Home Tag Archief

Kritieke Zero-Day kwetsbaarheden: Waarschuwingen

2025-05-16

Security expertsystemen zijn in hoge staat van paraatheid omdat Microsoft, Fortinet en Ivanti elk kritieke securityadviezen hebben vrijgegeven met betrekking tot actief geëxploiteerde zero-day kwetsbaarheden die hun respectieve producten treffen. Deze kwetsbaarheden vormen een aanzienlijk risico voor organisaties en kunnen leiden tot ongeautoriseerde toegang, datalekken en systeemcompromittering. Onmiddellijke patching en implementatie van aanbevolen workarounds wordt sterk aangeraden om potentiële bedreigingen te beperken.

Microsoft-patches pakken actief geëxploiteerde en openbaar gemaakte kwetsbaarheden aan

De recente Patch Tuesday-release van Microsoft bevatte fixes voor een zorgwekkend aantal kwetsbaarheden, waaronder vijf die al actief worden geëxploiteerd in het wild, samen met twee openbaar gemaakte zero-day kwetsbaarheden. De actief geëxploiteerde gebreken vormen een serieuze bedreiging, aangezien kwaadwillende actoren ze actief gebruiken om systemen te compromitteren.

Actief geëxploiteerde kwetsbaarheden in detail

De volgende kwetsbaarheden zijn geïdentificeerd als actief geëxploiteerd:

  • Microsoft DWM Core Library (CVE-2025-30400): Deze kwetsbaarheid in de Desktop Window Manager (DWM) Core Library kan een aanvaller in staat stellen zijn privileges te verhogen tot SYSTEM niveau. Dit betekent dat een aanvaller volledige controle kan krijgen over het getroffen systeem. De DWM Core Library is een cruciaal onderdeel van Windows, verantwoordelijk voor het renderen van de gebruikersinterface en het beheren van vensters. Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot een volledige compromittering van het systeem, omdat de aanvaller in staat is om willekeurige code uit te voeren met de hoogste privileges. Het is daarom essentieel om deze kwetsbaarheid zo snel mogelijk te patchen. Organisaties moeten ervoor zorgen dat hun systemen up-to-date zijn met de nieuwste securitypatches en dat ze proactieve maatregelen nemen om hun systemen te beschermen tegen potentiële aanvallen. Dit kan onder meer het implementeren van intrusion detection systems (IDS) en intrusion prevention systems (IPS) omvatten, evenals het uitvoeren van regelmatige securityaudits om kwetsbaarheden te identificeren voordat ze kunnen worden geëxploiteerd.
  • Windows Common Log File System (CVE-2025-32701 en CVE-2025-32706): Twee afzonderlijke kwetsbaarheden binnen het Windows Common Log File System (CLFS) kunnen een aanvaller ook in staat stellen SYSTEM-level privileges te bereiken. Het CLFS is een algemene logboekservice die wordt gebruikt door verschillende onderdelen van Windows. Deze kwetsbaarheden zijn bijzonder zorgwekkend omdat het CLFS een fundamenteel onderdeel van Windows is dat door veel verschillende applicaties en services wordt gebruikt. Een succesvolle exploitatie van deze kwetsbaarheden kan een aanvaller in staat stellen om toegang te krijgen tot gevoelige informatie, willekeurige code uit te voeren en de controle over het getroffen systeem over te nemen. Organisaties moeten dringend actie ondernemen om deze kwetsbaarheden te patchen en hun systemen te beschermen tegen potentiële aanvallen. Dit kan onder meer het implementeren van multi-factor authenticatie omvatten, evenals het beperken van de toegang tot gevoelige resources. Het is ook belangrijk om regelmatige securityscans uit te voeren om eventuele resterende kwetsbaarheden te identificeren en te verhelpen. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.
  • Windows Ancillary Function Driver (CVE-2025-32709): Een kwetsbaarheid in de Windows Ancillary Function Driver kan op dezelfde manier leiden tot privilegeverhoging naar SYSTEM niveau. Deze driver is een cruciaal onderdeel van het Windows-besturingssysteem en wordt gebruikt voor verschillende functionaliteiten, waaronder hardware-integratie en communicatie tussen verschillende systeemonderdelen. Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen om de controle over het systeem over te nemen en willekeurige code uit te voeren met de hoogste privileges. Organisaties moeten zich bewust zijn van het risico dat deze kwetsbaarheid met zich meebrengt en onmiddellijk actie ondernemen om hun systemen te beschermen. Dit kan onder meer het installeren van de nieuwste securitypatches omvatten, evenals het implementeren van aanvullende securitymaatregelen, zoals intrusion detection systems en intrusion prevention systems. Het is ook belangrijk om regelmatige securityaudits uit te voeren om eventuele resterende kwetsbaarheden te identificeren en te verhelpen. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.
  • Microsoft Scripting Engine (CVE-2025-30397): Er bestaat een geheugenbeschadigingskwetsbaarheid in de Microsoft Scripting Engine die een aanvaller in staat stelt willekeurige code uit te voeren. Dit kan een aanvaller in staat stellen om kwaadaardige software op het getroffen systeem uit te voeren. De Microsoft Scripting Engine is een belangrijk onderdeel van Windows dat wordt gebruikt om scripts in verschillende talen, zoals JavaScript en VBScript, uit te voeren. Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen om de controle over het systeem over te nemen en willekeurige code uit te voeren met de privileges van de gebruiker die het script uitvoert. Dit kan leiden tot een volledige compromittering van het systeem, afhankelijk van de privileges van de gebruiker. Organisaties moeten zich bewust zijn van het risico dat deze kwetsbaarheid met zich meebrengt en onmiddellijk actie ondernemen om hun systemen te beschermen. Dit kan onder meer het installeren van de nieuwste securitypatches omvatten, evenals het implementeren van aanvullende securitymaatregelen, zoals het uitschakelen van scripting in omgevingen waar het niet nodig is. Het is ook belangrijk om gebruikers op te leiden over de risico’s van het uitvoeren van scripts van onbekende bronnen en hen aan te moedigen om verdachte e-mails of websites te melden. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.

Openbaar gemaakte kwetsbaarheden

Naast de actief geëxploiteerde kwetsbaarheden heeft Microsoft ook twee openbaar gemaakte zero-day kwetsbaarheden aangepakt:

  • Microsoft Defender (CVE-2025-26685): Er bestaat een identiteitsvervalsingskwetsbaarheid in Microsoft Defender die een aanvaller in staat stelt een ander account te vervalsen via een aangrenzend netwerk. Deze kwetsbaarheid is ernstig omdat Microsoft Defender een cruciaal onderdeel van de securityinfrastructuur van Windows is. Als een aanvaller in staat is om een ander account te vervalsen, kan hij mogelijk toegang krijgen tot gevoelige informatie, de controle over het systeem overnemen of andere kwaadaardige activiteiten uitvoeren. Organisaties moeten zich bewust zijn van het risico dat deze kwetsbaarheid met zich meebrengt en onmiddellijk actie ondernemen om hun systemen te beschermen. Dit kan onder meer het installeren van de nieuwste securitypatches omvatten, evenals het implementeren van aanvullende securitymaatregelen, zoals multi-factor authenticatie en netwerksegmentatie. Het is ook belangrijk om regelmatige securityaudits uit te voeren om eventuele resterende kwetsbaarheden te identificeren en te verhelpen. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.
  • Visual Studio (CVE-2025-32702): Een remote code execution kwetsbaarheid in Visual Studio kan een niet-geauthenticeerde aanvaller in staat stellen om code lokaal uit te voeren. Visual Studio is een krachtige ontwikkelomgeving die wordt gebruikt door miljoenen ontwikkelaars over de hele wereld. Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen om de controle over het systeem over te nemen en willekeurige code uit te voeren met de privileges van de gebruiker die Visual Studio uitvoert. Dit kan leiden tot een volledige compromittering van het systeem, afhankelijk van de privileges van de gebruiker. Organisaties moeten zich bewust zijn van het risico dat deze kwetsbaarheid met zich meebrengt en onmiddellijk actie ondernemen om hun systemen te beschermen. Dit kan onder meer het installeren van de nieuwste securitypatches omvatten, evenals het implementeren van aanvullende securitymaatregelen, zoals het beperken van de toegang tot Visual Studio tot alleen geautoriseerde gebruikers. Het is ook belangrijk om ontwikkelaars op te leiden over de risico’s van het openen van onbetrouwbare projecten of het installeren van onbekende extenties. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.

Kritieke kwetsbaarheden die prioriteit vereisen

Naast de actief geëxploiteerde en openbaar gemaakte gebreken heeft Microsoft ook patches uitgegeven voor zes kritieke kwetsbaarheden die, hoewel momenteel niet bekend is dat ze worden geëxploiteerd, prioriteit moeten krijgen voor patching. Deze kwetsbaarheden treffen verschillende Microsoft-producten, waaronder:

  • Microsoft Office (CVE-2025-30377 en CVE-2025-30386): Er zijn twee kritieke kwetsbaarheden geïdentificeerd in Microsoft Office, die mogelijk remote code execution mogelijk maken. Microsoft Office is een essentieel productiviteitspakket dat door miljoenen gebruikers over de hele wereld wordt gebruikt. Een succesvolle exploitatie van deze kwetsbaarheden kan een aanvaller in staat stellen om de controle over het systeem over te nemen en willekeurige code uit te voeren met de privileges van de gebruiker die Office uitvoert. Dit kan leiden tot een volledige compromittering van het systeem, afhankelijk van de privileges van de gebruiker. Organisaties moeten zich bewust zijn van het risico dat deze kwetsbaarheden met zich meebrengen en onmiddellijk actie ondernemen om hun systemen te beschermen. Dit kan onder meer het installeren van de nieuwste securitypatches omvatten, evenals het implementeren van aanvullende securitymaatregelen, zoals het uitschakelen van macro’s in documenten die afkomstig zijn van onbetrouwbare bronnen. Het is ook belangrijk om gebruikers op te leiden over de risico’s van het openen van verdachte documenten of het klikken op links in verdachte e-mails. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.
  • Microsoft Power Apps (CVE-2025-47733): Er is een kritieke kwetsbaarheid ontdekt in Microsoft Power Apps die kan leiden tot ongeautoriseerde toegang of code execution. Microsoft Power Apps is een platform voor het ontwikkelen van low-code applicaties dat wordt gebruikt door organisaties van alle soorten en maten. Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen om ongeautoriseerde toegang te krijgen tot gevoelige gegevens, de controle over applicaties over te nemen of willekeurige code uit te voeren op het platform. Organisaties moeten zich bewust zijn van het risico dat deze kwetsbaarheid met zich meebrengt en onmiddellijk actie ondernemen om hun systemen te beschermen. Dit kan onder meer het installeren van de nieuwste securitypatches omvatten, evenals het implementeren van aanvullende securitymaatregelen, zoals het beperken van de toegang tot Power Apps tot alleen geautoriseerde gebruikers. Het is ook belangrijk om ontwikkelaars op te leiden over de beveiligingsbest practices voor het ontwikkelen van applicaties op het Power Apps-platform. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.
  • Remote Desktop Gateway Service (CVE-2025-29967): Er bestaat een kritieke kwetsbaarheid in de Remote Desktop Gateway Service die een aanvaller in staat stelt het systeem te compromitteren. De Remote Desktop Gateway Service is een cruciale component die veilige toegang tot interne resources via Remote Desktop mogelijk maakt. Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen om de controle over het systeem over te nemen en toegang te krijgen tot gevoelige gegevens. Organisaties moeten zich bewust zijn van het risico dat deze kwetsbaarheid met zich meebrengt en onmiddellijk actie ondernemen om hun systemen te beschermen. Dit kan onder meer het installeren van de nieuwste securitypatches omvatten, evenals het implementeren van aanvullende securitymaatregelen, zoals multi-factor authenticatie en netwerksegmentatie. Het is ook belangrijk om de Remote Desktop Gateway Service op een veilige manier te configureren en te onderhouden. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.
  • Windows Remote Desktop (CVE-2025-29966): Er is een kritieke kwetsbaarheid gevonden in Windows Remote Desktop, die mogelijk leidt tot remote code execution. Windows Remote Desktop is een veelgebruikte functie die gebruikers in staat stelt om op afstand toegang te krijgen tot een computer. Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen om de controle over het systeem over te nemen en willekeurige code uit te voeren met de privileges van de gebruiker die Remote Desktop gebruikt. Dit kan leiden tot een volledige compromittering van het systeem, afhankelijk van de privileges van de gebruiker. Organisaties moeten zich bewust zijn van het risico dat deze kwetsbaarheid met zich meebrengt en onmiddellijk actie ondernemen om hun systemen te beschermen. Dit kan onder meer het installeren van de nieuwste securitypatches omvatten, evenals het implementeren van aanvullende securitymaatregelen, zoals het beperken van de toegang tot Remote Desktop tot alleen geautoriseerde gebruikers en het gebruik van multi-factor authenticatie. Het is ook belangrijk om de Remote Desktop-instellingen op een veilige manier te configureren en te onderhouden. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.

Fortinet adresseert kritieke kwetsbaarheid in meerdere producten

Fortinet heeft een securityadvies uitgebracht met betrekking tot een kritieke kwetsbaarheid die verschillende van zijn producten treft, waaronder FortiVoice, FortiMail, FortiNDR, FortiRecorder en FortiCamera.

Deze kwetsbaarheid, een stack-based buffer overflow, heeft een CVSS v4 severity score van 9.6 (CVSS v3.1: 9.8) gekregen, wat wijst op de hoge ernst ervan. De kwetsbaarheid kan op afstand worden geëxploiteerd door een niet-geauthenticeerde aanvaller door HTTP-requests te verzenden die een speciaal vervaardigde hash cookie bevatten. Succesvolle exploitatie kan leiden tot willekeurige code execution, waardoor een aanvaller de volledige controle over het getroffen apparaat kan overnemen.

Exploitatie waargenomen in FortiVoice

Fortinet heeft bevestigd dat het actieve exploitatie van deze kwetsbaarheid in FortiVoice-apparaten heeft waargenomen. Aanvallers hebben apparaatnetwerken gescand, systeem crash logs gewist en fcgi debugging ingeschakeld om credentials vast te leggen die tijdens systeem- of SSH-login pogingen zijn ingevoerd. Deze activiteiten wijzen op een gerichte aanvalscampagne gericht op FortiVoice-systemen. De aanvallers proberen kennelijk de systemen te compromitteren en toegang te krijgen tot gevoelige gegevens. Organisaties die FortiVoice-apparaten gebruiken, moeten onmiddellijk actie ondernemen om hun systemen te beschermen. Dit kan onder meer het installeren van de nieuwste securitypatches omvatten, evenals het implementeren van aanvullende securitymaatregelen, zoals het beperken van de toegang tot FortiVoice-apparaten tot alleen geautoriseerde gebruikers en het monitoren van netwerkverkeer op verdachte activiteiten. Het is ook belangrijk om regelmatig de security logs van FortiVoice-apparaten te controleren op tekenen van compromittering. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.

Getroffen producten en versies

De kwetsbaarheid, bijgehouden als CVE-2025-32756, treft de volgende productversies. Onmiddellijke upgrades naar de gespecificeerde vaste versies worden sterk aanbevolen:

