Onderzoekers van ESET Research waarschuwen voor een kritieke kwetsbaarheid in Microsoft Windows waarbij een JPG-afbeelding als aanvalsvector wordt misbruikt. De techniek kan leiden tot remote code execution, dus het uitvoeren van code op afstand. Dit speelt wereldwijd en raakt ook Nederlandse organisaties. Aanvallers kiezen JPG omdat dit bestandstype vertrouwd oogt en veel wordt gedeeld in e-mail en chat, met gevolgen voor Europese digitalisering en de gevolgen voor het bedrijfsleven.
Aanval via onschuldige foto
ESET Research beschrijft hoe een speciaal bewerkt JPG-bestand een fout in Windows kan triggeren. Een gebruiker hoeft soms alleen het bestand te openen of te voorvertonen. Daarna kan een aanvaller programma’s starten zonder verdere toestemming. Dit maakt de aanval aantrekkelijk voor criminelen die weinig sporen willen achterlaten.
De verspreiding verloopt vaak via phishingmails, cloudopslag of berichtendiensten. Het bestand lijkt een normale foto, met een herkenbare naam of context. Daardoor klikt een medewerker sneller. De drempel voor misleiding is bij afbeeldingen laag.
In sommige scenario’s kan al risico ontstaan bij automatisch genereren van thumbnails in Verkenner. Dat vergroot het aanvalsoppervlak, zeker op gedeelde werkplekken. Beheerders moeten daarom niet alleen naar e-mailfilters kijken. Ook endpointregels en bestandsbehandeling zijn belangrijk.
Remote code execution betekent dat een aanvaller op afstand programma’s kan uitvoeren op een doelcomputer, vaak met de rechten van de gebruiker of het systeem.
Misbruik van Windows-onderdelen
De aanval gebruikt Windows-onderdelen die normaal beeldbestanden verwerken. Een voorbeeld is de Windows Imaging Component (WIC), de bibliotheek in Windows die afbeeldingen decodeert. Door een fout in deze keten kan schadelijke code toch draaien. Dit gebeurt voordat traditionele antivirus het altijd kan stoppen.
Aanvallers combineren dit vaak met ‘living off the land’-hulpmiddelen. Dat zijn standaard Windows-programma’s zoals rundll32 of powershell, die moeilijk te blokkeren zijn. Zo blijft de aanval onopvallend. EDR-systemen moeten daarom letten op afwijkende procesketens, niet alleen op het bestand zelf.
Ook bestandskenmerken spelen mee, zoals Mark of the Web. Bij bestanden uit zip-archieven of sommige cloudworkflows ontbreekt dat kenmerk soms. Dan worden beveiligingswaarschuwingen omzeild. Strakkere policies voor download- en uitpakprocessen helpen dit te beperken.
Europese regels en gevolgen bedrijfsleven
Voor Nederlandse en Europese organisaties valt dit risico onder de zorgplicht van NIS2. Essentiële en belangrijke entiteiten moeten technische en organisatorische maatregelen treffen. Denk aan patchmanagement, monitoring en incidentrespons. Ook geldt een meldplicht bij ernstige incidenten richting CSIRT en toezichthouder.
Valt er data in verkeerde handen, dan is de AVG van kracht. Een datalek moet binnen 72 uur bij de Autoriteit Persoonsgegevens gemeld worden. Dat vraagt om logging, triage en heldere procedures. Zonder die basis is snelle melding en herstel lastig.
Voor softwareleveranciers wordt de Cyber Resilience Act relevant. Die wet vraagt om veilige ontwikkelprocessen en het tijdig dichten van kwetsbaarheden. Grote platformen zoals Windows moeten updates vlot beschikbaar stellen. Beheerders moeten die vervolgens aantoonbaar uitrollen.
Patchen en tijdelijke mitigaties
Installeer de meest recente beveiligingsupdates van Microsoft zodra die beschikbaar zijn. Controleer patchstatus in Endpoint Manager of uw patchtooling. Werk ook beeldcodecs en grafische drivers bij. Dit verkleint de kans op misbruik bij het openen of voorvertonen van JPG’s.
Versterk daarnaast de endpointbeveiliging. Schakel relevante Attack Surface Reduction-regels in Microsoft Defender in, zoals het blokkeren van verdachte procesaanroepen. Beperk uitvoeringsrechten voor standaardgebruikers. En monitor processen die vanuit afbeeldingskijkers starten.
Pas e-mail- en webfilters aan om risicovolle bijlagen en downloadlocaties te markeren. Overweeg het beperken van de Voorbeeldvenster-functie in Verkenner als tijdelijke maatregel op risicoposten. Leg medewerkers simpel uit dat ook foto’s misleidend kunnen zijn. Een korte waarschuwing bij campagnes verkleint klikgedrag.
Lessen voor securityteams
Behandel mediabestanden niet langer als “laag risico”. Betrek JPG en andere beeldformaten in dreigingsmodellen en table-top oefeningen. Voeg detectieregels toe die letten op ongebruikelijke procesketens vanaf afbeeldingsviewers. Test of EDR meldingen geeft bij afwijkende DLL-ladingen.
Implementeer zero-trust principes rond bestandsafhandeling. Content-filtering, sandboxing en strikte rechten helpen laterale beweging tegen te gaan. Automatiseer isolatie van endpoints die verdachte beelden openen. Zo blijft impact beperkt.
Maak tot slot duidelijke afspraken over incidentmelding en forensisch veiligstellen. NCSC-richtlijnen bieden houvast voor Nederland, op het moment van schrijven. Koppel deze aan NIS2-rapportage en AVG-procedures. Zo sluit techniek aan op governance en wetgeving.