Kritieke lekken in Windows, Office en SharePoint laten aanvaller code uitvoeren
Verschillende kritieke lekken in Windows, Microsoft Office en SharePoint maken remote code execution (RCE) mogelijk, waarbij er geen interactie van gebruikers is vereist. Het Windows-lek is volgens onderzoekers "wormable". De Office-kwetsbaarheden zijn onder andere via de Preview Pane (Voorbeeldvenster) door een aanvaller te misbruiken. Het Preview Pane zorgt ervoor dat de inhoud van een bestand wordt weergegeven zonder dat de gebruiker het bestand zelf hoeft te openen.
Microsoft kwam gisterenavond met updates voor de in totaal vier kritieke Office-kwetsbaarheden (CVE-2025-49695, CVE-2025-49696, CVE-2025-49697 en CVE-2025-49702. De impact van de beveiligingslekken is op een schaal van 1 tot en met 10 drie keer beoordeeld met een 8.4 en één keer met een 7.8. Updates voor Microsoft Office LTSC voor Mac 2021 en 2024 zijn nog niet beschikbaar. "Misschien is het tijd om de Preview Pane uit te schakelen totdat Microsoft deze problemen oplost", zegt Dustin Childs van het Zero Day Initiative. Hij merkt op dat Microsoft al drie maanden op rij met kritieke Office-lekken te maken heeft.
Een andere kritieke kwetsbaarheid die tot remote code execution kan leiden bevindt zich in SharePoint (CVE-2025-49704). Het beveiligingslek werd twee maanden geleden tijdens de Pwn2Own-wedstrijd in Berlijn gedemonstreerd. Volgens Microsoft kan elke bij SharePoint geauthenticeerde gebruiker misbruik van het lek maken en zijn er geen verhoogde rechten nodig. Een aanvaller kan daarna code op de SharePoint-server uitvoeren. De impactscore van deze kwetsbaarheid is beoordeeld met een 8.8. Microsoft verwacht dat aanvallers van dit beveiligingslek misbruik zullen maken.
De gevaarlijkste kwetsbaarheid deze maand bevindt zich in het SPNEGO Extended Negotiation (NEGOEX) Security Mechanism van Windows. SPNEGO staat voorr Simple and Protected GSSAPI Negotiation Mechanism en is een standaard die bepaalt welke authenticatietechnologie tussen een client en server wordt gebruikt. Het beveiligingslek (CVE-2025-47981) maakt het mogelijk voor een ongeauthenticeerde aanvaller om via het versturen van een "malicious message" code op de server uit te voeren. Er is wederom geen interactie vereist, wat inhoudt dat een computerworm zich via het lek kan verspreiden. De impact is beoordeeld met een 9.8 en Microsoft verwacht actief misbruik. "Test en rol deze patches snel uit", adviseert Childs. De updates worden op de meeste machines automatisch geïnstalleerd.
Het overkomt Linux en Apple ook. Als je denkt dat deze systemen gevrijwaard zijn van bugs en security lekken heb je een container boter op je hoofd.
MS is nu eenmaal een grote speler als het gaat om (kantoor) automatisering. En als er dan (weer) eens iets gebeurt, staat het groot in het nieuws. Iets met 'hoge bomen' enzo.....
Fijne dag nog, en eet een Snicker. ;)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?