Microsoft dicht actief misbruikte zeroday in Windows

Microsoft heeft een actief misbruikte zeroday gedicht met zijn Patch Tuesday-beveiligingsupdate van april. Het probleem zorgt ervoor dat lokale aanvallers systemprivileges krijgen op het getroffen apparaat.

De kwetsbaarheid wordt gevolgd onder CVE-2025-29824. Microsoft zegt in een apart bericht dat het gat al op beperkte schaal actief misbruikt wordt. Zo zijn Amerikaanse IT-bedrijven en makelaars doelwit, evenals bedrijven in de financiële sector in Venezuela en de retailsector in Saudi-Arabië. Ook is een Spaans softwarebedrijf doelwit geweest.

Opvallend is dat het probleem alleen Windows 11 24H2 niet treft. De exploit blijkt niet op die versie van Windows te werken, zelfs als de kwetsbaarheid wel aanwezig is, aldus Microsoft. Het bedrijf adviseert de updates zo snel mogelijk te installeren om het probleem overal te verhelpen.

De Patch Tuesday-update bevat ook patches voor 133 andere kwetsbaarheden. De volledige lijst is te vinden op de website van Microsoft.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 10-04-2025 17:09
24 • submitter: TheVivaldi

10-04-2025 • 17:09

24

Submitter: TheVivaldi

Lees meer

Microsoft Windows 11 Pro

vanaf € 141,49

3.5 van 5 sterren

Alles over dit product

Microsoft Windows 11 Home

vanaf € 117,45

4.5 van 5 sterren

Alles over dit product

Onderzoeker: Windows-update voor 'inetpub'-map veroorzaakt beveiligingsprobleem
Onderzoeker: Windows-update voor 'inetpub'-map veroorzaakt beveiligingsprobleem Nieuws van 24 april 2025
Snipping Tool voor Windows 11 krijgt functie om tekst op je scherm te kopiëren
Snipping Tool voor Windows 11 krijgt functie om tekst op je scherm te kopiëren Nieuws van 17 april 2025
Onderzoeker vindt verdachte unlisted Chrome-extensies met miljoenen installaties
Onderzoeker vindt verdachte unlisted Chrome-extensies met miljoenen installaties Nieuws van 11 april 2025
Microsoft houdt op 8 juni Xbox Games Showcase met aankomende games
Microsoft houdt op 8 juni Xbox Games Showcase met aankomende games Nieuws van 9 april 2025
Windows 11 lijkt nieuw Start-menu te krijgen zonder aanbevelingen - correctie
Windows 11 lijkt nieuw Start-menu te krijgen zonder aanbevelingen - correctie Nieuws van 8 april 2025
Lek in WhatsApp voor Windows kan leiden tot uitvoeren willekeurige code
Lek in WhatsApp voor Windows kan leiden tot uitvoeren willekeurige code Nieuws van 8 april 2025
Microsoft Copilot kan taken uitvoeren in browser en eerdere gesprekken onthouden
Microsoft Copilot kan taken uitvoeren in browser en eerdere gesprekken onthouden Nieuws van 5 april 2025
Nieuw Windows 11-startmenu maakt het mogelijk aanbevelingen te verwijderen
Nieuw Windows 11-startmenu maakt het mogelijk aanbevelingen te verwijderen Nieuws van 4 april 2025
Windows 11 is in Nederland voor het eerst groter dan Windows 10
Windows 11 is in Nederland voor het eerst groter dan Windows 10 Nieuws van 4 april 2025
WinRAR lost beveiligingslek op dat Windows-waarschuwingen omzeilde
WinRAR lost beveiligingslek op dat Windows-waarschuwingen omzeilde Nieuws van 4 april 2025
Microsoft brengt eerste eigen 'Cloud PC' uit voor 419 euro
Microsoft brengt eerste eigen 'Cloud PC' uit voor 419 euro Nieuws van 3 april 2025
Windows 11 Enterprise ondersteunt nu updates zonder reboot
Windows 11 Enterprise ondersteunt nu updates zonder reboot Nieuws van 3 april 2025
Microsoft brengt extra Copilot+-functies naar AMD- en Intel-pc's met npu
Microsoft brengt extra Copilot+-functies naar AMD- en Intel-pc's met npu Nieuws van 1 april 2025
Microsoft verwijdert de :( in nieuw ontwerp 'blue screen of death'
Microsoft verwijdert de :( in nieuw ontwerp 'blue screen of death' Nieuws van 31 maart 2025
Meer producten en artikelen
Beveiliging en antivirus Besturingssystemen Microsoft Windows Patches Patch Tuesday

Reacties (24)

-Moderatie-faq
24
22
13
1
0
5
Wijzig sortering
wildhagen
10 april 2025 17:15
Interessant is om te zien op de CVE-pagina van MS zelf (uit het artikel) dat er ook patches zijn uitgebracht voor Windows Server 2008 (en R2) en Windows Server 2012 (en R2). Dit ondanks dat de support voor beide versies alweer een tijdje (of een héle tijd, in het geval van 2008) is afgelopen.

