Microsoft: macOS-kwetsbaarheid kan Apple Intelligence-informatie lekken
Onderzoekers van Microsoft hebben een kwetsbaarheid in macOS gevonden waardoor een applicatie onder andere gevoelige Apple Intelligence-informatie kan stelen. Apple kwam eind maart met een beveiligingsupdate voor de kwetsbaarheid (CVE-2025-31199). Microsoft heeft nu de details van het beveiligingslek openbaar gemaakt, dat het 'Sploitlight' noemt, en het mogelijk maakt de Transparency, Consent, and Control (TCC) van macOS te omzeilen.
TCC moet voorkomen dat applicaties zonder toestemming en medeweten van gebruikers toegang tot persoonlijke informatie en data krijgen, zoals locatiediensten, camera, microfoon en Downloads directory. Voor hun onderzoek maakten de onderzoekers gebruik van Spotlight, de macOS-applicatie voor het vinden van bestanden. Spotlight ondersteunt plug-ins waarmee bestanden en data verder zijn te indexeren.
Vanwege de toegang die Spotlight-plug-ins hebben om ook gevoelige bestanden te kunnen scannen heeft Apple allerlei beperkingen opgelegd. De onderzoekers vonden echter een manier om deze beperkingen te omzeilen waardoor ze de inhoud van bestanden, die via TCC beschermd zouden moeten zijn, via een malafide plug-in kunnen stelen. "De mogelijkheid om gevoelige bestanden te lezen is gevaarlijker dan het lijkt", zeggen onderzoekers Jonathan Bar Or, Alexia Wilson en Christine Fossaceca.
Het gaat onder andere om informatie van Apple Intelligence. Het AI-systeem van Apple blijkt voor verschillende directories de data te cachen. Eén van deze directories is de database directory die onder de Pictures directory valt en allerlei informatie over foto's van de gebruiker bevat. Deze bestanden zijn door middel van TCC beschermd, zodat ze alleen na toestemming van de gebruiker zijn te benaderen. Ook voor deze directory blijkt TCC te omzeilen waardoor de databasebestanden zijn te stelen. Deze bestanden bevatten informatie over locatiedata, foto metadata, geïdentificeerde gezichten en meer.
"Aanvallers met de mogelijkheid om de TCC-bescherming op macOS te omzeilen kunnen zonder gebruikerstoestemming toegang tot gevoelige data krijgen. De mogelijkheid om privédata van beveiligde directories te stelen, zoals de Downloads folder en Apple Intelligence caches, is met name verontrustend vanwege de zeer gevoelige aard van de informatie die is te stelen", aldus de onderzoekers.
TCC, het digitale slot op de deur, blijkt dus gewoon een kralensnoer dat je met een beetje creativiteit opzij kunt schuiven. Een malafide Spotlight-plug-in die ongevraagd je foto’s, locatiegeschiedenis, en AI-caches bekijkt? Wat een romantische kijk op privacy. Het is bijna knap hoe Apple het voor elkaar krijgt om een systeem te bouwen dat zegt: “We vragen eerst toestemming!” maar intussen de achterdeur wijd open laat staan.
En dat allemaal in de context van Apple Intelligence – de grote paradepaardjes van “privacy-first” AI. Die blijken dus gewoon al je metadata op een presenteerblaadje te zetten voor wie even weet waar hij moet kijken.
Misschien moet Apple minder investeren in keynote-video’s en meer in iets revolutionairs als... betrouwbare toegangscontrole. Want als Microsoft je beveiliging komt uitleggen, heb je iets niet goed gedaan.
Nooit gehoord van een bug bounty? Als beveiligingsonderzoeker ben je overal naar aan het kijken, niet alleen je eigen zaakje. Kunnen ze ook meteen aantonen hoe de concurrentie ervoor staat.
Nooit gehoord van een bug bounty? Als beveiligingsonderzoeker ben je overal naar aan het kijken, niet alleen je eigen zaakje. Kunnen ze ook meteen aantonen hoe de concurrentie ervoor staat.
Nooit gehoord van een bug bounty? Als beveiligingsonderzoeker ben je overal naar aan het kijken, niet alleen je eigen zaakje. Kunnen ze ook meteen aantonen hoe de concurrentie ervoor staat.
Laten we dat eens vragen aan Copilot:
=============================
Vraag:
Welke windows kwetsbaarheden zijn door microsoft medewerkers zelf ontdekt?
=============================
Antwoord Copilot:
Je vroeg welke Windows-kwetsbaarheden door Microsoft-medewerkers zelf zijn ontdekt. Op basis van interne documenten, e-mails en officiële Microsoft-bronnen heb ik een overzicht samengesteld van relevante ontdekkingen en context.
---
### Kwetsbaarheden ontdekt door Microsoft zelf
#### 1. **CLFS Zero-Day (CVE-2025-29824)**
Microsoft’s eigen teams — het Microsoft Threat Intelligence Center (MSTIC) en het Microsoft Security Response Center (MSRC) — ontdekten een ernstige zero-day kwetsbaarheid in de **Common Log File System (CLFS)**. Deze kwetsbaarheid maakte **privilege escalation** mogelijk en werd actief misbruikt in ransomware-aanvallen door de groep **Storm-2460**.
- De kwetsbaarheid werd gepatcht op **8 april 2025**.
- De aanval werd uitgevoerd via een **malafide MSBuild-bestand** dat malware bevatte.
