Microsoft heeft beveiligingsfixes vrijgegeven om een enorme set van 126 fouten aan te pakken die zijn softwareproducten beïnvloeden, waaronder een kwetsbaarheid die volgens hem actief is uitgebuit in het wild.
Van de 126 kwetsbaarheden worden 11 cruciaal beoordeeld, zijn 112 belangrijk en twee zijn laag in ernst beoordeeld. Negenenveertig van deze kwetsbaarheden worden geclassificeerd als escalatie van privileges, 34 als externe code-uitvoering, 16 als informatie-openbaarmaking en 14 als bugs van Denial-of-Service (DOS).
De updates zijn afgezien van de 22 fouten die het bedrijf heeft gepatcht in zijn chroom-gebaseerde Edge-browser sinds de release van de Patch Tuesday Update van vorige maand.
De kwetsbaarheid die is gemarkeerd als onder actieve aanval, is een verhoging van het Privilege (EOP) -fout dat invloed heeft op het Windows Common Log File System (CLFS) -stuurprogramma (CVE-2025-29824, CVSS-score: 7.8) die voortkomt uit een gebruiksafhankelijke scenario.
CVE-2025-29824 is de zesde EOP-kwetsbaarheid die moet worden ontdekt in dezelfde component die sinds 2022 in het wild is benut, de andere CVE-2022-24521, CVE-2022-37969, CVE-2023-2376, CVE-2023-28252 en CVE-2024-49138 (CVESSS SCORES: 7.8).
“Vanuit het perspectief van een aanvaller vereist de activiteit na de compromisloze vereiste het verkrijgen van vereiste privileges om vervolgactiviteit uit te voeren op een gecompromitteerd systeem, zoals laterale beweging,” zei Satnam Narang, Senior Staff Research Engineer bij Tenable.
“Daarom is de verhoging van de voorrechten typisch populair bij gerichte aanvallen. De verhoging van privilegefouten in CLF’s is in de loop der jaren echter vooral populair geworden bij ransomware -operators.”
Mike Walters, president en mede-oprichter van Action1, zei dat de kwetsbaarheid voor privileges escalatie naar het systeemniveau mogelijk maakt, waardoor een aanvaller de mogelijkheid krijgt om kwaadaardige software te installeren, systeeminstellingen te wijzigen, te knoeien met beveiligingsfuncties, toegangsgevoelige gegevens en aanhoudende toegang behouden.
“Wat deze kwetsbaarheid bijzonder betreft, is dat Microsoft actieve uitbuiting in het wild heeft bevestigd, maar op dit moment is er geen patch vrijgegeven voor Windows 10 32-bit of 64-bits systemen,” zei Ben McCarthy, hoofdcyberbeveiligingsingenieur bij Immersive. “Het ontbreken van een patch laat een kritieke kloof achter in de verdediging voor een breed deel van het Windows -ecosysteem.”
“Onder bepaalde geheugenmanipulatievoorwaarden kan een vrij-na-vrij worden geactiveerd, die een aanvaller kan exploiteren om code op het hoogste privilege-niveau in Windows uit te voeren. Belangrijk is dat de aanvaller geen beheerdersrechten nodig heeft om de kwetsbaarheid te exploiteren-alleen lokale toegang is vereist.”
De actieve uitbuiting van de fout, per Microsoft, is gekoppeld aan ransomware -aanvallen op een klein aantal doelen. De ontwikkeling heeft de Amerikaanse cybersecurity en infrastructuurbeveiligingsbureau (CISA) ertoe aangezet deze toe te voegen aan de bekende uitgebuite Catalogus van de Vulnerabilities (KEV), waardoor federale agentschappen de oplossing moeten toepassen tegen 29 april 2025.
Some of the other notable vulnerabilities patched by Redmond this month include a security feature bypass (SFB) flaw affecting Windows Kerberos (CVE-2025-29809), as well as remote code execution flaws in Windows Remote Desktop Services (CVE-2025-27480, CVE-2025-27482), and Windows Lightweight Directory Access Protocol (CVE-2025-26663, CVE-2025-26670)
Also of note are multiple Critical-severity remote code execution flaws in Microsoft Office and Excel (CVE-2025-29791, CVE-2025-27749, CVE-2025-27748, CVE-2025-27745, and CVE-2025-27752) that could be exploited by a bad actor using a specially crafted Excel document, resulting in full system control.
Het afsluiten van de lijst met kritieke fouten zijn twee externe code-uitvoering kwetsbaarheden die van invloed zijn op Windows TCP/IP (CVE-2025-26686) en Windows Hyper-V (CVE-2025-27491) waarmee een aanvaller een aanvaller kan uitvoeren om code uit te voeren over een netwerk onder bepaalde voorwaarden.
Het is vermeldenswaard dat verschillende van de kwetsbaarheden nog patches voor Windows 10 moeten ontvangen. Microsoft zei dat de updates “zo snel mogelijk zouden worden vrijgegeven, en wanneer ze beschikbaar zijn, worden klanten op de hoogte gebracht via een herziening van deze CVE -informatie.”
Softwarepatches van andere leveranciers
Naast Microsoft zijn de afgelopen weken ook beveiligingsupdates vrijgegeven door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder –
