Microsoft herstelt 138 kwetsbaarheden, waaronder DNS- en Netlogon RCE-fouten

Cyberbeveiliging
Microsoft herstelt 138 kwetsbaarheden, waaronder DNS- en Netlogon RCE-fouten

Microsoft heeft dinsdag patches uitgebracht voor 138 beveiligingskwetsbaarheden in zijn productportfolio, hoewel geen van deze is vermeld als algemeen bekend of actief wordt aangevallen.

Van de 138 tekortkomingen worden er 30 als kritiek beoordeeld, 104 als belangrijk, drie als matig en één als laag qua ernst. Maar liefst 61 kwetsbaarheden worden geclassificeerd als bugs voor escalatie van privileges, gevolgd door 32 bugs voor het uitvoeren van externe code, 15 vrijgeven van informatie, 14 spoofing, acht denial-of-service, zes omzeiling van beveiligingsfuncties en twee knoeifouten.

De updatelijst bevat ook een kwetsbaarheid die deze maand door AMD is gepatcht (CVE-2025-54518, CVSS-score: 7,3). Het heeft betrekking op een geval van onjuiste isolatie van gedeelde bronnen binnen de CPU-operatiecache op Zen 2-gebaseerde producten, waardoor een aanvaller instructies kan corrumperen die op een ander privilegeniveau zijn uitgevoerd, wat mogelijk kan resulteren in escalatie van privileges.

De patches zijn bovendien een aanvulling op 127 beveiligingslekken die Google heeft aangepakt in Chromium, dat de basis vormt voor Microsofts Edge-browser.

Een van de ernstigste kwetsbaarheden die Redmond heeft gepatcht is CVE-2026-41096 (CVSS-score: 9,8), een heap-gebaseerde buffer-overflow-fout die invloed heeft op Windows DNS en waardoor een ongeautoriseerde aanvaller code via een netwerk kan uitvoeren.

“Een aanvaller zou dit beveiligingslek kunnen misbruiken door een speciaal vervaardigd DNS-antwoord naar een kwetsbaar Windows-systeem te sturen, waardoor de DNS-client het antwoord verkeerd verwerkt en het geheugen beschadigd”, aldus Microsoft. “In bepaalde configuraties zou dit de aanvaller in staat kunnen stellen om zonder authenticatie op afstand code uit te voeren op het getroffen systeem.”

Ook opgelost door Microsoft zijn verschillende kritieke en belangrijke fouten:

  • CVE-2026-42826 (CVSS-score: 10,0) – Een blootstelling van gevoelige informatie aan een ongeautoriseerde actor in Azure DevOps waarmee een ongeautoriseerde aanvaller informatie via een netwerk kan vrijgeven. (Vereist geen actie van de klant)
  • CVE-2026-33109 (CVSS-score: 9,9) – Een onjuist toegangscontrole in Azure Managed Instance voor Apache Cassandra waarmee een geautoriseerde aanvaller code via een netwerk kan uitvoeren. (Vereist geen actie van de klant)
  • CVE-2026-42898 (CVSS-score: 9,9) – Een beveiligingslek met betrekking tot code-injectie in Microsoft Dynamics 365 (on-premises) waardoor een geautoriseerde aanvaller code via een netwerk kan uitvoeren.
  • CVE-2026-42823 (CVSS-score: 9,9) – Een onjuist toegangscontrole in Azure Logic Apps waarmee een geautoriseerde aanvaller bevoegdheden via een netwerk kan verhogen.
  • CVE-2026-41089 (CVSS-score: 9,8) – Een op stack gebaseerde bufferoverflow in Windows Netlogon waarmee een ongeautoriseerde aanvaller code via een netwerk kan uitvoeren zonder zich aan te melden of voorafgaande toegang te hebben door een speciaal vervaardigd netwerkverzoek te sturen naar een Windows-server die fungeert als domeincontroller.
  • CVE-2026-33823 (CVSS-score: 9,6) – Een onjuiste autorisatie in Microsoft Teams waarmee een geautoriseerde aanvaller informatie via een netwerk kan vrijgeven. (Vereist geen actie van de klant)
  • CVE-2026-35428 (CVSS-score: 9,6) – Een kwetsbaarheid voor opdrachtinjectie in Azure Cloud Shell waardoor een ongeautoriseerde aanvaller spoofing via een netwerk kan uitvoeren. (Vereist geen actie van de klant)
  • CVE-2026-40379 (CVSS-score: 9,3) – Een blootstelling van gevoelige informatie aan een ongeautoriseerde actor in Azure Entra ID waarmee een ongeautoriseerde aanvaller spoofing via een netwerk kan uitvoeren. (Vereist geen actie van de klant)
  • CVE-2026-40402 (CVSS-score: 9,3) – Een user-after-free in Windows Hyper-V waarmee een ongeautoriseerde aanvaller SYSTEEMrechten kan verkrijgen en toegang kan krijgen tot de Hyper-V-hostomgeving.
  • CVE-2026-41103 (CVSS-score: 9.1) – Een onjuiste implementatie van het authenticatiealgoritme in de Microsoft SSO Plugin voor Jira & Confluence, waardoor een ongeautoriseerde aanvaller ongeautoriseerde toegang kan krijgen tot Jira of Confluence als een geldige gebruiker en acties kan uitvoeren met dezelfde machtigingen als het gecompromitteerde account.
  • CVE-2026-33117 (CVSS-score: 9,1) – Een onjuiste verificatie in Azure SDK waarmee een ongeautoriseerde aanvaller een beveiligingsfunctie via een netwerk kan omzeilen.
  • CVE-2026-42833 (CVSS-score: 9,1) – Een uitvoering met onnodige bevoegdheden in Microsoft Dynamics 365 (on-premises) waarmee een geautoriseerde aanvaller code via een netwerk kan uitvoeren en de mogelijkheid krijgt om te communiceren met de applicaties en inhoud van andere tenants.
  • CVE-2026-33844 (CVSS-score: 9,0) – Een onjuiste invoervalidatie in Azure Managed Instance voor Apache Cassandra waarmee een geautoriseerde aanvaller code via een netwerk kan uitvoeren. (Vereist geen actie van de klant)
  • CVE-2026-40361 (CVSS-score: 8,4) – Een ‘use-after-free’-kwetsbaarheid in Microsoft Office Word waardoor een ongeautoriseerde aanvaller code lokaal kan uitvoeren zonder tussenkomst van de gebruiker.
  • CVE-2026-40364 (CVSS-score: 8,4) – Een kwetsbaarheid voor typeverwarring in Microsoft Office Word waardoor een niet-geautoriseerde aanvaller code lokaal kan uitvoeren zonder tussenkomst van de gebruiker.

“Deze kritieke kwetsbaarheid voor misbruik van bevoegdheden stelt een ongeautoriseerde aanvaller in staat zich voor te doen als een bestaande gebruiker door vervalste inloggegevens te presenteren, waardoor Entra ID wordt omzeild”, zegt Adam Barnett, hoofdsoftware-ingenieur bij Rapid7, over CVE-2026-41103.

Jack Bicer, directeur kwetsbaarheidsonderzoek bij Action1, beschreef CVE-2026-42898 als een kritieke fout waardoor een geverifieerde aanvaller met lage rechten willekeurige code over het netwerk kan uitvoeren door processessiegegevens binnen Dynamics CRM te manipuleren.

“Omdat er geen gebruikersinteractie vereist is en het potentieel heeft om systemen te beïnvloeden die verder gaan dan de oorspronkelijke beveiligingsreikwijdte van het kwetsbare onderdeel, vormt deze kwetsbaarheid een ernstig bedrijfsrisico: een aanvaller met alleen basistoegang zou een bedrijfsapplicatieserver kunnen veranderen in een platform voor uitvoering op afstand”, aldus Bicer.

“Het compromitteren van de Dynamics 365-infrastructuur kan klantgegevens, operationele workflows, financiële informatie en geïntegreerde bedrijfssystemen blootleggen. Omdat CRM-omgevingen vaak verbinding maken met identiteitsservices, databases en bedrijfsapplicaties, kan succesvolle exploitatie leiden tot bredere organisatorische compromissen en operationele verstoringen.”

