Microsoft repareert 114 Windows-fouten in de patch van januari 2026, waarvan er één actief wordt uitgebuit

Cyberbeveiliging
Microsoft repareert 114 Windows-fouten in de patch van januari 2026, waarvan er één actief wordt uitgebuit

Microsoft heeft dinsdag zijn eerste beveiligingsupdate voor 2026 uitgerold, waarmee 114 beveiligingsfouten worden verholpen, waaronder één kwetsbaarheid die naar eigen zeggen actief in het wild wordt uitgebuit.

Van de 114 tekortkomingen worden er acht als kritiek beoordeeld en 106 als belangrijk qua ernst. Maar liefst 58 kwetsbaarheden zijn geclassificeerd als escalatie van bevoegdheden, gevolgd door 22 vrijgave van informatie, 21 uitvoering van externe code en vijf spoofing-fouten. Volgens gegevens verzameld door Fortra markeert de update de derde grootste patch-dinsdag van januari, na januari 2025 en januari 2022.

Deze patches vormen een aanvulling op twee beveiligingsfouten die Microsoft heeft verholpen in zijn Edge-browser sinds de release van de Patch Tuesday-update van december 2025, waaronder een spoofing-fout in zijn Android-app (CVE-2025-65046, 3.1) en een geval van onvoldoende beleidshandhaving in de WebView-tag van Chromium (CVE-2026-0628, CVSS-score: 8.8).

De kwetsbaarheid die in het wild is uitgebuit is CVE-2026-20805 (CVSS-score: 5,5), een fout in het vrijgeven van informatie die gevolgen heeft voor Desktop Window Manager. Het Microsoft Threat Intelligence Center (MTIC) en Microsoft Security Response Center (MSRC) zijn gecrediteerd voor het identificeren en rapporteren van de fout.

“Blootstelling van gevoelige informatie aan een ongeautoriseerde actor in Desktop Windows Manager (DWM) stelt een geautoriseerde aanvaller in staat informatie lokaal vrij te geven”, aldus Microsoft in een advies. “Het type informatie dat kan worden vrijgegeven als een aanvaller dit beveiligingslek met succes misbruikt, is een sectieadres van een externe ALPC-poort, dat wil zeggen gebruikersgeheugen.”

Er zijn momenteel geen details over hoe de kwetsbaarheid wordt uitgebuit, de omvang van dergelijke inspanningen en wie er mogelijk achter de activiteit zit.

“DWM is verantwoordelijk voor het tekenen van alles op het scherm van een Windows-systeem, wat betekent dat het een verleidelijke combinatie biedt van geprivilegieerde toegang en universele beschikbaarheid, aangezien vrijwel elk proces iets moet weergeven”, zegt Adam Barnett, hoofdsoftware-ingenieur bij Rapid7, in een verklaring. “In dit geval leidt misbruik tot ongepaste openbaarmaking van een ALPC-poortsectie-adres, een sectie van het gebruikersmodusgeheugen waar Windows-componenten onderling verschillende acties coördineren.”

Microsoft heeft in mei 2024 al een actief uitgebuit zero-day-fout in DWM aangepakt (CVE-2024-30051, CVSS-score: 7,8), die werd beschreven als een privilege-escalatiefout die werd misbruikt door meerdere bedreigingsactoren, in verband met de distributie van QakBot en andere malwarefamilies. Satnam Narang, senior research engineer bij Tenable, noemde DWM op Patch Tuesday een ‘frequent flyer’, met twintig CVE’s gepatcht in de bibliotheek sinds 2022.

Jack Bicer, directeur kwetsbaarheidsonderzoek bij Action1, zei dat de kwetsbaarheid kan worden uitgebuit door een lokaal geauthenticeerde aanvaller om informatie vrij te geven, adresruimte-indelingsrandomisatie (ASLR) te verslaan en andere verdedigingsmechanismen.

“Kwetsbaarheden van deze aard worden vaak gebruikt om Address Space Layout Randomization (ASLR) te ondermijnen, een kernbeveiligingscontrole van het besturingssysteem die is ontworpen om te beschermen tegen bufferoverflows en andere geheugenmanipulatie-exploits”, zegt Kev Breen, senior directeur cyberdreigingsonderzoek bij Immersive, tegen The Hacker News.

“Door te onthullen waar de code zich in het geheugen bevindt, kan deze kwetsbaarheid worden gekoppeld aan een afzonderlijke code-uitvoeringsfout, waardoor een complexe en onbetrouwbare exploit wordt omgezet in een praktische en herhaalbare aanval.”

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de fout sindsdien toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de opdracht krijgen om de nieuwste oplossingen vóór 3 februari 2026 toe te passen.

Een andere opmerkelijke kwetsbaarheid betreft een beveiligingsfunctie die de vervaldatum van het Secure Boot Certificate beïnvloedt (CVE-2026-21265, CVSS-score: 6,4), waardoor een aanvaller een cruciaal beveiligingsmechanisme kan ondermijnen dat ervoor zorgt dat firmwaremodules afkomstig zijn van een vertrouwde bron en voorkomt dat malware wordt uitgevoerd tijdens het opstartproces.

In november 2025 kondigde Microsoft aan dat het drie in 2011 uitgegeven Windows Secure Boot-certificaten met ingang van juni 2026 zal laten verlopen, waarbij klanten worden aangespoord om te updaten naar hun tegenhangers uit 2023 –

  • Microsoft Corporation KEK CA 2011 (juni 2026) – Microsoft Corporation KEK 2K CA 2023 (voor het ondertekenen van updates voor DB en DBX)
  • Microsoft Windows Production PCA 2011 (oktober 2026) – Windows UEFI CA 2023 (voor het ondertekenen van de Windows-bootloader)
  • Microsoft UEFI CA 2011 (juni 2026) – Microsoft UEFI CA 2023 (voor het ondertekenen van bootloaders van derden) en Microsoft Option ROM UEFI CA 2023 (voor het ondertekenen van optie-ROM’s van derden)

“Secure Boot-certificaten die door de meeste Windows-apparaten worden gebruikt, verlopen vanaf juni 2026. Dit kan van invloed zijn op het vermogen van bepaalde persoonlijke en zakelijke apparaten om veilig op te starten als ze niet op tijd worden bijgewerkt”, aldus Microsoft. “Om verstoring te voorkomen, raden we aan de richtlijnen te herzien en actie te ondernemen om certificaten vooraf bij te werken.”

De Windows-maker wees er ook op dat de nieuwste update de Agere Soft Modem-stuurprogramma’s “agrsm64.sys” en “agrsm.sys” verwijdert die standaard bij het besturingssysteem werden geleverd. De stuurprogramma’s van derden zijn gevoelig voor een twee jaar oude escalatiefout van lokale bevoegdheden (CVE-2023-31096, CVSS-score: 7,8) waardoor een aanvaller SYSTEEMmachtigingen kan verkrijgen.

In oktober 2025 ondernam Microsoft stappen om een ​​ander Agere Modem-stuurprogramma genaamd “ltmdm64.sys” te verwijderen na in-the-wild misbruik van een kwetsbaarheid voor escalatie van bevoegdheden (CVE-2025-24990, CVSS-score: 7,8) waardoor een aanvaller beheerdersrechten kon verkrijgen.

Ook hoog op de prioriteitenlijst zou CVE-2026-20876 (CVSS-score: 6,7) moeten staan, een kritisch beoordeelde privilege-escalatiefout in Windows Virtualization-Based Security (VBS) Enclave, waardoor een aanvaller Virtual Trust Level 2 (VTL2)-rechten kan verkrijgen en deze kan gebruiken om beveiligingscontroles te ondermijnen, diepgaande persistentie tot stand te brengen en detectie te omzeilen.

“Het doorbreekt de beveiligingsgrens die is ontworpen om Windows zelf te beschermen, waardoor aanvallers in een van de meest vertrouwde uitvoeringslagen van het systeem kunnen klimmen”, zegt Mike Walters, president en medeoprichter van Action1.

“Hoewel exploitatie hoge privileges vereist, is de impact ernstig omdat het de op virtualisatie gebaseerde beveiliging zelf in gevaar brengt. Aanvallers die al voet aan de grond hebben, kunnen deze fout gebruiken om geavanceerde verdedigingen te verslaan, waardoor snelle patches essentieel zijn om het vertrouwen in de beveiligingsgrenzen van Windows te behouden.”

Softwarepatches van andere leveranciers

Naast Microsoft zijn er sinds het begin van de maand ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:

  • ABB
  • Adobe
  • Amazon-webservices
  • AMD
  • Arm
  • ASUS
  • Broadcom (inclusief VMware)
  • Cisco
  • ConnectWise
  • Dassault-systemen
  • D-Link
  • Dell
  • Devoluties
  • Drupal
  • Elastisch
  • F5
  • Fortinet
  • Fortra
  • Foxit-software
  • FUJIFILM
  • Gigabyte
  • GitLab
  • Google Android en Pixel
  • Google Chrome
  • Google Cloud
  • Grafana
  • Hikvisie
  • PK
  • HP Enterprise (inclusief Aruba Networking en Juniper Networks)
  • IBM
  • Verbeeldingstechnologieën
  • Lenovo
  • Linux-distributies AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE en Ubuntu
  • MediaTek
  • Mitel
  • Mitsubishi Elektrisch
  • MongoDB
  • Moxa
  • Mozilla Firefox en Firefox ESR
  • n8n
  • NETGEAR
  • Knooppunt.js
  • NVIDIA
  • eigenCloud
  • QNAP
  • Qualcomm
  • Ricoh
  • Samsung
  • SAP
  • Schneider Elektrisch
  • ServiceNu
  • Siemens
  • Zonnewinden
  • SonicWall
  • Sophos
  • Lente raamwerk
  • Synologie
  • TP-Link
  • Trend Micro, en
  • Veeam
Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Het bijgewerkte ouderlijk toezicht van YouTube blokkeert shorts voor tieners

De AI-boom heeft de DDR5 RAM-prijzen gedood, dus nu herleeft DDR3

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]