Gerelateerde artikelen
Microsoft heeft in een recente update voor Windows 11 een opvallende wijziging doorgevoerd. Het besturingssysteem blokkeert voortaan automatisch de voorvertoning van bestanden die van internet zijn gedownload.
Deze maatregel is bedoeld om gebruikers beter te beschermen tegen een kwetsbaarheid in het Voorbeeldvenster van Windows Verkenner.
Waarom deze maatregel?
De aanleiding voor deze wijziging is een beveiligingslek waarbij kwaadwillenden via speciaal geprepareerde bestanden gevoelige informatie kunnen buitmaken. Het gaat met name om bestanden die HTML-tags bevatten zoals <link> of <src>, die kunnen verwijzen naar externe servers. Wanneer zo’n bestand in het Voorbeeldvenster wordt weergegeven, kan het systeem onbedoeld versleutelde inloggegevens of NTLM-hashes, prijsgeven.
NTLM of NT LAN Manager, is een verouderd authenticatieprotocol van Microsoft. Hoewel het nog steeds in gebruik is, zijn de bijbehorende hashes kwetsbaar voor zogeheten pass-the-hash-aanvallen. Door simpelweg een bestand te selecteren in Verkenner zonder het te openen, kan een aanval al worden geactiveerd.
pass-the-hash aanvallen
Een pass-the-hash aanval is een type cyberaanval waarbij een aanvaller geen wachtwoord hoeft te kraken. In plaats daarvan gebruik maakt van een versleutelde wachtwoordhash om toegang te krijgen tot systemen.
Hoe werkt het?
- Wanneer u inlogt op een Windows-netwerk, kan uw wachtwoord omgezet worden in een hash, dat is een versleutelde reeks tekens.
- Deze hash is ervoor om uw identiteit te verifiëren.
- Als een aanvaller deze hash weet te bemachtigen; bijvoorbeeld via een kwetsbaarheid in een bestand of netwerkverkeer kan hij die gebruiken om zich als u voor te doen op andere systemen, zonder het wachtwoord zelf te kennen.
Waarom is dit gevaarlijk? - Het omzeilt traditionele wachtwoordbeveiliging.
- Verder kan het leiden tot laterale beweging binnen een netwerk: de aanvaller springt van systeem naar systeem met dezelfde hash. (Zie voorbeeld).
- Vooral oudere protocollen zoals NTLM zijn hier gevoelig voor.
Beveiliging gaat soms ten koste van gemak, maar in dit geval is het een noodzakelijke afweging,
aldus Microsoft in hun toelichting op de update.
Voorbeeld: één besmette laptop naar het hele bedrijfsnetwerk
Situatie: Een medewerker opent een kwaadaardig bestand dat hij via e-mail heeft ontvangen. Zijn laptop raakt geïnfecteerd met malware die in staat is om inloggegevens, zoals NTLM-hashes, te onderscheppen.
Stap 1 – Initiële toegang: De aanvaller krijgt via de malware toegang tot de laptop van de medewerker. Deze laptop is verbonden met het bedrijfsnetwerk.
Stap 2 – Verzamelen van credentials: De malware verzamelt inloggegevens van de gebruiker en mogelijk ook van andere gebruikers die zich op die laptop hebben aangemeld.
Stap 3 – Laterale beweging: Met de buitgemaakte hashes probeert de aanvaller zich aan te melden op andere systemen binnen hetzelfde netwerk, zoals:
- Een fileserver waar vertrouwelijke documenten staan
- Een HR-systeem, ook wel Human Resource Management systeem genoemd, met persoonsgegevens
- Een domeincontroller die toegang geeft tot het hele netwerk
Stap 4 – Escalatie: Als één van die systemen zwak beveiligd is of dezelfde inloggegevens accepteert, krijgt de aanvaller toegang. Hij kan zich nu verder verspreiden, extra rechten verkrijgen (privilege escalation), en uiteindelijk het hele netwerk controleren.
Wat verandert er voor gebruikers?
Vanaf de update van 14 oktober 2025 schakelt Windows Verkenner automatisch de voorvertoning uit voor bestanden die als ‘van internet gedownload’ worden herkend. In plaats van een miniatuur of inhoudsweergave verschijnt een waarschuwingsmelding: “Het bestand dat u probeert te previewen kan uw computer beschadigen.” Gebruikers kunnen het bestand nog steeds openen, maar moeten daarvoor expliciet aangeven dat ze de bron vertrouwen.
Wie toch de voorvertoning wil inschakelen, kan dit per bestand doen via de Eigenschappen, door de rechtermuisklik > Eigenschappen > ‘Blokkering opheffen’ aanvinken. Deze extra stap moet voorkomen dat gebruikers onbewust gevaarlijke bestanden openen.
Wat betekent dit voor dagelijks gebruik?
Voor veel gebruikers is de voorvertoning in Verkenner een handige functie, vooral bij het snel doorzoeken van afbeeldingen, documenten of mediabestanden. De nieuwe beperking kan dus als hinderlijk worden ervaren, zeker bij het verwerken van grote hoeveelheden bestanden van externe bronnen.
Toch is de maatregel niet uniek: macOS van Apple blokkeert al jaren de voorvertoning van bepaalde bestandstypen, zoals installatie- en uitvoerbare bestanden. Ook Linux-distributies bieden vergelijkbare bescherming in hun bestandsbeheerders, al is de implementatie daar minder uniform.
Alternatieven en tips
Voor gebruikers die toch snel bestanden willen bekijken zonder ze volledig te openen, biedt Microsoft een alternatief via de PowerToys-tool Peek.
Deze tool maakt het mogelijk om met een druk op de spatiebalk een veilige voorvertoning te openen, vergelijkbaar met macOS’ Quick Look.
Conclusie
De blokkering van voorvertoning in Windows 11 is een duidelijke stap richting betere beveiliging, maar vraagt ook om aanpassing van gebruikersgedrag. Vooral voor professionals die veel met externe bestanden werken zoals journalisten, ontwerpers of systeembeheerders is het belangrijk om bewust te blijven van de risico’s van ogenschijnlijk onschuldige bestanden.