Organisaties wordt ook geadviseerd om Windows Secure Boot-certificaten vóór volgende maand bij te werken naar hun 2023-tegenhangers, wanneer de in 2011 uitgegeven certificaten verlopen. Microsoft kondigde de wijziging voor het eerst aan in november 2025.

“De meest kritische niet-CVE-update betreft de verplichte uitrol van bijgewerkte Secure Boot-certificaten”, zegt Rain Baker, senior incidentresponsspecialist bij Nightwing. “Apparaten die deze updates niet vóór de deadline van 26 juni ontvangen, worden geconfronteerd met ‘catastrofale beveiligingsfouten op opstartniveau’ of verslechterde beveiligingsstatussen. Zorg ervoor dat uw hele vloot vóór de deadline van 26 juni 2026 met succes overschakelt naar de nieuwe trust anchors.”

Tot nu toe meer dan 500 CVE’s in 2026

Volgens Satnam Narang, senior research engineer bij Tenable, heeft Microsoft vijf maanden na het jaar al meer dan 500 CVE’s gepatcht. Dit grote aantal oplossingen weerspiegelt een bredere trend in de sector waarbij de ontdekking van kwetsbaarheden nieuwe hoogtepunten heeft bereikt, waarbij een deel ervan wordt gemarkeerd via door kunstmatige intelligentie (AI) aangedreven benaderingen.

Microsoft zegt in een dinsdag gepubliceerd rapport dat AI-ondersteunde detectie van kwetsbaarheden naar verwachting de omvang van Patch Tuesday-releases in de komende maanden zal vergroten, waarbij 16 van de fouten die deze maand zijn opgelost in de Windows-netwerk- en authenticatiestack zijn geïdentificeerd via zijn nieuwe multi-model AI-gestuurd systeem voor het ontdekken van kwetsbaarheden, met de codenaam MDASH (afkorting van MultimoDel Agentisch Sinblikken Harmheid).

“In de release van deze maand werd een groter deel van de aangepakte problemen door Microsoft ontdekt, vergeleken met voorgaande maanden”, zegt Tom Gallagher, vice-president engineering bij Microsoft Security Response Center. “Veel hiervan zijn aan het licht gekomen via AI-investeringen en onderzoeken binnen onze engineering- en onderzoeksteams, waaronder het gebruik van Microsofts nieuwe multi-model AI-gestuurde scanharnas.”

Microsoft benadrukte ook dat de omvang en snelheid van het ontdekken van kwetsbaarheden als gevolg van AI de operationele eisen kunnen verhogen en een consistente, gedisciplineerde benadering van risicobeheer vereisen om ervoor te zorgen dat problemen snel worden verholpen en tijdig worden opgelost.

“Blijf op de hoogte van ondersteunde besturingssystemen, producten en patches, en bekijk de snelheid en consistentie van uw patchfrequentie opnieuw”, aldus Gallagher. “Triage op basis van blootstelling en impact, niet op ruwe telling.”

Andere aanbevelingen van Microsoft zijn onder meer het verminderen van onnodige internetblootstelling, het verbeteren van de configuratiehygiëne, het verwijderen van verouderde authenticatie, het mogelijk maken van multi-factor authenticatie (MFA), het afdwingen van sterke toegangscontroles, het segmenteren van omgevingen om incidenten te beperken en het investeren in detectie en respons.

“Het werk van het vinden en oplossen van kwetsbaarheden wordt in de hele sector steeds sneller, breder en rigoureuzer”, aldus de technologiegigant. “Wat wij op onze beurt aanmoedigen is een doordachte blik op de vraag of de praktijken die goed werkten voor het herstellandschap van een paar jaar geleden nog steeds goed aansluiten bij waar het landschap naartoe gaat.”

“De fundamenten zijn niet veranderd. Het tempo waarin ze moeten worden toegepast verandert, en de organisaties die zich daaraan aanpassen zullen degenen zijn die het best gepositioneerd zijn voor wat daarna komt.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Azerbeidzjaans energiebedrijf getroffen door herhaalde exploitatie van Microsoft Exchange

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]