Tijdens de patchdinsdag van februari heeft Microsoft twee actief misbruikte kwetsbaarheden in Windows verholpen, alsmede een beveiligingslek dat vooralsnog niet is misbruikt, maar wat een computerworm in staat zou stellen om zich te verspreiden. Aanvallers hebben de twee beveiligingslekken al voor het uitkomen van de patches misbruikt, maar Microsoft geeft geen details over de aanvallen en hoelang het misbruik al plaatsvindt.

De eerste kwetsbaarheid (CVE-2025-21391) bevindt zich in Windows Storage en laat een aanvaller die al toegang tot het systeem heeft, door het verwijderen van bepaalde bestanden, zijn rechten verhogen. "Hoewel we soortgelijke problemen in het verleden hebben gezien, lijkt dit de eerste keer dat deze techniek actief misbruik wordt", zegt Dustin Childs van securitybedrijf ZDI.

Het tweede beveiligingslek (CVE-2025-21418) is aanwezig in de Windows Ancillary Function Driver voor WinSock. Wederom moet een aanvaller toegang tot het systeem hebben om deze kwetsbaarheid te misbruiken. Vervolgens is het mogelijk voor de aanvaller om malafide code met SYSTEM-rechten uit te voeren en zo volledige controle over het systeem te krijgen. Zoals gezegd zijn er op dit moment geen verdere details over de aanvallen bekend.

'Wormable' LDAP-kwetsbaarheid

Een kritieke kwetsbaarheid in het Windows Lightweight Directory Access Protocol (LDAP) maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op kwetsbare LDAP-servers uit te voeren. Er is geen interactie van gebruikers vereist. Alleen het versturen van een speciaal geprepareerd request naar de server volstaat. "Dat maakt deze kwetsbaarheid wormable tussen kwetsbare LDAP-servers", aldus Childs.

Volgens Microsoft maken aanvallers nog geen misbruik van deze kwetsbaarheid (CVE-2025-21376). Wel stelt het techbedrijf dat misbruik op termijn 'more likely' is. Organisaties worden dan ook opgeroepen het beveiligingslek te patchen. LDAP is een 'vendor-neutral' applicatieprotocol en laat applicaties data over onder andere organisaties en personen vinden. Deze data is in Directory Services opgeslagen, zoals bijvoorbeeld Microsoft Active Directory.