Microsoft waarschuwt voor vijf actief aangevallen Windows-lekken
Tijdens de patchdinsdag van mei heeft Microsoft voor vijf actief aangevallen kwetsbaarheden in Windows gewaarschuwd en updates uitgebracht om ze te verhelpen. Vier van de kwetsbaarheden maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen naar die van SYSTEM of admin en zo het systeem volledig te compromitteren. Het vijfde beveiligingslek maakt in bepaalde gevallen remote code execution mogelijk.
Twee van de aangevallen kwetsbaarheden (CVE-2025-32701 en CVE-2025-32706) bevinden zich in het Windows Common Log Filesystem (CLFS), een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits. Vorige maand meldde Microsoft dat een ander CLFS-lek bij ransomware-aanvallen was ingezet.
De derde kwetsbaarheid die 'Elevation of Privilege' (EoP) mogelijk maakt (CVE-2025-30400) is aanwezig in de DWM Core Library. Ook in dit onderdeel zijn in het verleden vaker actief misbruikte kwetsbaarheden gevonden. De Desktop Window Manager (DWM) wordt gebruikt voor de weergave van de Windows-desktop. Het vierde EoP-lek (CVE-2025-32709) werd gevonden in de Windows Ancillary Function Driver for WinSock. Wederom een onderdeel dat vaker het doelwit van aanvallen is geweest.
Eén van de vijf actief aangevallen kwetsbaarheden (CVE-2025-30397) maakt zoals gezegd remote code execution mogelijk. Het gaat om een beveiligingslek in de Windows Scripting Engine. Misbruik is mogelijk wanneer een doelwit een speciaal geprepareerde link opent. Microsoft stelt dat een aanvaller het doelwit wel eerst zover moet krijgen om Edge in de Internet Explorer-mode te gebruiken.
"Deze kwetsbaarheid is interessant, omdat het Edge in de Internet Explorer-mode dwingt, dus de geest van IE blijft ons allemaal achtervolgen", zegt Dustin Childs van het Zero Day Initiative. Microsoft heeft geen informatie over de waargenomen aanvallen gegeven. De uitgebrachte beveiligingsupdates die de problemen verhelpen worden op de meeste systemen automatisch geïnstalleerd.
https://support.microsoft.com/en-us/topic/may-13-2025-kb5058379-os-builds-19044-5854-and-19045-5854-0a30e9ee-5038-45dd-a5d7-70a8813a5e39
Het heeft vast te maken met https://www.schneier.com/crypto-gram/archives/2025/0415.html#cg20 met als resultaat dat een hoop LiveCD's voor Linux niet meer starten met een UEFI BIOS met Secure Boot ingeschakeld. Dit is vervelend omdat een hoop computer systemen met verder goede hardware niet meer zullen werken vanaf half oktober dit jaar door toedoen van Microsoft.
Zelf kan ik dit niet testen want ik zit sinds een maand al op Linux en kan geen updates voor Microsoft meer ontvangen.
Iedere keer lees je ook bij incidenten dat men zich afvraagt hoe is men binnen gekomen en hoe is adminrecht verkregen.
Oplossing voor mensen die graag weer een stapje minder afhankelijk willen zijn van Big-tech: kijk naar pc's/laptops met bv. Coreboot i.p.v. de reguliere vendor lock-in BIOS systemen (met Microsoft Secure Boot certificaat), zoals bv. System76 doet.
Helaas is AMD niet heel gretig met de ondersteuning, maar Intel systemen al jaren.
Het is niet vreemd dat Google dat ook gebruikt met z'n ChromeOS, maar dan heb je weer een besturingssysteem wat vendor lock-in - en data harvesting doet.
Maar goed, dit onderwerp gaat over security bugs die opgelost zijn en bugs zitten overal in :-D
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?