Microsoft sloot 2025 af met patches voor 56 beveiligingsfouten in verschillende producten op het Windows-platform, waaronder één kwetsbaarheid die actief in het wild is uitgebuit.
Van de 56 tekortkomingen worden er drie als kritiek beoordeeld en 53 als belangrijk qua ernst. Twee andere defecten zijn op het moment van de release publiekelijk bekend. Deze omvatten 29 escalatie van privileges, 18 uitvoering van externe code, vier vrijgave van informatie, drie denial-of-service en twee spoofing-kwetsbaarheden.
In totaal heeft Microsoft in 2025 in totaal 1.275 CVE’s aangepakt, volgens gegevens verzameld door Fortra. Satnam Narang van Tenable zei dat 2025 ook het tweede jaar op rij is waarin de Windows-maker meer dan 1.000 CVE’s heeft gepatcht. Het is de derde keer dat dit gebeurt sinds de start van Patch Tuesday.
De update is een aanvulling op 17 tekortkomingen die de technologiegigant heeft gepatcht in zijn Chromium-gebaseerde Edge-browser sinds de release van de Patch Tuesday-update van november 2025. Dit betreft ook een spoofing-kwetsbaarheid in Edge voor iOS (CVE-2025-62223, CVSS-score: 4.3).
Het beveiligingslek dat actief wordt uitgebuit is CVE-2025-62221 (CVSS-score: 7,8), een gebruik-na-gratis in Windows Cloud Files Mini Filter Driver waarmee een geautoriseerde aanvaller lokaal bevoegdheden kan verhogen en SYSTEEMmachtigingen kan verkrijgen.
“File system filter drivers, oftewel minifilters, hechten zich aan de systeemsoftwarestack en onderscheppen verzoeken gericht op een bestandssysteem, en breiden of vervangen de functionaliteit van het oorspronkelijke doel”, zegt Adam Barnett, hoofdsoftware-ingenieur bij Rapid7, in een verklaring. “Typische gebruiksscenario’s zijn onder meer gegevensversleuteling, geautomatiseerde back-up, on-the-fly compressie en cloudopslag.”
“Het minifilter van Cloud Files wordt gebruikt door OneDrive, Google Drive, iCloud en anderen, hoewel het als kerncomponent van Windows nog steeds aanwezig zou zijn op een systeem waarop geen van deze apps was geïnstalleerd.”
Het is momenteel niet bekend hoe de kwetsbaarheid in het wild wordt misbruikt en in welke context, maar succesvolle exploitatie vereist dat een aanvaller op een andere manier toegang krijgt tot een gevoelig systeem. Microsoft Threat Intelligence Center (MSTIC) en Microsoft Security Response Center (MSRC) zijn gecrediteerd voor het ontdekken en rapporteren van de fout.
Volgens Mike Walters, president en mede-oprichter van Action1, zou een bedreigingsacteur toegang met weinig privileges kunnen verkrijgen via methoden als phishing, exploits van webbrowsers of een andere bekende fout bij het uitvoeren van externe code, en deze vervolgens koppelen aan CVE-2025-62221 om de controle over de host over te nemen.
Gewapend met deze toegang kan de aanvaller kernelcomponenten inzetten of ondertekende stuurprogramma’s misbruiken om verdedigingen te omzeilen en doorzettingsvermogen te behouden, en kan hij worden bewapend om een domeinbreed compromis te bereiken in combinatie met scenario’s voor diefstal van inloggegevens.
De exploitatie van CVE-2025-62221 heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om het toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de opdracht krijgen om de patch uiterlijk 30 december 2025 toe te passen.
De resterende twee nuldagen worden hieronder vermeld:
- CVE-2025-54100 (CVSS-score: 7,8) – Een kwetsbaarheid voor opdrachtinjectie in Windows PowerShell waardoor een ongeautoriseerde aanvaller code lokaal kan uitvoeren
- CVE-2025-64671 (CVSS-score: 8,4) – Een kwetsbaarheid voor opdrachtinjectie in GitHub Copilot voor JetBrains waardoor een ongeautoriseerde aanvaller code lokaal kan uitvoeren
“Dit is een fout in de manier waarop Windows PowerShell webinhoud verwerkt”, zegt Alex Vovk van Action1 over CVE-2025-54100. “Het laat een niet-geverifieerde aanvaller willekeurige code uitvoeren in de beveiligingscontext van een gebruiker die een vervaardigd PowerShell-commando uitvoert, zoals Invoke-WebRequest.”
