Microsoft en de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwen voor een Windows shell spoofing kwetsbaarheid die al actief wordt misbruikt door aanvallers. Hoewel nog niet duidelijk is wie precies achter de aanvallen zit, worden Russische hackers als hoofdverdachten genoemd. CISA heeft alle federale instanties verplicht om deze kwetsbaarheid, aangeduid als CVE-2026-32202, uiterlijk 12 mei te patchen.

Volgens een advies van Microsoft kan misbruik van deze kwetsbaarheid leiden tot toegang tot gevoelige gegevens, maar kunnen aanvallers geen volledige controle over het systeem verkrijgen. Een beveiligingsexpert waarschuwt echter dat de aanzienlijke tijd tussen het ontdekken van de kwetsbaarheid en de verplichte patchdatum het risico vergroot.

Lionel Litty, CISO bij beveiligingsbedrijf Menlo, wijst op een onvolledige patch voor een eerdere kwetsbaarheid, CVE-2026-21510, die heeft geleid tot het huidige probleem. Volgens hem is het patroon al jaren hetzelfde: een kwetsbaarheid wordt deels opgelost, maar kleine variaties blijven onopgelost, waardoor een nieuwe update nodig is. Dit veroorzaakt een vertraging in het volledig dichten van de kwetsbaarheid, wat Litty omschrijft als de zogenaamde patch gap. Deze gap bestaat uit de periode tussen het ontdekken van een kwetsbaarheid en het uitbrengen van een patch, plus de tijd die organisaties nodig hebben om de patch te implementeren. Hij merkt op dat gebruikers vaak terughoudend zijn met updates omdat deze hun werk kunnen onderbreken, wat leidt tot vertragingen van weken of zelfs maanden.

Erik Avakian, technisch adviseur bij Info-Tech Research Group, legt uit dat CISA de patchdeadline heeft vastgesteld binnen de richtlijnen van Binding Operational Directive 22-01, die Amerikaanse federale instanties verplicht kwetsbaarheden binnen 14 tot 21 dagen te patchen. In uitzonderlijke gevallen kan deze termijn worden teruggebracht tot drie dagen. Voor CVE-2026-32202 is de CVSS-score 4.3, wat volgens de beleidsregels niet hoog genoeg is voor een versnelde patchcyclus, ondanks actieve exploitatie. Daarom is een termijn van 14 dagen gehanteerd.

Avakian benadrukt dat er argumenten zijn dat 14 dagen te lang is bij actieve exploitatie, maar dat mitigaties mogelijk zijn zonder directe patch, bijvoorbeeld door bepaalde poorten te blokkeren op de firewall. Dit vermindert het risico terwijl de patch wordt getest en uitgerold. Hij wijst ook op het belang van een zorgvuldige implementatie van patches om problemen te voorkomen die kunnen ontstaan bij een gehaaste uitrol.