Microsoft heeft dinsdag beveiligingsupdates uitgebracht om een reeks van 59 fouten in zijn software aan te pakken, waaronder zes kwetsbaarheden waarvan volgens het bedrijf in het wild misbruik is gemaakt.
Van de 59 tekortkomingen worden er vijf beoordeeld als kritiek, 52 als belangrijk en twee als matig. Vijfentwintig van de gepatchte kwetsbaarheden zijn geclassificeerd als escalatie van bevoegdheden, gevolgd door uitvoering van code op afstand (12), spoofing (7), openbaarmaking van informatie (6), omzeiling van beveiligingsfuncties (5), denial-of-service (3) en cross-site scripting (1).
Het is vermeldenswaard dat de patches een aanvulling zijn op drie beveiligingsfouten die Microsoft heeft verholpen in zijn Edge-browser sinds de release van de Patch Tuesday-update van januari 2026, waaronder een gematigde kwetsbaarheid die gevolgen heeft voor de Edge-browser voor Android (CVE-2026-0391, CVSS-score: 6,5), waardoor een ongeautoriseerde aanvaller spoofing over een netwerk kan uitvoeren door misbruik te maken van een “verkeerde voorstelling van kritieke informatie in de gebruikersinterface”.
Bovenaan de lijst met updates van deze maand staan zes kwetsbaarheden die zijn gemarkeerd als actief misbruikt:
- CVE-2026-21510 (CVSS-score: 8.8) – Een storing in het beveiligingsmechanisme in Windows Shell waardoor een ongeautoriseerde aanvaller een beveiligingsfunctie via een netwerk kan omzeilen.
- CVE-2026-21513 (CVSS-score: 8,8) – Een storing in het beveiligingsmechanisme in MSHTML Framework waardoor een ongeautoriseerde aanvaller een beveiligingsfunctie via een netwerk kan omzeilen.
- CVE-2026-21514 (CVSS-score: 7,8) – Een afhankelijkheid van niet-vertrouwde invoer in een beveiligingsbeslissing in Microsoft Office Word waardoor een ongeautoriseerde aanvaller lokaal een beveiligingsfunctie kan omzeilen.
- CVE-2026-21519 (CVSS-score: 7,8) – Een toegang tot bronnen met behulp van een incompatibel type (’typeverwarring’) in de Desktop Window Manager, waardoor een geautoriseerde aanvaller de bevoegdheden lokaal kan verhogen.
- CVE-2026-21525 (CVSS-score: 6,2) – Een null pointer-dereferentie in Windows Remote Access Connection Manager waarmee een ongeautoriseerde aanvaller de service lokaal kan weigeren.
- CVE-2026-21533 (CVSS-score: 7,8) – Een onjuist privilegebeheer in Windows Remote Desktop waarmee een geautoriseerde aanvaller lokaal bevoegdheden kan verhogen.
De eigen beveiligingsteams van Microsoft en Google Threat Intelligence Group (GTIG) zijn gecrediteerd voor het ontdekken en rapporteren van de eerste drie fouten, die ten tijde van de release als publiekelijk bekend stonden. Er zijn momenteel geen details over hoe de kwetsbaarheden worden uitgebuit en of ze als wapen zijn gebruikt als onderdeel van dezelfde campagne.
“CVE-2026-21513 is een beveiligingsfunctie die de kwetsbaarheid in het Microsoft MSHTML Framework omzeilt, een kerncomponent die door Windows en meerdere applicaties wordt gebruikt om HTML-inhoud weer te geven”, zegt Jack Bicer, directeur kwetsbaarheidsonderzoek bij Action1. “Het wordt veroorzaakt door een falen van het beschermingsmechanisme waardoor aanvallers uitvoeringsprompts kunnen omzeilen wanneer gebruikers met kwaadaardige bestanden communiceren. Een vervaardigd bestand kan stilletjes Windows-beveiligingsprompts omzeilen en met een enkele klik gevaarlijke acties activeren.”
Satnam Narang, senior research engineer bij Tenable, zei dat CVE-2026-21513 en CVE-2026-21514 “veel overeenkomsten” vertonen met CVE-2026-21510. Het belangrijkste verschil is dat CVE-2026-21513 ook kan worden misbruikt met behulp van een HTML-bestand, terwijl CVE-2026-21514 alleen kan worden misbruikt met behulp van een Microsoft Office-bestand.
Wat CVE-2026-21525 betreft, deze is gekoppeld aan een zero-day die de 0patch-service van ACROS Security zei te hebben ontdekt in december 2025 tijdens het onderzoeken van een andere gerelateerde fout in hetzelfde onderdeel (CVE-2025-59230).