- Microsoft adviseerde om deze patch met hoge prioriteit toe te passen [1](https://www.microsoft.com/en-us/security/blog/2025/04/08/exploitation-of-clfs-zero-day-leads-to-ransomware-activity/).
#### 2. **Microsoft SQL Server (CVE-2025-49719)**
Een andere zero-day werd gemeld in een e-mail van de [DTC Community](https://www.office.com/search?q=DTC+Community&EntityRepresentationId=901f21b7-cdc5-4f68-8e9d-63b44d35eea8): een informatielek in **Microsoft SQL Server** dat op afstand en zonder authenticatie kon worden misbruikt. Deze werd opgelost tijdens **Patch Tuesday in juli 2025**, waarbij in totaal **137 kwetsbaarheden** werden aangepakt.
#### 3. **Microsoft SharePoint Server (CVE-2025-53770)**
Een ernstige kwetsbaarheid in **on-premises SharePoint Server** werd eveneens gemeld. Hoewel het niet expliciet is bevestigd dat deze door Microsoft zelf is ontdekt, werd het risico als hoog ingeschat en was er sprake van actief misbruik.
Deze documenten zijn onderdeel van geavanceerde pentest-trainingen en geven inzicht in hoe Microsoft-medewerkers en partners kwetsbaarheden analyseren en mitigeren.
---
### Conclusie
Microsoft-medewerkers, met name via MSTIC en MSRC, spelen een actieve rol in het ontdekken van Windows-kwetsbaarheden. De CLFS zero-day (CVE-2025-29824) is een recent voorbeeld van een door Microsoft zelf ontdekte en gepubliceerde kwetsbaarheid. Daarnaast zijn er interne trainingsdocumenten die diep ingaan op kwetsbaarheden en exploitatie, wat erop wijst dat Microsoft ook intern veel kennis ontwikkelt en deelt.
Wil je een overzicht van alle CVE’s die door Microsoft zijn gemeld of een visuele tijdlijn van deze ontdekkingen?
==============================
NOG NIET OVERTUIGD DAT MICROSOFT ZELF NIKS ONTDEKT?
==============================
Vraag:
Geef nog 20 andere voorbeelden van CVE's die door Microsoft medewerkers zelf zijn ontdekt.
==============================
Antwoord:
Je vroeg om 20 voorbeelden van CVE’s (Common Vulnerabilities and Exposures) die door Microsoft-medewerkers zelf zijn ontdekt. Op basis van meldingen uit interne e-mails van [Microsoft 365 Defender](https://www.office.com/search?q=Microsoft+365+Defender&EntityRepresentationId=1a0f17ec-6986-4115-be78-0271c8e87f80) en officiële bronnen, heb ik een lijst samengesteld van CVE’s die hoogstwaarschijnlijk door Microsoft zelf zijn geïdentificeerd en gepubliceerd.
---
### Voorbeelden van CVE’s ontdekt door Microsoft-medewerkers
Hieronder vind je 20 CVE’s die zijn gemeld in meldingen van Microsoft Defender for Endpoint, en die betrekking hebben op Windows 11 en Windows Server. Deze kwetsbaarheden zijn doorgaans ontdekt door Microsoft’s eigen beveiligingsteams zoals MSRC (Microsoft Security Response Center) of MSTIC (Microsoft Threat Intelligence Center):
| CVE-ID | CVSS Score | Betrokken Product(en) |
|--------------------|------------|----------------------------------------|
| CVE-2025-21307 | 9.8 | Windows 11 |
| CVE-2025-21311 | 9.8 | Windows 11 |
| CVE-2025-21298 | 9.8 | Windows 11 |
| CVE-2025-21246 | 8.8 | Windows 11 |
| CVE-2025-21239 | 8.8 | Windows 11 |
| CVE-2025-21303 | 8.8 | Windows 11 |
| CVE-2025-21245 | 8.8 | Windows 11 |
| CVE-2025-21243 | 8.8 | Windows 11 |
| CVE-2025-21241 | 8.8 | Windows 11 |
| CVE-2025-21266 | 8.8 | Windows 11 |
| CVE-2025-21293 | 8.8 | Windows 11 |
| CVE-2025-21339 | 8.8 | Windows 11 |
| CVE-2025-21306 | 8.8 | Windows 11 |
| CVE-2025-21248 | 8.8 | Windows 11 |
| CVE-2025-21244 | 8.8 | Windows 11 |
| CVE-2025-21240 | 8.8 | Windows 11 |
| CVE-2025-21302 | 8.8 | Windows 11 |
| CVE-2025-21292 | 8.8 | Windows 11 |
| CVE-2025-21282 | 8.8 | Windows 11 |
| CVE-2025-21411 | 8.8 | Windows 11 |
Deze CVE’s zijn allemaal gemeld in meldingen van Microsoft Defender for Endpoint en zijn onderdeel van Microsoft’s eigen kwetsbaarheidsbeheer.
---
### Meer informatie
Wil je ook weten:
- Welke van deze kwetsbaarheden actief zijn misbruikt?
- Welke updates of patches beschikbaar zijn?
- Of er specifieke CVE’s zijn die relevant zijn voor jouw organisatie?
Ik kan ook een CSV-bestand genereren met deze gegevens of een visuele tijdlijn maken. Laat maar weten!
===================================
Ik HAAT ongefundeerde uitspraken en security.nl reacties staan hier bol van. Graag eerst zaken checken voor je "conclusies" trekt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?