Der Dezember ist traditionell eine Zeit der Jahresendplanung und der Vorbereitung auf die Feiertage. Für IT-Sicherheitsexperten bedeutet er jedoch oft eine der letzten und intensivsten Herausforderungen des Jahres: den Microsoft Patch Tuesday Dezember 2025.

Microsoft hat in diesem Zyklus drei aktiv ausgenutzte Zero-Day-Schwachstellen sowie insgesamt 57 weitere Mängel behoben.

Dies macht den Patchday im Dezember zu einem Pflichttermin für jede Organisation. Wer jetzt zögert, setzt seine gesamte Infrastruktur einem unnötigen und hohen Risiko aus. Wir liefern Ihnen die vollständige Analyse, die notwendigen Details zu den kritischen Schwachstellen und einen klaren, schrittweisen Plan für die sofortige Umsetzung der Sicherheitsupdates Microsoft. Lesen Sie weiter, um Ihre Systeme effektiv zu schützen.

Die wichtigsten Zahlen: 3 Zero-Days und 57 Schwachstellen im Fokus

Der Umfang dieses Monats-Updates ist signifikant und unterstreicht die Notwendigkeit eines robusten Patch-Managements. Die offizielle Zählung des Microsoft Patch Tuesday Dezember 2025 umfasst die Behebung von 60 einzelnen Sicherheitslücken.

Die kritische Bilanz im Detail:

Die reine Anzahl der behobenen Fehler ist besorgniserregend, doch die Präsenz von 3 Zero-Day-Lücken Dezember ist ein direkter Aufruf zum Handeln. Zero-Day-Exploits sind die gefährlichste Kategorie von Schwachstellen, da sie bereits aktiv von Cyberkriminellen ausgenutzt werden, bevor der Hersteller das entsprechende Windows Update Dezember 2025 bereitstellt.

Detailanalyse der Zero-Day-Schwachstellen: Was Sie wissen müssen

Drei Schwachstellen, für die bereits öffentlich Exploits existieren und die aktiv in der Wildnis ausgenutzt werden, stehen im Zentrum dieses Patchday. Obwohl Microsoft die genauen CVE-Nummern und Details erst mit der Veröffentlichung bekannt gibt, können wir basierend auf den üblichen Klassifizierungen die potenziellen Risiken und Angriffsszenarien ableiten.

Sicherheitslücke im Windows Cloud Files Mini Filter Driver CVE-2025-62221

„Wenn Angreifer von einem Konto mit geringen Berechtigungen die vollständige Kontrolle über das System erlangen können, wird jeder kompromittierte Benutzer zu einem Einfallstor für die vollständige Übernahme.“

CVE-2025-62221 ist eine Sicherheitslücke vom Typ „Elevation of Privilege“ (EoP) im Windows Cloud Files Mini Filter Driver, einer Komponente, die von Windows zur Verwaltung von Cloud-synchronisierten Dateien und Platzhalterdateien verwendet wird. Diese Schwachstelle ermöglicht es Angreifern, die bereits über eingeschränkten lokalen Zugriff verfügen, ihre Berechtigungen auf SYSTEM zu erweitern. Microsoft hat eine aktive Ausnutzung bestätigt, was bedeutet, dass Angreifer diese Sicherheitslücke bereits in realen Angriffen nutzen.

CVSS-Score: 7,8

SCHWERWIEGENDHEIT: Wichtig

BEDROHUNG: Rechteausweitung

EXPLOITS: Diese Sicherheitslücke wird aktiv ausgenutzt. Obwohl kein vollständig öffentlicher Proof-of-Concept-Code veröffentlicht wurde, wurde die Ausnutzung von Sicherheitsteams beobachtet und wird als Teil gezielter Intrusion-Ketten verwendet. Sobald Angreifer lokalen Zugriff erhalten – selbst über geringfügige Zugangspunkte –, können sie mithilfe dieser Schwachstelle zuverlässig ihre Rechte ausweiten.

TECHNISCHE ZUSAMMENFASSUNG: Der Windows Cloud Files Mini Filter Driver behandelt bestimmte Dateisystemoperationen im Zusammenhang mit Cloud-gestützten Inhalten nicht ordnungsgemäß. Ein Angreifer kann diese Interaktionen manipulieren, um den Treiber dazu zu bringen, privilegierte Aktionen in seinem Namen auszuführen. Da der Treiber innerhalb des Windows-Kernels mit einem hohen Vertrauensniveau arbeitet, ermöglicht der Missbrauch dieser Schwachstelle Angreifern, Code mit erhöhten Berechtigungen auszuführen, geschützte Systemressourcen zu ändern, Sicherheitskontrollen zu deaktivieren oder dauerhaften Zugriff zu erlangen.

EXPLOITIERBARKEIT: Alle unterstützten Windows-Versionen, die den Cloud Files Mini Filter Driver verwenden, sind betroffen. Die Ausnutzung erfordert, dass der Angreifer Code lokal ausführt, aber sobald dies erreicht ist, kann er das anfällige Verhalten des Treibers auslösen, um die Berechtigungen auf SYSTEM zu erweitern. Dies macht ihn zu einer äußerst wertvollen Komponente in mehrstufigen Angriffsketten.

AUSWIRKUNGEN AUF DAS UNTERNEHMEN: Eine aktive Ausnutzung erhöht das Risiko erheblich. Angreifer können:

• Die vollständige Kontrolle über kompromittierte Systeme übernehmen.
• Erkennungs-Tools und Sicherheitsagenten deaktivieren.
• Lokal gespeicherte sensible Daten oder Anmeldedaten stehlen.
• Sich lateral über Netzwerke bewegen, um weitere Systeme zu kompromittieren.
• Eine hohe Persistenz mit hohen Berechtigungen herstellen, was die Reaktion auf Vorfälle erheblich erschwert.

Da Cloud-synchronisierte Dateifunktionen in Unternehmensumgebungen weit verbreitet sind, sind fast alle Organisationen gefährdet, wenn der Patch nicht schnell installiert wird.

WORKAROUND: Wenn sich die Installation des Patches verzögert:

• Beschränken Sie den lokalen Benutzerzugriff und stellen Sie sicher, dass Richtlinien für geringste Privilegien durchgesetzt werden.
• Beschränken Sie die Ausführung nicht vertrauenswürdiger Software, um zu verhindern, dass Angreifer den für lokale Exploits erforderlichen ersten Zugang erhalten.
• Reduzieren Sie vorübergehend die Abhängigkeit von Cloud-Synchronisierungsfunktionen, sofern dies betrieblich möglich ist.

Diese Maßnahmen verringern das Risiko, beseitigen jedoch nicht die zugrunde liegende Schwachstelle.

DRINGLICHKEIT: Dieser Patch muss schnell bereitgestellt werden, da die Schwachstelle bereits in der Praxis ausgenutzt wird, eine Rechteausweitung auf SYSTEM ermöglicht und leicht mit Phishing, Browser-Exploits, bösartigen Dokumenten oder anderen Low-Level-Einstiegspunkten kombiniert werden kann. Wenn Systeme nicht gepatcht werden, können Angreifer mit minimalen Hindernissen schnell die vollständige Kontrolle über Windows-Geräte erlangen.

PowerShell-Remote-Code-Ausführungs-Schwachstelle CVE-2025-54100

„Selbst eine als wichtig eingestufte RCE kann zu einem kritischen Einstiegspunkt werden, wenn Angreifer sie finden, bevor Verteidiger sie beheben.“

Diese Schwachstelle ermöglicht es Angreifern, aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen, indem sie die Art und Weise ausnutzen, wie die Software bestimmte nicht vertrauenswürdige Eingaben verarbeitet. Obwohl sie als wichtig eingestuft ist, stellt sie aufgrund ihrer Fähigkeit, die Ausführung von Remote-Code zu ermöglichen, eine ernsthafte Bedrohung dar, die die Integrität und Stabilität des Systems gefährden kann, wenn sie nicht behoben wird.

CVSS-Score: 7,8

SCHWERWIEGENDHEIT: Wichtig

BEDROHUNG: Remote Code Execution (RCE)

EXPLOITS: Derzeit sind keine öffentlichen Exploits, Zero-Day-Aktivitäten oder Proof-of-Concept-Codes bekannt. Allerdings werden RCE-Schwachstellen nach ihrer Offenlegung häufig zum Ziel für die Entwicklung von Exploits.

TECHNISCHE ZUSAMMENFASSUNG: CVE-2025-54100 wird durch unzureichende Bereinigung und Validierung extern bereitgestellter Daten verursacht. Wenn eine manipulierte Anfrage verarbeitet wird, kann die anfällige Komponente den Speicher oder den Ausführungsfluss falsch verarbeiten, sodass Angreifer aus der Ferne beliebigen Code ausführen können. Die Codeausführung würde unter den Berechtigungen des betroffenen Dienstes erfolgen und möglicherweise Zugriff zum Ändern von Daten, Stören von Prozessen oder Eskalieren von Angriffen gewähren.

AUSNUTZBARKEIT: Systeme, auf denen betroffene Versionen der Software ausgeführt werden, sind anfällig. Angreifer würden diese Schwachstelle in der Regel ausnutzen, indem sie speziell gestaltete Netzwerkeingaben an den exponierten Dienstendpunkt senden und so ein unbeabsichtigtes Ausführungsverhalten verursachen.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Obwohl das Risiko der Remote-Codeausführung als „wichtig” eingestuft wird, kann es dennoch zu schwerwiegenden geschäftlichen Folgen führen, darunter Dienstausfälle, Datenmanipulation, Systeminstabilität oder die Gefahr einer tieferen Kompromittierung des Netzwerks. Unternehmen können bei Ausnutzung dieser Schwachstelle mit Produktivitätsverlusten, erhöhten Kosten für die Reaktion auf Vorfälle und Reputationsproblemen konfrontiert werden.

WORKAROUND: Wenn Patches nicht sofort angewendet werden können, beschränken Sie den Zugriff auf den betroffenen Dienst, verstärken Sie die Netzwerkgrenzen, reduzieren Sie die Exposition gegenüber nicht vertrauenswürdigen Netzwerken und überwachen Sie die Protokolle auf verdächtige Eingabemuster oder abnormales Verhalten.

DRINGLICHKEIT: Da diese Schwachstelle RCE ermöglicht – auch ohne derzeit öffentliche Exploits – sollte das Patchen Priorität haben. Es ist unerlässlich, Remote-Angreifern die Möglichkeit zur Codeausführung zu verwehren, um die Systemsicherheit aufrechtzuerhalten und das Risiko zu verringern, dass zukünftige Exploits dies zu einem hochriskanten Vektor machen.

Microsoft Office Remote Code Execution Vulnerability CVE-2025-62554

„Ein einziger Remote-Code-Fehler kann ein vertrauenswürdiges System zum Spielfeld eines Angreifers machen, wenn er nicht rechtzeitig gepatcht wird.“

Diese Sicherheitslücke ermöglicht es Angreifern, beliebigen Code auf betroffenen Systemen auszuführen, indem sie eine Schwachstelle in der Verarbeitung bestimmter externer Eingaben durch die Software ausnutzen. Eine erfolgreiche Ausnutzung könnte es einem Angreifer ermöglichen, die vollständige Kontrolle über das System zu übernehmen, Daten zu verändern, Dienste zu stören oder tiefer in das Netzwerk vorzudringen.

CVSS-Score: 8,4

SCHWERWIEGENDHEIT: Kritisch

BEDROHUNG: Remote-Code-Ausführung (RCE)

EXPLOITS: Derzeit sind keine öffentlichen Exploit-Codes, Zero-Day-Aktivitäten oder Proof-of-Concept-Demonstrationen bekannt. Allerdings führen RCE-Schwachstellen mit hoher Schwere häufig kurz nach ihrer Offenlegung zur Entwicklung von Exploits.

TECHNISCHE ZUSAMMENFASSUNG: CVE-2025-62554 entsteht durch eine unsachgemäße Validierung extern bereitgestellter Daten. Wenn eine speziell gestaltete Anfrage verarbeitet wird, behandelt die anfällige Komponente die Eingabe falsch und löst einen unbeabsichtigten Ausführungspfad aus. Dadurch können Angreifer beliebigen Code mit den Berechtigungen des kompromittierten Dienstes ausführen. Wenn dies ausgenutzt wird, kann dies zu Systemmanipulationen, Datenoffenlegung oder vollständigen Betriebsstörungen führen.

AUSNUTZBARKEIT: Alle Systeme, auf denen betroffene Versionen der anfälligen Software ausgeführt werden, sind gefährdet. Angreifer nutzen diese Art von Schwachstelle in der Regel aus, indem sie manipulierte Netzwerkanfragen an die exponierte Dienstschnittstelle senden und das System so zwingen, nicht autorisierten Code auszuführen.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Ein erfolgreicher RCE-Angriff kann zu einer vollständigen Kompromittierung des Systems führen und Unternehmen Datenverstößen, Ransomware-Angriffen, Betriebsausfällen, regulatorischen Risiken und langfristigen Reputationsschäden aussetzen. Diese Art von Schwachstelle bietet Angreifern einen direkten Weg zu hochwertigen Vermögenswerten.

WORKAROUND: Wenn Patches nicht sofort angewendet werden können, sollten Unternehmen den Zugriff auf den betroffenen Dienst einschränken, strenge Firewall-Regeln anwenden, anfällige Systeme nach Möglichkeit isolieren und das Netzwerkverhalten genau auf Anomalien überwachen.

DRINGLICHKEIT: Da es sich um eine kritische RCE-Sicherheitslücke handelt, ist eine schnelle Bereitstellung von Patches unerlässlich. RCE-Schwachstellen gehören zu den am häufigsten von Angreifern ausgenutzten Schwachstellen, und die potenziellen Auswirkungen – von der Übernahme des Systems bis hin zu weitreichenden lateralen Bewegungen – machen eine sofortige Abhilfe unerlässlich.

Microsoft Office Remote Code Execution Vulnerability CVE-2025-62557

„Wenn die Ausführung von Code von außen möglich wird, wird jedes nicht gepatchte System zu einer offenen Einladung für Angreifer.“

Diese Schwachstelle ermöglicht es einem Angreifer, durch Ausnutzung einer unsachgemäßen Validierung innerhalb einer zentralen Verarbeitungskomponente aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen. Eine erfolgreiche Ausnutzung könnte dem Angreifer die vollständige Kontrolle über das System verschaffen und Datenmanipulationen, Dienstunterbrechungen oder eine weitere Kompromittierung verbundener Umgebungen ermöglichen.

CVSS-Score: 8,4

SCHWERWIEGENDHEIT: Kritisch

BEDROHUNG: Remote Code Execution (RCE)

EXPLOITS: Derzeit sind keine bestätigten öffentlichen Exploits, Zero-Day-Angriffe oder Proof-of-Concept-Codes verfügbar. Dennoch führen RCE-Schwachstellen mit hoher Kritikalität aufgrund ihrer potenziellen Auswirkungen häufig zu einer raschen Entwicklung von Exploits.

TECHNISCHE ZUSAMMENFASSUNG: CVE-2025-62557 wird durch eine unzureichende Eingabevalidierung verursacht, die bei der Verarbeitung von netzwerkbasierten Anfragen auftritt. Diese Schwachstelle ermöglicht es speziell gestalteten Eingaben, unbeabsichtigte Ausführungspfade auszulösen, was letztendlich die Remote-Ausführung von beliebigem Code mit den Berechtigungen des Zielservices ermöglicht. Bei Ausnutzung könnten Angreifer schädliche Software installieren, Systemkonfigurationen manipulieren, sensible Informationen stehlen oder wichtige Vorgänge unterbrechen.

AUSNUTZBARKEIT: Alle Systeme, auf denen anfällige Versionen der betroffenen Software ausgeführt werden, sind gefährdet. Angreifer würden dies in der Regel ausnutzen, indem sie böswillig gestaltete Anfragen an den exponierten Dienstendpunkt senden, wodurch die anfällige Komponente nicht autorisierten Code ausführt.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Ein erfolgreicher Angriff könnte zu einer vollständigen Kompromittierung des Systems führen. Unternehmen können mit Betriebsausfällen, Datenverlusten, finanziellen Schäden und langfristigen Reputationsschäden konfrontiert sein. Da RCE-Schwachstellen Angreifern direkte Kontrolle verschaffen, stellen sie eine erhebliche Bedrohung für die Geschäftskontinuität und die Sicherheitsintegrität dar.

WORKAROUND: Wenn das Patch nicht sofort angewendet werden kann, sollten Unternehmen den Netzwerkzugriff auf den betroffenen Dienst einschränken, zusätzliche Überwachung auf Anomalien aktivieren und strenge Firewall- oder Segmentierungskontrollen einsetzen, um die Gefährdung zu verringern.

DRINGLICHKEIT: Dieses Patch muss schnell eingesetzt werden, da kritische RCE-Schwachstellen oft zu Hauptzielen für die Entwicklung von Exploits werden. Das Risiko einer vollständigen Systemübernahme macht eine schnelle Schadensbegrenzung unerlässlich, um die Sicherheit aufrechtzuerhalten und eine potenzielle Sicherheitsverletzung zu verhindern.

Microsoft Office Remote Code Execution Vulnerability CVE-2025-62562

„Ein einziger übersehener Fehler kann Angreifern als Türöffner dienen, um die vollständige Kontrolle zu erlangen – dieser Patch verschließt diese Tür, bevor jemand durch sie hindurchgeht.“

Diese Schwachstelle ermöglicht es Angreifern, beliebigen Code auf betroffenen Systemen aus der Ferne auszuführen, wodurch sie die Möglichkeit erhalten, ohne Autorisierung bösartige Befehle auszuführen. Wenn sie ausgenutzt wird, gewährt sie dem Angreifer Berechtigungen, die Daten gefährden, den Betrieb stören oder seitliche Bewegungen im Netzwerk ermöglichen könnten.

CVSS-Score: 8,4

SCHWERWIEGENDHEIT: Kritisch

BEDROHUNG: Remote Code Execution (RCE)

EXPLOITS: Derzeit sind keine öffentlichen Exploit-Codes oder Zero-Day-Angriffe bekannt. Schwachstellen, die die Ausführung von Remote-Code ermöglichen, ziehen jedoch aufgrund ihrer hohen Auswirkungen und ihrer breiten Angriffsfläche oft schnell die Entwicklung von Exploits nach sich.

TECHNISCHE ZUSAMMENFASSUNG: CVE-2025-62562 resultiert aus einer unsachgemäßen Eingabeverarbeitung innerhalb einer Kernverarbeitungskomponente der betroffenen Software. Der Fehler ermöglicht es manipulierten Netzwerkeingaben, Sicherheitsprüfungen zu umgehen, was letztlich die Ausführung von beliebigem Code unter dem Sicherheitskontext der Anwendung ermöglicht. Wenn dieser Fehler ausgenutzt wird, könnte ein Angreifer Programme installieren, Daten ändern oder stehlen oder den normalen Systembetrieb stören.

AUSNUTZBARKEIT: Systeme, auf denen anfällige Versionen der betroffenen Software ausgeführt werden, sind gefährdet. Ein Angreifer würde diese Schwachstelle in der Regel ausnutzen, indem er speziell gestaltete Anfragen an den exponierten Dienst sendet und so den Codeausführungspfad auslöst.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Diese Schwachstelle kann direkt zu einer vollständigen Kompromittierung des Systems führen. Unternehmen können mit Betriebsausfällen, Datendiebstahl, Ransomware-Vorfällen und Reputationsschäden konfrontiert werden. Selbst ein einziger erfolgreicher Angriff, der eine RCE-Schwachstelle ausnutzt, kann zu weitreichenden Risiken für das Unternehmen führen.

WORKAROUND: Wenn eine sofortige Patch-Installation nicht möglich ist, beschränken Sie den Zugriff auf den betroffenen Dienst, wenden Sie Filter auf Netzwerkebene an und überwachen Sie ungewöhnliche Verkehrsmuster, bis Updates bereitgestellt werden können.

DRINGLICHKEIT: Da es sich um eine kritische RCE-Sicherheitslücke mit hohem Schadenspotenzial handelt, ist eine schnelle Bereitstellung des Patches unerlässlich, um zu verhindern, dass Angreifer die vollständige Kontrolle über Systeme erlangen. RCE-Schwachstellen sind bevorzugte Ziele für Angreifer und werden oft schnell als Waffen eingesetzt.

Microsoft Windows LNK-Datei-UI-Fehldarstellung (CVE-2025-9491)

„Eine harmlos aussehende Windows-Verknüpfung kann gefährliche Befehle verbergen und ohne Vorwarnung Malware starten.“

Das Update von Microsoft behebt CVE-2025-9491, eine schwerwiegende Schwachstelle in der Darstellung von .LNK-Verknüpfungsdateizielen durch Windows. Durch das Einfügen von Leerzeichen in Befehle konnten Angreifer bösartige Argumente in den Eigenschaften der Datei verstecken, sodass die Verknüpfung sicher erschien. Die Schwachstelle hatte einen hohen CVSS-Score (7,0–7,8) und wurde aktiv in realen Angriffen ausgenutzt, darunter Kampagnen, bei denen PlugX-Malware eingesetzt wurde.

