Microsoft heeft tijdens de Patch Tuesday van april 2025 in totaal 147 kwetsbaarheden gepatcht, waarvan drie als kritiek zijn geclassificeerd en één actief wordt misbruikt in het wild. Systeembeheerders en eindgebruikers worden dringend verzocht om onmiddellijk te updaten.
De belangrijkste kwetsbaarheid: CVE-2025-29824
De meest urgente kwetsbaarheid is CVE-2025-29824, een privilege escalation-fout in de Windows Common Log File System (CLFS) driver. Met een CVSS-score van 9.8 behoort dit tot de ernstigste categorie.
Wat maakt dit zo gevaarlijk?
- De kwetsbaarheid stelt een aanvaller met beperkte toegang (lokale gebruiker) in staat om volledige beheerdersrechten te verkrijgen
- Er zijn actieve exploits in omloop, gebruikt door de ransomware-groep Storm-0978
- Alle moderne Windows-versies zijn kwetsbaar: Windows 10, 11 en Windows Server 2019/2022
Praktisch: Als een aanvaller via phishing een normale gebruikersaccount compenseert, kan hij met deze kwetsbaarheid direct naar Domain Admin escaleren. Dat is precies de combinatie die ransomware-aanvallen zo effectief maakt.
Andere kritieke patches deze maand
Naast CVE-2025-29824 zijn er meer kwetsbaarheden waarvoor aandacht nodig is:
CVE-2025-26647 — Windows Kerberos Remote Code Execution
- CVSS: 9.0
- Aanvaller kan zonder authenticatie code uitvoeren op Domain Controllers
- Prioriteit: Kritiek — patch DC’s als eerste
CVE-2025-27480 — Remote Desktop Services
- CVSS: 8.1
- Use-after-free bug in RDP-implementatie
- Beïnvloedt alle Windows Server-versies met Remote Desktop rol
CVE-2025-29809 — Kernel Security Feature Bypass
- CVSS: 7.1
- Stelt aanvallers in staat om beveiligingsmechanismen te omzeilen
Hoe patch je snel?
Voor individuele gebruikers
- Ga naar Instellingen → Windows Update
- Klik op Controleren op updates
- Installeer alle beschikbare updates en herstart
Voor systeembeheerders (WSUS/Intune)
# PowerShell — direct patches ophalen en installeren
Install-WindowsUpdate -AcceptAll -AutoReboot
# Of via WSUS: goedkeur de updates voor de productie-groep
# en push ze met hoge prioriteit uit
Prioriteitsvolgorde
- Domain Controllers — CVE-2025-26647 heeft directe impact
- RDS/Terminal servers — CVE-2025-27480
- Werkstations — CVE-2025-29824 (actief misbruikt)
- Overige servers
Tijdelijke mitigatie als patchen niet direct mogelijk is
Als je systemen om operationele redenen niet direct kunt patchen:
Voor CVE-2025-29824:
- Beperk lokale toegang tot kritieke systemen
- Implementeer Credential Guard indien nog niet actief
- Monitor CLFS-gerelateerde events in je SIEM
Voor CVE-2025-26647:
- Beperk Kerberos-verkeer aan de netwerkgrens waar mogelijk
- Verhoog logging op Domain Controllers
- Implementeer Microsoft Defender for Identity voor anomaliedetectie
Hoe test ik of mijn systemen kwetsbaar zijn?
Je kunt de kwetsbaarheid verifiëren met de volgende PowerShell-commando:
# Controleer geïnstalleerde Windows-versie en updatestatus
Get-WmiObject -Class Win32_OperatingSystem | Select-Object Caption, BuildNumber, Version
# Controleer of KB5055523 (de kritieke patch) is geïnstalleerd
Get-HotFix -Id KB5055523
Als de laatste regel geen output geeft, is de patch niet geïnstalleerd en is het systeem kwetsbaar.
Context: waarom Patch Tuesday zo belangrijk is
Elke tweede dinsdag van de maand publiceert Microsoft beveiligingsupdates. In 2024 patchte Microsoft gemiddeld 112 kwetsbaarheden per maand. Het negeren van updates is een van de meest voorkomende redenen dat aanvallers voet aan de grond krijgen.
Tip voor MKB: Als je geen automatisch patchbeheer hebt, stel dan elke maand een herinnering in voor de tweede woensdag. Bekijk dan de Microsoft Security Update Guide en prioriteer op CVSS-score en exploitatiestatus.
Bron: Microsoft Security Update Guide, NCSC-NL advisories, CISA KEV-catalogus