Skip to content
arrow-alt-circle-up icon

Cyber Incident?

arrow-alt-circle-up icon

Call 00800 1744 0000

arrow-alt-circle-up icon

See all Threat Responses

Microsoft has released a security update for Microsoft Defender to address a privilege escalation for which public proof-of-concept code is available, making exploitation more likely[1]. Given that Microsoft Defender is installed on virtually all Windows systems, immediate action is required to verify that your systems are protected.

Description
On April 14, 2026, Microsoft published CVE-2026-33825, an elevation of privilege vulnerability in the Microsoft Defender Antimalware Platform[1]. The vulnerability allows an attacker with local access to a system to elevate their privileges to a higher level. The vulnerability exists because Windows Defender does not properly enforce access controls, allowing an authenticated attacker to gain elevated rights on the system. Proof-of-Concept exploit code has been publicly released, demonstrating how to abuse this vulnerability. This significantly increases the likelihood that attackers will use this vulnerability in real-world attacks.Microsoft Defender Antimalware Platform versions before or at version 4.18.26020.6 are affected by this vulnerability. Versions after version 4.18.26030.3011 are not affected by this vulnerability.

Impact
We estimate the impact of this vulnerability as medium.An attacker who has already gained initial access to your network (for example through phishing or stolen credentials) can use this vulnerability to elevate their privileges from a regular user to administrator level. This would allow them to:
  • Take complete control of affected systems
  • Install malware or ransomware
  • Access sensitive data
  • Move laterally through your network to compromise additional systems
  • Create persistent backdoors for future access
Since Microsoft Defender is present on nearly all Windows systems in organizational environments, the potential scope of impact is extensive.

Risk
We estimate the risk of this vulnerability as medium.The Dutch National Cyber Security Centre (NCSC-NL) has classified this vulnerability as High priority, and upgraded their initial assessment specifically because public exploit code became available[2]. The combination of widespread product deployment, available exploit code, and the strategic value of privilege escalation in multi-stage attacks creates a significant risk. As the vulnerability however requires an attacker to already have local access to a system, we estimate the risk of this vulnerability to be medium rather than high.

Mitigation
Microsoft has released security updates that fix this vulnerability. In most environments, Microsoft Defender updates itself automatically, which means your systems may already be protected.However, you should verify that the updates have been successfully installed, especially if:
  • Your organization uses managed or delayed update policies
  • You have disabled automatic updates for Microsoft Defender
  • You manage updates through centralized tools like WSUS or SCCM
What should you do?
We recommend you to verify that the updates were applied. This can be performed manually on systems, or using Advanced Hunting within the Microsoft Defender portal.In order to verify this manually[1]:
  1. Open the Windows Security program. For example, type Security in the Search bar, and select the Windows Security program.
  2. In the navigation pane, select Virus & threat protection.
  3. Then click on Protection Updates in the Virus & threat protection section updates.
  4. Select Check for updates.
  5. In the navigation pane, select Settings, and then select About.
  6. Examine the Antimalware ClientVersion number. The update was successfully installed if the Malware Protection Platform version number or the signature package version number matches or exceeds the version number that you are trying to verify as installed.
In order to verify this at scale, Advanced Hunting within the Microsoft Defender portal can be used:
  1. Navigate to the Microsoft Defender portal at https://security.microsoft.com/
  2. Open “Investigation & response” in the left-hand pane
  3. Open Hunting → Advanced hunting
    1. NOTE: This requires Microsoft Defender of Endpoint Plan 2
  4. Enter and execute the following query can be executed to get an overview of all vulnerable devices:
let threshold = parse_version("4.18.26030.3011"); DeviceTvmInfoGathering | extend AdditionalFields = parse_json(AdditionalFields) | extend AvPlatformVersion = tostring(AdditionalFields.["AvPlatformVersion"]) | where OSPlatform startswith "Windows" | project DeviceName, OSPlatform, AvPlatformVersion | where isnotempty(AvPlatformVersion) | extend AvPlatformV = parse_version(AvPlatformVersion) | where AvPlatformV < threshold

Ensure that any devices discovered using these methods are updated to Microsoft Defender Antimalware Platform version 4.18.26030.3011 or higher. This will be performed automatically by Microsoft, or by manually checking for updates as shown in the manual instructions above.

What will Northwave do?
We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can call us by phone or send us an email if you would like additional information.

E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000

Disclaimer applies, see below.

Sources
[1]: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825
[2]: https://advisories.ncsc.nl/2026/ncsc-2026-0115.html
 

Microsoft heeft een beveiligingsupdate uitgebracht voor Microsoft Defender om een kwetsbaarheid voor privilege-escalatie te verhelpen waarvoor openbare proof-of-concept code beschikbaar is, wat misbruik waarschijnlijker maakt[1]. Aangezien Microsoft Defender op vrijwel alle Windows-systemen is geïnstalleerd, is onmiddellijke actie vereist om te verifiëren dat uw systemen beschermd zijn.

Beschrijving
Op 14 april 2026 publiceerde Microsoft CVE-2026-33825, een kwetsbaarheid voor verhoging van bevoegdheden in het Microsoft Defender Antimalware Platform[1]. De kwetsbaarheid stelt een aanvaller met lokale toegang tot een systeem in staat om zijn bevoegdheden te verhogen naar een hoger niveau. De kwetsbaarheid bestaat doordat Windows Defender toegangscontroles niet correct afdwingt, waardoor een geauthenticeerde aanvaller verhoogde rechten op het systeem kan verkrijgen. Proof-of-Concept exploitcode is publiekelijk vrijgegeven, die laat zien hoe deze kwetsbaarheid misbruikt kan worden. Dit vergroot de kans aanzienlijk dat aanvallers deze kwetsbaarheid zullen gebruiken bij daadwerkelijke aanvallen.Microsoft Defender Antimalware Platform versies tot en met versie 4.18.26020.6 zijn getroffen door deze kwetsbaarheid. Versies na versie 4.18.26030.3011 zijn niet getroffen door deze kwetsbaarheid.

Impact
Wij schatten de impact van deze kwetsbaarheid in als medium.Een aanvaller die al initiële toegang tot uw netwerk heeft verkregen (bijvoorbeeld via phishing of gestolen inloggegevens) kan deze kwetsbaarheid gebruiken om zijn bevoegdheden te verhogen van een reguliere gebruiker naar beheerdersniveau. Dit zou hen in staat stellen om:

  • Volledige controle over getroffen systemen te nemen
  • Malware of ransomware te installeren
  • Toegang te krijgen tot gevoelige gegevens
  • Lateraal door uw netwerk te bewegen om aanvullende systemen te compromitteren
  • Persistente backdoors te creëren voor toekomstige toegang

Aangezien Microsoft Defender aanwezig is op vrijwel alle Windows-systemen in organisatorische omgevingen, is de potentiële reikwijdte van de impact uitgebreid.

Risico
Wij schatten het risico van deze kwetsbaarheid in als medium.Het Nationaal Cyber Security Centrum (NCSC-NL) heeft deze kwetsbaarheid geclassificeerd als hoge prioriteit, en heeft hun initiële beoordeling specifiek opgewaardeerd omdat er publieke exploitcode beschikbaar kwam[2]. De combinatie van wijdverspreide productuitrol, beschikbare exploitcode en de strategische waarde van privilege-escalatie bij meerfasige aanvallen creëert een significant risico. Aangezien de kwetsbaarheid echter vereist dat een aanvaller al lokale toegang tot een systeem heeft, schatten wij het risico van deze kwetsbaarheid in als medium in plaats van hoog.

Mitigatie
Microsoft heeft beveiligingsupdates uitgebracht die deze kwetsbaarheid verhelpen. In de meeste omgevingen werkt Microsoft Defender zichzelf automatisch bij, wat betekent dat uw systemen mogelijk al beschermd zijn.U dient echter te verifiëren dat de updates succesvol zijn geïnstalleerd, met name als:

  • Uw organisatie beheerde of vertraagde updatebeleiden gebruikt
  • U automatische updates voor Microsoft Defender heeft uitgeschakeld
  • U updates beheert via gecentraliseerde tools zoals WSUS of SCCM

Wat moet u doen?
Wij raden u aan te verifiëren dat de updates zijn toegepast. Dit kan handmatig op systemen worden uitgevoerd, of met behulp van Advanced Hunting binnen het Microsoft Defender-portaal.Om dit handmatig te verifiëren kunt u de volgende stappen uitvoeren[1]:

  1. Open het “Windows Security” (Windows-beveiliging)-programma. Typ bijvoorbeeld Beveiliging in de zoekbalk en selecteer het programma Windows-beveiliging.
  2. Selecteer in het navigatievenster Virus- en bedreigingsbeveiliging.
  3. Klik vervolgens op Beveiligingsupdates in het gedeelte updates van Virus- en bedreigingsbeveiliging.
  4. Selecteer Controleren op updates.
  5. Selecteer in het navigatievenster Instellingen en vervolgens Info.
  6. Controleer het Antimalware ClientVersion versienummer. De update is succesvol geïnstalleerd als het versienummer van het Malware Protection Platform overeenkomt met of hoger is dan het versienummer dat u probeert te verifiëren als geïnstalleerd.

Om dit op schaal te verifiëren kan Advanced Hunting binnen het Microsoft Defender-portaal worden gebruikt:

  1. Navigeer naar het Microsoft Defender-portaal op https://security.microsoft.com/
  2. Open "Onderzoek en respons" in het linkerdeelvenster
  3. Open Hunting → Advanced hunting
    1. OPMERKING: Dit vereist Microsoft Defender for Endpoint Plan 2
  4. Voer de volgende query in en voer deze uit om een overzicht te krijgen van alle kwetsbare apparaten:

let threshold = parse_version("4.18.26030.3011"); DeviceTvmInfoGathering | extend AdditionalFields = parse_json(AdditionalFields) | extend AvPlatformVersion = tostring(AdditionalFields.["AvPlatformVersion"]) | where OSPlatform startswith "Windows" | project DeviceName, OSPlatform, AvPlatformVersion | where isnotempty(AvPlatformVersion) | extend AvPlatformV = parse_version(AvPlatformVersion) | where AvPlatformV < threshold

Zorg ervoor dat alle apparaten die met deze methoden zijn ontdekt, worden bijgewerkt naar Microsoft Defender Antimalware Platform versie 4.18.26030.3011 of hoger. Dit zal automatisch worden gedaan door Microsoft, maar kan ook handmatig worden gedaan door de handmatig op updates te controleren zoals hierboven beschreven in de instructies voor handmatige verificatie.

Wat doet Northwave?
Wij zullen eventuele ontwikkelingen met betrekking tot deze kwetsbaarheid monitoren. Als er nieuwe kritieke informatie over deze dreiging beschikbaar komt, zullen wij contact met u opnemen. U kunt ons telefonisch bereiken of een e-mail sturen als u aanvullende informatie wenst.

E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000

Disclaimer is van toepassing, zie onder.

Bronnen
[1]: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825
[2]: https://advisories.ncsc.nl/2026/ncsc-2026-0115.html


 
 

Disclaimer

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We shall not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.

 

 

.