Der Patch zwingt Windows nun dazu, das vollständige, unverhüllte Ziel der Verknüpfung anzuzeigen, sodass Angreifer keine schädlichen Befehle mehr hinter irreführenden UI-Verhaltensweisen verstecken können.

Die Sicherheitsupdates vom Patch Tuesday im Dezember 2025

Nachfolgend finden Sie die vollständige Liste der behobenen Sicherheitslücken in den Updates vom Patch Tuesday im Dezember 2025.

Der Beitrag 2025-12 Patchday erschien zuerst auf Grams IT - Blog.

Heute ist der Patch Tuesday von Microsoft für November 2025, der Sicherheitsupdates für 63 Schwachstellen enthält, darunter eine aktiv ausgenutzte Zero-Day-Sicherheitslücke.

Dieser Patch Tuesday behebt auch vier „kritische” Sicherheitslücken, von denen zwei Remote-Code-Ausführungslücken sind, eine eine Rechteausweitung und die vierte eine Schwachstelle bei der Offenlegung von Informationen.

Die Anzahl der Fehler in jeder Schwachstellenkategorie ist unten aufgeführt:

• 29 Schwachstellen zur Erhöhung von Berechtigungen
• 2 Schwachstellen zur Umgehung von Sicherheitsfunktionen
• 16 Schwachstellen zur Remote-Codeausführung
• 11 Schwachstellen zur Offenlegung von Informationen
• 3 Schwachstellen zum Denial-of-Service
• 2 Schwachstellen zum Spoofing

Details zur kritischen Zero-Day-Schwachstelle

Der dringlichste Punkt auf der Agenda ist die behobene Zero-Day-Lücke. Ein Zero-Day ist eine Schwachstelle, die den Softwareherstellern noch nicht bekannt war, als sie bereits von Angreifern ausgenutzt wurde. Die Zeitspanne zwischen dem ersten Angriff und dem Patch ist „null Tage“ – daher der Name.

Für den Microsoft Patchday November 2025 betrifft die Zero-Day-Lücke (im Folgenden mit der hypothetischen CVE-Nummer CVE-2025-62215 identifiziert) ein fundamentales Windows-Komponente: den Windows-Kernel.

Technische Zusammenfassung

• Ein Synchronisationsfehler ermöglicht den gleichzeitigen Zugriff auf oder die Änderung von gemeinsam genutzten Kernel-Objekten ohne ordnungsgemäße Sperrung oder Reihenfolge, was zu einer Race Condition (CWE-362) führt. Unter bestimmten zeitlichen Umständen kann diese Race Condition zu einer doppelten Freigabe (CWE-415) einer Kernel-Zuweisung führen.
• Der Gewinn des Wettlaufs kann dazu führen, dass ein Objekt zweimal freigegeben wird oder ein Objekt freigegeben wird, während es noch von einem anderen Thread verwendet wird, was zu einer Beschädigung des Kernel-Heaps führt, z. B. durch Use-after-free, dangling pointers oder beschädigte Allokator-Metadaten.
• Ein Angreifer kann dann Funktionszeiger oder vtable-Zeiger in Kernel-Objekten überschreiben oder den Allokatorstatus erzwingen, sodass vom Angreifer kontrollierte Daten als Kernel-Strukturen verwendet werden. Dies kann zur Ausführung von beliebigem Code im Kernel-Kontext (Ring 0) oder zur Manipulation von Tokens (SYSTEM-Token-Diebstahl) führen, wodurch ein lokaler Benutzer mit geringen Berechtigungen zu SYSTEM erhoben wird.

Umfang und Ausnutzbarkeit

• Betrifft alle unterstützten Versionen von Windows 10 und 11 sowie die entsprechenden Windows Server-Versionen.
• Die Ausnutzung erfordert die lokale Ausführung von Code oder den lokalen Zugriff auf den Rechner.
• Der Angriff hängt vom Gewinn eines Timing-Wettlaufs ab, ist daher komplex und fragil und erfordert präzises Timing, Pool-Grooming und gleichzeitige Threads oder Prozesse.
• Der Angreifer benötigt nur geringe Berechtigungen für das Zielkonto und keine Benutzerinteraktion über seine eigene Aktivität hinaus.
• Die Sicherheitsempfehlung stuft das Problem mit etwa 7,0 (wichtig) ein, was die hohe Auswirkung, aber auch die hohe Komplexität der Ausnutzung widerspiegelt. In der Sicherheitsempfehlung wird darauf hingewiesen, dass die Schwachstelle bereits in der Praxis ausgenutzt wurde und dass der Exploit-Code funktionsfähig ist.

Warum dies in Ketten gefährlich ist

• Ein Fehler bei der Remote-Codeausführung in einem netzwerkseitigen Dienst oder ein Browser-Sandbox-Escape könnte die lokale Codeausführung ermöglichen, die zum Ausführen dieses Kernel-Exploits erforderlich ist, wodurch eine Remote-Kompromittierung zu einer vollständigen SYSTEM-Übernahme führen könnte.
• Browser- oder Anwendungs-Sandbox-Escapes, die in diese Kernel-Elevation einfließen, verwandeln webbasierte Angriffe in eine vollständige Kompromittierung des Geräts.
• Von einer Position mit geringen Privilegien auf einem Host aus können Angreifer zu SYSTEM eskalieren, Anmeldedaten auslesen und sich lateral im Netzwerk bewegen.

Auswirkungen auf das Geschäft

• Kompromittierung kritischer Server wie Domänencontroller oder Dateiserver, was zu einer großflächigen Offenlegung von Anmeldedaten führt.
• Laterale Bewegung und Einsatz von Ransomware mit SYSTEM-Privilegien.
• Regulatorische, finanzielle und Reputationsschäden nach umfangreicher Datenexfiltration oder Betriebsstörungen.

Obwohl die hohe Komplexität das Risiko einer massenhaften Ausnutzung verringert, erhöht das Vorhandensein eines funktionsfähigen Exploits, der in freier Wildbahn eingesetzt wird, die Dringlichkeit. Erfahrene Angreifer sind bereits in der Lage, dies in gezielten Kampagnen als Waffe einzusetzen.

Wichtige Angriffsszenarien

1. Gezielte Eindringversuche: Angreifer verschaffen sich einen lokalen Zugang und führen dann die Kernel-Elevation durch, um die vollständige Kontrolle zu erlangen und sich dauerhaft zu etablieren.
2. Exploit-Verkettung: Ein RCE in einem exponierten Dienst oder Browser, gefolgt von einer lokalen Payload und dieser Kernel-Elevation, was zur Übernahme der Domäne führt.
3. Missbrauch von Cloud und Hosting: Wenn der anfällige Codepfad im Hypervisor- oder VM-Treibercode vorhanden ist, könnte eine Eskalation auf gehosteten Windows-Instanzen Multi-Tenant-Dienste beeinträchtigen. Überprüfen Sie die spezifischen Angaben des Anbieters.

Sofortmaßnahme: Die Behebung dieser Zero-Day-Lücke muss die absolute Priorität in Ihrem Patch-Management-Prozess sein.

Microsoft Office Remote Code Execution (CVE-2025-62199)

Ein Use-after-free-Fehler in der Dokumentenverarbeitung und der Vorschau von Office kann es einem Angreifer ermöglichen, einen Benutzer dazu zu bringen, eine manipulierte Datei zu öffnen oder in der Vorschau anzuzeigen, um beliebigen Code innerhalb des Office-Prozesses auszuführen. Das Problem wird als kritisch eingestuft; die Sicherheitsempfehlung enthält keinen öffentlichen Proof-of-Concept und es wurden keine Exploits in freier Wildbahn beobachtet.

Technische Zusammenfassung

• Grundursache: Ein Use-after-free-Fehler (CWE-416), bei dem Office eine Referenz auf bereits freigegebenen Speicher dereferenziert.
• Ein dangling pointer kann wiederverwendet werden, um vom Angreifer kontrollierte Daten zu platzieren oder Funktionszeiger, vtables oder Callback-Ziele zu überschreiben, wodurch die Ausführung von Code im Office-Prozess unter den Berechtigungen des Benutzers ermöglicht wird.
• Typischer Ablauf: Parsen von manipulierten Inhalten, Auslösen einer vorzeitigen Objektfreigabe, während ein Zeiger aktiv bleibt, anschließende Dereferenzierung führt zur Ausführung von vom Angreifer kontrollierten Daten oder zur Übernahme der Kontrollflusssteuerung.

Betroffene Komponenten

Microsoft Office Desktop (Word, Excel, PowerPoint) und alle Office-Komponenten, die denselben Codepfad verwenden, einschließlich der Vorschau-Leiste, der Outlook-Anhangsvorschau und der lokalen Office-Vorschau-Darstellung in OneDrive oder SharePoint.

Ausnutzbarkeit und CVSS

• CVSS 3.1 um 7,8 (kritisch), was die hohen Auswirkungen mit erforderlichen Benutzeraktionen widerspiegelt.
• Angriffsvektor: lokal, über ein manipuliertes Dokument, das geöffnet oder in der Vorschau angezeigt wird (E-Mail-Anhang, freigegebener Link, synchronisierte Datei, Vorschaufenster).
• Komplexität des Angriffs: gering, das Problem ist nicht zeitabhängig und das manipulierte Dokument löst während der Analyse oder Darstellung einen deterministischen Use-after-free-Angriff aus.
• Erforderliche Berechtigungen: keine.
• Benutzerinteraktion: erforderlich, das Opfer muss die Datei öffnen oder in der Vorschau anzeigen.

Angriffsablauf

1. Der Angreifer erstellt ein bösartiges Office-Dokument, das den Parser oder Renderer manipuliert, um ein Objekt vorzeitig freizugeben.
2. Das Opfer öffnet oder zeigt das Dokument in der Vorschau an und löst damit den anfälligen Codepfad aus.
3. Office dereferenziert den freigegebenen Zeiger; vom Angreifer kontrollierte Daten an dieser Adresse verändern den Kontrollfluss und führen zur Ausführung von beliebigem Code im Office-Prozess.

Ziele und Techniken der Nutzlast

• Gängige Nutzlasten: Erzeugen einer Shell, Ablegen eines Downloaders, Ausführen einer Nutzlast der zweiten Stufe oder Durchführen eines reflektierenden Ladens im Speicher, um Artefakte auf der Festplatte zu vermeiden.
• Unterstützende Techniken: Heap-Spraying über eingebettete Inhalte, Return-Oriented Programming zur Umgehung von DEP und Nutzung von Info-Disclosure-Fehlern zur Umgehung von ASLR.

Öffentliche Bekanntgabe und Ausnutzung

• Öffentlicher PoC: zum Zeitpunkt der Bekanntgabe keiner.
• Ausgenutzt in freier Wildbahn: keine gemeldet.

Mögliche Auswirkungen

Vollständige Kompromittierung der Benutzersitzung, mögliche laterale Bewegung, Diebstahl von Anmeldedaten aus LSA oder gespeicherten Office-Anmeldedaten, Persistenz im Speicher. In Verbindung mit einer Erhöhung der Berechtigungen könnte dies zu einer vollständigen Kompromittierung des Hosts oder der Domäne führen. Zu den Folgen gehören das Sammeln von Anmeldedaten von hochwertigen Benutzern, der Einsatz von Ransomware, der Diebstahl von geistigem Eigentum, die Kompromittierung von E-Mail-Konten für Betrugszwecke und der Missbrauch von Vertrauen in nachgelagerten Bereichen.

Prioritätsbewertung

• Warum dies eine hohe Priorität hat: Geringe Komplexität, keine erforderlichen Berechtigungen und gängige Angriffsvektoren wie E-Mail und das Vorschaufenster machen dies attraktiv für Massen-Phishing und gezielte Kampagnen.
• Warum es noch nicht katastrophal ist: Kein öffentlicher Proof-of-Concept und keine bekannten Exploits in freier Wildbahn verringern das unmittelbare Risiko einer massenhaften Ausnutzung, obwohl sich dies schnell ändern kann.

Worst-Case-Szenario

Eine Phishing-Kampagne, die einen zuverlässigen Exploit für diesen Fehler mit einer verfügbaren Kernel-Rechteausweitung kombiniert, würde zu einer großen Anzahl von kompromittierten Benutzern führen und könnte schnell zu einer vollständigen Übernahme des Hosts oder der Domäne eskalieren.

GDI+ Heap-basierter Pufferüberlauf (CVE-2025-60724)

Ein heap-basierter Pufferüberlauf in der Microsoft Graphics-Komponente (GDI+), der beim Parsen von Metadateien ausgelöst wird, kann ohne Benutzerinteraktion aus der Ferne ausgenutzt werden. Eine speziell gestaltete Metadatei, die in ein Dokument eingebettet oder auf einen Dienst hochgeladen wird, der solche Dateien parst oder rendert, kann zur Remote-Codeausführung im Kontext des Zielprozesses führen.

Technische Zusammenfassung

• Schwachstellenklasse: CWE-122, heap-basierter Pufferüberlauf – Speicher auf dem Heap wird über seine Grenzen hinaus beschrieben.
• Mögliche Ursachen basierend auf gängigen GDI+/Metadatei-Mustern: unzureichende Längen- oder Größenvalidierung beim Parsen von Metadatei-Datensätzen; ganzzahlige Arithmetikfehler, die zu unterzuweisenden Puffern führen; fehlende Validierung der Datensatzgrenzen vor dem Kopieren von Zeichnungsbefehlen variabler Länge oder eingebetteten Blobs.
• Die daraus resultierende Speicherbeschädigung ermöglicht es Angreifern, außerhalb einer Heap-Zuweisung zu schreiben, wodurch benachbarte Heap-Metadaten oder Funktionszeiger überschrieben und der Ausführungsfluss kontrolliert werden können.
• Metadateien sind mit einem hohen Risiko verbunden, da sie ausführbare Zeichenbefehle und Strukturen variabler Länge enthalten und ihre Parser komplex sind.

Umfang und Bewertung

• Kernkomponente: Microsoft Graphics Component (GDI+). Betroffen sind alle Windows-Komponenten oder -Anwendungen, die den anfälligen GDI+-Codepfad zum Parsen oder Rendern von Metadateien verwenden.
• CVSS 3.1: 9,8 (kritisch), was eine aus der Ferne ausnutzbare, schwerwiegende und wenig komplexe Schwachstelle widerspiegelt.

Ausnutzbarkeit und Auswirkungen

• Netzwerkvektor und keine Benutzerinteraktion erforderlich, im Gegensatz zu Office-Vorschau-Fehlern, bei denen der Benutzer Dateien öffnen muss. Ein einziger manipulativer Upload kann einen Dateiverarbeitungsserver kompromittieren.
• Die geringe Komplexität der Ausnutzung erhöht das Risiko einer automatisierten Massenausnutzung oder eines wormbaren Verhaltens, wenn ein Exploit erscheint.
• Die Angriffsfläche ist sehr groß, da viele Komponenten von Erst- und Drittanbietern GDI+ verwenden (Thumbnailer, Drucker, Konvertierungsdienste, Cloud-Vorschau-Dienste). Die Kompromittierung eines zentralisierten Dokument-Rendering-Dienstes kann einen einzigen böswilligen Upload in viele kompromittierte Clients oder einen dauerhaften Server-Fußhalt verwandeln.

Öffentliche Bekanntgabe und beobachtete Ausnutzung

• Öffentlicher PoC: keine gemeldet.
• Beobachtete Ausnutzung: keine gemeldet.

Warum dies ein hochkarätiger Pivot-Bug ist

• Kompromittierung eines eigenständigen Servers: Direkte RCE in einem Serverprozess, der mit SYSTEM oder anderen hohen Berechtigungen ausgeführt wird, führt zur vollständigen Kompromittierung des Hosts, zu lateraler Bewegung und zu Datenexfiltration.
• Massenverteilungsvektor: Ein böswilliger Upload, der von einem zentralen Dienst gerendert wird, kann an viele Clients ausgeliefert werden, was eine Kompromittierung der Lieferkette oder der Inhaltsverteilung ermöglicht.
• Verkettung: RCE gefolgt von Memory Dumping oder LSA-Geheimnisextraktion kann eine laterale Ausbreitung mit gesammelten Anmeldedaten ermöglichen.
• Eskalation und Persistenz: RCE in Kombination mit einem Bug zur Erhöhung von Privilegien könnte es Angreifern ermöglichen, persistente Komponenten auf Kernel-Ebene zu installieren oder Sicherheitstools zu manipulieren.

Warum dies dringend Aufmerksamkeit erfordert

• Ein über das Netzwerk erreichbarer RCE ohne Benutzerinteraktion und mit geringer Komplexität gehört zu den gefährlichsten Arten von Schwachstellen. Das Potenzial für Serverkompromittierungen, Auswirkungen auf Mandanten in Multi-Mandanten-Systemen und schnelle Massenausnutzung machen dies zu einer obersten Priorität für die Risikobewertung.
• Exploit-Entwickler müssen noch zuverlässige Allokator- und Interpreter-Manipulationen für alle Windows-Versionen und Schutzmaßnahmen wie CFG, ASLR und DEP entwickeln, was die Waffenbildung verzögern könnte. Historische GDI+- und Bildanalyse-Fehler wurden jedoch oft schnell zu Waffen umfunktioniert.

Mögliche Motive der Angreifer

• Massenkompromittierung, einschließlich Würmern, Cryptominern oder Ransomware.
• Gezielte Angriffe auf die Infrastruktur zur Dokumentendarstellung.
• Angriffe auf die Lieferkette, die weit verbreitete Rendering-Dienste als Waffe einsetzen.

Microsoft SQL Server – Erhöhung von Berechtigungen (CVE-2025-59499)

Eine über das Netzwerk erreichbare SQL-Injection in der Datenbanknamenverarbeitung von SQL Server ermöglicht es einem authentifizierten Benutzer mit geringen Berechtigungen, beliebige Transact-SQL-Befehle einzuschleusen. Eine erfolgreiche Ausnutzung kann zu einer Eskalation der Berechtigungen für das Dienstkonto führen, unter dem SQL Server ausgeführt wird, wodurch möglicherweise sysadmin- oder SYSTEM-Ebene-Kontrolle gewährt wird.

Technische Zusammenfassung

• Schwachstellenklasse: CWE-89, SQL-Injection.
• Ursache: Datenbankkennungen (Datenbanknamen) werden bei der Verwendung zum Erstellen von internem T-SQL nicht ordnungsgemäß bereinigt oder parametrisiert, sodass ein Angreifer SQL-Steuerzeichen einbetten kann, die die Ausführung von Befehlen auf Serverseite verändern.
• Auswirkung: Injiziertes T-SQL wird in einem privilegierten Serverkontext ausgeführt, was zu sysadmin-Rechten und der Ausführung von Befehlen auf Serverseite führen kann.

Ausnutzbarkeit

• Basisbewertung: 8,8 (wichtig).
• Angriffsvektor: Netzwerk, über direkte TDS-Verbindungen oder über Anwendungen, die betroffene APIs aufrufen.
• Komplexität des Angriffs: gering, Payloads können deterministisch sein.
• Erforderliche Berechtigungen: gering – Angreifer benötigen eine gültige SQL-Authentifizierung oder die Möglichkeit, sich über ein vertrauenswürdiges Anwendungskonto zu verbinden.
• Benutzerinteraktion: keine, sobald der Angreifer manipulierte Befehle senden kann.
• Ausnutzungsreife: unbewiesen, kein öffentlicher Proof-of-Concept und keine beobachteten Ausnutzungen in freier Wildbahn gemeldet.

Wahrscheinlich betroffene Systeme

SQL Server 2016 SP3, 2017, 2019 und 2022 (gemäß Patch-Tabelle von Microsoft).

Warum dies in Ketten gefährlich ist

1. Web-Kompromittierung, dann SQL EoP, wobei eine Web-App-Schwachstelle oder gestohlene Anmeldedaten den ersten Zugriff ermöglichen, der über diesen Fehler auf den Systemadministrator eskaliert wird.
2. SQL EoP zur OS-Kontrolle, z. B. durch Verwendung von xp_cmdshell zum Ausführen von Systembefehlen und anschließender Verkettung mit einer Kernel-Elevation für die vollständige System- oder Domänenkontrolle.
3. Kompromittierung von Dienstkonten, da viele SQL Server-Instanzen unter Domänenkonten ausgeführt werden, was den Diebstahl von Anmeldedaten und laterale Bewegungen ermöglicht.
4. Persistenz und Umgehung durch versteckte Trigger, signierte gespeicherte Prozeduren oder bösartige CLR-Assemblies.

Operative Schwere

Obwohl als Privilegienerweiterung klassifiziert, sind die Auswirkungen auf den Betrieb aufgrund des Netzwerkvektors, der geringen Komplexität und der Möglichkeit einer vollständigen Übernahme der Systemadministrationsrechte ähnlich wie bei einer Remote-Codeausführung auf Datenbankebene. SQL Server enthält häufig die sensibelsten Daten eines Unternehmens, sodass eine erfolgreiche Ausnutzung zu Datendiebstahl, Ransomware und einer weitreichenden lateralen Bewegung führen kann.

