Active Directory

Actief misbruikt AD FS-lek treft alle Windows Server-versies

Actief misbruikt AD FS-lek treft alle Windows Server-versies

Microsoft heeft tijdens de Patch Tuesday van juli 2026 een kwetsbaarheid verholpen in Active Directory Federation Services (AD FS) die op het moment van patchen al actief werd misbruikt. Het lek, geregistreerd als CVE-2026-56155, stelt een aanvaller in staat om beheerdersrechten te verkrijgen op systemen die AD FS gebruiken. Omdat AD FS de brug vormt tussen lokale Active Directory-omgevingen en clouddiensten zoals Microsoft 365, is de impact van misbruik potentieel groot.

Wat is CVE-2026-56155?

CVE-2026-56155 is een elevation of privilege-kwetsbaarheid in AD FS, veroorzaakt door onvoldoende granulariteit in de toegangscontrole (aangeduid als CWE-1220). Een aanvaller die al lokaal en met lage rechten toegang heeft, kan het lek gebruiken om door te schalen naar beheerdersrechten. Microsoft kent de kwetsbaarheid een CVSS-score van 7,8 toe. Het lek is ontdekt en gemeld door het eigen Microsoft Detection and Response Team (DART), wat erop wijst dat misbruik al was vastgesteld voordat de patch verscheen.

Welke Windows Server-versies zijn kwetsbaar?

De patch is beschikbaar voor een breed scala aan serverversies: Windows Server 2012, 2012 R2, 2016, 2019, 2022 en 2025, inclusief de bijbehorende Server Core-installaties. Vrijwel elke organisatie die nog een on-premises AD FS-omgeving draait, moet dus rekening houden met dit lek, ongeacht hoe recent de serverversie is.

Niet het enige lek in AD FS deze maand

Naast CVE-2026-56155 patchte Microsoft in dezelfde update ook zeven denial-of-service-kwetsbaarheden in AD FS, waaronder CVE-2026-50695. Die laatste stelt een niet-geauthenticeerde aanvaller op afstand in staat om een AD FS-server te laten crashen met een speciaal geprepareerd netwerkpakket. Deze DoS-lekken zijn niet actief misbruikt, maar onderstrepen dat AD FS deze maand een belangrijk aandachtspunt was binnen de patchronde.

Ook een zero-day in SharePoint gepatcht

Dezelfde patchronde bevatte nog een actief misbruikte kwetsbaarheid: CVE-2026-56164 in SharePoint Server. Dit lek, ontdekt door onderzoekers van Mandiant/Google FLARE tijdens onderzoek naar aanvallen, vereist geen authenticatie en geen gebruikersinteractie om rechten te verhogen over het netwerk. Het treft SharePoint Server 2016, 2019 en de Subscription Edition. Microsoft raadt aan om Antimalware Scan Interface (AMSI) in te schakelen en Request Body Scan op "Full" te zetten als aanvullende beveiliging.

Wat heeft Microsoft gedaan?

Voor het AD FS-lek biedt Microsoft beheerders twee routes. Ze kunnen de fix direct activeren door de registersleutel RemediateDkmAcl handmatig in te stellen, of wachten tot Microsoft dit automatisch afdwingt. Vanaf 13 oktober 2026 past Microsoft de correctie zelf toe bij omgevingen die dit nog niet hebben geconfigureerd. Die uitgestelde, verplichte deadline geeft organisaties de tijd om de wijziging eerst te testen, maar betekent ook dat wie niets doet uiteindelijk automatisch wordt bijgewerkt.

Wat betekent dit voor beheerders?

Voor organisaties die AD FS gebruiken voor single sign-on of federatie met Microsoft 365 en Azure/Entra ID is snelle actie aan te raden. AD FS-servers zijn een aantrekkelijk doelwit omdat een compromittering direct toegang kan geven tot cloudidentiteiten binnen de hele organisatie. Concreet raden wij aan:

  • Installeer de juli-updates op alle Windows Server-installaties met AD FS zo snel mogelijk.
  • Overweeg de RemediateDkmAcl-registersleutel handmatig te activeren in plaats van te wachten tot oktober.
  • Controleer of SharePoint-omgevingen (2016, 2019, Subscription Edition) zijn bijgewerkt en schakel AMSI in als extra beveiligingslaag.
  • Monitor federatieservers extra alert op ongebruikelijke aanmeldpatronen, ook na het patchen.

Wat kun je hieruit meenemen?

De juli-patchronde van Microsoft bevatte niet alleen een recordaantal kwetsbaarheden, maar ook twee zero-days die al actief werden misbruikt voordat de patches beschikbaar kwamen: één in AD FS en één in SharePoint Server. Beide raken kerninfrastructuur die veel organisaties gebruiken om identiteit en samenwerking te regelen tussen on-premises systemen en de cloud.

Voor beheerders is de kernboodschap simpel: wacht niet op de automatische afdwingdatum van 13 oktober 2026, maar installeer de updates en configureer de aanbevolen registerinstelling nu al. Zeker federatieservers die verbonden zijn met kritieke cloudomgevingen verdienen prioriteit, aangezien misbruik van deze lekken een directe route naar beheerdersrechten kan bieden.

Volgende lezen

Windows 11: updates pauzeren kan voortaan telkens 35 dagen