Kritieke kwetsbaarheden in Microsoft producten: April 2025 patch dinsdag brengt nieuwe zorgen
Microsoft heeft dinsdag, op de patchdinsdag van april 2025, maar liefst 125 beveiligingsupdates uitgebracht om kwetsbaarheden in verschillende producten te verhelpen. Onder deze updates bevindt zich een Zero-Day kwetsbaarheid die actief wordt uitgebuit en miljoenen Windows 10-apparaten treft, maar nog steeds zonder een definitieve oplossing is.
Uit de gerapporteerde kwetsbaarheden worden 11 als kritiek geclassificeerd (allemaal voor remote code execution, RCE), terwijl 112 als belangrijk worden beschouwd. Deze patchaanpak richt zich op essentiële systeembestanden zoals Kerberos, Remote Desktop, Microsoft Office en TCP/IP, onder andere.
Een nog niet gepatchte Zero-Day kwetsbaarheid
De meest verontrustende ontdekkingen betreft CVE-2025-29824, een kwetsbaarheid in het Windows Common Log File System (CLFS) die door groepen zoals RansomEXX al in echte aanvallen is uitgebuit. Deze kwetsbaarheid stelt aanvallers met beperkte toegang tot een apparaat in staat om hun privileges te verhogen tot het niveau van SYSTEM, wat neerkomt op volledig systeembeheer.
Microsoft heeft de actieve exploitatie bevestigd en gewaarschuwd dat er nog geen patch beschikbaar is voor Windows 10 (zowel voor 32-bits als 64-bits versies). Updates zullen “binnenkort” worden uitgebracht, maar het risico blijft bestaan, vooral in bedrijfsomgevingen waar verouderde versies van het systeem nog steeds in gebruik zijn.
Opdeling van de beveiligingsupdates in april
Hieronder volgt een overzicht van de verschillende soorten kwetsbaarheden die in deze massale update zijn verholpen:
| Type kwetsbaarheid | Aantal |
|---|---|
| Elevatie van privileges (EoP) | 49 |
| Omissie van beveiligingsfuncties | 9 |
| Remote Code Execution (RCE) | 34 |
| Informatie openbaarmaking | 17 |
| Denial of Service (DoS) | 14 |
| Identiteitsfraude | 3 |
Daarnaast zijn er 22 kwetsbaarheden in Microsoft Edge (gebaseerd op Chromium) verholpen, die niet in de hoofdtelling van het beveiligingsbulletin zijn opgenomen.
Kritieke kwetsbaarheden in Office, Hyper-V, LDAP en TCP/IP
Tussen de verontrustende ontdekkingen zijn er verschillende kritieke kwetsbaarheden in de Microsoft Office-suite, vooral in Excel en Word, die het mogelijk maken om code uit te voeren door simpelweg een schadelijk bestand te openen. Belangrijke kwetsbaarheden zijn onder andere:
- CVE-2025-29791, CVE-2025-27749, CVE-2025-27752 (Office/Excel): maken uitvoering van remote code mogelijk via speciaal ontworpen bestanden.
- CVE-2025-27480 en CVE-2025-27482: kritieke kwetsbaarheden in Remote Desktop Gateway.
- CVE-2025-26663 en CVE-2025-26670: kwetsbaarheden in LDAP-servers en clients.
- CVE-2025-26686: remote code execution in de TCP/IP component.
- CVE-2025-27491: kritieke kwetsbaarheid in Hyper-V, de virtualisatiesoftware van Windows.
Kerberos onder druk
Een van de meest gevoelige kwetsbaarheden is CVE-2025-29809, die het Kerberos-authenticatiesysteem aantast en het mogelijk maakt om beveiligingsfuncties te omzeilen. Hoewel deze als "belangrijk" is geclassificeerd, kan de impact op bedrijfsomgevingen aanzienlijk zijn.
De mysterie van de «inetpub» map
Na het installeren van de update KB5055523 voor Windows 11 is er gerapporteerd dat er automatisch een lege map genaamd C:\inetpub wordt aangemaakt, zelfs op apparaten waar Internet Information Services (IIS) niet is geïnstalleerd. Hoewel dit geen bedreiging vormt en geen invloed heeft op de systeemprestaties, heeft het verwarring veroorzaakt bij IT-beheerders. Microsoft heeft nog niet verduidelijkt of dit een fout of een voorgestelde wijziging is.
Andere bedrijven upgraden ook hun systemen
Microsoft is niet de enige leverancier die updates heeft uitgebracht in april. Andere bedrijven die ook kritieke patches hebben vrijgegeven deze maand zijn onder andere:
- Adobe
- Apple
- Google (Chrome, Android, Cloud)
- IBM
- AMD, Intel en Qualcomm
- VMware (Broadcom), Cisco en Fortinet
- Dell, HP, Lenovo, ASUS
- Amazon Web Services
- Synology, QNAP en WordPress
- Salesforce, SAP en Zoom
- Linux-distributies zoals Ubuntu, Red Hat en SUSE
Conclusie: Een maand van hoge spanning in cyberbeveiliging
De massale patching in april benadrukt opnieuw de complexiteit van het handhaven van veilige infrastructuren te midden van een groeiend aantal bedreigingen. De actieve exploitatie van een nog niet gepatchte kwetsbaarheid voor Windows 10 en de aanwezigheid van meerdere kritieke kwetsbaarheden bevestigen de dringende noodzaak voor bedrijven om hun update-strategieën en netwerkscheiding herzien.
Experts van bedrijven zoals Tenable en Action1 hebben gewaarschuwd dat kwetsbaarheden zoals die van CLFS laterale bewegingen en persistentie in gecompromitteerde systemen kunnen vergemakkelijken, wat ze bijzonder aantrekkelijk maakt voor ransomwaregroepen.
Bedrijven en beheerders moeten snel handelen: installeer de beschikbare patches, monitor systemen zonder onmiddellijke updates, en neem mitigatiemaatregelen totdat de fixes beschikbaar zijn.