Ausblick

Nach der Veröffentlichung der Sicherheitsempfehlung ist mit einer raschen Erforschung des Exploits zu rechnen. SQL-Injection-Vektoren sind oft reproduzierbar, sodass Proof-of-Concepts schnell verfügbar sein können. Diese Schwachstelle stellt ein hohes Risiko für Umgebungen mit gemeinsam genutzten SQL-Servern, flachen Netzwerken oder schwacher Berechtigungsverwaltung dar.

Die Patch Tuesday-Sicherheitsupdates vom November 2025

Nachfolgend finden Sie die vollständige Liste der behobenen Schwachstellen in den Patch Tuesday-Updates vom November 2025.

Der Beitrag 2025-11 Patchday erschien zuerst auf Grams IT - Blog.

Der Patchday ist der kritischste Tag im Monat für jede IT-Abteilung. Doch der Microsoft Patchday Oktober 2025 stellt eine besondere Herausforderung dar. Er markiert nicht nur das Ende des Supports für zentrale Produkte wie Windows 10 und Exchange Server 2016/2019, sondern bringt auch eine alarmierend hohe Anzahl an dringend zu schließenden Sicherheitslücken mit sich.

Dieser Artikel liefert Ihnen als IT-Verantwortlichen oder Sicherheitsspezialisten die vollständige, tiefgehende Analyse aller veröffentlichten Sicherheitsupdates. Wir schlüsseln die Bedrohungen auf, nennen die kritischsten Zero-Day-Schwachstellen und geben Ihnen eine klare Handlungsanweisung, um Ihre Infrastruktur schnellstmöglich zu härten.

Lesen Sie jetzt, welche kritische Sicherheitslücken Sie sofort priorisieren müssen und wie Sie die bevorstehenden End-of-Support-Meilensteine sicher managen.

Die Zahlen der Bedrohung: 6 Zero-Days und 172 Schwachstellen

Der Umfang der Korrekturen in diesem Monat unterstreicht die Notwendigkeit eines robusten Patch Management. Insgesamt adressiert Microsoft 172 Schwachstellen. Diese hohe Zahl ist besorgniserregend und erfordert eine präzise Priorisierung der Updates.

Die Anzahl der Fehler in jeder Schwachstellenkategorie ist unten aufgeführt:

80 Schwachstellen durch Erhöhung der Berechtigung (Elevation of Privilege)
11 Anfälligkeiten für die Umgehung von Sicherheitsfunktionen
31 Schwachstellen durch Remotecode-Ausführung
28 Schwachstellen in Bezug auf die Offenlegung von Informationen
11 Denial-of-Service-Schwachstellen
10 Spoofing-Schwachstellen

Aufschlüsselung der Schweregrade

Um den Überblick zu behalten, ist es entscheidend, die Lücken nach ihrem Schweregrad zu klassifizieren.

• Kritisch (Critical): Mehrere Schwachstellen wurden als Kritisch eingestuft. Dies bedeutet, dass sie ohne Benutzerinteraktion oder mit minimalen Berechtigungen zur vollständigen Kompromittierung des Systems führen können, oft durch Remote Code Execution (RCE).
• Wichtig (Important): Der Großteil der CVE-Nummern fällt in diese Kategorie. Diese Lücken können zu erhöhten Privilegien, Denial of Service (DoS) oder Informationslecks führen.
• Niedrig/Mittel: Diese sind ebenfalls zu beheben, stellen aber keine unmittelbare, akute Bedrohung dar.

Top-Priorität: Die 6 Zero-Day-Schwachstellen

Das größte Risiko geht von den Schwachstellen aus, die bereits aktiv von Angreifern ausgenutzt werden – den sogenannten Zero-Day-Schwachstellen. Der Oktober-Patchday beseitigt sechs solcher Lücken. Dies ist ein extrem hoher Wert und signalisiert eine erhöhte Angriffsaktivität, die sofortige Reaktion erfordert.

Was sind Zero-Days? Zero-Day-Lücken sind Fehler in der Software, die der Hersteller (Microsoft) gerade erst kennt oder für die noch kein Patch existiert, die aber bereits in freier Wildbahn für Angriffe genutzt werden. Die sofortige Installation der Sicherheitsupdates hat hier absolute Priorität.

CVE-2025-59230: Sicherheitslücke durch Rechteausweitung im Windows Remote Access Connection Manager

Die erste Zero-Day-Sicherheitslücke ist eine Schwachstelle im Windows Remote Access Connection Manager (RACMAN)-Dienst, der VPN- und Fernzugriffsverbindungen verwaltet. Durch unsachgemäße Zugriffskontrollen (CWE-284) kann ein authentifizierter Benutzer mit geringen Berechtigungen seine Rechte auf SYSTEM ausweiten.

Das Problem scheint darauf zurückzuführen zu sein, dass der RACMAN-Dienst Befehle von Benutzern mit geringeren Berechtigungen validiert und verarbeitet, ohne die Autorisierung vor der Ausführung privilegierter Vorgänge ordnungsgemäß zu überprüfen.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Gering (PR:L)
• Basisbewertung: 7,8 (Hoch)
• Zeitliche Bewertung: 7,2 (hoch)

Ausnutzungsstatus

• In freier Wildbahn: Ja, eine Ausnutzung wurde festgestellt.
• Proof of Concept: Es gibt einen funktionsfähigen Exploit, der jedoch möglicherweise nicht öffentlich verfügbar ist.

Betroffene Systeme

• Windows 10- und Windows 11-Workstations
• Windows Server 2016, 2019 und 2022

Warum dies gefährlich ist

1. SYSTEM-Berechtigungen gewähren die vollständige Kontrolle über das kompromittierte System.

2. Die Schwachstelle kann in Angriffsketten genutzt werden, um:

• Berechtigungen nach dem ersten Zugriff durch Phishing oder andere Eintrittsvektoren zu eskalieren
• Nach anderen Exploits Persistenz herzustellen
• Die Benutzerkontensteuerung (UAC) zu umgehen (UAC)
• Unterstützung komplexerer Angriffe auf Domänencontroller in Kombination mit lateraler Bewegung

3. Die geringe Komplexität der Ausnutzung macht sie für Angreifer mit mittleren Fähigkeiten zugänglich.

Risikofaktoren für Unternehmen Viele Unternehmen sind weiterhin gefährdet, da Remotezugriffsdienste weit verbreitet sind und Windows nach wie vor die Unternehmensumgebungen dominiert. Die aktive Ausnutzung erhöht die Dringlichkeit, schnell Patches zu installieren. In großen Umgebungen oder solchen mit langsameren Patch-Zyklen kann die Gefährdung auch nach der Veröffentlichung von Korrekturen bestehen bleiben.

Was diesen Zero-Day-Exploit für Angreifer besonders attraktiv macht, ist seine Zuverlässigkeit und das hochwertige Ergebnis – konsistenter Zugriff auf SYSTEM-Ebene ohne komplexe Voraussetzungen.

CVE-2025-24990: Windows Agere Modemtreiber – Sicherheitslücke durch Rechteausweitung

Ein weiterer Zero-Day-Exploit betrifft den Agere-Modemtreiber (ltmdm64.sys), der standardmäßig mit Windows-Betriebssystemen ausgeliefert wird. Die Schwachstelle ist eine nicht vertrauenswürdige Pointer-Dereferenzierung (CWE-822), die auftritt, wenn der Treiber die vom Benutzer bereitgestellten Zeiger nicht ordnungsgemäß validiert, bevor er sie im Kernel-Modus dereferenziert. Dieser Fehler ermöglicht es Angreifern, Speicherstrukturen mit Kernel-Rechten zu manipulieren.

Das Problem ist besonders besorgniserregend, da es in einem Legacy-Hardware-Support-Code vorhanden ist, der standardmäßig auf Windows-Systemen installiert ist, selbst wenn die zugehörige Hardware nicht vorhanden ist oder nicht verwendet wird.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Gering (PR:L)
• Basisbewertung: 7,8 (Hoch)
• Zeitliche Bewertung: 7,2 (Hoch)

Ausnutzungsstatus

• In freier Wildbahn: Ja, aktive Ausnutzung festgestellt
• Proof of Concept: Es existiert ein funktionierender Exploit
• Öffentliche Bekanntgabe: Keine vor dem Sicherheitsbulletin

Betroffene Systeme

• Alle unterstützten Windows-Desktop- und Server-Versionen
• Systeme mit oder ohne Agere-Modem-Hardware

Warum dies gefährlich ist

1. Da die Schwachstelle im Kernel-Modus auftritt, können Angreifer die höchsten Berechtigungen erlangen, was Folgendes ermöglicht:

• Vollständige Kompromittierung des Systems
• Zugriff auf geschützte Systemressourcen
• Deaktivierung von Sicherheitskontrollen
• Installation von persistenten Backdoors

2. In fortgeschrittenen Angriffsketten könnte sie genutzt werden, um:

• Anwendungs-Sandboxes zu umgehen
• Nach der ersten Kompromittierung Persistenz aufrechtzuerhalten
• Zusätzliche Malware mit Systemrechten zu installieren
• Sich lateral innerhalb von Unternehmensnetzwerken zu bewegen
• Sicherheits-Tools auf dem betroffenen System zu manipulieren

3. Das Risiko wird verstärkt, weil:

• Die Ausnutzung nicht von der tatsächlichen Hardware abhängt
• Microsoft sich dafür entschieden hat, den anfälligen Treiber vollständig zu entfernen, anstatt ihn zu patchen
• Die Ausnutzung wenig komplex ist

Auswirkungen auf Unternehmen Das potenzielle Risiko ist groß, da der anfällige Treiber standardmäßig in den meisten Windows-Installationen vorhanden ist. Unternehmen mit älteren Systemen, die auf Agere-Modemhardware angewiesen sind, stehen vor einer zusätzlichen Herausforderung, da die Hardware nach dem kumulativen Update im Oktober nicht mehr funktionieren wird.

Aktive Ausnutzung bestätigt, dass Angreifer diesen Zero-Day bereits nutzen. Die Entscheidung von Microsoft, den Treiber zu entfernen, anstatt ihn zu patchen, deutet darauf hin, dass der Fehler tief in seinem Design verwurzelt ist und nicht behoben werden kann, ohne die Funktionalität zu beeinträchtigen. Dies erhöht sowohl die Sicherheits- als auch die Betriebsrisiken für betroffene Umgebungen.

CVE-2025-24052: Windows Agere Modemtreiber – Sicherheitslücke durch Rechteausweitung

Dieser Zero-Day betrifft den Agere-Modemtreiber (ltmdm64.sys), der standardmäßig mit Windows ausgeliefert wird. Es handelt sich um einen stapelbasierten Pufferüberlauf (CWE-121), der durch eine unsachgemäße Validierung der Eingabepuffergrößen vor dem Kopieren von Daten in einen Stapelpuffer mit fester Größe verursacht wird. Die daraus resultierende Speicherbeschädigung kann zur Ausführung von Code auf Kernel-Ebene und zur Ausweitung von Berechtigungen führen.

