Actueel — Security updates
De Patch Tuesday van Microsoft voor januari 2025 bevat beveiligingsupdates voor 159 kwetsbaarheden, waaronder acht zero-day kwetsbaarheden, waarvan er drie actief worden misbruikt in aanvallen. Deze Patch Tuesday lost ook twaalf ‘Kritieke’ kwetsbaarheden op, waaronder kwetsbaarheden met betrekking tot informatielekken, privilege-escalatie en uitvoering van externe code. Hieronder een korte samenvatting van de meest belangrijke kwetsbaarheden die zijn ontdekt. Voor de volledige lijst met kwetsbaarheden kun je terecht op Microsoft Security Updates.
Zero Day’s
CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 – Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability
Windows Hyper-V NT Kernel Integration VSP heeft patches ontvangen voor CVE-2025-21333, CVE-2025-21334 en CVE-2025-21335, die allemaal beoordeeld zijn als ‘Belangrijk’ en een CVSS-score van 7.8 hebben.
Deze kwetsbaarheden voor privilege-escalatie (EoP) stellen een aanvaller die ze succesvol misbruikt in staat om SYSTEM-rechten te verkrijgen. Microsoft heeft aangegeven dat de zwakheden het gevolg zijn van een heap-gebaseerde buffer-overflow, maar heeft geen details gedeeld over de kwetsbaarheden of de bron van de melding.
CVE-2025-21186, CVE-2025-21366, CVE-2025-21395 – Microsoft Access Remote Code Execution Vulnerability
Microsoft Office Access heeft patches ontvangen voor CVE-2025-21366, CVE-2025-21186 en CVE-2025-21395, die allemaal beoordeeld zijn als ‘Belangrijk’ en een CVSS-score van 7.8 hebben.
Deze kwetsbaarheden voor remote code execution (RCE) worden misbruikt door speciaal vervaardigde Microsoft Access-documenten te openen. Microsoft heeft dit aanvalsvector aangepakt door de toegang tot bepaalde soorten extensies te blokkeren, naast het patchen van de kwetsbaarheden.
CVE-2025-21275 – Windows App Package Installer Elevation of Privilege Vulnerability
Windows App Package Installer heeft een patch ontvangen voor CVE-2025-21275, met een beoordeling van ‘Belangrijk’ en een CVSS-score van 7.8.
Deze kwetsbaarheid voor privilege-escalatie (EoP) stelt een aanvaller die deze succesvol misbruikt in staat om SYSTEM-rechten te verkrijgen. Microsoft heeft aangegeven dat de zwakte het gevolg is van onjuiste autorisatie, maar heeft geen details gedeeld over de kwetsbaarheid of de bron van de melding.
CVE-2025-21308 – Windows Themes Spoofing Vulnerability
Windows Themes heeft een patch ontvangen voor CVE-2025-21308, met een beoordeling van ‘Belangrijk’ en een CVSS-score van 6.5.
Deze spoofing-kwetsbaarheid stelt aanvallers in staat om speciaal vervaardigde Themes-bestanden in Windows Verkenner te misbruiken, wat mogelijk kan leiden tot het lekken van gebruikersgegevens. Dit gebeurt wanneer Themes-bestanden netwerkpaden specificeren voor de opties BrandImage en Wallpaper, waardoor automatische authenticatie naar externe hosts wordt gestart.
Om deze kwetsbaarheid succesvol te misbruiken, moet de aanvaller de gebruiker eerst overtuigen om een schadelijk bestand op zijn systeem te laden en vervolgens de speciaal vervaardigde Themes-bestanden uit te voeren.
Microsoft heeft mitigerende maatregelen gedeeld, waaronder het uitschakelen van NTLM en/of het beperken van uitgaand NTLM-verkeer naar externe servers.
Criticals
CVE-2025-21298 – Windows Reliable Multicast Transport Driver (RMCAST) Remote Code Execution Vulnerability
CVE-2025-21307 is een ‘Kritieke’ kwetsbaarheid voor remote code execution (RCE) die betrekking heeft op de Windows Reliable Multicast Transport Driver (RMCAST) en een CVSS-score van 9.8 heeft.
Een niet-geauthenticeerde aanvaller kan deze kwetsbaarheid misbruiken door speciaal vervaardigde pakketten te verzenden naar een Windows Pragmatic General Multicast (PGM) open socket op de server, zonder dat enige gebruikersinteractie vereist is. Exploitatie is echter alleen mogelijk als een programma actief luistert op een PGM-poort. De kwetsbaarheid kan niet worden misbruikt als PGM is geïnstalleerd of ingeschakeld, maar er geen programma’s als ontvangers op poorten luisteren.
Omdat PGM verzoeken niet authenticeert, is het cruciaal om toegang tot open poorten op netwerklaag te beschermen, bijvoorbeeld met een firewall. Het wordt sterk aangeraden om een PGM-ontvanger niet bloot te stellen aan het openbare internet vanwege de veiligheidsrisico’s.
CVE-2025-21298 – Windows OLE Remote Code Execution Vulnerability
CVE-2025-21298 is een ‘Kritieke’ kwetsbaarheid voor remote code execution (RCE) met een CVSS-score van 9.8, die betrekking heeft op Windows OLE (Object Linking and Embedding), een technologie die het mogelijk maakt om documenten en andere objecten in te sluiten en te koppelen.
In een scenario met een e-mailaanval kan een aanvaller deze kwetsbaarheid misbruiken door een speciaal vervaardigde e-mail naar het slachtoffer te sturen. Exploitatie van deze kwetsbaarheid kan plaatsvinden wanneer het slachtoffer de speciaal vervaardigde e-mail opent met een getroffen versie van Microsoft Outlook, of wanneer de Outlook-toepassing van het slachtoffer een voorbeeld van de e-mail weergeeft. Dit kan ertoe leiden dat de aanvaller externe code uitvoert op de machine van het slachtoffer.
CVE-2025-21311 – Windows NTLMv1 Elevation of Privilege Vulnerability
CVE-2025-21311 is een ‘Kritieke’ kwetsbaarheid voor privilege-escalatie met een CVSS-score van 9.8, die van invloed is op Windows NTLMv1. NTLMv1 en NTLMv2 zijn twee versies van het NTLM (NT LAN Manager) authenticatieprotocol dat wordt gebruikt in Windows-omgevingen.
Deze kwetsbaarheid is op afstand te misbruiken via internet. Door de lage complexiteit van de aanval hebben aanvallers minimale kennis van het systeem nodig en kunnen ze consistent succes behalen met hun payload tegen het kwetsbare component.
Als mitigatiemaatregel wordt aangeraden om de LmCompatibilityLevel op alle machines in te stellen op de maximale waarde (5). Hierdoor wordt het oudere NTLMv1-protocol uitgeschakeld, terwijl de functionaliteit van NTLMv2 behouden blijft.
Oplossing
Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
Bron
Geplaatst door
