Je Windows-computer kan gevaarlijker zijn dan je denkt. Deze maand heeft Microsoft maar liefst 107 beveiligingslekken gedicht in hun augustus 2025 Patch Tuesday-update. Wat echt zorgwekkend is? Een van deze kwetsbaarheden is een zogenaamde ‘zero-day’ kwetsbaarheid die al openbaar bekend was voordat er een patch beschikbaar kwam. Als jouw bedrijf nog niet heeft geüpdatet, ben je letterlijk een makkelijk doelwit voor hackers. Dit klinkt misschien overdreven, maar cybercriminelen zitten echt niet stil – ze scannen het internet actief naar onbeschermde systemen.
TL;DR
Voor Patch Tuesday augustus 2025 heeft Microsoft 107 beveiligingslekken gepatcht, waaronder één publiekelijk bekende zero-day kwetsbaarheid in Windows Kerberos (CVE-2025-53779). Van deze lekken zijn er 13 als “kritiek” geclassificeerd. Het Kerberos-lek stelt aanvallers in staat om domeinbeheerdersrechten te verkrijgen via een geautoriseerde gebruiker. Daarnaast hebben andere grote techbedrijven zoals Adobe, Google en Cisco ook belangrijke beveiligingsupdates uitgebracht. Alle updates zijn beschikbaar en moeten direct worden geïnstalleerd.
Wat maakt dit zero-day lek zo gevaarlijk?
Een zero-day kwetsbaarheid tijdens Patch Tuesday is een beveiligingslek dat al openbaar bekend is voordat de softwareleverancier een patch heeft kunnen uitbrengen. Dit zijn de meest gevreesde kwetsbaarheden in de cybersecuritywereld, omdat cybercriminelen maanden de tijd hebben gehad om er misbruik van te maken.
Deze maand heeft Microsoft zo’n kritiek lek gedicht in Windows Kerberos (CVE-2025-53779). Het probleem zit in een relatieve padtraversal die een geautoriseerde aanvaller de mogelijkheid geeft om zijn rechten te verhogen naar domeinbeheerdersrechten. Simpel gezegd: als een hacker al enige toegang heeft tot jouw netwerk, kan hij plotseling volledige controle krijgen over je hele IT-infrastructuur.
Het onderzoeksteam van beveiligingsbedrijf Akamai heeft een kwetsbaarheid ontdekt, en Yuval Gordon publiceerde in mei 2025 een technisch rapport hierover. Dit betekent dat kwaadwillenden maandenlang de kans hebben gehad om deze informatie te bestuderen en mogelijk te misbruiken.
De omvang van deze Patch Tuesday: 107 kwetsbaarheden.
Naast het zero-day lek heeft Microsoft nog eens 106 andere beveiligingsproblemen opgelost tijdens Patch Tuesday augustus 2025. De cijfers zijn zowel indrukwekkend als zorgwekkend:
- 44 kwetsbaarheden voor het verhogen van rechten
- 35 lekken voor het uitvoeren van externe code
- 18 informatielekken
- 9 spoofing kwetsbaarheden
- 4 denial of service lekken
Van al deze problemen zijn er 13 als “kritiek” geclassificeerd. Dit betekent dat ze ernstige gevolgen kunnen hebben voor de veiligheid van je bedrijf. Cybercriminelen bestuderen vaak deze patches om te begrijpen hoe ze de kwetsbaarheden kunnen misbruiken in systemen die nog niet zijn bijgewerkt. Dit fenomeen staat bekend als ‘reverse engineering’ en is een veelgebruikte tactiek in de wereld van cybercriminaliteit.
Kritieke kwetsbaarheden die onmiddellijke aandacht vereisen.
Microsoft Office en Windows-componenten hebben verschillende lekken waarbij aanvallers externe code kunnen uitvoeren. Dit houdt in dat het openen van een geïnfecteerd document of bestand je hele systeem kan compromitteren. Stel je voor dat je een Excel-bestand opent dat er volkomen normaal uitziet, maar stiekem malware installeert zodra je het opent.
Azure-diensten hebben ook ernstige problemen, waaronder informatielekken en spoofing kwetsbaarheden. Als jouw bedrijf gebruikmaakt van Microsoft’s clouddiensten, ben je extra kwetsbaar. Aanvallers kunnen zich voordoen als legitieme diensten of gevoelige bedrijfsgegevens stelen.
Windows Message Queuing en Graphics-componenten hebben ook kritieke lekken die externe code-uitvoering mogelijk maken. Deze onderdelen draaien vaak met hoge systeemrechten, waardoor een succesvolle aanval verwoestende gevolgen kan hebben voor je hele netwerk.
Het is niet alleen Microsoft
Ook andere leveranciers zijn druk bezig. Verschillende grote technologiebedrijven hebben belangrijke updates uitgebracht die je echt niet wilt negeren. Adobe heeft noodupdates voor AEM Forms vrijgegeven, omdat er proof-of-concept exploits zijn gelekt. Google heeft twee kwetsbaarheden in Android gepatcht die actief werden misbruikt, en WinRAR heeft een beveiligingslek verholpen dat al door criminelen werd gebruikt voor externe code-uitvoering.
Dit laat zien dat cyberbedreigingen niet beperkt zijn tot één enkele leverancier. Je hele IT-omgeving heeft regelmatig onderhoud nodig om veilig te blijven. Elke software die je gebruikt kan namelijk een potentiële toegangspoort voor aanvallers zijn.
Waarom het nu belangrijker is dan ooit om te updaten
Deze Patch Tuesday benadrukt hoe cruciaal het is om je updates op tijd door te voeren voor je cybersecurity. Cybercriminelen zijn steeds sneller in het benutten van nieuwe kwetsbaarheden, dus elke dag dat je wacht, brengt extra risico met zich mee. Ze scannen actief het internet naar bedrijven die nog niet geüpdatet hebben en weten precies waar ze moeten zoeken.
Veel bedrijven denken: “We doen de updates wel volgende week.” Dit is een riskante strategie. Zodra een beveiligingslek openbaar wordt gemaakt via een patch, hebben aanvallers een routekaart naar onbeschermde systemen. Hoe langer je wacht, hoe groter de kans dat jij het volgende slachtoffer wordt.
Een recent onderzoek toont aan dat de gemiddelde kosten van een datalek inmiddels boven de vier miljoen dollar liggen. Daartegenover staan de relatief lage kosten van proactief patchbeheer.
Het belang van een goed patch management proces
Bedrijven hebben echt een goed gestructureerd patch management proces nodig. Dit betekent niet alleen dat ze updates installeren, maar ook dat ze controleren of deze updates succesvol zijn doorgevoerd en of alle systemen in het netwerk zijn bijgewerkt. Zelfs één niet-gepatcht systeem kan het hele netwerk in gevaar brengen.
Effectief beveiligingsbeheer vereist prioritering, testen en monitoring. Kritieke kwetsbaarheden, zoals het Kerberos-probleem, moeten onmiddellijk worden aangepakt, terwijl andere updates kunnen wachten tot een gepland onderhoudsvenster.
Conclusie
De augustus 2025 Patch Tuesday van Microsoft was een echte wake-up call voor alle Windows-gebruikers. Met maar liefst 107 verholpen kwetsbaarheden tijdens Patch Tuesday, waaronder een zero-day die al openbaar bekend was, is het duidelijk dat cybercriminelen altijd op zoek zijn naar nieuwe manieren om binnen te dringen. Het succesvol patchen van deze kritieke kwetsbaarheden benadrukt hoe belangrijk een sterke cybersecuritystrategie is. Maar het updaten van je systemen is slechts het begin. Een complete cybersecurityaanpak vraagt om expertise, de juiste tools en voortdurende monitoring.
Maak je je zorgen over de beveiliging van jouw IT-omgeving? Neem dan contact op met Infin-IT. Onze experts helpen je niet alleen met het installeren van updates, maar ontwikkelen ook een uitgebreide beveiligingsstrategie die perfect aansluit bij jouw bedrijf. Sterker nog: onze klanten hoeven deze blog niet te lezen omdat ze al helemaal up-to-date zijn.
