← Terug naar blog
Security Briefing3 min leestijd2026-04-18

Security briefing, 18 april 2026: ActiveMQ-uitbuiting, Windows zero-days en LSASS-patchgevolgen

De security briefing van vandaag bundelt drie concrete signalen: CISA heeft Apache ActiveMQ als actief uitgebuit gemarkeerd, Huntress ziet gelekte Windows privilege-escalation zero-days in echte intrusies, en Microsoft bevestigt LSASS-crashlussen op sommige gepatchte domeincontrollers.


Top line: Deze ochtend draait om verdedigingsvolgorde. Eén kwetsbaarheid wordt al actief misbruikt, twee Windows privilege-escalation-paden hebben nog geen volledige fix, en één officiële patch kan domeincontrollers destabiliseren in sommige PAM-omgevingen. Securityteams hebben aparte queues nodig voor nu patchen, nu indammen en nu uitrol pauzeren.


1. ActiveMQ is van patch-queue naar actieve exploitatie gegaan

CISA heeft CVE-2026-34197 toegevoegd aan de KEV-catalogus nadat actieve exploitatie werd bevestigd. Het lek raakt Apache ActiveMQ Classic, komt voort uit gebrekkige inputvalidatie en maakt geauthenticeerde remote code execution mogelijk. Apache heeft dit gepatcht in versies 6.2.3 en 5.19.4, maar blootgestelde brokers blijven een makkelijk doelwit. Shadowserver volgt nog steeds meer dan 7.500 internetgerichte systemen.


2. Gelekte Windows zero-days maken nu deel uit van echte intrusies

Huntress meldt BlueHammer-, RedSun- en UnDefend-technieken in het wild. BlueHammer werd in april gepatcht, maar RedSun en UnDefend hebben nog geen volledige leveranciersfix. De waargenomen activiteit omvatte een gecompromitteerde SSL-VPN-gebruiker gevolgd door interactief aanvallersgedrag. Dit zijn dus niet langer alleen GitHub-PoC’s.


3. April-serverpatching brengt ook een beschikbaarheidsval mee

Microsoft bevestigde dat KB5082063 LSASS-crashes en rebootlussen kan veroorzaken op sommige non-Global-Catalog-domeincontrollers in Privileged Access Management-omgevingen. Daarmee wordt een normale security-uitrol een identiteitsuitvalrisico. Onstabiele authenticatie kan de winst van snel patchen direct tenietdoen.


Wat securityteams vandaag moeten doen

  1. Rond eerst de ActiveMQ-spoedtriage af, vooral voor blootgestelde brokers en oudere Classic-deployments.
  2. Zoek naar BlueHammer-, RedSun- en UnDefend-sporen overal waar recente VPN-toegang of admin-escalatie verdacht oogt.
  3. Valideer of PAM-domeincontrollers in scope zijn voordat KB5082063 verder wordt uitgerold.
  4. Stuur leiderschap één duidelijke update die exploitdruk scheidt van patch-instabiliteitsrisico.

Bottom line: Volwassen verdediging betekent vandaag op drie snelheden tegelijk werken: de blootgestelde broker patchen, de Windows-foothold jagen en elke uitrol vertragen die identiteit offline kan halen.

Scheid noodpatching van gevaarlijke patching

KENSAI helpt securityteams blootgestelde systemen, actieve exploitpaden en operationeel uitrolrisico te verifiëren voordat urgentie omslaat in vermijdbare downtime.

Start gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team