Quelle: microsoft.com
Microsoft März 2025 Patch Tuesday behebt 7 Zero-Days und 57 Schwachstellen
Es ist Microsofts März 2025 Patch Tuesday, der Sicherheitsupdates für 57 Schwachstellen enthält, darunter sechs aktiv ausgenutzte Zero-Day-Schwachstellen.
An diesem Patch-Dienstag werden außerdem sechs „kritische“ Sicherheitslücken behoben, bei denen es sich um Sicherheitslücken handelt, die Remotecodeausführung ermöglichen.
Die Anzahl der Fehler in den einzelnen Sicherheitskategorien ist unten aufgeführt:
- 23 Anfälligkeiten für die Erhöhung von Privilegien
- 3 Anfälligkeiten für die Umgehung von Sicherheitsfunktionen
- 23 Sicherheitslücken durch Remotecode-Ausführung
- 4 Schwachstellen in Bezug auf die Offenlegung von Informationen
- 1 Denial-of-Service-Schwachstellen
- 3 Spoofing-Schwachstellen
In den oben genannten Zahlen sind die Mariner-Schwachstellen und die 10 Microsoft Edge-Schwachstellen, die Anfang dieses Monats behoben wurden, nicht enthalten.
Sechs aktiv ausgenutzte Sicherheitslücken
Der diesmonatige Patch Tuesday behebt sechs aktiv ausgenutzte Zero-Days und einen, der öffentlich bekannt wurde, insgesamt also sieben Zero-Days.
Microsoft stuft einen Zero-Day-Fehler als öffentlich bekannt oder aktiv ausgenutzt ein, solange kein offizieller Fix verfügbar ist.
Einige der aktiv ausgenutzten Zero-Days stehen im Zusammenhang mit Windows NTFS-Fehlern, die das Mounten von VHD-Laufwerken betreffen.
Die aktiv ausgenutzten Zero-Day-Schwachstellen in den heutigen Updates sind:
CVE-2025-24983 – Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability
Laut Microsoft ermöglicht diese Sicherheitsanfälligkeit lokalen Angreifern die Erlangung von SYSTEM-Privilegien auf dem Gerät, nachdem sie eine Race Condition gewonnen haben.
Microsoft hat nicht mitgeteilt, wie die Schwachstelle in Angriffen ausgenutzt wurde. Da die Schwachstelle jedoch von Filip Jurčacko von ESET entdeckt wurde, werden wir wahrscheinlich in einem zukünftigen Bericht mehr erfahren.
CVE-2025-24984 – Windows NTFS Information Disclosure Vulnerability
Laut Microsoft kann diese Schwachstelle von Angreifern ausgenutzt werden, die physischen Zugriff auf das Gerät haben und ein bösartiges USB-Laufwerk einstecken.
Durch Ausnutzung der Schwachstelle können Angreifer Teile des Heap-Speichers lesen und Informationen stehlen.
Microsoft sagt, dass diese Schwachstelle anonym bekannt gemacht wurde.
- Betroffene Systeme: Alle Windows-Systeme, die NTFS verwenden und in Unternehmensumgebungen weit verbreitet sind.
- Auswirkungen: Angreifer mit physischem Zugriff können Teile des Heap-Speichers extrahieren und so möglicherweise vertrauliche Informationen wie kryptografische Schlüssel, Token oder zwischengespeicherte Anmeldeinformationen abrufen.
- CVSS-Score: Basis 4.6, Temporal 4.3
- Öffentlich bekannt gegeben: Nein
- In freier Wildbahn ausgenutzt: Ja („Exploitation Detected“)
- Proof of Concept (PoC): Gibt es wahrscheinlich im privaten Kreis von Bedrohungsakteuren.
Details zur Ausnutzung:
- Angriffsvektor: Physisch (erfordert direkten Zugriff, z. B. über USB-Stecker).
- Komplexität des Angriffs: Gering
- Erforderliche Privilegien: Keine
CVE-2025-24985 – Windows Fast FAT File System Driver – Sicherheitsanfälligkeit bei Remotecodeausführung
Laut Microsoft wird diese Sicherheitsanfälligkeit für Remotecodeausführung durch einen Integer-Überlauf oder Wraparound im Windows Fast FAT-Treiber verursacht, der es einem Angreifer ermöglicht, Code auszuführen.
„Ein Angreifer kann einen lokalen Benutzer auf einem anfälligen System dazu bringen, eine speziell gestaltete VHD zu mounten, die dann die Sicherheitslücke auslöst“, erklärt Microsoft.
Microsoft hat zwar keine Einzelheiten darüber bekannt gegeben, wie die Schwachstelle ausgenutzt wurde, aber bösartige VHD-Images wurden zuvor in Phishing-Angriffen und über Raubkopien-Websites verbreitet.
Microsoft sagt, dass diese Schwachstelle anonym bekannt gemacht wurde.
- Betroffene Systeme: Alle Windows-Systeme, die FAT/FAT32 unterstützen (weit verbreitet für ältere Kompatibilität und Wechselspeicher).
- Auswirkungen: Kompromittierung des gesamten Systems durch Ausführung auf Kernel-Ebene.
- CVSS-Score: Base 7.8, Temporal 7.2
- Öffentlich bekannt gegeben: Nein
- In freier Wildbahn ausgenutzt: Ja
- PoC: Wahrscheinlich in Kreisen fortgeschrittener Bedrohungsakteure aktiv.
Details zur Ausnutzung:
- Angriffsvektor: Lokal (bösartige FAT-formatierte VHD-Datei).
- Komplexität des Angriffs: Niedrig
- Erforderliche Privilegien: Keine
- Benutzer-Interaktion: Erforderlich (das Opfer muss die bösartige VHD mounten).
CVE-2025-24991 – Windows NTFS Information Disclosure Vulnerability
Laut Microsoft können Angreifer diese Schwachstelle ausnutzen, um kleine Teile des Heap-Speichers zu lesen und Informationen zu stehlen.
Angreifer können die Schwachstelle ausnutzen, indem sie einen Benutzer dazu verleiten, eine bösartige VHD-Datei zu mounten.
Microsoft sagt, dass diese Schwachstelle anonym bekannt gemacht wurde.
- Betroffene Systeme: Alle Windows-Systeme, die NTFS verwenden.
- Auswirkungen: Mögliche Offenlegung sensibler Kernel-Daten, einschließlich kryptografischer Schlüssel, Token und Dateiinhalte.
- CVSS-Score: Base 5.5, Temporal 5.1
- Öffentlich bekannt gegeben: Nein
- In freier Wildbahn ausgenutzt: Ja
- PoC: Wahrscheinlich unter Bedrohungsakteuren verfügbar.
Details zur Ausnutzung:
- Angriffsvektor: Lokal (böswillig erstellte VHD-Datei).
- Komplexität des Angriffs: Gering
- Erforderliche Privilegien: Keine
- Benutzer-Interaktion: Erforderlich (das Opfer muss die bösartige VHD mounten).
CVE-2025-24993 – Windows NTFS-Schwachstelle für Remotecodeausführung
Laut Microsoft wird diese Sicherheitsanfälligkeit für Remotecodeausführung durch einen Heap-basierten Pufferüberlauf in Windows NTFS verursacht, der einem Angreifer die Ausführung von Code ermöglicht.
„Ein Angreifer kann einen lokalen Benutzer auf einem anfälligen System dazu bringen, eine speziell gestaltete VHD zu mounten, die dann die Sicherheitslücke auslöst“, erklärt Microsoft.
Microsoft sagt, dass diese Schwachstelle anonym bekannt gemacht wurde.
- Betroffene Systeme: Alle Windows-Systeme, die NTFS verwenden.
- Auswirkungen: Vollständige Systemkompromittierung; Code-Ausführung mit Berechtigungen auf Treiberebene kann Zugriff auf die Kernel-Ebene ermöglichen.
- CVSS-Score: Base 7.8, Temporal 7.2
- Öffentlich bekannt gegeben: Nein
- In freier Wildbahn ausgenutzt: Ja (aktive Ausnutzung entdeckt)
- PoC: Höchstwahrscheinlich, da die Ausnutzung bestätigt wurde.
Details zur Ausnutzung:
- Angriffsvektor: Lokal (böswillig erstellte VHD-Datei).
- Komplexität des Angriffs: Niedrig
- Erforderliche Privilegien: Keine (die Privilegien des Opfers reichen aus).
- Benutzerinteraktion: Erforderlich (das Opfer muss die bösartige VHD mounten).
CVE-2025-26633 – Microsoft Management Console Security Feature Bypass Vulnerability
Microsoft hat zwar keine Einzelheiten zu dieser Schwachstelle bekannt gegeben, doch der Beschreibung nach könnte es sich um einen Fehler handeln, der es böswilligen Microsoft Management Console (.msc)-Dateien ermöglicht, die Windows-Sicherheitsfunktionen zu umgehen und Code auszuführen.
„In einem E-Mail- oder Instant-Messaging-Angriffsszenario könnte der Angreifer dem anvisierten Benutzer eine speziell gestaltete Datei senden, mit der die Sicherheitslücke ausgenutzt werden kann“, erklärt Microsoft.
„In jedem Fall hätte ein Angreifer keine Möglichkeit, einen Benutzer dazu zu zwingen, vom Angreifer kontrollierte Inhalte anzusehen. Stattdessen müsste ein Angreifer den Benutzer zu einer Aktion überreden. Beispielsweise könnte ein Angreifer einen Benutzer dazu verleiten, entweder auf einen Link zu klicken, der den Benutzer auf die Website des Angreifers leitet, oder einen bösartigen Anhang zu senden.“
Laut Microsoft hat Aliakbar Zahravi von Trend Micro diese Schwachstelle entdeckt.
Auswirkung
- Angreifer können die Sicherheitsfunktionen umgehen und so unbefugte Aktionen ausführen.
- Von MMC erzwungene Sicherheitsrichtlinien können umgangen werden, was zu langfristiger Persistenz und heimlichen bösartigen Aktivitäten führen kann.
- Kann mit anderen Einstiegsschwachstellen (z. B. browser- oder dokumentenbasierten Exploits) kombiniert werden, um vor eskalierenden Angriffen Fuß zu fassen.
CVSS-Metriken (CVSS 3.1 Score: Base 7.0, Temporal 6.5)
- Angriffsvektor: Lokal (Angreifer müssen ihre Nutzdaten auf dem System des Opfers ausführen, oft über Social Engineering oder File-Sharing).
- Angriffskomplexität: Hoch (Die Ausnutzung erfordert eine präzise Einrichtung und Ausrichtung, was eine massenhafte Ausnutzung unwahrscheinlich macht).
- Erforderliche Privilegien: Keine (Angreifer benötigen keine vorherigen Systemberechtigungen, um diese Schwachstelle auszunutzen).
- Benutzerinteraktion: Erforderlich (Die Opfer müssen eine bösartige MMC-Datei öffnen, die in der Regel durch Phishing oder Social Engineering bereitgestellt wird).
Ausnutzungsstatus
- Öffentliche Bekanntgabe: Nein (Details sind noch nicht bekannt, was weit verbreitete Angriffe vorerst einschränkt).
- In freier Wildbahn ausgenutzt: Ja (Microsoft hat bestätigt, dass die Schwachstelle in der Praxis ausgenutzt wird.)
- Proof of Concept (PoC): Existiert (Bestätigte funktionale Ausnutzung, jedoch nicht öffentlich verfügbar).
CVE-2025-26630 – Microsoft Access-Schwachstelle mit Remotecode-Ausführung
Laut Microsoft wird diese Schwachstelle bei der Remotecodeausführung durch einen Fehler bei der Verwendung von freiem Speicher in Microsoft Office Access verursacht.
Um die Schwachstelle auszunutzen, muss ein Benutzer dazu verleitet werden, eine speziell gestaltete Access-Datei zu öffnen. Dies kann durch Phishing- oder Social-Engineering-Angriffe geschehen.
Die Schwachstelle kann jedoch nicht über das Vorschaufenster ausgenutzt werden.
Laut Microsoft wurde die Schwachstelle von Unpatched.ai entdeckt.
Betroffene Systeme
Alle unterstützten Versionen von Microsoft Access, einer weit verbreiteten Komponente der Microsoft Office-Suite für die Datenbankverwaltung.
Ausnutzungsdetails
- Angriffsvektor: Lokal (Die Nutzlast wird auf dem Gerät des Opfers ausgeführt; Angreifer müssen Benutzer dazu bringen, bösartige Dateien zu öffnen).
- Komplexität des Angriffs: Gering (Sobald ein Opfer eine manipulierte Access-Datei öffnet, erfolgt die Ausführung zuverlässig ohne zusätzliche Bedingungen).
- Erforderliche Privilegien: Keine (Angreifer benötigen keinen vorherigen Systemzugriff, so dass Standard-Benutzerkonten angreifbar sind.)
- Benutzerinteraktion: Erforderlich (Das Opfer muss eine bösartige Access-Datei öffnen, die in der Regel über Phishing oder Social Engineering bereitgestellt wird).
Schweregrad und Ausnutzungsstatus
- CVSS Base Score: 7.8 (Hoch)
- CVSS Temporal Score: 6.8
- Öffentlich bekannt gegeben: Ja (Details sind öffentlich bekannt, was das Risiko eines Angriffs erhöht.)
- Exploited in the Wild: Nein (Es wurden noch keine bestätigten Angriffe beobachtet.)
- Bewertung der Ausnutzbarkeit: Weniger wahrscheinlich (Obwohl die Schwachstelle unter kontrollierten Bedingungen leicht auszunutzen ist, könnten Angreifer derzeit anderen Schwachstellen den Vorzug geben).
- Proof of Concept (PoC): Potenziell verfügbar (Die öffentliche Bekanntgabe deutet darauf hin, dass PoC-Code privat oder unter Sicherheitsforschern existiert.)
Die Sicherheitsupdates vom Patchday im März 2025
Nachfolgend finden Sie die vollständige Liste der behobenen Schwachstellen in den Updates vom Patchday im März 2025.
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| .NET | CVE-2025-24043 | WinDbg Remote Code Execution Vulnerability | Important |
| ASP.NET Core & Visual Studio | CVE-2025-24070 | ASP.NET Core and Visual Studio Elevation of Privilege Vulnerability | Important |
| Azure Agent Installer | CVE-2025-21199 | Azure Agent Installer for Backup and Site Recovery Elevation of Privilege Vulnerability | Important |
| Azure Arc | CVE-2025-26627 | Azure Arc Installer Elevation of Privilege Vulnerability | Important |
| Azure CLI | CVE-2025-24049 | Azure Command Line Integration (CLI) Elevation of Privilege Vulnerability | Important |
| Azure PromptFlow | CVE-2025-24986 | Azure Promptflow Remote Code Execution Vulnerability | Important |
| Kernel Streaming WOW Thunk Service Driver | CVE-2025-24995 | Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability | Important |
| Microsoft Local Security Authority Server (lsasrv) | CVE-2025-24072 | Microsoft Local Security Authority (LSA) Server Elevation of Privilege Vulnerability | Important |
| Microsoft Management Console | CVE-2025-26633 | Microsoft Management Console Security Feature Bypass Vulnerability | Important |
| Microsoft Office | CVE-2025-24083 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office | CVE-2025-26629 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office | CVE-2025-24080 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office | CVE-2025-24057 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office Access | CVE-2025-26630 | Microsoft Access Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-24081 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-24082 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-24075 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Word | CVE-2025-24077 | Microsoft Word Remote Code Execution Vulnerability | Important |
| Microsoft Office Word | CVE-2025-24078 | Microsoft Word Remote Code Execution Vulnerability | Important |
| Microsoft Office Word | CVE-2025-24079 | Microsoft Word Remote Code Execution Vulnerability | Important |
| Microsoft Streaming Service | CVE-2025-24046 | Kernel Streaming Service Driver Elevation of Privilege Vulnerability | Important |
| Microsoft Streaming Service | CVE-2025-24067 | Kernel Streaming Service Driver Elevation of Privilege Vulnerability | Important |
| Microsoft Windows | CVE-2025-25008 | Windows Server Elevation of Privilege Vulnerability | Important |
| Microsoft Windows | CVE-2024-9157 | Synaptics: CVE-2024-9157 Synaptics Service Binaries DLL Loading Vulnerability | Important |
| Remote Desktop Client | CVE-2025-26645 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Role: DNS Server | CVE-2025-24064 | Windows Domain Name Service Remote Code Execution Vulnerability | Critical |
| Role: Windows Hyper-V | CVE-2025-24048 | Windows Hyper-V Elevation of Privilege Vulnerability | Important |
| Role: Windows Hyper-V | CVE-2025-24050 | Windows Hyper-V Elevation of Privilege Vulnerability | Important |
| Visual Studio | CVE-2025-24998 | Visual Studio Elevation of Privilege Vulnerability | Important |
| Visual Studio | CVE-2025-25003 | Visual Studio Elevation of Privilege Vulnerability | Important |
| Visual Studio Code | CVE-2025-26631 | Visual Studio Code Elevation of Privilege Vulnerability | Important |
| Windows Common Log File System Driver | CVE-2025-24059 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Important |
| Windows Cross Device Service | CVE-2025-24994 | Microsoft Windows Cross Device Service Elevation of Privilege Vulnerability | Important |
| Windows Cross Device Service | CVE-2025-24076 | Microsoft Windows Cross Device Service Elevation of Privilege Vulnerability | Important |
| Windows exFAT File System | CVE-2025-21180 | Windows exFAT File System Remote Code Execution Vulnerability | Important |
| Windows Fast FAT Driver | CVE-2025-24985 | Windows Fast FAT File System Driver Remote Code Execution Vulnerability | Important |
| Windows File Explorer | CVE-2025-24071 | Microsoft Windows File Explorer Spoofing Vulnerability | Important |
| Windows Kernel Memory | CVE-2025-24997 | DirectX Graphics Kernel File Denial of Service Vulnerability | Important |
| Windows Kernel-Mode Drivers | CVE-2025-24066 | Kernel Streaming Service Driver Elevation of Privilege Vulnerability | Important |
| Windows MapUrlToZone | CVE-2025-21247 | MapUrlToZone Security Feature Bypass Vulnerability | Important |
| Windows Mark of the Web (MOTW) | CVE-2025-24061 | Windows Mark of the Web Security Feature Bypass Vulnerability | Important |
| Windows NTFS | CVE-2025-24993 | Windows NTFS Remote Code Execution Vulnerability | Important |
| Windows NTFS | CVE-2025-24984 | Windows NTFS Information Disclosure Vulnerability | Important |
| Windows NTFS | CVE-2025-24992 | Windows NTFS Information Disclosure Vulnerability | Important |
| Windows NTFS | CVE-2025-24991 | Windows NTFS Information Disclosure Vulnerability | Important |
| Windows NTLM | CVE-2025-24996 | NTLM Hash Disclosure Spoofing Vulnerability | Important |
| Windows NTLM | CVE-2025-24054 | NTLM Hash Disclosure Spoofing Vulnerability | Important |
| Windows Remote Desktop Services | CVE-2025-24035 | Windows Remote Desktop Services Remote Code Execution Vulnerability | Critical |
| Windows Remote Desktop Services | CVE-2025-24045 | Windows Remote Desktop Services Remote Code Execution Vulnerability | Critical |
| Windows Routing and Remote Access Service (RRAS) | CVE-2025-24051 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
| Windows Subsystem for Linux | CVE-2025-24084 | Windows Subsystem for Linux (WSL2) Kernel Remote Code Execution Vulnerability | Critical |
| Windows Telephony Server | CVE-2025-24056 | Windows Telephony Service Remote Code Execution Vulnerability | Important |
| Windows USB Video Driver | CVE-2025-24988 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2025-24987 | Windows USB Video Class System Driver Elevation of Privilege Vulnerability | Important |
| Windows USB Video Driver | CVE-2025-24055 | Windows USB Video Class System Driver Information Disclosure Vulnerability | Important |
| Windows Win32 Kernel Subsystem | CVE-2025-24044 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Important |
| Windows Win32 Kernel Subsystem | CVE-2025-24983 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Important |