“Dit (CVE-2026-21519 en CVE-2026-21533) zijn lokale kwetsbaarheden voor escalatie van privileges, wat betekent dat een aanvaller al toegang moet hebben gekregen tot een kwetsbare host”, vertelde Kev Breen, senior directeur cyberdreigingsonderzoek bij Immersive, via e-mail aan The Hacker News. “Dit kan gebeuren door een kwaadwillige bijlage, een kwetsbaarheid voor het uitvoeren van code op afstand of zijdelingse verplaatsing vanaf een ander gecompromitteerd systeem.”
“Eenmaal op de host kan de aanvaller deze escalatiekwetsbaarheden gebruiken om bevoegdheden naar SYSTEM te verhogen. Met dit toegangsniveau kan een bedreigingsacteur beveiligingstools uitschakelen, extra malware inzetten of, in het ergste geval, toegang krijgen tot geheimen of inloggegevens die kunnen leiden tot een volledige domeincompromis.”
Cyberbeveiligingsleverancier CrowdStrike, erkend voor het rapporteren van CVE-2026-21533, zei dat het de exploitatieactiviteit niet toeschrijft aan een specifieke tegenstander, maar merkte op dat bedreigingsactoren die in het bezit zijn van de binaire bestanden waarschijnlijk hun inspanningen zullen opvoeren om ze op korte termijn te gebruiken of te verkopen.
“De binaire exploit CVE-2026-21533 wijzigt een serviceconfiguratiesleutel en vervangt deze door een door de aanvaller bestuurde sleutel, waardoor tegenstanders de bevoegdheden kunnen escaleren om een nieuwe gebruiker aan de beheerdersgroep toe te voegen”, vertelde Adam Meyers, hoofd van Counter Adversary Operations bij CrowdStrike, aan The Hacker News in een verklaring per e-mail.
De ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om alle zes de kwetsbaarheden toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de oplossingen vóór 3 maart 2026 moeten toepassen.
De update valt ook samen met de introductie van bijgewerkte Secure Boot-certificaten door Microsoft ter vervanging van de oorspronkelijke certificaten uit 2011, die eind juni 2026 verlopen. De nieuwe certificaten worden geïnstalleerd via het reguliere maandelijkse Windows-updateproces, zonder enige aanvullende actie.
“Als een apparaat de nieuwe Secure Boot-certificaten niet ontvangt voordat de certificaten van 2011 verlopen, blijft de pc normaal functioneren en blijft de bestaande software draaien”, aldus de technologiegigant. “Het apparaat zal echter in een verslechterde beveiligingsstatus terechtkomen, waardoor de mogelijkheid om toekomstige bescherming op opstartniveau te ontvangen wordt beperkt.”
“Naarmate nieuwe kwetsbaarheden op opstartniveau worden ontdekt, worden getroffen systemen steeds kwetsbaarder omdat ze niet langer nieuwe oplossingen kunnen installeren. Na verloop van tijd kan dit ook leiden tot compatibiliteitsproblemen, omdat nieuwere besturingssystemen, firmware, hardware of Secure Boot-afhankelijke software mogelijk niet worden geladen.”
Tegelijkertijd zei het bedrijf dat het ook de standaardbeveiliging in Windows versterkt door middel van twee beveiligingsinitiatieven: Windows Baseline Security Mode en User Transparency and Consent. De updates vallen onder de bevoegdheid van het Secure Future Initiative en Windows Resiliency Initiative.
“Met de Windows Baseline Security Mode zal Windows gaan werken met standaard ingeschakelde runtime-integriteitswaarborgen”, aldus het rapport. “Deze beveiligingen zorgen ervoor dat alleen correct ondertekende apps, services en stuurprogramma’s mogen worden uitgevoerd, waardoor het systeem wordt beschermd tegen manipulatie of ongeoorloofde wijzigingen.”
User Transparency and Consent, analoog aan het Apple macOS Transparency, Consent, and Control (TCC)-framework, heeft tot doel een consistente aanpak te introduceren voor het afhandelen van beveiligingsbeslissingen. Het besturingssysteem waarschuwt gebruikers wanneer apps toegang proberen te krijgen tot gevoelige bronnen, zoals bestanden, de camera of de microfoon, of wanneer ze proberen andere onbedoelde software te installeren.
“Deze aanwijzingen zijn zo ontworpen dat ze duidelijk en uitvoerbaar zijn, en je hebt altijd de mogelijkheid om je keuzes later te herzien en te wijzigen”, zegt Logan Iyer, Distinguished Engineer bij Microsoft. “Van apps en AI-agenten wordt ook verwacht dat ze aan hogere transparantienormen voldoen, waardoor zowel gebruikers als IT-beheerders beter inzicht krijgen in hun gedrag.”
