Microsoft begon 2025 met een nieuwe reeks patches voor in totaal 161 beveiligingskwetsbaarheden in zijn softwareportfolio, waaronder drie zero-days die actief zijn uitgebuit bij aanvallen.
Van de 161 tekortkomingen worden er 11 als kritiek beoordeeld en 149 als belangrijk qua ernst. Aan een ander probleem, een niet-Microsoft CVE gerelateerd aan een Windows Secure Boot bypass (CVE-2024-7344), is geen ernst toegekend. Volgens het Zero Day Initiative markeert de update het grootste aantal CVE’s dat in één maand is behandeld sinds minstens 2017.
De oplossingen vormen een aanvulling op zeven kwetsbaarheden die de Windows-maker heeft aangepakt in zijn Chromium-gebaseerde Edge-browser sinds de release van Patch Tuesday-updates van december 2024.
Prominent onder de door Microsoft uitgebrachte patches is een drietal fouten in Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334 en CVE-2025-21335, CVSS-scores: 7,8) waarvan het bedrijf zei is in het wild actief geëxploiteerd –
“Een aanvaller die deze kwetsbaarheid met succes misbruikt, kan SYSTEEMrechten verkrijgen”, aldus het bedrijf in een advies over de drie kwetsbaarheden.
Zoals gebruikelijk is het momenteel niet bekend hoe deze tekortkomingen worden uitgebuit en in welke context. Microsoft maakt ook geen melding van de identiteit van de bedreigingsactoren die hen bewapenen, of van de omvang van de aanvallen.
Maar gezien het feit dat het bugs zijn die privileges escaleren, worden ze zeer waarschijnlijk gebruikt als onderdeel van post-compromisactiviteiten, waarbij een aanvaller al op een andere manier toegang heeft gekregen tot een doelsysteem, zegt Satnam Narang, senior research engineer bij Tenable. .
“De Virtualization Service Provider (VSP) bevindt zich in de rootpartitie van een Hyper-V-instantie en biedt synthetische apparaatondersteuning voor onderliggende partities via de Virtual Machine Bus (VMBus): het is de basis van hoe Hyper-V de onderliggende partitie in staat stelt om zichzelf voor de gek te houden door te denken dat het een echte computer is”, vertelde Adam Barnett, Lead Software Engineer van Rapid7, aan The Hacker News.
“Gezien het feit dat het allemaal om een beveiligingsgrens gaat, is het misschien verrassend dat Microsoft tot op de dag van vandaag geen Hyper-V NT Kernel Integratie VSP-kwetsbaarheden heeft erkend, maar het zal helemaal niet schokkend zijn als er nu meer naar voren komen.”
De exploitatie van Windows Hyper-V NT Kernel Integration VSP heeft er ook toe geleid dat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) deze heeft toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor federale instanties de oplossingen vóór 4 februari 2025 moeten toepassen.
Los daarvan heeft Redmond gewaarschuwd dat vijf van de bugs publiekelijk bekend zijn:
Het is vermeldenswaard dat CVE-2025-21308, wat zou kunnen leiden tot ongepaste openbaarmaking van een NTLM-hash, eerder door 0patch werd gemarkeerd als een bypass voor CVE-2024-38030. In oktober 2024 zijn micropatches voor het beveiligingslek uitgebracht.
Alle drie de Microsoft Access-problemen zijn daarentegen toegeschreven aan Unpatched.ai, een AI-gestuurd platform voor het ontdekken van kwetsbaarheden. Action1 merkte ook op dat hoewel de fouten worden gecategoriseerd als kwetsbaarheden voor het uitvoeren van externe code (RCE), de misbruiker vereist dat een aanvaller de gebruiker ervan overtuigt een speciaal vervaardigd bestand te openen.
