Twee nieuwe Windows Zero-Days die in het wild worden uitgebuit: één heeft invloed op elke versie die ooit is verzonden

Cyberbeveiliging
Twee nieuwe Windows Zero-Days die in het wild worden uitgebuit: één heeft invloed op elke versie die ooit is verzonden

Microsoft heeft dinsdag oplossingen uitgebracht voor maar liefst 183 beveiligingsfouten in zijn producten, waaronder drie kwetsbaarheden die in het wild actief zijn uitgebuit, nadat de technologiegigant officieel de ondersteuning voor zijn Windows 10-besturingssysteem beëindigde, tenzij de pc’s zijn ingeschreven in het Extended Security Updates (ESU)-programma.

Van de 183 kwetsbaarheden zijn er acht niet door Microsoft uitgegeven CVE’s. Maar liefst 165 tekortkomingen zijn qua ernst beoordeeld als Belangrijk, gevolgd door 17 als Kritiek en één als Matig. De overgrote meerderheid ervan heeft betrekking op kwetsbaarheden voor misbruik van privileges (84), waarbij de uitvoering van code op afstand (33), het vrijgeven van informatie (28), spoofing (14), denial-of-service (11) en het omzeilen van beveiligingsfuncties (11) de rest voor hun rekening nemen.

De updates vormen een aanvulling op de 25 kwetsbaarheden die Microsoft heeft aangepakt in zijn Chromium-gebaseerde Edge-browser sinds de release van de Patch Tuesday-update van september 2025.

De twee Windows zero-days die actief worden uitgebuit zijn de volgende:

  • CVE-2025-24990 (CVSS-score: 7,8) – Windows Agere-modemstuurprogramma (“ltmdm64.sys”) Beveiligingslek met betrekking tot misbruik van bevoegdheden
  • CVE-2025-59230 (CVSS-score: 7,8) – Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows Remote Access Connection Manager (RasMan)

Microsoft zei dat beide problemen aanvallers in staat zouden kunnen stellen code met verhoogde rechten uit te voeren, hoewel er momenteel geen aanwijzingen zijn over hoe deze worden uitgebuit en hoe wijdverspreid deze inspanningen kunnen zijn. In het geval van CVE-2025-24990 zei het bedrijf dat het van plan is de driver volledig te verwijderen, in plaats van een patch uit te brengen voor een verouderd onderdeel van een derde partij.

Het beveiligingsfoutje is door Alex Vovk, CEO en mede-oprichter van Action1 als “gevaarlijk” omschreven, omdat het zijn oorsprong vindt in verouderde code die standaard op alle Windows-systemen wordt geïnstalleerd, ongeacht of de bijbehorende hardware aanwezig of in gebruik is.

“De kwetsbare driver wordt bij elke versie van Windows geleverd, tot en met Server 2025”, zegt Adam Barnett, hoofdsoftware-ingenieur bij Rapid7. “Misschien gebruikt uw faxmodem een ​​andere chipset en heeft u de Agere-driver niet nodig? Misschien heeft u gewoon e-mail ontdekt? Pech. Uw pc is nog steeds kwetsbaar en een lokale aanvaller met een minimaal bevoorrechte account kan zich tot beheerder verheffen.”

Volgens Satnam Narang, senior research engineer bij Tenable, is CVE-2025-59230 de eerste kwetsbaarheid in RasMan die als zero-day wordt uitgebuit. Microsoft heeft sinds januari 2022 meer dan twintig fouten in het onderdeel verholpen.

De derde kwetsbaarheid die is misbruikt bij aanvallen in de echte wereld betreft een geval van Secure Boot bypass in IGEL OS vóór 11 (CVE-2025-47827, CVSS-score: 4,6). Details over de fout werden voor het eerst openbaar gemaakt door beveiligingsonderzoeker Zack Didcott in juni 2025.

“De gevolgen van een Secure Boot-bypass kunnen aanzienlijk zijn, omdat bedreigingsactoren een rootkit op kernelniveau kunnen inzetten, toegang kunnen krijgen tot het IGEL OS zelf en, bij uitbreiding, kunnen knoeien met de virtuele desktops, inclusief het vastleggen van inloggegevens”, zegt Kev Breen, senior directeur van bedreigingsonderzoek bij Immersive.

“Opgemerkt moet worden dat dit geen aanval op afstand is, en dat fysieke toegang doorgaans vereist is om dit soort kwetsbaarheden te misbruiken, wat betekent dat aanvallen in ‘evil-maid’-stijl de meest waarschijnlijke vector zijn die werknemers treft die vaak reizen.”

Alle drie de problemen zijn sindsdien toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), waardoor federale instanties de patches vóór 4 november 2025 moeten toepassen.

Enkele andere belangrijke kwetsbaarheden zijn onder meer een bug voor het uitvoeren van externe code (RCE) (CVE-2025-59287, CVSS-score: 9,8) in Windows Server Update Service (WSUS), een kwetsbaarheid voor lezen buiten het bereik in de Trusted Computing Group (TCG) TPM2.0-referentie-implementatie’s CryptHmacSign-helperfunctie (CVE-2025-2884, CVSS-score: 5.3), en een RCE in Windows URL Parsing (CVE-2025-59295, 8.8).

“Een aanvaller kan hiervan profiteren door zorgvuldig een kwaadaardige URL te construeren”, zegt Ben McCarthy, hoofd cybersecurity-ingenieur bij Immersive. “De overlopende gegevens kunnen worden ontworpen om kritieke programmagegevens te overschrijven, zoals een functieaanwijzer of de virtuele functietabel (vtable) aanwijzer van een object.”

“Wanneer de applicatie later probeert deze beschadigde pointer te gebruiken, in plaats van een legitieme functie aan te roepen, wordt de uitvoeringsstroom van het programma omgeleid naar een geheugenadres dat wordt beheerd door de aanvaller. Hierdoor kan de aanvaller willekeurige code (shellcode) uitvoeren op het doelsysteem.”

Twee kwetsbaarheden met de hoogste CVSS-score in de update van deze maand hebben betrekking op een escalatiefout van bevoegdheden in Microsoft Graphics Component (CVE-2025-49708, CVSS-score: 9,9) en een omzeiling van beveiligingsfuncties in ASP.NET (CVE-2025-55315, CVSS-score: 9,9).

Hoewel het exploiteren van CVE-2025-55315 vereist dat een aanvaller eerst wordt geverifieerd, kan deze worden misbruikt om heimelijk beveiligingscontroles te omzeilen en kwaadaardige acties uit te voeren door een tweede, kwaadaardig HTTP-verzoek binnen de hoofdtekst van het oorspronkelijke geverifieerde verzoek te smokkelen.

“Een organisatie moet prioriteit geven aan het patchen van dit beveiligingslek, omdat het de kernbelofte van virtualisatie op het gebied van beveiliging ongeldig maakt”, legt McCarthy uit over CVE-2025-49708, waarbij hij het karakteriseert als een grote impact die leidt tot een volledige ontsnapping van de virtuele machine (VM).

“Een succesvolle exploit betekent dat een aanvaller die zelfs toegang met weinig bevoegdheden verkrijgt tot een enkele, niet-kritieke gast-VM, code met SYSTEEM-rechten rechtstreeks op de onderliggende hostserver kan uitbreken en uitvoeren. Dit falen van de isolatie betekent dat de aanvaller vervolgens gegevens kan openen, manipuleren of vernietigen op elke andere VM die op dezelfde host draait, inclusief bedrijfskritische domeincontrollers, databases of productieapplicaties.”

Softwarepatches van andere leveranciers

Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:

  • Adobe
  • Amazon-webservices
  • AMD
  • AMI
  • Appel
  • ASUS
  • Broadcom (inclusief VMware)
  • Canon
  • Controlepunt
  • Cisco
  • D-Link
  • Dell
  • Drupal
  • Elastisch
  • F5
  • Fortinet
  • Foxit-software
  • FUJIFILM
  • Gigabyte
  • GitLab
  • Google Chrome
  • Google Cloud
  • Google Pixel Watch
  • Hitachi-energie
  • HMS-netwerken (inclusief Red Lion)
  • Honingwel
  • PK
  • HP Enterprise (inclusief Aruba Networking en Juniper Networks)
  • IBM
  • Ivanti
  • Jenkins
  • Lenovo
  • Linux-distributies AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE en Ubuntu
  • MediaTek
  • Mitsubishi Elektrisch
  • MongoDB
  • Moxa
  • Mozilla Firefox, Firefox ESR en Thunderbird
  • NVIDIA
  • Orakel
  • Palo Alto-netwerken
  • Progress-software
  • QNAP
  • Qualcomm
  • Ricoh
  • Rockwell-automatisering
  • Salesforce
  • Samsung
  • SAP
  • Schneider Elektrisch
  • ServiceNu
  • Siemens
  • Zonnewinden
  • SonicWall
  • Splunk
  • Lente raamwerk
  • Supermicro
  • Synologie
  • TP-Link
  • Veeam, en
  • Zoom
Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De Collage-editor van Google Photos krijgt eindelijk de update waar gebruikers om hebben gevraagd

iPad Pro M5 zorgt voor enorme AI-prestatieverbetering en sneller opladen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]