Microsoft heeft dinsdag beveiligingsupdates vrijgegeven om 57 beveiligingskwetsbaarheden in zijn software aan te pakken, inclusief maar liefst zes nul-dagen waarvan het zei dat het actief in het wild is uitgebuit.
Van de 56 fouten worden zes cruciaal beoordeeld, 50 worden belangrijk beoordeeld en één heeft een laag in ernst beoordeeld. Drieëntwintig van de geadresseerde kwetsbaarheden zijn bugs voor externe code-uitvoering en 22 hebben betrekking op privilege-escalatie.
De updates zijn bovendien tot 17 kwetsbaarheden die Microsoft heeft aangepakt in zijn chroom-gebaseerde Edge-browser sinds de release van de Patch Tuesday Update van vorige maand, waarvan er één een spoofingfout is die specifiek is voor de browser (CVE-2025-26643, CVSS-score: 5.4).
De zes kwetsbaarheden die onder actieve uitbuiting zijn gekomen, worden hieronder vermeld –
- CVE-2025-24983 (CVSS-score: 7.0)-Een Windows Win32 Kernel Subsysteem Use-after-free (UAF) kwetsbaarheid waarmee een geautoriseerde aanvaller lokaal rechten kan verheffen
- CVE-2025-24984 (CVSS SCORE: 4.6) – Een Windows NTFS -informatie over informatie over informatie over de openbaarmaking van Window
- CVE-2025-24985 (CVSS -score: 7.8) – Een integeroverloop kwetsbaarheid in Windows Fast Fat File System -stuurprogramma waarmee een ongeautoriseerde aanvaller lokaal code kan uitvoeren
- CVE-2025-24991 (CVSS SCORE: 5.5)-Een buiten gebonden leest kwetsbaarheid in Windows NTF’s waarmee een geautoriseerde aanvaller informatie lokaal kan onthullen
- CVE-2025-24993 (CVSS -score: 7.8) – Een op heap gebaseerde bufferoverloop kwetsbaarheid in Windows NTF’s waarmee een ongeautoriseerde aanvaller lokaal code kan uitvoeren
- CVE-2025-26633 (CVSS -score: 7.0) – Een onjuiste neutralisatie -kwetsbaarheid in Microsoft Management Console waarmee een ongeautoriseerde aanvaller lokaal een beveiligingsfunctie kan omzeilen
ESET, gecrediteerd voor het ontdekken en rapporteren van CVE-2025-24983, zei dat het voor het eerst de zero-day exploit in het wild in maart 2023 ontdekte en via een achterdeur genaamd Pipemagic op gecompromitteerde gastheren werd geleverd.
“De kwetsbaarheid is een gebruik van gebruik in Win32K-coureur,” merkte het Slowaakse bedrijf op. “In een bepaald scenario wordt bereikt met behulp van de WaitForInputIdle API, wordt de W32Process -structuur nog een keer gerefereerd dan zou moeten, waardoor UAF wordt bereikt. Om de kwetsbaarheid te bereiken, moet een raceconditie worden gewonnen.”
Pipemagic, voor het eerst ontdekt in 2022, is een op plug-in gebaseerde Trojan die gericht is op entiteiten in Azië en Saoedi-Arabië, met de malware gedistribueerd in de vorm van een nep Openai Chatgpt-applicatie in campagnes in de late 2024.
“Een van de unieke kenmerken van Pipemagic is dat het een willekeurige array van 16 byte genereert om een benoemde pijp in het formaat te maken \. Pipe 1.
“Deze pijp wordt gebruikt voor het ontvangen van gecodeerde payloads, stopsignalen via de standaard lokale interface. Pipemagic werkt meestal met meerdere plug-ins die zijn gedownload van een command-and-control (C2) -server, die in dit geval werd gehost op Microsoft Azure.”
Het Zero Day Initiative merkte op dat CVE-2025-26633 voortkomt uit hoe MSC-bestanden worden afgehandeld, waardoor een aanvaller de beveiligingsbescherming van bestandsreputatie kan ontwijken en code kan uitvoeren in de context van de huidige gebruiker. De activiteit is gekoppeld aan een bedreigingsacteur die wordt gevolgd als Encryphub (AKA Larve-208).
Action1 wees erop dat dreigingsactoren de vier kwetsbaarheden konden ketenen die van invloed zijn op de componenten van het kernwindows-bestandssysteem om de externe code-uitvoering te veroorzaken (CVE-2025-24985 en CVE-2025-24993) en informatie-openbaarmaking (CVE-2025-24984 en CVE-2025-24991). Alle vier de bugs werden anoniem gemeld.
“In het bijzonder is de exploit gebaseerd op de aanvaller die een kwaadaardig VHD -bestand opstellen en een gebruiker overtuigen om een VHD -bestand te openen of te monteren,” zei Kev Breen, senior directeur van dreigingsonderzoek bij Immersive. “VHD’s zijn virtuele harde schijven en worden meestal geassocieerd met het opslaan van het besturingssysteem voor virtuele machines.”
“Hoewel ze meer typisch geassocieerd zijn met virtuele machines, hebben we voorbeelden gezien door de jaren heen waarbij bedreigingsactoren VHD- of VHDX-bestanden gebruiken als onderdeel van phishing-campagnes om malware te smokkelen, payloads voorbij AV-oplossingen. Afhankelijk van de configuratie van Windows Systems, eenvoudigweg dubbelklikken op een VHD-bestand dat voldoende zou zijn om de container te monteren.”
Volgens Satnam Narang, Senior Staff Research Engineer bij Tenable, is CVE-2025-26633 de tweede fout in MMC die in het wild in het wild wordt uitgebuit als een zero-day na CVE-2024-43572 en CVE-2025-24985 is de eerste kwetsbaarheid in de Windows Fast Fats System-bestuurder sinds maart 2022. Het is ook de First in de WILD AS een ZERE-DAY.
Zoals gebruikelijk is het momenteel niet bekend dat de resterende kwetsbaarheden worden benut in welke context en de exacte schaal van de aanvallen. De ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet deze toe te voegen aan de bekende uitgebuite Catalogus van de Vulnerabilities (KEV), waardoor federale agentschappen de oplossingen vóór 1 april 2025 moeten toepassen.
Softwarepatches van andere leveranciers
Naast Microsoft zijn de afgelopen weken ook beveiligingsupdates vrijgegeven door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder –
