Microsoft heeft dinsdag patches uitgebracht voor 63 nieuwe beveiligingsproblemen die in zijn software zijn geïdentificeerd, waaronder één die in het wild actief wordt uitgebuit.
Van de 63 tekortkomingen worden er vier als kritiek beoordeeld en 59 als belangrijk qua ernst. Negenentwintig van deze kwetsbaarheden houden verband met escalatie van bevoegdheden, gevolgd door zestien uitvoering van externe code, elf vrijgave van informatie, drie denial-of-service (DoS), twee omzeiling van beveiligingsfuncties en twee spoofing-bugs.
De patches vormen een aanvulling op de 27 kwetsbaarheden die de Windows-maker heeft aangepakt in zijn Chromium-gebaseerde Edge-browser sinds de release van de Patch Tuesday-update van oktober 2025.
De zero-day kwetsbaarheid waarvan in de update van dinsdag wordt vermeld dat deze wordt uitgebuit, is CVE-2025-62215 (CVSS-score: 7.0), een privilege-escalatiefout in de Windows Kernel. Het Microsoft Threat Intelligence Center (MSTIC) en Microsoft Security Response Center (MSRC) zijn gecrediteerd voor het ontdekken en rapporteren van het probleem.
“Gelijktijdige uitvoering met behulp van gedeelde bronnen met onjuiste synchronisatie (‘race condition’) in Windows Kernel stelt een geautoriseerde aanvaller in staat de rechten lokaal te verhogen”, aldus het bedrijf in een advies.
Dat gezegd hebbende, hangt succesvolle exploitatie af van een aanvaller die al voet aan de grond heeft gekregen op een systeem om een race condition te winnen. Zodra aan dit criterium is voldaan, kan de aanvaller SYSTEEMrechten verkrijgen.
“Een aanvaller met lokale toegang met weinig bevoegdheden kan een speciaal vervaardigde applicatie uitvoeren die herhaaldelijk probeert deze raceconditie te activeren”, zegt Ben McCarthy, hoofd cybersecurity-ingenieur bij Immersive.
“Het doel is om meerdere threads op een niet-gesynchroniseerde manier te laten communiceren met een gedeelde kernelbron, waardoor het geheugenbeheer van de kernel in de war raakt en ervoor zorgt dat hetzelfde geheugenblok twee keer wordt vrijgemaakt. Deze succesvolle ‘double free’ corrumpeert de kernelheap, waardoor de aanvaller het geheugen kan overschrijven en de uitvoeringsstroom van het systeem kan kapen.”
Het is momenteel niet bekend hoe deze kwetsbaarheid wordt uitgebuit en door wie, maar er wordt aangenomen dat deze wordt gebruikt als onderdeel van een post-exploitatieactiviteit om hun privileges te escaleren nadat ze aanvankelijke toegang hebben verkregen via een andere manier, zoals social engineering, phishing of exploitatie van een andere kwetsbaarheid, zei Satnam Narang, senior stafonderzoeksingenieur bij Tenable.
“In combinatie met andere bugs is deze kernelrace van cruciaal belang: een RCE- of sandbox-ontsnapping kan de lokale code-uitvoering leveren die nodig is om een aanval op afstand om te zetten in een SYSTEEM-overname, en een aanvankelijke basis met weinig bevoegdheden kan worden geëscaleerd om inloggegevens te dumpen en lateraal te verhuizen”, zegt Mike Walters, president en medeoprichter van Action1, in een verklaring.
Ook gepatcht als onderdeel van de updates zijn twee heap-gebaseerde bufferoverflow-fouten in Microsoft’s Graphics Component (CVE-2025-60724, CVSS-score: 9.8) en Windows Subsystem for Linux GUI (CVE-2025-62220, CVSS-score: 8.8) die zouden kunnen resulteren in uitvoering van externe code.
Een andere opmerkelijke kwetsbaarheid is een zeer ernstige privilege-escalatiefout in Windows Kerberos (CVE-2025-60704, CVSS-score: 7,5) die misbruik maakt van een ontbrekende cryptografische stap om beheerdersrechten te verkrijgen. Het beveiligingslek heeft door Silverfort de codenaam CheckSum gekregen.
“De aanvaller moet zichzelf injecteren in het logische netwerkpad tussen het doel en de door het slachtoffer gevraagde bron om de netwerkcommunicatie te lezen of te wijzigen”, aldus Microsoft. “Een ongeautoriseerde aanvaller moet wachten tot een gebruiker een verbinding tot stand brengt.”
Silverfort-onderzoekers Eliran Partush en Dor Segal, die de tekortkoming ontdekten, beschreven het als een Kerberos-beperkte delegatiekwetsbaarheid waarmee een aanvaller zich kan voordoen als willekeurige gebruikers en controle kan krijgen over een heel domein door middel van een Adversary-in-the-Middle (AitM)-aanval.
Een aanvaller die erin slaagt de fout te misbruiken, kan de bevoegdheden escaleren en zich lateraal naar andere machines in een organisatie verplaatsen. Zorgwekkender is dat bedreigingsactoren ook de mogelijkheid kunnen krijgen om zich voor te doen als elke gebruiker in het bedrijf, waardoor ze onbelemmerde toegang kunnen krijgen of een domeinbeheerder kunnen worden.
“Elke organisatie die Active Directory gebruikt, terwijl de Kerberos-delegatiefunctie is ingeschakeld, wordt getroffen”, aldus Silverfort. “Omdat Kerberos-delegatie een functie is binnen Active Directory, heeft een aanvaller initiële toegang nodig tot een omgeving met gecompromitteerde inloggegevens.”
Softwarepatches van andere leveranciers
Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:
- Adobe
- Amazon-webservices
- AMD
- Appel
- ASUS
- Atlassisch
- AutomatiseringDirect
- Bitdefender
- Broadcom (inclusief VMware)
- Cisco
- Citrix
- ConnectWise
- D-Link
- Dell
- Devoluties
- Drupal
- Elastisch
- F5
- Fortinet
- GitLab
- GoogleAndroid
- Google Chrome
- Google Cloud
- Grafana
- Hitachi-energie
- PK
- HP Enterprise (inclusief Aruba Networking en Juniper Networks)
- IBM
- Intel
- Ivanti
- Jenkins
- Lenovo
- Linux-distributies AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE en Ubuntu
- MediaTek
- Mitsubishi Elektrisch
- MongoDB
- Moxa
- Mozilla Firefox en Firefox ESR
- NVIDIA
- Orakel
- Palo Alto-netwerken
- QNAP
- Qualcomm
- Rockwell-automatisering
- Ruckus Draadloos
- Samba
- Samsung
- SAP
- Schneider Elektrisch
- Siemens
- Zonnewinden
- SonicWall
- Splunk
- Lente raamwerk
- Supermicro
- Synologie
- TP-Link
- WatchGuard, en
- Zoom
