Ga naar content
Wij zijn de #1 Microsoft partner
#1 Microsoft partner van NL
Console Trainingen Werken bij
language_gb language_be
Home Blogs Wortell Kwestbaarheid notificatie: CVE-2025-49752 - Azure Bastion-kwetsbaarheid voor verhoging van privileges

Wortell Kwestbaarheid notificatie: CVE-2025-49752 - Azure Bastion-kwetsbaarheid voor verhoging van privileges

Blogs
Tessa Trepels
26-11-2025

Deze kwetsbaarheid is volledig verholpen door Microsoft, dus er zijn geen directie acties van onze of uw kant benodigd.

Er is een kritieke authenticatie-bypass-fout (CVE-2025-49752) geïdentificeerd in Azure Bastion, waardoor externe aanvallers beheerdersrechten kunnen verkrijgen en virtuele machines kunnen compromitteren die via de Bastion-host worden benaderd.  Deze kwetsbaarheid is uiterst ernstig (CVSS-score 10,0) en heeft invloed op alle implementaties van Azure Bastion vóór de update die op 20 november 2025 is uitgebracht.

Wat is het probleem

  • De kwetsbaarheid is een authenticatie-omzeiling (CWE-294) in Azure Bastion waardoor aanvallers op afstand privileges kunnen verhogen zonder voorafgaande authenticatie of interactie van de gebruiker.

  • De fout is specifiek het gevolg van onjuiste verwerking van authenticatietokens binnen de Bastion-service: aanvallers kunnen geldige inloggegevens onderscheppen en opnieuw afspelen om controles te omzeilen.

  • Wanneer hier misbruik van wordt gemaakt, kan een aanvaller één netwerkverzoek naar de Bastion-host sturen en toegang op beheerdersniveau verkrijgen, waardoor mogelijk alle virtuele machines die via de Bastion-host bereikbaar zijn, worden gecompromitteerd.
  • De aanvalsvector is puur netwerkgebaseerd en vereist geen fysieke toegang, gebruikersinteractie of voorafgaande rechten.
  • De kwetsbaarheid heeft invloed op alle versies van Azure Bastion van vóór de fix die op 20 november 2025 is uitgebracht.

Wie loopt risico

  • Elke organisatie die Azure Bastion gebruikt om veilige administratieve toegang te bieden tot virtuele machines in de Azure-cloudomgeving loopt risico.
  • Omdat Azure Bastion geprivilegieerde toegang (RDP/SSH) tot virtuele machines kan bieden, wordt het volledige virtuele machinepark achter een kwetsbare Bastion-host blootgesteld zodra de kwetsbaarheid wordt misbruikt.
  • Het risico is groot omdat de exploit geen interactie van de gebruiker vereist, geen voorafgaande inloggegevens of privileges nodig heeft en op afstand via het netwerk kan worden uitgevoerd.
  • Aangezien de kwetsbaarheid van invloed is op “alle” versies van Azure Bastion van vóór de patch (er zijn geen uitzonderingen vermeld), zijn zelfs relatief recente implementaties waarschijnlijk kwetsbaar, tenzij ze zijn gepatcht.

Wat kunt / moet u doen

  • Deze kwetsbaarheid is al volledig verholpen door Microsoft. Gebruikers van deze service hoeven geen actie te ondernemen. Het doel van deze CVE is om meer transparantie te bieden.

  • Controleer en monitor uw administratieve toegangslogboeken voor Azure Bastion en bijbehorende virtuele machines op ongebruikelijke activiteiten, onverwachte verbindingen of escalaties van rechten.

  • Controleer en versterk de netwerksegmentatie en toegangscontroles rond uw Azure Bastion-implementatie: beperk welke netwerken en hosts de Bastion-host kunnen bereiken en pas het principe van minimale rechten toe op virtuele machines die eraan worden blootgesteld.
  • Overweeg om aanvullende compenserende controles te implementeren terwijl u controleert of het patchen is voltooid: bijvoorbeeld meervoudige authenticatie (MFA), just-in-time (JIT) toegang, just-enough-administration (JEA) en monitoring van authenticatietokens/replay-risico's.
  • Informeer uw beveiligings- en operationele teams over deze kwetsbaarheid, zodat zij het risicoprofiel begrijpen en snel kunnen reageren als er tekenen van compromittering worden gedetecteerd.
  • Voer na het patchen een post-incident review of audit uit om er zeker van te zijn dat er geen ongeoorloofde toegang heeft plaatsgevonden tijdens de periode waarin de kwetsbaarheid bestond, en om te controleren of de toegangscontroles rond de Bastion-service in overeenstemming zijn met uw beveiligingsbeleid.