Het Slowaakse cybersecuritybedrijf ESET meldt dat een recent verholpen zero-day kwetsbaarheid in het Windows Win32 Kernel Subsysteem sinds maart 2023 is uitgebuit in aanvallen.

Opgelost in de Windows-beveiligingsupdates die zijn uitgebracht tijdens de Patch Tuesday van deze maand, wordt het beveiligingslek nu bijgehouden als CVE-2025-24983 en werd gemeld aan Microsoft door ESET-onderzoeker Filip Jurčacko.

De kwetsbaarheid wordt veroorzaakt door een use-after-free zwakte waarmee aanvallers met lage privileges SYSTEEM-privileges kunnen verkrijgen zonder gebruikersinteractie. Redmond classificeerde dergelijke aanvallen echter als complex, omdat succesvolle exploitatie vereist dat de aanvallers een raceconditie winnen.

ESET zei dinsdag dat een zero-day exploit gericht op de CVE-2025-24983 kwetsbaarheid “voor het eerst in de natuur” werd waargenomen in maart 2023 op systemen die via PipeMagic-malware waren gecompromitteerd.

Deze exploit richt zich uitsluitend op oudere Windows-versies (Windows Server 2012 R2 en Windows 8.1) die door Microsoft niet langer worden ondersteund. De kwetsbaarheid treft echter ook nieuwere Windows-versies, waaronder de nog steeds ondersteunde Windows Server 2016 en Windows 10-systemen met Windows 10 build 1809 en eerder.

“De Use-After-Free (UAF) kwetsbaarheid houdt verband met onjuist geheugengebruik tijdens de werking van software. Dit kan leiden tot softwarecrashes, uitvoering van kwaadaardige code (inclusief op afstand), privilege-escalatie of datacorruptie,” vertelde ESET ook aan BleepingComputer. “De exploit werd ingezet via de PipeMagic-backdoor, die in staat is om gegevens te exfiltreren en toegang op afstand tot de machine mogelijk te maken.”

PipeMagic werd in 2022 ontdekt door Kaspersky en kan worden gebruikt om gevoelige gegevens te verzamelen, biedt de aanvallers volledige toegang op afstand tot geïnfecteerde apparaten en stelt hen in staat om aanvullende kwaadaardige payloads te implementeren om lateraal door de netwerken van de slachtoffers te bewegen.

In 2023 zag Kaspersky dat het werd ingezet in Nokoyawa-ransomwareaanvallen die misbruik maakten van een andere Windows zero-day, een privilege-escalatiekwetsbaarheid in de Common Log File System Driver die bekend staat als CVE-2023-28252.

Federale instanties opgedragen om te patchen voor 1 april

Tijdens de Patch Tuesday van maart 2025 lapte Microsoft ook de volgende vijf zero-day kwetsbaarheden die als actief uitgebuit zijn gemarkeerd:

• CVE-2025-24984 – Windows NTFS Informatieonthullingskwetsbaarheid
• CVE-2025-24985 – Windows Fast FAT File System Driver Remote Code Execution Kwetsbaarheid
• CVE-2025-24991 – Windows NTFS Informatieonthullingskwetsbaarheid
• CVE-2025-24993 – Windows NTFS Remote Code Execution Kwetsbaarheid
• CVE-2025-26633 – Microsoft Management Console Security Feature Bypass Kwetsbaarheid

Gisteren voegde CISA alle zes zero-days toe aan zijn Catalogus van Bekende Uitgebuite Kwetsbaarheden, waarbij federale instanties werden opgedragen hun systemen uiterlijk op 1 april te beveiligen, zoals vereist door de Bindende Operationele Richtlijn (BOD) 22-01.

“Dit soort kwetsbaarheden zijn vaak aanvalsvectoren voor kwaadaardige cyberactoren en vormen aanzienlijke risico’s voor de federale onderneming,” waarschuwde het Amerikaanse cybersecuritybureau.

“Hoewel BOD 22-01 alleen van toepassing is op FCEB-agentschappen, dringt CISA er sterk bij alle organisaties op aan om hun blootstelling aan cyberaanvallen te verminderen door het tijdig verhelpen van Cataloguskwetsbaarheden als onderdeel van hun kwetsbaarheidsbeheerpraktijk te prioriteren.”