  • FortiVoice:
    • 7.2.0: Upgrade naar 7.2.1 of hoger
    • 7.0.0 t/m 7.0.6: Upgrade naar 7.0.7 of hoger
    • 6.4.0 t/m 6.4.10: Upgrade naar 6.4.11 of hoger
  • FortiRecorder:
    • 7.2.0 t/m 7.2.3: Upgrade naar 7.2.4 of hoger
    • 7.0.0 t/m 7.0.5: Upgrade naar 7.0.6 of hoger
    • 6.4.0 t/m 6.4.5: Upgrade naar 6.4.6 of hoger
  • FortiMail:
    • 7.6.0 t/m 7.6.2: Upgrade naar 7.6.3 of hoger
    • 7.4.0 t/m 7.4.4: Upgrade naar 7.4.5 of hoger
    • 7.2.0 t/m 7.2.7: Upgrade naar 7.2.8 of hoger
    • 7.0.0 t/m 7.0.8: Upgrade naar 7.0.9 of hoger
  • FortiNDR:
    • 7.6.0: Upgrade naar 7.6.1 of hoger
    • 7.4.0 t/m 7.4.7: Upgrade naar 7.4.8 of hoger
    • 7.2.0 t/m 7.2.4: Upgrade naar 7.2.5 of hoger
    • 7.1: Migreer naar een vaste release
    • 7.0.0 t/m 7.0.6: Upgrade naar 7.0.7 of hoger
    • 1.1 t/m 1.5: Migreer naar een vaste release
  • FortiCamera:
    • 2.1.0 t/m 2.1.3: Upgrade naar 2.1.4 of hoger
    • 2.0: Migreer naar een vaste release
    • 1.1: Migreer naar een vaste release

Indicators of Compromise en mitigatiestappen

Fortinet heeft indicators of compromise (IOC’s) verstrekt in zijn securityalert om organisaties te helpen potentiële exploitatiepogingen te detecteren. Als onmiddellijke patching niet haalbaar is, raadt Fortinet aan de HTTP/HTTPS-beheerinterface tijdelijk uit te schakelen als mitigatiemaatregel. Dit kan de blootstelling aan de kwetsbaarheid verminderen totdat een definitieve oplossing kan worden geïmplementeerd. Andere mitigatiemaatregelen kunnen het beperken van de toegang tot de beheerinterface tot alleen geautoriseerde gebruikers omvatten, evenals het monitoren van netwerkverkeer op verdachte activiteiten. Het is ook belangrijk om de security logs van de getroffen apparaten te controleren op tekenen van compromittering. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.

Ivanti adresseert Remote Code Execution-kwetsbaarheden in Endpoint Manager Mobile

Ivanti heeft een securityadvies uitgebracht waarin twee kwetsbaarheden worden aangepakt die zijn Endpoint Manager Mobile (EPMM)-oplossing treffen. Deze kwetsbaarheden kunnen, wanneer ze aan elkaar worden gekoppeld, leiden tot niet-geauthenticeerde remote code execution. Ivanti heeft verklaard dat de kwetsbaarheden zijn gekoppeld aan open-source code die in EPMM wordt gebruikt, in plaats van Ivanti’s core code.

Kwetsbaarheidsdetails

  • CVE-2025-4427 (Medium Severity): Dit is een authenticatie bypass flaw met een CVSS v3.1 severity score van 5.3. Een aanvaller kan dit exploiteren om authenticatiemechanismen te omzeilen en ongeautoriseerde toegang tot het systeem te krijgen. Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen om de controle over het systeem over te nemen en toegang te krijgen tot gevoelige gegevens. Organisaties moeten zich bewust zijn van het risico dat deze kwetsbaarheid met zich meebrengt en onmiddellijk actie ondernemen om hun systemen te beschermen. Dit kan onder meer het installeren van de nieuwste securitypatches omvatten, evenals het implementeren van aanvullende securitymaatregelen, zoals multi-factor authenticatie en netwerksegmentatie. Het is ook belangrijk om de security logs van de getroffen apparaten te controleren op tekenen van compromittering. Door proactieve securitymaatregelen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen.
  • Remote Code Execution Kwetsbaarheid (High Severity): Deze kwetsbaarheid heeft een CVSS v3.1 severity score van 7.2, wat wijst op een grote potentiële impact. Door dit gebrek te exploiteren, kan een aanvaller op afstand willekeurige code uitvoeren op het getroffen systeem. Een succesvolle exploitatie van deze kwetsbaarheid kan

bijgewerkt op 2025-05-16

# GPT# RAG# Microsoft
Vorig bericht
Anthropic versterkt Claude met webzoekintegratie
Volgend bericht
Snelle AI-adoptie in Chinese ziekenhuizen: Veiligheidswaarschuwing