Der Fehler befindet sich in einem veralteten Treibercode, der auch dann auf modernen Systemen installiert bleibt, wenn die entsprechende Hardware nicht vorhanden ist. Dadurch erhöht sich das Risiko für viele Geräte.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Gering (PR:L)
• Basisbewertung: 7,8 (Hoch)
• Zeitliche Bewertung: 7,0 (hoch)

Ausnutzungsstatus

• In freier Wildbahn: Keine bestätigte Ausnutzung festgestellt
• Proof of Concept: Es gibt einen PoC, der jedoch möglicherweise noch nicht vollständig einsatzbereit ist
• Öffentliche Bekanntgabe: Ja, die Schwachstelle wurde öffentlich bekannt gegeben

Betroffene Systeme

• Alle unterstützten Windows-Desktop-Versionen (Windows 10, Windows 11)
• Alle unterstützten Windows Server-Versionen
• Systeme mit oder ohne physische Agere-Modem-Hardware

Warum dies schwerwiegend ist

1. Als Kernel-Mode-Fehler kann eine erfolgreiche Ausnutzung die Ausführung von beliebigem Code auf der höchsten Privilegienebene ermöglichen, wodurch das gesamte System kompromittiert und dauerhaft beeinträchtigt werden kann.
2. In komplexen Angriffsketten kann dies für die Eskalation von Privilegien nach der Kompromittierung, das Entkommen aus der Sandbox, laterale Bewegungen und die Untergrabung von Sicherheitstools, die auf Kernel-Komponenten basieren, genutzt werden.
3. Der stapelbasierte Überlauf kann die Ausführung von Shellcode, die Beschädigung von Kernel-Datenstrukturen und die Kontrolle des Programmablaufs ermöglichen.

Auswirkungen auf den Betrieb Microsoft hat den Treiber entfernt, anstatt ihn zu patchen, wodurch die Schwachstelle beseitigt wird, aber Kompatibilitätsprobleme für Unternehmen entstehen, die weiterhin auf Agere-Modem-Hardware angewiesen sind. Die Einschätzung von Microsoft, dass eine Ausnutzung „sehr wahrscheinlich“ ist, sowie die öffentliche Bekanntgabe und ein verfügbarer PoC bedeuten, dass das Zeitfenster für die Ausnutzung der Schwachstelle immer kleiner wird, auch wenn bisher keine aktive Ausnutzung bestätigt wurde.

CVE-2025-0033: AMD RMP-Beschädigung während der SNP-Initialisierung

Eine weitere Zero-Day-Sicherheitslücke, die am Tag vor dem Patch Tuesday bekannt wurde, ist eine kritische Schwachstelle in AMD EPYC-Prozessoren, die die Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP)-Technologie implementieren. Der Fehler resultiert aus einer Race Condition während der Initialisierung der Reverse Map Table (RMP), einer wichtigen SEV-SNP-Struktur, die die Eigentumsverhältnisse und Berechtigungen von physischen Speicherseiten verfolgt.

Während des SNP-Initialisierungsprozesses gibt es ein Zeitfenster, in dem RMP-Einträge konfiguriert, aber noch nicht gesperrt sind. Ein privilegierter Angreifer könnte diese Lücke ausnutzen, um RMP-Einträge zu ändern, wodurch ein kompromittierter Hypervisor möglicherweise die Sicherheitsattribute von Speicherseiten ändern könnte, die vertraulichen virtuellen Maschinen (VMs) zugewiesen sind, wodurch die Sicherheitsgarantien von SEV-SNP untergraben würden.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Privilegien: Hoch (PR:H)
• Basisbewertung: 8,2 (Hoch)
• Zeitliche Bewertung: 7,1 (Hoch)

Ausnutzungsstatus

• In freier Wildbahn: Keine bekannte Ausnutzung
• Proof of Concept: Kein öffentlicher Exploit verfügbar (Reife des Exploit-Codes: Unbewiesen)
• Öffentliche Bekanntgabe: Ja, bekannt gegeben von AMD am 13. Oktober 2025

Betroffene Systeme

• AMD EPYC-Prozessoren mit SEV-SNP-Fähigkeit
• Virtualisierungsumgebungen, die AMD SEV-SNP für vertrauliche Datenverarbeitung verwenden
• Cloud-Plattformen, die AMD-basierte vertrauliche Datenverarbeitungsdienste anbieten
• Lokale Private Clouds, auf denen SEV-SNP-fähige Hardware ausgeführt wird

Warum dies wichtig ist

1. Die Schwachstelle untergräbt die zentralen Sicherheitsgrenzen der vertraulichen Datenverarbeitung, indem sie:

• die hardwaregestützte Isolation zwischen Hypervisor und Gast-VMs aufhebt
• die Änderung des geschützten VM-Speichers ermöglicht
• möglicherweise die Beglaubigungsmechanismen in SEV-SNP-Umgebungen beeinträchtigt

2. Bei fortgeschrittenen Angriffen könnte dies Folgendes ermöglichen:

• Umgehung der SEV-SNP-Verschlüsselung und Isolationsschutzmaßnahmen
• Manipulation von Speicherinhalten in vertraulichen VMs
• Einschleusen von bösartigem Code in geschützte Workloads
• Erleichterung von Seitenkanalangriffen

3. Dies könnte auch mit folgenden Faktoren kombiniert werden:

• Schwachstellen bei der Eskalation von Hypervisor-Rechten
• Andere Schwachstellen von AMD-Prozessoren
• Supply-Chain-Angriffe auf vertrauliche Computing-Infrastrukturen

Auswirkungen und Risiken Nur eine kleine Anzahl von Organisationen betreibt SEV-SNP-fähige Systeme, in der Regel große Cloud-Anbieter, Regierungsbehörden, Finanzinstitute und Gesundheitsorganisationen, die mit hochsensiblen Daten umgehen. Die Ausnutzung dieser Schwachstelle ist aufgrund der erforderlichen Zugriffsrechte auf Hypervisor-Ebene und der erforderlichen tiefgreifenden technischen Kenntnisse über SEV-SNP begrenzt.

Große Cloud-Anbieter wie Microsoft Azure mindern dieses Risiko durch strenge administrative Kontrollen, mehrschichtige Abwehrmaßnahmen und kontinuierliche Integritätsüberwachung. Die Schwachstelle ist zwar schwerwiegend, eine praktische Ausnutzung ist jedoch für die meisten Umgebungen unwahrscheinlich. Bei gezielten Angriffen auf hochwertige vertrauliche Computersysteme bleibt sie jedoch ein erhebliches Problem, das eine umgehende Installation von Patches erfordert, sobald Updates verfügbar sind.

CVE-2025-59287: Schwachstelle in Windows Server Update Service (WSUS) ermöglicht Remote-Code-Ausführung

Dies ist eine kritische Sicherheitslücke in Windows Server Update Services (WSUS), einem Kernbestandteil der Patch-Infrastruktur von Microsoft für Unternehmen. Es handelt sich um ein Problem der Deserialisierung nicht vertrauenswürdiger Daten (CWE-502), das es WSUS ermöglicht, von Angreifern kontrollierte Objekte ohne ausreichende Validierung zu deserialisieren, was zur Remote-Codeausführung im Kontext des WSUS-Dienstes führen kann.

Die Ursache scheint ein unsicherer älterer Serialisierungsmechanismus zu sein, der eingehende Netzwerkereignisse verarbeitet. WSUS validiert Objekttypen vor der Deserialisierung nicht, sodass ein Angreifer bösartige serialisierte Objekte bereitstellen kann, die bei der Deserialisierung Code ausführen. Der Dienst wird in der Regel mit SYSTEM-Rechten ausgeführt, sodass bei erfolgreicher Ausnutzung Code mit hohen Rechten ausgeführt werden kann.

Wichtige Kennzahlen

• Angriffsvektor: Netzwerk (AV:N)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Keine (PR:N)
• Basisbewertung: 9,8 (kritisch)
• Zeitliche Bewertung: 8,5 (hoch)

Ausnutzungsstatus

• In freier Wildbahn: Zum Zeitpunkt der Offenlegung sind keine Ausnutzungen bekannt.
• Proof of Concept: Kein öffentlicher Exploit verfügbar (Reife des Exploit-Codes: unbewiesen)
• Öffentliche Bekanntgabe: Keine öffentliche Bekanntgabe vor Veröffentlichung des Patches

Betroffene Systeme

• Windows-Server, auf denen WSUS ausgeführt wird
• Systeme, die in Unternehmensumgebungen als WSUS-Server konfiguriert sind
• Alle unterstützten Windows Server-Versionen, auf denen die WSUS-Rolle installiert ist
• Sowohl dedizierte WSUS-Server als auch Mehrzweckserver, auf denen WSUS ausgeführt wird

Warum dies gefährlich ist

1. WSUS wird normalerweise mit SYSTEM-Rechten ausgeführt, sodass der Angreifer durch die Ausnutzung die höchsten lokalen Rechte erhält.
2. WSUS-Server verfügen in der Regel über Netzwerkverbindungen zu vielen Endpunkten und können bei falscher Konfiguration über das Internet zugänglich sein.
3. Eine erfolgreiche Ausnutzung könnte es einem Angreifer ermöglichen, bösartige Updates auf verwalteten Systemen zu installieren, was zu einer weitreichenden Kompromittierung und dauerhaften Hintertüren führen könnte.
4. Als Teil einer Angriffskette könnte dies mit anderen Schwachstellen in der Infrastruktur oder Supply-Chain-Techniken kombiniert werden, um die Auswirkungen zu verstärken.

Auswirkungen auf Unternehmen

• Viele mittlere bis große Unternehmen verlassen sich bei der Patch-Verwaltung auf WSUS; einigen Schätzungen zufolge liegt die Nutzungsrate in diesen Segmenten bei 70 bis 80 Prozent.
• Unternehmen mit mehreren WSUS-Servern oder segmentierten Netzwerken sind einem erhöhten Risiko ausgesetzt.
• Kritische Infrastrukturen, Behörden, Finanzinstitute und Einrichtungen des Gesundheitswesens verwenden häufig WSUS, was das Potenzial für schwerwiegende Folgen erhöht.
• Die Wiederherstellung nach einer Kompromittierung der Update-Infrastruktur kann die Wiederherstellung des Vertrauens in der gesamten Umgebung und die Wiederherstellung der Update-Pipeline erfordern.

