Tijdens de patchdinsdag van oktober, en laatste reguliere patchronde van Windows 10, heeft Microsoft 177 nieuwe kwetsbaarheden verholpen, waaronder drie actief aangevallen beveiligingslekken. Via twee van deze drie kwetsbaarheden kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. Het derde beveiligingslek maakt het mogelijk voor een aanvaller met fysieke toegang tot een systeem om Secure Boot van IGEL OS 10 te omzeilen.

Van de 177 verholpen kwetsbaarheden zijn er zestien als kritiek aangemerkt. De drie gevaarlijkste worden aangeduid als CVE-2025-59246, CVE-2025-59287 en CVE-2025-49708. CVE-2025-59246 betreft een kwetsbaarheid in Azure Entra ID waardoor een aanvaller zijn rechten kan verhogen. Verdere details zijn niet gegeven, behalve dat klanten geen actie hoeven te ondernemen omdat Microsoft het probleem al heeft verholpen. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

CVE-2025-59287 heeft ook een impactscore van 9.8 en betreft een kritieke kwetsbaarheid in Windows Server Update Service (WSUS). Via het beveiligingslek is ongeauthenticeerde remote code execution mogelijk. Microsoft verwacht dat aanvallers van deze kwetsbaarheid misbruik zullen gaan maken.

In het geval van CVE-2025-49708 is de impactscore 9.9. Via het beveiligingslek in Microsoft Graphics Component kan een aanvaller zijn rechten verhogen en SYSTEM-rechten krijgen. Misbruik zou kunnen plaatsvinden in een guest virtual machine, waarbij een aanvaller vervolgens het onderliggende host systeem kan overnemen, aldus Microsoft.

De drie actief aangevallen kwetsbaarheden worden aangeduid als CVE-2025-59230, CVE-2025-24990 en CVE-2025-47827. De eerste twee beveiligingslekken bevinden zich in respectievelijk Windows Remote Access Connection Manager en Windows Agere Modem Driver. Via deze twee kwetsbaarheden kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen tot die van admin of SYSTEM.

De meest interessante van de drie actief aangevallen kwetsbaarheden is CVE-2025-47827. Het gaat om een Secure Boot bypass in IGEL OS. Dit is een Linux-gebaseerd besturingssysteem voor SaaS-, DaaS- en VDI-omgevingen. IGEL OS 10 maakt gebruik van Secure Boot, maar de Linux-kernel blijkt de cryptografische handtekening van de systeempartitie niet te verifiëren. Een aanvaller kan hierdoor vanaf een andere systeempartitie opstarten.

Details over het waargenomen misbruik zijn niet gegeven. Volgens Dustin Childs van securitybedrijf ZDI gaat het waarschijnlijk om een zeer gerichte aanval, maar is het kwetsbare onderdeel in alle ondersteunde Windowsversies aanwezig. De oktober-updates zullen op de meeste systemen automatisch worden geïnstalleerd.