De update valt ook op door het wegwerken van vijf kritieke tekortkomingen:
- CVE-2025-21294 (CVSS-score: 8.1) – Beveiligingslek bij het uitvoeren van externe code bij Microsoft Digest-verificatie
- CVE-2025-21295 (CVSS-score: 8,1) – SPNEGO Extended Negotiation (NEGOEX) beveiligingsmechanisme Kwetsbaarheid bij uitvoering van externe code
- CVE-2025-21298 (CVSS-score: 9,8) – Beveiligingslek bij het uitvoeren van externe code in Windows Object Linking and Embedding (OLE)
- CVE-2025-21307 (CVSS-score: 9,8) – Beveiligingslek bij het uitvoeren van externe code in Windows Reliable Multicast Transport Driver (RMCAST)
- CVE-2025-21311 (CVSS-score: 9,8) – Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows NTLM V1
“In een scenario van een e-mailaanval kan een aanvaller het beveiligingslek misbruiken door een speciaal vervaardigde e-mail naar het slachtoffer te sturen”, aldus Microsoft in zijn bulletin voor CVE-2025-21298.
“Misbruik van het beveiligingslek kan inhouden dat een slachtoffer een speciaal vervaardigde e-mail opent met een getroffen versie van Microsoft Outlook-software, of dat de Outlook-toepassing van een slachtoffer een voorbeeld weergeeft van een speciaal vervaardigde e-mail. Dit kan ertoe leiden dat de aanvaller externe code uitvoert op de computer van het slachtoffer.” machine.”
Om dit probleem te voorkomen, wordt gebruikers aangeraden e-mailberichten in platte tekst te lezen. Het adviseert ook het gebruik van Microsoft Outlook om het risico te verkleinen dat gebruikers RTF-bestanden openen van onbekende of niet-vertrouwde bronnen.
“De CVE-2025-21295-kwetsbaarheid in het SPNEGO Extended Negotiation (NEGOEX) beveiligingsmechanisme stelt niet-geverifieerde aanvallers in staat om op afstand kwaadaardige code uit te voeren op getroffen systemen zonder gebruikersinteractie”, zegt Saeed Abbasi, manager kwetsbaarheidsonderzoek bij Qualys Threat Research Unit.
“Ondanks een hoge aanvalscomplexiteit (AC:H) kan succesvolle exploitatie de bedrijfsinfrastructuur volledig in gevaar brengen door een kernlaag van beveiligingsmechanismen te ondermijnen, wat kan leiden tot potentiële datalekken. Omdat er geen geldige inloggegevens vereist zijn, is het risico op wijdverbreide impact aanzienlijk, wat de nadruk legt op de behoefte aan onmiddellijke patches en waakzame mitigatie.”
Wat CVE-2025-21294 betreft, zei Microsoft dat een slechte actor dit beveiligingslek met succes zou kunnen misbruiken door verbinding te maken met een systeem dat digest-authenticatie vereist, waardoor een race condition wordt geactiveerd om een use-after-free-scenario te creëren, en dit vervolgens te gebruiken om willekeurige code uit te voeren. .
“Microsoft Digest is de applicatie die verantwoordelijk is voor het uitvoeren van initiële authenticatie wanneer een server de eerste uitdagingsreactie van een client ontvangt”, zegt Ben Hopkins, cybersecurity-ingenieur bij Immersive Labs. “De server werkt door te controleren of de client nog niet is geverifieerd. CVE-2025-21294 omvat de exploitatie van dit proces voor aanvallers om externe code-uitvoering (RCE) te bewerkstelligen.”
Onder de lijst met kwetsbaarheden die zijn getagd omdat de kans groter is dat ze worden uitgebuit, bevindt zich een fout in de vrijgave van informatie die Windows BitLocker treft (CVE-2025-21210, CVSS-score: 4.2) en die het herstel van sluimerstandafbeeldingen in leesbare tekst mogelijk zou kunnen maken, ervan uitgaande dat een aanvaller fysieke toegang kunnen krijgen tot de harde schijf van het slachtoffer.
“Sluimerstandbeelden worden gebruikt wanneer een laptop in de sluimerstand gaat en bevatten de inhoud die in het RAM was opgeslagen op het moment dat het apparaat werd uitgeschakeld”, zegt Kev Breen, senior directeur dreigingsonderzoek bij Immersive Labs.
“Dit heeft een aanzienlijke potentiële impact omdat RAM gevoelige gegevens kan bevatten (zoals wachtwoorden, inloggegevens en PII) die mogelijk in open documenten of browsersessies hebben gestaan en allemaal kunnen worden hersteld met gratis tools uit slaapstandbestanden.”
Softwarepatches van andere leveranciers
Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:
