Microsoft heeft op dinsdag beveiligingsupdates uitgebracht om 57 kwetsbaarheden in zijn software aan te pakken, waaronder zes zero-day lekken die actief zijn misbruikt worden door hackers.

Van de 57 kwetsbaarheden zijn er zes als kritiek beoordeeld, 50 als belangrijk en één als laag in ernst. Drieëntwintig van deze kwetsbaarheden betreffen fouten die kunnen leiden tot uitvoering van externe code en 22 hebben betrekking op het misbruik van gebruikersrechten.

Deze updates komen bovenop de 17 kwetsbaarheden die Microsoft eerder heeft opgelost in zijn Chromium-gebaseerde Edge-browser sinds de vorige Patch Tuesday-update. Een van deze kwetsbaarheden betreft een spoofingfout specifiek voor de browser (CVE-2025-26643, CVSS-score: 5.4).

zes actief misbruikte kwetsbaarheden zijn:

• CVE-2025-24983 (CVSS-score: 7.0) - Een gebruik-na-vrijgave (UAF) kwetsbaarheid in het Windows Win32 Kernel Subsystem, waardoor een geautoriseerde aanvaller lokaal privileges kan verkrijgen.
• CVE-2025-24984 (CVSS-score: 4.6) - Een informatielek in Windows NTFS, waarbij een aanvaller met fysieke toegang en een kwaadaardige USB-stick mogelijk delen van het heap-geheugen kan lezen.
• CVE-2025-24985 (CVSS-score: 7.8) - Een integer-overflow in het Windows Fast FAT File System Driver, waarmee een niet-geautoriseerde aanvaller lokaal code kan uitvoeren.
• CVE-2025-24991 (CVSS-score: 5.5) - Een out-of-bounds read-kwetsbaarheid in Windows NTFS, waardoor een geautoriseerde aanvaller lokaal informatie kan bemachtigen.
• CVE-2025-24993 (CVSS-score: 7.8) - Een heap-based buffer overflow in Windows NTFS, waardoor een niet-geautoriseerde aanvaller lokaal code kan uitvoeren.
• CVE-2025-26633 (CVSS-score: 7.0) - Een onjuiste neutralisatiekwetsbaarheid in de Microsoft Management Console, waardoor een niet-geautoriseerde aanvaller lokaal een beveiligingsmaatregel kan omzeilen.

Beveiligingsbedrijf ESET, dat verantwoordelijk is voor de ontdekking en melding van CVE-2025-24983, verklaarde dat het deze zero-day kwetsbaarheid in maart 2023 voor het eerst in het echt detecteerde. De exploit werd verspreid via een backdoor genaamd PipeMagic op gecompromitteerde systemen.

PipeMagic, voor het eerst ontdekt in 2022, is een op plug-ins gebaseerde trojan die organisaties in Azië en Saoedi-Arabië heeft aangevallen. In late 2024 werd de malware verspreid als een nep OpenAI ChatGPT-applicatie.
"Een van de unieke kenmerken van PipeMagic is dat het een willekeurige 16-byte array genereert om een genummerde pipe te maken in het formaat \.\pipe\1.," onthulde Kaspersky in oktober 2024. "Deze pipe wordt continu gecreëerd, gelezen en vernietigd, en dient voor het ontvangen van gecodeerde payloads en stop-signalen via de standaard lokale interface."

De Zero Day Initiative stelde vast dat CVE-2025-26633 voortkomt uit de manier waarop MSC-bestanden worden verwerkt, waardoor aanvallers bestandsreputatiebescherming kunnen omzeilen en code kunnen uitvoeren in de context van de huidige gebruiker. Deze activiteit is gekoppeld aan een dreigingsactor genaamd EncryptHub (ook bekend als LARVA-208).

Volgens Action1 kunnen dreigingsactoren de vier kwetsbaarheden in kerncomponenten van het Windows-bestandssysteem combineren om externe code uit te voeren (CVE-2025-24985 en CVE-2025-24993) en informatie te onthullen (CVE-2025-24984 en CVE-2025-24991). Alle vier de kwetsbaarheden zijn anoniem gemeld.

"De exploit berust op een aanvaller die een kwaadaardig VHD-bestand maakt en een gebruiker overtuigt om dit bestand te openen of te koppelen," verklaarde Kev Breen, senior directeur van dreigingsonderzoek bij Immersive. "VHD's (Virtual Hard Disks) worden meestal gebruikt voor het opslaan van besturingssystemen van virtuele machines, maar we hebben gevallen gezien waarin dreigingsactoren VHD- of VHDX-bestanden inzetten als onderdeel van phishingcampagnes om malware langs antivirusoplossingen te smokkelen. Afhankelijk van de Windows-configuratie kan het dubbelklikken op een VHD-bestand voldoende zijn om de inhoud te activeren."

Volgens Satnam Narang, senior stafonderzoeker bij Tenable, is CVE-2025-26633 de tweede zero-day kwetsbaarheid in MMC die in het echt is misbruikt, na CVE-2024-43572. CVE-2025-24985 is bovendien de eerste kwetsbaarheid in het Windows Fast FAT File System Driver sinds maart 2022 en de eerste die als zero-day is uitgebuit.

Zoals gebruikelijk is het momenteel onbekend hoe de resterende kwetsbaarheden worden misbruikt, in welke context en op welke schaal de aanvallen plaatsvinden. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft deze kwetsbaarheden toegevoegd aan de catalogus van bekende misbruikte kwetsbaarheden (KEV), wat betekent dat federale instanties de patches uiterlijk op 1 april 2025 moeten toepassen.

Beveiligingsupdates van andere leveranciers
Naast Microsoft hebben de afgelopen weken verschillende andere leveranciers beveiligingsupdates uitgebracht om kwetsbaarheden te verhelpen, waaronder:

• Adobe
• Amazon Web Services
• AMD
• Apple
• Atlassian
• Broadcom (inclusief VMware)
• Canon
• Cisco
• Citrix
• D-Link
• Dell
• Drupal
• F5
• Fortinet
• GitLab
• Google (Android, Pixel, Chrome, Cloud, Wear OS)
• Hitachi Energy
• HP en HP Enterprise (inclusief Aruba Networking)
• IBM
• Ivanti
• Jenkins
• Lenovo
• LibreOffice
• Linux-distributies (Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE en Ubuntu)
• MediaTek
• Mitsubishi Electric
• Moxa
• Mozilla (Firefox, Firefox ESR en Thunderbird)
• NVIDIA
• QNAP
• Qualcomm
• Rockwell Automation
• Samsung
• SAP
• Schneider Electric
• Siemens
• Synology
• Veritas
• Zimbra
• Zoho ManageEngine
• Zoom
• Zyxel

Deze updates zijn essentieel om systemen te beschermen tegen mogelijke aanvallen en misbruik van kwetsbaarheden door cybercriminelen. Het wordt aangeraden om de patches zo snel mogelijk toe te passen.