Is niet helemaal uniek, maar het gebeurt doorgaans wel enkel bij high- en critical-risk bugs. Dat geeft dus wel een indicatie dat dit lek behoorlijk kritiek is.

Netjes dat ze die toch nog patchen dus en deze patches ook publiek beschikbaar maken dus buiten de ESU (Extended Security Update) kanalen om.
Reageer
xxs @wildhagen10 april 2025 17:19
Een CVE score van 7.8 is een High nog niet eens een critical en toch voor de oude oS’en een patch.
Reageer
latka @xxs10 april 2025 22:29
Die score zegt vrij weinig niet zoveel. Als de attack al gebruikt wordt en als springplank gebruikt wordt voor een network attack dan is het eigenlijk een critical/10.0 exploit, maar omdat dit specifieke ding niet remote bruikbaar is is deze exploit op zichzelf minder spannend. Het is dus een combinatie van hoe eenvoudig is deze exploit en waar in de keten wordt die ingezet. Dat laatste is geen onderdeel van de rekensom.
Reageer
haam @wildhagen10 april 2025 17:28
Zeker geen kenner op dit gebied. Ik vraag me af wat er niet backwards compatible is zodat bedrijven of organisaties nog op die ouwe meuk draaien.

Hardware verouderd ook, dus je moet oude software op nieuwe hardware draaien. In het verleden heb ik collega's gehad die dan nieuwe drivers (van nieuwe windows versies konder slipstreamen (oid) zodat het toch werkte.

Neem toch aan dat men al veel langer nadenkt/bezig is met versie onafhankelijke software
Reageer
To_Tall @haam11 april 2025 11:17
Je moet eens weten hoeveel bedrijven nog oude hardware en software aanhouden om een legacy applicatie in leven te houden voor bv hostorische data.

Zo heb ik in 2007 nog bij een bedrijf gewerkt die meerdere AS400 hadden draaien om hun Facturatie te doen,garantie sales enz. Ze konden niet over omdat het systeem speciaal was ontwikkeld en omzetten naar een nieuw moderne omgeving miljoenen koste.

Dan blijf je lekker op oude meuk draaien. Waarom iets veranderen als iets werkt.
Reageer
JohanNL @wildhagen10 april 2025 17:57
Zou het komen doordat deze enkel lokaal is uit te buiten én zeer ernstig is?
Kan me voorstellen dat degenen die server 2008 draaien zonder ESU's deze niet internet toegang hebben, laat staan direct zijn aangesloten, maar dus enkel nog in lokale netwerken te vinden zijn.
Het is inderdaad zeer coulant van Microsoft en ook een zeer welkome update voor deze groep.
Reageer
Blokker_1999
@wildhagen10 april 2025 18:34
Als ik me niet vergis zijn die nog altijd onder ESU support op Azure en is dat de reden dat er patches zijn. Kans is groot dat als je ze probeert te installeren op een ander systeem, dat de patch gaat weigeren om geinstalleerd te worden.
Reageer
Psycho_Mantis @Blokker_199911 april 2025 07:57
Klopt Server 2012 R2 is nog supported tot Oktober 2026.
Reageer
kahraman11 10 april 2025 17:21
Dit betreft een elevation of privileges (dus van reguliere gebruiker naar administrator privileges). Hierdoor is de impact niet zeer hoog aangezien de machine al geinfecteerd moet zijn voordat het nodig is om de rechten te verhogen naar administrator.

Dit betekent dus dat de Amerikaanse IT-bedrijven en makelaars al gehackt waren en dat de aanvallers deze zeroday exploit gebruikt hebben om hun rechten te verhogen naar administrator en vanuit daar verder te kunnen gaan op het systeem (LSASS dumpen bijvoorbeeld). Hiermee zouden ze eventueel zelfs toegang kunnen verschaffen tot andere systemen in het netwerk en uiteindelijk ransomware installeren zoals Microsoft het ook omschreef met de PipeMagic malware.
Reageer
lenwar
@kahraman1110 april 2025 18:14
Het gaat verder. Het gaat in dit specifieke CVE om SYSTEM-rechten. (Dat is meer dan Administrator). Bij een lokale exploit kan een willekeurig phishingmailtje of social engineering Whatsappje kan voldoende zijn.
Reageer
Blokker_1999
@kahraman1110 april 2025 18:36
De tijd dat een aanvaller met 1 enkele bug direct heel je omgeving kan overnemen is lang verleden tijd. Vandaag gaat het al te vaak om een aaneenschakeling van minder kritieke kwetsbaarheden. Stellen dat een bug niet ernstig is omdat je al toegang moet hebben is daarom veel te kort door de bocht.

Als ik een cent zou krijgen voor elk systeem dat op dit moment gecompromiteerd is op de ene of andere manier, ik zou verdomme rijk zijn.
Reageer
latka @kahraman1110 april 2025 22:30
Ken deze exploit niet specifiek, maar het kan soms al voldoende zijn om een remote-exploit via het preview windows in Outlook te hebben om je local exploit te draaien. Dus ook een local only exploit kan erg vervelend uitpakken zonder geinfecteerd te zijn in de traditionele zin van het woord.
Reageer
kuurtjes 10 april 2025 18:10
Lekker weeral. Actief misbruikt en wachten tot de heilige patch tuesday. 8)7
Reageer
kimborntobewild 12 april 2025 10:15
Absurd dat een besturingssysteem met 134 security-gaten uberhaupt verkocht mag worden.
Reageer
Keypunchie @amigob210 april 2025 17:21
Wat een gezeur. Het is een "elevation of privilege" bug. Nou tevreden?
Reageer
Keypunchie @amigob210 april 2025 17:24
Ja, dan moet je je zorgen maken, want je hebt je patchbeleid niet op orde.
Reageer
amigob2 @Keypunchie10 april 2025 17:30
Echt , als toegang nodig is, hoef ik me helemaal geen zorgen te maken, als Bepaalde porten open moeten staan hoef ik me helemaal geen zorgen te maken. etc.
Reageer
Keypunchie @amigob210 april 2025 17:48
Nou, prima, je bent duidelijk een security expert.

Waarom je het dan op tweakers moet vragen…
Reageer
Blokker_1999
@amigob210 april 2025 18:39
Dus omdat men toegang tot je systeem moet hebben voor een bug denk je dat een bug niet ernstig is? Die houding alleen al zegt me dat je best gewoon kunt zorgen dat alles up to date is ... .

Het is net dankzij mensen zoals jij dat Microsoft het steeds moeiljker maakt om zelf verantwoordelijkheid te nemen voor het patchbeleid van je eigen computers. Maar aan de andere kant, wanneer experts, die alle kennis in huis hebben om te weten waar het overgaat, aanbevelen om je systemen up to date te houden, dan vraag ik me af waarom jij denkt het beter te weten maar niet eens de moeite kunt nemen om te leren hoe je een CVE kunt opzoeken of moet interpreteren.
Reageer
LollieStick @amigob210 april 2025 21:25
Nee dat zegt me nog niks, ik wil weten of ik mij zorgen moet maken, ik doe namelijk maar af en toe updates. Voorbeeld , de laatste keer bij zo een artikel moesten ze fyziek toegang hebben tot de PC
En daar gaat het fout. Als beheerder ben je ook verantwoordelijk voor adequate beveiliging. Updates vallen daar ook onder. Ik kan me nog voorstellen dat je updates een paar dagen uitstelt om even af te wachten of er spannende bugs aan het licht komen die jou wellicht zouden kunnen treffen maar meer als een paar dagen?? 0-days zijn dan wat mij betreft ook nog een uitzondering daarop. Dan zou ik zeggen meteen patchen. In de huidige tijd dat veel gevirtualiseerd is hoeft patchen ook niet zo spannend te zijn. Je maakt een snapshot voor die tijd en begint met updaten. Gaat het fout zet je je snapshot terug.

Hoe dan ook maak je daar natuurlijk zelf een keus in. Ga dan echter ook niet achteraf lopen miepen als het bij je in de soep loopt als blijkt dat er lekken misbruikt zijn die reeds enige tijd gepatched zijn.
Reageer
duikje @amigob210 april 2025 18:37
Als je de links in het nieuws bericht volgt krijg je alle info (https://www.microsoft.com...s-to-ransomware-activity/).

Ja je kan dat hele artikel in het nieuws bericht zetten of een gedeelte er van maar als je echt nieuwsgierig bent of er meer over wil weten klik je toch automatisch even op de links?
Reageer
Z80 @duikje10 april 2025 20:32
Ja maar die is niet in het Nederlands.
/c
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq