoorden tot diplomatieke entiteiten binnen Europa.

De phishingmails waren zorgvuldig opgesteld en bevatten een link die leidde naar een lnk-bestand (een shortcutbestand). Op die manier maakten de hackers gebruik van het ‘ZDI-CAN-25373’-lek, dat al in maart was ontdekt, maar waarvoor nog geen patch is gemaakt. Intussen staat het bekend onder de naam CVE-2025-9491. Uiteindelijk wordt de malware, bekend als PlugX, geïnstalleerd en kan de computer extern worden overgenomen. Die malware loopt binnen een legitiem proces, wat het moeilijk maakt om op te sporen.

Microsoft gaf al te kennen dat Microsoft Defender deze dreiging kan onderscheppen en de de Smart App Control een extra beveiligingsmuur optrekt door slechte bestanden afkomstig van het internet te blokkeren. Met andere woorden: zeker wie in de diplomatieke wereld zit, moet opletten wat hij downloadt, hoe mooi de mail er ook uitziet. En komt er een waarschuwing van Windows Defender, dan breek je het proces maar beter af voor je computer besmet raakt. Sla de beveiligingswaarschuwingen dus zeker niet in de wind!

Patch bleek onvoldoende

Een tweede lek is geïdentificeerd als CVE-2025-59287 en zit in de Windows Server Update Services. In de oktoberupdate zat daar al een patch voor, maar die bleek onvoldoende. Enkele beveiligingsfirma’s meldden dat de zwakke plek al sinds 23 oktober werd misbruikt. De aanvallen lijken hier geen duidelijke doelen te hebben, wat dus al een stevig verschil is met het andere beveiligingslek.

De meeste slachtoffers van zo’n aanval zaten in de Verenigde Staten. De aanvallers hadden vooral data van de servers gehaald, hadden een tunnel geïnstalleerd om de controle te kunnen overnemen en een UPX gedownload die bijvoorbeeld crypto wallets kan verzamelen, maar ook gewoon data of systeeminformatie.

De organisaties die hun beveiliging moeten aanscherpen omwille van CVE-2025-59287, zijn degene die Windows Server gebruiken en via Windows Server Update Services de Microsoft-updates verdelen onder de computers binnen de organisatie.