Microsoft’s Grote Patch Tuesday: Meer dan 150 Beveiligingsproblemen Opgelost

Op de Patch Tuesday van 14 januari 2025 heeft Microsoft een recordaantal beveiligingsupdates uitgebracht. In totaal werden 159 kwetsbaarheden in Windows, Office, Edge en andere producten verholpen. Dit is meer dan twee keer zoveel als normaal, waarmee deze Patch Tuesday de meest uitgebreide van de afgelopen jaren is.

Hoogtepunten van de Patch Tuesday

Microsoft meldde dat drie van de verholpen kwetsbaarheden in Windows al actief werden uitgebuit en dat vijf andere kwetsbaarheden al publiekelijk bekend waren voordat de patches beschikbaar kwamen. Dit benadrukt de urgentie voor gebruikers en beheerders om de updates zo snel mogelijk toe te passen.

Hoewel Microsoft beperkte details biedt in de Security Update Guide, biedt het Zero Day Initiative van Dustin Childs meer diepgaande analyses, vooral gericht op IT-beheerders die bedrijfsnetwerken beheren.

De volgende reguliere Patch Tuesday staat gepland op 11 februari 2025.

Windows: Het zwaartepunt van de updates

Van de 159 kwetsbaarheden waren er maar liefst 132 gericht op Windows-versies die nog beveiligingsupdates ontvangen, zoals Windows 10, Windows 11 en Windows Server. Windows 7 en 8.1 worden niet langer ondersteund, maar gebruikers van deze verouderde systemen lopen mogelijk nog steeds risico. Overstappen naar Windows 10 of 11 is sterk aanbevolen voor wie nog op oudere versies werkt.

Actief uitgebuite kwetsbaarheden

Drie verholpen kwetsbaarheden in Windows worden actief uitgebuit:

• Hyper-V-kwetsbaarheden (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335): Deze kwetsbaarheden stellen aanvallers in staat om via een gastsysteem code uit te voeren met systeemrechten op de host. De schaal van de aanvallen is momenteel onbekend.

Kritieke kwetsbaarheden

Microsoft heeft acht Windows-kwetsbaarheden als kritiek geclassificeerd. Een greep uit de meest opvallende:

• CVE-2025-21298 (Windows OLE, CVSS 9.8): Een speciaal gemaakte e-mail kan leiden tot code-uitvoering wanneer geopend met Outlook. Hoewel de voorbeeldweergave van een bijlage geen directe aanvalsvector vormt, kan deze alsnog leiden tot injectie van schadelijke code.

• Remote Desktop Services (CVE-2025-21297 en CVE-2025-21309, CVSS 8.1): Deze kwetsbaarheden kunnen worden misbruikt door aanvallers zonder gebruikerslogin. Hoewel een raceconditie vereist is voor exploitatie, is misbruik mogelijk.

Daarnaast heeft Microsoft 28 vergelijkbare RCE-kwetsbaarheden (CVSS 8.8) in de Windows-telefonieservice opgelost. Hoewel deze als hoog risico worden beschouwd, zijn er momenteel geen aanwijzingen dat ze actief worden uitgebuit.

Updates voor Microsoft Office

Binnen de Office-producten zijn 20 kwetsbaarheden opgelost. Deze omvatten:

• Meerdere RCE-kwetsbaarheden in Word, Excel, Outlook, OneNote, Visio en SharePoint Server.
• Drie zero-day kwetsbaarheden in Access.

Microsoft Edge en Chromium

De nieuwste versie van Microsoft Edge, 131.0.2903.146 (uitgebracht op 10 januari), is gebaseerd op Chromium 131.0.6778.265. Hoewel Microsoft weinig documentatie heeft verstrekt over deze update, is bekend dat meerdere beveiligingsproblemen zijn verholpen. Google bracht eveneens een nieuwe Chrome-versie uit die diverse als hoog risico geclassificeerde kwetsbaarheden oplost.

Advies aan Gebruikers

Gebruikers en IT-beheerders worden dringend geadviseerd om de patches zo snel mogelijk te implementeren om risico’s te minimaliseren. Organisaties moeten hun systemen nauwkeurig monitoren en mogelijk kwetsbare gebieden aanpakken, vooral bij oudere Windows-versies en in netwerken met Remote Desktop Services.

Door: Drifter