Microsoft dicht kritiek lek in bedrijfsprocessensoftware Power Automate

Microsoft heeft een kritiek lek in de desktopversie van zijn bedrijfsprocessensoftware Power Automate gedicht. Het lek maakte het voor hackers mogelijk om zonder toestemming op afstand gevoelige informatie te verzamelen. Daardoor konden zij meer systeemrechten verkrijgen.

Gebruikers hoeven verder geen actie meer te ondernemen, verzekert Microsoft. Het bedrijf geeft verder weinig prijs over de precieze aard van het lek, dat het CVE-nummer CVE-2025-47966 heeft meegekregen met ernstigheidsscore 9.8. De complexiteit van een aanval met het lek wordt omschreven als laag en er zijn geen speciale rechten voor nodig om de aanval uit te voeren.

Update, 17.30 uur - Toegevoegd dat het gedichte lek in de desktopversie van de software zat.

Door Imre Himmelbauer

Redacteur

Feedback • 06-06-2025 16:09 8

06-06-2025 • 16:09

8

Lees meer

Microsoft dicht twee zerodays tijdens Patch Tuesday
Microsoft dicht twee zerodays tijdens Patch Tuesday Nieuws van 11 juni 2025
Microsoft wil met cybersecurityprogramma EU-landen informeren over dreigingen
Microsoft wil met cybersecurityprogramma EU-landen informeren over dreigingen Nieuws van 4 juni 2025
Microsoft integreert AI-videomaker op basis van Sora in mobiele Bing-app
Microsoft integreert AI-videomaker op basis van Sora in mobiele Bing-app Nieuws van 3 juni 2025
EU-gebruikers kunnen straks Microsoft Store verwijderen in Windows
EU-gebruikers kunnen straks Microsoft Store verwijderen in Windows Nieuws van 3 juni 2025
Meer producten en artikelen
Bedrijfsnieuws Microsoft Security

Reacties (8)

-Moderatie-faq
8
8
6
0
0
2
Wijzig sortering
Blokker_1999
6 juni 2025 16:32
Een belangrijke opmerking is dat het hier gaat om "Power Automate for Desktop", een Windows applicatie die een schil kan vormen rond het Power Automate platform. Spijtig genoeg geeft Microsoft enorm weinig informatie over hoe er misbruik zou kunnen zijn en hoe je deze kunt detecteren. Maar het lijkt er dus wel op dat als je gebruik maakt van enkel de web interface, dat je niet getroffen bent door dit probleem.
naaitsab @Blokker_19996 juni 2025 17:27
Spijtig genoeg geeft Microsoft enorm weinig informatie over hoe er misbruik zou kunnen zijn en hoe je deze kunt detecteren
Dit de 'afgesproken' standaard als het gaat om lekken die misbruikt kunnen worden. Wat er exact mis is wordt pas vrijgegeven als men met enige zekerheid kan zeggen dat een groot deel van de gebruikers de kans heeft gekregen om de software te updaten. De 'indicator of compromise' (hoe weet je dat je bent getroffen) wordt meestal wel vrijgegeven mits dit niet te veel info vrij geeft over wat er loos is. Al lijkt het wel een trend te worden "er is iets mis, doe maar gewoon updaten" zo'n beetje de enige info is die wordt vrijgegeven zonder vervolg. Dat is wel een zorgelijke trend.
kodak
@naaitsab6 juni 2025 18:21
Het is vooral praktijk dat bedrijven en onderzoekers zelf afwegen of en welke gegevens ze verspreiden. Er is geen afspraak en zeker niet eenduidig. En dat is waarom er meningen verschillen over wat genoeg of te veel informatie is. Want een bedrijf als Microsoft heeft er een enorm belang bij niet verantwoordelijk te worden gehouden dat ze een zelf veroorzaakt probleem niet in stand houden en niet te verergeren. Maar er is ook enorm belang bij klanten en al hun miljoenen klanten 4n afhankelijken om direct te kunnen controleren of er geen misbruik van gemaakt is. En daar lijkt Microsoft weer geen enkele rekening mee te houden. Net zo min als grote criminele vaak al genoeg aan vergelijken van updates hebben om het heel snel te kunnen misbruiken.

Microsoft is niet slechts terughoudend in details verstrekken, ze stellen bij dit lek zelfs dat klanten zich maar geen zorgen moeten maken en geen enkele informatie nodig zouden hebben. Wat eerder behoorlijk arrogant is dan werkelijk rekening houden met de belangen van klanten en al hun gebruikers.
localhost @Blokker_19996 juni 2025 16:36
Inderdaad "Desktop"...
Wel opvallend dat er op 8 Mei ook een hele sloot met CVSS van 9 t/m 10 kwam. Dat waren wel Cloud Services. Maar daarover kan ik niets terug vinden bij Tweakers.
Voorbeeld: https://msrc.microsoft.co...nerability/CVE-2025-29813
dasiro @localhost6 juni 2025 23:52
Het is jammer genoeg zo dat er zó veel informatie is dat het eerder gewoon wachten is tot op het moment dat iemand het belangrijk genoeg vindt om te melden en dan nog iemand om het nieuwswaardig genoeg te vinden om het te publiceren. ;(
dasiro @Blokker_19996 juni 2025 23:44
De complexiteit van een aanval met het lek wordt omschreven als laag en er zijn geen speciale rechten voor nodig om de aanval uit te voeren.
Je wil geen scriptkiddies wereldwijd op ideeën brengen om het probleem niet nog erger te maken dan het al is. Eerst remediëren, informeren en dan pas expliceren is in zo'n geval de beste aanpak.
HKLM_
6 juni 2025 16:29
Misschien goed te vermelden dat dit Power Automate for Desktop betreft en niet de online versie.

[Reactie gewijzigd door HKLM_ op 6 juni 2025 16:31]

AuteurImre Himmelbauer Redacteur @HKLM_6 juni 2025 17:25
Goed punt. Pas ik even aan.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq