Quelle: microsoft.com
Microsofts Patchday im Februar 2025, der Sicherheitsupdates für 55 Schwachstellen enthält, darunter 4 Zero-Day-Schwachstellen, von denen 2 bei Angriffen aktiv ausgenutzt werden
Dieser Patch Tuesday behebt außerdem drei „kritische“ Sicherheitslücken, allesamt Sicherheitslücken bei der Ausführung von Remote-Code.
Die Anzahl der Fehler in jeder Sicherheitslücken-Kategorie ist unten aufgeführt:
- 19 Sicherheitslücken bei der Erhöhung von Berechtigungen
- 2 Sicherheitslücken bei der Umgehung von Sicherheitsfunktionen
- 22 Sicherheitslücken bei der Ausführung von Remote-Code
- 1 Sicherheitslücken bei der Offenlegung von Informationen
- 9 Sicherheitslücken bei der Dienstverweigerung
- 3 Sicherheitslücken bei der Täuschung
In den oben genannten Zahlen sind ein kritischer Fehler bei Microsoft Dynamics 365 Sales, der eine Erhöhung der Berechtigungen ermöglicht, und 10 Microsoft Edge-Schwachstellen, die am 6. Februar behoben wurden, nicht enthalten.
Zwei aktiv ausgenutzte Zero-Day-Schwachstellen bekannt gemacht
Der diesmonatige Patch Tuesday behebt zwei aktiv ausgenutzte und zwei öffentlich bekannt gemachte Zero-Day-Schwachstellen.
Microsoft stuft eine Zero-Day-Schwachstelle als eine solche ein, die öffentlich bekannt gemacht oder aktiv ausgenutzt wird, während keine offizielle Lösung verfügbar ist.
Die aktiv ausgenutzten Zero-Day-Schwachstellen in den heutigen Updates sind:
CVE-2025-21391 – Windows Storage-Schwachstelle zur Erhöhung von Berechtigungen
Microsoft hat eine aktiv ausgenutzte Schwachstelle zur Erhöhung von Berechtigungen behoben, die zum Löschen von Dateien genutzt werden kann.
„Ein Angreifer kann nur gezielt Dateien auf einem System löschen„, heißt es in der Microsoft-Meldung.
“Diese Sicherheitsanfälligkeit ermöglicht keine Offenlegung vertraulicher Informationen, könnte es einem Angreifer jedoch ermöglichen, Daten zu löschen, die dazu führen könnten, dass der Dienst nicht mehr verfügbar ist“, so Microsoft weiter.
Es wurden keine Informationen darüber veröffentlicht, wie dieser Fehler bei Angriffen ausgenutzt wurde und wer ihn offengelegt hat.
CVE-2025-21418 – Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
Die zweite aktiv ausgenutzte Schwachstelle ermöglicht es Bedrohungsakteuren, SYSTEM-Privilegien in Windows zu erlangen.
Es ist nicht bekannt, wie sie bei Angriffen ausgenutzt wurde, und Microsoft gibt an, dass diese Schwachstelle anonym gemeldet wurde.
Die öffentlich gemeldeten Zero-Days sind:
CVE-2025-21194 – Microsoft Surface-Schwachstelle zur Umgehung der Sicherheitsfunktion
Laut Microsoft handelt es sich bei diesem Fehler um eine Hypervisor-Schwachstelle, die es Angreifern ermöglicht, UEFI zu umgehen und den sicheren Kernel zu kompromittieren.
„Diese Hypervisor-Schwachstelle betrifft virtuelle Maschinen innerhalb eines Unified Extensible Firmware Interface (UEFI)-Host-Computers“, heißt es in der Microsoft-Meldung.
„Bei bestimmter Hardware ist es möglicherweise möglich, UEFI zu umgehen, was zur Kompromittierung des Hypervisors und des sicheren Kernels führen könnte.“
Laut Microsoft haben Francisco Falcón und Iván Arce von Quarkslab die Schwachstelle entdeckt.
Microsoft hat zwar nicht viele Details über den Fehler bekannt gegeben, doch es ist wahrscheinlich, dass er mit den PixieFail-Fehlern zusammenhängt, die von den Forschern im vergangenen Monat aufgedeckt wurden.
PixieFail ist eine Gruppe von neun Schwachstellen, die sich auf den IPv6-Netzwerkprotokollstapel von Tianocores EDK II auswirken, der von Microsoft Surface und den Hypervisor-Produkten des Unternehmens verwendet wird.
CVE-2025-21377 – NTLM Hash Disclosure Spoofing Vulnerability
Microsoft hat einen öffentlich gemachten Fehler behoben, der die NTLM-Hashes eines Windows-Benutzers offenlegt und es einem Angreifer von außen ermöglicht, sich möglicherweise als der Benutzer anzumelden.
„Diese Sicherheitsanfälligkeit kann bereits durch minimale Interaktion eines Benutzers mit einer schädlichen Datei ausgelöst werden, z. B. durch Auswahl (einfacher Klick), Überprüfung (Rechtsklick) oder Ausführen einer anderen Aktion als Öffnen oder Ausführen der Datei“, heißt es in der Microsoft-Meldung.
Microsoft hat zwar nicht viele Details über den Fehler bekannt gegeben, aber wahrscheinlich verhält er sich wie andere NTLM-Hash-Offenlegungsfehler, bei denen Windows durch einfache Interaktion mit einer Datei, anstatt sie zu öffnen, eine Remote-Verbindung zu einer Remote-Freigabe herstellen kann. Dabei wird der NTLM-Hash des Benutzers im Rahmen einer NTLM-Aushandlung an den Remote-Server weitergeleitet, den der Angreifer abfangen kann.
Diese NTLM-Hashes können dann geknackt werden, um das Klartext-Passwort zu erhalten, oder in Pass-the-Hash-Angriffen verwendet werden.
Laut Microsoft wurde dieser Fehler von Owen Cheung, Ivan Sheung und Vincent Yau von Cathay Pacific, Yorick Koster von Securify B.V. und Blaz Satler von 0patch by ACROS Security entdeckt.
Die Sicherheitsupdates vom Patchday im Februar 2025
Nachfolgend finden Sie die vollständige Liste der behobenen Schwachstellen in den Updates vom Patchday im Februar 2025.
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| Active Directory Domain Services | CVE-2025-21351 | Windows Active Directory Domain Services API Denial of Service Vulnerability | Important |
| Azure Network Watcher | CVE-2025-21188 | Azure Network Watcher VM Extension Elevation of Privilege Vulnerability | Important |
| Microsoft AutoUpdate (MAU) | CVE-2025-24036 | Microsoft AutoUpdate (MAU) Elevation of Privilege Vulnerability | Important |
| Microsoft Digest Authentication | CVE-2025-21368 | Microsoft Digest Authentication Remote Code Execution Vulnerability | Important |
| Microsoft Digest Authentication | CVE-2025-21369 | Microsoft Digest Authentication Remote Code Execution Vulnerability | Important |
| Microsoft Dynamics 365 Sales | CVE-2025-21177 | Microsoft Dynamics 365 Sales Elevation of Privilege Vulnerability | Critical |
| Microsoft Edge (Chromium-based) | CVE-2025-21267 | Microsoft Edge (Chromium-based) Spoofing Vulnerability | Low |
| Microsoft Edge (Chromium-based) | CVE-2025-21279 | Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability | Important |
| Microsoft Edge (Chromium-based) | CVE-2025-21342 | Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability | Important |
| Microsoft Edge (Chromium-based) | CVE-2025-0445 | Chromium: CVE-2025-0445 Use after free in V8 | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2025-0451 | Chromium: CVE-2025-0451 Inappropriate implementation in Extensions API | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2025-0444 | Chromium: CVE-2025-0444 Use after free in Skia | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2025-21283 | Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability | Important |
| Microsoft Edge (Chromium-based) | CVE-2025-21404 | Microsoft Edge (Chromium-based) Spoofing Vulnerability | Low |
| Microsoft Edge (Chromium-based) | CVE-2025-21408 | Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability | Important |
| Microsoft Edge for iOS and Android | CVE-2025-21253 | Microsoft Edge for IOS and Android Spoofing Vulnerability | Moderate |
| Microsoft High Performance Compute Pack (HPC) Linux Node Agent | CVE-2025-21198 | Microsoft High Performance Compute (HPC) Pack Remote Code Execution Vulnerability | Important |
| Microsoft Office | CVE-2025-21392 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office | CVE-2025-21397 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-21381 | Microsoft Excel Remote Code Execution Vulnerability | Critical |
| Microsoft Office Excel | CVE-2025-21394 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-21383 | Microsoft Excel Information Disclosure Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-21390 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-21386 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-21387 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2025-21400 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
| Microsoft PC Manager | CVE-2025-21322 | Microsoft PC Manager Elevation of Privilege Vulnerability | Important |
| Microsoft Streaming Service | CVE-2025-21375 | Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability | Important |
| Microsoft Surface | CVE-2025-21194 | Microsoft Surface Security Feature Bypass Vulnerability | Important |
| Microsoft Windows | CVE-2025-21337 | Windows NTFS Elevation of Privilege Vulnerability | Important |
| Open Source Software | CVE-2023-32002 | HackerOne: CVE-2023-32002 Node.js `Module._load()` policy Remote Code Execution Vulnerability | Important |
| Outlook for Android | CVE-2025-21259 | Microsoft Outlook Spoofing Vulnerability | Important |
| Visual Studio | CVE-2025-21206 | Visual Studio Installer Elevation of Privilege Vulnerability | Important |
| Visual Studio Code | CVE-2025-24039 | Visual Studio Code Elevation of Privilege Vulnerability | Important |
| Visual Studio Code | CVE-2025-24042 | Visual Studio Code JS Debug Extension Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2025-21418 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows CoreMessaging | CVE-2025-21358 | Windows Core Messaging Elevation of Privileges Vulnerability | Important |
| Windows CoreMessaging | CVE-2025-21184 | Windows Core Messaging Elevation of Privileges Vulnerability | Important |
| Windows DHCP Client | CVE-2025-21179 | DHCP Client Service Denial of Service Vulnerability | Important |
| Windows DHCP Server | CVE-2025-21379 | DHCP Client Service Remote Code Execution Vulnerability | Critical |
| Windows Disk Cleanup Tool | CVE-2025-21420 | Windows Disk Cleanup Tool Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2025-21414 | Windows Core Messaging Elevation of Privileges Vulnerability | Important |
| Windows Installer | CVE-2025-21373 | Windows Installer Elevation of Privilege Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2025-21216 | Internet Connection Sharing (ICS) Denial of Service Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2025-21212 | Internet Connection Sharing (ICS) Denial of Service Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2025-21352 | Internet Connection Sharing (ICS) Denial of Service Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2025-21254 | Internet Connection Sharing (ICS) Denial of Service Vulnerability | Important |
| Windows Kerberos | CVE-2025-21350 | Windows Kerberos Denial of Service Vulnerability | Important |
| Windows Kernel | CVE-2025-21359 | Windows Kernel Security Feature Bypass Vulnerability | Important |
| Windows LDAP – Lightweight Directory Access Protocol | CVE-2025-21376 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | Critical |
| Windows Message Queuing | CVE-2025-21181 | Microsoft Message Queuing (MSMQ) Denial of Service Vulnerability | Important |
| Windows NTLM | CVE-2025-21377 | NTLM Hash Disclosure Spoofing Vulnerability | Important |
| Windows Remote Desktop Services | CVE-2025-21349 | Windows Remote Desktop Configuration Service Tampering Vulnerability | Important |
| Windows Resilient File System (ReFS) Deduplication Service | CVE-2025-21183 | Windows Resilient File System (ReFS) Deduplication Service Elevation of Privilege Vulnerability | Important |
| Windows Resilient File System (ReFS) Deduplication Service | CVE-2025-21182 | Windows Resilient File System (ReFS) Deduplication Service Elevation of Privilege Vulnerability | Important |
| Windows Routing and Remote Access Service (RRAS) | CVE-2025-21410 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
| Windows Routing and Remote Access Service (RRAS) | CVE-2025-21208 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
| Windows Setup Files Cleanup | CVE-2025-21419 | Windows Setup Files Cleanup Elevation of Privilege Vulnerability | Important |
| Windows Storage | CVE-2025-21391 | Windows Storage Elevation of Privilege Vulnerability | Important |
| Windows Telephony Server | CVE-2025-21201 | Windows Telephony Server Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2025-21407 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2025-21406 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2025-21200 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2025-21371 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Telephony Service | CVE-2025-21190 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows Update Stack | CVE-2025-21347 | Windows Deployment Services Denial of Service Vulnerability | Important |
| Windows Win32 Kernel Subsystem | CVE-2025-21367 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Important |