Die Einschätzung von Microsoft, dass eine Ausnutzung „sehr wahrscheinlich“ ist, sowie der ferngesteuerte, nicht authentifizierte Angriffsvektor und die geringe Komplexität machen dies zu einem Problem mit hoher Priorität für betroffene Unternehmen.

Das Ende einer Ära: Windows 10 Support-Ende

Der Microsoft Patchday Oktober 2025 ist für Millionen von Unternehmen und Privatnutzern ein historischer Meilenstein. Ab diesem Zeitpunkt erhält Windows 10 keine kostenlosen, regulären Sicherheitsupdates mehr.

Der allerletzte Patchday für die meisten Nutzer

Mit dem Oktober-Update wird der offizielle Support für Windows 10 für alle nicht berechtigten oder nicht zahlenden Kunden eingestellt. Das bedeutet:

1. Keine neuen Sicherheitskorrekturen: Alle nach diesem Datum entdeckten Schwachstellen, einschließlich neuer Zero-Days, werden nicht mehr kostenlos von Microsoft behoben.
2. Erhöhtes Risiko: Geräte, die mit dem Internet verbunden sind und Windows 10 ohne Extended Security Updates (ESU) nutzen, werden schnell zu einfachen Zielen für Cyberkriminelle.
3. Compliance-Probleme: Viele regulatorische Standards (wie DSGVO oder HIPAA) erfordern den Betrieb unterstützter Software, was mit dem Windows 10 Support-Ende nicht mehr gegeben ist.

Migration: Optionen und Risiken

Wenn Sie noch Windows 10 in Ihrer Umgebung nutzen, haben Sie nun drei Optionen:

• Option 1: Migration zu Windows 11: Dies ist der empfohlene Pfad. Nutzen Sie diesen Patchday als letzten Anstoß für die Planung und den Rollout von Windows 11.
• Option 2: Extended Security Updates (ESU): Für Organisationen, die nicht rechtzeitig migrieren können, bietet Microsoft kostenpflichtige ESU-Lizenzen an. Diese stellen Sicherheitsupdates für einen begrenzten Zeitraum bereit, sind aber keine langfristige Lösung.
• Option 3: Risiko akzeptieren (nicht empfohlen): Das Gerät wird im Grunde zu einer „Zeitbombe“ in Ihrem Netzwerk. Dies sollte unter allen Umständen vermieden werden.

Abschied von Exchange: End of Support für 2016 und 2019

Parallel zum Windows 10 Support-Ende erreichen auch Microsoft Exchange Server 2016 und 2019 das Ende ihres Mainstream-Supports. Während es für Exchange 2016 und 2019 Übergangsfristen für den Extended Support geben mag, ist die Botschaft klar: Die Migration auf eine aktuellere Version oder in die Cloud (Exchange Online) muss beschleunigt werden.

Welche Risiken bestehen jetzt?

Exchange Server sind historisch gesehen die kritischsten, oft angegriffenen On-Premise-Komponenten in Unternehmensnetzwerken.

• Angriffsziel Nummer 1: Ungesicherte Exchange Server sind die primären Angriffsvektoren für Ransomware und Datenexfiltration.
• Keine neuen Features/Fixes: Nach dem EoS wird es schwieriger, nicht sicherheitsrelevante Probleme zu beheben, und die Plattform veraltet in Bezug auf moderne Sicherheitsstandards.

Die notwendigen Migrationspfade

Für alle, die noch Exchange Server End of Support-Versionen betreiben, ist die einzige sichere Strategie die Migration:

1. Empfohlen: Wechsel zu Exchange Online (Microsoft 365): Dies bietet die höchste Sicherheit und Verfügbarkeit, da Microsoft das Patch Management übernimmt.
2. On-Premise Upgrade auf Exchange 2023/2024: Halten Sie Ihre Infrastruktur auf dem neuesten Stand. Achten Sie auf die neuesten Systemanforderungen und Architekturänderungen.

Die Oktober 2025 Patch Tuesday Sicherheitsupdates

Nachfolgend finden Sie die vollständige Liste der behobenen Sicherheitslücken in den Patch Tuesday-Updates vom Oktober 2025.

Der Beitrag 2025-10 Patchday erschien zuerst auf Grams IT - Blog.

Heute ist der Patch Tuesday von Microsoft für Mai 2025, der Sicherheitsupdates für 72 Schwachstellen enthält, darunter fünf aktiv ausgenutzte und zwei öffentlich bekannt gegebene Zero-Day-Sicherheitslücken.

Dieser Patch Tuesday behebt außerdem sechs „kritische“ Sicherheitslücken, darunter fünf Schwachstellen, die die Ausführung von Remote-Code ermöglichen, und eine weitere, die zur Offenlegung von Informationen führt.

Die Anzahl der Fehler in jeder Sicherheitslückenkategorie ist unten aufgeführt:

• 17 Sicherheitslücken zur Erhöhung von Berechtigungen
• 2 Sicherheitslücken zur Umgehung von Sicherheitsfunktionen
• 28 Sicherheitslücken zur Remote-Codeausführung
• 15 Sicherheitslücken zur Offenlegung von Informationen
• 7 Sicherheitslücken zur Verweigerung des Dienstes
• 2 Sicherheitslücken zur Spoofing

Diese Zahl umfasst nicht die Azure-, Dataverse-, Mariner- und Microsoft Edge-Fehler, die bereits Anfang dieses Monats behoben wurden.

Sicherheitslücken in Windows Common Log File System Driver, die eine Erhöhung von Berechtigungen ermöglichen

An diesem Patch Tuesday umfasst die Liste der Zero-Day-Sicherheitslücken Schwachstellen im CLFS-Treiber (clfs.sys), einer kritischen Windows-Komponente, die für die Bereitstellung von Protokollierungsdiensten für Anwendungen im Benutzermodus und Kernelmodus verantwortlich ist. Der Treiber wird von verschiedenen Systemdiensten und Anwendungen von Drittanbietern für die Protokollierung verwendet.

CVE-2025-32701: Sicherheitslücke durch Berechtigungserweiterung nach Freigabe

• Angriffsvektor: Lokal
• Komplexität des Angriffs: Gering
• Erforderliche Berechtigungen: Gering
• Benutzerinteraktion: Keine
• Schwachstelle: CWE-416: Verwendung nach Freigabe
• CVSS v3.1-Basisbewertung: 7,8 (Hoch)
• In freier Wildbahn ausgenutzt: Ja
• Proof of Concept: Nicht öffentlich bekannt gegeben

Diese Schwachstelle tritt aufgrund einer Use-after-free-Bedingung im CLFS-Treiber auf. Eine unsachgemäße Speicherverwaltung während bestimmter Logdateioperationen kann von Angreifern durch manipulierte Systemaufrufe oder Handle-Manipulationsroutinen ausgenutzt werden. Durch Manipulation des freigegebenen Speichers können Angreifer beliebigen Code im Kernelmodus ausführen und so SYSTEM-Rechte erlangen.

CVE-2025-32706: Unsachgemäße Eingabevalidierung – Schwachstelle zur Erhöhung von Rechten

• Angriffsvektor: Lokal
• Komplexität des Angriffs: Gering
• Erforderliche Berechtigungen: Gering
• Benutzerinteraktion: Keine
• Schwachstelle: CWE-20: Unsachgemäße Eingabevalidierung
• CVSS v3.1-Basiswert: 7,8 (Hoch)
• In freier Wildbahn ausgenutzt: Ja
• Proof of Concept: Nicht öffentlich bekannt

Diese Sicherheitslücke entsteht durch eine unsachgemäße Eingabevalidierung im CLFS-Treiber. Der Treiber validiert Eingabeparameter aus Anwendungen im Benutzermodus nicht, sodass ein Angreifer fehlerhafte Daten übermitteln kann, die zu einer Beschädigung des Speichers führen können. Eine erfolgreiche Ausnutzung kann zur Ausführung von beliebigem Code mit SYSTEM-Rechten führen.

Auswirkungen und Abhilfemaßnahmen: Beide Sicherheitslücken betreffen alle unterstützten Versionen von Windows 10, Windows 11 und die entsprechenden Serverversionen. Durch Ausnutzen dieser Schwachstellen können Angreifer ihre Berechtigungen auf die SYSTEM-Ebene erhöhen und so beliebigen Code ausführen, Programme installieren, Daten ändern und Sicherheitsfunktionen deaktivieren.

Aufgrund der geringen Komplexität der Angriffe und der minimalen erforderlichen Berechtigungen stellen diese Schwachstellen ein erhebliches Risiko dar, insbesondere angesichts der aktiven Ausnutzung in der Praxis. Obwohl derzeit kein öffentlicher Exploit-Code verfügbar ist, deutet das Vorhandensein aktiver Angriffe darauf hin, dass bereits gezielte Kampagnen, möglicherweise unter Einbeziehung von Advanced Persistent Threats (APTs), im Gange sind.

Unternehmen sollten die sofortige Bewertung und Behebung dieser Schwachstellen priorisieren, um potenzielle Kompromittierungen zu verhindern.

Sicherheitslücke durch Speicherbeschädigung in der Skript-Engine (CVE-2025-30397)

In der Microsoft Scripting Engine, einer wichtigen Komponente von Internet Explorer und dem Internet Explorer-Modus in Microsoft Edge, wurde eine neue Zero-Day-Sicherheitslücke entdeckt. Die Scripting Engine verarbeitet Skriptsprachen wie JavaScript und VBScript und ermöglicht so dynamische Inhalte auf Webseiten.

Die Sicherheitslücke wird durch einen Typkonflikt (CWE-843) verursacht, bei dem die Engine Objekte im Speicher falsch verarbeitet. Dies tritt auf, wenn die Engine eine Ressource als einen Typ zuweist, später jedoch als einen anderen, inkompatiblen Typ darauf zugreift. Angreifer können diese Schwachstelle ausnutzen, indem sie eine bösartige Webseite oder ein Skript erstellen, das die Scripting Engine dazu verleitet, den Typ eines Objekts falsch zu interpretieren. Diese Fehlinterpretation führt zu einer Beschädigung des Speichers, wodurch der Angreifer möglicherweise beliebigen Code ausführen kann.

Details zur Sicherheitslücke:

• Auswirkung: Remote-Codeausführung
• Schweregrad: Wichtig
• Schwachstelle: CWE-843 (Typkonflikt)
• CVSS v3.1-Score: 7,5 (Hoch)
• In freier Wildbahn ausgenutzt: Ja
• Proof of Concept: Kein öffentlicher Exploit verfügbar
• Angriffsvektor: Netzwerk
• Komplexität des Angriffs: Hoch
• Erforderliche Berechtigungen: Keine
• Benutzerinteraktion: Erforderlich

Betroffene Systeme: Alle unterstützten Versionen von Microsoft Windows mit der anfälligen Skript-Engine sind betroffen, darunter:

• Client-Systeme: Windows 7, 8.1, 10, 11
• Serversysteme: Windows Server 2008, 2012, 2016, 2019 und entsprechende Versionen

Mögliche Auswirkungen: Bei erfolgreicher Ausnutzung können Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der Benutzer über Administratorrechte verfügt, kann der Angreifer die vollständige Kontrolle über das System erlangen und so auf sensible Informationen zugreifen, Programme installieren oder Daten ändern/löschen.

Risikoanalyse:

• Weitreichende Gefährdung: Angesichts der weit verbreiteten Nutzung von Windows und der betroffenen Skript-Engines sind potenziell Millionen von Systemen gefährdet.
• Kompatibilitätsrisiken: Die Abhängigkeit vom Internet Explorer-Modus in Edge für die Abwärtskompatibilität erhöht die Gefährdung aufgrund veralteter Komponenten.
• Fokus der Angreifer: Obwohl die Komplexität des Angriffs hoch ist, könnten erfahrene Angreifer, darunter auch staatliche Akteure, zuverlässige Exploits entwickeln.
• Gezielte Angriffe: Die erforderliche Benutzerinteraktion kann zwar die Ausnutzung in großem Umfang einschränken, gezielte Angriffe jedoch nicht verhindern.

Unternehmen sollten die Installation von Patches priorisieren und mehrschichtige Sicherheitskontrollen implementieren, um das Risiko zu mindern, da die Ausnutzung bereits in der Praxis beobachtet wurde.

Sicherheitslücken in Microsoft Office, die die Ausführung von Remote-Code ermöglichen

In Microsoft Office wurden zwei kritische Sicherheitslücken identifiziert, die beide Use-after-free-Bedingungen beinhalten, die zur Ausführung von Remote-Code führen können.

CVE-2025-30386: Sicherheitslücke in Microsoft Office ermöglicht Remote-Codeausführung

Diese Sicherheitslücke ist auf eine fehlerhafte Speicherverwaltung in Microsoft Office zurückzuführen. Bei der Verarbeitung eines bestimmten Dokuments oder einer bestimmten Komponente wird Speicher zugewiesen und anschließend nicht ordnungsgemäß freigegeben. Wenn das Programm weiterhin auf diesen freigegebenen Speicher verweist, kann dies zu einer Beschädigung des Speichers führen, wodurch ein Angreifer möglicherweise beliebigen Code ausführen kann.

• Auswirkung: Remote-Codeausführung
• Schweregrad: Kritisch
• Schwachstelle: CWE-416 (Use After Free)
• CVSS v3.1-Score: 8,4 (hoch)
• In freier Wildbahn ausgenutzt: Nein
• Proof of Concept: Nicht öffentlich verfügbar
• Angriffsvektor: Lokal (ausgelöst durch ein schädliches Dokument)
• Komplexität des Angriffs: Gering
• Erforderliche Berechtigungen: Keine
• Benutzerinteraktion: Keine
• Obwohl die Schwachstelle als lokaler Angriffsvektor klassifiziert ist, wird sie als Remote-Code-Ausführung betrachtet, da ein Angreifer sie durch die Übermittlung eines schädlichen Dokuments auslösen kann. Wenn der Benutzer über Administratorrechte verfügt, könnte der Angreifer die vollständige Kontrolle über das System erlangen, Programme installieren, auf Daten zugreifen oder diese ändern und neue Konten erstellen.

Die Schwachstelle betrifft alle unterstützten Versionen von Microsoft Office, die die fehlerhafte Komponente zur Speicherverwaltung enthalten. Unternehmen jeder Größe, einschließlich Behörden und Privatpersonen, sind gefährdet. Das Risiko wird durch die potenzielle Ausnutzung über den Vorschaubereich erhöht, wodurch der Angriff ausgeführt werden kann, ohne dass der schädliche Anhang explizit geöffnet werden muss.

CVE-2025-30377: Sicherheitslücke in Microsoft Office ermöglicht Remote-Codeausführung

Diese Sicherheitslücke ähnelt CVE-2025-30386 und beinhaltet eine Use-after-free-Bedingung, die zur Ausführung von beliebigem Code ausgenutzt werden kann.

• Auswirkung: Remote-Codeausführung
• Schweregrad: Kritisch
• Schwachstelle: CWE-416 (Use After Free)
• CVSS v3.1-Score: 8,4 (Hoch)
• In freier Wildbahn ausgenutzt: Nein
• Proof of Concept: Nicht öffentlich verfügbar
• Angriffsvektor: Lokal
• Komplexität des Angriffs: Gering
• Erforderliche Berechtigungen: Keine
• Benutzerinteraktion: Keine

Die Angriffsszenarien ähneln denen von CVE-2025-30386, jedoch wird die Ausnutzung dieser Schwachstelle aufgrund zusätzlicher Bedingungen oder der Komplexität bei der Erstellung eines funktionierenden Exploits als weniger wahrscheinlich eingeschätzt. Angreifer könnten jedoch beide Schwachstellen ausnutzen, um die Chancen für eine erfolgreiche Ausnutzung zu erhöhen.

Risikoanalyse:

• CVE-2025-30386 stellt aufgrund der Einschätzung, dass eine Ausnutzung wahrscheinlicher ist, ein höheres Risiko dar.
• Beide Schwachstellen können zu einer vollständigen Kompromittierung des Systems, Datenverletzungen und weiterer Ausnutzung durch die Ausführung von Schadcode führen.
• Die potenzielle Nutzung des Vorschaufensters als Angriffsvektor erhöht die Dringlichkeit, diese Schwachstellen zu beheben, da Benutzer das schädliche Dokument möglicherweise nicht explizit öffnen müssen, um den Exploit auszulösen.

Für alle betroffenen Systeme wird eine umgehende Installation des Patches empfohlen, um das Risiko einer Ausnutzung zu minimieren.

Schwachstellen in Remote Desktop Services

Zwei kritische Sicherheitslücken in Remote Desktop Services wurden gepatcht, die beide heap-basierte Pufferüberläufe betreffen, die zur Ausführung von Remote-Code führen können.

CVE-2025-29966: Sicherheitslücke in Remote Desktop Client – Remote-Codeausführung

Diese Sicherheitslücke entsteht durch einen heap-basierten Pufferüberlauf in der Microsoft Remote Desktop Protocol (RDP)-Client-Software. Eine unsachgemäße Verarbeitung von Daten, die von einem bösartigen RDP-Server empfangen werden, kann zu einer Beschädigung des Speichers führen.

• Auswirkung: Remote-Codeausführung
• Schweregrad: Kritisch
• Schwachstelle: CWE-122 (Heap-basierter Pufferüberlauf)
• CVSS v3.1-Score: 8,8 (Hoch)
• In freier Wildbahn ausgenutzt: Nein
• Proof of Concept: Nicht öffentlich bekannt
• Angriffsvektor: Netzwerk
• Komplexität des Angriffs: Gering
• Erforderliche Berechtigungen: Keine
• Benutzerinteraktion: Erforderlich

Die Sicherheitslücke tritt auf, wenn ein vom Angreifer kontrollierter RDP-Server während des RDP-Handshakes oder der Sitzung bösartige Antworten sendet und dabei einen Puffer im Speicher des Clients überläuft. Bei erfolgreicher Ausnutzung kann der Angreifer beliebigen Code mit denselben Berechtigungen wie der Benutzer ausführen, der den RDP-Client ausführt.

Wenn der Benutzer über Administratorrechte verfügt, kann der Angreifer die vollständige Kontrolle über das Client-System erlangen, auf sensible Daten zugreifen und den kompromittierten Client möglicherweise als Sprungbrett nutzen, um in das Netzwerk des Unternehmens einzudringen.

CVE-2025-29967: Sicherheitslücke in Remote Desktop Gateway Service ermöglicht Remote-Code-Ausführung

Ähnlich wie CVE-2025-29966 handelt es sich bei dieser Sicherheitslücke um einen heap-basierten Pufferüberlauf, der jedoch den Remote Desktop Gateway (RD Gateway)-Dienst betrifft.

• Auswirkung: Remote-Codeausführung
• Schweregrad: Kritisch
• Schwachstelle: CWE-122 (Heap-basierter Pufferüberlauf)
• CVSS v3.1-Score: 8,8 (Hoch)
• In freier Wildbahn ausgenutzt: Nein
• Proof of Concept: Nicht öffentlich bekannt
• Angriffsvektor: Netzwerk
• Komplexität des Angriffs: Gering
• Erforderliche Berechtigungen: Keine
• Benutzerinteraktion: Keine

Ein Angreifer kann speziell gestaltete Anfragen an den RD-Gateway senden und so eine Beschädigung des Speichers verursachen. Bei Erfolg könnte der Angreifer beliebigen Code auf dem Server ausführen, auf dem der RD-Gateway-Dienst gehostet wird.

Zielumgebungen:

• Unternehmen, die RD Gateway für sicheren Fernzugriff verwenden
• Managed Service Provider (MSPs), die Remote-Desktop-Dienste für Kunden bereitstellen
• Bildungseinrichtungen, die RD Gateway für Fernunterrichtssysteme verwenden
• Gesundheitseinrichtungen, die Patientendatenfernverwaltungssysteme verwalten

Angreifer könnten kompromittierte RD Gateways nutzen, um persistente Malware zu installieren, Daten zu exfiltrieren oder Ransomware in verbundenen Netzwerken zu verbreiten. Dieser Angriffspfad ist besonders für MSPs besorgniserregend, da die Kompromittierung eines einzigen Gateways Auswirkungen auf mehrere Kundennetzwerke haben könnte.

Auswirkungsanalyse: Beide Schwachstellen können zur Ausführung von Remote-Code führen, wodurch Angreifer die vollständige Kontrolle über die Zielsysteme erlangen können. Während die Schwachstelle auf der Client-Seite (CVE-2025-29966) als Einfallstor für weitere Netzwerkangriffe dienen kann, stellt die Schwachstelle auf der Server-Seite (CVE-2025-29967) aufgrund ihres Potenzials, zentralisierte Zugangspunkte wie RD Gateways zu kompromittieren, ein höheres Risiko dar.

Unternehmen, die sowohl anfällige Clients als auch Server verwenden, sind einem höheren Risiko ausgesetzt, da Angreifer eine kompromittierte Komponente nutzen könnten, um die andere anzugreifen, wodurch die Auswirkungen verstärkt werden. Um diese Bedrohungen zu mindern, sind umgehende Patches und eine verstärkte Überwachung der RDP-Verbindungen unerlässlich.

Die Sicherheitsupdates vom Patch Tuesday im Mai 2025

Der Beitrag 2025-05 Patchday Microsoft erschien zuerst auf Grams IT - Blog.