“De dreiging wordt aanzienlijk wanneer deze kwetsbaarheid wordt gecombineerd met veel voorkomende aanvalspatronen. Een aanvaller kan bijvoorbeeld social engineering gebruiken om een gebruiker of beheerder ervan te overtuigen een PowerShell-fragment uit te voeren met behulp van Invoke-WebRequest, waardoor een externe server bewerkte inhoud kan retourneren die de parseerfout activeert en leidt tot code-uitvoering en implementatie van implantaten.”
Het is vermeldenswaard dat CVE-2025-64671 het gevolg is van een bredere reeks beveiligingsproblemen, gezamenlijk IDEsaster genaamd, die onlangs werd onthuld door beveiligingsonderzoeker Ari Marzouk. De problemen ontstaan als gevolg van het toevoegen van agentische mogelijkheden aan een geïntegreerde ontwikkelomgeving (IDE), waardoor nieuwe beveiligingsrisico’s aan het licht komen.
Deze aanvallen maken gebruik van snelle injecties tegen de kunstmatige intelligentie (AI)-agenten die zijn ingebed in IDE’s en combineren deze met de basis-IDE-laag om te resulteren in het vrijgeven van informatie of het uitvoeren van opdrachten.
“Dit maakt gebruik van een ‘oude’ aanvalsketen van het gebruik van een kwetsbaar hulpmiddel, dus niet bepaald onderdeel van de nieuwe aanvalsketen van IDEsaster,” vertelde Marzouk, die wordt gecrediteerd voor het ontdekken en rapporteren van de fout, aan The Hacker News. “In het bijzonder een kwetsbare ‘execute command’-tool waarmee je de door de gebruiker geconfigureerde acceptatielijst kunt omzeilen.”
Marzouk zei ook dat meerdere IDE’s kwetsbaar zijn bevonden voor dezelfde aanval, waaronder Kiro.dev, Cursor (CVE-2025-54131), JetBrains Junie (CVE-2025-59458), Gemini CLI, Windsurf en Roo Code (CVE-2025-54377, CVE-2025-57771) en CVE-2025-65946). Bovendien is gebleken dat GitHub Copilot voor Visual Studio Code gevoelig is voor het beveiligingslek, hoewel Microsoft in dit geval de ernstgraad ‘Gemiddeld’ heeft toegekend zonder CVE.
“De kwetsbaarheid stelt dat het mogelijk is om code-uitvoering te verkrijgen op getroffen hosts door de LLM te misleiden om opdrachten uit te voeren die de vangrails omzeilen en instructies toe te voegen aan de ‘auto-approve’-instellingen van de gebruiker”, zegt Kev Breen, senior director cyberdreigingsonderzoek bij Immersive.
“Dit kan worden bereikt via ‘Cross Prompt Injection’, waarbij de prompt niet door de gebruiker wordt gewijzigd, maar door de LLM-agenten, terwijl zij hun eigen prompts maken op basis van de inhoud van bestanden of gegevens die zijn opgehaald van een Model Context Protocol (MCP)-server die in populariteit is gestegen bij agent-gebaseerde LLM’s. “
Softwarepatches van andere leveranciers
Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om meerdere kwetsbaarheden te verhelpen, waaronder:
- Adobe
- Amazon-webservices
- AMD
- Arm
- ASUS
- Atlassisch
- Bosch
- Broadcom (inclusief VMware)
- Canon
- Cisco
- Citrix
- CODESYS
- Dell
- Devoluties
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Android en Pixel
- Google Chrome
- Google Cloud
- Google Pixel Watch
- Hitachi-energie
- PK
- HP Enterprise (inclusief Aruba Networking en Juniper Networks)
- IBM
- Verbeeldingstechnologieën
- Intel
- Ivanti
- Lenovo
- Linux-distributies AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE en Ubuntu
- MediaTek
- Mitsubishi Elektrisch
- MongoDB
- Moxa
- Mozilla Firefox en Firefox ESR
- NVIDIA
- OPPO
- Progress-software
- Qualcomm
- Reageren
- Rockwell-automatisering
- Samsung
- SAP
- Schneider Elektrisch
- Siemens
- Zonnewinden
- Splunk
- Synologie
- TP-Link
- WatchGuard
- Zoomen, en
- Zyxel
